VP
Прокси-АРП? 🙄
А для проксиарп L2 не нужен? )
Size: a a a
2020 December 21
VP
Vitaliy
Я не очень пойму как эти правила написать.
V
Поставить в "подозрительной" цепочке правило-маячок с нужными условиями и с action=log. И в логе смотреть попадания. Если их нет - двигать правило выше до того момента, как попадания появятся.
допустим, у меня 10 правил. Нужно создать 11, где будут интересующие меня src & dst ip, сделать там aacept и включить лог, и двигать правило наверх. Верно ли я понял логику? Как только лог пропадет - стало быть верхнее правило блочит трафик
V
vlan filtering я читал, но все грозятся что если его неправильно настроить сеть внутри перестанет ходить. А доходчивого материала себе не найду.
VP
Vitaliy
vlan filtering я читал, но все грозятся что если его неправильно настроить сеть внутри перестанет ходить. А доходчивого материала себе не найду.
На вики хороший материал даже с картинками и примерами.
VP
Vladimir_F
допустим, у меня 10 правил. Нужно создать 11, где будут интересующие меня src & dst ip, сделать там aacept и включить лог, и двигать правило наверх. Верно ли я понял логику? Как только лог пропадет - стало быть верхнее правило блочит трафик
Где я говорил про акцепт?
V
На вики хороший материал даже с картинками и примерами.
хороший, это не значит что я его понимаю как реализовать в конкретной ситуации
V
Где я говорил про акцепт?
просто action выставить в log, так?
VP
Vladimir_F
просто action выставить в log, так?
Да.
VP
Vitaliy
хороший, это не значит что я его понимаю как реализовать в конкретной ситуации
Добавить в бридж нужные порты и eoip, после чего настраивать вланы уже на бридже, используя влан фильтеринг.
V
Добавить в бридж нужные порты и eoip, после чего настраивать вланы уже на бридже, используя влан фильтеринг.
Если в таком конфиге eoip добавить в бридж, то в локальную сеть насыпает непонятных mac адресов. Или как вы это видите? может я не в тот бридж засовываю eoip.
VP
Vitaliy
Если в таком конфиге eoip добавить в бридж, то в локальную сеть насыпает непонятных mac адресов. Или как вы это видите? может я не в тот бридж засовываю eoip.
...добавить в бридж и ИСПОЛЬЗОВАТЬ ВЛАН ФИЛЬТЕРИНГ.
V
...добавить в бридж и ИСПОЛЬЗОВАТЬ ВЛАН ФИЛЬТЕРИНГ.
Но чтоб использовать vlan filtering. надо его настроить на всех портах с двух сторон коммутаторов же?
VP
Vitaliy
Но чтоб использовать vlan filtering. надо его настроить на всех портах с двух сторон коммутаторов же?
Нет. Vlan filtering настраивается на бридже.
V
Сообщения о срабатывании этого лог-правила будут сыпаться в лог? Я что-то их там не вижу. Хотя счетчик пакетов показывает, что пакеты есть
VP
Vladimir_F
Сообщения о срабатывании этого лог-правила будут сыпаться в лог? Я что-то их там не вижу. Хотя счетчик пакетов показывает, что пакеты есть
Да, в лог. Если Вы их там не видите, значит Ваш трафик в Ваше правило не попадает. Для контроля следите за счетчиками на правиле.
α
Vladimir_F
Сообщения о срабатывании этого лог-правила будут сыпаться в лог? Я что-то их там не вижу. Хотя счетчик пакетов показывает, что пакеты есть
Галочку и префикс для удобства:)
V
Да, в лог. Если Вы их там не видите, значит Ваш трафик в Ваше правило не попадает. Для контроля следите за счетчиками на правиле.
ну так я ж говорю — счетчик идет, а логов нет. Или я что-то не понял? Счетчик сигнализирует о том, что пакет с теми IP, которые указаны в правиле, попал на устройство, так ведь? Соответственно, и лог должен появиться.
VP
Vladimir_F
ну так я ж говорю — счетчик идет, а логов нет. Или я что-то не понял? Счетчик сигнализирует о том, что пакет с теми IP, которые указаны в правиле, попал на устройство, так ведь? Соответственно, и лог должен появиться.
Что качаемо счетчика - да, верно. Покажите правило.
V
Что качаемо счетчика - да, верно. Покажите правило.
в src address стоит группа адресов