помогите - перекрыть трафик между интерфе
-
как таки перерезать траффик от ЛАН до КОЛСЕР
Самым верхним в Firewall - Rules - LAN рисуете правило :
- LAN subnet * * KOLSER subnet * - > block\drop
Далее, снова Firewall - Rules - LAN :
Удаляйте остальные правила, и рисуйте только те , что нужны, напр. :
TCP\UDP LAN subnet * * 53 * # Разрешаем DNS
ICMP LAN subnet * * * * # Разрешаем ping
TCP * LAN subnet * * 80 * # Разрешаем HTTP
TCP * LAN subnet * *443 * # Разрешаем HTTPS
И далее в таком же духе.
-
ок вроде пинг прекратился, но только после того как я сделал ресет статес…. странно я думал пинг создает каждый раз новое соединение...
теперь проблема но может быть надуманная - т.к. нету доступа к оборудованию в сети kolser пробую пинговать через пфсенс через интерфейс колсера... и пинг проходит, правила надобавлял разные но все равно пинг идет... ресет статес делал....
что я делаю не так
-
Снова неверные правила.
Скрин 2 (сверху вниз) :
Удаляем первое и последнее правила
Скрин 3 :
1. Удаляем правило
2. Создаем :IPv4 KOLSER subnet * LAN_subnet * * * block
IPv6 KOLSER subnet * LAN_subnet * * * blockИли запрещающее всё правила :
IPv4 * * * * * block
IPv6 * * * * * block -
:'( да чтож я за криворукий то(( мне в колсер нужно только чтобы с вана проходил 10000 порт на 3389… и все остальное чтобы было изолированно(
мне бы понять саму идею как и что тут добавляется(
-
мне бы понять саму идею как и что тут добавляется(
Все просто - правила читаются сверх вниз, т.е. если Вы вверху что то запретили, а ниже это же разрешили, то работать будет запрет и наоборот.
И еще. Все что явно не разрешено - запрещено, т.е. не стоит писать правила сперва разрешающие что-то конкретно ,а ниже запрещающее в общем:
IPv4 LAN subnet * * 80 * allow
IPv4 LAN subnet * * * * block < –- это лишнее, хватит только первого правилаP.s. Правила во Floating rules обрабатываются первее, чем правила на конкретных интерфейсах (LAN, WAN, etc.) !
-
-
1 WAN + 1 LAN + 1 LAN (kolser)
1 LAN (kolser) - это физический интерфейс или алиас?
Думается, что все же физ. - https://forum.pfsense.org/index.php?action=dlattach;topic=77029.0;attach=44729;image
-
Думается, что все же физ. - https://forum.pfsense.org/index.php?action=dlattach;topic=77029.0;attach=44729;image
:-)
Тога предлагаю Т.С. -у воспользоваться проверенным решением http://www.thin.kiev.ua/router-os/50-pfsense/659-wan-2-lan-pfsense-20.html
-
@ dr.gopher
Инс-ция хорошая (а другого я и не ожидал от вас), но в конце у вас NAT вручную настраивается. Нехватало
намеще проблем с ручным NAT-ом. -
Снова неверные правила.
Скрин 2 (сверху вниз) :
Удаляем первое и последнее правила
Скрин 3 :
1. Удаляем правило
2. Создаем :IPv4 KOLSER subnet * LAN_subnet * * * block
IPv6 KOLSER subnet * LAN_subnet * * * blockИли запрещающее всё правила :
IPv4 * * * * * block
IPv6 * * * * * blockиии все равно не помогло через веб морду пфсенса (мб просто не обращать внимания? это глюк?)
я пингую яндекс через интерфейс kolser
-
Ребята все ок! да это глюк вебморды от пфсенса. На машинах сети KOLNET сети нету.
тогда как через - диагностика,пинг,интерфейс колнет - пинг проходит.. живьем же все хорошо как и хотелось) спасибо -
Ребята все ок! да это глюк вебморды от пфсенса. На машинах сети KOLNET сети нету.
тогда как через - диагностика,пинг,интерфейс колнет - пинг проходит.. живьем же все хорошо как и хотелось) спасибоЭто не глюк.
Пинговать с PFSense и с рабочей машины - это разные вещи. -
Ребята все ок! да это глюк вебморды от пфсенса. На машинах сети KOLNET сети нету.
тогда как через - диагностика,пинг,интерфейс колнет - пинг проходит.. живьем же все хорошо как и хотелось) спасибоЭто не глюк.
Пинговать с PFSense и с рабочей машины - это разные вещи.возможно, я только учусь - я просто предположил что если я выбираю интерфейс то логически что пинг как бы из сети которую я выбрал…
-
Ребята все ок! да это глюк вебморды от пфсенса. На машинах сети KOLNET сети нету.
тогда как через - диагностика,пинг,интерфейс колнет - пинг проходит.. живьем же все хорошо как и хотелось) спасибоЭто не глюк.
Пинговать с PFSense и с рабочей машины - это разные вещи.возможно, я только учусь - я просто предположил что если я выбираю интерфейс то логически что пинг как бы из сети которую я выбрал…
Пинг из pfSense через выбранный интерфейс при этом пакеты идут через один указанный интерфейс.
Если Вы пингуете с клиентского хоста, то пакеты идут через ДВА интерфейса.
