Запрет маршрутизации между LAN (решено)
-
Помогите пожалуйста разобраться, такая ситуация. Есть 1 WAN и несколько LAN (192.168.101.0/24, 192.168.102.0/24, 192.168.103.0/24, 192.168.104.0/24). Задача - дать интернет всем LAN и при этом не позволять пробрасывать пакеты из одного LAN в другой LAN. Конфигурация на скринах. Сейчас, в такой конфигурации, я например, из сети 192,168,101,0 вижу точку доступа находящуюся в 192,168,104,0, могу зайти на её веб-морду. так-же из любого другого LAN я вижу все остальные LAN. pfSense 2.2 x86 на реальном железе, не виртуалка. ЧЯДНТ?
![2015-03-12 18-57-40 pfSense.localdomain - Firewall NAT Outbound – Yandex.png](/public/imported_attachments/1/2015-03-12 18-57-40 pfSense.localdomain - Firewall NAT Outbound – Yandex.png)
![2015-03-12 18-57-40 pfSense.localdomain - Firewall NAT Outbound – Yandex.png_thumb](/public/imported_attachments/1/2015-03-12 18-57-40 pfSense.localdomain - Firewall NAT Outbound – Yandex.png_thumb)
![2015-03-12 18-58-19 pfSense.localdomain - Firewall Rules – Yandex.png](/public/imported_attachments/1/2015-03-12 18-58-19 pfSense.localdomain - Firewall Rules – Yandex.png)
![2015-03-12 18-58-19 pfSense.localdomain - Firewall Rules – Yandex.png_thumb](/public/imported_attachments/1/2015-03-12 18-58-19 pfSense.localdomain - Firewall Rules – Yandex.png_thumb)
![2015-03-12 18-58-35 pfSense.localdomain - Firewall Rules – Yandex.png](/public/imported_attachments/1/2015-03-12 18-58-35 pfSense.localdomain - Firewall Rules – Yandex.png)
![2015-03-12 18-58-35 pfSense.localdomain - Firewall Rules – Yandex.png_thumb](/public/imported_attachments/1/2015-03-12 18-58-35 pfSense.localdomain - Firewall Rules – Yandex.png_thumb) -
На каждом интерфейсе явно запретите ходить в чужие СЕРЫЕ подсети.
-
Тоже была мысль так сделать, но ведь что явно не разрешено, то запрещено. В самом конце, правила запрещающие всё и везде. И на другой машине, с уже давно работающим pfSense с подобными правилами, без явных запретов, все нормально, из одной LAN не видно другую LAN. Там я наоборот вручную прописывал все, чтобы несколько хостов были доступны из другой LAN.
-
но ведь что явно не разрешено, то запрещено
так у вас ведь все явно и разрешено - в правилах в Destination стоит "*", а это значит "хоть куда"
-
Для эксперимента, на другой машине pfsense 2.2 x86 сделал правила как на скринах. Настройки NAT такие же как и в первом посте, только названия и IP адреса интерфейсов другие. После изменений правил всегда делаю Reset States. Пингую со своей машины (ULGS_Burlakov) точку доступа в другой подсети (WIFI_AP). Пинга нет.
![2015-03-13 11-16-58 pfsense.gazstroy - Firewall Rules – Yandex.png](/public/imported_attachments/1/2015-03-13 11-16-58 pfsense.gazstroy - Firewall Rules – Yandex.png)
![2015-03-13 11-16-58 pfsense.gazstroy - Firewall Rules – Yandex.png_thumb](/public/imported_attachments/1/2015-03-13 11-16-58 pfsense.gazstroy - Firewall Rules – Yandex.png_thumb)
![2015-03-13 11-17-28 pfsense.gazstroy - Firewall Rules – Yandex.png](/public/imported_attachments/1/2015-03-13 11-17-28 pfsense.gazstroy - Firewall Rules – Yandex.png)
![2015-03-13 11-17-28 pfsense.gazstroy - Firewall Rules – Yandex.png_thumb](/public/imported_attachments/1/2015-03-13 11-17-28 pfsense.gazstroy - Firewall Rules – Yandex.png_thumb) -
и при этом не позволять пробрасывать пакеты из одного LAN в другой LAN
У вас же LAN одна физически? Тогда вы не сможете блокировать доступ из одной лок. сети в др. лок. сеть , расположенные на одной и той же LAN.
Или создавайте на ней VLAN или физические сетевые добавляйте на машину с pfsense. -
LAN физически одна, но коммутаторы управляемые и все разделено VLANами на уровне коммутаторов. т.е. сетевые карты pfSense воткнуты в untagged порты коммутатора c разными номерами VLAN. это все потом отправляется в tagged порт на следующий коммутатор. в нужных коммутаторах пришедшее по tagged порту выкидывается в простой untagged для хоста по номеру VLAN. с физической локалкой и VLAN уже все отработано и вопросов не возникает.
-
Пинга нет.
Ёжика тоже нет, а он есть! pfSense свободно маршрутизирует трафик между подключенными сетями если это разрешено правилами. Когда в Destination стоит "" оно разрешено. Указание конкретной сети не требуется, т. к. "" охватывает любые сети. Поэтому проблема у вас не в том, что изложено в первом посте топика - это-то как раз нормальное поведение, а в вашем "эксперименте на другой машине".
-
Ну этот pfsense, на котором эксперимент ставил, уже давно работает, насколько помню он с самого начала отказался маршрутизировать трафик между несколькими LAN, и я наоборот "долбался" с ним чтобы разрешить маршрутизацию. Может в старых версиях маршрутизация как-то по другому работала, и с тех пор все это тянется. Не знаю в общем. Как доберусь к "новому" pfsense, попробую явно запретить доступ в другие LAN. Кстати, чтобы LAN получила доступ в инет, что писать в Dest вместо "*"? 0.0.0.0/1?
-
В аттаче простой набор правил для гостевой сети, из которой можно ходить в интернет, но нельзя попасть в другие локальные сети, а также пролезть на сам pfSense
-
Ну этот pfsense, на котором эксперимент ставил, уже давно работает, насколько помню он с самого начала отказался маршрутизировать трафик между несколькими LAN, и я наоборот "долбался" с ним чтобы разрешить маршрутизацию. Может в старых версиях маршрутизация как-то по другому работала, и с тех пор все это тянется. Не знаю в общем. Как доберусь к "новому" pfsense, попробую явно запретить доступ в другие LAN. Кстати, чтобы LAN получила доступ в инет, что писать в Dest вместо "*"? 0.0.0.0/1?
Настоятельнейшим образом поищите курс лекций "Сети для самых маленьких". Ну просто немедленно.
-
rubic, спасибо! Переделал правила по вашему примеру, все нормально. Сам не догадался использовать "not" со списком приватных сетей :-[ .
Вопрос. А чем отличается "This Firewall" от "LAN2 address"?[b]werter, ну я все-таки не настолько тупой :D , читал первые статьи еще давно, а вот второй половины курса тогда еще не было, спасибо, напомнили, посмотрю как время будет.
-
Вопрос. А чем отличается "This Firewall" от "LAN2 address"?
This Firewall - это все собственные IP pfSense. Запретить только LAN2 address недостаточно. Из-за "weak end system model" злоумышленник может зайти на любой из этих IP (например из локальной сети обратиться на WAN IP pfSense) и правило, блокируещее LAN2 address, ему не помешает.
-
Спасибо, буду иметь ввиду :)