Настройка правил firewall на резервном канале
-
В принципе любые правила можно задавать, указывая вместо default конкретный gateway.
Примерно так:
1.Разрешение всего трафика через WAN 1
2.Разрешение VOIP через OPT1
3.Запрет всего через OPT1?
-
И всё остальное тоже,а этого нужно избежать.По резервному каналу должен идти только VOIP ,и ничего больше.Как бы разрулить это правилами?
Еще раз. Создать создать на LAN 1-е правило, запрещающее VOIP с явным указанием шлюза WAN.
Создать на LAN 2-е правило, запрещающее все, кроме DNS и VOIP с явным указанием шлюза OPT. -
И всё остальное тоже,а этого нужно избежать.По резервному каналу должен идти только VOIP ,и ничего больше.Как бы разрулить это правилами?
Еще раз. Создать создать на LAN 1-е правило, запрещающее VOIP с явным указанием шлюза WAN.
Создать на LAN 2-е правило, запрещающее все, кроме DNS и VOIP с явным указанием шлюза OPT.Я понял Вас,спасибо) Есть не очевидный (видимо) момент -до падения основного канала (WAN) никакого трафика вообще не должно идти через OPT1(трафик дорогой)
-
Я понял Вас,спасибо) Есть не очевидный (видимо) момент -до падения основного канала (WAN) никакого трафика вообще не должно идти через OPT1(трафик дорогой)
Так на то и правильные указания tier в failover.
Для гарантии дайте WAN максимальный Weight в System: Gateways: Edit gateway->adwanced, а OPT - минимальный.
Но незначительный служебный трафик по OPT все равно будет идти, будет ли его считать провайдер - не знаю.
Если OPT - PPPOE, например, и задержка на поднятие интерфейса не критична, можно включить Dial on demand в настройках OPT. -
Я понял Вас,спасибо) Есть не очевидный (видимо) момент -до падения основного канала (WAN) никакого трафика вообще не должно идти через OPT1(трафик дорогой)
Так на то и правильные указания tier в failover.
Для гарантии дайте WAN максимальный Weight в System: Gateways: Edit gateway->adwanced, а OPT - минимальный.
Но незначительный служебный трафик по OPT все равно будет идти, будет ли его считать провайдер - не знаю.
Если OPT - PPPOE, например, и задержка на поднятие интерфейса не критична, можно включить Dial on demand в настройках OPT.Большое спасибо за подробные рекомендации ) OPT как раз PPPOE .
Теперь далее- не работают почему-то вот эти правила (на скриншоте) :Трафик продолжает успешно ходить,ничего не дропается.ЧЯДН?
-
У Вас сейчас весь трафик идет через WAN_DHCP6. Далее, sip чаще всего исп. UDP - у Вас же стоит TCP во 2-м правиле сверху.
-
-
У Вас сейчас весь трафик идет через WAN_DHCP6.
Но физически WAN_DHCP6 выключен,и весь трафик идёт через OPT1.
Поле Gateway вообще за что отвечает и на что влияет? -
sip чаще всего исп. UDP - у Вас же стоит TCP во 2-м правиле сверху.
-
Но физически WAN_DHCP6 выключен,и весь трафик идёт через OPT1.
Reset states сделайте.
Поле Gateway вообще за что отвечает и на что влияет?
Еще и как. Если только правильно настроено.
-
У Вас сейчас весь трафик идет через WAN_DHCP6.
Т.е. порядок правил не корректен.
А если поменять порядок правил,и поставить allow VOIP для OPT1 то весь трафик будет идти через OPT1(резервный канал) всегда независимо от того,работает ли WAN..
Задача в том,чтобы тем или иным образом
а) Заставить ВЕСЬ трафик в штатном режиме(это когда WAN работает) ходить через WAN -и VOIP в том числе.OPT при этом поднят,но трафик через него должен быть запрещён-даже VOIP (канал этот резервный,трафик на нём тарифицируется довольно дорого)
б)При переключении на резервный канал OPT через него разрешается только хождение VOIP (SIP ,RTP ну и DNS).
