помогите - перекрыть трафик между интерфе



  • Добрый день(утро,вечер,ночь)
    Установил Пфсенс) после керио день и ночь…. причем керио был день) я не говорю про скорость и т д, я говорю про юзабилити удобство установки настройки....
    с горем пополам обрезал трафик тем кто более всего качал торрены (руками сам отследил и по айпи обрезал)  убил  пол дня в керио просто блок по признакам р2р, дня два ушло на порт форвардинг.... с горем пополам сделал (скнины ниже) но думаю возможно я был не прав и как то нахимичил но работает...

    пока два дня лопатил все это поубивал дефолтные правила фаервола... подскажите что я сделал не так и как сделать чтобы было все хорошо

    итого имеем - 1 WAN + 1 LAN + 1 LAN (kolser)
    1. (kolser)  должен быть закрыт от всех и доступ только из WAN по RDP.  - вроде сделал ... но теперь все из LAN спокойно пингуют в KOLSER (пробывал по разному закрывать... не вышло)

    2. все из LAN имеют доступ в инет. - это работает но после опять же моих криворуК они походу имею доступ вообще ко всему

    3. порты прокидовать научился но мне кажется что то не так (посмотрите скрины если не так прошу указать (тыкнуть носом))

    на сейчас больше всего интересует как таки перерезать траффик от ЛАН до КОЛСЕР

    :( - возможно потом будут еще вопросы))) я только начал осваивать )















    ![nat settings.JPG](/public/imported_attachments/1/nat settings.JPG)
    ![nat settings.JPG_thumb](/public/imported_attachments/1/nat settings.JPG_thumb)



  • как таки перерезать траффик от ЛАН до КОЛСЕР

    Самым верхним в Firewall - Rules - LAN рисуете правило :

    • LAN subnet * * KOLSER subnet * - > block\drop

    Далее, снова Firewall - Rules - LAN :

    Удаляйте остальные правила, и рисуйте только те , что нужны, напр. :

    TCP\UDP LAN subnet * * 53 * # Разрешаем DNS

    ICMP LAN subnet * * * * # Разрешаем ping

    TCP * LAN subnet * * 80 * # Разрешаем HTTP

    TCP * LAN subnet * *443 * # Разрешаем HTTPS

    И далее в таком же духе.



  • ок вроде пинг прекратился, но только после того как я сделал ресет статес…. странно я думал пинг создает каждый раз новое соединение...

    теперь проблема но может быть надуманная - т.к. нету доступа к оборудованию в сети kolser пробую пинговать через пфсенс  через интерфейс колсера... и пинг проходит, правила надобавлял разные но все равно пинг идет... ресет статес делал....

    что я делаю не так








  • Снова неверные правила.

    Скрин 2 (сверху вниз) :

    Удаляем первое и последнее правила

    Скрин 3 :

    1. Удаляем правило
    2. Создаем :

    IPv4  KOLSER subnet * LAN_subnet  *  *  * block
    IPv6  KOLSER subnet * LAN_subnet  *  *  * block

    Или запрещающее всё правила :

    IPv4  *  *  *  *  * block
    IPv6  *  *  *  *  * block



  • :'( да чтож я за криворукий то(( мне в колсер нужно только чтобы с вана проходил 10000 порт на 3389… и все остальное чтобы было изолированно(

    мне бы понять саму идею как и что тут добавляется(



  • @alexUzi:

    мне бы понять саму идею как и что тут добавляется(

    Все просто - правила читаются сверх вниз, т.е. если Вы вверху что то запретили, а ниже это же разрешили, то работать будет запрет и наоборот.

    И еще. Все что явно не разрешено - запрещено, т.е. не стоит писать правила сперва разрешающие что-то конкретно ,а ниже запрещающее в общем:

    IPv4 LAN subnet * * 80 * allow
    IPv4 LAN subnet * * * * block < –- это лишнее, хватит только первого правила

    P.s. Правила во Floating rules обрабатываются первее, чем правила на конкретных интерфейсах (LAN, WAN, etc.) !



  • @alexUzi:

    1 WAN + 1 LAN + 1 LAN (kolser)

    1 LAN (kolser) - это физический интерфейс или алиас?



  • @dr.gopher:

    @alexUzi:

    1 WAN + 1 LAN + 1 LAN (kolser)

    1 LAN (kolser) - это физический интерфейс или алиас?

    Думается, что все же физ. - https://forum.pfsense.org/index.php?action=dlattach;topic=77029.0;attach=44729;image



  • @werter:

    Думается, что все же физ. - https://forum.pfsense.org/index.php?action=dlattach;topic=77029.0;attach=44729;image

    :-)

    Тога предлагаю Т.С. -у  воспользоваться проверенным решением http://www.thin.kiev.ua/router-os/50-pfsense/659-wan-2-lan-pfsense-20.html



  • @ dr.gopher

    Инс-ция хорошая (а другого я и не ожидал от вас), но в конце у вас NAT вручную настраивается. Нехватало нам еще проблем с ручным NAT-ом.



  • @werter:

    Снова неверные правила.

    Скрин 2 (сверху вниз) :

    Удаляем первое и последнее правила

    Скрин 3 :

    1. Удаляем правило
    2. Создаем :

    IPv4  KOLSER subnet * LAN_subnet  *  *  * block
    IPv6  KOLSER subnet * LAN_subnet  *  *  * block

    Или запрещающее всё правила :

    IPv4  *  *  *  *  * block
    IPv6  *  *  *  *  * block

    иии все равно не помогло через веб морду пфсенса (мб просто не обращать внимания? это глюк?)
    я пингую яндекс через интерфейс kolser






  • Ребята все ок! да это глюк вебморды от пфсенса. На машинах сети KOLNET сети нету.
    тогда как через - диагностика,пинг,интерфейс колнет - пинг проходит.. живьем же все хорошо как и хотелось) спасибо



  • @alexUzi:

    Ребята все ок! да это глюк вебморды от пфсенса. На машинах сети KOLNET сети нету.
    тогда как через - диагностика,пинг,интерфейс колнет - пинг проходит.. живьем же все хорошо как и хотелось) спасибо

    Это не глюк.
    Пинговать с PFSense и с рабочей машины - это разные вещи.



  • @dvserg:

    @alexUzi:

    Ребята все ок! да это глюк вебморды от пфсенса. На машинах сети KOLNET сети нету.
    тогда как через - диагностика,пинг,интерфейс колнет - пинг проходит.. живьем же все хорошо как и хотелось) спасибо

    Это не глюк.
    Пинговать с PFSense и с рабочей машины - это разные вещи.

    возможно, я только учусь - я просто предположил что если я выбираю интерфейс то логически что пинг как бы из сети которую я выбрал…



  • @alexUzi:

    @dvserg:

    @alexUzi:

    Ребята все ок! да это глюк вебморды от пфсенса. На машинах сети KOLNET сети нету.
    тогда как через - диагностика,пинг,интерфейс колнет - пинг проходит.. живьем же все хорошо как и хотелось) спасибо

    Это не глюк.
    Пинговать с PFSense и с рабочей машины - это разные вещи.

    возможно, я только учусь - я просто предположил что если я выбираю интерфейс то логически что пинг как бы из сети которую я выбрал…

    Пинг из pfSense через выбранный интерфейс при этом пакеты идут через один указанный интерфейс.
    Если Вы пингуете с клиентского хоста, то пакеты идут через ДВА интерфейса.


Log in to reply