Rede com duas LAN´s - bloqueio entre elas e bloqueio de acesso ao pf - RESOLVIDO
-
Olá pessoal,
Hoje iniciei a montagem de um novo firewall para instalar nesta segunda-feira (05/08/13) em um bar/restaurante.O esquema ficou o seguinte:
LAN_ADM <–----> PFSENSE <-------> LAN_CLIENTE
|
|
WANPreciso inserir 02 (duas) regras do lado da LAN_CLIENTE:
- Uma para bloquear o acesso à interface administrativa do PFSENSE que configurei pelo HTTPS porta 4443
e - Outra, para que a rede LAN_CLIENTE "não acesse" nenhum recurso/protocolo/IP da rede LAN_ADM
Qual a melhor e mais fácil forma de implementar estas regras?
Já coloquei as duas LANs para navegarem, pois, usaram uma mesma entrada de internet.
Aguardo sugestões e agradeço desde já.
- Uma para bloquear o acesso à interface administrativa do PFSENSE que configurei pelo HTTPS porta 4443
-
Acesso à interface gráfica do pfSense só consegue quem tem o nome de usuário e a senha respectiva. Não vejo mistério nisto. ::)
Porém se você quer bloquear a página, crie aliases e regra na interface LAN respectiva para a porta adm do pfSense. Fácil.
Seguindo o mesmo raciocínio, faça algo semelhante para que sua interface LAN_CLIENTE não se comunique com a LAN_ADM. Neste caso, talvez nem precisa de aliases e regra. Você não especificou se as duas interfaces LAN já estão se comunicando. Se não estão, deixe como está. -
Acesso à interface gráfica do pfSense só consegue quem tem o nome de usuário e a senha respectiva. Não vejo mistério nisto. ::)
Porém se você quer bloquear a página, crie aliases e regra na interface LAN respectiva para a porta adm do pfSense. Fácil.
Seguindo o mesmo raciocínio, faça algo semelhante para que sua interface LAN_CLIENTE não se comunique com a LAN_ADM. Neste caso, talvez nem precisa de aliases e regra. Você não especificou se as duas interfaces LAN já estão se comunicando. Se não estão, deixe como está.====
Tens razão, nem deu tempo ainda de testar se as duas LANs estão de fato se comunicando. Farei este teste logo cedo na segunda, pois já não estou trabalhando no firewall.
Em relação ao acesso da interface, de fato exige user e senha, mas mesmo assim quero bloqueá-la a ponto da rede LAN_CLIENTE nem conseguir enxergá-la.
Grato pela dica, tentarei na segunda. -
De fato, ao criar as duas LANs, as mesmas, por default não se enxergam - é isto que preciso, mas… ...ainda não consegui bloquear a porta 4443 pela LANCLINTE.
Por mais que peça usuário e senha, quero evitar dos clientes do bar, fuçarem ou tentarem acessar o firewall.
-
@clon¥:
De fato, ao criar as duas LANs, as mesmas, por default não se enxergam - é isto que preciso, mas… ...ainda não consegui bloquear a porta 4443 pela LANCLINTE.
Por mais que peça usuário e senha, quero evitar dos clientes do bar, fuçarem ou tentarem acessar o firewall.
Em system -> advanced, desmarque a opção que impede o bloqueio de acesso via web (anti-lock rule) e auto redirect também.
-
@clon¥:
De fato, ao criar as duas LANs, as mesmas, por default não se enxergam - é isto que preciso, mas… ...ainda não consegui bloquear a porta 4443 pela LANCLINTE.
Por mais que peça usuário e senha, quero evitar dos clientes do bar, fuçarem ou tentarem acessar o firewall.
Em system -> advanced, desmarque a opção que impede o bloqueio de acesso via web (anti-lock rule) e auto redirect também.
=====
Pelo que entendi, se eu fizer isso, perderei o acesso através da LANADM (na qual eu quero ter acesso).
De qualquer forma, resolvi pelo caminho de bloqueio da porta 4443 apenas na rede LanCLIENTE. Funcionou perfeitamente.
O "pulo do gato" estava apenas na inversão de posicionamento das regras que eu havia feito. Esta do bloqueio, ficou no primeiro nível.O bloqueio entre as duas redes já havia sido implementado pelo próprio Firewall. Isso foi fácil.
Agradeço à todos que participaram e me ajudaram de alguma forma.
Tópico encerrado.
Valeu!
