Настройка доступа между подсетями



  • Всем привет!
    Начинаю потихоньку осваивать сети и pfSense в частности.

    Есть задача - привести в порядок небольшую сеть, порядка 50 ПК.
    Сейчас все сидят через SOHO роутер(старый дир300) и не парятся по этому поводу. Знающие люди насоветовали микротик и управляемые свичи с vlan'ами. Но этого нет, зато есть старый ПК на котором решил поэкспериментировать с pfSense.

    Суть вопроса: раскидать людей в разных отделах по подсетям(192,168,1,0/24 - админы, 192,168,2,0/24 - отдел кадров, 192,168,3,0/ - экономисты, 192,168,4,0/ - бухи, 192,168,5,0/24 - руководство, и т.д ), и запретить им доступ друг к другу, но дать интернет и доступ к машине с файлопомойкой из сети админов 192,168,1,0/24.
    Что-то мне подсказывает что это можно сделать и без vlan'ов и управляемых свичей, как-то надо настроить фаерволл, но как именно не знаю - не хватает знаний и опыта. Если есть возможность, объясните доступным языком пожалуйста  ::)



  • Доброе.

    Что-то мне подсказывает что это можно сделать и без vlan'ов и управляемых свичей

    Можно. Суйте столько физ. сет. карт, сколько вам нужно сетей.



  • Это да. А при нулевом бюджете остаётся только отключить службу доступа к файлам и принтерам на рабочих станциях.



  • @werter:

    Доброе.

    Что-то мне подсказывает что это можно сделать и без vlan'ов и управляемых свичей

    Можно. Суйте столько физ. сет. карт, сколько вам нужно сетей.

    а без физ. сетивух никак? вроде в pfsense есть Virtual IP, или их не получится использовать для моей задумки ?



  • @Invader_Zim:

    @werter:

    Доброе.

    Что-то мне подсказывает что это можно сделать и без vlan'ов и управляемых свичей

    Можно. Суйте столько физ. сет. карт, сколько вам нужно сетей.

    а без физ. сетивух никак? вроде в pfsense есть Virtual IP, или их не получится использовать для моей задумки ?

    Коротко - нет. Они физически нах-ся в одной сети. Или исп. VLAN.

    P.s. Кстати тот же dir-100 умеет быть vlan-свитчом.

    P.p.s. Если ваш дир-300 ревизий B1-B3 (написано на попе у него), то можно его перешить в wive-ng - http://forum.ixbt.com/topic.cgi?id=14:58466
    Образ для начальной перепрошивки - http://forum.seti.kr.ua/showthread.php?t=24426
    Далее , тут - https://sourceforge.net/projects/wive-ng/files/wive-ng-rtnl/

    У вас же с одной антенной ? Тогда образ - Wive_WR-150N-RT3050-1T1R



  • @werter:

    @Invader_Zim:

    @werter:

    Доброе.

    Что-то мне подсказывает что это можно сделать и без vlan'ов и управляемых свичей

    Можно. Суйте столько физ. сет. карт, сколько вам нужно сетей.

    а без физ. сетивух никак? вроде в pfsense есть Virtual IP, или их не получится использовать для моей задумки ?

    Коротко - нет. Они физически нах-ся в одной сети. Или исп. VLAN.

    P.s. Кстати тот же dir-100 умеет быть vlan-свитчом.

    О! получилось с такими настройками
    сделал на физическом Lan(192,168,1,1) интерфейсе виртуальный Virtual IP с адресом подсети 192,168,2,1, и настроил фаерволл.

    Жду камментов про то какой это костыльный способ :) я так понимаю в этом случае сильно возрастёт нагрузка на физический Lan и процессор ?




  • Пинганите адрес из др подсети. Условие, у всех машин адресами шлюзов должен быть пф.



  • @werter:

    Пинганите адрес из др подсети. Условие, у всех машин адресами шлюзов должен быть пф.

    У одной подсети шлюз пф(192,168,1,1), у другой шлюз Virtual IP(192,168,2,1) - инет есть у обоих подсетей, пинг между подсетями не проходит. Если у обоих подсетей шлюзом поставить пф ясное дело они друг друга увидят



  • Будут ходить пакеты или нет определяют правила.

    В остальном, в целом такой способ имеет право на жизнь. Безопасность правда не ахти.



  • @Invader_Zim:

    @werter:

    Пинганите адрес из др подсети. Условие, у всех машин адресами шлюзов должен быть пф.

    У одной подсети шлюз пф(192,168,1,1), у другой шлюз Virtual IP(192,168,2,1) - инет есть у обоих подсетей, пинг между подсетями не проходит. Если у обоих подсетей шлюзом поставить пф ясное дело они друг друга увидят

    У машин в любом случае будут шлюзами пф-ы.
    Еще вариант - зайдите в сетевое окружение и смотрите появятся ли машины из др. сетей.



  • @werter:

    У машин в любом случае будут шлюзами пф-ы.
    Еще вариант - зайдите в сетевое окружение и смотрите появятся ли машины из др. сетей.

    Вы имеете ввиду физический шлюз пф который 192,168,1,1? или как? просто что мешает вручную у юзера забить шлюзом виртуальный ИП необходимой подсети, может я что-то не пойму.
    Если делать как мне надо, машины из разных подсетей не видят друг друга в сетевом окружении.

    @Scodezan:

    Будут ходить пакеты или нет определяют правила.

    Ну так я и просил помощи в написании таких правил :)

    @Scodezan:

    В остальном, в целом такой способ имеет право на жизнь. Безопасность правда не ахти.

