Закрыть интрнет только на втором WAN\OPT1



  • Доброго времени.
    Есть 2 wan. WAN и OPT1. = Member down - всё идёт через WAN пока не упадёт.
    Пытаюсь закрыть интеренет (пока полностью) для определённых хостов по OPT1.
    по мануалу http://ru.doc.pfsense.org/index.php/%D0%98%D0%BD%D1%82%D0%B5%D1%80%D0%BD%D0%B5%D1%82_%D0%BE%D1%82_%D0%B4%D0%B2%D1%83%D1%85_%D0%BF%D1%80%D0%BE%D0%B2%D0%B0%D0%B9%D0%B4%D0%B5%D1%80%D0%BE%D0%B2_(pfSense_2.x)

    Выбираю в - Advanced Options @gateway любой шлюз, инет не работает.

    Задача закрыть для хоста\сети инет при активации ОРТ1.



  • Не понял проблемы, в Firewall-rules-Lan просто создаёте правила в которых указываете что на те ресурсы которые вы хотите закрыть ходили только через WAN, собственно как вы и написали делается это в Advanced Options правил, выставляете шлюз WAN.
    Так же вам скорее всего придётся как то делать чтобы пакеты не доходили до общего открывающего правила в Lan, вариантов два или переносить правила в Float и ставить в правиле параметр Quick, или писать ещё запрещающее правило после разрешающего в  Lan.

    p.s.
    Сумбурно как то написал :)



  • В том то и дело.
    какой бы WAN\OPT1 я не выставил в доп. настройках, интернета нет.



  • Давайте для начала выясним у вас мультиван или нет.
    Кроме скажите если оставляете default gateway в Advanced Option правил инет у вас есть?
    Так же хотелось узнать стоит ли у вас в  System - Advanced - Miscellaneous галочка на Enable default gateway switching ?



  • Добрый.
    @ merdzd
    Скрины правил fw покажите.



  • @Uranus:

    мультиван - ДА
    любой - gateway в Advanced Option правил отключает инет?
    В  System - Advanced - Miscellaneous галочки,  Нет.  Группами переключается?



  • @werter:

    Добрый.
    @ merdzd
    Скрины правил fw покажите.








  • Добрый.
    На всех фото в правилах есть ошибки.

    Касаемо LAN. Верхнее пускает всё TCP (на кой ляд?) через main, остальное идет согласно правилу ниже через default gw.
    Разберитесь с этим.



  • Убрал но создание правила как описано выше, Всё равно выключает интернет на обоих wan.




  • Добрый.
    WAN - шлюз по умолчанию и до его падения все и для всех будет идти через него.
    И то, что создано вами на скрине выше работать будет только, если WAN упадет.

    Всё равно выключает интернет на обоих wan.

    Покажите скрин настроек System- General Setup



  • Ну по факту правило работает, сразу только блокирует 10.0.0.30 при любом wan.
    Отключал Wan c этим правилом, блокировка так и осталась, как и должно быть.
    или я не понял? что то?
    Нам надо чтоб оно блокировало при падении wan.




  • Добрый.
    Так у вас на OPT1 - серый адрес. Чего ж молчали ? Роутер железный есть на OPT1?
    Откл. блокирование серых сетей на OPT1.



  • Посмотрите пож скрин с поста №6. ОРТ1
    Там нет блокировки вообще.
    Или вы про роутер перед pfsense?

    Интернет на OPT1 работает.

    Не пойму как правило LAN  для второго шлюза.  (в приложенном)
    Блокирует интернет на WAN.




  • Ну по факту правило работает, сразу только блокирует 10.0.0.30 при любом wan.

    Это не так. Правило блокирует доступ в Сеть для указанного ip только через явно указанный шлюз OPT1.
    И при рабочем в данный момент WAN-е указанный ip будет иметь доступ в Сеть через шлюз WAN.

    Или вы про роутер перед pfsense?

    У вас на ОПТ1 - адсл? Если адсл и поднимается pppoe - перевести модем в режим бриджа\моста и пусть пф поднимает pppoe- сессию. Если же там железка провайдера - тады ничего не пожелаешь и на ОПТ1 действительно будет серый ip.
    Если же ни то ни другое - на кой ляд он (железный роутер) там нужен?

    Что такое алиас LOCSERV и почему правило висит на внешнем интерфейсе ОПТ1 ? Если это локальные серверы в ЛАН - правило неверное.

    Повторюсь еще раз. На всех фото в правилах есть ошибки. Нарисуйте схему сети и переосмыслите правила fw еще раз. За вас это никто лучше не сделает.

    Ps. У проблемного ip шлюзом и ДНС-ом что в сетевых настройках? Должен быть локал. ip пф. Установлен ли сквид + гвард ? Какие-то доп. пакеты вообще присутствуют ?



  • И при рабочем в данный момент WAN-е указанный ip будет иметь доступ в Сеть через шлюз WAN.

    Именно это не происходит, с первого поста. Доступа нет.
    Если я включу правило для 10.0.0.30 по ОРТ1  то при рабочем и не рабочем wan интернета нет.

