Alias reemplazando a vlans

mamuga

Estimados: ¿Es posible asignar alias a los pcs para segmentar una LAN y simular vlans sin necesidad de un switch capa tres ni interfaces virtuales, es decir, que a los alias se le asignen distintos privilegios, como accesos o blokeos a puertos o a otros alias?… Yo he hecho pruebas pero no han resultado en un 100%... Espero que Don Jose Pujadas o cualquiera de Uds. tenga una solucion.

Gracias

bellera

¡Hola!

¿Qué es lo que no termina de funcionarte?

Un ejemplo:

LAN -> 192.168.0.1/24
Alias PrimeraSubred -> 192.168.0.0/25 (del host 1 al 126)
Alias SegundaSubred -> 192.168.0.128/25 (del host 129 al 254)

En definitiva, creo que tienes que jugar con las máscaras.

Saludos,

Josep Pujadas

mamuga

¡Hola!

¿Qué es lo que no termina de funcionarte?

Un ejemplo:

LAN -> 192.168.0.1/24
Alias PrimeraSubred -> 192.168.0.0/25 (del host 1 al 126)
Alias SegundaSubred -> 192.168.0.128/25 (del host 129 al 254)

En definitiva, creo que tienes que jugar con las máscaras.

Saludos,

Josep Pujadas

Eso esta bien siempre y cuando tenga  a dos gateway uno para cada segmento y para eso ya hablamos de vlan… o me equivoco?... en el caso que planteo seria de esta forma

LAN-> 192.168.0.0/24
alias 1-> 192.168.0.2 a 192.168.0.50          gateway 192.168.0.1
alias 2 -> 192.168.0.51 a 192.168.100        gateway 192.168.0.1
etc...

Corrijame si no estoy en lo correcto

gracias

bellera

¡Hola!

Sí tienes razón, me colé, puesto que 192.168.0.1 sólo se vería en la primera subred.

LAN-> 192.168.0.0/24
alias 1-> 192.168.0.2 a 192.168.0.50          gateway 192.168.0.1
alias 2 -> 192.168.0.51 a 192.168.100        gateway 192.168.0.1

Es correcto. ¿Y qué problemas tienes con esto?

Saludos,

Josep Pujadas

mamuga

Bueno Estimado:
Lo que quiero saber es si es posible segmentar una LAN con alias; y darle reglas como por ejemplo:
que un grupo de alias no se vea con otro…
que el alias "alumnos" tenga acceso solo a internet pero acceso restringido al alias "servidores de base de datos", etc, etc.

Eso es lo que no me ha dado resultado... pienso que si Ud. cree que puede hacerce, en lo que estoy fallando es en la actualizacion de la tabla ARP... quizá podria ser.

Gracias

bellera

¡Hola!

que un grupo de alias no se vea con otro

Esto sólo se puede hacer si manejas VLAN, máscaras distintas o 2 tarjetas distintas para las LAN. De lo contrario, las máquinas se ven todas entre ellas.

Ver http://forum.pfsense.org/index.php/topic,17404.msg90161.html#msg90161

Saludos,

Josep Pujadas

mamuga

Gracias Josept.

Era demasiado bueno para ser verdad y de alguna forma ya sabia la, pero me atenia a una remota posibilidad.
Por ultimo, cuando se hace una regla de firewall, cual sea ¿es necesario actualizar la tabla de firewall en diagnostics–>states-->reset states, para que estas tengan efecto inmediato o no es necesario?. Esto te lo consulto porque he hecho reglas que no han tenido efecto inmediato, sino despues de resetear el pfsense.

Gracias denuevo

bellera

¡Hola!

La modificación de reglas afecta sólo a nuevos estados. Los estados existentes se conservan hasta que finalizan por si mismos.

Si quieres cortar una conexión que no cumple las nuevas reglas tienes que eliminar sus estados.

Saludos,

Josep Pujadas

mamuga

Vale Josep, te pasaste.

Saludos