Вот еще пост-фаерволл запостил.
FilimoniC
THX. Буду разбираться с udhcpc. По поводу куда идет трафик, сорри, не все условия расписал... Приватное использование, дома (настольный и ноут - одна workgroup) в доме Home lan (другая workgroup, одноранговая windows сеть, два провайдера, один ADSL второй мне кажется ISDN канал использует). Еще кабельный модем - и-нет по кабельному TV.
Если коротко: сын-ноут-home lan, я-настольный-и-нет по кабельному модему, т.е. home lan мне не интересна. В Home lan - оба провайдера PPTP VPN. По отдельности - кабельный модем на WAN или Home lan на WAN я настраивал, ну и в первом чтении все нормально. Теперь смотрю вариант собрать все на маршрутизаторе, home lan работает не надежно, вылеты свичей, обрывы... Т.е. реализовать - и-нет для ноута по WiFi, три провайдера на выбор
Вот еще пост-фаерволл запостил.
Sorry for my bad English.
Покупайте Отечественных Слонов!!!
FilimoniC
THX . Но у меня вопрос, по следующей строке
ifconfig vlan2 172.20.2.240 broadcast 172.20.2.255 netmask 255.255.255.0 up
По-смыслу это присвоение IP vlan2 (WAN2), именно сетевому интерфейсу а не роутеру или я не прав ? Мне бы немного смысловую нагрузку по этому вопросу... В квартирной сетке (настольный и ноут) самому роутеру IP задать надо или по умолчанию (192.168.1.1) - это ясно, второй WAN создать надо назначить ему требуемый MAC разобраться с включением DHCP у тебя это строка
udhcpc -c WL500GX -H WL500GX -b -i vlan2 -p /var/run/udhcpc1.pid -s /tmp/udhcpc
WL500GX - это хост-имя роутера?
А назначение 172.20.2.240 - этот момент не понятен. У меня vlan2 должен получить IP, многие сетевые ресурсы фиксированные (мой IP, шлюз, DHCP...), но при попытках прописать их конекта не будет (такой результат получаю и под XP когда модем подкл. к сетевому адаптеру) Даже если шлюз пропишу а остальное автоматом - не пускает провайдер.
Сорри, я не против проб и попыток, просто решил пройти все сначала и опять застрял на ipkg, ну вроде бы прошел, гм, "разобрался"... У меня vlan2 не в сети а подкл. непосредственно к модему.
Ну по сути robocfg по умолчанию делает первый виртуальный интерфейс на 1,2,3,4 порты. То что мы вызываем делает первый на 1,2,3 и второй на 4. Таким образом они становятся полностью раздельными самостоятельными интерфейсам, как будто 2 сетевухи.
Я сам не знаю зачем -c и -H (ну -H это hostname кажется), можно без них. Но я сделал так - пусть будут. Может именно так DHCPS определяет кто к нему подключился (в табличке DHCP Leases)
Я сам не до конца разобрался, но как я понял, этот IP и эти параметры у него будут до тех пор пока он не сможет получить IP и др.параметры по DHCP. У меня тоже к модему подрубаются.
Sorry for my bad English.
Покупайте Отечественных Слонов!!!
У меня несколько другой случай - модем не имеет своего IP, подключен к кабельному TV через полосовой фильтр. У модема два интерфейса - USB и эзернет. Я использую эзернет. IP получает сетевой адаптер компа.
FilimoniC
Не смогу нарисовать - сервер DHCP у провайдера... Для провайдера как я понимаю главный вопрос - биллинг. Как реализовано - я не в курсе. После проверки моего MAC (возможно с учетом группового оборудования, не знаю) я получаю фиксированный IP и IP прочих ресурсов (фиксированные будем считать). Возможно через маршрутизатор Cisco.
Наверное все же не по теме это обсуждение, надо завязывать. Тем более вопрос "как запустить интерфейс WAN2 в режиме автополучения IP и DNS", мне не важно подключусь ли я к провайдеру, цель - изучение роутера и управления им, ну а проблемы , незнание линукс и т.д.
К примеру
ifconfig vlan2 hw ether 16:15:14:13:12:11 up
Можно up при задании MAC?
Тем более насколько ситуация изменилась с
"неработает связка DHCP(client) + PPTP на WAN интерфейсе?"
"Почему не работает - потому что не предусмотрено такое."
wl500gP, прошивка 7g
В ВАН заведен инет, в один и портов заведена локалка, в остальные и вайфай - мои компы
Как сделать чтобы у локалки не было моего инета?
Но я былбы в тойже подсетки что и локалка 192.168.0.* и с инетом?
Тоесть я бы остался как в локалки, но только у меня был инет
Учитывать то что в локалки могут и будут пробовать менять ИП и МАК своих компов
Тоесть нужно чтобы определенный ЛАН порт роутера не имел выхода в ВАН. Но отношения между компами висящими на всех ЛАН портах должны остаться прежними
Наверное надо смотреть в сторону vlan. Натрави поиск на слово robocfg.
Ну то что vlan это понятно.
Но как сделать чтоб br0 и vlan2 были в одной сетке совершенно прозрачно, какбуддто и нет никакого vlan2 а есть обычный свич, но при этом небыло связи vlan2 <-> vlan1 я немного непонимаю. Было бы просто закрыть все фаерволом по ИП, но у меня есть опасения, в сетке есть покрайней мере один человек который захочет и сможет поменять ИП и МАК для доступа к моему инету пока меня с ноутбуком (ИП и МАК) не будет в сети
Просто закрыть все фаерволом по ip недостаточно. Всегда найдутся пионэры, которые будут пытатся подменить мак/ип. Я пока вижу несколько путей решения данного вопроса:
I. Недорешения:
1. VLAN + NAT + DMZ. Совсем просто и намного дальше от поставленной задачи.
2. VLAN и роутинг. Только придется настроить маршрутизацию на всех тачках, которые будут висеть на vlan2. Опять же получаются разные подсети и не пойдет broadcast.
II. Ближе к теме, но пока только в теории.
Можно попробовать придумать новый bridge для вражеской подсети (br1: vlan2+vlan0+eth1) и с помощью iptables запретить forward пакетов инет для него. Тогда потребуется 2 ip адреса прописывать в твоей подсети - один для твоей подсети (br0: vlan0+eth1), другой для вражеской подсети (br1).
А как насчет такого
Свич управляемый в роутере, так наверное можно сделать как в управляемых свичах, сделать фильтрацию по ИП и МАК?
Насчет свича сомневаюсь, но можно ограничить доступ по mac с помощью iptables
Разрешить доступ для одного mac:
Разрешить доступ для нескольких mac:Code:iptables -I FORWARD -m mac --mac-source ! 00:00:00:00:00:00 -j DROP
P.S. Ёлки моталки. Этож и через веб-морду оказывается делается (Internet Firewall-MAC Filter). Сто лет туда не заходил.Code:iptables -N MAC_FILTER iptables -A MAC_FILTER -m mac --mac-source 00:00:00:00:00:00 -j RETURN iptables -A MAC_FILTER -m mac --mac-source 11:11:11:11:11:11 -j RETURN ..... iptables -A MAC_FILTER -m mac --mac-source nn:nn:nn:nn:nn:nn -j RETURN iptables -A MAC_FILTER -j DROP iptables -I FORWARD -j MAC_FILTER
P.P.S. Эту преграду можно преодолеть подменой mac адреса!!!
Last edited by Mam(O)n; 15-05-2007 at 15:57. Reason: P.S. & P.P.S