Разрешить интернет нескольким интерфеса
-
Ни как не могу найти информацию как открыть доступ только в интернет для разных интерфейсов, не открывая доступ в другие сети,
используя автоматическое правилоProto Sourse Port Destination Port Gateway Queue Schedule Description
IPv4 TCP LAN net * * * * none
можно по аналогии открыть доступ в интернет на других интерфейсах, но я хочу изолировать сети друг от друга, возможно стоит просто добавить правила для запрета доступа в другие сети, но возможно есть другой способ, как поступаете Вы в данной ситуации?
-
1. Интернет - это не только TCP
2. Можно разделить физически или с пом. VLAN.P.s. http://linkmeup.ru/tag/сети%20для%20самых%20маленьких/page2/ Читаем, вникаем. пользуем.
-
В данный момент использую следующие настройки, есть физически два подключения к pfsense, WAN подключение (белый IP), Lan подключение - транк Vlan untagged: 1, vlan tagged: 80 (сервера), 81 (it-отдел), 10 (voip телефоны).
Стоит задача пустить интернет для vlan 1 через squid, разрешить подключение некоторым подключение мимо прокси(пустить трафик по очередям трафик шейпера), разрешить подключение к vlan 80 к определенным портам, запретить подключения к всему остальному. Vlan 80 доступ в интернет, общение между собой по нужным портам. vlan 81 доступ в интернет, куда угодно.Так вот очереди трафик шейпера созданы для всех интерфейсов, доступ из vlan в другой vlan тоже, проблема c правилами firewall как одним или несколькими правилами отрыть доступ к wan>интернет и только. По умолчанию при установки pfsense создается правило для Lan из сети Lan net доступ куда угодно, как дать любому интерфейсу только доступ в интернет по 80, 443 порту используя очереди траффик шейпера(не встроенного шейпера squid). можете ткнуть носом в howto или привести пример настройки firewall буду очень признателен, так как бьюсь с настройкой pfsense уже несколько дней. Есть подозрение что неправильно работает NAT, но читав ман для pfsense, что при создание интерфейса создаются автоматически Firewall:NAT:Outbound, как я понял любой трафик проходящий через wan любого интерфейса будет через NAT, тоесть стоит в правилах firewall для требуемого подключения добавить разрешение на destanation: Wan net; через порт 80, где я не прав???
-
Схема.