Captive Portal y Rules para proteger LAN

mansi

Muy buenas,
Tengo un PFsense 2.0 con Captive Portal, con rango 172.26.1.X, y el problema que es que no se como configurar las Rules para que no pueda ver/acceder a la LAN (192.168.1.X) he hecho pruebas, pero lo que consigo es que no funcione internet desde Captive Portal…........
Y tendria que poder solo acceder a una IP de la LAN, la 192.168.1.189, seria posible?
Help!!

Gracias!

bellera

Por favor, explica mejor tu topología.

¿Cuántas interfases tienes?

Lo normal sería tener 3, dos LAN y una WAN:

LAN 192.168.1.X
LAN2 con Captive Portal 172.26.1.X

En este caso LAN y LAN2 no se ven entre ellas, a menos que haya redes explícitas de ida a la otra en cada una de ellas.

Arriba, en Documentación, tienes un tutorial multired…

mansi

Si es así, LAN,LAN2 y WAN
Pero si no añado una rule con todo * en LAN y LAN2 no me funciona captive portal…...
Salu2

bellera

Bueno, claro, esto depende de lo restrictivo que estés siendo.

http://doc.pfsense.org/index.php/Captive_Portal_Troubleshooting

Si quieres dar permiso a que puedan hacer todo hacia Internet y no quieres que las redes se vean entre sí pon por delante de la regla "default" una que deniegue el tráfico con destino a la otra red.

pannegro1

creo entender tu problematica (igual podrias publicar las reglas que estas aplicando) quieres que exista trafico hacia la wan pero que las redes entre si no tengan trafico, aprovechando que tengo pfsense en una maquina virtual coloque unas reglas simples como para que te guíes en este caso hay 4 intefaces 1 wan 3 lan te muestro unas imagenes de 2 interfaces con reglas simples

este es un ejemplo de los "administrativos" por este interfaz se puede administrar via web sale todo el trafico pero se niega el trafico hacia los otros interfaces
http://www.imagengratis.org/images/1yc5qy.png

y esta es la que seria wifi
aqui se permite un trafico restringido, trafico basico web etc y no se permite trafico hacia otro interfaces

http://www.imagengratis.org/images/2hd8uh.png

si me paso algo háganlo notar que lo hice rapido gracias

bellera

Las imágenes pueden colgarse directamente en este foro, Additional Options… (abajo a la izquierda).

pannegro1

jaja gracias no vi eso, lo subí rápido gracias

mansi

Gracias!
Este lunes lo probare porque voy a implementar un pFsense en un centro de empresas con 40 despachos (VLAN) y claro…. tengo que hacer que tengan internet pero que no se vean entre ellos.
Saludos y gracias.!!

mansi

Buenas….
Primero gracias por la ayuda!!
Y ahora tengo unas dudas (...espero que no sean demasiado absurdas...)
Adjunto imagen:
-La ultima regla denegando todo, seria necesaria si en teoría solo tendría acceso con las reglas creadas de "permitir"
-Que diferencia entre LAN net o LAN subnet?
-Tengo un escenario con 40 VLAN, tengo que crear estas reglas en cada vlan? No se puede crear un servicio que englobe los puertos que yo quiera por ejemplo: Crear un rule con acceso permitido al "servicio" Interneto, que sea los puertos ,80,53,443,25,110,21,etc....

Muchas gracias y saludos.

Rules.png_thumb

bellera

¡De nada!

Comentarios:

Yo pondría en todas las source HOTSPOT net con la idea de asegurarte que en esa interfase sólo está tu HOTSPOT net. Es una precaución más.
HTTP es siempre TCP. Yo quitaría UDP ahí.
La denegación final no es necesaria. Está implícita. Es por ello que inicialmente hay una regla default en la LAN que permite todo.

¿Qué diferencia entre LAN net o LAN subnet?

Ninguna. Cuando configuras pone subnet y después pone net. Creo que cambiaron en un sitio y no en el otro.

Tengo un escenario con 40 VLAN, tengo que crear estas reglas en cada vlan? No se puede crear un servicio que englobe los puertos que yo quiera por ejemplo: Crear un rule con acceso permitido al "servicio" Internet, que sea los puertos ,80,53,443,25,110,21,etc….

Puedes emplear alias para agrupar puertos. Esto te acortará las reglas. Pero claro, a no ser que en la 2.0 haya alguna novedad al respecto no se me ocurre nada más que tener que gestionar las 40 interfases virtuales.
Piensa que una regla puede copiarse de una interfase a otra… Creas una regla basada en otra y le cambias la interfase.
A ver si otro forista tiene una idea mejor...

mansi

Gracias.
Te refieres así Sr. Bellera?
Gracias por la colaboración!!
Sobre las VLAN…pues si no hay mas remedio habrá que hacerlo (ya tengo faena...), y si, había creado ALIAS de IP ,pero no de puertos he visto que es fácil!! Gracias.

Rules.png_thumb

bellera

Sí, ¡correcto!

Por cierto, autorizar algo (como ICMP) de HOTSPOT net a HOTSPOT net no suele servir de gran cosa. No me había dado cuenta antes.

Si la interfase cuelga de un switch como mucho esto servirá para que desde un equipo HOTSPOT net se pueda ir por ICMP a HOTSPOT address, es decir la interfase de pfSense en HOTSPOT net. Esto es así porque es el switch el que se encarga de organizar el tráfico.

Si la interfase es una tarjeta wifi ya no sé cuál será el comportamiento porque no he probado nunca esta opción con pfSense. Creo que esto dependerá de la opción Allow intra-BSS communication.
http://doc.pfsense.org/smiller/Add_WiFi_Interface.htm (con Firefox)

mansi

bueno…la idea de esta regla era que me permitiera hacer ping a la interfaz HOTSPOT (la ethernet captive portal del pfsense).....