настройка нескольких vlan

Автор gotovtsev, 07 февраля 2014, 13:06:04

« назад - далее »

0 Пользователи и 2 гостей просматривают эту тему.

gotovtsev

товарищи!
i need help  :)

есть такие приборы:
1. комп (asus b75m-a).
2. маршрутизатор d-link dgs-1210

предполагаю настроить этот комп в качестве шлюза в интернет.
на маршрутизаторе нужно настроить несколько vlan.
комп должен быть виден из разных vlan - под разными ip-адресами.

на комп установил debian.
пытаюсь настроить vlan'ы:

1. установил пакет vlan
2. затем выполнил команду:
vconfig add eth0 600

3. файл /etc/network/interfaces выглядит следующим образом:
---
auto lo
iface lo inet loopback

auto eth0.600
iface eth0.600 inet static
address 10.10.6.19
netmask 255.255.255.0
vlan_raw_device eth0
----

4. команда lsmod | grep 8021q выдает:
8021q   19219  0
garp      13193  1  8021q

5. команда ifconfig показывает что интерфейс работает.
но RX bytes - ноль.


всё ли я делаю правильно в линуксе?  ;D
на d-link порт установлен как tagged.

но не работает нифига :(
может кто посоветует - что делать?  :D

xbsd

Вам надо сделать порт коммутатора транковым.

gotovtsev

Цитата: xbsd от 07 февраля 2014, 14:21:38Вам надо сделать порт коммутатора транковым.

ага, спасибо за совет!

насчет - транк я в курсе..
просто до этого у меня был коммутатор cisco (всмысле сейчас еще есть и работает).
с d-link дело имею впервые.. подключился к нему через web-интерфейс.
понимаю, что вопрос немного не по теме - но может подскажете - как в d-link сделать порт
транковым как в cisco (в d-link, насколько я понял - иная терминология)..

дело похоже и правда не в Linux, ради интереса поставил на аналогичный комп windows xp,
утилитой realtek сделал vlan'ы - также нифига не работает...

315th

Вот это избыточно

auto eth0.600
iface eth0.600 inet static
address 10.10.6.19
netmask 255.255.255.0
vlan_raw_device eth0

Либо так


auto eth0.600
iface eth0.600 inet static
address 10.10.6.19
netmask 255.255.255.0
[свернуть]
Либо так


auto vlan600
iface vlan600 inet static
address 10.10.6.19
netmask 255.255.255.0
vlan_raw_device eth0
[свернуть]
И если есть возможность, хотелось бы увидеть настройки свитча на вкладке VLAN (либо VLAN/802.1Q VLAN, сейчас точно не вспомню где )
Debian GNU/Linux 7.11 (wheezy) - CLI
ICH7; D525MV; r8169; Linux 4.14.32-atomd525mv-imq-ja1 (i686); Intel Atom D525 1.8 GHz

gotovtsev

#4
Спасибо! Конфиг подредактирую.

Цитата: 315th от 07 февраля 2014, 14:50:10И если есть возможность, хотелось бы увидеть настройки свитча на вкладке VLAN (либо VLAN/802.1Q VLAN, сейчас точно не вспомню где )

на d-link особо ничего не настраивал (а похоже - надо бы  :D).
скриншот "настроек" маршрутизатора прилагаю.

315th

Цитата: gotovtsev от 07 февраля 2014, 15:03:27на d-link особо ничего не настраивал (а похоже - надо бы  :D).
Похоже на то  8) Конфигурируйте.
Debian GNU/Linux 7.11 (wheezy) - CLI
ICH7; D525MV; r8169; Linux 4.14.32-atomd525mv-imq-ja1 (i686); Intel Atom D525 1.8 GHz

xbsd

Цитата: gotovtsev от 07 февраля 2014, 15:03:27скриншот "настроек" маршрутизатора прилагаю.
не там ковычки поставили?
скрин очень маленький, ничего не понятно толком....

gotovtsev

в понедельник вернусь на работу.
попробую еще понастраивать.
скриншот поудачнее сделаю.  :)

gotovtsev

да, некоторые манипуляции с d-link'ом - и всё заработало!  :)
спасибо всем за помощь!  ;)

далее у меня задача - настроить комп с линуксом так - чтобы он выступал в роли раздатчика интернет во внутреннюю сеть.
может кто посоветует - каким образом лучше все реализовать?  ::)

xbsd

а какие вы знаете способы? опишите свое видение реализации данной схемы,  а народ уже подскажет как оно лучше.

gotovtsev

xbsd, в данный момент у меня в качестве шлюза работает windows-xp.
установлен прокси-сервер usergate. в принципе всё более-менее стабильно работает.
но возникают неудобства. например, когда пользователям в различном софте надо обращаться по определенным ip-адресам на определенные порты.
я для этого создаю на прокси правила с переназначением портов. не совсем удобно. хотелось бы настроить всё таким образом, чтобы те кому нужны
просто сайты в интернет - ходили через прокси (squid ???). а тем кому надо обращаться по ip-адресам напрямую - через nat (???).
как лучше всё это реализовать?

