Блокировка ip wan

randreevich

интернет раздается - squid+SquidGuard
wan 192.168.1.1
lan 192.168.0.0/24
как запретить пинг с lan на адрес 192.168.1.2 в подсети wan?

pigbrother

@randreevich said in Блокировка ip wan:

wan 192.168.1.1

Странная адресация для WAN, но не суть.

@randreevich said in Блокировка ip wan:

как запретить пинг с lan на адрес 192.168.1.2 в подсети wan?

Создать запрещающее правило c Source=Lan address, Destination=192.168.1.2 для протокола ICMP.
Правило поместить повыше.

randreevich

Так конечно создавал - пинги идут.

werter

@randreevich
Скрины правил покажите.

Зы. Если есть возможность убрать железку перед пф - воспользуйтесь. Иначе - двойной NAT и т.д.

pigbrother

@randreevich said in Блокировка ip wan:

Так конечно создавал - пинги идут.

А сбросить states\перезагрузить pf?

randreevich

@werter

На скрине реальная адресация, не как заявлена, сути не меняет.

randreevich

@pigbrother
Сбросил, перегрузил - не поменялось, пингуется.

pigbrother

@randreevich said in Блокировка ip wan:

Сбросил, перегрузил - не поменялось, пингуется

А смените для теста Destination=1.1.1.1. Будет пинг 1.1.1.1?

randreevich

@pigbrother
Да, на 1.1.1.1 идет.

werter

@randreevich
На ЛАН (не ВАН) cоздать запрещающее правило c Source=Lan subnet, destination=192.168.1.2 proto=ICMP.
Поставить его выше всех.

Да, на 1.1.1.1 идет.

Вы так и не показали скрин правил на ЛАН.

randreevich

@werter
скрин на лан показал выше.
Поправка - 192.168.5.0/24 подсеть wan.

randreevich

@werter said in Блокировка ip wan:

На ЛАН (не ВАН) cоздать запрещающее правило c Source=Lan subnet, destination=192.168.1.2 proto=ICMP.
Поставить его выше всех.

= Пинги идут.

werter

@randreevich
Зачем вам NAT на ЛАН? У вас неверно составленные правила.
Оставьте только второе сверху. И добавьте ПЕРВЫМ то, что я посоветовал выше.

randreevich

@werter said in Блокировка ip wan:

Зачем вам NAT на лан? У вас неверно составленные правила.
Оставьте только второе сверху. И добавьте ПЕРВЫМ то, что я посоветовал выше.

Два нижних - это проброс.
Ок, если вообще без ната, как тогда здесь поставить?
Disable?
Прокси нормально будет работать?

werter

@randreevich

Правила проброса работают для WAN. Вы же извне пробрасываете в ЛАН.
Покажие правила port forward.

randreevich

@werter

192.168.5.0 - это Wan

randreevich

@randreevich
Коллеги, после перезагрузки 192.168.5.245 - правило заработало!

werter

@randreevich
Зачем вам Port Forward на ЛАН? Можете объяснить?

randreevich

@werter
не нужно?

werter

@randreevich
https://docs.netgate.com/pfsense/en/latest/nat/port-forwards.html

Портфорвардинг на ЛАН - крайне специфическая ситуация. И раз вы не можете объяснить ЗАЧЕМ он вам именно там - это 146% не ваш случай.

Зы. Портфорвардинг на ЛАН исп-ся, напр., как альтернатива split dns. Чтобы "ходить" к ЛАН-ресурсу (сайт фирмы, напр.), имеющему внешнее имя по локальной сети, а не делать петлю через ВАН.