Настройка доступа между подсетями
-
Всем привет!
Начинаю потихоньку осваивать сети и pfSense в частности.Есть задача - привести в порядок небольшую сеть, порядка 50 ПК.
Сейчас все сидят через SOHO роутер(старый дир300) и не парятся по этому поводу. Знающие люди насоветовали микротик и управляемые свичи с vlan'ами. Но этого нет, зато есть старый ПК на котором решил поэкспериментировать с pfSense.Суть вопроса: раскидать людей в разных отделах по подсетям(192,168,1,0/24 - админы, 192,168,2,0/24 - отдел кадров, 192,168,3,0/ - экономисты, 192,168,4,0/ - бухи, 192,168,5,0/24 - руководство, и т.д ), и запретить им доступ друг к другу, но дать интернет и доступ к машине с файлопомойкой из сети админов 192,168,1,0/24.
Что-то мне подсказывает что это можно сделать и без vlan'ов и управляемых свичей, как-то надо настроить фаерволл, но как именно не знаю - не хватает знаний и опыта. Если есть возможность, объясните доступным языком пожалуйста ::)
-
Доброе.
Что-то мне подсказывает что это можно сделать и без vlan'ов и управляемых свичей
Можно. Суйте столько физ. сет. карт, сколько вам нужно сетей.
-
Это да. А при нулевом бюджете остаётся только отключить службу доступа к файлам и принтерам на рабочих станциях.
-
Доброе.
Что-то мне подсказывает что это можно сделать и без vlan'ов и управляемых свичей
Можно. Суйте столько физ. сет. карт, сколько вам нужно сетей.
а без физ. сетивух никак? вроде в pfsense есть Virtual IP, или их не получится использовать для моей задумки ?
-
Доброе.
Что-то мне подсказывает что это можно сделать и без vlan'ов и управляемых свичей
Можно. Суйте столько физ. сет. карт, сколько вам нужно сетей.
а без физ. сетивух никак? вроде в pfsense есть Virtual IP, или их не получится использовать для моей задумки ?
Коротко - нет. Они физически нах-ся в одной сети. Или исп. VLAN.
P.s. Кстати тот же dir-100 умеет быть vlan-свитчом.
P.p.s. Если ваш дир-300 ревизий B1-B3 (написано на попе у него), то можно его перешить в wive-ng - http://forum.ixbt.com/topic.cgi?id=14:58466
Образ для начальной перепрошивки - http://forum.seti.kr.ua/showthread.php?t=24426
Далее , тут - https://sourceforge.net/projects/wive-ng/files/wive-ng-rtnl/У вас же с одной антенной ? Тогда образ - Wive_WR-150N-RT3050-1T1R
-
Доброе.
Что-то мне подсказывает что это можно сделать и без vlan'ов и управляемых свичей
Можно. Суйте столько физ. сет. карт, сколько вам нужно сетей.
а без физ. сетивух никак? вроде в pfsense есть Virtual IP, или их не получится использовать для моей задумки ?
Коротко - нет. Они физически нах-ся в одной сети. Или исп. VLAN.
P.s. Кстати тот же dir-100 умеет быть vlan-свитчом.
О! получилось с такими настройками
сделал на физическом Lan(192,168,1,1) интерфейсе виртуальный Virtual IP с адресом подсети 192,168,2,1, и настроил фаерволл.Жду камментов про то какой это костыльный способ :) я так понимаю в этом случае сильно возрастёт нагрузка на физический Lan и процессор ?
-
Пинганите адрес из др подсети. Условие, у всех машин адресами шлюзов должен быть пф.
-
Пинганите адрес из др подсети. Условие, у всех машин адресами шлюзов должен быть пф.
У одной подсети шлюз пф(192,168,1,1), у другой шлюз Virtual IP(192,168,2,1) - инет есть у обоих подсетей, пинг между подсетями не проходит. Если у обоих подсетей шлюзом поставить пф ясное дело они друг друга увидят
-
Будут ходить пакеты или нет определяют правила.
В остальном, в целом такой способ имеет право на жизнь. Безопасность правда не ахти.
-
Пинганите адрес из др подсети. Условие, у всех машин адресами шлюзов должен быть пф.
У одной подсети шлюз пф(192,168,1,1), у другой шлюз Virtual IP(192,168,2,1) - инет есть у обоих подсетей, пинг между подсетями не проходит. Если у обоих подсетей шлюзом поставить пф ясное дело они друг друга увидят
У машин в любом случае будут шлюзами пф-ы.
Еще вариант - зайдите в сетевое окружение и смотрите появятся ли машины из др. сетей.
-
У машин в любом случае будут шлюзами пф-ы.
Еще вариант - зайдите в сетевое окружение и смотрите появятся ли машины из др. сетей.Вы имеете ввиду физический шлюз пф который 192,168,1,1? или как? просто что мешает вручную у юзера забить шлюзом виртуальный ИП необходимой подсети, может я что-то не пойму.
Если делать как мне надо, машины из разных подсетей не видят друг друга в сетевом окружении.Будут ходить пакеты или нет определяют правила.
