Forum Datorer och system Server Tråd Inlägg

Isolera två subnet med Pfsense

1
Skriv svar
Permalänk
Medlem

Isolera två subnet med Pfsense

Hej!

Jag försöker isolera mitt labb helt och hållet från mitt vanliga nät men jag verkar inte lyckas så bra. I grund och botten kör jag ESXi med två olika vswitchar, en för det vanliga nätet och en för mitt labb nät.

Jag har försökt följa guider genom att köra VLAN i pfsense men jag verkar inte lyckas så bra med just brandväggsreglerna i Pfsense då alla mina klienter på både mitt vanliga nät och labb nätet pratar glatt med varandra utan problem. Skall nedan försöka förklara mitt nätverk och hur jag satt upp det.

                  LAN (172.16.0.0)
                 /
                /
Pfsense >>
                \
                 \ 
                  LABB (172.16.10.0)

LAN - Är mitt vanliga LAN där både virtuella och vanliga fysiska klienter finns.
LABB - Är mitt labb lan som jag vill skall vara helt isolerat och endast kunna prata med internet. Detta lan ligger även på en egen Vswitch i ESXi med VLAN 20.

Hoppas detta skall ge lite mer klarhet kring detta och att någon kan hjälpa mig. Nätverk är inte min starka sida så alla tips och råd är välkomna.

Trevlig kväll!

// Anthon

Visa signatur

[Intel Core i5 2500k] [Asus P8Z68-V Pro] [2x ATI 6950 1gb] [Fractal Design XL] [Corsair HX 750W] [Corsair 16Gb 1600MHz] [OCZ SSD Vertex3 120GB]

Redigera
Citera flera Citera
Permalänk
Medlem

Det borde väl bara vara att lägga till en Block-regel mellan de två näten. Kan du beskriva hur du har satt upp dina regler i pfsense?

Visa signatur

pfSense: GA-J1900N-D3V Quad-core Celeron 2GHz, Samsung 4GB, pfSense 2.2.2@USB
ESXi: i5 3470S, Gigabyte GA-B75N, Corsair XMS3 16GB, Intel PRO/1000 VT Quad GbE, Streacom F7C, ESXi@USB
Campfire Audio Lyra II, HiFiMAN HE-400, Yamaha EPH-100, Audioengine D1, FiiO E10

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av simonw:

Det borde väl bara vara att lägga till en Block-regel mellan de två näten. Kan du beskriva hur du har satt upp dina regler i pfsense?

Gå till inlägget

Hej Simonw!

Ja man kan ju tycka det borde vara så enkelt, förmodligen så förstår jag mig inte på dessa FW regler. Här kommer en bild hur det ser ut just nu och detta fungera inte.

Jag funderar lite på om jag istället måste lägga in regeln under LAN fliken och blocka LAB net därifrån?

Visa signatur

[Intel Core i5 2500k] [Asus P8Z68-V Pro] [2x ATI 6950 1gb] [Fractal Design XL] [Corsair HX 750W] [Corsair 16Gb 1600MHz] [OCZ SSD Vertex3 120GB]

Redigera
Citera flera Citera
Permalänk
Medlem

För att få det att funka ska du flytta ner allow regeln längst ner och aktivera den.

Brandväggen tittar på reglerna uppifrån och ner och slutar titta efter att den har fått en match.
Block regeln ser ju korrekt ut och alla paket från LABnätet till LANnätet kommer träffa den regeln och blockeras. Resten av paketen (internet) i ditt fall kommer accepteras av allow any regeln längst ner. Hoppas min förklaring är hyfsad lätt att förstå.

Redigera
Citera flera Citera
Permalänk
Medlem

Har du två fysiska nätverkskort? Eller hur har du delat upp det? Som det ser ut i den första bilden har du samma nät både för labb och lan.

Jag skulle prova att köra med olika nät för de två sakerna, samt lägga reglerna på inkommande interface. Dvs om du vill blocka trafiken till LANet, blockera den i LAN-fliken.

Det där ser ju ut precis som ett vanligt DMZ-nät, det borde inte vara allt för svårt att fixa i pfSense. Du har inte glömt något litet, som att dina switchar inte stödjer VLAN eller liknande.

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av vitek:

För att få det att funka ska du flytta ner allow regeln längst ner och aktivera den.

Brandväggen tittar på reglerna uppifrån och ner och slutar titta efter att den har fått en match.
Block regeln ser ju korrekt ut och alla paket från LABnätet till LANnätet kommer träffa den regeln och blockeras. Resten av paketen (internet) i ditt fall kommer accepteras av allow any regeln längst ner. Hoppas min förklaring är hyfsad lätt att förstå.

Gå till inlägget

Efter att fått lite tips från en polare sent igår kväll så fick vi igång precis enligt din förklaring! Block regeln var tvungen att ligga överst!

Tack till er som engagerade er i detta!

Skickades från m.sweclockers.com

Visa signatur

[Intel Core i5 2500k] [Asus P8Z68-V Pro] [2x ATI 6950 1gb] [Fractal Design XL] [Corsair HX 750W] [Corsair 16Gb 1600MHz] [OCZ SSD Vertex3 120GB]

Redigera
Citera flera Citera
1
Skriv svar
Senaste nyheterna
Hårdvara
Mjukvara
Övrigt
Nytt i forumet
Datorkomponenter
System
Ljud, bild och kommunikation
Spel och mjukvara