    А в чём выражается безопасность не ахти? у юзеров админских прав нет, привяжу мак адрес машины к нужному айпишнику из нужной подсети, в чём ещё могут быть проблемы?



  • @Invader_Zim:

    Если делать как мне надо, машины из разных подсетей не видят друг друга в сетевом окружении.

    В общем то могут и видеть, но доступа всё равно не будет. Если только по ipv6…

    @Invader_Zim:

    А в чём выражается безопасность не ахти? у юзеров админских прав нет, привяжу мак адрес машины к нужному айпишнику из нужной подсети, в чём ещё могут быть проблемы?

    У меня по тому же принципу более 4-х лет работает. Лично я проблем не имел, за исключением тех случаев когда на одной машине одновременно назначены несколько сетей, тоесть  192.168.[101-109].33/24
    Только у меня нет сервера в "админской сети". Для него я рекомендую вставить ещё одну сетевую карту.



  • @Invader_Zim:

    @Scodezan:

    Будут ходить пакеты или нет определяют правила.

    Ну так я и просил помощи в написании таких правил :)

    например
    pass * * * LAN Address 80 * * Anti-Lockout Rule
    pass IPv4 UDP * * This Firewall 53 (DNS) * none    
    pass IPv4 * * * ! 192.168.0.0/16 * * none
    остальные правила нужно удалить



  • @Scodezan:

    @Invader_Zim:

    @Scodezan:

    Будут ходить пакеты или нет определяют правила.

    Ну так я и просил помощи в написании таких правил :)

    например
    pass * * * LAN Address 80 * * Anti-Lockout Rule
    pass IPv4 UDP * * This Firewall 53 (DNS) * none    
    pass IPv4 * * * ! 192.168.0.0/16 * * none
    остальные правила нужно удалить

    Спасибо! Я приблизительно так и сделал, только необходимые подсети загнал в алиас и его прописал после !

    Странно что везде где искал решение по данной теме, натыкался на советы что без vlan'ов нельзя, надо покупать цыску, или на худой конец, микротик, и управляемые свичи. Такое чувство что людям производители доплачивают за такие советы.



  • @Invader_Zim:

    Такое чувство что людям производители доплачивают за такие советы.

    Ага, это картельный сговор. VLAN-ы враги придумали.
    То что сделали вы - это костыль и по бедности. Так сети не изолируешь.

    http://linkmeup.ru/tag/сети для самых маленьких/



  • @werter:

    То что сделали вы - это костыль и по бедности. Так сети не изолируешь.

    ;D

    Почти цитата из мультфильма Трое из Простоквашино

    Не правильно ты, дядя Федор, бутерброд ешь… Ты его колбасой кверху держишь, а надо колбасой на язык класть. Так вкуснее получится…



  • Лан, хорош ссориться. VLAN способствует защите от шума, шторма и сниффера.



  • И снова здравствуйте  ;D

    В продолжении темы, захотел на одной подсети (так которая сидит на физическом интерфейсе и раздаётся автоматом), ограничить скорость(типа гостевая сеть). Но столкнулся с проблемой, что если правило стоит ниже того, где запрещается доступ между всеми подсетями, то ограничение скорости не работает, а если выше то гостевая сеть видит другие подсети и они её.

    Подскажите как быть? Или нельзя чтоб одна подсеть была в двух правилах фаерволла?



  • сам спросил, сам ответил
    в правиле ограничивающим скорость надо было поставить галку "Allow IP Options" и всё заработало  :o



  • Вобщем попробовал сегодня заменить ДИР-300 pfsens'ом. Понасоздавал виртуальных айпишников с подсетями(от 192,168,0,0 до 192,168,9,0) и позагонял туда ПК. Поначалу всё было нормально, а где-то через час начала отваливаться подсеть 192,168,1,0/24 где сидит сервер с ПО, пришлось в экстренном порядке возвращать всё как было. Причём складывается такое впечатление что pfsens пытался гнать трафик в подсеть 192,168,1,0/24 через провайдера, тк при пинге машины 192,168,1,230 приходит ответ(что заданный узел недоступен) из 194,,,* который относится к первому провайдеру.

    Может МультиВан некорректно работает на свежей версии pfsens'а, или я где-то недоставил галочку, куда копать ?



  • Если неправильно пошел пинг — смотреть интерфейсы и таблицу маршрутизации, ну да и правила, которыми вы перенаправляете пакеты на шлюзы. Вы скорее всего забыли простое правило между подсетями, в котором не указан шлюз.
    Кстати, если вам не требуется блокировать трафик из одной подсети в другую на LAN, рекомендую воспользоваться Classless Route методом, описанный rubic.



  • @PbIXTOP:

    Если неправильно пошел пинг — смотреть интерфейсы и таблицу маршрутизации, ну да и правила, которыми вы перенаправляете пакеты на шлюзы. Вы скорее всего забыли простое правило между подсетями, в котором не указан шлюз.
    Кстати, если вам не требуется блокировать трафик из одной подсети в другую на LAN, рекомендую воспользоваться Classless Route методом, описанный rubic.

    Как раз для блокировки трафика между подсетями и хочу использовать pfsens(ну и для мультивана). Завтра посмотрю что я там намудрил в правилах, если что сброшу скриншоты.



  • Раз все подсети сидят в одном L2 домене, то от ушлых обход трафика через pfSense будет не проблема.
    Кстати не забывайте, что есть еще и IPv6 и ему все равно на ваши попытки разделения IPv4 трафика.
    Если файлопомойка должна быть доступна из всех подсетей, то лучше трафик до неё и обратно не прогонять через pfSense — мое ИМХО это просто лишний нагрев воздуха.