Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Создать изолированные подсети

    Scheduled Pinned Locked Moved Russian
    7 Posts 3 Posters 2.1k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • S
      ssgorbunkov
      last edited by

      Добрый день. Возможно, вопрос обсуждался, но точного ответа на форуме не нашел. Если кто знает решение моей задачи, то помогите или ткните, где посмотреть. Ситуация довольно простая. Есть 4 подсети, с разными диапазонами ip. Первая -  серверная, 3 остальных - рабочие станции. Нужно, чтобы подсети рабочих станций были изолированы друг от друга (компьютеры не пинговались), но чтобы все компьютеры этих подсетей видели сервера. На pfsense установлены 4 сетевые платы. Траффик по сети довольно большой, общее число компов 200 шт.
      Подскажите, чем лучше выполнить такую задачу. Железо, на которое установлен Pfsense не очень мощное.

      1 Reply Last reply Reply Quote 0
      • werterW
        werter
        last edited by

        Доброе.
        Рисуйте схему с адресацией.
        Ваша задача реализуется средствами fw на интерфейсах.

        P.s. Кстати, вместо 4-ех сетевых карт можно было бы исп. l2-свитч (VLAN). Сейчас и гигабитные недороги  - напр., tp-link.

        1 Reply Last reply Reply Quote 0
        • S
          ssgorbunkov
          last edited by

          как поделить сеть vlan ами я понимаю, а вот как сделать, чтобы один vlan был открыт для других - пока не получается реализовать. Метод гибридных портов не подходит

          1 Reply Last reply Reply Quote 0
          • R
            rubic
            last edited by

            Все решается правилами firewall. Тупой способ - создать на каждом из интерфейсов рабочих станций правило разрешающее доступ к подсети серверов, а под ним - правила запрешающие доступ в подсети других рабочих станций. Более элегантный способ - решить все парой floating rules или сделать interface group для рабочих сетей, чтобы не прописывать все на каждом из их интерфейсов.

            1 Reply Last reply Reply Quote 0
            • werterW
              werter
              last edited by

              @ssgorbunkov:

              как поделить сеть vlan ами я понимаю, а вот как сделать, чтобы один vlan был открыт для других - пока не получается реализовать. Метод гибридных портов не подходит

              Думается, в Вашем случае хватит просто правил fw.
              Что касается vlan, то порт на свитче может быть tag\untag несколькими vlan id одновременно. Более того, порт может быть untag одним vlan id и tag др. vlan id одновременно.

              1 Reply Last reply Reply Quote 0
              • S
                ssgorbunkov
                last edited by

                Спасибо, что подтвердили мои намерения действовать при помощи правил файервола. Одно только сомнение, как повлияет сама железка, на которой стоит pfSense на скорость сети. Все оборудование гигабитное, трафик бывает большой.

                1 Reply Last reply Reply Quote 0
                • werterW
                  werter
                  last edited by

                  Мониторьте. Вам там виднее на месте.

                  1 Reply Last reply Reply Quote 0
                  • First post
                    Last post
                  Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.