Navigation

    Netgate Discussion Forum
    • Register
    • Login
    • Search
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search

    Regras de bloqueio completo VLAN para LAN e vice-versa

    Portuguese
    2
    3
    1045
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • K
      KFellipe last edited by

      Boa tarde,

      Estou realizando a configuração de duas VLANs no pfSense.
      Criei uma das VLANs para teste, coloquei a tag 100 nesta. Configurei o Switch adicionando a VLAN de tag 100 e adicionando as portas a esta VLAN, no meu caso as portas ficaram marcadas como untagged e a porta do pfSense como tagged, pois o switch é um TP Link e não há atribuição de trunk port a não ser esta.

      Consegui realizar a criação e a distribuição DHCP por esta porta da VLAN sem problemas, porem, como faço para criar regras de bloqueio entre a VLAN e a LAN, com um bloqueio completo nas floating rules eu consegui impedir a comunicação de ping, compartilhamento de arquivos, etc, entre as redes, porem com o Nmap, wireshark, tcpdump, ainda consigo visualizar o tráfego realizado nas duas redes (realizei testes de um computador dentro da VLAN e na LAN).

      Sabem alguma forma de bloquear estas varreduras que podem ser feitas na rede interna? Para que não seja possível a identificação de diferentes redes em um mesmo switch?

      1 Reply Last reply Reply Quote 0
      • marcelloc
        marcelloc last edited by

        Se a vlan está isolada na camada 2, as regras de fw em cada uma das interfaces lan e vlan são suficientes para bloquear ou liberar qualquer tráfego.

        Se atribuir ip no switch para as vlans, ele vai rotear via camada 3 e pode "ignorar o fw" dependendo de como estão ad rotas.

        Alguns switches fazem broadcast do tráfego para todas as portas em algumas circunstâncias, mas esse comportamento não é padrão.

        Treinamentos de Elite: http://sys-squad.com

        Help a community developer! ;D

        1 Reply Last reply Reply Quote 0
        • K
          KFellipe last edited by

          @marcelloc:

          Se a vlan está isolada na camada 2, as regras de fw em cada uma das interfaces lan e vlan são suficientes para bloquear ou liberar qualquer tráfego.

          Se atribuir ip no switch para as vlans, ele vai rotear via camada 3 e pode "ignorar o fw" dependendo de como estão ad rotas.

          Alguns switches fazem broadcast do tráfego para todas as portas em algumas circunstâncias, mas esse comportamento não é padrão.

          Agradeço a resposta.
          As regras de firewall estão Ok, estou conseguindo bloquear e liberar o tráfego entre as duas redes, porem, o meu problema é a ultima coisa que você apontou ,quando coloco um host com o Wireshark rodando na rede VLAN, ainda consigo escutar o tráfego de broadcast e multcast da rede LAN.

          As configurações do Switch estão como padrão, alterei somente as taggs das portas que iriam participar da VLAN.

          Sabe de algo que posso fazer para que a VLAN seja totalmente isolada para que ela pare de escutar o tráfego de broadcast da rede LAN?

          1 Reply Last reply Reply Quote 0
          • First post
            Last post