vasek00 Posted April 10, 2017 Share Posted April 10, 2017 Интересует возможность фильтрации нескольких vlan в bridge => проход пакетов на нужный порт LAN/vlan. Quote Link to comment Share on other sites More sharing options...
0 Le ecureuil Posted April 10, 2017 Share Posted April 10, 2017 2 часа назад, vasek00 сказал: Интересует возможность фильтрации нескольких vlan в bridge => проход пакетов на нужный порт LAN/vlan. А хоть немного подробнее, с примерами? Я вот ничего не понял. Quote Link to comment Share on other sites More sharing options...
0 vasek00 Posted April 10, 2017 Author Share Posted April 10, 2017 (edited) 1.4 ----- vlan 4 - | 1.5 ----- vlan 4 - | 1.6 ----- vlan 3 --+--- bridge сеть ---- vlan 3 --| Очень сложно написано, да самый простой 1 и 2 порт LAN клиенты - vlan4 (IP - 192.168.1.4 и 5), 3 и 4 порты LAN клиенты - vlan3 (IP - 192.168.1.6 и куда-то в сеть LAN) все это в мост, ну еще можно и wi-fi например. Адрес на бридже 192.168.1.1. Суть фильтровать трафик между портами с учётом интерфейса. Клиент 1.4 видит 1.5, но не видит vlan3, в тоже время выход в интернет стандартно на WAN, клиент 1.6 видит vlan3 но не видит vlan4 и опять же выход в интернет на WAN. Или в перспективе 1.6 разрешить видеть только 1.4 Edited April 10, 2017 by vasek00 Quote Link to comment Share on other sites More sharing options...
0 dexter Posted April 10, 2017 Share Posted April 10, 2017 Как я понял топикстартер хочет traffic segmentation. http://www.dlink.ru/up/uploads_media/Traffic_segmentation.pdf Quote Link to comment Share on other sites More sharing options...
0 Le ecureuil Posted April 10, 2017 Share Posted April 10, 2017 3 часа назад, vasek00 сказал: 1.4 ----- vlan 4 - | 1.5 ----- vlan 4 - | 1.6 ----- vlan 3 --+--- bridge сеть ---- vlan 3 --| Очень сложно написано, да самый простой 1 и 2 порт LAN клиенты - vlan4 (IP - 192.168.1.4 и 5), 3 и 4 порты LAN клиенты - vlan3 (IP - 192.168.1.6 и куда-то в сеть LAN) все это в мост, ну еще можно и wi-fi например. Адрес на бридже 192.168.1.1. Суть фильтровать трафик между портами с учётом интерфейса. Клиент 1.4 видит 1.5, но не видит vlan3, в тоже время выход в интернет стандартно на WAN, клиент 1.6 видит vlan3 но не видит vlan4 и опять же выход в интернет на WAN. Или в перспективе 1.6 разрешить видеть только 1.4 Чем вам создание еще одного сегмента в web не подходит? Quote Link to comment Share on other sites More sharing options...
0 vasek00 Posted April 11, 2017 Author Share Posted April 11, 2017 13 часа назад, Le ecureuil сказал: Чем вам создание еще одного сегмента в web не подходит? И как vl4-br приклеить в текущий "Home" Quote Link to comment Share on other sites More sharing options...
0 vasek00 Posted April 11, 2017 Author Share Posted April 11, 2017 Ладно иду в #home.bridges беру порт LAN2, галки использовать и vlan ID получаю его сразу в "br2" ладно идем дальше берем порт LAN1, галки использовать и vlan ID получаю его сразу в "br3" br2 8000.xxxxxxxxxxxx no eth2.4 br3 8000.xxxxxxxxxxxx no eth2.5 и как же запихнуть eth2.4 и eth2.5 из WEB в "Home", идем дальше через замену в config делаем interface Bridge2 description vl45-br include FastEthernet0/Vlan4 include FastEthernet0/Vlan5 security-level private ip dhcp client dns-routes ip dhcp client name-servers up interface FastEthernet0/Vlan4 security-level public ip dhcp client dns-routes ip dhcp client name-servers up interface FastEthernet0/Vlan5 security-level public ip dhcp client dns-routes ip dhcp client name-servers up interface FastEthernet0/2 rename 2 switchport mode access switchport mode trunk switchport trunk vlan 5 up interface FastEthernet0/4 rename 4 switchport mode access switchport mode trunk switchport access vlan 4 up br2 8000.хххххххххххх no eth2.4 eth2.5 WEB показывает ерунду. Quote Link to comment Share on other sites More sharing options...