    для OPT на конце 4G антена.



  • для OPT на конце 4G антена.

    Может 4G USB-модем ?



  • Ethernet modem.
    Но это не важно мне кажется?

    Сейчас добавил в правило для 10.0.0.30 сайты на исключения которые должны открываться и всё работает с этими сайтами.

    Но опция Gateway в  Advanced  не как не влияет на правило, любой шлюз указанный\не указанный там блокирует доступ.



  • @werter:

    для OPT на конце 4G антена.

    Может 4G USB-модем ?

    Mikrotik SXT LTE



  • Добавив в Aliases тип networks имя хоста а не ip вроде всё заработало как надо.
    С чем связанно?

    Тестирую дальше.



  • Добрый.
    IP динамический, видимо.



  • @werter:

    Добрый.
    IP динамический, видимо.

    Часть локалки да. часть зарезервирована на DHCP/
    Сейчас перестало работать по имени и работает только по IP.



  • В итоге Aliases работает по IP для  OPT1 и по имени для WAN
    И  Aliases наверное не причём.
    Даже если создать правило в котором Single host or Alias указывать IP или имя хоста.
    результат такой же.

    Возвращаемся к топику:
    Правило в LAN для шлюза OPT1 по Ip,
    блокирует интернет на WAN шлюзе.




  • Есть мысли как починить?
    Я так понимаю что связано с тем что на ОРТ1 ip из локальных.
    Но пробросить на него белый я не могу.



  • мне кажется вы не совсем понимаете назначение gateway в настройках фаервола.

    Это не условия типа "если", это прямое предписание. Если условиЯ выполняются, ТО ДЕЛАТЬ такой гейт. Судя по вашему скрину логика такая: "если IP отправителя такой то, то назначить маршрутизацию через гейт OPT1 и дропнуть"



  • Как я понимаю-  Это прямое предписание дропать трафик на шлюзе OPT1  ресурсу в локальной сети IP 10.0.0.30. Если по скрину.

    Просто для одного шлюза это работает по ip для втрого по имени. #21

    "Задача закрыть для хоста\сети инет при работе через ОРТ1. " https://forum.pfsense.org/index.php?topic=146495.0



    1. а почему каунтер пакетов на правиле нулевой?
    2. почему только TCP? а как же всякие там UDP, ICMP ??

    Алгорим должен быть такой:

    1. если IP-src = 10.0.0.30 действие PASS и гейт WAN (не OPT)
    2. все IP сети интерфейса (по маске) действие PASS и гейт FAILOWER_GROUP

    остальное сами додумаете?



  • @derwin:

    1. все IP сети интерфейса (по маске) действие PASS и гейт FAILOWER_GROUP

    остальное сами додумаете?

    Начал додумывать но смутило

    1. все IP сети интерфейса (по маске) действие PASS и гейт FAILOWER_GROUP
      Почему не сразу блок  10.0.0.30  для OPT1?


  • патамушта я уже писал, если указываете гетвейт в рулесе - это не блок "если", это предписание. Читайте моё сообщение выше.

    Судя по вашему скрину логика такая: "если IP отправителя такой то, то назначить маршрутизацию через гейт OPT1 и дропнуть"

    больше внимательности пожалуйста!

    PS: не забываем, всё что не попало под рулесы автоматически дропается.



  • То есть так (скрин) правила не сработают если wan упадёт?




  • второе правило никогда не сработает



  • Quote>второе правило никогда не сработает

    « Reply #21 on: May 08, 2018, 03:28:54 am »

    ПО Ip второе правило работает.
    По Имени хоста нет.

    Проблема только в этом сейчас.

    В то же время для WAN правило работает по имени но не работает по ip
    Если бы для обоих правил работало по ip или имени достаточно было бы одного правила.
    Или я что то не понял опять.



  • Попытаюсь ещё так объяснить.

    Вот (скрин) правило блокировки для Source - Aliases  "IPs2block"  всего, кроме яндекса. (Aliases)
    В Alias "IPs2block"  вписано имя (хост) локального ПК "COMP30".
    Правило работает.

    Вписываем в Alias "IPs2block"  IP пк 10.0.0.30  или прям в правило Source ip 10.0.0.30
    yandex на COMP30  не работает.




  • товарищ, ты в алиасы вписываешь ИМЕНА компов? у тебя наверное настроен AD и доверительные запросы? иначе это всё насколько уныло, насколько и глупо.
    я Вам уже дал развернутый совет под Вашу реализацию. Свой велосипед можете показать уже после того, как он у Вас заработает. Пока же, не вижу смысла в своём участи в дальнейшем обсуждении.



  • Извините что довёл вас до level comunizm. Не злитесь пожалуйста.
    Оказалось в 2.3.2-RELEASE System Routing Gateways Edit \ "Mark Gateway as Down" не работает корректно.
    При выдёргивании кабеля физически всё заработало.



  • Добрый.
    Обновитесь до последнего из ветки 2.3.х