настройка нескольких vlan

gotovtsev · 07 февраля 2014, 13:06:04

товарищи!
i need help

есть такие приборы:
1. комп (asus b75m-a).
2. маршрутизатор d-link dgs-1210

предполагаю настроить этот комп в качестве шлюза в интернет.
на маршрутизаторе нужно настроить несколько vlan.
комп должен быть виден из разных vlan - под разными ip-адресами.

на комп установил debian.
пытаюсь настроить vlan'ы:

1. установил пакет vlan
2. затем выполнил команду:
vconfig add eth0 600

3. файл /etc/network/interfaces выглядит следующим образом:
---
auto lo
iface lo inet loopback

auto eth0.600
iface eth0.600 inet static
address 10.10.6.19
netmask 255.255.255.0
vlan_raw_device eth0
----

4. команда lsmod | grep 8021q выдает:
8021q 19219 0
garp 13193 1 8021q

5. команда ifconfig показывает что интерфейс работает.
но RX bytes - ноль.

всё ли я делаю правильно в линуксе?

на d-link порт установлен как tagged.

но не работает нифига

может кто посоветует - что делать?

xbsd · 07 февраля 2014, 14:21:38

Вам надо сделать порт коммутатора транковым.

gotovtsev · 07 февраля 2014, 14:40:09

Цитата: xbsd от 07 февраля 2014, 14:21:38Вам надо сделать порт коммутатора транковым.

ага, спасибо за совет!

насчет - транк я в курсе..
просто до этого у меня был коммутатор cisco (всмысле сейчас еще есть и работает).
с d-link дело имею впервые.. подключился к нему через web-интерфейс.
понимаю, что вопрос немного не по теме - но может подскажете - как в d-link сделать порт
транковым как в cisco (в d-link, насколько я понял - иная терминология)..

дело похоже и правда не в Linux, ради интереса поставил на аналогичный комп windows xp,
утилитой realtek сделал vlan'ы - также нифига не работает...

315th · 07 февраля 2014, 14:50:10

Вот это избыточно

Код Выделить


auto eth0.600
iface eth0.600 inet static
address 10.10.6.19
netmask 255.255.255.0
vlan_raw_device eth0

Либо так

Код Выделить


auto eth0.600
iface eth0.600 inet static
address 10.10.6.19
netmask 255.255.255.0

[свернуть]

Либо так

Код Выделить


auto vlan600
iface vlan600 inet static
address 10.10.6.19
netmask 255.255.255.0
vlan_raw_device eth0

[свернуть]

И если есть возможность, хотелось бы увидеть настройки свитча на вкладке VLAN (либо VLAN/802.1Q VLAN, сейчас точно не вспомню где )

gotovtsev · 07 февраля 2014, 15:03:27

Спасибо! Конфиг подредактирую.

Цитата: 315th от 07 февраля 2014, 14:50:10И если есть возможность, хотелось бы увидеть настройки свитча на вкладке VLAN (либо VLAN/802.1Q VLAN, сейчас точно не вспомню где )

на d-link особо ничего не настраивал (а похоже - надо бы

).
скриншот "настроек" маршрутизатора прилагаю.

315th · 07 февраля 2014, 15:22:25

Цитата: gotovtsev от 07 февраля 2014, 15:03:27на d-link особо ничего не настраивал (а похоже - надо бы ).

Похоже на то

Конфигурируйте.

xbsd · 07 февраля 2014, 15:26:01

Цитата: gotovtsev от 07 февраля 2014, 15:03:27скриншот "настроек" маршрутизатора прилагаю.

не там ковычки поставили?
скрин очень маленький, ничего не понятно толком....

gotovtsev · 08 февраля 2014, 06:52:50

в понедельник вернусь на работу.
попробую еще понастраивать.
скриншот поудачнее сделаю.

gotovtsev · 10 февраля 2014, 09:24:47

да, некоторые манипуляции с d-link'ом - и всё заработало!

спасибо всем за помощь!

далее у меня задача - настроить комп с линуксом так - чтобы он выступал в роли раздатчика интернет во внутреннюю сеть.
может кто посоветует - каким образом лучше все реализовать?

xbsd · 10 февраля 2014, 12:58:43

а какие вы знаете способы? опишите свое видение реализации данной схемы, а народ уже подскажет как оно лучше.

gotovtsev · 10 февраля 2014, 13:15:21

xbsd, в данный момент у меня в качестве шлюза работает windows-xp.
установлен прокси-сервер usergate. в принципе всё более-менее стабильно работает.
но возникают неудобства. например, когда пользователям в различном софте надо обращаться по определенным ip-адресам на определенные порты.
я для этого создаю на прокси правила с переназначением портов. не совсем удобно. хотелось бы настроить всё таким образом, чтобы те кому нужны
просто сайты в интернет - ходили через прокси (squid

). а тем кому надо обращаться по ip-адресам напрямую - через nat (

).
как лучше всё это реализовать?

