Настройка Firewall и Vlan
-
Приветствую. Есть сервер pfSense 2.0, который натит 30 вланов в интернет. Пока работает правило разрешающее все на интерфейсе. Но при этом с любого vlan есть доступ к другим vlan' ам. Есть ли способ настроить правила, так чтобы с интерфейса разрешался только выход в интернет, а во все другие vlan доспуп был закрыт?
Пока в голову приходит запихать все сети в алиас, но это куча правил и по ip адресам. Существует ли более простой способ, так чтобы сделать запреты на интерфейсы, а не на ip?Вариант на скриншоте правильный?
Сделал алиас с подсетями всех вланов. Но если указывать запрещающее правило, то и инет не будет работать, так как в алиасе находится ip интерфейса vlan. Тоесть тут либо делать n количество алиасов с кучей адресов (что мне очень лень) исключающих ip каждого отдельного влана, либо как-то сначала разрешить ходить сеть интерфейса, а потом делать запрет.Гуру подскажите правила пожалуйста…
-
Есть несколько интерфейсов с приватными сетями (LAN, IPVPN, WIFIAP, PULT, PPTP VPN). Чтобы не лезли друг к другу, на каждом ставлю правила как на картинке.
Для того чтобы сеть за интерфейсом попадала в интернет достаточно разрешить ей доступ к DNS, ну может еще порт SQUID, если он установлен и работает в непрозрачном режиме.
Боюсь только, что с виланами вы что-то путаете. У вас все эти подсети vlan_xx доступны на одном интерфейсе что ли? Если так, то они находятся в одном broadcast domain и общаются между собой непосредственно. pfSense не маршрутизирует трафик между ними и на нем ничего запретить нельзя.
-
в сервере 2 сетевых карты. em1 (WAN) и em0 (LAN). Все Vlan настроены на em0. Ну и на коммутаторах естественно. Пользователи с других сетей могут достучаться до других сетей только через маршрутизатор (pfsense). За картинку спасибо, попробую.
А с такими правилами как у Вас, локальная сеть между компьютерами работает? (смущает 4 правило) -
Все Vlan настроены на em0
Как так? Дайте скрины Interfaces -> LAN, Interfaces -> assign -> Interface assignments и Interfaces -> assign -> VLANs
я хочу это видеть.А с такими правилами как у Вас, локальная сеть между компьютерами работает? (смущает 4 правило)
Меня смущает, что вас это смущает. Трафик между компами локальной сети идет через коммутатор, а не через маршрутизатор (pfSense).
-
Меня смущает, что вас это смущает. Трафик между компами локальной сети идет через коммутатор, а не через маршрутизатор (pfSense).
Да, ошибся….
Как так? Дайте скрины Interfaces -> LAN, Interfaces -> assign -> Interface assignments и Interfaces -> assign -> VLANs
я хочу это видеть.Ну а как еще? Не ставить же отдельную сетевую карту для каждого vlan.
-
Вот, а в первом посте вы написали про 30 vlan'ов, по сути же на pfSense у вас всего 6. Где терминируются виланы вида vlan_xx с вашего первого скриншота (если это вообще виланы) не знаю, да это и не важно. Важно, что pfSense не рулит трафиком между например vlan_16 (10.36.16.0/24) и vlan_17 (10.36.16.0/24) и может его ограничивать.
Если вам нужно ограничить трафик между виланами определенными в pfSense (4 и 11), то сделайте как я писал выше. Только заметьте, что правила firewall для конкретного интерфейса рулят лишь входящим трафиком, т. е. трафиком пришедшим из сети непосредственно подключенной к этому интерфейсу. Нет смысла на интерфейсе VLAN_4 делать правило, где источник пакетов VLAN_11, такого трафика на входе VLAN_4 попросту нет (но есть на выходе). -
ок, спасибо. 30 Vlan планируется добавить к концу месяца. Пока настроил только несколько штук.
-
А на втором уровне все равно все vlan остаются в одном домене широковещательной рассылки ?
-
А на втором уровне все равно все vlan остаются в одном домене широковещательной рассылки ?
Нет конечно, я просто думал, что товарищ путает vlan с простыми подсетями. На форуме ведь никогда не знаешь имеет ли кто-то ввиду именно то, о чем он говорит))