Нужно ли инвертировать правила файервола pfsense для vlan?

Question

[Артем Енин]

Доброго времени суток друзья. Вертится мысль, но уловить не могу. Сейчас составляю себе ТЗ. Имеется три vlana: USERS, PRINTERS и NAS (подсети не важны здесь). В правилах файервола для printers указываю, грубо говоря, PASS - Source: USERS и DESTANATION: PRINTERS..и как я понял, обратное правило создать тоже необходимо (pass - source: printers и destanation: printers), либо pfsense, при задании первого правила, инициирует обратное (ответное) разрешение на пропуск трафика?

Аналогичный вопрос в плане 3го Vlan - NAS(одинешенькое сетевое хранилище с WEB интерфейсом), та же ситуация по отношению к USERS vlan?

И, до полноты картины, не подскажут ли знающие люди порты, которыми можно ограничиться для работы с принтерами и NAS?

Answer 1

[Дмитрий]

Если с другой стороны тоже инициируется соединение, то надо. В ином случае правило пишется только для итерфейса с которого инициируется соединение

Comments

[Артем Енин]

Я так понимаю, диагностика сети самим принтером или уведомление юзеров о количестве чернил это не соединения в прямом смысле, но для их работы все же стоит создать инвертное правило?

[Дмитрий]

Артем Енин, в общем случае принтеры лучше завести в отдельный vlan без доступа к остальной сети, завести их на отдельный принтсервер и что бы пользователи работали только с принтсервером.