Mel jsme dojem, ze to je jakz-takz dobre popsano v manualove strance od
if_bridge (docist cele - ne jen prvnich par vet).
manualovou stranku jsem cetl celou, jinak bych nevedel o pfil_member,
pfil_bridge ... chapu i to, ze bridge funguje jako switch, asi jsem se
nevyjadril dobre, zkusim to presneji.
vychozi stav:
re0 zapojena do vnitrni site na router, lokalni adresa z 192.168.1.0/24
na re0 bezi sluzby
pf je nastaven tak, aby propoustel jen spojeni na nektere sluzby
ceho chci dosahnout:
funkcni ap z ath0 na boxu, bez ip (nechci mit klienty za NATem)
chci, aby si filtrovani sluzeb resili jednotlivi klienti za apckem
chci se moci pripojit z lokalni site na lokalni klienty za apckem
chci mit proste jednu lokalni sit pres dva pristupove body (bridge)
chci porad filtrovat sluzby na re0
soucasny stav:
ap funguje
pf mi filtruje sluzby za apckem
funguji jen ty sluzby, ktere mam povolene na re0
rc.conf:
cloned_interfaces="bridge0"
ifconfig_bridge0="addm re0 addm ath0 up"
sysctl:
net.link.bridge.ipfw: 0
net.link.bridge.log_stp: 0
net.link.bridge.pfil_local_phys: 0
net.link.bridge.pfil_member: 1
net.link.bridge.pfil_bridge: 1
net.link.bridge.ipfw_arp: 0
net.link.bridge.pfil_onlyip: 1
dochazi tedy k tomu, ze kdyz prijde pozadavek z lokalni site z routeru
pripojeneho k re0 smerovany ke klientum pripojenym do lokalni site pres
ath0, tak se k nim dostane jen pokud je spojeni povoleno na firewallu na
re0. chci mit plny pristup ke klientum za apckem a zaroven mit filtrovane
sluzby na re0.
petr
--
FreeBSD mailing list ([email protected])
http://www.freebsd.cz/listserv/listinfo/users-l
