проблемы с bridge-ом

Aidaho · Сообщение **Aidaho** » Вт мар 17, 2009 05:57

2 Chrst
В цисках я нуб

можете дать ссылку на какую нибудь статью, где про это можно почитать...

Chrst · Сообщение **Chrst** » Вт мар 17, 2009 08:10

Aidaho писал(а):2 Chrst
В цисках я нуб
можете дать ссылку на какую нибудь статью, где про это можно почитать...

Хых, обычно в таких случаях дают почитать статью cisco_точка_com.

По настройке фаервола (ACL) на циско читать в мануале по utm.
По использованию rate-limit в роли шейпера - поиском по этому сайту, есть статья. Потом гуглить - примеров хватает.
Сорри, что не дал прямых ссылок.

Aidaho · Сообщение **Aidaho** » Вт мар 17, 2009 09:38

Chrst писал(а):
Aidaho писал(а):разобрался с бриджом...
но он не фильтрует теперь
настройки sysctl:
Код: Выделить всё
net.link.ether.bridge_ipfw=1
net.link.ether.bridge.enable=1
net.link.ether.bridge.config=fxp1,rl0
net.inet.ip.fw.enable=1
net.link.ether.ipfw=1
когда делаешь deny ip from any to any, то закрывает и ничего не ходит, но когда пытаешься зарезать определенный адрес, то правило игнорируется.
Может кто знает в чем может быть проблема?
Я так понимаю бридж вам нужен только для шейпа. Для "ходить/не ходить" в Инет можно использовать кошку и динамические ACL. Там действительно последним идет правило deny ip any any, но для тех кому разрешено ходить ставится не запрет, а permit.
Какую авторизацию применяете. При авторизации через радиус можно отдавать дополнительные атрибуты и шейпить на кошке например через rate-limit.

по поводу авторизации, клиентам дается влан и статический айпишнек. ни какой авторизации нет. или вы про авторизацию утм-а на бридже?
а шейпинг, он нам нужен в основном, что бы отключать клиентов.

Chrst · Сообщение **Chrst** » Вт мар 17, 2009 11:07

Aidaho писал(а):по поводу авторизации, клиентам дается влан и статический айпишнек. ни какой авторизации нет. или вы про авторизацию утм-а на бридже?
а шейпинг, он нам нужен в основном, что бы отключать клиентов.

Тогда не совсем пойму на кой вообще вам нужен бридж.
Одно было б понятно, если собирались правильно шейпить, типа с dynashper, ваша циска такого не умеет. А так, чтобы шейпером выключать, это не совсем...

ИМХО конечно, но для вашего применения: бридж выкинуть из схемы, на циско настроить динамический ACL используемый для включения/выключения доступа, настроить UTM (использовать в качестве фаервола циско).

Aidaho · Сообщение **Aidaho** » Вт мар 17, 2009 14:53

Chrst писал(а): ИМХО конечно, но для вашего применения: бридж выкинуть из схемы, на циско настроить динамический ACL используемый для включения/выключения доступа, настроить UTM (использовать в качестве фаервола циско).

а можно по этой теме подробней? как именно нужно настроить UTM и какие команды посылать?

Aidaho · Сообщение **Aidaho** » Пн мар 30, 2009 14:09

ну может, кто подскажет, где что почитать можно?

Aidaho · Сообщение **Aidaho** » Пт апр 10, 2009 12:39

ап )