Вопрос по маршрутизации между VLAN
-
Не. все равно не работает
И не будет.
Галки на Quick нет.Зы. У пф хорошая дока. И по Флоатинг рулез тоже.
-
@werter Есть. Просто скрин сделал до того как поставил ее.
-
Добрый день. Стесняюсь спросить. Вот в ходе обсуждения был показан скрин правил в котором были два правила для dns. В каком случае они нужны? у меня и без них работает.
-
@antonr69 said in Вопрос по маршрутизации между VLAN:
Добрый день. Стесняюсь спросить. Вот в ходе обсуждения был показан скрин правил в котором были два правила для dns. В каком случае они нужны? у меня и без них работает.
Не всем клиентским устройствам в сети разрешено ходить везде. Чтобы определить можно ли клиентскому устройству пройти на нужный к примеру сайт необходимо чтобы клиент узнал ip адрес этого сайта и попробовал на него перейти. Так вот чтобы клиентское устройство узнало куда ему точно надо перейти всем разрешен доступ к службе DNS resolver пфсенса. Это второе правило. Первое правило с 127.0.0.1 нужно т.к. стоит правило редиректа, если клиент отправит пакет udp или tcp на 53 порт на устройство отличное от интерфейс пфсенса, то пакет будет переадресован на localhost пфсенса. Т.е. без разницы какой у клиента dns настроен, его запрос всегда обработаем именно мы (ну если мы у него основной шлюз).
Если у вас все устройства в сети ходят в инет, то оно вам не нужно. Но тогда я бы вообще вопрос потребности как такового пфсенса бы поднял. Какого-нибудь mikrotik hex s с включенным fasttrack вам мы было за глаза. -
@sirota said in Вопрос по маршрутизации между VLAN:
Не всем клиентским устройствам в сети разрешено ходить везде. Чтобы определить можно ли клиентскому устройству пройти на нужный к примеру сайт необходимо чтобы клиент узнал ip адрес этого сайта и попробовал на него перейти.
Это могут делать не только лишь все, не каждый может это делать...
Как бы понятно, но в тоже время не понятно. В вашем ответе есть посыл на ограничение доступа к DNS для ограничения доступа клиентов в интернет, но в тоже время оба этих правила сделают так, что клиент даже при не верно указанном DNS все равно его получит. Непонятно что задумал автор, толи ограничить, толи всем дать. Мне как то видится ограничение интернета немного по другому. Например, создание алиаса клиентских адресов которым можно выйти в интернет, или использовать средства Squid для ограничения к сайтам. Или допустим, запрерить всем все, но сделать алиас со списком разрешенных сайтов (служб скайп, вайбер) для посещения. Да и DNS нужен для разрешения имени, а если клиент пойдет не по имени, а по адресу, то DNS ему не нужен будет. По адресу он и так попадет. Какое же тут ограничение моя не понимать.
-
@antonr69 said in Вопрос по маршрутизации между VLAN:
что клиент даже при не верно указанном DNS все равно его получит
Речь не о непредставлении службы DNS клиенту.
@sirota said in Вопрос по маршрутизации между VLAN:
Т.е. без разницы какой у клиента dns настроен
Именно. Чуть расширю ответ:
Клиент защищен от подмены DNS на его локальном ПК.
Это же делает бессмысленным попытки клиента самостоятельно сменить DNS на на его локальном ПК. -
@pigbrother said in Вопрос по маршрутизации между VLAN:
Именно. Чуть расширю ответ:
Клиент защищен от подмены DNS на его локальном ПК.
Это же делает бессмысленным попытки клиента самостоятельно сменить DNS на на его локальном ПК.Спасибо. А вот это супер полезная опция. Есть вирусы которые пытаются подменить dns. А еще тогда вопросик. В предыдущей организации был керио-контрол. Периодически хром на клиентских машинах переставал открывать сайты. Выполняешь ipconfig /flushdns и проблема тут-же исчезала. При наличии таких двух правил что обсуждали выше, я так понимаю, таких проблем возникать не должно?
-
@antonr69 said in Вопрос по маршрутизации между VLAN:
При наличии таких двух правил что обсуждали выше, я так понимаю, таких проблем возникать не должно?
Трудно сказать. Эти правила не лечат проблемы DNS на локальном ПК.
-
@antonr69 said in Вопрос по маршрутизации между VLAN:
Как бы понятно, но в тоже время не понятно. В вашем ответе есть посыл на ограничение доступа к DNS для ограничения доступа клиентов в интернет
Нет, ограничений к самому DNS нет. Ну кроме того что всегда будут использованы только мои DNS.
@antonr69 said in Вопрос по маршрутизации между VLAN:
но в тоже время оба этих правила сделают так, что клиент даже при не верно указанном DNS все равно его получит.
Нет. Не эти 2 правила. Эти два правила только пускают DNS через файрвол. Чтобы клиент 100% воспользовался нашим dns сервером у нас есть редирект жесткий.
@antonr69 said in Вопрос по маршрутизации между VLAN:
Мне как то видится ограничение интернета немного по другому. Например, создание алиаса клиентских адресов которым можно выйти в интернет
Вы же спросили только про этот отрезок. Я не показал все правила. Вот.
Только пользователи включенные в алиас (inte_adm_group1) смогут добраться до интернета. Остальные уткнутся в последний reject.@antonr69 said in Вопрос по маршрутизации между VLAN:
или использовать средства Squid для ограничения к сайтам.
Каждый сам в праве решать что ему использовать. Меня устраивает данный расклад. Да вполне может оказаться что на одном IP будет несколько ресурсов и он окажется тоже доступен (к примеру если открыть в доступ все адреса необходимые для активации продуктов microsoft указанные ими же, то тут же Adobe Reader начнет обновляться. они (один из серверов обновлений) на одном и том же IP что и какой-то сайт из списка microsoft). Но меня это устраивает. А вот со сквидом были проблемы. По этому отказался от него.
@antonr69 said in Вопрос по маршрутизации между VLAN:
а если клиент пойдет не по имени, а по адресу, то DNS ему не нужен будет. По адресу он и так попадет.
Ну и пусть. В файрволе PF нет адресов, только IP4,6 порты и протокола. Все. Другого там нет. Вроде бы как Level4 модели OSI если ни чего не путаю. Как бы ты не обратился к ресурсам, результат будут один и тот же.
@antonr69 said in Вопрос по маршрутизации между VLAN:
Какое же тут ограничение моя не понимать.
Так понятно?
-
@sirota said in Вопрос по маршрутизации между VLAN:
В файрволе PF нет адресов, только IP4,6 порты и протокола.
Да. Спасибо. Разжевали. Правда не понял выражения. Как нет адресов. Вот простое правило, этому адресу можно на другой адрес.
-
@antonr69 НЕ верно выразился. Нет доменных имен и L7 как такового.