0 vasek00 Posted April 12, 2017 Author Share Posted April 12, 2017 В 10.04.2017 в 18:15, dexter сказал: Как я понял топикстартер хочет traffic segmentation. http://www.dlink.ru/up/uploads_media/Traffic_segmentation.pdf Vlan интерфейс привязанный к порту, а Bridge связка интерфейсов. По проще изоляция трафика - туда куда надо и не далее. Quote Link to comment Share on other sites More sharing options...
0 vasek00 Posted April 14, 2017 Author Share Posted April 14, 2017 (edited) Так и не понял смысл - создания нового vlan с закрепленным LAN портом, чтоб он сразу же попадал в bridge. Почему нельзя оставить его интерфейсом vlan, а уже если хочу чтоб он был в bridge то доп.поле в котором есть возможность прописать Bridge2 или что еще. Ввиду молчания - вывод не интересно в данный момент, но как знать. В прошивки используются механизмы фильтрации или ограничения на MAC адресе с применением ebt_*.ko => сам вопрос как можно воспользоваться дынными функциями. В некоторых сторонних прошивках есть в наличие ebtables или в WEB разделы где можно указывать MAC для описанных выше функций. Самый простой пример клиенту локальной сети "Home", который на LAN получил IP из пула DHCP (раз он от них) запрещен например доступ к 192.168.1.30 с MAC 00:11:22:33:44:55 (на LAN) или к клиентам которые на интерфейсе wi-fi, так как он в bridge Home то ему можно все в настоящие время. Забыл сказать что в "IP Hotspot" что-то уже есть. Edited April 14, 2017 by vasek00 Quote Link to comment Share on other sites More sharing options...
0 Le ecureuil Posted April 16, 2017 Share Posted April 16, 2017 В 4/14/2017 в 08:31, vasek00 сказал: Так и не понял смысл - создания нового vlan с закрепленным LAN портом, чтоб он сразу же попадал в bridge. Почему нельзя оставить его интерфейсом vlan, а уже если хочу чтоб он был в bridge то доп.поле в котором есть возможность прописать Bridge2 или что еще. Ввиду молчания - вывод не интересно в данный момент, но как знать. В прошивки используются механизмы фильтрации или ограничения на MAC адресе с применением ebt_*.ko => сам вопрос как можно воспользоваться дынными функциями. В некоторых сторонних прошивках есть в наличие ebtables или в WEB разделы где можно указывать MAC для описанных выше функций. Самый простой пример клиенту локальной сети "Home", который на LAN получил IP из пула DHCP (раз он от них) запрещен например доступ к 192.168.1.30 с MAC 00:11:22:33:44:55 (на LAN) или к клиентам которые на интерфейсе wi-fi, так как он в bridge Home то ему можно все в настоящие время. Забыл сказать что в "IP Hotspot" что-то уже есть. Сейчас изоляция доступна только между раздельными сегментами (или bridge, или интерфейс vlan). Внутри сегмента настроить изоляцию между клиентами невозможно. Quote Link to comment Share on other sites More sharing options...
0 vasek00 Posted April 16, 2017 Author Share Posted April 16, 2017 (edited) 7 часов назад, Le ecureuil сказал: Сейчас изоляция доступна только между раздельными сегментами (или bridge, или интерфейс vlan). Внутри сегмента настроить изоляцию между клиентами невозможно. Вопрос не возможно практически или в данной прошивке. Речь идет о двух vlan в одном bridge. Edited April 16, 2017 by vasek00 Quote Link to comment Share on other sites More sharing options...
