Не маршрутизировать их друг в друга.

Например VLAN100 и VLAN200 каждый на своем виртуальном интерфейсе. Дальше в правилах межсетевого экрана (у каждого влана будет своя закладка) закладка VLAN100 блокировать «источник-VLAN100», назначение-VLAN200. закладка VLAN200 блокировать «источник-VLAN200», назначение-VLAN100.

Понимаю , а как быть когда много виланов ?, создается очень много правил .

Хотел пошутить про файрволл, а тут это выдают как решение. Почему, для начала, этот чудо-роутер связывает разные сегменты друг с другом, если они и нужны для изоляции?

Почему, для начала, этот чудо-роутер связывает разные сегменты друг с другом, если они и нужны для изоляции

Вариант: на предприятии выход в интернет один и несколько подсетей (ИСПДн, бухгалтерия, производство, публичная …) должны иметь выход в этот самый интернет, но должны быть изолированы и не пересекаться друг с другом. Раскидать в VLAN-ы и ограничить на файере - вполне вариант.

да да в микротике помниться вообще можно было это сделать одной галочкой ))

сделать одной галочкой

ахриненное достоинство! далан и, чо риально, всё само уладит со всеми VLAN-ми как мене нада и адной кнопкай?

Вариант: на предприятии выход в интернет один и несколько подсетей (ИСПДн, бухгалтерия, производство, публичная …) должны иметь выход в этот самый интернет, но должны быть изолированы и не пересекаться друг с другом.

Это типичный кейс. Раскидываешь по VLAN-ам, NAT-ишь их в WAN. Но зачем что-то ещё ограничивать, если VLAN и есть ограничитель? Мне просто непонятно, почему pfSense что-то делает (маршрутизацию?), позволяя по умолчанию шастать участникам одного домена в другой?

Не админ, мимо погромист, могу чего-то не понимать :)

Мне просто непонятно, почему pfSense что-то делает (маршрутизацию?), позволяя по умолчанию шастать участникам одного домена в другой?

Есть ещё и межвлановская маршрутизация. Я фиг его знает, что там в pfSense, я им не пользуюсь, но для надёжности можно просто зарубить файером любой такого рода роутинг.

Понимаю , а как быть когда много виланов ?, создается очень много правил .

Если в глазах рябит от правил, советую взглянуть в сторону алиасов. Вообще правила фаервола в пфсенсе лучше создавать со ссылками на алиасы. В противном случае вы очень скоро в них запутаетесь. Мне вообще не понятно почему у вас юзеры между вланами шастают. По умолчанию вланы изолированны друг от друга. Для этого они и создаются. У вас случаем в маршрутах ничего лишнего не прописано?

Ну быть может я что-то не так делаю , у меня все в принципе по дефолту , обычное создание Vlan на интерфейсе и такое правило для разрешения интернета на виланах https://imagehost.com.au//0L8UJ , а также блок со всех интерфейсов на доступ к алиасу с Ip адресам фаервола с панелью управления ( кроме mgt сети )

Делаю ставку: тс сам обозвал сегменты разными именами, почему-то созвучными с написанием аббревиатуры VLAN. После чего, погуглив, просиял озарением и сношается с данным фактом)))

Не знаю как в сабже. Но на уровне iptables это можно решить одним правилом что-то типа -A FORWARD -i VLAN* -d VLAN* -j DROP
Возможно в сабже тоже маски есть.