4. Regras de bloqueio completo VLAN para LAN e vice-versa

Regras de bloqueio completo VLAN para LAN e vice-versa

  • K

    Boa tarde,

    Estou realizando a configuração de duas VLANs no pfSense.
    Criei uma das VLANs para teste, coloquei a tag 100 nesta. Configurei o Switch adicionando a VLAN de tag 100 e adicionando as portas a esta VLAN, no meu caso as portas ficaram marcadas como untagged e a porta do pfSense como tagged, pois o switch é um TP Link e não há atribuição de trunk port a não ser esta.

    Consegui realizar a criação e a distribuição DHCP por esta porta da VLAN sem problemas, porem, como faço para criar regras de bloqueio entre a VLAN e a LAN, com um bloqueio completo nas floating rules eu consegui impedir a comunicação de ping, compartilhamento de arquivos, etc, entre as redes, porem com o Nmap, wireshark, tcpdump, ainda consigo visualizar o tráfego realizado nas duas redes (realizei testes de um computador dentro da VLAN e na LAN).

    Sabem alguma forma de bloquear estas varreduras que podem ser feitas na rede interna? Para que não seja possível a identificação de diferentes redes em um mesmo switch?

    0

  • Se a vlan está isolada na camada 2, as regras de fw em cada uma das interfaces lan e vlan são suficientes para bloquear ou liberar qualquer tráfego.

    Se atribuir ip no switch para as vlans, ele vai rotear via camada 3 e pode "ignorar o fw" dependendo de como estão ad rotas.

    Alguns switches fazem broadcast do tráfego para todas as portas em algumas circunstâncias, mas esse comportamento não é padrão.

    0
  • K

    @marcelloc:

    Se a vlan está isolada na camada 2, as regras de fw em cada uma das interfaces lan e vlan são suficientes para bloquear ou liberar qualquer tráfego.

    Se atribuir ip no switch para as vlans, ele vai rotear via camada 3 e pode "ignorar o fw" dependendo de como estão ad rotas.

    Alguns switches fazem broadcast do tráfego para todas as portas em algumas circunstâncias, mas esse comportamento não é padrão.

    Agradeço a resposta.
    As regras de firewall estão Ok, estou conseguindo bloquear e liberar o tráfego entre as duas redes, porem, o meu problema é a ultima coisa que você apontou ,quando coloco um host com o Wireshark rodando na rede VLAN, ainda consigo escutar o tráfego de broadcast e multcast da rede LAN.

    As configurações do Switch estão como padrão, alterei somente as taggs das portas que iriam participar da VLAN.

    Sabe de algo que posso fazer para que a VLAN seja totalmente isolada para que ela pare de escutar o tráfego de broadcast da rede LAN?

    0
Log in to reply
 

Products

Applications

Support

Services

News

Resources

Company

Our Mission

As host of the pfSense open source firewall project, Netgate believes in enhancing network connectivity that maintains both security and privacy. We also believe everyone should be able to afford it.

Subscribe to our Newsletter

Product information, software announcements, and special offers. See our newsletter archive for past announcements.

© Copyright 2002 - 2019 Rubicon Communications, LLC | Privacy Policy