Вопрос по маршрутизации между VLAN
-
@antonr69 а с чего оно должно работать? Dest у тебя же при попытке выйти в Инет не wan, а ресурс на который ты хочешь попасть. По этом dst ставим any. А перед ним ставим все vlan что запрещаем. Я же нарисовал в общих тонах правила. И почему так инета не будет уже объяснил.
-
@sirota said in Вопрос по маршрутизации между VLAN:
@antonr69 а с чего оно должно работать? Dest у тебя же при попытке выйти в Инет не wan, а ресурс на который ты хочешь попасть. По этом dst ставим any. А перед ним ставим все vlan что запрещаем.
Спасибо. Проверил, работает. То что было не понятно связано с опытом КериоКонтрол. Там можно создать ОДНО правило: такому то ИНТЕРФЕЙСУ влану можно ходить на ИНТЕРФЕЙС ван. И все работает. Этот влан имеет интернет, и в то же время отделен от других интерфейсов. Ключевое различие что правило построено на взаимодействии интерфейсов. Почему в pfsense так нельзя не понимаю. Еще не могу понять разницу van net, wan adr и "этот фаервол" -
@antonr69 said in Вопрос по маршрутизации между VLAN:
@sirota said in Вопрос по маршрутизации между VLAN:
@antonr69 а с чего оно должно работать? Dest у тебя же при попытке выйти в Инет не wan, а ресурс на который ты хочешь попасть. По этом dst ставим any. А перед ним ставим все vlan что запрещаем.
Спасибо. Проверил, работает. То что было не понятно связано с опытом КериоКонтрол. Там можно создать ОДНО правило: такому то ИНТЕРФЕЙСУ влану можно ходить на ИНТЕРФЕЙС ван. И все работает. Этот влан имеет интернет, и в то же время отделен от других интерфейсов. Ключевое различие что правило построено на взаимодействии интерфейсов. Почему в pfsense так нельзя не понимаю. Еще не могу понять разницу van net, wan adr и "этот фаервол"Потому что как сделано в PF - логично. Я могу разрешить маршрут вплоть до WAN интерфейса, но далее запретить. К примеру у провайдера есть локальные ресурсы (телефония) в этой же подсети. Я разрешаю для телефона доступ к WAN net и не более. Все. Интернета у телефонии не будет, но будет доступ к серверу телефонии. Т.е. всего 1 правило.
С керио лет 10 уже как не знаком, но осмелюсь предположить там просто нет в конце запрещающего правила на все. У PF если совсем грубо на каждом интерфейсе есть правило которое не видно: s:* d:* Action:drop
Т.е. все что мы явно не разрешили выше будет дропаться. Так сделано во всех нормальных файрволах. -
@sirota said in Вопрос по маршрутизации между VLAN:
на каждом интерфейсе есть правило которое не видно: s:* d:* Action:drop. Т.е. все что мы явно не разрешили выше будет дропаться.
Так то оно так, но задача дать интерфейсу интернет, разрешает все. Выше упомянутое правило перестает работать. И приходится городить правила чтобы запретить не нужное. Вот в этом я вижу не логичность. И это сбивает с толку не только меня. Я нашел много тем с этим же вопросом. Вот пример, чел пишет: у меня один ван и одил лан. Я решил сделать сеть влан для гостей. Решение в этой конфигурации предложили не стандартное. Создать разрешающие правило для влана ходить на лан, но лан инвертировать. И мы получаем интернет на влане без доступа к лан. Я бы не догадался так сделать. Надо наверно тему создать для примеров решений стандартных и не только ситуаций. -
@antonr69 said in Вопрос по маршрутизации между VLAN:
@sirota said in Вопрос по маршрутизации между VLAN:
на каждом интерфейсе есть правило которое не видно: s:* d:* Action:drop. Т.е. все что мы явно не разрешили выше будет дропаться.
Так то оно так, но задача дать интерфейсу интернет, разрешает все. Выше упомянутое правило перестает работать. И приходится городить правила чтобы запретить не нужное. Вот в этом я вижу не логичность. И это сбивает с толку не только меня. Я нашел много тем с этим же вопросом. Вот пример, чел пишет: у меня один ван и одил лан. Я решил сделать сеть влан для гостей. Решение в этой конфигурации предложили не стандартное. Создать разрешающие правило для влана ходить на лан, но лан инвертировать. И мы получаем интернет на влане без доступа к лан. Я бы не догадался так сделать. Надо наверно тему создать для примеров решений стандартных и не только ситуаций.- Научитесь нормально отвечать на комменты. Дико не удобно потом читать когда отвечаете внутри чужого комментария
- Да нет, как раз таки это нормально и вполне себе стандартное решение (так же к примеру делается и у микротика если не использовать интерфейсы: s:vlan10 net d:!lan net a:accept Все. ). Всего в 1 правило умещается - разрешить все что не LAN net. И в инет пустили подсеть и в локалку не пустили.
