Автор |
Сообщение |
TROLL_ Эксперт |
|
система debian 4
есть сервер с одной сетевой.
необходимо пробростить 80,81,110,25,443 порты
оставить для использования с определенного адреса порты 9999,10000
сделал так:
запретил все.
разрешил все на l0
разрешил на eth0 и на протоколе TCP порты 80,81,110,25,443
как для входящих так и исходящих пакетов.
и все равно могу ходить на 10000 порт. как правильно делать?
если кто заинтересовался и может помочь могу конфиг кинуть. |
|
|
|
|
Arkan Гуру |
|
any to any 192.168.1.5:9999
any to any 192.168.1.5:10000
all deny any to any 9999
all deny any to any 10000
ну и примерно чтото в таком духе
полные правила как писать уже подсказать я немогу но задавай разрешить с определенного IP по определенномк порту черед двоеточие (если у тебя в текстовом формате а не в какойнибудь графической оболочке |
|
|
|
|
sn00p Форумчанин |
|
|
|
|
def Гость |
|
Пооффтоплю.
Задача: на порту коммутатора транк. Надо в debian-4 разобрать виланы и раздать по виртуальным машинам (тоже debian). Кто-нибудь что-нибудь подобное делал? |
|
|
|
|
weer Гуру Предупреждений : 2
|
|
def
тоже поофтоплю
а нафига такое извращение надо? я так понимаю транк используется с целью повышения полосы пропускания.
с трудом представляю чего такого может крутиться на виртуальным машинах на таких скоростях. да еще и обрабатываться чтобы все это успевало.
и вообще - что мешает разбить транк на обычные линки? |
|
|
|
|
def Гость |
|
weer писал(а): |
транк используется с целью повышения полосы пропускания. |
транк используется для доставки нескольких виланов на один порт коммутатора.
weer писал(а): |
и вообще - что мешает разбить транк на обычные линки? |
в смысле? обычными линками (проводами) цеплять каждую виртуалку? |
|
|
|
|
weer Гуру Предупреждений : 2
|
|
def
бр. понял прогнал. просто термин trunk много где фигурирует. ночью мне чего то показалось что речь идет о link agregation
я конечно опыта подобного рода дел не имел. но насколько знаю каждый vlan из транка в любом случае и на любой оси выглядит как сетевой интерфейс. или его можно заставить так выглядеть.
итого получаем, что надо сделать бридж между сетевым интерфейсом от vlan и сетевым интерфейсом от виртуальной машины |
|
|
|
|
weer Гуру Предупреждений : 2
|
|
я ту еще подумал ....
надо чтобы vlan был прямо до виртуальной машины. так? или не так? |
|
|
|
|
Dadly Начинающий |
|
По поводу транка, если не ошибаюсь, на обоих сторонах тип интерфейса должен стоять транк, тип инкапсуляции должен совпадать. Дальше создаешь сабинтерфейсы и на них вешаешь IP адреса. Вроде такая идеология была.... |
|
|
|
|
Arkan Гуру |
|
Крындец конечно
ну впринципе каждый курит свою траву
зачем усложнять себе жизнь ??? |
|
|
|
|
def Гость |
|
weer писал(а): |
но насколько знаю каждый vlan из транка в любом случае и на любой оси выглядит как сетевой интерфейс. или его можно заставить так выглядеть. |
Да, это я сделал. Но в итоге выяснилось, что вилан пока до порта не доходит, поэтому ждемс сетевиков.
weer писал(а): |
надо чтобы vlan был прямо до виртуальной машины. так? или не так? |
Это не обязательно, его можно приземлять на родительской машине.
Dadly писал(а): |
По поводу транка, если не ошибаюсь, на обоих сторонах тип интерфейса должен стоять транк, тип инкапсуляции должен совпадать. Дальше создаешь сабинтерфейсы и на них вешаешь IP адреса. Вроде такая идеология была.... |
Что в данном случае подразумевается под обеими сторонами?
Про сабинтерфейсы я усвоил |
|
|
|
|
ph0enix Форумчанин |
|
def
По-моему будет достаточно создать на хосте нужные интерфейсы (eth0.X) и сделать брижд между eth0.X и tunX. Собственно природа tunX может зависить от способа виртуализации: для qemu это будет именно tunX созданный через vde. Для vmware какие-то свои подкрутки, OpenVZ вообще AFAIK умеет хостовые интерфейсы прокидывать в VE. |
|
|
|
|
def Гость |
|
ph0enix,
Интерфейсы сделал, как раз на "хосте", среда виртуализации - openvz, так что, действительно, передать в VE нет никаких сложностей. Сложность в том, что мне на порт еще влан не пришел
Как сделают, продолжу ковыряться. |
|
|
|
|
TROLL_ Эксперт |
|
weer
def
Arkan
в случае приобретения аппаратного файр-ла, есть ли необходимость настроивать программный? |
|
|
|
|
Arkan Гуру |
|
Основное всеравно придется
только кстати накалякал
topic19069 |
|
|
|
|
hmitry Форумчанин |
|
|
|
|
|