Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Запрет маршрутизации между LAN (решено)

    Scheduled Pinned Locked Moved Russian
    14 Posts 4 Posters 4.8k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • R
      rubic
      last edited by

      @vadimb:

      но ведь что явно не разрешено, то запрещено

      так у вас ведь все явно и разрешено - в правилах в Destination стоит "*", а это значит "хоть куда"

      1 Reply Last reply Reply Quote 0
      • V
        vadimb
        last edited by

        Для эксперимента, на другой машине pfsense 2.2 x86 сделал правила как на скринах. Настройки NAT такие же как и в первом посте, только названия и IP адреса интерфейсов другие. После изменений правил всегда делаю Reset States. Пингую со своей машины (ULGS_Burlakov) точку доступа в другой подсети (WIFI_AP). Пинга нет.

        ![2015-03-13 11-16-58 pfsense.gazstroy - Firewall Rules – Yandex.png](/public/imported_attachments/1/2015-03-13 11-16-58 pfsense.gazstroy - Firewall Rules – Yandex.png)
        ![2015-03-13 11-16-58 pfsense.gazstroy - Firewall Rules – Yandex.png_thumb](/public/imported_attachments/1/2015-03-13 11-16-58 pfsense.gazstroy - Firewall Rules – Yandex.png_thumb)
        ![2015-03-13 11-17-28 pfsense.gazstroy - Firewall Rules – Yandex.png](/public/imported_attachments/1/2015-03-13 11-17-28 pfsense.gazstroy - Firewall Rules – Yandex.png)
        ![2015-03-13 11-17-28 pfsense.gazstroy - Firewall Rules – Yandex.png_thumb](/public/imported_attachments/1/2015-03-13 11-17-28 pfsense.gazstroy - Firewall Rules – Yandex.png_thumb)

        1 Reply Last reply Reply Quote 0
        • werterW
          werter
          last edited by

          и при этом не позволять пробрасывать пакеты из одного LAN в другой LAN

          У вас же LAN одна физически? Тогда вы не сможете блокировать доступ из одной лок. сети в др. лок. сеть , расположенные на одной и той же LAN.
          Или создавайте на ней VLAN или физические сетевые добавляйте на машину с pfsense.

          1 Reply Last reply Reply Quote 0
          • V
            vadimb
            last edited by

            LAN физически одна, но коммутаторы управляемые и все разделено VLANами на уровне коммутаторов. т.е. сетевые карты pfSense воткнуты в untagged порты коммутатора c разными номерами VLAN. это все потом отправляется в tagged порт на следующий коммутатор. в нужных коммутаторах пришедшее по tagged порту выкидывается в простой untagged для хоста по номеру VLAN. с физической локалкой и VLAN уже все отработано и вопросов не возникает.

            1 Reply Last reply Reply Quote 0
            • R
              rubic
              last edited by

              @vadimb:

              Пинга нет.

              Ёжика тоже нет, а он есть! pfSense свободно маршрутизирует трафик между подключенными сетями если это разрешено правилами. Когда в Destination стоит "" оно разрешено. Указание конкретной сети не требуется, т. к. "" охватывает любые сети. Поэтому проблема у вас не в том, что изложено в первом посте топика - это-то как раз нормальное поведение, а в вашем "эксперименте на другой машине".

              1 Reply Last reply Reply Quote 0
              • V
                vadimb
                last edited by

                Ну этот pfsense, на котором эксперимент ставил, уже давно работает, насколько помню он с самого начала отказался маршрутизировать трафик между несколькими LAN, и я наоборот "долбался" с ним чтобы разрешить маршрутизацию. Может в старых версиях маршрутизация как-то по другому работала, и с тех пор все это тянется. Не знаю в общем. Как доберусь к "новому" pfsense, попробую явно запретить доступ в другие LAN. Кстати, чтобы LAN получила доступ в инет, что писать в Dest вместо "*"?  0.0.0.0/1?

                1 Reply Last reply Reply Quote 0
                • R
                  rubic
                  last edited by

                  В аттаче простой набор правил для гостевой сети, из которой можно ходить в интернет, но нельзя попасть в другие локальные сети, а также пролезть на сам pfSense

                  rules.png
                  rules.png_thumb

                  1 Reply Last reply Reply Quote 0
                  • werterW
                    werter
                    last edited by

                    @vadimb:

                    Ну этот pfsense, на котором эксперимент ставил, уже давно работает, насколько помню он с самого начала отказался маршрутизировать трафик между несколькими LAN, и я наоборот "долбался" с ним чтобы разрешить маршрутизацию. Может в старых версиях маршрутизация как-то по другому работала, и с тех пор все это тянется. Не знаю в общем. Как доберусь к "новому" pfsense, попробую явно запретить доступ в другие LAN. Кстати, чтобы LAN получила доступ в инет, что писать в Dest вместо "*"?  0.0.0.0/1?

                    Настоятельнейшим образом поищите курс лекций "Сети для самых маленьких". Ну просто немедленно.

                    1 Reply Last reply Reply Quote 0
                    • V
                      vadimb
                      last edited by

                      rubic, спасибо! Переделал правила по вашему примеру, все нормально. Сам не догадался использовать "not" со списком приватных сетей :-[ .
                      Вопрос. А чем отличается "This Firewall" от "LAN2 address"?

                      [b]werter, ну я все-таки не настолько тупой :D , читал первые статьи еще давно, а вот второй половины курса тогда еще не было, спасибо, напомнили, посмотрю как время будет.

                      1 Reply Last reply Reply Quote 0
                      • R
                        rubic
                        last edited by

                        @vadimb:

                        Вопрос. А чем отличается "This Firewall" от "LAN2 address"?

                        This Firewall - это все собственные IP pfSense. Запретить только LAN2 address недостаточно. Из-за "weak end system model" злоумышленник может зайти на любой из этих IP (например из локальной сети обратиться на WAN IP pfSense) и правило, блокируещее LAN2 address, ему не помешает.

                        1 Reply Last reply Reply Quote 0
                        • V
                          vadimb
                          last edited by

                          Спасибо, буду иметь ввиду :)

                          1 Reply Last reply Reply Quote 0
                          • First post
                            Last post
                          Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.