вопрос про вланы и доступ в интернет
-
Добрый день!
после двух недельных разборок с пф сенс, осталось несколько вопросов. сетка счас у меня такая
-wan(em1)-lan(em0)
\vlan 100(opt1)
\vlan 200(opt2)
настроил так что vlan 100 невидит lan и vlan 200 - прописал в рулесах на интерфейчах в виде сетей
настроил так что vlan 200 невидит lan, но видит 100.
но вот ньюанс, в рулесах на каждом интерфейсе я в конце прописываю что
интерфейс такойто, все порты, сорс - эни, дест - эни и правило пропускать
после чего все ограничения выше срабатывают правильнои интернет ходит весьде. но подумав о том что vlan у меня может быть до 4096, и прописыватьт потом на каждом что бы он не ходил в другие, … ето ужас. собственно вопрос как разрешить любому влану выходить в интернет через ван. прописав правило
пропуск - интерфейс opt2 - все протоколы, сорс - сеть opt2, дест - wan adress. интернета нет, но пинги ходят.
счас пытаюсь разобратся как все таки сделать так что бы
1.правила оканчивались на "запретить все", а прописывать разрешения.тогда не придется на всех вланах запрешать хождениев другие сети.
2.почему при строкгом разрешени прохождения трафика через ван -интернет не предоставляется.есть у кого нить какие советы?
на скрине, я делал вариант что с сетки opt2 меня пускает на сетку вана(192,168,81,0), пингуется даже шлюз провайдера. но интернета нету, какое еще правило надо прописать?
-
1. Правило запретить всё в конце не нужно ставить, оно и так там есть, только его не видно.
2. Для "хождения" в интернет, нужно как минимум разрешить UDP:53 и TCP:80 (можно ещё icmp), это для source=interface subnet, destination any (здесь можно алиасом исключить подсети на других интерфейсах).PS: поменяй 192.168.81.1 на 192.168.81.0 в правилах и убери gateway.
-
вместо udp 53 можно включить dns forwader.
-
попробывал так, но интернета нет.
можете показать как именно должно выглядеть правлило что бы ходиол интернет? (вариант все можно везьде не катит 8)))
-
Обычно делается так:
-
На Wan(или др. внешнем интерфейсе) добавляешь разрешающие общие правила для каждой локальной подсети (Lan/Opt)
proto * src Subnet(iface) dest * -
На Локальном интерфейсе открываешь правила для портов/протоколов
- ICMP
- DNS
- HTTP, https (80/443)
- …
- проверяшь/создаешь правила NAT на внешнем интерфейсе (WAN/..)
-