Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Настройка доступа между подсетями

    Scheduled Pinned Locked Moved Russian
    22 Posts 4 Posters 6.7k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • werterW
      werter
      last edited by

      Доброе.

      Что-то мне подсказывает что это можно сделать и без vlan'ов и управляемых свичей

      Можно. Суйте столько физ. сет. карт, сколько вам нужно сетей.

      1 Reply Last reply Reply Quote 0
      • S
        Scodezan
        last edited by

        Это да. А при нулевом бюджете остаётся только отключить службу доступа к файлам и принтерам на рабочих станциях.

        1 Reply Last reply Reply Quote 0
        • I
          Invader_Zim
          last edited by

          @werter:

          Доброе.

          Что-то мне подсказывает что это можно сделать и без vlan'ов и управляемых свичей

          Можно. Суйте столько физ. сет. карт, сколько вам нужно сетей.

          а без физ. сетивух никак? вроде в pfsense есть Virtual IP, или их не получится использовать для моей задумки ?

          1 Reply Last reply Reply Quote 0
          • werterW
            werter
            last edited by

            @Invader_Zim:

            @werter:

            Доброе.

            Что-то мне подсказывает что это можно сделать и без vlan'ов и управляемых свичей

            Можно. Суйте столько физ. сет. карт, сколько вам нужно сетей.

            а без физ. сетивух никак? вроде в pfsense есть Virtual IP, или их не получится использовать для моей задумки ?

            Коротко - нет. Они физически нах-ся в одной сети. Или исп. VLAN.

            P.s. Кстати тот же dir-100 умеет быть vlan-свитчом.

            P.p.s. Если ваш дир-300 ревизий B1-B3 (написано на попе у него), то можно его перешить в wive-ng - http://forum.ixbt.com/topic.cgi?id=14:58466
            Образ для начальной перепрошивки - http://forum.seti.kr.ua/showthread.php?t=24426
            Далее , тут - https://sourceforge.net/projects/wive-ng/files/wive-ng-rtnl/

            У вас же с одной антенной ? Тогда образ - Wive_WR-150N-RT3050-1T1R

            1 Reply Last reply Reply Quote 0
            • I
              Invader_Zim
              last edited by

              @werter:

              @Invader_Zim:

              @werter:

              Доброе.

              Что-то мне подсказывает что это можно сделать и без vlan'ов и управляемых свичей

              Можно. Суйте столько физ. сет. карт, сколько вам нужно сетей.

              а без физ. сетивух никак? вроде в pfsense есть Virtual IP, или их не получится использовать для моей задумки ?

              Коротко - нет. Они физически нах-ся в одной сети. Или исп. VLAN.

              P.s. Кстати тот же dir-100 умеет быть vlan-свитчом.

              О! получилось с такими настройками
              сделал на физическом Lan(192,168,1,1) интерфейсе виртуальный Virtual IP с адресом подсети 192,168,2,1, и настроил фаерволл.

              Жду камментов про то какой это костыльный способ :) я так понимаю в этом случае сильно возрастёт нагрузка на физический Lan и процессор ?

              lan1.jpg
              lan1.jpg_thumb

              1 Reply Last reply Reply Quote 0
              • werterW
                werter
                last edited by

                Пинганите адрес из др подсети. Условие, у всех машин адресами шлюзов должен быть пф.

                1 Reply Last reply Reply Quote 0
                • I
                  Invader_Zim
                  last edited by

                  @werter:

                  Пинганите адрес из др подсети. Условие, у всех машин адресами шлюзов должен быть пф.

                  У одной подсети шлюз пф(192,168,1,1), у другой шлюз Virtual IP(192,168,2,1) - инет есть у обоих подсетей, пинг между подсетями не проходит. Если у обоих подсетей шлюзом поставить пф ясное дело они друг друга увидят

                  1 Reply Last reply Reply Quote 0
                  • S
                    Scodezan
                    last edited by

                    Будут ходить пакеты или нет определяют правила.

