Возможность фильтрация vlan в бридже

[vasek00]

Интересует возможность фильтрации нескольких vlan в bridge => проход пакетов на нужный порт LAN/vlan.

[Le ecureuil]

  В 10.04.2017 в 08:21, vasek00 сказал:

Интересует возможность фильтрации нескольких vlan в bridge => проход пакетов на нужный порт LAN/vlan.

Показать  

А хоть немного подробнее, с примерами? Я вот ничего не понял.

[vasek00]

1.4 ----- vlan 4 - |
1.5 ----- vlan 4 - |
1.6 ----- vlan 3 --+--- bridge
сеть ---- vlan 3 --|

Очень сложно написано,  да самый простой 1 и 2 порт LAN клиенты - vlan4 (IP - 192.168.1.4 и 5), 3 и 4 порты LAN клиенты - vlan3 (IP - 192.168.1.6 и куда-то в сеть LAN)  все это в мост, ну еще можно и wi-fi например. Адрес на бридже 192.168.1.1. Суть фильтровать трафик между портами с учётом интерфейса.

Клиент 1.4 видит 1.5, но не видит vlan3, в тоже время выход в интернет стандартно на WAN, клиент 1.6 видит vlan3 но не видит vlan4 и опять же выход в интернет на WAN. Или в перспективе 1.6 разрешить видеть только 1.4

 

 

Изменено 10 апреля, 2017 пользователем vasek00

[dexter]

Как я понял топикстартер хочет traffic segmentation.

http://www.dlink.ru/up/uploads_media/Traffic_segmentation.pdf

[Le ecureuil]

  В 10.04.2017 в 11:52, vasek00 сказал:

1.4 ----- vlan 4 - |
1.5 ----- vlan 4 - |
1.6 ----- vlan 3 --+--- bridge
сеть ---- vlan 3 --|

Очень сложно написано,  да самый простой 1 и 2 порт LAN клиенты - vlan4 (IP - 192.168.1.4 и 5), 3 и 4 порты LAN клиенты - vlan3 (IP - 192.168.1.6 и куда-то в сеть LAN)  все это в мост, ну еще можно и wi-fi например. Адрес на бридже 192.168.1.1. Суть фильтровать трафик между портами с учётом интерфейса.

Клиент 1.4 видит 1.5, но не видит vlan3, в тоже время выход в интернет стандартно на WAN, клиент 1.6 видит vlan3 но не видит vlan4 и опять же выход в интернет на WAN. Или в перспективе 1.6 разрешить видеть только 1.4

 

 

Показать  

Чем вам создание еще одного сегмента в web не подходит?

[vasek00]

  В 10.04.2017 в 15:45, Le ecureuil сказал:

Чем вам создание еще одного сегмента в web не подходит?

Показать  

И как vl4-br приклеить в текущий "Home"

 

[vasek00]

Ладно иду в #home.bridges беру порт LAN2, галки использовать и vlan ID получаю его сразу в "br2" ладно идем дальше берем порт LAN1, галки использовать и vlan ID получаю его сразу в "br3"

br2             8000.xxxxxxxxxxxx       no              eth2.4
br3             8000.xxxxxxxxxxxx       no              eth2.5

и как же запихнуть eth2.4 и eth2.5 из WEB в "Home", идем дальше через замену в config делаем

interface Bridge2
    description vl45-br
    include FastEthernet0/Vlan4
    include FastEthernet0/Vlan5
    security-level private
    ip dhcp client dns-routes
    ip dhcp client name-servers
    up

interface FastEthernet0/Vlan4
    security-level public
    ip dhcp client dns-routes
    ip dhcp client name-servers
    up

interface FastEthernet0/Vlan5
    security-level public
    ip dhcp client dns-routes
    ip dhcp client name-servers
    up

interface FastEthernet0/2
    rename 2
    switchport mode access
    switchport mode trunk
    switchport trunk vlan 5
    up

interface FastEthernet0/4
    rename 4
    switchport mode access
    switchport mode trunk
    switchport access vlan 4
    up


br2             8000.хххххххххххх       no              eth2.4
                                                        eth2.5

WEB показывает ерунду.

 

 

[vasek00]

  В 10.04.2017 в 15:15, dexter сказал:

Как я понял топикстартер хочет traffic segmentation.

http://www.dlink.ru/up/uploads_media/Traffic_segmentation.pdf

Показать  

Vlan интерфейс привязанный к порту, а Bridge связка интерфейсов. По проще изоляция трафика - туда куда надо и не далее.

[vasek00]

Так и не понял смысл - создания нового vlan с закрепленным LAN портом, чтоб он сразу же попадал в bridge. Почему нельзя оставить его интерфейсом vlan, а уже если хочу чтоб он был в bridge то доп.поле в котором есть возможность прописать Bridge2 или что еще.

Ввиду молчания - вывод не интересно в данный момент, но как знать.

