Настройка правил Firewall для нескольких сетей

Mad.Axell

Всем доброго дня. Имеется PFSense версии 2.7.2.
Текущая конфигурация выглядит так:
интерфейс 1 - провайдер 1
интерфейс 2 - провайдер 2
интерфейс 3 - временно отключен
интерфейс 4 - Сегмент сети 1 (192.168.1.1/24)
интерфейс 5 - Сегмент сети 2 (192.168.100.1/24)
интерфейс 6 - Сегмент сети 3 (192.168.200.1/24)

Для обоих провайдеров созданы собственные гейтвеи (gateway_1 и gateway_2) а также 3 группы для балансировки нагрузки (когда оба провайдера активны, когда прилёг первый, когда прилёг второй).
Для каждого интерфейса сети создано 3 правила фаервола в которых участвует 3 группы гейтов (как на скрине).

Это позволяет прокинуть интернет на все 3 сегмента сети. При этом компьютеры из соседних сетей друг для друга не видны.
Если добавить правило "any to any" и поставить его вниз списка правил для интерфейса - оно не работает. Если поставить правило "any to any" вверх списка правил для интерфейса - оно работает (можно получить доступ к компьютерам из другого сегмента сети), но при этом отваливается интернет (остальные правила (которые ниже) перестают работать).

Временно я хочу чтобы все компьютеры видели всех (если с этим разобраться - более сложные ограничения будет сделать сильно проще).
Проблема вроде лежит на поверхности, но решение от меня пока ускользает
Подскажите куда копать, пожалуйста.

Konstanti

@Mad-Axell
Здравствуйте

Верхним правилом вместо any to any попробуйте сделать
any to 192.168.0.0/16
или для каждого интерфейса сделать 2 правила для других внутренних сетей
например , для интерфейса 4 (самые верхние)
any to 192.168.100.0/24
any to 192.168.200.0/24

и тд и тп

или сделать alias из 3-х сетей и использовать в правилах его

any to <имя_алиаса_для_внутренних_сетей>

кстати , правила 2 и 3 на картинках работать не будут ( они не нужны)

Mad.Axell

@Konstanti
Огромное спасибо. Помогло.
Если не сложно, можете рассказать, почему не будут работать 2 правила для балансировщика? Там по сути стоит равноправное использование обоих провайдеров, и потом приоритет тому, кто не упал (делал по интсрукции похожую на эту). Логи не смотрел, но когда провайдеры ложились по одному я не заметил никаких проблем с доступом в интернет.

Konstanti

@Mad-Axell

Если правила созданы для того , чтобы срабатывать в случае падения одного из каналов связи , то тогда беру свои слова обратно , должны работать .

А лучше всего провести эксперимент , отключая по очереди каналы связи , и посмотреть , что будет в плане срабатывали правил

werter

Добрый
@Mad-Axell
Как указали выше - 2 и 3 правила не нужны.
Loadbalance и так будет отрабатывать в случае падения одного из линков - в настройках LB есть пункт Member down.
Тут работает принцип ИЛИ: или балансировка или failover.
Можете сами проверить это выдергиванием линков по очереди.