                    В остальном, в целом такой способ имеет право на жизнь. Безопасность правда не ахти.

                    1 Reply Last reply Reply Quote 0
                    • werterW
                      werter
                      last edited by

                      @Invader_Zim:

                      @werter:

                      Пинганите адрес из др подсети. Условие, у всех машин адресами шлюзов должен быть пф.

                      У одной подсети шлюз пф(192,168,1,1), у другой шлюз Virtual IP(192,168,2,1) - инет есть у обоих подсетей, пинг между подсетями не проходит. Если у обоих подсетей шлюзом поставить пф ясное дело они друг друга увидят

                      У машин в любом случае будут шлюзами пф-ы.
                      Еще вариант - зайдите в сетевое окружение и смотрите появятся ли машины из др. сетей.

                      1 Reply Last reply Reply Quote 0
                      • I
                        Invader_Zim
                        last edited by

                        @werter:

                        У машин в любом случае будут шлюзами пф-ы.
                        Еще вариант - зайдите в сетевое окружение и смотрите появятся ли машины из др. сетей.

                        Вы имеете ввиду физический шлюз пф который 192,168,1,1? или как? просто что мешает вручную у юзера забить шлюзом виртуальный ИП необходимой подсети, может я что-то не пойму.
                        Если делать как мне надо, машины из разных подсетей не видят друг друга в сетевом окружении.

                        @Scodezan:

                        Будут ходить пакеты или нет определяют правила.

                        Ну так я и просил помощи в написании таких правил :)

                        @Scodezan:

                        В остальном, в целом такой способ имеет право на жизнь. Безопасность правда не ахти.

                        А в чём выражается безопасность не ахти? у юзеров админских прав нет, привяжу мак адрес машины к нужному айпишнику из нужной подсети, в чём ещё могут быть проблемы?

                        1 Reply Last reply Reply Quote 0
                        • S
                          Scodezan
                          last edited by

                          @Invader_Zim:

                          Если делать как мне надо, машины из разных подсетей не видят друг друга в сетевом окружении.

                          В общем то могут и видеть, но доступа всё равно не будет. Если только по ipv6…

                          @Invader_Zim:

                          А в чём выражается безопасность не ахти? у юзеров админских прав нет, привяжу мак адрес машины к нужному айпишнику из нужной подсети, в чём ещё могут быть проблемы?

                          У меня по тому же принципу более 4-х лет работает. Лично я проблем не имел, за исключением тех случаев когда на одной машине одновременно назначены несколько сетей, тоесть  192.168.[101-109].33/24
                          Только у меня нет сервера в "админской сети". Для него я рекомендую вставить ещё одну сетевую карту.

                          1 Reply Last reply Reply Quote 0
                          • S
                            Scodezan
                            last edited by

                            @Invader_Zim:

                            @Scodezan:

                            Будут ходить пакеты или нет определяют правила.

                            Ну так я и просил помощи в написании таких правил :)

                            например
                            pass * * * LAN Address 80 * * Anti-Lockout Rule
                            pass IPv4 UDP * * This Firewall 53 (DNS) * none    
                            pass IPv4 * * * ! 192.168.0.0/16 * * none
                            остальные правила нужно удалить

                            1 Reply Last reply Reply Quote 0
                            • I
                              Invader_Zim
                              last edited by

                              @Scodezan:

                              @Invader_Zim:

                              @Scodezan:

                              Будут ходить пакеты или нет определяют правила.

                              Ну так я и просил помощи в написании таких правил :)

                              например
                              pass * * * LAN Address 80 * * Anti-Lockout Rule
                              pass IPv4 UDP * * This Firewall 53 (DNS) * none    
                              pass IPv4 * * * ! 192.168.0.0/16 * * none
                              остальные правила нужно удалить

                              Спасибо! Я приблизительно так и сделал, только необходимые подсети загнал в алиас и его прописал после !

