Подскажите как правильно задать правило

Eugene

Всё равно логика непонятна. Опишите простым языком без правил: "Я хочу позволить только одному компьютеру, подключенному к LAN подключаться к любому компьютеру, расположенному за файрволлом (за WAN), используя MS RDP" или чего-нибудь типа этого.
Если Вы не можете создать нужное правило, та 99% Вы пытаетесь создать что-то не то.

daszip

Логика проста. RDP Сервер стоит за шлюзом. Хочу запретить любые поползновения в интернет, НО есть пользователи, которые работают извне (стоит фильтр по ip). Поэтому с одной стороны их нельзя обидеть, но ограничить внутренних пользователей нужно.

Eugene

Определённо я забыл русский.
Ограничить внутренних пользователей очень просто - не создавать ни одного правила на LAN.
Предоставить доступ к RDP серверу, подключенному к LAN, пользователям, которые работают извне, тоже просто одно NAT правило и одно правило на WAN.
Но вот, что значит не обидеть этих пользователей, которые работают извне, я не понимаю -)))

daszip

Итак с чистого листа.
Локальная сеть 192.168.100.0/24 в ней рабочие станции. Шлюз 192.168.100.200. Используется NAT. В LAN разделе Rules правило по умолчанию разрешить всё.

Сделан  Port Forward  WAN:MS RDP –> 192.168.100.254:MS RDP

В WAN разделе Rules стоит разрешение для нескольких IP вида  source wan address, port any, dest 192.168.100.254 port 3389

Вопрос как мне отфильтровать трафик пользователей работающих извне от трафика который пользователи могут сгенерировать находясь в терминале. Ну например запустят какую-нибудь аську в терминале. Как бы не интересно блокировать каждую потенциальную возможность. Я могу создать правило блокирующее весь трафик с rdp-сервером в интернет, но тогда внешние пользователи не смогут работать. Потому как обратный трафик к ним попадет под правило. Вот я и спрашиваю как задать правило запрещающее все пакеты с 192.168.100.254 со всех портов кроме 3389 на любой внешний адрес и порт.

Eugene

Вы можете

создать правило блокирующее весь трафик с rdp-сервером в интернет

путём создания правила на LAN - запретить всё от 192.168.100.254.
Установленные сессии к этому серверу на порт 3389 под это правило не подпадут, т.к. pfSense - stateful firewall.

dvserg

@Eugene:

Вы можете

создать правило блокирующее весь трафик с rdp-сервером в интернет

путём создания правила на LAN - запретить всё от 192.168.100.254.
Установленные сессии к этому серверу на порт 3389 под это правило не подпадут, т.к. pfSense - stateful firewall.

Запретить tcp/udp, кроме трафика в локальную сеть (not 192.168.100.0/24). В самом начале правил прописать общие разрешения на ICMP и DNS.

daszip

Работает.
Спасибо Eugene и dvserg.

Eugene

Да, с "запретить всё" я погорячился -))) люблю всё запрещать…

dvserg

@Eugene:

Да, с "запретить всё" я погорячился -))) люблю всё запрещать…

Угу, я тоже люблю, особенно любопытным одминам из Москвы.
(Локалка одна, а сенс они не видят…)

Eugene

значит им не нужно его видеть, значит всё правильно -)