xbsd · 10 февраля 2014, 14:11:17

вы же сами ответили на свой вопрос. Настройте проски сервер Squid и правила для nat.
Возможно вас заинтересует netams. Возможно вам потребуется какой-нибудь анализатор логов squid. Но все это зависит от вашей сетевой инфраструктуры и поставленных перед вами задач.

shumm · 15 февраля 2014, 00:07:42

iptables - вот рабочий пример , подсети под себя настроишь. eth0 - локалка

Код Выделить


# Generated by iptables-save v1.2.7a on Tue Apr 19 22:52:07 2005
# FTP - modprobe ip_nat_ftp
*nat
:PREROUTING ACCEPT [5:288]
:POSTROUTING ACCEPT [5:364]
:OUTPUT ACCEPT [5:364]

#   SQUID
-A PREROUTING -i eth0 -p tcp -m multiport --dports 80,81,82,83,88,8000,8001,8002,8080,8081 -j DNAT --to-destination 192.168.0.1:3135

#
-A PREROUTING -i eth1 -p tcp -m multiport --dports 2221 -j DNAT --to-destination 192.168.0.208

#========  Проброс порта во внешку 46303 - 192.168.0.208  ==================

# Server1
-A PREROUTING -d 8x.x2.xx.xx8 -p tcp -m tcp --dport 46303 -j DNAT --to-destination 192.168.0.208:3389
-A POSTROUTING -d 8x.x2.xx.xx8 -p tcp -m tcp --dport 3389 -j SNAT --to-source 192.168.0.208
-A OUTPUT -d 8x.x2.xx.xx8 -p tcp -m multiport --dport 3389 -j DNAT --to-destination 192.168.0.208

# Инет на подсеть 192.168.0.0/24
-A POSTROUTING -s 192.168.0.0/24 -o eth1 -j SNAT --to-source 8x.x2.xx.xx8

#
COMMIT
# Completed on Tue Apr 19 22:52:07 2005
# Generated by iptables-save v1.2.7a on Tue Apr 19 22:52:07 2005
*filter
:FORWARD DROP [0:0]
:INPUT DROP [0:0]
:OUTPUT ACCEPT [0:0]
:MAILDROP - [0:0]
#
#       ===============================

-A INPUT -i lo -j ACCEPT
-A INPUT -m state -i eth1 --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -m icmp -m limit -i eth0 --icmp-type 8 --limit 1/sec -j ACCEPT
-A INPUT -p icmp -m icmp -m limit -i eth1 --icmp-type 8 --limit 1/sec -j ACCEPT

-A INPUT -p icmp -m icmp --icmp-type 0 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 5 -j DROP
-A INPUT -p icmp -m icmp --icmp-type 9 -j DROP
-A INPUT -p icmp -m icmp --icmp-type 10 -j DROP
-A INPUT -p icmp -m icmp --icmp-type 13 -j DROP
-A INPUT -p icmp -m icmp --icmp-type 14 -j DROP
-A INPUT -p icmp -m icmp --icmp-type 15 -j DROP
-A INPUT -p icmp -m icmp --icmp-type 17 -j DROP
-A INPUT -p icmp -m icmp --icmp-type 18 -j DROP
-A INPUT --fragment -p ICMP -j DROP
#===================================================================
# Защита от скана #
-A INPUT -p tcp ! --syn -m state --state NEW -i eth1 -j DROP
-A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -i eth1 -j DROP
-A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -i eth1 -j DROP
-A INPUT -p tcp --tcp-flags ALL FIN,URG,PSH -i eth1 -j DROP
-A INPUT -p tcp --tcp-flags ALL FIN -i eth1 -j DROP
-A INPUT -p tcp --tcp-flags ALL NONE -i eth1 -j DROP
-A INPUT -p tcp --tcp-flags ALL ALL -i eth1 -j DROP
#
-A INPUT -p tcp --tcp-flags FIN,RST FIN,RST -i eth1 -j DROP
-A INPUT -p tcp --tcp-flags ACK,FIN FIN -i eth1 -j DROP
-A INPUT -p tcp --tcp-flags ACK,PSH PSH -i eth1 -j DROP
-A INPUT -p tcp --tcp-flags ACK,URG URG -i eth1 -j DROP
#
-A INPUT -s 127.0.0.0/255.0.0.0 -i eth1 -j DROP
-A INPUT -s 192.168.0.0/255.255.0.0 -i eth1 -j DROP
-A INPUT -s 172.0.0.0/255.0.0.0 -i eth1 -j DROP
-A INPUT -s 10.0.0.0/255.0.0.0 -i eth1 -j DROP
#====================================================================
-A INPUT -p tcp --dport 25 -j MAILDROP
-A INPUT -p udp -m udp --dport 3401 -j ACCEPT

-A INPUT -s 192.168.0.2 -i eth0 -j ACCEPT
-A INPUT -s 192.168.0.20 -i eth0 -j ACCEPT
-A INPUT -s 192.168.0.206 -i eth0 -j ACCEPT
-A INPUT -s 192.168.0.208 -i eth0 -j ACCEPT
-A INPUT -s 192.168.0.210 -i eth0 -j ACCEPT

