Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Изолирование компьютеров в локальной сети

    Scheduled Pinned Locked Moved Russian
    40 Posts 6 Posters 4.8k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • K
      Kowex
      last edited by

      Собственно есть сеть с PfS, 2 интернета с балансировкой, внутри сети есть сервер и порядка 10 компьютеров которые необходимо изолировать в локальной сети, они должны видеть только интернет, всё что есть в локалке ничего не должны видеть, так же сервер должен их видеть.
      сеть 192.168.0.0/24
      PfS 192.168.0.1
      Server 192.168.0.2
      Компьютеры которые необходимо изолировать 192.168.0.10-20
      На сколько понимаю правилами этого не сделать, создавать под каждый комп виртуальную сеть?
      Подскажите варианты или хоть направьте в нужную сторону.

      K dragoangelD 2 Replies Last reply Reply Quote 0
      • K
        Konstanti @Kowex
        last edited by

        @kowex
        Здр
        Только Vlan позволит Вам изолировать хосты
        192.168.0.0/27
        в этот Vlan попадут все хосты с адресами 192.168.0.1-192.168.0.30
        Другие маски подсети не закроют нужный Вам диапазон

        K 1 Reply Last reply Reply Quote 0
        • K
          Kowex @Konstanti
          last edited by

          @konstanti ну про VLAN я имел в виду создавать для каждого компа свой.

          K 1 Reply Last reply Reply Quote 0
          • K
            Konstanti @Kowex
            last edited by Konstanti

            @kowex насколько я понял, Вам надо изолировать группу хостов . Вот для этой группы и для остальных надо создать vlan-ы и с ними уже проводить Настройки . Другого варианта я пока не вижу .
            Хосты , принадлежащие одному сегменту сети , общаются напрямую, минуя маршрутизатор

            K 1 Reply Last reply Reply Quote 0
            • K
              Kowex @Konstanti
              last edited by

              @konstanti не точно немного написал. Нужно что бы компы в сети не видели ничего кроме интернета, соответсвенно не видели друг друга.

              K 1 Reply Last reply Reply Quote 0
              • K
                Konstanti @Kowex
                last edited by Konstanti

                @kowex Тогда, как вариант , на каждом компьютере включать файрвол и закрывать любой вид доступа из вне (входящий трафик) и настроить исходящий трафик только в сторону сервера и в сторону интернета .

                P K 2 Replies Last reply Reply Quote 0
                • P
                  pigbrother @Konstanti
                  last edited by

                  This post is deleted!
                  1 Reply Last reply Reply Quote 0
                  • K
                    Kowex @Konstanti
                    last edited by Kowex

                    @konstanti там не совсем компы, промышленное оборудование в котором нет ничего.
                    Пока остается один вариант для каждого делать свой VLAN

                    1 Reply Last reply Reply Quote 0
                    • P
                      pigbrother
                      last edited by pigbrother

                      По существу вопроса. Ни pfSense ни любой другой роутер не способны разделить компьютеры\устройства в одном L2-сегменте локальной сети - они общаются без обращения к шлюзу по умолчанию.
                      Если вы хотите получить аналог гостевой сети - либо VLAN ( VLANы должен поддерживать и свитч) либо вторая сетевая карта в pfSense и отдельный свитч для изолируемых компьютеров.

                      @kowex said in Изолирование компьютеров в локальной сети:

                      , промышленное оборудование в котором нет ничего.

                      Тем более.

                      K 1 Reply Last reply Reply Quote 0
                      • K
                        Kowex @pigbrother
                        last edited by

                        @pigbrother да там циски стоят, с этим проблем нет, хотел упростить схему, но видимо не выйдет, для каждого свой VLAN и порт каждый в свой VLAN

                        P 1 Reply Last reply Reply Quote 0
                        • P
                          pigbrother @Kowex
                          last edited by

                          @kowex said in Изолирование компьютеров в локальной сети:

                          для каждого свой VLAN

                          Если изолировать друг от друга - то да. Удачи!

                          1 Reply Last reply Reply Quote 0
                          • werterW
                            werter
                            last edited by

                            Добрый
                            @Kowex

                            сеть 192.168.0.0/24

                            Оч. надеюсь, что это пример и адресация у вас в продакшене совсем иная.

                            K 1 Reply Last reply Reply Quote 0
                            • dragoangelD
                              dragoangel @Kowex
                              last edited by

                              @kowex нужно сделать client isolation на свитче, тогда они будут видеть только шлюз, на шлюзе запретить обращаться к всем ip с подсети кроме dns 53 tcp/udp и icmp на сам шлюз - профит. Дробить vlan на каждый комп - это извращение

                              Latest stable pfSense on 2x XG-7100 and 1x Intel Xeon Server, running mutiWAN, he.net IPv6, pfBlockerNG-devel, HAProxy-devel, Syslog-ng, Zabbix-agent, OpenVPN, IPsec site-to-site, DNS-over-TLS...
                              Unifi AP-AC-LR with EAP RADIUS, US-24

                              L werterW 2 Replies Last reply Reply Quote 0
                              • K
                                Kowex @werter
                                last edited by

                                @werter естественно.

