Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Regole sul firewall non funzionanti

    Italiano
    4
    10
    4.0k
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • C
      CED_CSD
      last edited by

      Salve,
      Ho configurato pfsense come captive portal e naturalmente ho abilitato solo il traffico consentito sull'interfaccia LAN (access point).
      Vorrei però fare in modo che:
      1. Con una determinata schedulazione il firewall blocchi ogni tipo di traffico sull'interfaccia LAN
      2. Impedisca l'accesso alle porte di management di pfsense HTTPS e SSH per quell'interfaccia.
      Allego immagine di configurazione.

      Naturalmente ho messo la spunta in Advanced in Disable webConfigurator anti-lockout rule.

      Spero riusciate ad aiutarmi, visto che non capisco da cosa dipenda questo malfunzionamento.
      Firewall.png
      Firewall.png_thumb

      1 Reply Last reply Reply Quote 0
      • C
        CED_CSD
        last edited by

        Faccio un UP.
        Ho cortesemente bisogno del vostro aiuto.
        Grazie.

        1 Reply Last reply Reply Quote 0
        • J
          jakkar
          last edited by

          Qual'è il malfunzionamento ? Funziona lo stesso ?
          Comunque ti sconsiglio di disabilitare l'https e l'SSH, se vuoi bloccare la navigazione blocca solamente le porte più usate 21,80 ecc ecc

          Se hai un'ulteriore interfaccia usa quella (OPT1) così addirittura puoi fare un cron che te la butta giù eheheh

          1 Reply Last reply Reply Quote 0
          • C
            CED_CSD
            last edited by

            @jakkar:

            Qual'è il malfunzionamento ? Funziona lo stesso ?
            Comunque ti sconsiglio di disabilitare l'https e l'SSH, se vuoi bloccare la navigazione blocca solamente le porte più usate 21,80 ecc ecc

            Se hai un'ulteriore interfaccia usa quella (OPT1) così addirittura puoi fare un cron che te la butta giù eheheh

            Il malfunzionamento è che la configurazione impostata non blocca niente. Tuttora ancora non ho risolto.

            Purtroppo non ho un'altra interfaccia.

            1 Reply Last reply Reply Quote 0
            • J
              jakkar
              last edited by

              Comunque io tutte quelle regole non le capisco  ???
              se le cancelli tutte e lasci solo il block all ? funge ? mi raccomando abilita la webgui sulla wan, che se dovesse funzionare la regola ma non lo schedule potrebbe essere un problema riaccederci ehehe

              1 Reply Last reply Reply Quote 0
              • fabio.viganoF
                fabio.vigano
                last edited by

                Ciao,
                non ho capito bene cosa vuoi fare ma ti posso dire quel che fa quello che hai scritto:

                1. la prima regola effettua il reject dei tentativi di accesso all'admin sempre
                2. la seconda regola blocca in base ad un certo scheduling come giustamente vuoi fare tu
                3. dalla terza regola in avanti permetti l'accesso ai protocolli che hai indicato purchè non appartenenti alal classe 192.168.0.0/16 Di queste regole non ho proprio capito il senso, tu hai dei server smtp, http, pop3 ecc… interni alla tua rete (ammesso che la tua rete sia 192.168.0.0/16)? Perchè hai fatto un eccezione per questa rete? Se hai due macchine nella stessa rete che si devono parlare non passano dal firewall e quindi non dovrebbe servire a nulla.
                  Ultimo appunto è sui protocolli usati nelle regole, hai messo sempre sia tcp che udp ma i protocolli che stai gestendo son tutti tcp.

                Ciao

                ===============================
                pfSenseItaly.com
                La risorsa italiana per pfSense

                Se il post o la risposta ti sono stati utili clicca su 👍

                1 Reply Last reply Reply Quote 0
                • J
                  jakkar
                  last edited by

                  @fabio.vigano:

                  Ciao,
                  non ho capito bene cosa vuoi fare ma ti posso dire quel che fa quello che hai scritto:

                  1. la prima regola effettua il reject dei tentativi di accesso all'admin sempre
                  2. la seconda regola blocca in base ad un certo scheduling come giustamente vuoi fare tu
                  3. dalla terza regola in avanti permetti l'accesso ai protocolli che hai indicato purchè non appartenenti alal classe 192.168.0.0/16 Di queste regole non ho proprio capito il senso, tu hai dei server smtp, http, pop3 ecc… interni alla tua rete (ammesso che la tua rete sia 192.168.0.0/16)? Perchè hai fatto un eccezione per questa rete? Se hai due macchine nella stessa rete che si devono parlare non passano dal firewall e quindi non dovrebbe servire a nulla.
                    Ultimo appunto è sui protocolli usati nelle regole, hai messo sempre sia tcp che udp ma i protocolli che stai gestendo son tutti tcp.

