Настройка доступа между подсетями
-
Будут ходить пакеты или нет определяют правила.
Ну так я и просил помощи в написании таких правил :)
например
pass * * * LAN Address 80 * * Anti-Lockout Rule
pass IPv4 UDP * * This Firewall 53 (DNS) * none
pass IPv4 * * * ! 192.168.0.0/16 * * none
остальные правила нужно удалить -
Будут ходить пакеты или нет определяют правила.
Ну так я и просил помощи в написании таких правил :)
например
pass * * * LAN Address 80 * * Anti-Lockout Rule
pass IPv4 UDP * * This Firewall 53 (DNS) * none
pass IPv4 * * * ! 192.168.0.0/16 * * none
остальные правила нужно удалитьСпасибо! Я приблизительно так и сделал, только необходимые подсети загнал в алиас и его прописал после !
Странно что везде где искал решение по данной теме, натыкался на советы что без vlan'ов нельзя, надо покупать цыску, или на худой конец, микротик, и управляемые свичи. Такое чувство что людям производители доплачивают за такие советы.
-
Такое чувство что людям производители доплачивают за такие советы.
Ага, это картельный сговор. VLAN-ы враги придумали.
То что сделали вы - это костыль и по бедности. Так сети не изолируешь.http://linkmeup.ru/tag/сети%20для%20самых%20маленьких/
-
Лан, хорош ссориться. VLAN способствует защите от шума, шторма и сниффера.
-
И снова здравствуйте ;D
В продолжении темы, захотел на одной подсети (так которая сидит на физическом интерфейсе и раздаётся автоматом), ограничить скорость(типа гостевая сеть). Но столкнулся с проблемой, что если правило стоит ниже того, где запрещается доступ между всеми подсетями, то ограничение скорости не работает, а если выше то гостевая сеть видит другие подсети и они её.
Подскажите как быть? Или нельзя чтоб одна подсеть была в двух правилах фаерволла?
-
сам спросил, сам ответил
в правиле ограничивающим скорость надо было поставить галку "Allow IP Options" и всё заработало :o -
Вобщем попробовал сегодня заменить ДИР-300 pfsens'ом. Понасоздавал виртуальных айпишников с подсетями(от 192,168,0,0 до 192,168,9,0) и позагонял туда ПК. Поначалу всё было нормально, а где-то через час начала отваливаться подсеть 192,168,1,0/24 где сидит сервер с ПО, пришлось в экстренном порядке возвращать всё как было. Причём складывается такое впечатление что pfsens пытался гнать трафик в подсеть 192,168,1,0/24 через провайдера, тк при пинге машины 192,168,1,230 приходит ответ(что заданный узел недоступен) из 194,,,* который относится к первому провайдеру.
Может МультиВан некорректно работает на свежей версии pfsens'а, или я где-то недоставил галочку, куда копать ?
-
Если неправильно пошел пинг — смотреть интерфейсы и таблицу маршрутизации, ну да и правила, которыми вы перенаправляете пакеты на шлюзы. Вы скорее всего забыли простое правило между подсетями, в котором не указан шлюз.
Кстати, если вам не требуется блокировать трафик из одной подсети в другую на LAN, рекомендую воспользоваться Classless Route методом, описанный rubic. -
Если неправильно пошел пинг — смотреть интерфейсы и таблицу маршрутизации, ну да и правила, которыми вы перенаправляете пакеты на шлюзы. Вы скорее всего забыли простое правило между подсетями, в котором не указан шлюз.
Кстати, если вам не требуется блокировать трафик из одной подсети в другую на LAN, рекомендую воспользоваться Classless Route методом, описанный rubic.Как раз для блокировки трафика между подсетями и хочу использовать pfsens(ну и для мультивана). Завтра посмотрю что я там намудрил в правилах, если что сброшу скриншоты.
-
Раз все подсети сидят в одном L2 домене, то от ушлых обход трафика через pfSense будет не проблема.
Кстати не забывайте, что есть еще и IPv6 и ему все равно на ваши попытки разделения IPv4 трафика.
Если файлопомойка должна быть доступна из всех подсетей, то лучше трафик до неё и обратно не прогонять через pfSense — мое ИМХО это просто лишний нагрев воздуха.
