सवाल लैन पर किसी अन्य डिवाइस से संचार करने से नेटवर्क डिवाइस को अवरुद्ध करना


मैं थोड़ी देर के लिए फ़ायरवॉल / राउटर वितरण Pfsense के साथ काम कर रहा हूं और मैं यह समझने की कोशिश कर रहा हूं कि लैन नियमों को अस्वीकार / अस्वीकार कर अपने LAN पर अन्य LAN से अपने LAN पर एक सर्वर को "अलग" कैसे करें। मैंने फ़ायरवॉल-> नियम-> लैन के तहत एक नियम जोड़ने का प्रयास किया है जो किसी डिवाइस को अस्वीकार करता है (उदाहरण के लिए मेरा फोन 1 9 2.168.1.102) किसी भी टीसीपी पैकेट को मेरे वेब सर्वर पर 1 9 2.168.1.105 पर भेजने से। किसी कारण से, पैकेट हालांकि प्राप्त करने में कामयाब होते हैं। अजीब हिस्सा यह है कि यदि मैं राउटर को गंतव्य के रूप में निर्दिष्ट करता हूं, और फोन / कंप्यूटर को इसके साथ बात करने से रोकने के लिए, यह काम करता है। मैंने एक ही लैपटॉप पर वायरलेस लैपटॉप और वायरलेस फोन के साथ इसका परीक्षण किया है।

मेरी टोपोलॉजी निम्नानुसार है:

(internet)->(modem)->(pfsense)->(wireless router /w switch)->(wired devices)
                                            |
                                        (Wireless laptop/phone)
| == wifi
-> == wire

क्या यह संभव है कि वायरलेस राउटर / स्विच सिर्फ मेरे फोन से पैकेट को सर्वर पर रिले कर रहा है और फ़ायरवॉल को पूरी तरह से बाईपास कर रहा है (यह बता रहा है कि मेरा नियम क्यों काम नहीं कर रहा है)? यदि हां, तो मैं इसे कैसे सेट अप कर सकता हूं ताकि मेरे लैन ट्रैफ़िक को नेटवर्क पर किसी भी अन्य कंप्यूटर से बात करने के लिए जाना पड़ेगा?

यहां 3 वेब के रूप में उपलब्ध वेब इंटरफ़ेस की छवि मुझे एक छवि पोस्ट करने नहीं देगी :( छवि


4
2018-04-26 23:45


मूल




जवाब:


यदि दो मेजबान एक ही सबनेट पर हैं, तो यातायात के पास राउटर से गुज़रने का कोई कारण नहीं है। आपके नियम कभी लागू नहीं किए जा रहे हैं। दो डिवाइस स्विच (या कुछ अन्य परत 2 नेटवर्किंग हार्डवेयर) से जुड़े हुए हैं। होस्ट ए कहता है, "मैं चाहता हूं कि यह ट्रैफिक होस्ट बी के आईपी पर जाए" और आपका स्विच कहता है "ठीक है, किया।"

अद्यतन करें: यदि वीएलएएन एक विकल्प हैं, तो प्रत्येक होस्ट को एक अलग वीएलएएन में रखें। इस तरह, आप उनके बीच रूटिंग नियमों को लागू कर सकते हैं और तार्किक अलगाव प्राप्त कर सकते हैं।


11
2018-04-26 23:48



मैं इसे कैसे जा सकता हूं (एआरपी विषाक्तता के बिना)? क्या मुझे ऐसा करने के लिए एक अलग एनआईसी का उपयोग करने की आवश्यकता होगी? मैं वीएलएएन के बारे में ज्यादा नहीं जानता, लेकिन क्या वे इस स्थिति में उपयुक्त होंगे? - user99545
यदि आप प्रत्येक होस्ट को एक अलग VLAN में डालते हैं, तो आप उनके बीच रूटिंग नियमों को लागू कर सकते हैं और तार्किक अलगाव प्राप्त कर सकते हैं। - Joel E Salas
आप प्रत्येक डिवाइस (या बस फोन) को अपने आईपी सबनेट में भी डाल सकते हैं, राउटर / फ़ायरवॉल को प्रत्येक सबनेट के अंदर एक आईपी एड्रेस भी दे सकते हैं। वे एक ही प्रसारण डोमेन में होंगे, इसलिए यह वास्तव में सुरक्षित नहीं होगा। लेकिन यह तब तक काम करेगा जब तक डिवाइस जानबूझकर इसके चारों ओर नहीं चले और इसे एक प्रबंधित स्विच की आवश्यकता नहीं होगी। (ध्यान दें कि यह कुछ गैर-मानक वाईफाई सेटअप जैसे काम नहीं करेगा ग्राहक पुल कुछ ओपन सोर्स फर्मवेयर द्वारा प्रदान किए गए मोड।) - David Schwartz
एक और विकल्प सर्वर को फ़ायरवॉल पर किसी अन्य इंटरफेस से कनेक्ट करना होगा, जैसे डीएमजेड इंटरफ़ेस या वैकल्पिक इंटरफ़ेस। प्रकृति से, फ़ायरवॉल अन्य इंटरफेस की तुलना में एक अलग आईपी एड्रेस रेंज (नेटवर्क) का उपयोग करते हुए प्रत्येक इंटरफ़ेस को एक अलग और अलग नेटवर्क के रूप में मानते हैं। फ़ायरवॉल तब प्रत्येक इंटरफ़ेस पर डिवाइस के बीच यातायात को रूट करेगा, जिसके बाद आपके फ़ायरवॉल नियम लागू होंगे। - joeqwerty


संभवतया वायर्ड डिवाइस (मुझे लगता है कि सर्वर यहां बैठता है) को प्लग करना Pfsense डिवाइस में आपको लेयर 3 सेगमेंटेशन बनाने की अनुमति देगा। वैकल्पिक रूप से, यदि आप कुछ उच्च अंत सिस्को डिवाइस चला रहे हैं, तो आप सेटअप कर सकते हैं निजी vlans


0
2018-04-27 00:06