https://opennet.dev/openforum/vsluhforumID1/92595.html Добрый день. Помогите. C FreeBSD толком не работал.<br>Досталась в наследство схема: несколько VLAN терминируются на маршрутизаторе(FreeBSD) и далее - в Инет<br><br>rc.conf<br>.....<br>cloned_interfaces="vlan2 vlan3 vlan4"<br>ifconfig_vlan2="inet 192.168.2.1 netmask 255.255.255.0 vlan 2 vlandev xl0"<br>ifconfig_vlan3="inet 192.168.3.1 netmask 255.255.255.0 vlan 3 vlandev xl0"<br>ifconfig_vlan4="inet 192.168.4.1 netmask 255.255.255.0 vlan 4 vlandev xl0"<br>...<br><br>Не устраивает то, что из любой VLAN можно попасть куда угодно. Т. е. на роутере нет фильтрации. А нужно, чтоб c VLAN ходили в Инет, но меж собой связи не было.<br><br>Может подскажите. Заранее благодорю<br> https://opennet.dev/openforum/vsluhforumID1/92595.html#7 Tue, 15 Nov 2011 11:42:36 GMT <br>&gt; ipfw add deny log ip from 192.168.0.0/16 to 192.168.0.0/16 via vlan\*<br><br>Пожоже на правду. Спасибо.<br><br><br> https://opennet.dev/openforum/vsluhforumID1/92595.html#6 Tue, 15 Nov 2011 06:02:18 GMT &gt;[оверквотинг удален]<br>&gt;&gt; ipfw add deny from 192.168.2.0/24 to 192.168.3.0/24 via(dev?) xl0 <br>&gt;&gt; ipfw add deny from 192.168.2.0/24 to 192.168.4.0/24 via(dev?) xl0 <br>&gt;&gt; ipfw add allow from 192.168.2.0/24 to any via(dev?) xl0 <br>&gt; Не так.<br>&gt; Defaul не xl0, а fxp0 <br>&gt; xl0 - внутрь смотрит <br>&gt; fxp0 - во внешние сети.<br>&gt; Сответственно для хостов в vlan 2 дефолтный шлюз 192.168.2.1 <br>&gt; Сответственно для хостов в vlan 3 дефолтный шлюз 192.168.3.1 <br>&gt; и т. д.<br><br>ipfw add deny log ip from 192.168.0.0/16 to 192.168.0.0/16 via any<br><br>(ipfw add deny log ip from 192.168.0.0/16 to 192.168.0.0/16 via vlan\*)<br><br><br><br> https://opennet.dev/openforum/vsluhforumID1/92595.html#5 Tue, 15 Nov 2011 05:26:50 GMT &gt; Во фрее не знаток, но как я понимаю для Ваших vlan'ов интерфейс <br>&gt; xl0 будет default gateway, то есть они друг друга видят по-умолчанию. <br>&gt; С ipfw знаком несильно, но думаю что то в стиле <br>&gt; ipfw add deny from 192.168.2.0/24 to 192.168.3.0/24 via(dev?) xl0 <br>&gt; ipfw add deny from 192.168.2.0/24 to 192.168.4.0/24 via(dev?) xl0 <br>&gt; ipfw add allow from 192.168.2.0/24 to any via(dev?) xl0 <br><br>Не так.<br>Defaul не xl0, а fxp0<br>xl0 - внутрь смотрит<br>fxp0 - во внешние сети.<br><br>Сответственно для хостов в vlan 2 дефолтный шлюз 192.168.2.1<br>Сответственно для хостов в vlan 3 дефолтный шлюз 192.168.3.1<br><br>и т. д.<br> https://opennet.dev/openforum/vsluhforumID1/92595.html#4 Mon, 14 Nov 2011 20:38:44 GMT Во фрее не знаток, но как я понимаю для Ваших vlan'ов интерфейс xl0 будет default gateway, то есть они друг друга видят по-умолчанию.<br>С ipfw знаком несильно, но думаю что то в стиле<br><br>ipfw add deny from 192.168.2.0/24 to 192.168.3.0/24 via(dev?) xl0<br>ipfw add deny from 192.168.2.0/24 to 192.168.4.0/24 via(dev?) xl0<br>ipfw add allow from 192.168.2.0/24 to any via(dev?) xl0<br><br> https://opennet.dev/openforum/vsluhforumID1/92595.html#3 Mon, 14 Nov 2011 15:27:17 GMT Блин - туплю. У Вас же FreeBSD - я почему-то про Линукс думал. Ну, тогда ipfw, pf?<br> https://opennet.dev/openforum/vsluhforumID1/92595.html#2 Mon, 14 Nov 2011 15:25:02 GMT * А то, что Вы ПОДРАЗУМЕВАЕТЕ под ... (исправление).<br> https://opennet.dev/openforum/vsluhforumID1/92595.html#1 Mon, 14 Nov 2011 15:23:53 GMT &gt; Не устраивает то, что из любой VLAN можно попасть куда угодно. Т. <br>&gt; е. на роутере нет фильтрации. А нужно, чтоб c VLAN ходили <br>&gt; в Инет, но меж собой связи не было.<br>&gt; Может подскажите. Заранее благодорю <br><br> VLAN и "Интернет" -суть разные "сущности". Вы бы почитали на досуге, что такое VLAN, на каком сетевом уровне они работают (самое главное) и для чего предназначены. А то, что Вы под "связи не было" с легкостью изумительной решается iptables. На третьем уровне (к которому VLAN никакого отношения не имеет). То, что Вы там выше настроили в терминах циско обзывается SVI.<br>