xbsd

#11
вы же сами ответили на свой вопрос. Настройте проски сервер Squid и правила для nat.
Возможно вас заинтересует netams. Возможно вам потребуется какой-нибудь анализатор логов squid. Но все это зависит от вашей сетевой инфраструктуры и поставленных перед вами задач.

shumm

iptables  - вот рабочий пример , подсети под себя настроишь.  eth0 - локалка


# Generated by iptables-save v1.2.7a on Tue Apr 19 22:52:07 2005
# FTP - modprobe ip_nat_ftp
*nat
:PREROUTING ACCEPT [5:288]
:POSTROUTING ACCEPT [5:364]
:OUTPUT ACCEPT [5:364]

#   SQUID
-A PREROUTING -i eth0 -p tcp -m multiport --dports 80,81,82,83,88,8000,8001,8002,8080,8081 -j DNAT --to-destination 192.168.0.1:3135

#
-A PREROUTING -i eth1 -p tcp -m multiport --dports 2221 -j DNAT --to-destination 192.168.0.208

#========  Проброс порта во внешку 46303 - 192.168.0.208  ==================

# Server1
-A PREROUTING -d 8x.x2.xx.xx8 -p tcp -m tcp --dport 46303 -j DNAT --to-destination 192.168.0.208:3389
-A POSTROUTING -d 8x.x2.xx.xx8 -p tcp -m tcp --dport 3389 -j SNAT --to-source 192.168.0.208
-A OUTPUT -d 8x.x2.xx.xx8 -p tcp -m multiport --dport 3389 -j DNAT --to-destination 192.168.0.208

# Инет на подсеть 192.168.0.0/24
-A POSTROUTING -s 192.168.0.0/24 -o eth1 -j SNAT --to-source 8x.x2.xx.xx8

#
COMMIT
# Completed on Tue Apr 19 22:52:07 2005
# Generated by iptables-save v1.2.7a on Tue Apr 19 22:52:07 2005
*filter
:FORWARD DROP [0:0]
:INPUT DROP [0:0]
:OUTPUT ACCEPT [0:0]
:MAILDROP - [0:0]
#
#       ===============================

-A INPUT -i lo -j ACCEPT
-A INPUT -m state -i eth1 --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -m icmp -m limit -i eth0 --icmp-type 8 --limit 1/sec -j ACCEPT
-A INPUT -p icmp -m icmp -m limit -i eth1 --icmp-type 8 --limit 1/sec -j ACCEPT

-A INPUT -p icmp -m icmp --icmp-type 0 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 5 -j DROP
-A INPUT -p icmp -m icmp --icmp-type 9 -j DROP
-A INPUT -p icmp -m icmp --icmp-type 10 -j DROP
-A INPUT -p icmp -m icmp --icmp-type 13 -j DROP
-A INPUT -p icmp -m icmp --icmp-type 14 -j DROP
-A INPUT -p icmp -m icmp --icmp-type 15 -j DROP
-A INPUT -p icmp -m icmp --icmp-type 17 -j DROP
-A INPUT -p icmp -m icmp --icmp-type 18 -j DROP
-A INPUT --fragment -p ICMP -j DROP
#===================================================================
# Защита от скана #
-A INPUT -p tcp ! --syn -m state --state NEW -i eth1 -j DROP
-A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -i eth1 -j DROP
-A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -i eth1 -j DROP
-A INPUT -p tcp --tcp-flags ALL FIN,URG,PSH -i eth1 -j DROP
-A INPUT -p tcp --tcp-flags ALL FIN -i eth1 -j DROP
-A INPUT -p tcp --tcp-flags ALL NONE -i eth1 -j DROP
-A INPUT -p tcp --tcp-flags ALL ALL -i eth1 -j DROP
#
-A INPUT -p tcp --tcp-flags FIN,RST FIN,RST -i eth1 -j DROP
-A INPUT -p tcp --tcp-flags ACK,FIN FIN -i eth1 -j DROP
-A INPUT -p tcp --tcp-flags ACK,PSH PSH -i eth1 -j DROP
-A INPUT -p tcp --tcp-flags ACK,URG URG -i eth1 -j DROP
#
-A INPUT -s 127.0.0.0/255.0.0.0 -i eth1 -j DROP
-A INPUT -s 192.168.0.0/255.255.0.0 -i eth1 -j DROP
-A INPUT -s 172.0.0.0/255.0.0.0 -i eth1 -j DROP
-A INPUT -s 10.0.0.0/255.0.0.0 -i eth1 -j DROP
#====================================================================
-A INPUT -p tcp --dport 25 -j MAILDROP
-A INPUT -p udp -m udp --dport 3401 -j ACCEPT

-A INPUT -s 192.168.0.2 -i eth0 -j ACCEPT
-A INPUT -s 192.168.0.20 -i eth0 -j ACCEPT
-A INPUT -s 192.168.0.206 -i eth0 -j ACCEPT
-A INPUT -s 192.168.0.208 -i eth0 -j ACCEPT
-A INPUT -s 192.168.0.210 -i eth0 -j ACCEPT