0 Le ecureuil Posted April 17, 2017 Share Posted April 17, 2017 15 часов назад, vasek00 сказал: Вопрос не возможно практически или в данной прошивке. Речь идет о двух vlan в одном bridge. Средствами NDMS невозможно, однако через Opkg есть возможность взять ebtables в свои руки и подкрутить - модули ядра для него лежат в пакете opkg-kmod-netfilter. Quote Link to comment Share on other sites More sharing options...
0 vasek00 Posted April 17, 2017 Author Share Posted April 17, 2017 1 час назад, Le ecureuil сказал: Средствами NDMS невозможно, однако через Opkg есть возможность взять ebtables в свои руки и подкрутить - модули ядра для него лежат в пакете opkg-kmod-netfilter. Маленькая ремарка ebtables не нашел, но модули ядра в прошивке есть о чем писал выше. Quote Link to comment Share on other sites More sharing options...
0 Le ecureuil Posted April 18, 2017 Share Posted April 18, 2017 23 часа назад, vasek00 сказал: Маленькая ремарка ebtables не нашел, но модули ядра в прошивке есть о чем писал выше. ebtables есть в Entware или в Debian. Quote Link to comment Share on other sites More sharing options...
0 vasek00 Posted April 18, 2017 Author Share Posted April 18, 2017 1 час назад, Le ecureuil сказал: ebtables есть в Entware или в Debian. Может я не там смотрю по Entware в "opkg list" или там же http://entware-3x.zyxmon.org/binaries/mipsel/Packages.html Скрытый текст e2freefrag - 1.43.3-2 - Ext2 Filesystem free space fragmentation information utility e2fsprogs - 1.43.3-2 - This package contains essential ext2 filesystem utilities which consists of e2fsck, mke2fs and most of the other core ext2 filesystem utilities. eggdrop - 1.8.0-1 - EggDrop IRC BOT elinks - 0.12pre6-1a - An advanced text based web browser emailrelay - 1.9-4 - Emailrelay is a simple SMTP proxy and store-and-forward message transfer agent (MTA). When running as a proxy all e-mail messages can be passed through a user-defined program, such as a spam filter, which can drop, re-address or edit messages as they pass through. When running as a store-and-forward MTA incoming messages are stored in a local spool directory, and then forwarded to the next SMTP server on request. empty - 0.6.20b-2 - empty is an utility that provides an interface to execute and/or interact with processes under pseudo-terminal sessions (PTYs). This tool is definitely useful in programming of shell scripts designed to communicate with interactive programs like telnet, ssh, ftp, etc. In some cases, empty can be the simplest replacement for TCL/expect or other similar programming tools. encfs - 1.9.1-1 - EncFS provides an encrypted filesystem in user-space. It runs without any special permissions and uses the FUSE library module to provide the filesystem interface. entware-opt - 1.0-4 - provides basic toolchain libraries (dummy) erlang - 17.5-3 - Erlang/OTP is a general-purpose programming language and runtime environment. Erlang has built-in support for concurrency, distribution and fault tolerance. . This package contains the runtime implementation and a minimal set of modules (erts, kernel, sasl & stdlib). erlang-asn1 - 3.0.4 - Erlang/OTP is a general-purpose programming language and runtime environment. Erlang has built-in support for concurrency, distribution and fault tolerance. . This Erlang/OTP package provides Abstract Syntax Notation One (ASN.1) support. erlang-compiler - 5.0.4 - Erlang/OTP is a general-purpose programming language and runtime environment. Erlang has built-in support for concurrency, distribution and fault tolerance. . This Erlang/OTP package provides a byte code compiler for Erlang which produces highly compact code. erlang-crypto - 3.5 - Erlang/OTP is a general-purpose programming language and runtime environment. Erlang has built-in support for concurrency, distribution and fault tolerance. . This Erlang/OTP package provides functions for computation of message digests, and encryption and decryption functions. erlang-hipe - 3.11.3 - Erlang/OTP is a general-purpose programming language and runtime environment. Erlang has built-in support for concurrency, distribution and fault tolerance. . This Erlang/OTP package provides HiPE (High Performance