Закрыть доступ к серверу pfSense

dvserg

1. Сделать правило разрешения доступа к pfSense web/ssh только из нужной сети
2. Сделать правило запрета доступа к pfSense web/ssh для всех (***)
3. Отключить Anti-lockout опцию.

derwin

1. Сделать правило разрешения доступа к pfSense web/ssh только из нужной сети

2. Сделать правило запрета доступа к pfSense web/ssh для всех (***)

А как это будет выглядеть? ведь сервер имеет не 1 адрес, а настоящую кучу.

werter

@derwin:

1. Сделать правило разрешения доступа к pfSense web/ssh только из нужной сети

2. Сделать правило запрета доступа к pfSense web/ssh для всех (***)

А как это будет выглядеть? ведь сервер имеет не 1 адрес, а настоящую кучу.

Ключевое слово - Alias.

derwin

спасибо копетан.
Я об этом в первом посту писал. Неужели существует только 1 путь - добавить КАЖДЫЙ интерфейс в группу (алиас)??

werter

@derwin:

НО веб интерфейс и ssh будут доступны в каждом влане по этому адресу!

Копетан подсказывает - логин и пасс от pf не выдавать ни в коем случае ни одному пользователю ни одного VLAN-а. А в остальном - это паранойя, друг мой.

p.s. У меня 300 машин и у pf-а туева куча LAN-фейсов. Ну и ? Пускай пробуют достучаться до админки хоть по web хоть по ssh. Флаг в руки.
Правильно трафик нарезать для ВСЕХ (приоритеты etc.) - это да, это задача.

dvserg

@derwin:

1. Сделать правило разрешения доступа к pfSense web/ssh только из нужной сети

2. Сделать правило запрета доступа к pfSense web/ssh для всех (***)

А как это будет выглядеть? ведь сервер имеет не 1 адрес, а настоящую кучу.

Floating rules + опция quick. Не пойму что за алиасы и зачем?

derwin

@werter:

@derwin:

НО веб интерфейс и ssh будут доступны в каждом влане по этому адресу!

Копетан подсказывает - логин и пасс от pf не выдавать ни в коем случае ни одному пользователю ни одного VLAN-а. А в остальном - это паранойя, друг мой.

p.s. У меня 300 машин и у pf-а туева куча LAN-фейсов. Ну и ? Пускай пробуют достучаться до админки хоть по web хоть по ssh. Флаг в руки.
Правильно трафик нарезать для ВСЕХ (приоритеты etc.) - это да, это задача.

ну как бе логин и пароль это одно, а, например, дырки и эксплоиты в веб-сервере ещё никто не отменял. Апач например оч хорошо доссится перловыми скриптами. И попробуй поадминить когда веб лежит.
Зачем конечному юзеру знать на чём у меня шлюз?? Вобщем, не секурно получается.

dvserg
опция Quick как я понимаю - применяет правило немедленно. Но по какому принципу мне отбирать(отсеивать по 22,80,443 портам) траффик на локальные интерфейсы (если не алиасом)? :)

dvserg

@derwin:

@werter:

@derwin:

НО веб интерфейс и ssh будут доступны в каждом влане по этому адресу!

Копетан подсказывает - логин и пасс от pf не выдавать ни в коем случае ни одному пользователю ни одного VLAN-а. А в остальном - это паранойя, друг мой.

p.s. У меня 300 машин и у pf-а туева куча LAN-фейсов. Ну и ? Пускай пробуют достучаться до админки хоть по web хоть по ssh. Флаг в руки.
Правильно трафик нарезать для ВСЕХ (приоритеты etc.) - это да, это задача.

ну как бе логин и пароль это одно, а, например, дырки и эксплоиты в веб-сервере ещё никто не отменял. Апач например оч хорошо доссится перловыми скриптами. И попробуй поадминить когда веб лежит.
Зачем конечному юзеру знать на чём у меня шлюз?? Вобщем, не секурно получается.

dvserg
опция Quick как я понимаю - применяет правило немедленно. Но по какому принципу мне отбирать(отсеивать по 22,80,443 портам) траффик на локальные интерфейсы (если не алиасом)? :)

Ну блокировочное правило можно алиасом в флоат, либо на каждом интерфейсе блокировать отдельно. Вы же в любом случае настраиваете для каждого вашего интерфейса разрешающие правила? А алиас проще и быстрее некуда.

derwin

да мне бы как раз лучше чтобы сначала "запрещай", а потом "разрешай".
Согласитесь, в промышленных масштабах это нереально трудозатратно.

Но раз нет….. будем дальше жувать кактуз ))))
всем спасибо....

dvserg

@derwin:

да мне бы как раз лучше чтобы сначала "запрещай", а потом "разрешай".
Согласитесь, в промышленных масштабах это нереально трудозатратно.

Но раз нет….. будем дальше жувать кактуз ))))
всем спасибо....

Можно и так. В флоат запретить доступ к указанным портам без опции quick, а ниже тут же  или на нужном интерфейсе разрешить.

derwin

а float применяется ДО или после правил по интерфейсам?

dvserg

@derwin:

а float применяется ДО или после правил по интерфейсам?

Применяется ДО, и по умолчанию на нем правила идут без опции Quick. В этом случае просматриваются все правила подряд, а затем переходит на список правил соотв. интерфейса. При наличии опции Quick правило флоат применяется немедленно, как и правило на интерфейсе.