Vlan только в интернет



  • есть vlan2 на lan
    wan - static ip mask \29
    как пропустить трафик из vlan2 в интернеты? что должно быть в качестве назначения? wan address не работает wan net тоже не работает. Пока стоит правило
    IPv4 * * * (dest)! LAN net * * none
    в качестве destination **!**Lan но это как то не тру.
    outbound nat автоматический



  • @mons:

    есть vlan2 на lan
    wan - static ip mask \29
    как пропустить трафик из vlan2 в интернеты? что должно быть в качестве назначения? wan address не работает wan net тоже не работает. Пока стоит правило
    IPv4 * * * (dest)! LAN net * * none
    в качестве destination **!**Lan но это как то не тру.
    outbound nat автоматический

    что должно быть в качестве назначения?
    Any ?



  • any разрешит трафик из vlan2 to lan.
    А между тем vlan2 должна быть изолирована. Это сеть для гостей из которой нужно разрешить только интернеты



  • @mons:

    any разрешит трафик из vlan2 to lan.
    А между тем vlan2 должна быть изолирована. Это сеть для гостей из которой нужно разрешить только интернеты

    Почему-же тогда !Lan не тру, если он описывает именно Ваши требования?



  • потому как **!**lan позволит пойти трафику и в ipsec и в pptp_vpn и в другие сетевые (opt) интерфейсы. Нужно как-то кратко описать путь в интернет.
    При pppoe на wan порту, помнится, destination wan addresses отлично справлялся с этой задачей
    Понимаю решение рядом, но найти не могу



  • @mons:

    помнится, destination wan addresses отлично справлялся с этой задачей

    Бред.

    WAN Addresses (?) это адрес (-а) вашего внешнего интерфейса, а не весь Инет.



  • @mons:

    потому как **!**lan позволит пойти трафику и в ipsec и в pptp_vpn и в другие сетевые (opt) интерфейсы. Нужно как-то кратко описать путь в интернет.
    При pppoe на wan порту, помнится, destination wan addresses отлично справлялся с этой задачей
    Понимаю решение рядом, но найти не могу

    У Вас в ipSec/pptp серые подсети? Вот их и баньте для VLAN2. Лучше создать алиас.



  • 1. нужно собрать в alias=localnet все серые подсети из тонелей и т.д.
    2. запретить на вкладке vlan2 все destination=localnet (куда нельзя).
    3. последним правилом разрешить destination=!lan
    таким образом получится отрезать все внутренние сетки
    при добавлении новых тонелей нужно обновлять алиасы

    Как то это все неестественно что-ли. Таким образом можно прийти к alias=internet. должен быть способ проще



  • @mons:

    1. нужно собрать в alias=localnet все серые подсети из тонелей и т.д.
    2. запретить на вкладке vlan2 все destination=localnet (куда нельзя).
    3. последним правилом разрешить destination=!lan
    таким образом получится отрезать все внутренние сетки
    при добавлении новых тонелей нужно обновлять алиасы

    Как то это все неестественно что-ли. Таким образом можно прийти к alias=internet. должен быть способ проще

    Если VLAN2 нужно только в интернет и никуда более, то
    1. Все серые подсети IPv4 умещаются в 3 строчки http://ru.wikipedia.org/wiki/Частный_IP-адрес
    2. Создать на вкладке vlan2 разрешающее правило с dest=!Alias
    3. Не плодим не нужные сущности.
    При добавлении тоннелей все они автоматом попадают в серые подсети из Алиаса.




  • Другого способа нет?



  • @mons:


    Другого способа нет?

    А зачем?
    Желаете создавать себе трудности , а потом их героически преодолевать ?



  • @mons:


    Другого способа нет?

    Другой способ - в 2 правила
    1. Запретить на любые серые сети
    2. Разрешить везде.

    Тот-же вид, только сбоку.


Log in to reply