Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Como evitar en interface wlan, ENTRAR A WEBGUI de pfsense

    Scheduled Pinned Locked Moved Español
    17 Posts 5 Posters 6.8k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • C
      c_setup
      last edited by

      Saludos, este es mi primer aporte, si estoy mal mil perdones, solo aplica la misma regla que en WIFI_ZONE para tu IP LAN_ZONE y de esta forma no entraran en tu webgui. 
      P.D. Quiero agradecer a toda la comunidad por este maravilloso sitio, tengo mas de 4 años leyendo y leyendo no digo nombres para no herir susceptibilidades, pero creo que debo hacer una mención especial al MASTER Ballera, por su incalculable aportación. Gracias

      1 Reply Last reply Reply Quote 0
      • pttP
        ptt Rebel Alliance
        last edited by

        @ XibkayZacek

        Por favor adjunta una captura de panatalla de tus reglas de FW de la interface "WIFI_ZONE" (abajo, Additional Options… Attach: )

        Seguramente tienes una regla muy "permisiva"

        1 Reply Last reply Reply Quote 0
        • X
          XibkayZacek
          last edited by

          Aqui agrego el screen de como quedaron las relgas del firewall en la interface WLAN, el que se nombra WIFI_ZONE es un 3COM OfficeConect Wireless 11g Cable/DSL Gateway, a este equipo se le desactivo el DHCP Server interno y se interconecta por medio del puerto Ethernet 1, y es asi como ya la maquina PFSENSE se encarga de asignar DHCP para el Access Point….

          Saludos cordiales

          screen.png
          screen.png_thumb

          1 Reply Last reply Reply Quote 0
          • pttP
            ptt Rebel Alliance
            last edited by

            Efectivamente, la regla "Allow WLAN to ANY" es muy permisiva, la puedes modificar y en "Destination" marcas "not" " LAN Subnet" de esta forma los usuarios de WLAN acceden a todo (ANY) pero NO a la red LAN

            En la regla de la imagen de mi primer post, tienes como queda la regla….   http://forum.pfsense.org/index.php/topic,57070.msg304635.html#msg304635

            Tambien, si lo prefieres puedes crear otra regla en WLAN (arriba de la regla "Allow WLAN to ANY")  bloqueando trafico de "ANY" hacia "LAN"

            1 Reply Last reply Reply Quote 0
            • X
              XibkayZacek
              last edited by

              En efecto lo que espero es que aunque en el navegador ponga la IP de la interface LAN, estando conectado( en WIFI_ZONE) interface WLAN , no me despliegue la pagina WEBGUI de PFSENSE, ya que la administracion WEBGUI se hara unicamente en la interface LAN.

              Hare los cambios sugeridos y probare como se comporta el PFSENSE y aqui les estare comentado al respecto

              Saludos desde Puebla Puebla México

              1 Reply Last reply Reply Quote 0
              • W
                wirklich
                last edited by

                ok muchas gracias por el dato lo tomare en cuenta :)

                1 Reply Last reply Reply Quote 0
                • X
                  XibkayZacek
                  last edited by

                  Pues ya hice los cambios que me sugieren. anexo imagenes de como quedaron las reglas en interface LAN  e interface WLAN

                  pero al poner en el navegador la ip de LAN : 10.253.255.254  desde WLAN con ip asignada por DHCP = 10.252.71.19/16

                  me vuelve a desplegar la pagina de login de WEBGUI. y pos ahora si que no se si este haciendo bien las cosas con mis reglas de firewall en ambas interfaces

                  Saludos

                  LAN_RULES.jpg
                  LAN_RULES.jpg_thumb
                  WLAN_RULES.jpg
                  WLAN_RULES.jpg_thumb

                  1 Reply Last reply Reply Quote 0
                  • pttP
                    ptt Rebel Alliance
                    last edited by

                    ???

                    En la regla de "WLAN", destination, no debería ser: "WLAN Address" ?

                    Para Bloquear las 2 IPs (del menú Web) puedes crear un Alias con las IPS: 10.252.255.254 y 10.253.255.254, y modificas la regla de bloqueo de la interface WLAN,poniendo como destino (destination) el alias conteniendo las 2 IPs

                    1 Reply Last reply Reply Quote 0
                    • C
                      c_setup
                      last edited by

                      Saludos, mira te envio la regla que implemente y ya no entran en el webgui, desde la wifi-subnet

                      proto    source  port          destination      port          gateway        Queve
                      TCP/UDP *       *       ip-firewall 80 - 443  *         none

                      REGLA.png
                      REGLA.png_thumb

                      1 Reply Last reply Reply Quote 0
                      • X
                        XibkayZacek
                        last edited by

                        Hola que tal a todos, he estado haciendo experimentos al respecto y aqui les publico la imagen de mi ultimo experimento que me estaria resolviendo el problema planteado

                        ***  ¿ COMO EVITAR EN INTERFACE WLAN ENTRAR A WEBGUI DE PFSENSE ?  RESUELTO AL  100%**

                        1.- tomando como base el ejemplo http://forum.pfsense.org/index.php/topic,57070.msg304635.html#msg304635
                        se resuelve el que los usuarios malintencionados de WLAN puedan entrar a la WEBGUI de PFSENSE para tratar de hacer travesuras al servidor
                        de esta manera queda totalmente resuleto el problema de seguridad.

                        2.- Despues me surgio la inquietud de que yo siendo usuario WLAN, si ponia en el navegador la ip de la interface LAN se desplegaba de nuevo la WEBGUI de PFSENSE….. rayos .... ¿seguimos con el problema de seguridad? ya que repito cualquier usuario desde WLAN malintencionado podria intentar nuevamente hacer de las suyas en la WEBGUI DE PFSENSE.
                        aparentemente lo acabo de resolver hace unos segundos, y lo que hice fue copiar la misma regla, pero con la variante que en destino ahora puse la interface LAN.

                        De este modo un usuario malintencionado cualquiera que sea, conectado por dhcp a mi interface WLAN.... no podra entrar a webgui.....aunque ponga la ip de la interface WLAN y tampoco aunque llegue a poner la ip de la interface LAN. el navegador responde para ambos casos que la pagina web esta tardando mucho en respondr o que simplemente no esta funcionando y sale una pagina blanca  y de ahi no pasa, asi pues les informo que he resulto mi problema de seguridad al 100 % y la administracion de WEBGUI esta restringida con acceso unicamente desde interface LAN.

                        Saludos Cordiales desde Puebla Puebla México

                        wlan_rules_no_webgui_lan_or_wlan.jpg
                        wlan_rules_no_webgui_lan_or_wlan.jpg_thumb

                        1 Reply Last reply Reply Quote 0
                        • M
                          mariomiranda
                          last edited by

                          Se agradece el aporte, me ayudó a aprender algo para darle mas seguridad a mi equipo, saludos

                          1 Reply Last reply Reply Quote 0
                          • First post
                            Last post
                          Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.