web-dev-qa-db-ja.com

ネットワークデバイスがLAN上の別のデバイスと通信するのをブロックする

私はファイアウォール/ルーター配布Pfsenseをしばらく使用しており、LANの拒否/拒否ルールを使用して、LAN上のサーバーをLAN上の他のコンピューターから「分離」する方法を理解しようとしています。デバイス(たとえば192.168.1.102の電話)が192.168.1.105のWebサーバーにTCPパケットを送信することを拒否する、ファイアウォール->ルール-> LANの下にルールを追加しようとしました。どういうわけか、パケットはなんとかうまく行きます。奇妙な点は、ルータ自体を宛先として指定し、電話/コンピュータがそれと通信するのをブロックする場合、それが機能することです。私はこれをワイヤレスラップトップでテストし、両方とも同じサブネット上の無線電話。

私のトポロジーは次のとおりです。

(internet)->(modem)->(pfsense)->(wireless router /w switch)->(wired devices)
                                            |
                                        (Wireless laptop/phone)
| == wifi
-> == wire

ワイヤレスルーター/スイッチが電話からサーバーにパケットを中継し、ファイアウォールを完全にバイパスしている可能性はありますか(ルールが機能しない理由を説明しています)?もしそうなら、ネットワーク上の他のコンピュータと通信するためにすべてのLANトラフィックがファイアウォールを通過する必要があるように設定するにはどうすればよいですか?

3人の担当者が画像を投稿できないため、ここで使用できるWebインターフェイスの画像:( image

firewallroutingpfsenserulesdeny
5
user99545

2つのホストが同じサブネット上にある場合、トラフィックはルーターを通過する理由がありません。 ルールが適用されることはありません。 2つのデバイスは、スイッチ(または他のレイヤー2ネットワークハードウェア)に接続されています。ホストAは「このトラフィックをホストBのIPに送信したい」と言い、スイッチは「OK、完了」と言います。

更新:VLANがオプションの場合は、各ホストを別々のVLANに配置します。このようにして、それらの間にルーティングルールを適用し、必要な論理的な分離を実現できます。

12
Joel E Salas

おそらく、有線デバイス(サーバーはここにあると思います)をpfsenseデバイスに接続すると、レイヤー3セグメンテーションを作成できるようになります。または、ハイエンドのCiscoデバイスを実行している場合は、 private vlans を設定できます。

0
bangdang