https://opennet.ru/openforum/vsluhforumID1/94599.html Приветствую уважаемые!<br><br>Есть проблема:<br><br>Сервер на 9.1-RELEASE FreeBSD. В него приходит интернет от провайдера. <br>За сервером находится Cisco Catalyst 2950 (24 порта).<br><br>На сервере 2 интерфейса:<br><br>bce0 - внешний (ип 217.150.150.140) - в провайдера.<br>bce1 - внутренний (ип 192.168.0.1) - в циску.<br><br>Есть пул белых адресов выданных провайдером (217.150.150.140-145).<br><br>На сервере установлен ipfw + natd. Поддержка VLAN есть.<br><br>На 10 порту циски есть другой сервер, к которому нужен доступ из мира по ип 217.150.150.145. Т.е. не проброс каких-то портов, а полноценный доступ по внешнему ипу.<br><br>Уважаемые, подскажите пожалуйста реализацию данной схемы...<br> https://opennet.ru/openforum/vsluhforumID1/94599.html#8 Fri, 26 Apr 2013 11:34:58 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt; SW1(config-if)# int fa 0/24 <br>&gt;&gt;&gt; SW1(config-if)# description ISP <br>&gt;&gt;&gt; SW1(config-if)# int fa 0/23 <br>&gt;&gt;&gt; SW1(config-if)# no cdp enable <br>&gt;&gt;&gt; SW1(config-if)# description FreeBSD <br>&gt;&gt;&gt; SW1(config-if)# int fa 0/22 <br>&gt;&gt;&gt; SW1(config-if)# description Server <br>&gt;&gt;&gt; Удачи!<br>&gt;&gt; SW1(config-if-range)# switchport access vlan 9 <br>&gt; А на FreeBSD нужно что-то делать? Может нужно создать такой же VLAN? <br><br>Зачем? У Вас на коммутаторе будут по крайне мере два VLAN-а. Один для реальной сетки (217.150.150.0/24, я не знаю ваш префикс), и второй для приватной(192.168.1.0/24). В рельной три порта коммутатора: FreeBSD (bce0 217.150.150.140), uplink от провайдера (217.150.150.1 - допустим), новый сервер (217.150.150.145). В приватной сети ваши рабочие станции и FreeBSD (bce1 192.168.0.1/24). На FreeBSD ничего изменять не нужно, он так и останется в качестве маршрутизатора с NAT-ом.<br><br> https://opennet.ru/openforum/vsluhforumID1/94599.html#7 Thu, 25 Apr 2013 11:46:35 GMT &gt;[оверквотинг удален]<br>&gt;&gt; SW1(config-if-range)# switchport vlan 9 <br>&gt;&gt; SW1(config-if)# int fa 0/24 <br>&gt;&gt; SW1(config-if)# description ISP <br>&gt;&gt; SW1(config-if)# int fa 0/23 <br>&gt;&gt; SW1(config-if)# no cdp enable <br>&gt;&gt; SW1(config-if)# description FreeBSD <br>&gt;&gt; SW1(config-if)# int fa 0/22 <br>&gt;&gt; SW1(config-if)# description Server <br>&gt;&gt; Удачи!<br>&gt; SW1(config-if-range)# switchport access vlan 9 <br><br>А на FreeBSD нужно что-то делать? Может нужно создать такой же VLAN?<br> https://opennet.ru/openforum/vsluhforumID1/94599.html#6 Sat, 20 Apr 2013 11:18:29 GMT &gt;[оверквотинг удален]<br>&gt; SW1(config-if-range)# switchport mode access <br>&gt; SW1(config-if-range)# switchport vlan 9 <br>&gt; SW1(config-if)# int fa 0/24 <br>&gt; SW1(config-if)# description ISP <br>&gt; SW1(config-if)# int fa 0/23 <br>&gt; SW1(config-if)# no cdp enable <br>&gt; SW1(config-if)# description FreeBSD <br>&gt; SW1(config-if)# int fa 0/22 <br>&gt; SW1(config-if)# description Server <br>&gt; Удачи!<br><br>SW1(config-if-range)# switchport access vlan 9<br> https://opennet.ru/openforum/vsluhforumID1/94599.html#5 Sat, 20 Apr 2013 10:52:51 GMT &gt;[оверквотинг удален]<br>&gt; SW1(config-if-range)# switchport mode access <br>&gt; SW1(config-if-range)# switchport vlan 9 <br>&gt; SW1(config-if)# int fa 0/24 <br>&gt; SW1(config-if)# description ISP <br>&gt; SW1(config-if)# int fa 0/23 <br>&gt; SW1(config-if)# no cdp enable <br>&gt; SW1(config-if)# description FreeBSD <br>&gt; SW1(config-if)# int fa 0/22 <br>&gt; SW1(config-if)# description Server <br>&gt; Удачи!<br><br>Ошибся немного.<br><br>SW1(config-if)# int fa 0/24 <br>SW1(config-if)# description ISP <br>SW1(config-if)# no cdp enable<br><br>а f0/22 замените конечно на f 0/10, т.к. к нему уже подключен сервер.