Роутинг одной сетевухой

[playnet]

Есть 2 случая, которые мне непонятны.
1) есть сетка, там вланы 1 для инета, 2 для голоса, 3 для прочего, 4 для служебных железок. Приходит это на сервак с 1 сетевухой и надо сделать так, чтобы часть айпи влана 1 могли попасть в влан 4 и влан 3 спокойно бегал в инет. Сетевуха одна. Какие должны быть правила?

2) сервер с 2 сетевыми, правила простейшие, вида
00050 47230 28043417 divert 8668 ip4 from any to any via ed0
00100 16 2008 allow ip from any to any via lo0
00200 0 0 deny ip from any to 127.0.0.0/8
00300 0 0 deny ip from 127.0.0.0/8 to any
65000 94504 56132240 allow ip from any to any

ed0 смотрит в инет, имеет внешний айпи.
Есть еще ed1, у него айпи 192.168.0.254, 192.168.2.254
Рабочая сеть 2, но роутит он нормально и .2 и .0 в инет. Но инет отпал, и надо прозрачно переводить все запросы на 192.168.0.1. Бился пол дня, не получается.
Как должны выглядеть настройки в таком случае?

[arachnid]

по первому вопросу - это точно vlan или просто разбитие на подсети?
второе - не очень понял. вообще-то для перенаправления трафика есть fwd в ipfw. но не очень понятно, что значит "инет отпал"? можно поподробней?

[skeletor]

Есть 2 случая, которые мне непонятны.
1) есть сетка, там вланы 1 для инета, 2 для голоса, 3 для прочего, 4 для служебных железок. Приходит это на сервак с 1 сетевухой и надо сделать так, чтобы часть айпи влана 1 могли попасть в влан 4 и влан 3 спокойно бегал в инет. Сетевуха одна. Какие должны быть правила?

2) сервер с 2 сетевыми, правила простейшие, вида
00050 47230 28043417 divert 8668 ip4 from any to any via ed0
00100 16 2008 allow ip from any to any via lo0
00200 0 0 deny ip from any to 127.0.0.0/8
00300 0 0 deny ip from 127.0.0.0/8 to any
65000 94504 56132240 allow ip from any to any

ed0 смотрит в инет, имеет внешний айпи.
Есть еще ed1, у него айпи 192.168.0.254, 192.168.2.254
Рабочая сеть 2, но роутит он нормально и .2 и .0 в инет. Но инет отпал, и надо прозрачно переводить все запросы на 192.168.0.1. Бился пол дня, не получается.
Как должны выглядеть настройки в таком случае?

Во первых сдесь дело не столько в файерволе, сколько в роутинге: через что в какую подсеть ходить. Поэтому читать man route.

[playnet]

по первому вопросу - это точно vlan или просто разбитие на подсети?
второе - не очень понял. вообще-то для перенаправления трафика есть fwd в ipfw. но не очень понятно, что значит "инет отпал"? можно поподробней?

vlan-ы.

А если надо еще и с натингом?
Про fwd надо почитать.
"инет отпал" это к примеру у прова в очередной раз сдохло железо. Или оптику погрызли злые голуби. Качество не ахти, зато дешево и быстро.

[arachnid]

по поводу vlan - а кто их организует? если свитч, то на фрху должны приходить пакеты, уже свободные от тэгов. или?

инет отпал - так в нет два канала или один? чего хочется при пропадании канала в нет?

[playnet]

по поводу vlan - а кто их организует? если свитч, то на фрху должны приходить пакеты, уже свободные от тэгов. или?

инет отпал - так в нет два канала или один? чего хочется при пропадании канала в нет?

Свич. Но надо обрабатывать пакеты в том числе на базе влан-тэгов, поэтому они на порте серверов не фильтруются.
Есть еще вариант, когда свичи неуправляемые, а тэггинг идет железками/компами в свойстах сетевух.

см. схему.
По умолчанию роутинг на канал 1 настроен. И в качестве гейтвея прописан 2.1 у всех для 2.0 сети, и 0.1 для 0.0 сети (там сервер роутит 0.0 в 2.0, керио)
Несколько запутано. Но менять топологию можно только при крайней небходимости, к тому же, схема сильно упрощена и не показана куча нюансов.
Поднять бы OSPF, BGP и свой AS.. Только это денег стоит и опыта пока маловато.

[arachnid]

по поводу vlan - а кто их организует? если свитч, то на фрху должны приходить пакеты, уже свободные от тэгов. или?

инет отпал - так в нет два канала или один? чего хочется при пропадании канала в нет?

Свич. Но надо обрабатывать пакеты в том числе на базе влан-тэгов, поэтому они на порте серверов не фильтруются.
Есть еще вариант, когда свичи неуправляемые, а тэггинг идет железками/компами в свойстах сетевух.

см. схему.
По умолчанию роутинг на канал 1 настроен. И в качестве гейтвея прописан 2.1 у всех для 2.0 сети, и 0.1 для 0.0 сети (там сервер роутит 0.0 в 2.0, керио)
Несколько запутано. Но менять топологию можно только при крайней небходимости, к тому же, схема сильно упрощена и не показана куча нюансов.
Поднять бы OSPF, BGP и свой AS.. Только это денег стоит и опыта пока маловато.

э... что касаемо резервирования - можно поднять carp - на обоих серверах с ip необходимых vlan'ов. тогда в случае пропадания нета на одном сервере второй подхватит его функции.
кроме ната сервера к.л. еще услуги предоставляют?
то есть сервер 1 имеет сервис, необходимый для обоих vlan?

[playnet]

э... что касаемо резервирования - можно поднять carp - на обоих серверах с ip необходимых vlan'ов. тогда в случае пропадания нета на одном сервере второй подхватит его функции.

Посмотрю. Но это немного не то, похоже.

кроме ната сервера к.л. еще услуги предоставляют?

Один атс-ка, второй доменный контроллер на 2003 винде Впрочем, винде недолго уже осталось, замена настраивается.

то есть сервер 1 имеет сервис, необходимый для обоих vlan?

Это разные вопросы были.
И на сервере 1, и на сервере 2 есть каналы инета. 1 первичный.