Netgate SG-1000 microFirewall

Author Topic: Запрет маршрутизации между локальными се  (Read 146 times)

0 Members and 1 Guest are viewing this topic.

Offline abozh

  • Newbie
  • *
  • Posts: 2
  • Karma: +0/-0
    • View Profile
Приветствую!
Имеется Pfense 2.4.2.
Три физических сетевых интерфейса: WAN, LAN (192.168.200.*), OPT1 (192.168.100.*)

Существуют следующие правила:
Firewall/NAT/Outbound
WAN   192.168.200.0/24   *   *   *   WAN address   *      Auto created rule - LAN to WAN   
WAN   192.168.100.0/24   *   *   *   WAN address   *      Auto created rule - OPT1 to WAN   

Firewall/Rules/LAN
IPv4 *   LAN net   *   *   *   *   none       Default allow LAN to any rule      
IPv6 *   LAN net   *   *   *   *   none       Default allow LAN IPv6 to any rule

Firewall/Rules/OPT1
IPv4 *   OPT1 net   *   *   *   *   none       Default allow OPT1 to any rule             

Необходимо чтоб в обеих локальных сетях (LAN и OPT1) был интернет, но эти сети никак друг друга не видели (шара, телнет, пинги и т.д.)

Если я правильно понимаю, то мне необходимо в правилах обоих интерфейсов сделать "Destination - WAN Net".   
Но, при выполнении этого действия я продолжаю видеть из одной сети другую.
Подскажите пожалуйста , что я делаю не правильно?

Offline werter

  • Hero Member
  • *****
  • Posts: 5021
  • Karma: +239/-15
    • View Profile
Добрый.

Вар. 1
Явно указать в правилах fw на ЛАНах в gw - WAN GW. Сделать Reset States.

Вар 2.
Создать на каждом ЛАНе явное запрещ. правило - src - LAN net, dst - OPT1 net и наоборот для OPT1. Поставить его первым на обеих ЛАНах.

Вар. 3.
В уже существ. правилах на ЛАНах в dest указать !LAN net и !OPT1 net соответственно. Сделать Reset States.

Offline abozh

  • Newbie
  • *
  • Posts: 2
  • Karma: +0/-0
    • View Profile
Спасибо огромное!
Все заработало с первым правилом, остальные не проверял.


Offline pigbrother

  • Hero Member
  • *****
  • Posts: 1753
  • Karma: +222/-2
    • View Profile
Вариант 3 - самый изящный, т.к. позволяет одним правилом заменить 2 и более.

Offline werter

  • Hero Member
  • *****
  • Posts: 5021
  • Karma: +239/-15
    • View Profile
Добрый.
А по мне так 2-ой универсальнее - одно запрещ. правило в самом верху, а ниже добавляй-разрешай все остальное. Причем не надо мучаться с явным добавлением шлюзов, прописыванием dest etc.