Vlan только в интернет

mons

есть vlan2 на lan
wan - static ip mask \29
как пропустить трафик из vlan2 в интернеты? что должно быть в качестве назначения? wan address не работает wan net тоже не работает. Пока стоит правило
IPv4 * * * (dest)! LAN net * * none
в качестве destination **!**Lan но это как то не тру.
outbound nat автоматический

dvserg

@mons:

есть vlan2 на lan
wan - static ip mask \29
как пропустить трафик из vlan2 в интернеты? что должно быть в качестве назначения? wan address не работает wan net тоже не работает. Пока стоит правило
IPv4 * * * (dest)! LAN net * * none
в качестве destination **!**Lan но это как то не тру.
outbound nat автоматический

что должно быть в качестве назначения?
Any ?

mons

any разрешит трафик из vlan2 to lan.
А между тем vlan2 должна быть изолирована. Это сеть для гостей из которой нужно разрешить только интернеты

dvserg

@mons:

any разрешит трафик из vlan2 to lan.
А между тем vlan2 должна быть изолирована. Это сеть для гостей из которой нужно разрешить только интернеты

Почему-же тогда !Lan не тру, если он описывает именно Ваши требования?

mons

потому как **!**lan позволит пойти трафику и в ipsec и в pptp_vpn и в другие сетевые (opt) интерфейсы. Нужно как-то кратко описать путь в интернет.
При pppoe на wan порту, помнится, destination wan addresses отлично справлялся с этой задачей
Понимаю решение рядом, но найти не могу

werter

@mons:

помнится, destination wan addresses отлично справлялся с этой задачей

Бред.

WAN Addresses (?) это адрес (-а) вашего внешнего интерфейса, а не весь Инет.

dvserg

@mons:

потому как **!**lan позволит пойти трафику и в ipsec и в pptp_vpn и в другие сетевые (opt) интерфейсы. Нужно как-то кратко описать путь в интернет.
При pppoe на wan порту, помнится, destination wan addresses отлично справлялся с этой задачей
Понимаю решение рядом, но найти не могу

У Вас в ipSec/pptp серые подсети? Вот их и баньте для VLAN2. Лучше создать алиас.

mons

1. нужно собрать в alias=localnet все серые подсети из тонелей и т.д.
2. запретить на вкладке vlan2 все destination=localnet (куда нельзя).
3. последним правилом разрешить destination=!lan
таким образом получится отрезать все внутренние сетки
при добавлении новых тонелей нужно обновлять алиасы

Как то это все неестественно что-ли. Таким образом можно прийти к alias=internet. должен быть способ проще

dvserg

@mons:

1. нужно собрать в alias=localnet все серые подсети из тонелей и т.д.
2. запретить на вкладке vlan2 все destination=localnet (куда нельзя).
3. последним правилом разрешить destination=!lan
таким образом получится отрезать все внутренние сетки
при добавлении новых тонелей нужно обновлять алиасы

Как то это все неестественно что-ли. Таким образом можно прийти к alias=internet. должен быть способ проще

Если VLAN2 нужно только в интернет и никуда более, то
1. Все серые подсети IPv4 умещаются в 3 строчки http://ru.wikipedia.org/wiki/%D0%A7%D0%B0%D1%81%D1%82%D0%BD%D1%8B%D0%B9_IP-%D0%B0%D0%B4%D1%80%D0%B5%D1%81
2. Создать на вкладке vlan2 разрешающее правило с dest=!Alias
3. Не плодим не нужные сущности.
При добавлении тоннелей все они автоматом попадают в серые подсети из Алиаса.

mons

Другого способа нет?

werter

@mons:

Другого способа нет?

А зачем?
Желаете создавать себе трудности , а потом их героически преодолевать ?

dvserg

@mons:

Другого способа нет?

Другой способ - в 2 правила
1. Запретить на любые серые сети
2. Разрешить везде.

Тот-же вид, только сбоку.