-
-
@werter said in Вопрос по маршрутизации между VLAN:
Достаточно ЯВНО указать шлюз в правиле fw на ВЛАН-интерфейсе(-ах) (WAN_GW) и в ЛАН уже никто не попадет
Я это ТС указал 1-м ответом на его вопрос.
-
@pigbrother said in Вопрос по маршрутизации между VLAN:
@werter said in Вопрос по маршрутизации между VLAN:
Достаточно ЯВНО указать шлюз в правиле fw на ВЛАН-интерфейсе(-ах) (WAN_GW) и в ЛАН уже никто не попадет
Здравствуйте. Я испробовал ваш совет добавить гетвей в правило, не помогает. И в правило пробовал, и в интерфейс.
У меня получилось по другому. Он подходит когда много vlan, каждому нужен интернет и при этом их нужно друг от друга изолировать.- Создаем алиас в котором перечисляем сети всех вланов, если нужно и Lan-ов. Он будет один для правил всех вланов (интерфейсов).
- Для каждого влана (интерфейса) создаем 3 правила.
- разрешаем ходить на собственный влан. Дист "имя влана" (* * vlan01 * *)
- запретить ходить на другие вланы. Дист имя ранее созданного алиаса. (* * vlans * *)
- Разрешить все всем. (* * * * *)
И оно работает. Мы получаем изолированный влан с доступом в интернет.
На днях помучал ИКС https://xserver.a-real.ru/sysadmins/ Он тоже на freebcd. Но ему такой трюк как я описал выше не нужен. Там в правилах, в графе дист есть "интернет". Так вот, там достаточно одного правила, разрешить ходить до "интернет", и этот интерфейс ходит исключительно в интернет. Почему в pfsense этого нет до сих пор не пойму.
-
@antonr69 said in Вопрос по маршрутизации между VLAN:
Здравствуйте. Я испробовал ваш совет добавить гетвей в правило, не помогает. И в правило пробовал, и в интерфейс.
Почему-то уверен, что порядок правил неверный у вас (
разрешаем ходить на собственный влан. Дист "имя влана" (* * vlan01 * *)
Лишнее. Пф этим не рулит. Пф рулит от себя вовне и наборот.
На днях помучал ИКС https://xserver.a-real.ru/sysadmins/ Он тоже на freebcd
Открыл демку. Потыкал. Увидел, что это "супер-ультра-мега-комбайн" с почтой, fw и т.д. Закрыл демку. Эти поделием пользоваться, если только ЗАСТАВЯТ.
Надо почту? Отдельно (mailcow, iredmail или руками)
Надо ftp? Отдельно (truenas, xigmanas, omv)
Надо firewall? Вы поняли )Зы. Ребята имеют сертиф от ФСТЭК. 99.9% что контора создана под дядю из структур, к-му нужно госбабло ))
-
@werter Без первого правила пинг до ip самого влана не идет, и нет интернета.
-
@antonr69
Пинг - это не про интернет.Покажите скрины правил на ВСЕХ интерфейсах.
-
@antonr69 тогда ставим в дестенейщене this firewall
-
Покажите скрины правил на ВСЕХ интерфейсах.
Зы. И никаких WAN net в dst. Этим вы точно доступ в инет не дадите )
-
@sirota said in Вопрос по маршрутизации между VLAN:
@antonr69 тогда ставим в дестенейщене this firewall
Да, в третьем правиле можно и так, в дестенейщене this firewall. Скрин прилагаю.
-
@antonr69 первое правило это сам на себя? Зачем всем давать доступ к примеру ssh pf'а? Если нужен только пинг, то так и делаем, icmp и дальше параметры допущенные.
И нет. В третьем нет. -
@antonr69
Ок
1-е - оставляем.
2-е - в src - VLAN net (вашу влан-сеть) и в Шлюз - указать имя шлюза в Инет.
3-е - откл
Сбросить states для чистоты.
Всё.Зы. Еще. Никогда не используйте VLAN 1 - это СЛУЖЕБНЫЙ тег.
Зы2. И русский в вебках ИНОСТРАННОГО ПО тоже не пользуйте. Это дурной тон. -
@werter Спасибо за комментарий. Завтра ваш вариант попробую. А влан01 это для примера. В боевом режиме там совсем другой номер влана.
-
@antonr69
Пробуйте ) -
А ИКС в бесплатном варианте только 9 учеток. Типа вход в морду, впн и узерпрокси если надо. В остальном нет ограничений. Многим не большим организациям это хватит. Правда у меня он коряво работает с моими сетевушками. Одна отваливается, вторая в мультиван режиме при переключении не подхватывает дхсп. Выключишь-включишь адрес получает.
-
@antonr69
там 31 день же триал?