<br> https://opennet.ru/openforum/vsluhforumID1/94599.html#4 Sat, 20 Apr 2013 10:49:03 GMT &gt;[оверквотинг удален]<br>&gt; За сервером находится Cisco Catalyst 2950 (24 порта).<br>&gt; На сервере 2 интерфейса: <br>&gt; bce0 - внешний (ип 217.150.150.140) - в провайдера.<br>&gt; bce1 - внутренний (ип 192.168.0.1) - в циску.<br>&gt; Есть пул белых адресов выданных провайдером (217.150.150.140-145).<br>&gt; На сервере установлен ipfw + natd. Поддержка VLAN есть.<br>&gt; На 10 порту циски есть другой сервер, к которому нужен доступ из <br>&gt; мира по ип 217.150.150.145. Т.е. не проброс каких-то портов, а полноценный <br>&gt; доступ по внешнему ипу.<br>&gt; Уважаемые, подскажите пожалуйста реализацию данной схемы...<br><br>Если есть свободные порты на коммутаторе, то самый простой способ, по моему мнению, следующий: на коммутаторе создайте новый вилан, uplink со стороны IPS из FreeBSD подключите в порт коммутатора (к примеру f0/24), FreeBSD опять же подключите в коммутатор (f0/23), "другой сервер" в f 0/22. Порты f0/22-24 поместите в новый vlan. Все.<br><br>т.е.<br><br>SW1(config)#vlan 9<br>SW1(config-vlan)#name REALNET<br>SW1(config-vlan)# int range fa 0/22-24<br>SW1(c https://opennet.ru/openforum/vsluhforumID1/94599.html#3 Thu, 18 Apr 2013 16:38:48 GMT &gt;[оверквотинг удален]<br>&gt;&gt; $cmd 6300 nat 3 log ip4 from not me to _external_ip_ <br>&gt;&gt; $cmd 6310 allow log tcp from not me to _internal_ip_ setup limit <br>&gt;&gt; src-addr 1 <br>&gt;&gt; $cmd 6310 allow log icmp ......<br>&gt;&gt; .....<br>&gt;&gt; .....<br>&gt;&gt; $cmd 6399 deny log from not me to _internal_ip_ <br>&gt; Эту схему я рассматриваю как самый последний вариант...<br>&gt; Хотелось бы узнать как это разрулить с помощью VLAN-per-user, но никак не <br>&gt; могу понять как это реализовать на практике...<br><br>Так вам роутинг нужен. В "вышестоящем роутере" прописать путь. Походу обращайтесь к провайдеру.<br> https://opennet.ru/openforum/vsluhforumID1/94599.html#2 Thu, 18 Apr 2013 14:31:47 GMT &gt;[оверквотинг удален]<br>&gt; <br>&gt; redirect_addr _internal_ip2_ _external_ip2_ <br>&gt; Ну и в нужном месте в рулесете вставите правила типа <br>&gt; $cmd 6300 nat 3 log ip4 from not me to _external_ip_ <br>&gt; $cmd 6310 allow log tcp from not me to _internal_ip_ setup limit <br>&gt; src-addr 1 <br>&gt; $cmd 6310 allow log icmp ......<br>&gt; .....<br>&gt; .....<br>&gt; $cmd 6399 deny log from not me to _internal_ip_ <br><br>Эту схему я рассматриваю как самый последний вариант...<br><br>Хотелось бы узнать как это разрулить с помощью VLAN-per-user, но никак не могу понять как это реализовать на практике...<br> https://opennet.ru/openforum/vsluhforumID1/94599.html#1 Thu, 18 Apr 2013 14:11:35 GMT &gt;[оверквотинг удален]<br>&gt; За сервером находится Cisco Catalyst 2950 (24 порта).<br>&gt; На сервере 2 интерфейса: <br>&gt; bce0 - внешний (ип 217.150.150.140) - в провайдера.<br>&gt; bce1 - внутренний (ип 192.168.0.1) - в циску.<br>&gt; Есть пул белых адресов выданных провайдером (217.150.150.140-145).<br>&gt; На сервере установлен ipfw + natd. Поддержка VLAN есть.<br>&gt; На 10 порту циски есть другой сервер, к которому нужен доступ из <br>&gt; мира по ип 217.150.150.145. Т.е. не проброс каких-то портов, а полноценный <br>&gt; доступ по внешнему ипу.<br>&gt; Уважаемые, подскажите пожалуйста реализацию данной схемы...<br><br> Если вы сетапите сервер с нуля, то крайне рекомендую in-kernel nat, вместо демона.<br> У меня проброс адреса настроен так<br><br>ipfw nat 3 config unreg_only same_ports reset \<br> redirect_addr _internal_ip_ _external_ip_ \<br> redirect_addr _internal_ip2_ _external_ip2_<br><br>Ну и в нужном месте в рулесете вставите правила типа<br><br>$cmd 6300 nat 3 log ip4 from not me to _external_ip_<br>$cmd 6310 allow log tcp from