Interne netwerkcommunicatie blokkeren met pfSense

Dat gaat niet zomaar. Het verkeer komt niet langs de pfsense machine maar wordt intern geregeld door je switch. Tenminste als je die hebt. Dat staat niet in je verhaal maar met 2 netwerkkaarten moet je haast wel.

Je kunt iets met vlans oid gaan doen en het op die manier gaan regelen. Als je dan geen routeringen tussen verschillende vlans hebt dan gaat get verkeer ook niet over. Maar om dat goed te doen moet je switch het ook ondersteunen.

[ Voor 37% gewijzigd door .Maarten op 12-08-2017 00:07 ]

Je bent inderdaad afhankelijk van een managed switch of, indien je wireless werkt, een access point die layer2 isolation kan doen. Deze functionaliteit wordt ook wel user isolation of port isolation genoemd bij bepaalde merken.

Als je bekabeld werkt en geen managed switch hebt, dan is deze functionaliteit niet mogelijk.
Als je dit in wilt richten voor je wireless netwerk, dan werkt dit ook alleen maar als alle devices wireless zijn verbonden.

Hier een voorbeeld van het configureren van port isolation op een TP-Link managed switch:
http://www.tp-link.com/us/faq-525.html

Je kan dit heel makkelijk realiseren dmv van je pfsense.

Stap 1 ) -> zorg dat je modem voor je pfsense staat als enige. Je wan zal of je direct inet ip zijn of vanaf de dhcp van je modem.
Stap 2 ) -> maak op de LAN in pfsense een dhcp server aan / dns resolving(of forwarder).
Stap 3 ) -> zet je modem in DMZ naar de pfsense.
Stap 4 ) -> Assign een vast IP voor beide computers gekoppeld aan mac adres.
Stap 5 ) -> zet een Firewall rule erin dat het verkeer blokkeert van 1 host naar de andere. en visa versa.

En voor wireless, Gooi een ap achter je pfsense en dan kan je ook gewoon op mac van de telefoons filteren.

Als je het helemaal wilt isoleren dan maak je de firewall rules strak :

dus bv ipv4 -> lan netmask met exlusie van gateway deny default.

Pfsense is krachtig genoeg dat je het kan dicht timmeren zonder managed switch / vlans. Kost alleen even wat meer instelwerk en je moet je netwerkapparatuur in de juiste volgorde hebben.

Aionicus schreef op zaterdag 12 augustus 2017 @ 16:09:
Je kan dit heel makkelijk realiseren dmv van je pfsense.

Nee, dat kun je niet, tenminste, niet op de manier die jij aangeeft. Verkeer van de ene computer op je netwerk naar een andere computer op je netwerk komt niet over je router (pfSense in dit geval).

Om dit te doen moet je een managed switch kopen, per PC een VLAN aanmaken, het poortje waar die PC bedraad op zit aangesloten untagged + PVID in dat VLAN zetten, en op de poort waar pfSense op aangesloten zit zet je alle VLAN's tagged.

In pfSense maak je pet VLAN een interface en vervolgens kun je firewall en NAT-regels maken. De opstelling die je dan hebt heet 1 WAN, multi LAN, als je naar walkthroughs gaat zoeken

Edit: Zonder VLAN's kan ook maar dan wordt het wel ingewikkelder, en als mensen hun PC handmatig een ander IP geven kunnen ze alsnog bij die andere PC's

[ Voor 9% gewijzigd door Paul op 12-08-2017 16:52 ]

Maar is er een reden voor? Je kan niet zomaar op andere computers zonder inloggegevens (tenzij ze geen wachtwoorden gebruiken)

Die machines alleen WIFI geven op een SSID met AP isolation (guest WIFI) is de gemakkelijkste manier. Anders worden het toch VLANs of port isolation met een managed switch of handmatige IP's in andere subnetten.

Managed switches hoeven trouwens niet duur te zijn: pricewatch: TP-Link TL-SG108E-Gigabit Easy Smart Switch met 8 aansluitingen (huidige versie heeft een webinterface en werkende IGMP Snooping, mocht je de reviews lezen)

Of als jij beheerder bent en Marieke enzo niet dan zou een software firewall een mogelijkheid zijn.

[ Voor 57% gewijzigd door |sWORDs| op 12-08-2017 17:48 ]