REGLAS VLANS
-
Hola josep, he tengo 3 vlans (192.168.0.0/24 - 192.168.1.0/24 -192.168.2.0/24)
con sus correspondiente gw (192.168.0.1 - 192.168.1.1 - 192.168.2.1) en un pfsense - conectadas x un troncal vlan.(VLAN 1) (VLAN2) (VLAN3)
SWITCH (802.1Q)
|
|
PFSENSELa duda pasa porque al agreguar un equipo (192.168.0.50) a la primer vlan , este ademas de poder comunicarse con su gw (192.168.0.1) tambien puede comunicarse con los gw de las otras 2 vlans (192.168.1.1 - 192.168.2.1) cuando las reglas de estas 2 vlans estan deny all en el pfsense.
Mas alla de que creo que puedo evitar esto con una regla en la primer vlan que me bloquee lo que va a las otras 2, no entiendo porque se permite este trafico entre 2 equipos pertenecientes a vlans diferentes por mas que uno de ellos sea el pfsense.Espero haber sido claro, gracias
-
¿Qué quiere decir exactamente?
tambien puede comunicarse con los gw de las otras 2 vlans (192.168.1.1 - 192.168.2.1)
¿Qué puedes llegar a la administración de pfSense desde las tres VLANs? ¿Qué puedes hacer ping?
O más grave, que ¿puedes ir de un equipo en una VLAN a un equipo en otra?
¿Has verificado bien que tengas el tagging correcto? En el libro de pfSense recomiendan no emplear el tag 1 ya que suele ser el por defecto en la mayoría de switches.
-
Exactamente eso, puedo ir a la administracion del pfsense desde un puesto usando las ips de las 3 vlans del pfsense, no puedo llegar de un puesto de una vlan a otra pero si desde el puesto 192.168.0.50 entrar a la administracion del pfsense usando 192.168.1.1 o 192.168.2.1, en lugar de solo poder con la 192.168.0.1, las reglas estan deny excepto en la vlan 192.168.0.0/24
Los tag que uso son a partir del 2 en adelante porque sabia que el 1 era reservado y la version de pfsense es la 1.2.3 -
1. Elimina las reglas de bloqueo. Sobran, en principio. Según el resto de reglas, claro.
2. Pon una regla en LANTCP pfadmin * LAN address administra *
siendo pfadmin un alias con las IPs de los equipos desde los que deseas administrar tu pfSense y administra un alias con los puertos 80, 443 y 22 (los que uses para administrar pfSense).
3. Habilita la casilla [System] [Advanced] [webGUI anti-lockout - Disable webGUI anti-lockout rule]By default, access to the webGUI on the LAN interface is always permitted, regardless of the user-defined filter rule set. Enable this feature to control webGUI access (make sure to have a filter rule in place that allows you in, or you will lock yourself out!).
Hint: the "set LAN IP address" option in the console menu resets this setting as well.El Hint es por si uno se equivoca poder recuperar el control.
-
Excelente Josep, probare lo que dijiste, suena a que era el "webGUI anti-lockout rule" todo el rollo que me hice.
Muchas gracias maestro! -
Y era nomas, mil gracias!!!!!!