Возможно ли такое сотворить с помощью Pfsense? Появилась было надежда с указанием в поле "Gateway" целевого шлюза для правила,но видимо это означает не то,что я думаю. -
Ваше Default allow LAN to any rule, разрешающее все всем стоит выше остальных правил, из-за чего они не действуют - до них просто дело не доходит (правила выполняются сверху вниз).
Поставьте Default allow LAN to any rule последним, а свои правила - выше него.WAN_DHCP6 реально имет адрес IPv4 или IPv6? В правиле ведь явно задано IPv4. Без необходимости IPv6 использовать не надо.
Появилась было надежда с указанием в поле "Gateway" целевого шлюза для правила,но видимо это означает не то,что я думаю.
Указание поля Gateway позволяет привязать любое правило к шлюзу. Описанная вами задача выглядит решаемой.
-
Ваше Default allow LAN to any rule, разрешающее все всем стоит выше остальных правил, из-за чего они не действуют - до них просто дело не доходит (правила выполняются сверху вниз).
Поставьте Default allow LAN to any rule последним, а свои правила - выше него.WAN_DHCP6 реально имет адрес IPv4 или IPv6? В правиле ведь явно задано IPv4. Без необходимости IPv6 использовать не надо.
В реальности 4 версия IP,название просто осталось.Спасибо,сейчас попробую поменять правила местами.
-
Спасибо,сейчас попробую поменять правила местами.
В принципе правильно расположенное разрешающее правило с dst-портом 5060 с указанием шлюза OPT одновременно запретит такому трафику ходить через шлюз WAN
Не забывать reset states или reboot.
-
Появилась было надежда с указанием в поле "Gateway" целевого шлюза для правила,но видимо это означает не то,что я думаю.
Указание поля Gateway позволяет привязать любое правило к шлюзу. Описанная вами задача выглядит решаемой.
Увы,это иллюзия и нативными средствами pfsense 2.2.2 эту задачу решить не получится.Загвоздка в том,что правило разрешающее только VOIP через определённый интерфейс должно работать только при условии , что другой интерфейс лежит . Остаётся только организовать кластер pfsens'ов,или писать скрипты.
-
Не знаю что вы там городите, лично у меня последовательность
allow IPv4 TCP 192.168.1.244 * * Ports80443 GW_MARK none (Vahta) allow IPv4 TCP LocalNet * * Ports80443 prio_mark none (MAIN ALLOW)
запрещает компьютеру 192.168.1.244 переходить на резервный канал. Где GW_MARK основной шлюз, prio_mark - фаловер.
С VoIP, конечно немного сложнее…
-
только при условии , что другой интерфейс лежит.
Да, в правилах нет возможности привязки к состоянию шлюза\интерфейса.
А не поможет ли Allow default gateway switching?https://forum.pfsense.org/index.php?topic=45081.0
-
1. allow IPv4 UDP LAN subnet * 5060 (SIP) OPT1 none
2. block IPv4 UDP LAN subnet * **!**5060 (SIP) OPT1 none
3. allow IPv4 * LAN subnet * * * WAN_GW none
А не поможет ли Allow default gateway switching?
Возможно прийдется запретить это дело. Иначе он весь трафик пустит через OPT1 в случае падения дефолтного канала.
Проверяйте, выдернув кабель из WAN и логируя трафик в правилах fw. -
Так ТС OPT вроде нужен как резервный исключительно для SIP. Все, кроме SIP для OPT он согласен\может блокировать.
_1. allow IPv4 UDP LAN subnet * 5060 (SIP) OPT1 none
2. block IPv4 UDP LAN subnet * !5060 (SIP) OPT1 none_
А эти правила не дублируют друг друга?
-
Так ТС OPT вроде нужен как резервный исключительно для SIP. Все, кроме SIP для OPT он согласен блокировать.
Верно. Пускай ТС пробует.