Impedir que se vean dos VLAN



  • Hola.
    Despues de la ayuda que he recibido por el amigo "acriollo", tengo mi pfsense funcionando como proxy cache transparente, con dos VLAN (OPT2 y OPT3) creadas y asignadas a mi interfaz re1(LAN). Estoy trasteando con el firewall porque no quiero que se pueda hacer ping ni que se vean los equipos de ambas redes que es lo que ocurre ahora, pero si que se permita todo tipo de trafico en cada una de ellas(los tipicos navegacion y correo principalmente).  He creado un alias para los puertos 110,25,995,80,443 y las siguientes reglas pero no me funciona.

    http://servyarte.com/reglasvlan101.jpg
    http://servyarte.com/reglasvlan102.jpg
    Me podeis ayudar?
    Gracias.



  • Por que por default las interfaces no tienen comunicación entre si. Hay que especificarlo vía una regla.



  • Perdón , por default no hay comunicación entre interfaces.



  • Y como es posible que yo pueda hacer ping desde un pc de la vlan 192.168.101.0/24 a la ip 192.168.102.1  y viceversa ?



  • pantallas ? informacion ?    trazas del traceroute ?



  • @jopeme:

    Y como es posible que yo pueda hacer ping desde un pc de la vlan 192.168.101.0/24 a la ip 192.168.102.1  y viceversa ?

    si ambas redes se ven es porque creaste una regla que permitiera eso. borra las reglas y genera nuevas independientes



  • Bueno parece que voy avanzando, aunque con obstáculos en el camino. Como os podeis imaginar no estoy muy puesto en estos temas y no me dejan el tiempo suficiente como para estudiar mas.
    Bueno al grano. He creado estas reglas dentro de cada vlan.

    VLAN101
    Proto           Source       Port Destination    Port  Gateway Queue

    IPv4 * VLAN101 net * VLAN102 net * *         none (bloqueo trafico entre vlan)
    IPv4 * VLAN101 net *       *                 * *         none

    VLAN102
    Proto           Source       Port Destination    Port  Gateway Queue

    IPv4 * VLAN102 net * VLAN101 net * *         none (bloqueo trafico entre vlan)
    IPv4 * VLAN102 net *       *                 * *         none

    Con esto funciona que no se vean entre las dos vlan y que puedan navegar por internet. Como lo que quiero es que puedan salir a internet (squid en modo transparente) y en principio que puedan salir por el puerto 22 y correo por puerto 25,110 y 995 he creado este alias:

    PuertosPermitidos 110, 25, 995, 80, 443, 22, 8080 Puertos permitidos

    Pero si cambio la regla y añado el alias de puertos permitidos entonces ni hago ping(a la ip interna de cada vlan creo que porque al usar esos puertos el protocolo ICMP esta bloqueado) ni salgo a internet y no entiendo el motivo sobre todo de esto ultimo.
    Como ejemplo

    VLAN102
    Proto                 Source     Port Destination            Port                Gateway  Queue

    IPv4 *         VLAN102 net * VLAN101 net      *               *         none
    IPv4  Tcp/udp VLAN102 net *       *                 Puertospermitidos *         none

    Que hago mal?  >:(


  • Rebel Alliance

    Para que funcione el "Ping" creas una Regla permitiendo "ICMP"

    Para "navegar" además del http (80) https (443) necesitas DNS (TCP/UDP 53) ;)



  • Acabo de darme cuenta que ningún usuario esta saliendo por squid. :-(  debido a las reglas imagino. Incluso si desmarco la opción de proxy transparente en squid, el navegador cliente sigue navegando.

    Entonces si quiero que todos salgan por squid en modo transparente que reglas debo aplicar? Tanto en lan como en las vlan?

    Muchas gracias.