Vlan Routing



  • Boas pessoal
    tenho um pfsense com várias vlan, por defeito todas elas comunicam umas com as outras… é chato ter que andar a criar regras e todas as vlan a negar as comunicações entre elas... isso é completamente inseguro, pois um mínimo descuido... o tráfego passa de um lado para o outro.
    Existe alguma opção no pfsense estilo "inter Vlan Routing" que de para desactivar?!

    um abraço



  • @Akill:

    Boas pessoal
    tenho um pfsense com várias vlan, por defeito todas elas comunicam umas com as outras… é chato ter que andar a criar regras e todas as vlan a negar as comunicações entre elas... isso é completamente inseguro, pois um mínimo descuido... o tráfego passa de um lado para o outro.
    Existe alguma opção no pfsense estilo "inter Vlan Routing" que de para desactivar?!

    um abraço

    boas,

    nunca ninguém teve a mesma necessidade?!

    um abraço



  • estranho.. minhas vlans eu tive que criar regra ao contrario na verdade, para poderem se comunicarem uma com a outra (conforme a necessidade é claro) já que por padrão ao cria-las elas não se comunicavam. pfsense 2.0.3



  • Acontece a mesma coisa comigo, meu cenário é o seguinte:

    VLAN's:

    Vlan1 - 172.16.1.0/24
    Vlan2 - 172.16.10.0/24
    Vlan3 - 172.16.20.0/24
    Vlan4 - 172.16.30.0/24
    Vlan5 - 172.16.100.0/24
    Vlan6 - 172.16.115.0/24

    Por padrão, nenhuma Vlan 'conversa' com a outra, mas a parti do momento que adiciono uma regra na VLAN1, por exemplo, liberando acesso a internet na porta 80:

    TCP   VLAN1   *   *   80   *   none
    

    ela passa a acessar todas as Vlans que responderem na porta 80, o mesmo acontece com o ping:

    ICMP   VLAN1   *   *   *   *   none
    

    agora pinga para ela mesma, para fora e para todas as outras VLANs.

    Pela lógica, o pfsense está se comportando normalmente, já que liberei o ping da interface X para qualquer destino, mas a pergunta que faço é: Como liberar o ping (e demais protocolos) apenas para a própria VLAN e para fora (internet)?



  • @dackson:

    Acontece a mesma coisa comigo, meu cenário é o seguinte:

    VLAN's:

    Vlan1 - 172.16.1.0/24
    Vlan2 - 172.16.10.0/24
    Vlan3 - 172.16.20.0/24
    Vlan4 - 172.16.30.0/24
    Vlan5 - 172.16.100.0/24
    Vlan6 - 172.16.115.0/24

    Por padrão, nenhuma Vlan 'conversa' com a outra, mas a parti do momento que adiciono uma regra na VLAN1, por exemplo, liberando acesso a internet na porta 80:

    TCP   VLAN1   *   *   80   *   none
    

    ela passa a acessar todas as Vlans que responderem na porta 80, o mesmo acontece com o ping:

    ICMP   VLAN1   *   *   *   *   none
    

    agora pinga para ela mesma, para fora e para todas as outras VLANs.

    Pela lógica, o pfsense está se comportando normalmente, já que liberei o ping da interface X para qualquer destino, mas a pergunta que faço é: Como liberar o ping (e demais protocolos) apenas para a própria VLAN e para fora (internet)?

    Boas…

    após alguns testes percebi que para não haver essa comunicação basta adicionares nas oções das regras o gateway, ou seja, basta meteres em cada regra o gateway em vez de estar com * meter o gateway do pfsense... Assim TODOS os pedidos sao enviados pelo gateway, e os que quiseres que comuniquem entre vlans tens de especificar antes dessas regras...

    Para mim não faz muito sentido, vejo isso mais como uma limitação do pfsense.

    um abraço



  • Acho que a alternativa do gateway não vai funcionar pra mim pois tenho 2 links em loadbalance em algumas VLAN's…  :-\



  • @dackson:

    Acho que a alternativa do gateway não vai funcionar pra mim pois tenho 2 links em loadbalance em algumas VLAN's…  :-\

    o loadbalance é feito através de um link virtual, em que esse link contem os teus dois gateways. Especificas na regra esse teu gateway virtual :D é a mesma coisa.



  • Akill, isso não é de forma alguma limitação do pfsense. Ele esta fazendo exatamente o que você mandou ele fazer.

    Para impedir que redes internas se comuniquem, basta criar um alias com todas as redes invalidas e em seguida criar no topo de cada interface um deny de alias-redes-invalidas para alias-redes-invalidas.  Desta forma uma regra de liberação da porta 80 só vai funcionar para a internet.

    Quando se específica um gateway na regra, você força o pfsense a enviar o pacote para ele independentemente das rotas exitestentes no firewall.


Log in to reply