Netgate SG-1000 microFirewall

Author Topic: Закрыть интрнет только на втором WAN\OPT1  (Read 213 times)

0 Members and 1 Guest are viewing this topic.

Offline merdzd

  • Newbie
  • *
  • Posts: 10
  • Karma: +0/-0
    • View Profile
Доброго времени.
Есть 2 wan. WAN и OPT1. = Member down - всё идёт через WAN пока не упадёт.
Пытаюсь закрыть интеренет (пока полностью) для определённых хостов по OPT1.
по мануалу http://ru.doc.pfsense.org/index.php/%D0%98%D0%BD%D1%82%D0%B5%D1%80%D0%BD%D0%B5%D1%82_%D0%BE%D1%82_%D0%B4%D0%B2%D1%83%D1%85_%D0%BF%D1%80%D0%BE%D0%B2%D0%B0%D0%B9%D0%B4%D0%B5%D1%80%D0%BE%D0%B2_(pfSense_2.x)

Выбираю в - Advanced Options @gateway любой шлюз, инет не работает.

Задача закрыть для хоста\сети инет при активации ОРТ1.

Offline Uranus

  • Full Member
  • ***
  • Posts: 101
  • Karma: +3/-0
    • View Profile
Re: Закрыть интрнет только на втором WAN\OPT1
« Reply #1 on: April 10, 2018, 04:25:58 am »
Не понял проблемы, в Firewall-rules-Lan просто создаёте правила в которых указываете что на те ресурсы которые вы хотите закрыть ходили только через WAN, собственно как вы и написали делается это в Advanced Options правил, выставляете шлюз WAN.
Так же вам скорее всего придётся как то делать чтобы пакеты не доходили до общего открывающего правила в Lan, вариантов два или переносить правила в Float и ставить в правиле параметр Quick, или писать ещё запрещающее правило после разрешающего в  Lan.

p.s.
Сумбурно как то написал :)

Offline merdzd

  • Newbie
  • *
  • Posts: 10
  • Karma: +0/-0
    • View Profile
Re: Закрыть интрнет только на втором WAN\OPT1
« Reply #2 on: April 10, 2018, 07:48:48 am »
В том то и дело.
какой бы WAN\OPT1 я не выставил в доп. настройках, интернета нет.

Offline Uranus

  • Full Member
  • ***
  • Posts: 101
  • Karma: +3/-0
    • View Profile
Re: Закрыть интрнет только на втором WAN\OPT1
« Reply #3 on: April 10, 2018, 10:55:25 am »
Давайте для начала выясним у вас мультиван или нет.
Кроме скажите если оставляете default gateway в Advanced Option правил инет у вас есть?
Так же хотелось узнать стоит ли у вас в  System - Advanced - Miscellaneous галочка на Enable default gateway switching ?

Offline werter

  • Hero Member
  • *****
  • Posts: 5184
  • Karma: +248/-15
    • View Profile
Re: Закрыть интрнет только на втором WAN\OPT1
« Reply #4 on: April 10, 2018, 11:03:00 am »
Добрый.
@ merdzd
Скрины правил fw покажите.

Offline merdzd

  • Newbie
  • *
  • Posts: 10
  • Karma: +0/-0
    • View Profile
Re: Закрыть интрнет только на втором WAN\OPT1
« Reply #5 on: April 11, 2018, 12:20:54 pm »
мультиван - ДА
любой - gateway в Advanced Option правил отключает инет?
 В  System - Advanced - Miscellaneous галочки,  Нет.  Группами переключается?

Offline merdzd

  • Newbie
  • *
  • Posts: 10
  • Karma: +0/-0
    • View Profile
Re: Закрыть интрнет только на втором WAN\OPT1
« Reply #6 on: April 11, 2018, 12:26:45 pm »
Добрый.
@ merdzd
Скрины правил fw покажите.

Offline werter

  • Hero Member
  • *****
  • Posts: 5184
  • Karma: +248/-15
    • View Profile
Re: Закрыть интрнет только на втором WAN\OPT1
« Reply #7 on: April 12, 2018, 09:16:31 am »
Добрый.
На всех фото в правилах есть ошибки.

Касаемо LAN. Верхнее пускает всё TCP (на кой ляд?) через main, остальное идет согласно правилу ниже через default gw.
Разберитесь с этим.

