Bloquear um dispositivo de rede de se comunicar com outro dispositivo na LAN

4

Eu tenho trabalhado com a distribuição do firewall / roteador Pfsense por um tempo agora e tenho tentado descobrir como "isolar" um servidor em minha LAN de outros computadores em minha LAN usando regras de negação / rejeição de LAN. Eu tentei adicionar uma regra sob Firewall - > regras - > LAN que nega um dispositivo (meu telefone, por exemplo, 192.168.1.102) de enviar qualquer pacote TCP para o meu servidor web em 192.168.1.105. Por algum motivo, os pacotes conseguem chegar embora. A parte estranha é que, se eu especificar o próprio roteador como o destino e bloquear o telefone / computador de falar com ele, ele funciona. Eu testei isso com um laptop sem fio e um telefone sem fio, ambos na mesma sub-rede.

Minha topologia é a seguinte:

(internet)->(modem)->(pfsense)->(wireless router /w switch)->(wired devices)
                                            |
                                        (Wireless laptop/phone)
| == wifi
-> == wire

É possível que o roteador / switch sem fio esteja apenas retransmitindo os pacotes do meu telefone para o servidor e ignorando completamente o firewall (explicando por que minha regra não está funcionando)? Em caso afirmativo, como eu poderia configurá-lo para que todo o tráfego da LAN tenha que passar pelo meu firewall para falar com qualquer outro computador na rede?

A imagem da interface web disponível aqui como 3 rep não me permite postar uma imagem :( image

    
por user99545 27.04.2012 / 01:45

2 respostas

11

Se dois hosts estiverem na mesma sub-rede, o tráfego não terá motivo para passar pelo roteador. Suas regras nunca são aplicadas . Os dois dispositivos estão conectados a um switch (ou algum outro hardware de rede da Camada 2). O host A diz "Eu quero que esse tráfego vá para o IP do Host B" e seu switch diz "Ok, pronto".

ATUALIZAÇÃO: Se as VLANs forem uma opção, coloque cada host em uma VLAN separada. Dessa forma, você pode impor regras de roteamento entre elas e obter a separação lógica desejada.

    
por 27.04.2012 / 01:48
0

Talvez conectar os dispositivos com fio (presumo que o servidor esteja aqui) no dispositivo pfsense permitiria que você criasse a segmentação da camada 3. Como alternativa, se você estiver executando um dispositivo Cisco high-end, poderá configurar vlans privadas private .

    
por 27.04.2012 / 02:06