Pfaense: проблема с статическими маршрутами
-
Здр
Если я верно понял задачу , то
Сделайте немного проще , не включая мудреные опции Dhcp сервераСоздаете отдельное правило на Lan интерфейсе для компов , которые могут ходить в инет
И применяете к этому правилу меткуи дальше
создаете Floating rule для
1 для Исходящего трафика на Wan интерфейсе
2 в этом правиле проверяете наличие метки , полученной ранее
все остальное исходящее на Wan интерфейсе будет блокироваться
https://docs.netgate.com/pfsense/en/latest/firewall/floating-rules.html#firewall-floating-marking-matching
-
@konstanti попробую, спасибо
-
@mitrokha
Или , как вариант , на Лан интерфейсе создаете правило для клиентов с ограничениями , что им можно иметь доступ только к определенным сетям и ресурсам ( или несколько правил или используйте Алиас с разрешенными сетями )
А следом , правило все остальным разрешено всеЭти варианты уже не предполагают использования тэгов и плавающих правил
Если не получится , дайте больше вводных данных -
@konstanti а как вообще это правило создать для лан, точнее, что там прописать?
-
А какой вариант Вы выбрали ?
Дайте больше вводных данных для понимания того , что Вы хотите получить в результате (конкретика нужна с примерами)
Так Вам быстрее помогут -
@konstanti первый вариант.
-
@konstanti в общем так, в первую очередь я сделал алиас с нужными мне ip
Далее, создал правило для лан
с тегом
и плавающее правило для Wan
Только работает ли это все? -
как оказалось, это ни фига не работает
-
@mitrokha
Попробуйте создать второе плавающее правило после первого , которое блокирует все
Те должно быть 2 правила на WAN интерфейсе для исходящего трафика
1 пропускает тегированный трафик
2 блокирует весь остальной -
@konstanti по ARP - добавил ip маршрутизатора и все пока работает.
-
@konstanti сейчас создал блокирующее ван правило, буду проверять
-
@konstanti прописал правило. Блокирует весь интернет
-
Очередность правил верно соблюдена ?
Покажите список правил на lan интерфейсе и список плавающих правил -
-
так как Вы эти правила отключили сейчас , сложно сказать , работают они или нет ( все счетчики по нулям ). Для отладки схемы Вы можете включить временно в настройках правил функцию логирования . А потом уже в журнале посмотреть , что и как срабатывает
-
@konstanti
Включил логирование для проверки. -
@mitrokha
а на wan что происходит в этот момент ?
вы не там смотрите
вы смотрите таблицу состояний
а вам нужен журнал файрвола
в журнале файрвола можно увидеть номер правила , которое сработало -
@konstanti
Инет все равно не работает -
а что значит "не работает" ?
по журналам видно , что хост
10.14.4.215 отправляет запрос на соединение
wan интерфейс (192.168.0.20) отправляет пакет дальше
те правила работаютчто у Вас происходит в системе потом , по этой картинке я сказать не могу
можно еще запустить tcpdump в консоли (или packetcapture ) для более полного анализа -
@konstanti
Насчет логов.
По умолч в логах вверху показываются не самые новые. Это вводит в заблуждение.
Надо вкл галкой в настройках.