вопрос про вланы и доступ в интернет



  • Добрый день!
    после двух недельных разборок с пф сенс, осталось несколько вопросов. сетка счас у меня такая
    -wan(em1)-lan(em0)
                  \vlan 100(opt1)
                  \vlan 200(opt2)
    настроил так что vlan 100 невидит lan и vlan 200 - прописал в рулесах на интерфейчах в виде сетей
    настроил так что vlan 200 невидит lan, но видит 100.
    но вот ньюанс, в рулесах на каждом интерфейсе я в конце прописываю что
    интерфейс такойто, все порты, сорс - эни, дест - эни и правило пропускать
    после чего все ограничения выше срабатывают правильнои интернет ходит весьде. но подумав о том что vlan  у меня может быть до 4096, и прописыватьт потом на каждом что бы он не ходил в другие, … ето ужас. собственно вопрос как  разрешить любому влану выходить в интернет через ван. прописав правило
    пропуск - интерфейс opt2 - все протоколы, сорс - сеть opt2, дест - wan adress. интернета нет, но пинги ходят.
    счас пытаюсь разобратся как все таки сделать так что бы  
    1.правила оканчивались на "запретить все", а прописывать разрешения.тогда не придется на всех вланах запрешать хождениев другие сети.
    2.почему при строкгом разрешени прохождения трафика через ван -интернет не предоставляется.

    есть у кого нить какие советы?

    на скрине, я делал вариант что с сетки opt2  меня пускает на сетку вана(192,168,81,0), пингуется даже шлюз провайдера. но интернета нету, какое еще правило надо прописать?




  • 1. Правило запретить всё в конце не нужно ставить, оно и так там есть, только его не видно.
    2. Для "хождения" в интернет, нужно как минимум разрешить UDP:53 и TCP:80 (можно ещё icmp), это для source=interface subnet, destination any (здесь можно алиасом исключить подсети на других интерфейсах).

    PS: поменяй 192.168.81.1 на 192.168.81.0 в правилах и убери gateway.



  • вместо udp 53 можно включить dns forwader.



  • попробывал так, но интернета нет.
    можете показать как именно должно выглядеть правлило что бы ходиол интернет? (вариант все можно везьде не катит 8)))










  • Обычно делается так:

    • На Wan(или др. внешнем интерфейсе) добавляешь  разрешающие общие правила для каждой локальной подсети (Lan/Opt)
      proto * src Subnet(iface) dest *

    • На Локальном интерфейсе открываешь правила для портов/протоколов

    • ICMP
    • DNS
    • HTTP, https (80/443)
    • проверяшь/создаешь правила NAT на внешнем интерфейсе (WAN/..)

Log in to reply