AT
Для pbr нужны дефолт роуты в разных таблицах. В пппое роут можно нарисовать через интерфейс
Size: a a a
2020 April 25
VG
Здравствуйте, коллеги. Такой вопрос. На маршрутизаторе (hEX) создал 3 VLAN (admin-net, wifi-net, production) все это дело живет внутри бриджа вместе с ethernet портами соответствующими каждый своему вилану. И все замечательно работает, НО при этом, не смотря на правила фильтрации дропающие все новые соединения из сети wifi-net на admin-net и на production, из сети wifi-net пинги идут спокойно на шлюзы и устройства других сетей. Как можно изоливать все это дело друг от друга так, чтобы доступ к другим сетям был только у admin-net?
П
Видимо, правила фильтрации дропают все новые соединения, а icmp не трогают
VP
Здравствуйте, коллеги. Такой вопрос. На маршрутизаторе (hEX) создал 3 VLAN (admin-net, wifi-net, production) все это дело живет внутри бриджа вместе с ethernet портами соответствующими каждый своему вилану. И все замечательно работает, НО при этом, не смотря на правила фильтрации дропающие все новые соединения из сети wifi-net на admin-net и на production, из сети wifi-net пинги идут спокойно на шлюзы и устройства других сетей. Как можно изоливать все это дело друг от друга так, чтобы доступ к другим сетям был только у admin-net?
1. Вланы в бридже - это миссконфиг.
2. Пинг на шлюзы надо дропать в инпуте.
2. Пинг на шлюзы надо дропать в инпуте.
VG
1. Вланы в бридже - это миссконфиг.
2. Пинг на шлюзы надо дропать в инпуте.
2. Пинг на шлюзы надо дропать в инпуте.
По второму пункту все понятно, а по первому не совсем. То есть мне виланы вешать непосредственно на ethernet порты или..?
VP
По второму пункту все понятно, а по первому не совсем. То есть мне виланы вешать непосредственно на ethernet порты или..?
На бридж.
VG
Так они и висят на бридже
VP
Так они и висят на бридже
VP
Тогда норм. Выражайтесь яснее. )
VG
Пардон оговорился)
VG
Тогда норм. Выражайтесь яснее. )
Простите, действительно виноват)
C
Здравствуйте, коллеги. Такой вопрос. На маршрутизаторе (hEX) создал 3 VLAN (admin-net, wifi-net, production) все это дело живет внутри бриджа вместе с ethernet портами соответствующими каждый своему вилану. И все замечательно работает, НО при этом, не смотря на правила фильтрации дропающие все новые соединения из сети wifi-net на admin-net и на production, из сети wifi-net пинги идут спокойно на шлюзы и устройства других сетей. Как можно изоливать все это дело друг от друга так, чтобы доступ к другим сетям был только у admin-net?
Сбрасывайте на дефолт. Настраиваете vlan filtering. Влан админ в интерфейс лист LAN. Остальные вланы в Isolation-net. Что бы изолировать в ip firewall forward drop для интерфейс листа Isolation-net (in-Interface-List, out-int-List). Туда добавляете остальные вланы.
VG
Cumberbatch
Сбрасывайте на дефолт. Настраиваете vlan filtering. Влан админ в интерфейс лист LAN. Остальные вланы в Isolation-net. Что бы изолировать в ip firewall forward drop для интерфейс листа Isolation-net (in-Interface-List, out-int-List). Туда добавляете остальные вланы.
Понял, спасибо. Попробую)
VG
1. Вланы в бридже - это миссконфиг.
2. Пинг на шлюзы надо дропать в инпуте.
2. Пинг на шлюзы надо дропать в инпуте.
Создал доп.правила на drop input для сетей и теперь все работает. Спасибо Вам огромное)
VP
Создал доп.правила на drop input для сетей и теперь все работает. Спасибо Вам огромное)
Не за что.
C
Создал доп.правила на drop input для сетей и теперь все работает. Спасибо Вам огромное)
Вам форвард важен.
VG
Cumberbatch
Вам форвард важен.
На форварде правила висят и они отрабатывают на всем кроме icpm запросов. По крайней мере, при попытке попасть из сети wifi-net в шару сети production ничего не получается. А пока в общем-то других ресурсов которые требуют изоляции в рабочей сети нет.)
VG
*icmp
YP
*icmp
можно редактировать исходное сообщение