Strona 1 z 1
iptables VLAN
: 14 marca 2014, 12:34
autor: razz87
Witam,
czy posiadając switch (L2) z obsługa VLAN będę mógł w iptables bądź w jakiś inny sposób zarządzać pakietami z danego VLAN? Chodzi mi generalnie o to czy otagowane ramki dochodzą w ogóle do routera?
: 16 marca 2014, 22:14
autor: piroaa
Dzień dobry.
Nie rozumiem pytania.
Pozdrawiam.
: 17 marca 2014, 08:59
autor: razz87
Chcę odseparować kilka działów od siebie. VLAN załatwia sprawę idealnie (ale będą komputery które powinny mieć dostęp do innych VLAN). Dodatkowo w sieci znajduję się kilka AP (2 SSID, dla pracowników oraz dla gości), dla każdego SSID mogę ustawić inny VLAN. Na serwerze chcę odpowiednio zarządzać routingiem na podstawie VLAN ID.
: 17 marca 2014, 17:35
autor: piroaa
Dzień dobry.
Routingiem nie zarządza się na podstawie VLAN ID tylko na podstawie adresów IP. Robisz tak : tworzysz sobie interfejsy VLAN za pomocą polecenia vconfig, dzięki temu tworzą ci się osobne interfejsy sieciowe np eth0.111 dla vlan nr. 111, następnie interfejsy podnosisz i przypisujesz in odpowiednie IP z różnych klas, definiujesz sobie routing jak potrzeba i na koniec używasz iptables żeby zdefiniować które sieci mają się między sobą komunikować.
Pozdrawiam.
: 18 marca 2014, 07:37
autor: razz87
Witam,
zgadza się, znalazłem to wszystko w sieci. Jedyne czego nie jestem pewien to czy muszę na switchu przypisać również adres IP/maskę czy wystarczy zwykły zarządzalny przełączniki warstwy 2?
: 18 marca 2014, 08:06
autor: f1.micro
Jeżeli chcesz switchem zarządzać (nie przez serial console) to tak. Jeżeli nie to nie ma to najmniejszego znaczenia.
Jedyne co potrzebujesz to serwer/urządzenie gdzie obywać się będzie routing, <jak wnioskuje serwer z debianem>, musisz wpiąć w port TRUNKowy.
I później jeżeli będziesz miał routing między VLANami, w iptabsach w tablicy FORWARD (bodajże), możesz dopisać swoje reguły.
: 18 marca 2014, 08:29
autor: razz87
Dzięki wielkie, o to chodziło. Pozdrawiam.
: 18 marca 2014, 09:08
autor: razz87
EDIT:
razz87 pisze:(...) czy muszę na switchu przypisać również adres IP/maskę czy wystarczy zwykły zarządzalny przełączniki warstwy 2?
f1.micro pisze:Jeżeli chcesz switchem zarządzać (nie przez serial console) to tak. Jeżeli nie to nie ma to najmniejszego znaczenia. (...)
Trochę się pospieszyłem z odpowiedzią. Chodziło mi o to czy muszę przypisać adres IP/maskę dla każdego VLAN (ale na switchu).
: 18 marca 2014, 14:02
autor: f1.micro
Nie
Good Practice:
Zrób osobny VLAN dla zarządzania. W tym vlanie zaadresuj switcha (dla cisco w defaulcie adresujesz w natywnym VLANie 1 - możesz zmieniać jak chcesz).
Następnie zrób regułę, dzięki której dostęp (ssh/telnet) jest osiągalny z VLANu w którym Ty pracujesz, lub (hardering) jedynie z twojego IP.
Nie wiem jak u innych producentów, ale na cisco tworzysz interface vlan # i adresujesz. W tym samym subnecie musisz mieć też interface na routerze, żeby mieć routing.