Создать изолированные подсети



  • Добрый день. Возможно, вопрос обсуждался, но точного ответа на форуме не нашел. Если кто знает решение моей задачи, то помогите или ткните, где посмотреть. Ситуация довольно простая. Есть 4 подсети, с разными диапазонами ip. Первая -  серверная, 3 остальных - рабочие станции. Нужно, чтобы подсети рабочих станций были изолированы друг от друга (компьютеры не пинговались), но чтобы все компьютеры этих подсетей видели сервера. На pfsense установлены 4 сетевые платы. Траффик по сети довольно большой, общее число компов 200 шт.
    Подскажите, чем лучше выполнить такую задачу. Железо, на которое установлен Pfsense не очень мощное.



  • Доброе.
    Рисуйте схему с адресацией.
    Ваша задача реализуется средствами fw на интерфейсах.

    P.s. Кстати, вместо 4-ех сетевых карт можно было бы исп. l2-свитч (VLAN). Сейчас и гигабитные недороги  - напр., tp-link.



  • как поделить сеть vlan ами я понимаю, а вот как сделать, чтобы один vlan был открыт для других - пока не получается реализовать. Метод гибридных портов не подходит



  • Все решается правилами firewall. Тупой способ - создать на каждом из интерфейсов рабочих станций правило разрешающее доступ к подсети серверов, а под ним - правила запрешающие доступ в подсети других рабочих станций. Более элегантный способ - решить все парой floating rules или сделать interface group для рабочих сетей, чтобы не прописывать все на каждом из их интерфейсов.



  • @ssgorbunkov:

    как поделить сеть vlan ами я понимаю, а вот как сделать, чтобы один vlan был открыт для других - пока не получается реализовать. Метод гибридных портов не подходит

    Думается, в Вашем случае хватит просто правил fw.
    Что касается vlan, то порт на свитче может быть tag\untag несколькими vlan id одновременно. Более того, порт может быть untag одним vlan id и tag др. vlan id одновременно.



  • Спасибо, что подтвердили мои намерения действовать при помощи правил файервола. Одно только сомнение, как повлияет сама железка, на которой стоит pfSense на скорость сети. Все оборудование гигабитное, трафик бывает большой.



  • Мониторьте. Вам там виднее на месте.