                              Странно что везде где искал решение по данной теме, натыкался на советы что без vlan'ов нельзя, надо покупать цыску, или на худой конец, микротик, и управляемые свичи. Такое чувство что людям производители доплачивают за такие советы.

                              1 Reply Last reply Reply Quote 0
                              • werterW
                                werter
                                last edited by

                                @Invader_Zim:

                                Такое чувство что людям производители доплачивают за такие советы.

                                Ага, это картельный сговор. VLAN-ы враги придумали.
                                То что сделали вы - это костыль и по бедности. Так сети не изолируешь.

                                http://linkmeup.ru/tag/сети%20для%20самых%20маленьких/

                                1 Reply Last reply Reply Quote 0
                                • S
                                  Scodezan
                                  last edited by

                                  Лан, хорош ссориться. VLAN способствует защите от шума, шторма и сниффера.

                                  1 Reply Last reply Reply Quote 0
                                  • I
                                    Invader_Zim
                                    last edited by

                                    И снова здравствуйте  ;D

                                    В продолжении темы, захотел на одной подсети (так которая сидит на физическом интерфейсе и раздаётся автоматом), ограничить скорость(типа гостевая сеть). Но столкнулся с проблемой, что если правило стоит ниже того, где запрещается доступ между всеми подсетями, то ограничение скорости не работает, а если выше то гостевая сеть видит другие подсети и они её.

                                    Подскажите как быть? Или нельзя чтоб одна подсеть была в двух правилах фаерволла?

                                    1 Reply Last reply Reply Quote 0
                                    • I
                                      Invader_Zim
                                      last edited by

                                      сам спросил, сам ответил
                                      в правиле ограничивающим скорость надо было поставить галку "Allow IP Options" и всё заработало  :o

                                      1 Reply Last reply Reply Quote 0
                                      • I
                                        Invader_Zim
                                        last edited by

                                        Вобщем попробовал сегодня заменить ДИР-300 pfsens'ом. Понасоздавал виртуальных айпишников с подсетями(от 192,168,0,0 до 192,168,9,0) и позагонял туда ПК. Поначалу всё было нормально, а где-то через час начала отваливаться подсеть 192,168,1,0/24 где сидит сервер с ПО, пришлось в экстренном порядке возвращать всё как было. Причём складывается такое впечатление что pfsens пытался гнать трафик в подсеть 192,168,1,0/24 через провайдера, тк при пинге машины 192,168,1,230 приходит ответ(что заданный узел недоступен) из 194,,,* который относится к первому провайдеру.

                                        Может МультиВан некорректно работает на свежей версии pfsens'а, или я где-то недоставил галочку, куда копать ?

                                        1 Reply Last reply Reply Quote 0
                                        • P
                                          PbIXTOP
                                          last edited by

                                          Если неправильно пошел пинг — смотреть интерфейсы и таблицу маршрутизации, ну да и правила, которыми вы перенаправляете пакеты на шлюзы. Вы скорее всего забыли простое правило между подсетями, в котором не указан шлюз.
                                          Кстати, если вам не требуется блокировать трафик из одной подсети в другую на LAN, рекомендую воспользоваться Classless Route методом, описанный rubic.

                                          1 Reply Last reply Reply Quote 0
                                          • I
                                            Invader_Zim
                                            last edited by

                                            @PbIXTOP:

                                            Если неправильно пошел пинг — смотреть интерфейсы и таблицу маршрутизации, ну да и правила, которыми вы перенаправляете пакеты на шлюзы. Вы скорее всего забыли простое правило между подсетями, в котором не указан шлюз.
                                            Кстати, если вам не требуется блокировать трафик из одной подсети в другую на LAN, рекомендую воспользоваться Classless Route методом, описанный rubic.

                                            Как раз для блокировки трафика между подсетями и хочу использовать pfsens(ну и для мультивана). Завтра посмотрю что я там намудрил в правилах, если что сброшу скриншоты.

                                            1 Reply Last reply Reply Quote 0
                                            • First post
                                              Last post
                                            Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.