Настройка доступа между подсетями
-
Пинганите адрес из др подсети. Условие, у всех машин адресами шлюзов должен быть пф.
У одной подсети шлюз пф(192,168,1,1), у другой шлюз Virtual IP(192,168,2,1) - инет есть у обоих подсетей, пинг между подсетями не проходит. Если у обоих подсетей шлюзом поставить пф ясное дело они друг друга увидят
У машин в любом случае будут шлюзами пф-ы.
Еще вариант - зайдите в сетевое окружение и смотрите появятся ли машины из др. сетей. -
У машин в любом случае будут шлюзами пф-ы.
Еще вариант - зайдите в сетевое окружение и смотрите появятся ли машины из др. сетей.Вы имеете ввиду физический шлюз пф который 192,168,1,1? или как? просто что мешает вручную у юзера забить шлюзом виртуальный ИП необходимой подсети, может я что-то не пойму.
Если делать как мне надо, машины из разных подсетей не видят друг друга в сетевом окружении.Будут ходить пакеты или нет определяют правила.
Ну так я и просил помощи в написании таких правил :)
В остальном, в целом такой способ имеет право на жизнь. Безопасность правда не ахти.
А в чём выражается безопасность не ахти? у юзеров админских прав нет, привяжу мак адрес машины к нужному айпишнику из нужной подсети, в чём ещё могут быть проблемы?
-
Если делать как мне надо, машины из разных подсетей не видят друг друга в сетевом окружении.
В общем то могут и видеть, но доступа всё равно не будет. Если только по ipv6…
А в чём выражается безопасность не ахти? у юзеров админских прав нет, привяжу мак адрес машины к нужному айпишнику из нужной подсети, в чём ещё могут быть проблемы?
У меня по тому же принципу более 4-х лет работает. Лично я проблем не имел, за исключением тех случаев когда на одной машине одновременно назначены несколько сетей, тоесть 192.168.[101-109].33/24
Только у меня нет сервера в "админской сети". Для него я рекомендую вставить ещё одну сетевую карту. -
Будут ходить пакеты или нет определяют правила.
Ну так я и просил помощи в написании таких правил :)
например
pass * * * LAN Address 80 * * Anti-Lockout Rule
pass IPv4 UDP * * This Firewall 53 (DNS) * none
pass IPv4 * * * ! 192.168.0.0/16 * * none
остальные правила нужно удалить -
Будут ходить пакеты или нет определяют правила.
Ну так я и просил помощи в написании таких правил :)
например
pass * * * LAN Address 80 * * Anti-Lockout Rule
pass IPv4 UDP * * This Firewall 53 (DNS) * none
pass IPv4 * * * ! 192.168.0.0/16 * * none
остальные правила нужно удалитьСпасибо! Я приблизительно так и сделал, только необходимые подсети загнал в алиас и его прописал после !
Странно что везде где искал решение по данной теме, натыкался на советы что без vlan'ов нельзя, надо покупать цыску, или на худой конец, микротик, и управляемые свичи. Такое чувство что людям производители доплачивают за такие советы.
-
Такое чувство что людям производители доплачивают за такие советы.
Ага, это картельный сговор. VLAN-ы враги придумали.
То что сделали вы - это костыль и по бедности. Так сети не изолируешь.http://linkmeup.ru/tag/сети%20для%20самых%20маленьких/
-
Лан, хорош ссориться. VLAN способствует защите от шума, шторма и сниффера.
-
И снова здравствуйте ;D
В продолжении темы, захотел на одной подсети (так которая сидит на физическом интерфейсе и раздаётся автоматом), ограничить скорость(типа гостевая сеть). Но столкнулся с проблемой, что если правило стоит ниже того, где запрещается доступ между всеми подсетями, то ограничение скорости не работает, а если выше то гостевая сеть видит другие подсети и они её.
Подскажите как быть? Или нельзя чтоб одна подсеть была в двух правилах фаерволла?
-
сам спросил, сам ответил
в правиле ограничивающим скорость надо было поставить галку "Allow IP Options" и всё заработало :o -
Вобщем попробовал сегодня заменить ДИР-300 pfsens'ом. Понасоздавал виртуальных айпишников с подсетями(от 192,168,0,0 до 192,168,9,0) и позагонял туда ПК. Поначалу всё было нормально, а где-то через час начала отваливаться подсеть 192,168,1,0/24 где сидит сервер с ПО, пришлось в экстренном порядке возвращать всё как было. Причём складывается такое впечатление что pfsens пытался гнать трафик в подсеть 192,168,1,0/24 через провайдера, тк при пинге машины 192,168,1,230 приходит ответ(что заданный узел недоступен) из 194,,,* который относится к первому провайдеру.
Может МультиВан некорректно работает на свежей версии pfsens'а, или я где-то недоставил галочку, куда копать ?
-
Если неправильно пошел пинг — смотреть интерфейсы и таблицу маршрутизации, ну да и правила, которыми вы перенаправляете пакеты на шлюзы. Вы скорее всего забыли простое правило между подсетями, в котором не указан шлюз.
Кстати, если вам не требуется блокировать трафик из одной подсети в другую на LAN, рекомендую воспользоваться Classless Route методом, описанный rubic. -
Если неправильно пошел пинг — смотреть интерфейсы и таблицу маршрутизации, ну да и правила, которыми вы перенаправляете пакеты на шлюзы. Вы скорее всего забыли простое правило между подсетями, в котором не указан шлюз.
Кстати, если вам не требуется блокировать трафик из одной подсети в другую на LAN, рекомендую воспользоваться Classless Route методом, описанный rubic.Как раз для блокировки трафика между подсетями и хочу использовать pfsens(ну и для мультивана). Завтра посмотрю что я там намудрил в правилах, если что сброшу скриншоты.
-
Раз все подсети сидят в одном L2 домене, то от ушлых обход трафика через pfSense будет не проблема.
Кстати не забывайте, что есть еще и IPv6 и ему все равно на ваши попытки разделения IPv4 трафика.
Если файлопомойка должна быть доступна из всех подсетей, то лучше трафик до неё и обратно не прогонять через pfSense — мое ИМХО это просто лишний нагрев воздуха.
