LINUX.ORG.RU
ФорумAdmin

Где почитать про маршрутизацию и файерволы?

 , , ,


3

3

Всем привет.

Я осваиваю настройку сетей на примере OpenWRT и Open vSwitch. Уже научился строить SSH тоннели и организовывать VPN на WireGuard и OpenVPN. Примитивные успехи, конечно.

Основная проблема у меня сейчас в том, что я умею работать только с один интерфейсом / одной сетью. А пробрасывать трафик из одной сети с одного интерфейсва в другую сеть не понимаю как.

Например, я не понимаю какие различия между device, port (имеется в виду порт на железе, а не IP-порт), network и zone.

Другой пример. У меня есть роутер на OpenWRT с двумя портами Eth0 и Eth1. OpenWRT сам назначил на порт Eth0 две сети «lan» и «br-lan»(кстаи, зачем он?), а на Eth1 - «wan». И по умолчанию в настройках firewall есть связность между «lan» и «wan». При этом «lan» - это и interface, и zone. С «wan» ситуация аналогичная. Я, конечно, вижу, что связность между «wan» и «lan» есть в настройках /etc/config/firewall. Там указаны reject или accept для разных направлений трафика, а также указан сети(?) source и/или destination. Проблемы начинаются далее. Когда я устанавливаю VPN соединение между OpenWRT(client) и внешним сервисом VPN, появляется новый девайс «tun». При этом новый интерфейс и/или зона не появляется. То есть я должен создать новую зону, ассоциировать с ней VPN подключение в виде device или interface и проключить трафик из «lan» в «vpn» вместо «wan». А как это сделать? И как протестировать утечку трафика вне VPN-подключения?

Короче говоря, подскажите, где мне набраться ума разума в маршрутизации, чтобы понимать как эти ваши файерволы работают.

PS. Для конкретики приведу текущую задачу. Хочу чтобы трафик от конкретного IP-адреса, подключённого к OpenWRT шёл только в SSH-туннель построенный между OpenWRT и удалённым Debian-сервером. А далее трафик шёл только в конкретном VPN-подключении и вылезал в Интернет уже после VPN-а. А если какое-то звено цепи не работает, хочу чтобы трафик резался и никуда не шёл.



Последнее исправление: Netman (всего исправлений: 4)

Ответ на: комментарий от Netman

Очевидно, это SEO-статья. Стыдно такое рекомендовать.

Я и написал - первое что было та странице поиска.
Все что ты написал это конечно понятно.
Хочешь так как тебе нравится тогда читай книжку на 500+ листов на счет каждой темы.

hbars ★★★★★
()
Ответ на: комментарий от iliyap

Файервол занимается двумя задачами: 1) фильтрация, 2) трансляция адресов. Трансляция адресов нужна только для IPv4.

Трансляция адресов вполне нормально работает и для IPv6.

hbars ★★★★★
()
Ответ на: комментарий от anc

Эт бы перебрали. Ещё напишите что «настроишь даже IOS без мануала».

Может быть, мы о разных Mikrotik? Я о бытовом роутере, который впарили людям продаваны. Потребности у людей были самые рядовые, так что им бы хватило и обычного TP-Link. Ну да ладно, это я отвлекся.

Так вот, я лично в первый раз потратил три часа, но этот Mikrotik настроил. До этого проходил один курс по сетям на Coursera, читал Олиферов, настраивал всякие Asus, TP-Link, D-Link, Tenda, ходил на провайдерские коммутаторы по Telnet, чтобы дергать там порты и тянуть VLAN. Думаю, опыт настройки роутеров попроще мне помог, но несильно.

Vidrele ★★
()
Ответ на: комментарий от Vidrele

Мы ходим по кругу? Я отвечал на «Зная теорию...настроишь даже Mikrotik без мануала» Вы так и не поняли? Не получится без мануала. Пример: Я знаю теорию, но редко сталкиваюсь с фряхой, мне для выполнения чуть более сложных действий типа cd;ls требуется хоть какой-то мануал.

anc ★★★★★
()
Ответ на: комментарий от Vidrele

До этого проходил один курс по сетям на Coursera, читал Олиферов, настраивал всякие Asus, TP-Link, D-Link, Tenda,

вот, тебя то я и искал 5 лет. Расскажи пожалуйста, что такое «тегированый NAT» «нетегированый NAT» «просрачный VLAN» это все три пункта настройки ОДНОЙ опции в длинке «режим работы wan». я вот сколько не читал и не перечитывал, понять не могу, по отдельности слова вроде знакомые, но вместе они как то смысла не образуют.

antech
()
Ответ на: комментарий от Vidrele

Файервол не занимается связностью.

Но ломает связность при кривой настройке. И по определению эту самую связность ограничивает. Поэтому его и валят в одну кучу с маршрутами те, кто не знает теории.

Ну можно в файрволе маркировать пакеты и потом строить маршруты.

hbars ★★★★★
()
Ответ на: комментарий от antech

Расскажи пожалуйста, что такое «тегированый NAT» «нетегированый NAT» «просрачный VLAN» это все три пункта настройки ОДНОЙ опции в длинке «режим работы wan»

Не знаю. VLAN работает на канальном уровне. NAT - на сетевом и транспортном. Зачем всё это валить в одну кучу, решительно непонятно. Ни в VLAN, ни в NAT я особо не углублялся. Первое умел тянуть, второе – включать и выключать.

Vidrele ★★
()
Ответ на: комментарий от Aber

Ethernet свитч

В новых версиях нет switch (нет отдельной страницы для его настроек). В br-lan объединяются устройства Ethernet.

config device
        option name 'br-lan'
        option type 'bridge'
        list ports 'lan1'
        list ports 'lan2'
        list ports 'lan3'
        list ports 'lan4'
NyXzOr ★★★
()
Ответ на: комментарий от Pinkbyte

как работает маршрутизация на канальном уровне

Можете про это подробней рассказать (или дать ключевые слова для поиска)? Для меня это новая тема.

Или это обычно называют не маршрутизацией а другим термином?

Harliff ★★★★★
()
Ответ на: комментарий от Harliff

В СДСМ об этом было. На канальном уровне нет IP-адресов, поэтому когда ты шлешь пакет в Интернет через маршрут по умолчанию, он отправляется на MAC-адрес, которые вычисляется из IP-адреса шлюза по умолчанию. И строго говоря тебе нужно знать этот MAC, а не IP шлюза(потому что в поле IP назначения у пакета будет IP в Интернете, какой-нибудь 8.8.8.8). Указание IP-адреса шлюза в настройках - это просто для стройности абстракции. Ведь маршрутизация может быть НЕ только в сетях Ethernet - та же маршрутизация в туннельные интерфейсы(tun, которые L3 only, без MAC-адресов; в отличие от tap)

Pinkbyte ★★★★★
()