Erlang) support. erlang-inets - 5.10.6 - Erlang/OTP is a general-purpose programming language and runtime environment. Erlang has built-in support for concurrency, distribution and fault tolerance. . This Erlang/OTP package provides a container for Internet clients and servers. Currently a FTP client, a HTTP client and server, and a tftp client and server have been incorporated in Inets. erlang-mnesia - 4.12.5 - Erlang/OTP is a general-purpose programming language and runtime environment. Erlang has built-in support for concurrency, distribution and fault tolerance. . This Erlang/OTP package provides a distributed DataBase Management System (DBMS), appropriate for telecommunications applications and other Erlang applications which require continuous operation and exhibit soft real-time properties. erlang-runtime-tools - 1.8.16 - Erlang/OTP is a general-purpose programming language and runtime environment. Erlang has built-in support for concurrency, distribution and fault tolerance. . This Erlang/OTP package provides low footprint tracing/debugging tools suitable for inclusion in a production system. erlang-snmp - 5.1.1 - Erlang/OTP is a general-purpose programming language and runtime environment. Erlang has built-in support for concurrency, distribution and fault tolerance. . This Erlang/OTP package provides Simple Network Management Protocol (SNMP) support including a MIB compiler and tools for creating SNMP agents. erlang-ssh - 3.2 - Erlang/OTP is a general-purpose programming language and runtime environment. Erlang has built-in support for concurrency, distribution and fault tolerance. . This Erlang/OTP package provides an implementation of the Secure Shell protocol, with SSH & SFTP support. erlang-ssl - 6.0 - Erlang/OTP is a general-purpose programming language and runtime environment. Erlang has built-in support for concurrency, distribution and fault tolerance. . This Erlang/OTP package provides support for secure communication over sockets. erlang-syntax-tools - 1.6.18 - Erlang/OTP is a general-purpose programming language and runtime environment. Erlang has built-in support for concurrency, distribution and fault tolerance. . This Erlang/OTP package provides support for handling abstract Erlang syntax trees. esniper - 2.32.0-1 - Simple, lightweight tool for sniping eBay auctions et_xmlfile - 1.0.1-1 - An implementation of lxml.xmlfile for the standard library etherwake - 1.09-4 - You can wake up WOL compliant Computers which have been powered down to sleep mode or start WOL compliant Computers with a BIOS feature. WOL is an abbreviation for Wake-on-LAN. It is a standard that allows you to turn on a computer from another location over a network connection. ether-wake also supports WOL passwords. eudev - 3.2-1 - udev allows Linux users to have a dynamic /dev directory and it provides the ability to have persistent device names. eudev is a fork of systemd-udev with the goal of obtaining better compatibility with existing software such as OpenRC and Upstart, older kernels, various toolchains and anything else required by users and various distributions. exfat-fuse - 1.2.6-1 - This project aims to provide a full-featured exFAT file system implementation for Unix-like systems. It consists of a FUSE module (fuse-exfat) and a set of utilities (exfat-utils). ext-ui-lighttpd - 0.2-1 - PHP (v.5*) version extended web user interface (ext-UI) for keenetic routers with NDMSv2 ext-ui-lighttpd-7 - 0.2-1 - PHP (v.7*) version extended web user interface (ext-UI) for keenetic routers with NDMSv2 ext-ui-nginx - 0.2-1 - PHP (v.5*) version extended web user interface (ext-UI) for keenetic routers with NDMSv2 ext-ui-nginx-7 - 0.2-1 - PHP (v.7*) version extended web user interface (ext-UI) for keenetic routers with NDMSv2 хотя упоминание есть в https://github.com/Entware-ng/Entware-ng/tree/master/package/network/utils/ebtables Quote Link to comment Share on other sites More sharing options...
Question
vasek00
Интересует возможность фильтрации нескольких vlan в bridge => проход пакетов на нужный порт LAN/vlan.
Link to comment
Share on other sites
14 answers to this question
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.