В прошивки используются механизмы фильтрации или ограничения на MAC адресе с применением ebt_*.ko => сам вопрос как можно воспользоваться дынными функциями. В некоторых сторонних прошивках есть в наличие ebtables или в WEB разделы где можно указывать MAC для описанных выше функций.

Самый простой пример клиенту локальной сети "Home", который на LAN получил IP из пула DHCP (раз он от них) запрещен например доступ к 192.168.1.30 с MAC 00:11:22:33:44:55 (на LAN) или к клиентам которые на интерфейсе wi-fi, так как он в bridge Home то ему можно все в настоящие время.

Забыл сказать что в "IP Hotspot" что-то уже есть.

Изменено 14 апреля, 2017 пользователем vasek00

[Le ecureuil]

  В 14.04.2017 в 05:31, vasek00 сказал:

Так и не понял смысл - создания нового vlan с закрепленным LAN портом, чтоб он сразу же попадал в bridge. Почему нельзя оставить его интерфейсом vlan, а уже если хочу чтоб он был в bridge то доп.поле в котором есть возможность прописать Bridge2 или что еще.

Ввиду молчания - вывод не интересно в данный момент, но как знать.

В прошивки используются механизмы фильтрации или ограничения на MAC адресе с применением ebt_*.ko => сам вопрос как можно воспользоваться дынными функциями. В некоторых сторонних прошивках есть в наличие ebtables или в WEB разделы где можно указывать MAC для описанных выше функций.

Самый простой пример клиенту локальной сети "Home", который на LAN получил IP из пула DHCP (раз он от них) запрещен например доступ к 192.168.1.30 с MAC 00:11:22:33:44:55 (на LAN) или к клиентам которые на интерфейсе wi-fi, так как он в bridge Home то ему можно все в настоящие время.

Забыл сказать что в "IP Hotspot" что-то уже есть.

Показать  

Сейчас изоляция доступна только между раздельными сегментами (или bridge, или интерфейс vlan). Внутри сегмента настроить изоляцию между клиентами невозможно.

[vasek00]

  В 16.04.2017 в 07:37, Le ecureuil сказал:

Сейчас изоляция доступна только между раздельными сегментами (или bridge, или интерфейс vlan). Внутри сегмента настроить изоляцию между клиентами невозможно.

Показать  

Вопрос не возможно практически или в данной прошивке. Речь идет о двух vlan в одном bridge.

Изменено 16 апреля, 2017 пользователем vasek00

[Le ecureuil]

  В 16.04.2017 в 15:31, vasek00 сказал:

Вопрос не возможно практически или в данной прошивке. Речь идет о двух vlan в одном bridge.

Показать  

Средствами NDMS невозможно, однако через Opkg есть возможность взять ebtables в свои руки и подкрутить - модули ядра для него лежат в пакете opkg-kmod-netfilter.

[vasek00]

  В 17.04.2017 в 07:19, Le ecureuil сказал:

Средствами NDMS невозможно, однако через Opkg есть возможность взять ebtables в свои руки и подкрутить - модули ядра для него лежат в пакете opkg-kmod-netfilter.

Показать  

Маленькая ремарка ebtables не нашел, но модули ядра в прошивке есть о чем писал выше.

[Le ecureuil]

  В 17.04.2017 в 08:42, vasek00 сказал:

Маленькая ремарка ebtables не нашел, но модули ядра в прошивке есть о чем писал выше.

Показать  

ebtables есть в Entware или в Debian.

[vasek00]

  В 18.04.2017 в 07:44, Le ecureuil сказал:

ebtables есть в Entware или в Debian.

Показать  

Может я не там смотрю по Entware в "opkg list" или там же http://entware-3x.zyxmon.org/binaries/mipsel/Packages.html

