Firewall в pfSense

Question

[AusTiN]

Всем доброе время суток.
Итак, имеется pfSense, проводная сеть и два WiFi роутера. Задача в следующем:

а) роутер А (для сотрудников) должен иметь возможность ходить в Интернет, и иметь доступ к внутренней сети (т.е к другим компьютерам)
б) роутер Б (для гостей) должен видеть только Интернет, но при этом не иметь никакого доступа к внутренней сети (в т.ч к роутеру А, в идеале — и к админке pfSense-а)

На данный момент ситуация обстоит так:
pfSense — IP 192.168.1.1/24
Роутер А — 192.168.5.1/24
Роутер Б — 192.168.6.1/24
Все друг друга видят — не вариант…

Попробовал в pfSense сделать следующим образом:


Не получилось. Что я делаю не так, и как правильно сделать? Подскажите, плз…

PS: Кустарно нарисованную карту сети в Paint прилагаю.

Answer 1

[jov]

Из вашей схемы не понятно как гости и сотрудники, вообще имеют выход в интернет, ведь маршрутизаторы и хост с pfSense на борту, находятся в разных подсетях, следовательно не видят друг друга. Это раз.
Во-вторых, раз уж вы располагаете двумя маршрутизаторами, а не точками доступа, то там наверняка можно прописать список к хостов к которым доступ запрещён, вот и загоняйте туда всю «сеть гостей». Не видел ни одного современного роутера не имеющего такого функционала из коробки.

Answer 2

[Alexander Yankovskiy]

Самый простой способ: поднять dhcp на гостейвой точке в другой подсети и PFу выдать инструкцию, чтобы выпускал эту подсеть в и-нет.

Если хочется секурности, то VLAN-тегами разрулить — так будет надёжная изоляция на канальном уровне. Но нужны не бытовые хотспоты, для которых вланы не являются чем-то диковинным. Если хотспоты дешёвые, но секурность нужна, можно попытаться обратиться к свичу. Если он управляемый, то 99%, что в нём есть вланы.

Comments

[AusTiN]

Управляемых свитчей нету…
Точка — ASUS WL-500gV2. В принципе, я сделал так — вставил еще одну сетевую карточку, назначил ей IP 192.168.10.1/24 (для отсутствия пересечения с основной подсетью 192.168.1.1/24) и сделал правило NAT чтобы эта сеть выходила в Инет. Но тем не менее, основную сеть всё еще видно. Закрывать через firewall или есть какие-то другие методы?