Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Запрет маршрутизации между LAN (решено)

    Scheduled Pinned Locked Moved Russian
    14 Posts 4 Posters 4.8k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • V
      vadimb
      last edited by

      Тоже была мысль так сделать, но ведь что явно не разрешено, то запрещено. В самом конце, правила запрещающие всё и везде. И на другой машине, с уже давно работающим pfSense с подобными правилами, без явных запретов, все нормально, из одной LAN не видно другую LAN. Там я наоборот вручную прописывал все, чтобы несколько хостов были доступны из другой LAN.

      1 Reply Last reply Reply Quote 0
      • R
        rubic
        last edited by

        @vadimb:

        но ведь что явно не разрешено, то запрещено

        так у вас ведь все явно и разрешено - в правилах в Destination стоит "*", а это значит "хоть куда"

        1 Reply Last reply Reply Quote 0
        • V
          vadimb
          last edited by

          Для эксперимента, на другой машине pfsense 2.2 x86 сделал правила как на скринах. Настройки NAT такие же как и в первом посте, только названия и IP адреса интерфейсов другие. После изменений правил всегда делаю Reset States. Пингую со своей машины (ULGS_Burlakov) точку доступа в другой подсети (WIFI_AP). Пинга нет.

          ![2015-03-13 11-16-58 pfsense.gazstroy - Firewall Rules – Yandex.png](/public/imported_attachments/1/2015-03-13 11-16-58 pfsense.gazstroy - Firewall Rules – Yandex.png)
          ![2015-03-13 11-16-58 pfsense.gazstroy - Firewall Rules – Yandex.png_thumb](/public/imported_attachments/1/2015-03-13 11-16-58 pfsense.gazstroy - Firewall Rules – Yandex.png_thumb)
          ![2015-03-13 11-17-28 pfsense.gazstroy - Firewall Rules – Yandex.png](/public/imported_attachments/1/2015-03-13 11-17-28 pfsense.gazstroy - Firewall Rules – Yandex.png)
          ![2015-03-13 11-17-28 pfsense.gazstroy - Firewall Rules – Yandex.png_thumb](/public/imported_attachments/1/2015-03-13 11-17-28 pfsense.gazstroy - Firewall Rules – Yandex.png_thumb)

          1 Reply Last reply Reply Quote 0
          • werterW
            werter
            last edited by

            и при этом не позволять пробрасывать пакеты из одного LAN в другой LAN

            У вас же LAN одна физически? Тогда вы не сможете блокировать доступ из одной лок. сети в др. лок. сеть , расположенные на одной и той же LAN.
            Или создавайте на ней VLAN или физические сетевые добавляйте на машину с pfsense.

            1 Reply Last reply Reply Quote 0
            • V
              vadimb
              last edited by

              LAN физически одна, но коммутаторы управляемые и все разделено VLANами на уровне коммутаторов. т.е. сетевые карты pfSense воткнуты в untagged порты коммутатора c разными номерами VLAN. это все потом отправляется в tagged порт на следующий коммутатор. в нужных коммутаторах пришедшее по tagged порту выкидывается в простой untagged для хоста по номеру VLAN. с физической локалкой и VLAN уже все отработано и вопросов не возникает.

              1 Reply Last reply Reply Quote 0
              • R
                rubic
                last edited by

                @vadimb:

                Пинга нет.

                Ёжика тоже нет, а он есть! pfSense свободно маршрутизирует трафик между подключенными сетями если это разрешено правилами. Когда в Destination стоит "" оно разрешено. Указание конкретной сети не требуется, т. к. "" охватывает любые сети. Поэтому проблема у вас не в том, что изложено в первом посте топика - это-то как раз нормальное поведение, а в вашем "эксперименте на другой машине".

                1 Reply Last reply Reply Quote 0
                • V
                  vadimb
                  last edited by

                  Ну этот pfsense, на котором эксперимент ставил, уже давно работает, насколько помню он с самого начала отказался маршрутизировать трафик между несколькими LAN, и я наоборот "долбался" с ним чтобы разрешить маршрутизацию. Может в старых версиях маршрутизация как-то по другому работала, и с тех пор все это тянется. Не знаю в общем. Как доберусь к "новому" pfsense, попробую явно запретить доступ в другие LAN. Кстати, чтобы LAN получила доступ в инет, что писать в Dest вместо "*"?  0.0.0.0/1?

                  1 Reply Last reply Reply Quote 0
                  • R
                    rubic
                    last edited by

                    В аттаче простой набор правил для гостевой сети, из которой можно ходить в интернет, но нельзя попасть в другие локальные сети, а также пролезть на сам pfSense

                    rules.png
                    rules.png_thumb

                    1 Reply Last reply Reply Quote 0
                    • werterW
                      werter
                      last edited by

                      @vadimb:

                      Ну этот pfsense, на котором эксперимент ставил, уже давно работает, насколько помню он с самого начала отказался маршрутизировать трафик между несколькими LAN, и я наоборот "долбался" с ним чтобы разрешить маршрутизацию. Может в старых версиях маршрутизация как-то по другому работала, и с тех пор все это тянется. Не знаю в общем. Как доберусь к "новому" pfsense, попробую явно запретить доступ в другие LAN. Кстати, чтобы LAN получила доступ в инет, что писать в Dest вместо "*"?  0.0.0.0/1?

                      Настоятельнейшим образом поищите курс лекций "Сети для самых маленьких". Ну просто немедленно.

                      1 Reply Last reply Reply Quote 0
                      • V
                        vadimb
                        last edited by

                        rubic, спасибо! Переделал правила по вашему примеру, все нормально. Сам не догадался использовать "not" со списком приватных сетей :-[ .
                        Вопрос. А чем отличается "This Firewall" от "LAN2 address"?

                        [b]werter, ну я все-таки не настолько тупой :D , читал первые статьи еще давно, а вот второй половины курса тогда еще не было, спасибо, напомнили, посмотрю как время будет.

                        1 Reply Last reply Reply Quote 0
                        • R
                          rubic
                          last edited by

                          @vadimb:

                          Вопрос. А чем отличается "This Firewall" от "LAN2 address"?

                          This Firewall - это все собственные IP pfSense. Запретить только LAN2 address недостаточно. Из-за "weak end system model" злоумышленник может зайти на любой из этих IP (например из локальной сети обратиться на WAN IP pfSense) и правило, блокируещее LAN2 address, ему не помешает.

                          1 Reply Last reply Reply Quote 0
                          • V
                            vadimb
                            last edited by

                            Спасибо, буду иметь ввиду :)

                            1 Reply Last reply Reply Quote 0
                            • First post
                              Last post
                            Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.