Настройка Firewall и Vlan



  • Приветствую. Есть сервер pfSense 2.0, который натит 30 вланов в интернет. Пока работает правило разрешающее все на интерфейсе. Но при этом с любого vlan есть доступ к другим vlan' ам. Есть ли способ настроить правила, так чтобы с интерфейса разрешался только выход в интернет, а во все другие vlan доспуп был закрыт?
    Пока в голову приходит запихать все сети в алиас, но это куча правил и по ip адресам. Существует ли более простой способ, так чтобы сделать запреты на интерфейсы, а не на ip?

    Вариант на скриншоте правильный?
    Сделал алиас с подсетями всех вланов. Но если указывать запрещающее правило, то и инет не будет работать, так как в алиасе находится ip интерфейса vlan. Тоесть тут либо делать n количество алиасов с кучей адресов (что мне очень лень) исключающих ip каждого отдельного влана, либо как-то сначала разрешить ходить сеть интерфейса, а потом делать запрет.

    Гуру подскажите правила пожалуйста…




  • Есть несколько интерфейсов с приватными сетями (LAN, IPVPN, WIFIAP, PULT, PPTP VPN). Чтобы не лезли друг к другу, на каждом ставлю правила как на картинке.

    Для того чтобы сеть за интерфейсом попадала в интернет достаточно разрешить ей доступ к DNS, ну может еще порт SQUID, если он установлен и работает в непрозрачном режиме.

    Боюсь только, что с виланами вы что-то путаете. У вас все эти подсети vlan_xx доступны на одном интерфейсе что ли? Если так, то они находятся в одном broadcast domain и общаются между собой непосредственно. pfSense не маршрутизирует трафик между ними и на нем ничего запретить нельзя.



  • в сервере 2 сетевых карты. em1 (WAN) и em0 (LAN). Все Vlan настроены на em0. Ну и на коммутаторах естественно. Пользователи с других сетей могут достучаться до других сетей только через маршрутизатор (pfsense). За картинку спасибо, попробую.
    А с такими правилами как у Вас, локальная сеть между компьютерами работает? (смущает 4 правило)



  • @schmel:

    Все Vlan настроены на em0

    Как так? Дайте скрины Interfaces -> LAN, Interfaces -> assign -> Interface assignments и Interfaces -> assign -> VLANs
    я хочу это видеть.

    А с такими правилами как у Вас, локальная сеть между компьютерами работает? (смущает 4 правило)

    Меня смущает, что вас это смущает. Трафик между компами локальной сети идет через коммутатор, а не через маршрутизатор (pfSense).



  • Меня смущает, что вас это смущает. Трафик между компами локальной сети идет через коммутатор, а не через маршрутизатор (pfSense).

    Да, ошибся….

    Как так? Дайте скрины Interfaces -> LAN, Interfaces -> assign -> Interface assignments и Interfaces -> assign -> VLANs
    я хочу это видеть.

    Ну а как еще? Не ставить же отдельную сетевую карту для каждого vlan.






  • Вот, а в первом посте вы написали про 30 vlan'ов, по сути же на pfSense у вас всего 6. Где терминируются виланы вида vlan_xx с вашего первого скриншота (если это вообще виланы) не знаю, да это и не важно. Важно, что pfSense не рулит трафиком между например vlan_16 (10.36.16.0/24) и vlan_17 (10.36.16.0/24) и может его ограничивать.
    Если вам нужно ограничить трафик между виланами определенными в pfSense (4 и 11), то сделайте как я писал выше. Только заметьте, что правила firewall для конкретного интерфейса рулят лишь входящим трафиком, т. е. трафиком пришедшим из сети непосредственно подключенной к этому интерфейсу. Нет смысла на интерфейсе VLAN_4 делать правило, где источник пакетов VLAN_11, такого трафика на входе VLAN_4 попросту нет (но есть на выходе).



  • ок, спасибо. 30 Vlan планируется добавить к концу месяца. Пока настроил только несколько штук.



  • А на втором уровне все равно  все vlan остаются в одном домене широковещательной рассылки ?



  • @nomeron:

    А на втором уровне все равно  все vlan остаются в одном домене широковещательной рассылки ?

    Нет конечно, я просто думал, что товарищ путает vlan с простыми подсетями. На форуме ведь никогда не знаешь имеет ли кто-то ввиду именно то, о чем он говорит))


Locked