LINUX.ORG.RU

Не маршрутизировать их друг в друга.

anonymous ()

Например VLAN100 и VLAN200 каждый на своем виртуальном интерфейсе. Дальше в правилах межсетевого экрана (у каждого влана будет своя закладка) закладка VLAN100 блокировать «источник-VLAN100», назначение-VLAN200. закладка VLAN200 блокировать «источник-VLAN200», назначение-VLAN100.

Humaxoid ()
Ответ на: комментарий от Humaxoid

Хотел пошутить про файрволл, а тут это выдают как решение. Почему, для начала, этот чудо-роутер связывает разные сегменты друг с другом, если они и нужны для изоляции?

anonymous ()
Ответ на: комментарий от anonymous

Почему, для начала, этот чудо-роутер связывает разные сегменты друг с другом, если они и нужны для изоляции

Вариант: на предприятии выход в интернет один и несколько подсетей (ИСПДн, бухгалтерия, производство, публичная …) должны иметь выход в этот самый интернет, но должны быть изолированы и не пересекаться друг с другом. Раскидать в VLAN-ы и ограничить на файере - вполне вариант.

SkyMaverick ★★★★ ()
Ответ на: комментарий от Rebbit

сделать одной галочкой

ахриненное достоинство! далан и, чо риально, всё само уладит со всеми VLAN-ми как мене нада и адной кнопкай?

luckas ()
Ответ на: комментарий от SkyMaverick

Вариант: на предприятии выход в интернет один и несколько подсетей (ИСПДн, бухгалтерия, производство, публичная …) должны иметь выход в этот самый интернет, но должны быть изолированы и не пересекаться друг с другом.

Это типичный кейс. Раскидываешь по VLAN-ам, NAT-ишь их в WAN. Но зачем что-то ещё ограничивать, если VLAN и есть ограничитель? Мне просто непонятно, почему pfSense что-то делает (маршрутизацию?), позволяя по умолчанию шастать участникам одного домена в другой?

Не админ, мимо погромист, могу чего-то не понимать :)

anonymous ()
Ответ на: комментарий от anonymous

Мне просто непонятно, почему pfSense что-то делает (маршрутизацию?), позволяя по умолчанию шастать участникам одного домена в другой?

Есть ещё и межвлановская маршрутизация. Я фиг его знает, что там в pfSense, я им не пользуюсь, но для надёжности можно просто зарубить файером любой такого рода роутинг.

SkyMaverick ★★★★ ()
Ответ на: комментарий от Rebbit

Понимаю , а как быть когда много виланов ?, создается очень много правил .

Если в глазах рябит от правил, советую взглянуть в сторону алиасов. Вообще правила фаервола в пфсенсе лучше создавать со ссылками на алиасы. В противном случае вы очень скоро в них запутаетесь. Мне вообще не понятно почему у вас юзеры между вланами шастают. По умолчанию вланы изолированны друг от друга. Для этого они и создаются. У вас случаем в маршрутах ничего лишнего не прописано?

Humaxoid ()
Ответ на: комментарий от SkyMaverick

Ну быть может я что-то не так делаю , у меня все в принципе по дефолту , обычное создание Vlan на интерфейсе и такое правило для разрешения интернета на виланах https://imagehost.com.au//0L8UJ , а также блок со всех интерфейсов на доступ к алиасу с Ip адресам фаервола с панелью управления ( кроме mgt сети )

Rebbit ()
Ответ на: комментарий от Rebbit

Делаю ставку: тс сам обозвал сегменты разными именами, почему-то созвучными с написанием аббревиатуры VLAN. После чего, погуглив, просиял озарением и сношается с данным фактом)))

Anoxemian ★★★★★ ()
Ответ на: комментарий от Rebbit

Не знаю как в сабже. Но на уровне iptables это можно решить одним правилом что-то типа -A FORWARD -i VLAN* -d VLAN* -j DROP
Возможно в сабже тоже маски есть.

anc ★★★★★ ()
Ограничение на отправку комментариев: только для зарегистрированных пользователей