Как настроить маршрутизацию VLAN с использованием Debian в качестве роутера?

Question

[NorthenDigital]

Всех приветствую.

Имеется задача развернуть лабораторный стенд, где в качестве маршрутизатора выступает Debian, к нему подключены 5 сетевых адаптеров (4 из которых различные VLAN и 1 - выход в Интернет).
Необходимо организовать связь между разными VLAN по определенному признаку (например, дать доступ из первого в четвёртый и обратно, запретить первым трём VLAN доступ к сети Интернет, но обязательно разрешить устройствам четвёртого VLAN).
Сначала показалось, что задача проще некуда: почитал статьи в Интернете (в том числе и тут) и понял, что нужно создать виртуальные адаптеры с тегированным трафиком, назначить адреса и перезапустить сетевую службу, но не сработало.
Тогда я начал читать про alias, накидывал его, и пытался играть с маршрутами, но тоже не вышло.

Потому прошу помощи у вас, что можно попробовать сделать, в какую сторону лучше копать? Какие статьи почитать?

Comments

[Alexey Dmitriev]

5 физических адаптеров? По ним идет тегированный траффик? Зачем виртуальные адаптеры, если они у вас все-таки физические и в каждом по одному VLAN?

[AlexVWill]

Alexey Dmitriev, я так понимаю это просто условие задачи обучения. Для задачи ведь неважно, сколько портов будет внутри VLAN, один или сотня, важно чтобы самих VLAN было бы несколько.

Answer 1

[Bright144]

допустим у тебя на роутере интерфейсы:
eth0(который выходить на интернет);
eth1;
eth2;
eth3;
eth4;
Сначала политику FORWARD устанавливает на DROP с командой
iptables -P FORWARD DROP
и добавляем правило для всех установленного соединение

iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

.
Теперь мы хотим пропускать трафик из eth4 на eth1 добавляем правило iptables -A FORWARD -i eth4 -o eth1 -j ACCEPT
и добавляем в таблицу nat такое правило

iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

.
Это правило разрешает всем устройствам на eth4 доступ к устройствам на eth1. То есть подключенные устройства eth4 может постучатся к устройствам eth1, но устройства eth1 не может. Если хочешь сделать eth1 тоже мог постучаться к eth4 добавляешь такие же правило но поменяешь местами интерфейсов.
Так ты можешь устанавливать правило для других интерфейсов.
И чуть не забыл, у тебя должен быть включен ip forwarding. Раскомментируй на /etc/sysctl.conf net.ipv4.ip_forward=1, и примени команду sysctl -p

Comments

[Bright144]

Теперь разберем все по порядку.
Вводим команды:

iptables -P FORWARD DROP
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

например, дать доступ из первого в четвёртый и обратно

разрешаем доступ из eth1 к eth4:

iptables -A FORWARD -i eth1 -o eth4 -j ACCEPT
iptables -t nat -A POSTROUTING -o eth4 -j MASQUERADE

разрешаем доступ из eth4 к eth1:

iptables -A FORWARD -i eth4 -o eth1 -j ACCEPT
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

запретить первым трём VLAN доступ к сети Интернет

оно и так запрещен с установленным политикой FORWARD.

но обязательно разрешить устройствам четвёртого VLAN

разрешаем доступ из eth4 к eth0(интернет):

iptables -A FORWARD -i eth4 -o eth0 -j ACCEPT
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

это все.

[NorthenDigital]

Работа с iptables довольно простая, дело как раз в другом.
Пинг не идёт даже от устройства, например, с VLAN 4 до роутера на Debian (при этом порт тоже относится к VLAN 4, IP назначен, возможно, всё связано с trunk и access режимами, не совсем понимаю какой здесь должен быть режим, вроде как access, я пробовал и так, и так).

[Bright144]

NorthenDigital, так у тебя на Debian проблем нет, у тебя проблема в коммутаторе?

[Bright144]

NorthenDigital, у тебя не получается пиговать Debian сидя с ней в одном подсети?

[NorthenDigital]

Bright144, смотри, допустим, в VLAN 4 будет ещё одно устройство и не важно какая ОС - Debian, CentOS, Windows, на ней я назначаю адаптеру VLAN и пытаюсь пингануть IP-адрес интерфейса роутера, который смотрит в эту подсеть (и он тоже имеет эту метку VLAN).
Пинг не проходит.

[Bright144]

NorthenDigital, у тебя тут сколько коммутаторов настроен на vlan4?

[Bright144]

NorthenDigital,

всё связано с trunk и access режимами

по дефолту порты коммутатора в режиме access. trunk выбирается только тогда когда нужен осуществлять передача пакетов всех VLAN по одному порту между двумя коммутатора(это мое мнение).

[Bright144]

NorthenDigital, так у тебя 5 физический сетевой адаптер на debian, и каждый из них подключен по другому VLAN и debian играет в нем роль роутера? я правильно понял?

[Bright144]

NorthenDigital, допустим у тебя debian с одним физическим интерфейсом, и у тебя имеется один коммутатор с нескольким VLAN. Тогда тебе придется настроит один из портов(лучше скоростной) коммутатора в режиме trunk с выбором VLAN. И подключаешь туда интерфейс debian. Дальше в debian создаёшь под интерфейсы для VLAN по этой стати "Настройка VLAN интерфейсов в Linux". А дальше этих VLAN интерфейсов на debian-е можешь настроит с помаши iptables как на верху описал.
Полезные видео "Локальные сети. Trunk и access порты", "Маршрутизация трафика в локальной сети".