Pfsense in/out => none/none?



  • Приветствую!
    На борту pfsense 2.2.1.
    Меня интересует, есть ли возможность в правилах на самом интерфейсе блокировать входящий траффик.

    К примеру, мы имеем интерфейсы em0, em1, em2, em3, em4.
    Цель: заблокировать весь входящий траффик на интерфейсе em4, но ! em2

    Здесь имеем два способа:
    1. Вкладка float и рисуем алиасом интерфейсы, где выбираем direction in/out
    2. На каждом source интерфейсе мы рисуем block на данный destination интерфейс/сеть.

    Оба варианта мягко говоря не устраивают.

    Хотелось бы узнать как это можно заблокировать входящий на destination интерфейсе в его вкладке рулесом. И почему на интерфейсе можно блокировать только in, но не out?
    Я обнаружил интересную опцию при написании правила в каждом интерфейсе Advanced features  – In/Out, но почему-то при нажати на Advenced - none/none. Пытался перевести, но ничего не понял. Для чего оно?



  • В pfSense на интерфейсах вы можете управлять только входящии трафиком.
    Любой исходящий разрешен по умолчанию.
    Можете попробовать использовать глобальные Floating Rules с опцией Quick для разрешения/запрета трафика между сетями.



  • Спасибо за ответ, но я написал тоже самое.
    Мне не нужен floating (на железке очень много интерфейсов), интересует именно вкладка самой сети с назачением direction.

    И все же за что отвечает опция в  Advanced features  – In/Out во вкладке интерфейса при написании правила?



  • Это для указания очередей шейпера



  • @Buch:

    Это для указания очередей шейпера

    Limiter-a



  • @peacemaker:

    Спасибо за ответ, но я написал тоже самое.
    Мне не нужен floating (на железке очень много интерфейсов), интересует именно вкладка самой сети с назачением direction.

    И все же за что отвечает опция в  Advanced features  – In/Out во вкладке интерфейса при написании правила?

    Так это было утверждение а не вопрос?

    Хотелось бы узнать как это можно заблокировать входящий на destination интерфейсе в его вкладке рулесом. И почему на интерфейсе можно блокировать только in, но не out?

    Извините, что не так понял.



  • @dvserg:

    Так это было утверждение а не вопрос?

    Хотелось бы узнать как это можно заблокировать входящий на destination интерфейсе в его вкладке рулесом. И почему на интерфейсе можно блокировать только in, но не out?

    Извините, что не так понял.

    Я сам виноват за неясность стилистики.
    Да, это был вопрос.



  • Жаль что установленного пфсенса под рукой сейчас нет. Но как я помню правила фаервола позволяют блокировать пакеты поступающие на интерфейс


Log in to reply