Pfaense: проблема с статическими маршрутами
-
как оказалось, это ни фига не работает
-
@mitrokha
Попробуйте создать второе плавающее правило после первого , которое блокирует все
Те должно быть 2 правила на WAN интерфейсе для исходящего трафика
1 пропускает тегированный трафик
2 блокирует весь остальной -
@konstanti по ARP - добавил ip маршрутизатора и все пока работает.
-
@konstanti сейчас создал блокирующее ван правило, буду проверять
-
@konstanti прописал правило. Блокирует весь интернет
-
Очередность правил верно соблюдена ?
Покажите список правил на lan интерфейсе и список плавающих правил -
-
так как Вы эти правила отключили сейчас , сложно сказать , работают они или нет ( все счетчики по нулям ). Для отладки схемы Вы можете включить временно в настройках правил функцию логирования . А потом уже в журнале посмотреть , что и как срабатывает
-
@konstanti
Включил логирование для проверки. -
@mitrokha
а на wan что происходит в этот момент ?
вы не там смотрите
вы смотрите таблицу состояний
а вам нужен журнал файрвола
в журнале файрвола можно увидеть номер правила , которое сработало
-
@konstanti
Инет все равно не работает -
а что значит "не работает" ?
по журналам видно , что хост
10.14.4.215 отправляет запрос на соединение
wan интерфейс (192.168.0.20) отправляет пакет дальше
те правила работаютчто у Вас происходит в системе потом , по этой картинке я сказать не могу
можно еще запустить tcpdump в консоли (или packetcapture ) для более полного анализа -
@konstanti
Насчет логов.
По умолч в логах вверху показываются не самые новые. Это вводит в заблуждение.
Надо вкл галкой в настройках. -
@werter
тут важно было увидеть , что правило на wan интерфейсе отрабатывает корректно , а вот что происходит потом , с этим уже надо разбираться -
@konstanti
Правило может быть и отрабатывает корректно, но к сожалению интернета при включении этих правил нет. Наверное, я делаю что-то не так -
Так
Убрал floating правило блокирующее WAN
В лан правиле с алиасом исправил назначение
Интернет заработал. Но, к сожалению и на тех компах, которые не включены в алиас
Включил статические записи ARP, отключил правила, интернет работает только на компах, которые включены в DHCP Static Mappings for this Interface
Статические маршруты тоже работают, так я добавил маршрутизатор в ARP -
но мне все-таки интересно, почему алиас не работает
-
@mitrokha
НЕ НАДО без особых причин трогать флоатинг рулез.
Перекл. интерфейс на англ. - рус. там для стыда только. Как переводчика, так и того, кто его там пользует. -
@mitrokha
Что это (выделил)?
На кой ляд в dst вооще что-то рисовать, если не знаешь ЗАЧЕМ?
Или ты думаешь, что WAN net - это и есть ВЕСЬ инет?
Убери. -
@werter давно убрал. Можно и не так агрессивно вообще-то. Я никогда не работал с pfsense, потихоньку учусь методом проб и ошибок
