Impedir que se vean dos VLAN

jopeme

Hola.
Despues de la ayuda que he recibido por el amigo "acriollo", tengo mi pfsense funcionando como proxy cache transparente, con dos VLAN (OPT2 y OPT3) creadas y asignadas a mi interfaz re1(LAN). Estoy trasteando con el firewall porque no quiero que se pueda hacer ping ni que se vean los equipos de ambas redes que es lo que ocurre ahora, pero si que se permita todo tipo de trafico en cada una de ellas(los tipicos navegacion y correo principalmente).  He creado un alias para los puertos 110,25,995,80,443 y las siguientes reglas pero no me funciona.

http://servyarte.com/reglasvlan101.jpg
http://servyarte.com/reglasvlan102.jpg
Me podeis ayudar?
Gracias.

acriollo

Por que por default las interfaces no tienen comunicación entre si. Hay que especificarlo vía una regla.

acriollo

Perdón , por default no hay comunicación entre interfaces.

jopeme

Y como es posible que yo pueda hacer ping desde un pc de la vlan 192.168.101.0/24 a la ip 192.168.102.1  y viceversa ?

acriollo

pantallas ? informacion ?    trazas del traceroute ?

dementekuatiko

@jopeme:

Y como es posible que yo pueda hacer ping desde un pc de la vlan 192.168.101.0/24 a la ip 192.168.102.1  y viceversa ?

si ambas redes se ven es porque creaste una regla que permitiera eso. borra las reglas y genera nuevas independientes

jopeme

Bueno parece que voy avanzando, aunque con obstáculos en el camino. Como os podeis imaginar no estoy muy puesto en estos temas y no me dejan el tiempo suficiente como para estudiar mas.
Bueno al grano. He creado estas reglas dentro de cada vlan.

VLAN101
Proto           Source       Port Destination    Port  Gateway Queue

IPv4 * VLAN101 net * VLAN102 net * *         none (bloqueo trafico entre vlan)
IPv4 * VLAN101 net *       *                 * *         none

VLAN102
Proto           Source       Port Destination    Port  Gateway Queue

IPv4 * VLAN102 net * VLAN101 net * *         none (bloqueo trafico entre vlan)
IPv4 * VLAN102 net *       *                 * *         none

Con esto funciona que no se vean entre las dos vlan y que puedan navegar por internet. Como lo que quiero es que puedan salir a internet (squid en modo transparente) y en principio que puedan salir por el puerto 22 y correo por puerto 25,110 y 995 he creado este alias:

PuertosPermitidos 110, 25, 995, 80, 443, 22, 8080 Puertos permitidos

Pero si cambio la regla y añado el alias de puertos permitidos entonces ni hago ping(a la ip interna de cada vlan creo que porque al usar esos puertos el protocolo ICMP esta bloqueado) ni salgo a internet y no entiendo el motivo sobre todo de esto ultimo.
Como ejemplo

VLAN102
Proto                 Source     Port Destination            Port                Gateway  Queue

IPv4 *         VLAN102 net * VLAN101 net      *               *         none
IPv4  Tcp/udp VLAN102 net *       *                 Puertospermitidos *         none

Que hago mal?  >:(

ptt

Para que funcione el "Ping" creas una Regla permitiendo "ICMP"

Para "navegar" además del http (80) https (443) necesitas DNS (TCP/UDP 53) ;)

jopeme

Acabo de darme cuenta que ningún usuario esta saliendo por squid. :-(  debido a las reglas imagino. Incluso si desmarco la opción de proxy transparente en squid, el navegador cliente sigue navegando.

Entonces si quiero que todos salgan por squid en modo transparente que reglas debo aplicar? Tanto en lan como en las vlan?

Muchas gracias.