Закрыть интрнет только на втором WAN\OPT1

merdzd

Доброго времени.
Есть 2 wan. WAN и OPT1. = Member down - всё идёт через WAN пока не упадёт.
Пытаюсь закрыть интеренет (пока полностью) для определённых хостов по OPT1.
по мануалу http://ru.doc.pfsense.org/index.php/%D0%98%D0%BD%D1%82%D0%B5%D1%80%D0%BD%D0%B5%D1%82_%D0%BE%D1%82_%D0%B4%D0%B2%D1%83%D1%85_%D0%BF%D1%80%D0%BE%D0%B2%D0%B0%D0%B9%D0%B4%D0%B5%D1%80%D0%BE%D0%B2_(pfSense_2.x)

Выбираю в - Advanced Options @gateway любой шлюз, инет не работает.

Задача закрыть для хоста\сети инет при активации ОРТ1.

Uranus

Не понял проблемы, в Firewall-rules-Lan просто создаёте правила в которых указываете что на те ресурсы которые вы хотите закрыть ходили только через WAN, собственно как вы и написали делается это в Advanced Options правил, выставляете шлюз WAN.
Так же вам скорее всего придётся как то делать чтобы пакеты не доходили до общего открывающего правила в Lan, вариантов два или переносить правила в Float и ставить в правиле параметр Quick, или писать ещё запрещающее правило после разрешающего в Lan.

p.s.
Сумбурно как то написал :)

merdzd

В том то и дело.
какой бы WAN\OPT1 я не выставил в доп. настройках, интернета нет.

Uranus

Давайте для начала выясним у вас мультиван или нет.
Кроме скажите если оставляете default gateway в Advanced Option правил инет у вас есть?
Так же хотелось узнать стоит ли у вас в System - Advanced - Miscellaneous галочка на Enable default gateway switching ?

werter

Добрый.
@ merdzd
Скрины правил fw покажите.

merdzd

@Uranus:

мультиван - ДА
любой - gateway в Advanced Option правил отключает инет?
В System - Advanced - Miscellaneous галочки, Нет. Группами переключается?

merdzd

@werter:

Добрый.
@ merdzd
Скрины правил fw покажите.

WAN.png_thumb

OPT1.png_thumb

lan.png_thumb

werter

Добрый.
На всех фото в правилах есть ошибки.

Касаемо LAN. Верхнее пускает всё TCP (на кой ляд?) через main, остальное идет согласно правилу ниже через default gw.
Разберитесь с этим.

merdzd

Убрал но создание правила как описано выше, Всё равно выключает интернет на обоих wan.

lan2.png_thumb

werter

Добрый.
WAN - шлюз по умолчанию и до его падения все и для всех будет идти через него.
И то, что создано вами на скрине выше работать будет только, если WAN упадет.

Всё равно выключает интернет на обоих wan.

Покажите скрин настроек System- General Setup

merdzd

Ну по факту правило работает, сразу только блокирует 10.0.0.30 при любом wan.
Отключал Wan c этим правилом, блокировка так и осталась, как и должно быть.
или я не понял? что то?
Нам надо чтоб оно блокировало при падении wan.

GS1.png_thumb

werter

Добрый.
Так у вас на OPT1 - серый адрес. Чего ж молчали ? Роутер железный есть на OPT1?
Откл. блокирование серых сетей на OPT1.

merdzd

Посмотрите пож скрин с поста №6. ОРТ1
Там нет блокировки вообще.
Или вы про роутер перед pfsense?

Интернет на OPT1 работает.

Не пойму как правило LAN для второго шлюза. (в приложенном)
Блокирует интернет на WAN.

LAN-10.30.png
LAN-10.30.png_thumb

werter

Ну по факту правило работает, сразу только блокирует 10.0.0.30 при любом wan.

Это не так. Правило блокирует доступ в Сеть для указанного ip только через явно указанный шлюз OPT1.
И при рабочем в данный момент WAN-е указанный ip будет иметь доступ в Сеть через шлюз WAN.

Или вы про роутер перед pfsense?

У вас на ОПТ1 - адсл? Если адсл и поднимается pppoe - перевести модем в режим бриджа\моста и пусть пф поднимает pppoe- сессию. Если же там железка провайдера - тады ничего не пожелаешь и на ОПТ1 действительно будет серый ip.
Если же ни то ни другое - на кой ляд он (железный роутер) там нужен?

Что такое алиас LOCSERV и почему правило висит на внешнем интерфейсе ОПТ1 ? Если это локальные серверы в ЛАН - правило неверное.

Повторюсь еще раз. На всех фото в правилах есть ошибки. Нарисуйте схему сети и переосмыслите правила fw еще раз. За вас это никто лучше не сделает.

Ps. У проблемного ip шлюзом и ДНС-ом что в сетевых настройках? Должен быть локал. ip пф. Установлен ли сквид + гвард ? Какие-то доп. пакеты вообще присутствуют ?

merdzd

И при рабочем в данный момент WAN-е указанный ip будет иметь доступ в Сеть через шлюз WAN.

Именно это не происходит, с первого поста. Доступа нет.
Если я включу правило для 10.0.0.30 по ОРТ1 то при рабочем и не рабочем wan интернета нет.

для OPT на конце 4G антена.

werter

для OPT на конце 4G антена.

Может 4G USB-модем ?

merdzd

Ethernet modem.
Но это не важно мне кажется?

Сейчас добавил в правило для 10.0.0.30 сайты на исключения которые должны открываться и всё работает с этими сайтами.

Но опция Gateway в Advanced не как не влияет на правило, любой шлюз указанный\не указанный там блокирует доступ.

merdzd

@werter:

для OPT на конце 4G антена.

Может 4G USB-модем ?

Mikrotik SXT LTE

merdzd

Добавив в Aliases тип networks имя хоста а не ip вроде всё заработало как надо.
С чем связанно?

Тестирую дальше.

werter

Добрый.
IP динамический, видимо.