Vlan Routing
-
Boas pessoal
tenho um pfsense com várias vlan, por defeito todas elas comunicam umas com as outras… é chato ter que andar a criar regras e todas as vlan a negar as comunicações entre elas... isso é completamente inseguro, pois um mínimo descuido... o tráfego passa de um lado para o outro.
Existe alguma opção no pfsense estilo "inter Vlan Routing" que de para desactivar?!um abraço
-
Boas pessoal
tenho um pfsense com várias vlan, por defeito todas elas comunicam umas com as outras… é chato ter que andar a criar regras e todas as vlan a negar as comunicações entre elas... isso é completamente inseguro, pois um mínimo descuido... o tráfego passa de um lado para o outro.
Existe alguma opção no pfsense estilo "inter Vlan Routing" que de para desactivar?!um abraço
boas,
nunca ninguém teve a mesma necessidade?!
um abraço
-
estranho.. minhas vlans eu tive que criar regra ao contrario na verdade, para poderem se comunicarem uma com a outra (conforme a necessidade é claro) já que por padrão ao cria-las elas não se comunicavam. pfsense 2.0.3
-
Acontece a mesma coisa comigo, meu cenário é o seguinte:
VLAN's:
Vlan1 - 172.16.1.0/24
Vlan2 - 172.16.10.0/24
Vlan3 - 172.16.20.0/24
Vlan4 - 172.16.30.0/24
Vlan5 - 172.16.100.0/24
Vlan6 - 172.16.115.0/24Por padrão, nenhuma Vlan 'conversa' com a outra, mas a parti do momento que adiciono uma regra na VLAN1, por exemplo, liberando acesso a internet na porta 80:
TCP VLAN1 * * 80 * noneela passa a acessar todas as Vlans que responderem na porta 80, o mesmo acontece com o ping:
ICMP VLAN1 * * * * noneagora pinga para ela mesma, para fora e para todas as outras VLANs.
Pela lógica, o pfsense está se comportando normalmente, já que liberei o ping da interface X para qualquer destino, mas a pergunta que faço é: Como liberar o ping (e demais protocolos) apenas para a própria VLAN e para fora (internet)?
-
Acontece a mesma coisa comigo, meu cenário é o seguinte:
VLAN's:
Vlan1 - 172.16.1.0/24
Vlan2 - 172.16.10.0/24
Vlan3 - 172.16.20.0/24
Vlan4 - 172.16.30.0/24
Vlan5 - 172.16.100.0/24
Vlan6 - 172.16.115.0/24Por padrão, nenhuma Vlan 'conversa' com a outra, mas a parti do momento que adiciono uma regra na VLAN1, por exemplo, liberando acesso a internet na porta 80:
TCP VLAN1 * * 80 * noneela passa a acessar todas as Vlans que responderem na porta 80, o mesmo acontece com o ping:
ICMP VLAN1 * * * * noneagora pinga para ela mesma, para fora e para todas as outras VLANs.
Pela lógica, o pfsense está se comportando normalmente, já que liberei o ping da interface X para qualquer destino, mas a pergunta que faço é: Como liberar o ping (e demais protocolos) apenas para a própria VLAN e para fora (internet)?
Boas…
após alguns testes percebi que para não haver essa comunicação basta adicionares nas oções das regras o gateway, ou seja, basta meteres em cada regra o gateway em vez de estar com * meter o gateway do pfsense... Assim TODOS os pedidos sao enviados pelo gateway, e os que quiseres que comuniquem entre vlans tens de especificar antes dessas regras...
Para mim não faz muito sentido, vejo isso mais como uma limitação do pfsense.
um abraço
-
Acho que a alternativa do gateway não vai funcionar pra mim pois tenho 2 links em loadbalance em algumas VLAN's… :-\
-
Acho que a alternativa do gateway não vai funcionar pra mim pois tenho 2 links em loadbalance em algumas VLAN's… :-\
o loadbalance é feito através de um link virtual, em que esse link contem os teus dois gateways. Especificas na regra esse teu gateway virtual :D é a mesma coisa.
-
Akill, isso não é de forma alguma limitação do pfsense. Ele esta fazendo exatamente o que você mandou ele fazer.
Para impedir que redes internas se comuniquem, basta criar um alias com todas as redes invalidas e em seguida criar no topo de cada interface um deny de alias-redes-invalidas para alias-redes-invalidas. Desta forma uma regra de liberação da porta 80 só vai funcionar para a internet.
Quando se específica um gateway na regra, você força o pfsense a enviar o pacote para ele independentemente das rotas exitestentes no firewall.