#-A INPUT -m mac --mac-source BC:5F:F4:31:4F:F8 -p tcp -m multiport --dports 22,3389,3396,3493 -i eth0 -j ACCEPT

-A INPUT -s 192.168.0.0/24 -p tcp -m multiport --dports 25,993,995 -i eth0 -j ACCEPT
-A INPUT -s 192.168.0.0/24 -p tcp -m multiport --dports 40:65,80:140,380:700,1024:65535 -i eth0 -j ACCEPT
-A INPUT -s 192.168.0.0/24 -p udp -m multiport --dports 25,993,995 -i eth0 -j ACCEPT
-A INPUT -s 192.168.0.0/24 -p udp -m multiport --dports 40:65,80:140,380:700,1024:65535 -i eth0 -j ACCEPT

-A INPUT -s 0.0.0.0/0.0.0.0 -p tcp -m multiport --dports 25,123,443,993,1935,5222,5223,7070,7777,5229 -i eth1 -j ACCEPT
-A INPUT -s 0.0.0.0/0.0.0.0 -p udp -m multiport --dports 25,123,443 -i eth1 -j ACCEPT


-A INPUT -p tcp -m tcp -i eth1 -j DROP
-A INPUT -p udp -m udp -i eth1 -j DROP
-A INPUT -p tcp -m tcp -i eth0 -j DROP
-A INPUT -p udp -m udp -i eth0 -j DROP
-A INPUT -p tcp -m tcp -i eth0:1 -j DROP
-A INPUT -p udp -m udp -i eth0:1 -j DROP

-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -p icmp -m icmp --icmp-type 0 -j ACCEPT
-A FORWARD -p icmp -m icmp --icmp-type 8 -j ACCEPT

-A FORWARD -d 192.168.0.208/32 -i eth1 -o eth0 -p tcp -m tcp --dport 3389 -j ACCEPT

-A FORWARD -s 192.168.0.2 -i eth0 -j ACCEPT
-A FORWARD -s 192.168.0.20 -i eth0 -j ACCEPT
-A FORWARD -s 192.168.0.206 -i eth0 -j ACCEPT
-A FORWARD -s 192.168.0.208 -i eth0 -j ACCEPT
-A FORWARD -s 192.168.0.210 -i eth0 -j ACCEPT

-A FORWARD -s 192.168.0.0/24 -p tcp -m multiport --dports 40:65,80:140,380:700,993:995,1024:65535 -i eth0 -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -p udp -m multiport --dports 40:65,80:140,380:700,993:995,1024:65535 -i eth0 -j ACCEPT

-A FORWARD -s 0.0.0.0/0.0.0.0 -d 192.168.0.208 -p tcp -m multiport --dports 2221 -j ACCEPT

-A FORWARD -s 127.0.0.0/255.0.0.0 -i eth1 -j DROP
-A FORWARD -s 172.0.0.0/255.0.0.0 -i eth1 -j DROP
-A FORWARD -s 10.0.0.0/255.0.0.0 -i eth1 -j DROP
-A FORWARD -s 192.168.0.0/16 -i eth1 -j DROP

-A OUTPUT -o eth0 -j ACCEPT
-A OUTPUT -o eth0:1 -j ACCEPT
-A OUTPUT -o lo -j ACCEPT

-A OUTPUT -p icmp -m state --state NEW -j ACCEPT
-A OUTPUT -p tcp -m multiport --dport 53 -j ACCEPT
-A OUTPUT -p udp -m multiport --dport 53 -j ACCEPT

COMMIT
# Completed on Tue Apr 19 22:52:07 2005
# Generated by webmin
*mangle
:FORWARD ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
COMMIT
# Completed

gotovtsev · 15 февраля 2014, 10:42:16

shumm, спасибо!
я уже по одному из мануалов что нашел в сети настроил и squid, и iptables, ну и vlan'ы все подняты.
вроде всё работает. но надо будет более детально поизучать всё

и по мере изучения - подкорректировать настройки.

в итоге /etc/network/interfaces у меня пока вот так выглядит (и вроде всё норм работает

):

Код Выделить

auto lo
iface lo inet loopback

auto eth0.2
iface eth0.2 inet static
address 10.10.2.113
netmask 255.255.255.0

auto eth0.3
iface eth0.3 inet static
address 10.10.3.113
netmask 255.255.255.0

auto eth0.4
iface eth0.4 inet static
address 10.10.4.113
netmask 255.255.255.0

auto eth0.5
iface eth0.5 inet static
address 10.10.5.113
netmask 255.255.255.0

auto eth0.6
iface eth0.6 inet static
address 10.10.6.113
netmask 255.255.255.0

auto eth0.7
iface eth0.7 inet static
address 10.10.7.113
netmask 255.255.255.0

auto eth0.8
iface eth0.8 inet static
address 10.10.8.113
netmask 255.255.255.0

auto eth1
iface eth1 inet static
address x.x.x.x
netmask x.x.x.x
gateway x.x.x.x