Создать изолированные подсети
-
Добрый день. Возможно, вопрос обсуждался, но точного ответа на форуме не нашел. Если кто знает решение моей задачи, то помогите или ткните, где посмотреть. Ситуация довольно простая. Есть 4 подсети, с разными диапазонами ip. Первая - серверная, 3 остальных - рабочие станции. Нужно, чтобы подсети рабочих станций были изолированы друг от друга (компьютеры не пинговались), но чтобы все компьютеры этих подсетей видели сервера. На pfsense установлены 4 сетевые платы. Траффик по сети довольно большой, общее число компов 200 шт.
Подскажите, чем лучше выполнить такую задачу. Железо, на которое установлен Pfsense не очень мощное. -
Доброе.
Рисуйте схему с адресацией.
Ваша задача реализуется средствами fw на интерфейсах.P.s. Кстати, вместо 4-ех сетевых карт можно было бы исп. l2-свитч (VLAN). Сейчас и гигабитные недороги - напр., tp-link.
-
как поделить сеть vlan ами я понимаю, а вот как сделать, чтобы один vlan был открыт для других - пока не получается реализовать. Метод гибридных портов не подходит
-
Все решается правилами firewall. Тупой способ - создать на каждом из интерфейсов рабочих станций правило разрешающее доступ к подсети серверов, а под ним - правила запрешающие доступ в подсети других рабочих станций. Более элегантный способ - решить все парой floating rules или сделать interface group для рабочих сетей, чтобы не прописывать все на каждом из их интерфейсов.
-
как поделить сеть vlan ами я понимаю, а вот как сделать, чтобы один vlan был открыт для других - пока не получается реализовать. Метод гибридных портов не подходит
Думается, в Вашем случае хватит просто правил fw.
Что касается vlan, то порт на свитче может быть tag\untag несколькими vlan id одновременно. Более того, порт может быть untag одним vlan id и tag др. vlan id одновременно. -
Спасибо, что подтвердили мои намерения действовать при помощи правил файервола. Одно только сомнение, как повлияет сама железка, на которой стоит pfSense на скорость сети. Все оборудование гигабитное, трафик бывает большой.
-
Мониторьте. Вам там виднее на месте.