Regola di Blocco Non Funziona
-
Ciao a tutti,
scusate per i vari post ma sto avendo problemi con alcune configurazioni lato pfsense.Tra questi, non riesco a bloccare, per gli utenti (range di IP per cui ho creato un alias) l'accesso all'interfaccia http/https di gestione degli accesspoint.
Ho creato una regola di accesso al DNS server (messa in cima) per permettere l'accesso a internet, e una regola che blocca l’accesso alla lan_net.
Quest’ultima blocca tutti i vari accessi, ma non riesca a chiudere l’accesso alle interfacce http/https degli access point.
E' come se questa sia bypassata dalla regola in cima, quella per l’accesso al DNS, se infatti levo questa, si raggiunge lo scopo, ma parzialmente, infatti non si ha più l’accesso alla wan
Potete Aiutami?Grazie
Orphen
-
Ciao,il fatto è che se l'access point è nella stessa subnet non si può bloccare l'accesso in quella stessa rete,ma lo si può fare solo se si trova in una altra subnet....
-
@claudio69 said in Regola di Blocco Non Funziona:
ao,il fatto è che se l'access point è nella stessa subnet non si può bloccare l'accesso in quella stessa rete,ma lo si può fare solo se si trova in una altra subnet....
Ciao Claudio, ti ringrazio molto, ma perche capita questo? alla fin fine è un interfaccia su https, a livello di rete quale è la ragione?
-
@orphen76 Penso che se si sarebbe potuto fare il risultato sarebbe che con la regola di blocco di HTTP e HTTPS dell'indirizzo IP del access point non gli consenti di connettersi a quei protocolli dunque sarebbe del tutto inutilizzabile...
L'unico modo che conosco per fare una cosa di questo tipo è creare una VLAN di management ed impostare l'interfaccia del dispositivo per rispondere solo sulla rete VLAN che ovviamente avrà un indirizzo IP diverso da quello della subnet in cui si connettono gli altri dispositivi...,purtroppo per farlo bisogna avere switch "intelligenti" e una conoscenza di come funzionano le VLAN che di fatto risulta essere una subnet diversa come ti avevo detto nella prima risposta. -
@claudio69 capisco, ma non ho un switch management quindi non posso istradare il traffico per fare una vlan, non vi stanno alternative allora..giusto?
-
@orphen76 Da quello che ne so io non ci sono altre alternative...
-
@claudio69 OK. grazie del tuo supporto.
Ciao -
@orphen76 Se non si hanno la conoscenze giuste (modello ISO-OSI e i suoi layer) è sempre bene adottare la scelta più facile e meno costosa (risorse/CPU) per il router/firewall.
L'alternativa c'è ed è abilitare il filtro MAC sui vari AP whitelistando solo quei MAC che verranno usati per accedere ai portali web degli AP.