                                @dragoangel said in Изолирование компьютеров в локальной сети:

                                vlan на каждый комп - это извращение

                                тут не поспоришь

                                1 Reply Last reply Reply Quote 0
                                • L
                                  luha @dragoangel
                                  last edited by

                                  @dragoangel said in Изолирование компьютеров в локальной сети:

                                  нужно сделать client isolation на свитче

                                  Потдерживаю. Банальная задача - банальное решение.

                                  1 Reply Last reply Reply Quote 0
                                  • werterW
                                    werter @dragoangel
                                    last edited by

                                    @dragoangel

                                    @kowex нужно сделать client isolation на свитче, тогда они будут видеть только шлюз, на шлюзе запретить обращаться к всем ip с подсети кроме dns 53 tcp/udp и icmp на сам шлюз - профит.

                                    Это если у ТС свитчи в L3 умеют. Иначе - только Private VLAN - https://habr.com/ru/post/165195/, https://www.cisco.com/c/en/us/support/docs/lan-switching/private-vlans-pvlans-promiscuous-isolated-community/40781-194.html

                                    dragoangelD 1 Reply Last reply Reply Quote 0
                                    • dragoangelD
                                      dragoangel @werter
                                      last edited by dragoangel

                                      @werter глупости полнейшие. L2 managed switch на уровне ARP таблицы и ebtables режит на ура. К примеру cisco, ubiquity etc: port isolation. Я еще раз говорю: не хаб, а свитч. То же самое что guest network на wifi

                                      Latest stable pfSense on 2x XG-7100 and 1x Intel Xeon Server, running mutiWAN, he.net IPv6, pfBlockerNG-devel, HAProxy-devel, Syslog-ng, Zabbix-agent, OpenVPN, IPsec site-to-site, DNS-over-TLS...
                                      Unifi AP-AC-LR with EAP RADIUS, US-24

                                      werterW 1 Reply Last reply Reply Quote 0
                                      • werterW
                                        werter @dragoangel
                                        last edited by werter

                                        Причем тут ebtables и циска? Про разницу между хабом и свитчом в курсе.

                                        Изоляция клиентов в случае ТС будет выполняться на L2 с помощью PVLAN:
                                        https://www.reddit.com/r/networking/comments/2d0sb1/best_way_to_isolate_clients_across_large_amounts/

                                        You are correct. Private vlans is what you want

                                        Или дайте ссылку КАК реализовать без использования PVLAN на L2-свитче.

                                        guest network на wifi

                                        Проделывал на той же Openwrt:

                                        1. VLAN (L2)
                                        2. ebtables (L2) + iptables (L3)

                                        Ну вот незадача, на L2-свитче (внезапно) нет аналога iptables (2-й уровень OSI и не должен уметь, то, что умеет 3-й)

                                        L 1 Reply Last reply Reply Quote 0
                                        • L
                                          luha @werter
                                          last edited by luha

                                          @werter Ну не знаю. Многие задачи как по мне проще решать именно на свичах. Ограничение трафика, разделение на группы и т.д.. Да и просто удобно - накупили пусть даже не супер дорогих, но нормальных управляемых свичей, по сети залез в админку и рулишь. Посмотреть можно статусы, кстати.

                                          Вот для примера How to для простых свичей tp-link из любой ближайшей булочной:
                                          https://www.tp-link.com/pl/support/faq/788/

                                          Просто сам юзаю то тут то там TL-SG108PE и знаете решает. А про навороченные там всякие с консолью так и вовсе молчу. Функционал ух - и ГРЕ и что угодно. Любую изоляцию сделает.

                                          werterW 1 Reply Last reply Reply Quote 0
                                          • werterW
                                            werter @luha
                                            last edited by werter

                                            @luha
                                            Я где-то написал, что НЕ надо использовать возможности свитчей?
                                            Я написал о том, что изолировать клиентов друг от друга прийдется на уровне 2, т.е. там, где исп-ся (P)VLAN.

                                            @dragoangel
                                            https://ru.wikipedia.org/wiki/VLAN

                                            Обозначение членства в VLAN
                                            ...
                                            по MAC-адресу (MAC-based): членство в VLANe основывается на MAC-адресе рабочей станции. В таком случае сетевой коммутатор имеет таблицу MAC-адресов всех устройств вместе с VLANами, к которым они принадлежат.
                                            ...

                                            Вот это ТС-у и надо. Настраивается вот так https://www.cisco.com/c/en/us/support/docs/smb/switches/cisco-350-series-managed-switches/smb5657-configure-mac-based-vlan-groups-on-a-switch-through-the-cli.html
                                            Как по другому в этой вселенной - я не в курсе. Почему? Потому как машины, к-ые надо изолировать друг от друга, могут быть подключены (внезапно) к одному и тому порту на свитче.

                                            L dragoangelD 3 Replies Last reply Reply Quote 0
                                            • First post
                                              Last post
                                            Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.