Подскажите как правильно задать правило
-
LAN 192.168.100.0/24
WAN 82.162../28
Сделан проброс RDP на сервер 192.168.100.254
Включен прозрачный прокси.
Хочу заблокировать наружу все пакеты, для которых source 192.168.100.254 source port not 3389 dest any dest port any, но судя по webGUI это сделать не получится. Там галочка видимо действует и на source IP и на source port .
Комрады, подскажите как правило добавить? -
LAN 192.168.100.0/24
WAN 82.162../28
Сделан проброс RDP на сервер 192.168.100.254
Включен прозрачный прокси.
Хочу заблокировать наружу все пакеты, для которых source 192.168.100.254 source port not 3389 dest any dest port any, но судя по webGUI это сделать не получится. Там галочка видимо действует и на source IP и на source port .
Комрады, подскажите как правило добавить?Не совсем понимаю зачем пакеты RDP блокировать наружу, если хочется "безопасного" RDP у меня например открыт наружу только 1 порт для SSH (не 22), а в нем уже поднят туннель на нужную машину на 3389 порт (в настройках Putty).
-
LAN 192.168.100.0/24
WAN 82.162../28
Сделан проброс RDP на сервер 192.168.100.254
Включен прозрачный прокси.
Хочу заблокировать наружу все пакеты, для которых source 192.168.100.254 source port not 3389 dest any dest port any, но судя по webGUI это сделать не получится. Там галочка видимо действует и на source IP и на source port .
Комрады, подскажите как правило добавить?Не совсем понимаю зачем пакеты RDP блокировать наружу, если хочется "безопасного" RDP у меня например открыт наружу только 1 порт для SSH (не 22), а в нем уже поднят туннель на нужную машину на 3389 порт (в настройках Putty).
source 192.168.100.254 source port not 3389 dest any dest port any
Т.е. я хочу блокировать наружу всё кроме RDP. На данном этапе пользователи работают не в туннелях (они пока испытываются). -
Всё равно логика непонятна. Опишите простым языком без правил: "Я хочу позволить только одному компьютеру, подключенному к LAN подключаться к любому компьютеру, расположенному за файрволлом (за WAN), используя MS RDP" или чего-нибудь типа этого.
Если Вы не можете создать нужное правило, та 99% Вы пытаетесь создать что-то не то. -
Логика проста. RDP Сервер стоит за шлюзом. Хочу запретить любые поползновения в интернет, НО есть пользователи, которые работают извне (стоит фильтр по ip). Поэтому с одной стороны их нельзя обидеть, но ограничить внутренних пользователей нужно.
-
Определённо я забыл русский.
Ограничить внутренних пользователей очень просто - не создавать ни одного правила на LAN.
Предоставить доступ к RDP серверу, подключенному к LAN, пользователям, которые работают извне, тоже просто одно NAT правило и одно правило на WAN.
Но вот, что значит не обидеть этих пользователей, которые работают извне, я не понимаю -))) -
Итак с чистого листа.
Локальная сеть 192.168.100.0/24 в ней рабочие станции. Шлюз 192.168.100.200. Используется NAT. В LAN разделе Rules правило по умолчанию разрешить всё.Сделан Port Forward WAN:MS RDP –> 192.168.100.254:MS RDP
В WAN разделе Rules стоит разрешение для нескольких IP вида source wan address, port any, dest 192.168.100.254 port 3389
Вопрос как мне отфильтровать трафик пользователей работающих извне от трафика который пользователи могут сгенерировать находясь в терминале. Ну например запустят какую-нибудь аську в терминале. Как бы не интересно блокировать каждую потенциальную возможность. Я могу создать правило блокирующее весь трафик с rdp-сервером в интернет, но тогда внешние пользователи не смогут работать. Потому как обратный трафик к ним попадет под правило. Вот я и спрашиваю как задать правило запрещающее все пакеты с 192.168.100.254 со всех портов кроме 3389 на любой внешний адрес и порт.
-
Вы можете
создать правило блокирующее весь трафик с rdp-сервером в интернет
путём создания правила на LAN - запретить всё от 192.168.100.254.
Установленные сессии к этому серверу на порт 3389 под это правило не подпадут, т.к. pfSense - stateful firewall. -
Вы можете
создать правило блокирующее весь трафик с rdp-сервером в интернет
путём создания правила на LAN - запретить всё от 192.168.100.254.
Установленные сессии к этому серверу на порт 3389 под это правило не подпадут, т.к. pfSense - stateful firewall.Запретить tcp/udp, кроме трафика в локальную сеть (not 192.168.100.0/24). В самом начале правил прописать общие разрешения на ICMP и DNS.
-
Работает.
Спасибо Eugene и dvserg. -
Да, с "запретить всё" я погорячился -))) люблю всё запрещать…
-
Да, с "запретить всё" я погорячился -))) люблю всё запрещать…
Угу, я тоже люблю, особенно любопытным одминам из Москвы.
(Локалка одна, а сенс они не видят…) -
значит им не нужно его видеть, значит всё правильно -)