Offline merdzd

  • Newbie
  • *
  • Posts: 10
  • Karma: +0/-0
    • View Profile
Re: Закрыть интрнет только на втором WAN\OPT1
« Reply #8 on: April 16, 2018, 07:14:43 am »
Убрал но создание правила как описано выше, Всё равно выключает интернет на обоих wan.

Offline werter

  • Hero Member
  • *****
  • Posts: 5184
  • Karma: +248/-15
    • View Profile
Re: Закрыть интрнет только на втором WAN\OPT1
« Reply #9 on: April 16, 2018, 07:57:24 am »
Добрый.
WAN - шлюз по умолчанию и до его падения все и для всех будет идти через него.
И то, что создано вами на скрине выше работать будет только, если WAN упадет.

Quote
Всё равно выключает интернет на обоих wan.
Покажите скрин настроек System- General Setup
« Last Edit: April 16, 2018, 08:04:19 am by werter »

Offline merdzd

  • Newbie
  • *
  • Posts: 10
  • Karma: +0/-0
    • View Profile
Re: Закрыть интрнет только на втором WAN\OPT1
« Reply #10 on: April 17, 2018, 02:42:05 am »
Ну по факту правило работает, сразу только блокирует 10.0.0.30 при любом wan.
Отключал Wan c этим правилом, блокировка так и осталась, как и должно быть.
или я не понял? что то?
Нам надо чтоб оно блокировало при падении wan.
« Last Edit: April 17, 2018, 02:45:35 am by merdzd »

Offline werter

  • Hero Member
  • *****
  • Posts: 5184
  • Karma: +248/-15
    • View Profile
Re: Закрыть интрнет только на втором WAN\OPT1
« Reply #11 on: April 17, 2018, 03:18:25 am »
Добрый.
Так у вас на OPT1 - серый адрес. Чего ж молчали ? Роутер железный есть на OPT1?
Откл. блокирование серых сетей на OPT1.

Offline merdzd

  • Newbie
  • *
  • Posts: 10
  • Karma: +0/-0
    • View Profile
Re: Закрыть интрнет только на втором WAN\OPT1
« Reply #12 on: April 17, 2018, 04:48:27 am »
Посмотрите пож скрин с поста №6. ОРТ1
Там нет блокировки вообще.
Или вы про роутер перед pfsense?

Интернет на OPT1 работает.

Не пойму как правило LAN  для второго шлюза.  (в приложенном)
Блокирует интернет на WAN.

Offline werter

  • Hero Member
  • *****
  • Posts: 5184
  • Karma: +248/-15
    • View Profile
Re: Закрыть интрнет только на втором WAN\OPT1
« Reply #13 on: April 17, 2018, 06:03:19 am »
Quote
Ну по факту правило работает, сразу только блокирует 10.0.0.30 при любом wan.
Это не так. Правило блокирует доступ в Сеть для указанного ip только через явно указанный шлюз OPT1.
И при рабочем в данный момент WAN-е указанный ip будет иметь доступ в Сеть через шлюз WAN.

Quote
Или вы про роутер перед pfsense?
У вас на ОПТ1 - адсл? Если адсл и поднимается pppoe - перевести модем в режим бриджа\моста и пусть пф поднимает pppoe- сессию. Если же там железка провайдера - тады ничего не пожелаешь и на ОПТ1 действительно будет серый ip.
Если же ни то ни другое - на кой ляд он (железный роутер) там нужен?

Что такое алиас LOCSERV и почему правило висит на внешнем интерфейсе ОПТ1 ? Если это локальные серверы в ЛАН - правило неверное.

Повторюсь еще раз. На всех фото в правилах есть ошибки. Нарисуйте схему сети и переосмыслите правила fw еще раз. За вас это никто лучше не сделает.

Ps. У проблемного ip шлюзом и ДНС-ом что в сетевых настройках? Должен быть локал. ip пф. Установлен ли сквид + гвард ? Какие-то доп. пакеты вообще присутствуют ?
« Last Edit: April 17, 2018, 06:09:47 am by werter »

Offline merdzd

  • Newbie
  • *
  • Posts: 10
  • Karma: +0/-0
    • View Profile
Re: Закрыть интрнет только на втором WAN\OPT1
« Reply #14 on: April 17, 2018, 06:52:47 am »
[quote ]

И при рабочем в данный момент WAN-е указанный ip будет иметь доступ в Сеть через шлюз WAN.

[/quote]
Именно это не происходит, с первого поста. Доступа нет.
Если я включу правило для 10.0.0.30 по ОРТ1  то при рабочем и не рабочем wan интернета нет.


для OPT на конце 4G антена.