Вопрос про создание и настройку vlan

deutsche

вы слишком буквально поняли -ifacexx надо замеить на имя интерфейса (vr0 ral0 em1 vlan1 итд)

dvserg

@deutsche:

вы слишком буквально поняли -ifacexx надо замеить на имя интерфейса (vr0 ral0 em1 vlan1 итд)

ifaceXX  интерфейс на котором поднят Влан
VLAN 123 - номер заменить на ВАШ

MasterMad

tcpdump -i em0 -n vlan 2500

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on em0, link-type EN10MB (Ethernet), capture size 96 bytes

0 packets captured
78 packets received by filter
0 packets dropped by kernel

idelta

Вы писали : в интерфейсах создал два vlan 100(орt1) u 200(opt2)
Если правильно понял, то это 802.1Q VLAN ID - ы
Тогда почему(откуда) 2500 ?
Надо бы 100 или 200.
То есть :

tcpdump -i em0 -n vlan 100

или

tcpdump -i em0 -n vlan 200

MasterMad

извеняюсь

tcpdump -i em0 -n vlan 200

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on em0, link-type EN10MB (Ethernet), capture size 96 bytes

0 packets captured
115996 packets received by filter
0 packets dropped by kernel
после минуты ожидания

idelta

Пробуйте :

tcpdump -n -i vlan0

потом

tcpdump -n -i vlan1

Если верить Status->Interfaces , то OPT2 совсем нет.
То есть нет именно vlan-а c ID-ом 200.
Для полноты попробовали бы ещё :

tcpdump -i em0 -n vlan 100

MasterMad

*** Welcome to pfSense 1.2.3-RELEASE-pfSense on pfsense ***

LAN*                        ->  em0    ->      192.168.1.1
  WAN*                      ->  em1    ->      192.168.81.9
  OPT1(OPT1)              ->  vlan0  ->      192.168.157.1
  OPT2(OPT2)              ->  vlan1  ->      192.168.158.1

pfSense console setup

---

0)  Logout (SSH only)
1)  Assign Interfaces
2)  Set LAN IP address
3)  Reset webConfigurator password
4)  Reset to factory defaults
5)  Reboot system
6)  Halt system
7)  Ping host
8)  Shell
9)  PFtop
10)  Filter Logs
11)  Restart webConfigurator
12)  pfSense Developer Shell
13)  Upgrade from console
14)  Disable Secure Shell (sshd)

Enter an option: 8

tcpdump -n -i vlan0

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on vlan0, link-type EN10MB (Ethernet), capture size 96 bytes
^C
0 packets captured
0 packets received by filter
0 packets dropped by kernel

tcpdump -n -i vlan1

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on vlan1, link-type EN10MB (Ethernet), capture size 96 bytes
^C
0 packets captured
0 packets received by filter
0 packets dropped by kernel

tcpdump -i rl0 -n vlan 100

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on em0, link-type EN10MB (Ethernet), capture size 96 bytes
^C
0 packets captured
28862 packets received by filter
0 packets dropped by kernel

каждый раз ждал по 30 сек

MasterMad

все разобрался. нашел где косяк был, в нате лишнее правило было..
теперь стал вопрос о том как читаются правила с верху внихз или с низу верх?
пытаюсь счас сделать так что бы с opt1 уходил на wan не заходя в lan(невидился в сети лан)
и лан что бы ходил через ван и не видел опт1.

dvserg

@MasterMad:

все разобрался. нашел где косяк был, в нате лишнее правило было..
теперь стал вопрос о том как читаются правила с верху внихз или с низу верх?
пытаюсь счас сделать так что бы с opt1 уходил на wan не заходя в lan(невидился в сети лан)
и лан что бы ходил через ван и не видел опт1.

Правила читаются сверху вниз. Срабатывает первое подходящее.

MasterMad

тоесть если у меня в начале стоитразрешающее правло, ходить куда угодно, то следующее которое разрешает ходить только в указанную сетку - не сработает, так получается. если я понял верно, то вначале если мне надо что бы трафик с ОПР1 ходил на ВАН, то первое правило в ОПТ1 будет примерно - опт1, все протоколы, сорс - сетка ОПТ1, дест - ван, все порты - разрешить
а на лане первое правило  - Лан, все порты, сорс сетка лан,дест ОПТ1, все порты  - запретить.
правильно?