                  Ciao

                  Menomale, pensavo fosse la mia ignoranza a non farmi capire il senso di quelle regole! eheheh comunque io credo che 192.168.0.0/16 sia la lan (nell'ultima regola non c'è il l'inversione), che poi nell'interfaccia LAN solitamente si bloccano solo alcune regole ed in fondo c'è il pass all, sono rari gli scenari in cui nella lan blocchi tutto tranne alcune porte. Su pfsense non si vede nella webgui l'ultima regole che accetta tutto, ma posso garantirti che esiste!

                  Comunque devi fare quella prova a cancellarle tutte lasciare solo il block all. Inoltre dovresti dirci le porte che hai messo nell'alias della prima regola e magari farci capire meglio cosa vuoi fare e perché, magari puoi trovare spunti e suggerimenti per farlo in un'altro modo!

                  1 Reply Last reply Reply Quote 0
                  • G
                    Gabri.91
                    last edited by

                    @jakkar:

                    nell'interfaccia LAN solitamente si bloccano solo alcune regole ed in fondo c'è il pass all, sono rari gli scenari in cui nella lan blocchi tutto tranne alcune porte.

                    Solitamente viene fatto così, ma a livello di sicurezza secondo me è una falla abbastanza importante.. Meglio aprire (anche verso l'esterno) solo quello che realmente serve

                    1 Reply Last reply Reply Quote 0
                    • C
                      CED_CSD
                      last edited by

                      @fabio.vigano:

                      Ciao,
                      non ho capito bene cosa vuoi fare ma ti posso dire quel che fa quello che hai scritto:

                      1. la prima regola effettua il reject dei tentativi di accesso all'admin sempre
                      2. la seconda regola blocca in base ad un certo scheduling come giustamente vuoi fare tu
                      3. dalla terza regola in avanti permetti l'accesso ai protocolli che hai indicato purchè non appartenenti alal classe 192.168.0.0/16 Di queste regole non ho proprio capito il senso, tu hai dei server smtp, http, pop3 ecc… interni alla tua rete (ammesso che la tua rete sia 192.168.0.0/16)? Perchè hai fatto un eccezione per questa rete? Se hai due macchine nella stessa rete che si devono parlare non passano dal firewall e quindi non dovrebbe servire a nulla.
                        Ultimo appunto è sui protocolli usati nelle regole, hai messo sempre sia tcp che udp ma i protocolli che stai gestendo son tutti tcp.

                      Ciao

                      Per prima cosa grazie a tutti dell'aiuto.
                      La macchina pfsense funziona da captive portal per un hotspot wifi per gli ospiti che entrano in azienda.
                      Praticamente ho configurato una rete 10.x.x.x per gli utenti hotspot mentre la 192.168.x.x è la mia rete interna.
                      Con quelle regole permetto solo a quel determinato traffico di passare solo verso l'esterno (internet) ed evito che raggiunga la rete interna (dove sono pubblicati server di posta, intranet etc etc)
                      Pfsense deve fare solo da firewall tra l'hotspot e la lan (che nella macchina è connessa come wan (e da cui ho accesso alla webgui)
                      Diciamo che questa configurazione ha funzionato per un paio di giorni. Dopodichè ha smesso di funzionare e non capisco il perchè.
                      Spero riusciate ad aiutarmi a risolvere.

                      1 Reply Last reply Reply Quote 0
                      • fabio.viganoF
                        fabio.vigano
                        last edited by

                        Ciao,
                        guarda quest'articolo http://www.pfsenseitaly.com/2012/08/separare-laccesso-wifi-per-utenti-ed.html per le regole vedi sezione 3.4

                        Ciao Fabio

                        ===============================
                        pfSenseItaly.com
                        La risorsa italiana per pfSense

                        Se il post o la risposta ti sono stati utili clicca su 👍

                        1 Reply Last reply Reply Quote 0
                        • First post
                          Last post
                        Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.