  Показать контент

e2freefrag - 1.43.3-2 - Ext2 Filesystem free space fragmentation information utility
e2fsprogs - 1.43.3-2 - This package contains essential ext2 filesystem utilities which consists of e2fsck, mke2fs and most of the other core ext2 filesystem utilities.
eggdrop - 1.8.0-1 - EggDrop IRC BOT
elinks - 0.12pre6-1a - An advanced text based web browser
emailrelay - 1.9-4 - Emailrelay is a simple SMTP proxy and store-and-forward message transfer agent (MTA).  When running as a proxy all e-mail messages can be passed through  a user-defined program, such as a spam filter, which can drop,  re-address or edit messages as they pass through. When running  as a store-and-forward MTA incoming messages are stored in a  local spool directory, and then forwarded to the next SMTP  server on request.
empty - 0.6.20b-2 - empty is an utility that provides an interface to execute and/or interact with processes under pseudo-terminal sessions (PTYs). This tool is definitely useful in programming of shell scripts designed to communicate with interactive programs like telnet, ssh, ftp, etc. In some cases, empty can be the simplest replacement for TCL/expect or other similar programming tools.
encfs - 1.9.1-1 - EncFS provides an encrypted filesystem in user-space. It runs without any special permissions and uses the FUSE library module to provide the filesystem interface.
entware-opt - 1.0-4 - provides basic toolchain libraries (dummy)
erlang - 17.5-3 - Erlang/OTP is a general-purpose programming language and runtime environment. Erlang has built-in support for concurrency, distribution and fault tolerance. . This package contains the runtime implementation and a minimal set of modules (erts, kernel, sasl & stdlib).
erlang-asn1 - 3.0.4 - Erlang/OTP is a general-purpose programming language and runtime environment. Erlang has built-in support for concurrency, distribution and fault tolerance. . This Erlang/OTP package provides Abstract Syntax Notation One (ASN.1) support.
erlang-compiler - 5.0.4 - Erlang/OTP is a general-purpose programming language and runtime environment. Erlang has built-in support for concurrency, distribution and fault tolerance. . This Erlang/OTP package provides a byte code compiler for Erlang which produces highly compact code.
erlang-crypto - 3.5 - Erlang/OTP is a general-purpose programming language and runtime environment. Erlang has built-in support for concurrency, distribution and fault tolerance. . This Erlang/OTP package provides functions for computation of message digests, and encryption and decryption functions.
erlang-hipe - 3.11.3 - Erlang/OTP is a general-purpose programming language and runtime environment. Erlang has built-in support for concurrency, distribution and fault tolerance. . This Erlang/OTP package provides HiPE (High Performance Erlang) support.
erlang-inets - 5.10.6 - Erlang/OTP is a general-purpose programming language and runtime environment. Erlang has built-in support for concurrency, distribution and fault tolerance. . This Erlang/OTP package provides a container for Internet clients and servers. Currently a FTP client, a HTTP client and server, and a tftp client and server have been incorporated in Inets.
erlang-mnesia - 4.12.5 - Erlang/OTP is a general-purpose programming language and runtime environment. Erlang has built-in support for concurrency, distribution and fault tolerance. . This Erlang/OTP package provides a distributed DataBase Management System (DBMS), appropriate for telecommunications applications and other Erlang applications which require continuous operation and exhibit soft real-time properties.
erlang-runtime-tools - 1.8.16 - Erlang/OTP is a general-purpose programming language and runtime environment. Erlang has built-in support for concurrency, distribution and fault tolerance. . This Erlang/OTP package provides low footprint tracing/debugging tools suitable for inclusion in a production system.
erlang-snmp - 5.1.1 - Erlang/OTP is a general-purpose programming language and runtime environment. Erlang has built-in support for concurrency, distribution and fault tolerance. . This Erlang/OTP package provides Simple Network Management Protocol (SNMP) support including a MIB compiler and tools for creating SNMP agents.
erlang-ssh - 3.2 - Erlang/OTP is a general-purpose programming language and runtime environment. Erlang has built-in support for concurrency, distribution and fault tolerance. . This Erlang/OTP package provides an implementation of the Secure Shell protocol, with SSH & SFTP support.
erlang-ssl - 6.0 - Erlang/OTP is a general-purpose programming language and runtime environment. Erlang has built-in support for concurrency, distribution and fault tolerance. . This Erlang/OTP package provides support for secure communication over sockets.
erlang-syntax-tools - 1.6.18 - Erlang/OTP is a general-purpose programming language and runtime environment. Erlang has built-in support for concurrency, distribution and fault tolerance. . This Erlang/OTP package provides support for handling abstract Erlang syntax trees.
esniper - 2.32.0-1 - Simple, lightweight tool for sniping eBay auctions
et_xmlfile - 1.0.1-1 - An implementation of lxml.xmlfile for the standard library
etherwake - 1.09-4 - You can wake up WOL compliant Computers which have been powered down to sleep mode or start WOL compliant Computers with a BIOS feature. WOL is an abbreviation for Wake-on-LAN. It is a standard that allows you to turn on a computer from another location over a network connection. ether-wake also supports WOL passwords.
eudev - 3.2-1 - udev allows Linux users to have a dynamic /dev directory and it provides the ability to have persistent device names. eudev is a fork of systemd-udev with the goal of obtaining better compatibility with existing software such as OpenRC and Upstart, older kernels, various toolchains and anything else required by users and various distributions.
exfat-fuse - 1.2.6-1 - This project aims to provide a full-featured exFAT file system implementation for Unix-like systems. It consists of a FUSE module (fuse-exfat) and a set of utilities (exfat-utils).
ext-ui-lighttpd - 0.2-1 - PHP (v.5*) version extended web user interface (ext-UI) for keenetic routers with NDMSv2
ext-ui-lighttpd-7 - 0.2-1 - PHP (v.7*) version extended web user interface (ext-UI) for keenetic routers with NDMSv2
ext-ui-nginx - 0.2-1 - PHP (v.5*) version extended web user interface (ext-UI) for keenetic routers with NDMSv2
ext-ui-nginx-7 - 0.2-1 - PHP (v.7*) version extended web user interface (ext-UI) for keenetic routers with NDMSv2

хотя упоминание есть в https://github.com/Entware-ng/Entware-ng/tree/master/package/network/utils/ebtables