Ну так я и просил помощи в написании таких правил :)
В остальном, в целом такой способ имеет право на жизнь. Безопасность правда не ахти.
А в чём выражается безопасность не ахти? у юзеров админских прав нет, привяжу мак адрес машины к нужному айпишнику из нужной подсети, в чём ещё могут быть проблемы?
-
Если делать как мне надо, машины из разных подсетей не видят друг друга в сетевом окружении.
В общем то могут и видеть, но доступа всё равно не будет. Если только по ipv6…
А в чём выражается безопасность не ахти? у юзеров админских прав нет, привяжу мак адрес машины к нужному айпишнику из нужной подсети, в чём ещё могут быть проблемы?
У меня по тому же принципу более 4-х лет работает. Лично я проблем не имел, за исключением тех случаев когда на одной машине одновременно назначены несколько сетей, тоесть 192.168.[101-109].33/24
Только у меня нет сервера в "админской сети". Для него я рекомендую вставить ещё одну сетевую карту.
-
Будут ходить пакеты или нет определяют правила.
Ну так я и просил помощи в написании таких правил :)
например
pass * * * LAN Address 80 * * Anti-Lockout Rule
pass IPv4 UDP * * This Firewall 53 (DNS) * none
pass IPv4 * * * ! 192.168.0.0/16 * * none
остальные правила нужно удалить
-
Будут ходить пакеты или нет определяют правила.
Ну так я и просил помощи в написании таких правил :)
например
pass * * * LAN Address 80 * * Anti-Lockout Rule
pass IPv4 UDP * * This Firewall 53 (DNS) * none
pass IPv4 * * * ! 192.168.0.0/16 * * none
остальные правила нужно удалитьСпасибо! Я приблизительно так и сделал, только необходимые подсети загнал в алиас и его прописал после !
Странно что везде где искал решение по данной теме, натыкался на советы что без vlan'ов нельзя, надо покупать цыску, или на худой конец, микротик, и управляемые свичи. Такое чувство что людям производители доплачивают за такие советы.
-
Такое чувство что людям производители доплачивают за такие советы.
Ага, это картельный сговор. VLAN-ы враги придумали.
То что сделали вы - это костыль и по бедности. Так сети не изолируешь.
-
Лан, хорош ссориться. VLAN способствует защите от шума, шторма и сниффера.
-
И снова здравствуйте ;D
В продолжении темы, захотел на одной подсети (так которая сидит на физическом интерфейсе и раздаётся автоматом), ограничить скорость(типа гостевая сеть). Но столкнулся с проблемой, что если правило стоит ниже того, где запрещается доступ между всеми подсетями, то ограничение скорости не работает, а если выше то гостевая сеть видит другие подсети и они её.
Подскажите как быть? Или нельзя чтоб одна подсеть была в двух правилах фаерволла?
-
сам спросил, сам ответил
в правиле ограничивающим скорость надо было поставить галку "Allow IP Options" и всё заработало :o
-
Вобщем попробовал сегодня заменить ДИР-300 pfsens'ом. Понасоздавал виртуальных айпишников с подсетями(от 192,168,0,0 до 192,168,9,0) и позагонял туда ПК. Поначалу всё было нормально, а где-то через час начала отваливаться подсеть 192,168,1,0/24 где сидит сервер с ПО, пришлось в экстренном порядке возвращать всё как было. Причём складывается такое впечатление что pfsens пытался гнать трафик в подсеть 192,168,1,0/24 через провайдера, тк при пинге машины 192,168,1,230 приходит ответ(что заданный узел недоступен) из 194,,,* который относится к первому провайдеру.
Может МультиВан некорректно работает на свежей версии pfsens'а, или я где-то недоставил галочку, куда копать ?
-
Если неправильно пошел пинг — смотреть интерфейсы и таблицу маршрутизации, ну да и правила, которыми вы перенаправляете пакеты на шлюзы. Вы скорее всего забыли простое правило между подсетями, в котором не указан шлюз.
Кстати, если вам не требуется блокировать трафик из одной подсети в другую на LAN, рекомендую воспользоваться Classless Route методом, описанный rubic.
-
Если неправильно пошел пинг — смотреть интерфейсы и таблицу маршрутизации, ну да и правила, которыми вы перенаправляете пакеты на шлюзы. Вы скорее всего забыли простое правило между подсетями, в котором не указан шлюз.
Кстати, если вам не требуется блокировать трафик из одной подсети в другую на LAN, рекомендую воспользоваться Classless Route методом, описанный rubic.Как раз для блокировки трафика между подсетями и хочу использовать pfsens(ну и для мультивана). Завтра посмотрю что я там намудрил в правилах, если что сброшу скриншоты.
-
Раз все подсети сидят в одном L2 домене, то от ушлых обход трафика через pfSense будет не проблема.
Кстати не забывайте, что есть еще и IPv6 и ему все равно на ваши попытки разделения IPv4 трафика.
Если файлопомойка должна быть доступна из всех подсетей, то лучше трафик до неё и обратно не прогонять через pfSense — мое ИМХО это просто лишний нагрев воздуха.
