Перенаправление локального трафика

a7lan

@konstanti Понял. Жаль. Спасибо. Будем думать что делать.

Konstanti

@a7lan
если что , пишите мне в личку , думаю , что с моим вариантом смогу помочь ( если не найдете другого решения )

Iptables в этом отношении более гибкая подсистема , чем PF

werter

@a7lan

Дело в том, что при обращении к ресурсам ВНУТРИ сети трафик НЕ ИДЕТ через пф.

a7lan

@werter
То есть мы не может даже блокировать исходящий трафик к локальным ресурсам?

pigbrother

@a7lan said in Перенаправление локального трафика:

То есть мы не может даже блокировать исходящий трафик к локальным ресурсам?

Если работа сети в одном L2 сегменте, то ни pfSense, ни любой другой роутер не управляют этим трафиком. Если вы даже отключите pfSense вообще, хосты внутри сети продолжат общаться.
pfSense рулил бы трафиком, если бы сеть была поделена на подсети, а pfSense был бы между этими сетями маршрутизатором.

a7lan

@pigbrother Я не про обмен пакетами между устройствами в одной сети. Вопрос был Pfsens не умеет свой локальный трафик исходящий обрабатывать? блокировать например. Просто из комментария @werter звучит так, что исходящих трафик локальных процессов не идет через pf.
Говоря терминалогией iptables, тут нет iptables -t filter -A OUTPUT ... -j DROP ?

Konstanti

@a7lan
Вопрос был Pfsens не умеет свой локальный трафик исходящий обрабатывать? - может

Говоря терминалогией iptables, тут нет iptables -t filter -A OUTPUT ... -j DROP ? - есть

a7lan

@konstanti Жаль значит нет ната для локального трафика

Konstanti

@a7lan
я Вам об этом уже писал ранее . Блокировать исходящие пакеты PF умеет . То что вы хотите - нет . Решение существует . Но не из коробки .

werter

@a7lan
Это может Proxmox VE со своим 3-х уровневым Firewall-ом )

a7lan

@werter В проксмокс тот же iptables) только я не совсем понял причем тут proxmox.

werter

@a7lan
Вы хотите решить задачу?
Из коробки пф ТАК не умеет (Konstanti написал, что может помочь).
Но так умеет Прокс. И если вы его пользуете, то можно ограничиться Проксом.

Зы. Возможно, что в Проксе уже nftables )
Зы2. Вариант покупки L3-свитча тоже вам подойдет.

a7lan

@werter
Просто почему именно гипервизор? Я этого не совсем понял. Я понял что pf не может. Но почему не просто какой нибудь Linux дистр. Пытаюсь причинно-следственную связь найти. =)

Сейчас у меня в планах либо перевесить на Ubuntu server (так как с ним больше всего опыта работы). Либо готовое на основе него программное решение. Главное чтоб можно было в консоли в случае чего что-то поправить, так как бывает так, что не хватает функционала настроек из вебки

Konstanti

@a7lan
Здравствуйте
Ставьте Linux и не мучайтесь. Да, не будет красивой вебки, но будет полностью функциональная машина. У меня есть и PF и сервера на CentOs и FreeBSD . И все прекрасно администрируется из консоли

werter

@a7lan

Но так умеет Прокс. И если вы его пользуете, то можно ограничиться Проксом.

Перечитайте выше еще раз, а? Даже выделил специально для вас.