Например VLAN100 и VLAN200 каждый на своем виртуальном интерфейсе. Дальше в правилах межсетевого экрана (у каждого влана будет своя закладка)
закладка VLAN100 блокировать «источник-VLAN100», назначение-VLAN200.
закладка VLAN200 блокировать «источник-VLAN200», назначение-VLAN100.
Хотел пошутить про файрволл, а тут это выдают как решение. Почему, для начала, этот чудо-роутер связывает разные сегменты друг с другом, если они и нужны для изоляции?
Почему, для начала, этот чудо-роутер связывает разные сегменты друг с другом, если они и нужны для изоляции
Вариант: на предприятии выход в интернет один и несколько подсетей (ИСПДн, бухгалтерия, производство, публичная …) должны иметь выход в этот самый интернет, но должны быть изолированы и не пересекаться друг с другом.
Раскидать в VLAN-ы и ограничить на файере - вполне вариант.
Вариант: на предприятии выход в интернет один и несколько подсетей (ИСПДн, бухгалтерия, производство, публичная …) должны иметь выход в этот самый интернет, но должны быть изолированы и не пересекаться друг с другом.
Это типичный кейс. Раскидываешь по VLAN-ам, NAT-ишь их в WAN. Но зачем что-то ещё ограничивать, если VLAN и есть ограничитель? Мне просто непонятно, почему pfSense что-то делает (маршрутизацию?), позволяя по умолчанию шастать участникам одного домена в другой?
Не админ, мимо погромист, могу чего-то не понимать :)
Мне просто непонятно, почему pfSense что-то делает (маршрутизацию?), позволяя по умолчанию шастать участникам одного домена в другой?
Есть ещё и межвлановская маршрутизация. Я фиг его знает, что там в pfSense, я им не пользуюсь, но для надёжности можно просто зарубить файером любой такого рода роутинг.
Понимаю , а как быть когда много виланов ?, создается очень много правил .
Если в глазах рябит от правил, советую взглянуть в сторону алиасов. Вообще правила фаервола в пфсенсе лучше создавать со ссылками на алиасы. В противном случае вы очень скоро в них запутаетесь.
Мне вообще не понятно почему у вас юзеры между вланами шастают. По умолчанию вланы изолированны друг от друга. Для этого они и создаются. У вас случаем в маршрутах ничего лишнего не прописано?
Ну быть может я что-то не так делаю , у меня все в принципе по дефолту , обычное создание Vlan на интерфейсе и такое правило для разрешения интернета на виланах https://imagehost.com.au//0L8UJ , а также блок со всех интерфейсов на доступ к алиасу с Ip адресам фаервола с панелью управления ( кроме mgt сети )
Делаю ставку: тс сам обозвал сегменты разными именами, почему-то созвучными с написанием аббревиатуры VLAN. После чего, погуглив, просиял озарением и сношается с данным фактом)))
Не знаю как в сабже. Но на уровне iptables это можно решить одним правилом что-то типа -A FORWARD -i VLAN* -d VLAN* -j DROP Возможно в сабже тоже маски есть.