Como evitar en interface wlan, ENTRAR A WEBGUI de pfsense

c_setup

Saludos, este es mi primer aporte, si estoy mal mil perdones, solo aplica la misma regla que en WIFI_ZONE para tu IP LAN_ZONE y de esta forma no entraran en tu webgui. 
P.D. Quiero agradecer a toda la comunidad por este maravilloso sitio, tengo mas de 4 años leyendo y leyendo no digo nombres para no herir susceptibilidades, pero creo que debo hacer una mención especial al MASTER Ballera, por su incalculable aportación. Gracias

ptt

@ XibkayZacek

Por favor adjunta una captura de panatalla de tus reglas de FW de la interface "WIFI_ZONE" (abajo, Additional Options… Attach: )

Seguramente tienes una regla muy "permisiva"

XibkayZacek

Aqui agrego el screen de como quedaron las relgas del firewall en la interface WLAN, el que se nombra WIFI_ZONE es un 3COM OfficeConect Wireless 11g Cable/DSL Gateway, a este equipo se le desactivo el DHCP Server interno y se interconecta por medio del puerto Ethernet 1, y es asi como ya la maquina PFSENSE se encarga de asignar DHCP para el Access Point….

Saludos cordiales

ptt

Efectivamente, la regla "Allow WLAN to ANY" es muy permisiva, la puedes modificar y en "Destination" marcas "not" " LAN Subnet" de esta forma los usuarios de WLAN acceden a todo (ANY) pero NO a la red LAN

En la regla de la imagen de mi primer post, tienes como queda la regla….   http://forum.pfsense.org/index.php/topic,57070.msg304635.html#msg304635

Tambien, si lo prefieres puedes crear otra regla en WLAN (arriba de la regla "Allow WLAN to ANY")  bloqueando trafico de "ANY" hacia "LAN"

XibkayZacek

En efecto lo que espero es que aunque en el navegador ponga la IP de la interface LAN, estando conectado( en WIFI_ZONE) interface WLAN , no me despliegue la pagina WEBGUI de PFSENSE, ya que la administracion WEBGUI se hara unicamente en la interface LAN.

Hare los cambios sugeridos y probare como se comporta el PFSENSE y aqui les estare comentado al respecto

Saludos desde Puebla Puebla México

wirklich

ok muchas gracias por el dato lo tomare en cuenta :)

XibkayZacek

Pues ya hice los cambios que me sugieren. anexo imagenes de como quedaron las reglas en interface LAN  e interface WLAN

pero al poner en el navegador la ip de LAN : 10.253.255.254  desde WLAN con ip asignada por DHCP = 10.252.71.19/16

me vuelve a desplegar la pagina de login de WEBGUI. y pos ahora si que no se si este haciendo bien las cosas con mis reglas de firewall en ambas interfaces

Saludos

ptt

???

En la regla de "WLAN", destination, no debería ser: "WLAN Address" ?

Para Bloquear las 2 IPs (del menú Web) puedes crear un Alias con las IPS: 10.252.255.254 y 10.253.255.254, y modificas la regla de bloqueo de la interface WLAN,poniendo como destino (destination) el alias conteniendo las 2 IPs

c_setup

Saludos, mira te envio la regla que implemente y ya no entran en el webgui, desde la wifi-subnet

proto    source  port          destination      port          gateway        Queve
TCP/UDP *       *       ip-firewall 80 - 443  *         none

XibkayZacek

Hola que tal a todos, he estado haciendo experimentos al respecto y aqui les publico la imagen de mi ultimo experimento que me estaria resolviendo el problema planteado

***  ¿ COMO EVITAR EN INTERFACE WLAN ENTRAR A WEBGUI DE PFSENSE ?  RESUELTO AL  100%**

1.- tomando como base el ejemplo http://forum.pfsense.org/index.php/topic,57070.msg304635.html#msg304635
se resuelve el que los usuarios malintencionados de WLAN puedan entrar a la WEBGUI de PFSENSE para tratar de hacer travesuras al servidor
de esta manera queda totalmente resuleto el problema de seguridad.

2.- Despues me surgio la inquietud de que yo siendo usuario WLAN, si ponia en el navegador la ip de la interface LAN se desplegaba de nuevo la WEBGUI de PFSENSE….. rayos .... ¿seguimos con el problema de seguridad? ya que repito cualquier usuario desde WLAN malintencionado podria intentar nuevamente hacer de las suyas en la WEBGUI DE PFSENSE.
aparentemente lo acabo de resolver hace unos segundos, y lo que hice fue copiar la misma regla, pero con la variante que en destino ahora puse la interface LAN.

De este modo un usuario malintencionado cualquiera que sea, conectado por dhcp a mi interface WLAN.... no podra entrar a webgui.....aunque ponga la ip de la interface WLAN y tampoco aunque llegue a poner la ip de la interface LAN. el navegador responde para ambos casos que la pagina web esta tardando mucho en respondr o que simplemente no esta funcionando y sale una pagina blanca  y de ahi no pasa, asi pues les informo que he resulto mi problema de seguridad al 100 % y la administracion de WEBGUI esta restringida con acceso unicamente desde interface LAN.

Saludos Cordiales desde Puebla Puebla México

mariomiranda

Se agradece el aporte, me ayudó a aprender algo para darle mas seguridad a mi equipo, saludos