Я уже некоторое время работаю с дистрибутивом брандмауэра / маршрутизатора Pfsense, и я пытался выяснить, как «изолировать» сервер в моей локальной сети от других компьютеров в моей локальной сети, используя правила запрета / отклонения локальной сети. Я попытался добавить правило под Firewall-> rules-> LAN, которое запрещает устройству (например, моему телефону 192.168.1.102) отправлять любые TCP-пакеты на мой веб-сервер по адресу 192.168.1.105. Почему-то пакеты все же проходят. Странная часть заключается в том, что если я укажу сам маршрутизатор в качестве пункта назначения и заблокирую соединение телефона / компьютера с ним, он сработает. Я тестировал это с беспроводным ноутбуком и беспроводным телефоном в одной подсети.
Моя топология следующая:
(internet)->(modem)->(pfsense)->(wireless router /w switch)->(wired devices)
|
(Wireless laptop/phone)
| == wifi
-> == wire
Возможно ли, что беспроводной маршрутизатор / коммутатор просто ретранслирует пакеты с моего телефона на сервер и полностью обходит брандмауэр (объясняя, почему мое правило не работает)? Если да, то как я могу настроить его так, чтобы весь трафик локальной сети проходил через мой брандмауэр для связи с любым другим компьютером в сети?
Изображение веб-интерфейса, доступное здесь, поскольку 3 представителя не позволят мне опубликовать изображение :( образ
Если два хоста находятся в одной подсети, у трафика нет причин проходить через маршрутизатор. Ваши правила никогда не применяются. Два устройства подключены к коммутатору (или другому сетевому оборудованию уровня 2). Хост A говорит: «Я хочу, чтобы этот трафик шел на IP-адрес хоста B», а ваш коммутатор говорит: «Хорошо, готово».
ОБНОВЛЕНИЕ: если VLAN являются опцией, поместите каждый хост в отдельную VLAN. Таким образом, вы можете обеспечить соблюдение правил маршрутизации между ними и добиться желаемого логического разделения.
Возможно, подключение проводных устройств (я предполагаю, что здесь находится сервер) к устройству pfsense позволит вам создать сегментацию уровня 3. В качестве альтернативы, если вы используете какое-либо устройство Cisco высокого класса, вы можете настроить частные вланы.