#-A INPUT -m mac --mac-source BC:5F:F4:31:4F:F8 -p tcp -m multiport --dports 22,3389,3396,3493 -i eth0 -j ACCEPT

-A INPUT -s 192.168.0.0/24 -p tcp -m multiport --dports 25,993,995 -i eth0 -j ACCEPT
-A INPUT -s 192.168.0.0/24 -p tcp -m multiport --dports 40:65,80:140,380:700,1024:65535 -i eth0 -j ACCEPT
-A INPUT -s 192.168.0.0/24 -p udp -m multiport --dports 25,993,995 -i eth0 -j ACCEPT
-A INPUT -s 192.168.0.0/24 -p udp -m multiport --dports 40:65,80:140,380:700,1024:65535 -i eth0 -j ACCEPT

-A INPUT -s 0.0.0.0/0.0.0.0 -p tcp -m multiport --dports 25,123,443,993,1935,5222,5223,7070,7777,5229 -i eth1 -j ACCEPT
-A INPUT -s 0.0.0.0/0.0.0.0 -p udp -m multiport --dports 25,123,443 -i eth1 -j ACCEPT


-A INPUT -p tcp -m tcp -i eth1 -j DROP
-A INPUT -p udp -m udp -i eth1 -j DROP
-A INPUT -p tcp -m tcp -i eth0 -j DROP
-A INPUT -p udp -m udp -i eth0 -j DROP
-A INPUT -p tcp -m tcp -i eth0:1 -j DROP
-A INPUT -p udp -m udp -i eth0:1 -j DROP

-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -p icmp -m icmp --icmp-type 0 -j ACCEPT
-A FORWARD -p icmp -m icmp --icmp-type 8 -j ACCEPT

-A FORWARD -d 192.168.0.208/32 -i eth1 -o eth0 -p tcp -m tcp --dport 3389 -j ACCEPT

-A FORWARD -s 192.168.0.2 -i eth0 -j ACCEPT
-A FORWARD -s 192.168.0.20 -i eth0 -j ACCEPT
-A FORWARD -s 192.168.0.206 -i eth0 -j ACCEPT
-A FORWARD -s 192.168.0.208 -i eth0 -j ACCEPT
-A FORWARD -s 192.168.0.210 -i eth0 -j ACCEPT

-A FORWARD -s 192.168.0.0/24 -p tcp -m multiport --dports 40:65,80:140,380:700,993:995,1024:65535 -i eth0 -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -p udp -m multiport --dports 40:65,80:140,380:700,993:995,1024:65535 -i eth0 -j ACCEPT

-A FORWARD -s 0.0.0.0/0.0.0.0 -d 192.168.0.208 -p tcp -m multiport --dports 2221 -j ACCEPT

-A FORWARD -s 127.0.0.0/255.0.0.0 -i eth1 -j DROP
-A FORWARD -s 172.0.0.0/255.0.0.0 -i eth1 -j DROP
-A FORWARD -s 10.0.0.0/255.0.0.0 -i eth1 -j DROP
-A FORWARD -s 192.168.0.0/16 -i eth1 -j DROP

-A OUTPUT -o eth0 -j ACCEPT
-A OUTPUT -o eth0:1 -j ACCEPT
-A OUTPUT -o lo -j ACCEPT

-A OUTPUT -p icmp -m state --state NEW -j ACCEPT
-A OUTPUT -p tcp -m multiport --dport 53 -j ACCEPT
-A OUTPUT -p udp -m multiport --dport 53 -j ACCEPT

COMMIT
# Completed on Tue Apr 19 22:52:07 2005
# Generated by webmin
*mangle
:FORWARD ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
COMMIT
# Completed


gotovtsev

shumm, спасибо!
я уже по одному из мануалов что нашел в сети настроил и squid, и iptables, ну и vlan'ы все подняты.
вроде всё работает. но надо будет более детально поизучать всё  :) и по мере изучения - подкорректировать настройки.

в итоге /etc/network/interfaces у меня пока вот так выглядит (и вроде всё норм работает  :) ):

auto lo
iface lo inet loopback

auto eth0.2
iface eth0.2 inet static
address 10.10.2.113
netmask 255.255.255.0

auto eth0.3
iface eth0.3 inet static
address 10.10.3.113
netmask 255.255.255.0

auto eth0.4
iface eth0.4 inet static
address 10.10.4.113
netmask 255.255.255.0

auto eth0.5
iface eth0.5 inet static
address 10.10.5.113
netmask 255.255.255.0

auto eth0.6
iface eth0.6 inet static
address 10.10.6.113
netmask 255.255.255.0

auto eth0.7
iface eth0.7 inet static
address 10.10.7.113
netmask 255.255.255.0

auto eth0.8
iface eth0.8 inet static
address 10.10.8.113
netmask 255.255.255.0

auto eth1
iface eth1 inet static
address x.x.x.x
netmask x.x.x.x
gateway x.x.x.x