1 Wan e 2 LANs com bloqueio entre elas (AINDA NÃO RESOLVI-01-07-14)
-
Olá pessoal,
Novamente (já abri e fechei um post com este assunto), venho pedir ajuda para resolver a questão abaixo, pois desta vez não consegui AINDA efetuar o bloqueio entre as duas LAN´s.O esquema ficou o seguinte:
LAN_ADM <–----> PFSENSE <-------> LAN_CLIENTE
|
|
WANPreciso inserir uma regra do lado da LAN_CLIENTE:
- Para que a rede LAN_CLIENTE "não acesse" nenhum recurso/protocolo/IP da rede LAN_ADM
Qual a melhor e mais fácil forma de implementar estas regras?
Já coloquei as duas LANs para navegarem, pois, usarão uma mesma entrada de internet.
Já tentei várias regras na rede LAN_CLIENTE mas não consigo bloquear.
*** O interessante é que esta LAN_CLIENTE pinga e acessa os recursos da LAN principal que é a LAN_ADM, mas o inverso não acontece. Quero desativar qualquer comunicação entre as duas, porém deixando ambas navegando.
Não sei se é porque a LAN1 (LAN_ADM), quando instalada e configurada inicialmente habilita Firewall/NAT.
Aguardo sugestões e agradeço desde já.
-
@clon¥:
Olá pessoal,
Novamente (já abri e fechei um post com este assunto), venho pedir ajuda para resolver a questão abaixo, pois desta vez não consegui AINDA efetuar o bloqueio entre as duas LAN´s.O esquema ficou o seguinte:
LAN_ADM <–----> PFSENSE <-------> LAN_CLIENTE
|
|
WANPreciso inserir uma regra do lado da LAN_CLIENTE:
- Para que a rede LAN_CLIENTE "não acesse" nenhum recurso/protocolo/IP da rede LAN_ADM
Qual a melhor e mais fácil forma de implementar estas regras?
Já coloquei as duas LANs para navegarem, pois, usarão uma mesma entrada de internet.
Já tentei várias regras na rede LAN_CLIENTE mas não consigo bloquear.
*** O interessante é que esta LAN_CLIENTE pinga e acessa os recursos da LAN principal que é a LAN_ADM, mas o inverso não acontece. Quero desativar qualquer comunicação entre as duas, porém deixando ambas navegando.
Não sei se é porque a LAN1 (LAN_ADM), quando instalada e configurada inicialmente habilita Firewall/NAT.
Aguardo sugestões e agradeço desde já.
poem em outra faixa de IP e tira a rota ::)
-
Mas elas estão com IPs distintos.
Wan –> via DHCP
LAN1 (principal) --> 192.168.0.1
e
LAN2 (cliente) --> 10.1.1.1Pois é, tô chegando a conclusão sobre a tal rota, mas ainda não identifiquei onde eu altero as rotas :-\
Porque SIMPLESMENTE a regra que fiz dentro da LAN2 de BLOQUEIO LAN2 para LAN1 (todos os protocolos e serviços) não funciona? Isso que está me matando.
IPv4 * LAN_VISITANTES net * LAN_1 net * * nenhum
-
inverte sua regra…
coloca acept all pra tudo e coloca !LAN ( o ! nega acesso, é o not da regra )
ficaria assim:IPv4 * LAN_VISITANTES net * **!**LAN_1 net * * nenhum
so lembre de colocar na ordem certa, o PFsense "lê" as regras de cima para baixo, se voce colocar uma liberacao antes do bloqueio, o bloqueio nao funciona..
-
@clon¥:
PERMITE: IPv4 * LAN_VISITANTES net * ! LAN net * * nenhum
NEGA: IPv4 TCP * * 10.1.1.1 443 (HTTPS) * nenhum
PERMITE: IPv4 * LAN_VISITANTES net * * * * nenhum
Altera a ordem:
NEGA: IPv4 TCP * * 10.1.1.1 443 (HTTPS) * nenhum
PERMITE: IPv4 * LAN_VISITANTES net * ! LAN net * * nenhum
Essa regra esta inutil sendo que vc ja tem ela acima negando a outra LAN:
PERMITE: IPv4 * LAN_VISITANTES net * * * * nenhum
lembre-se que as regras funcianam de cima para baixo, após aplicar limpe tambem a tabela States
-
Desisti de entender.
Por enquanto inverti o IP das LANs, bloqueei acesso à interface do Pfsense e refiz algumas regras.
RESUMINDO:
O que era rede CLIENTE virou a rede principal e vice-versa.Tá funcionando o que eu quero.
A principal acessa a CLIENTE mas do contrário não.===============
Nos testes iniciais, a tal inversão havia funcionado, mas para a minha surpresa as redes estão se enxergando.
O firewall deve ter criado rotas entres as duas LAN´s, só pode.Como resolver este bloqueio.
Alguém pode me ajudar com maior precisão?Agradeço imensamente.
-
Nos testes iniciais, a tal inversão havia funcionado, mas para a minha surpresa as redes estão se enxergando.
O firewall deve ter criado rotas entres as duas LAN´s, só pode.Como resolver este bloqueio.
Alguém pode me ajudar com maior precisão?Agradeço imensamente.
-
Cara, já pensou em trabalhar com IP'S virtuais?
Vc pode criar um IP virtual no pfsense pra cada Rede e bloquear o resto.
Vai em FIrewall > Virtual Ip's.
Instancia as duas redes, através dos IP's virtuais.
Abs.
-
Confesso que nunca trabalhei com esta opção.
Me informarei melhor,pois não sei nem por onde começar.
Acredita que seja possível deixar uma rede(a principal) normal e criar uma virtual para a rede CLIENTE?
-
Boa noite clon¥,
Se entendi o seu cenário você gostaria que o lado cliente só tivesse acesso a internet como se fosse uma DMZ (do lado da rede clientes) você enxergando toda rede cliente porem a rede cliente somente enxergar a internet, se for isso, pelo que me lembro é só você retirar todas as regras da rede cliente por default a rede cliente não tem acesso a rede ADM, espero ter ajudado
Att
-
Boa noite clon¥,
Se entendi o seu cenário você gostaria que o lado cliente só tivesse acesso a internet como se fosse uma DMZ (do lado da rede clientes) você enxergando toda rede cliente porem a rede cliente somente enxergar a internet, se for isso, pelo que me lembro é só você retirar todas as regras da rede cliente por default a rede cliente não tem acesso a rede ADM, espero ter ajudado
Att
É exatamente isso meu caro.
Bom, testarei a sua solução, mas por segurança terei que estar fisicamente no cliente para efetuar os devidos testes, por isso ainda deixarei este post em aberto, caso surjam outras idéias.Lembro-me que ao instalar e configurar a 2ª LAN, ela de fato bem sem nenhuma regra por padrão, mas não lembro se navegava ou não. Como veio sem regra, lembro-me que fiz uma regra para liberar a internet, talvez este realmente seja o problema.
Postarei na semana que vem, o resultado desta sua dica. Agradeço desde já.
-
Olá!
Algumas coisas a considerar:
- Verifique se suas regras NAT Outbound estão para serem criadas automaticamente.
- O PFSense bloqueia qualquer trafego que não esteja explicitamente liberado.
Nas interface CLIENTE crie uma regra com protocolo Any, com Origem CLIENTE_Subnet e destino ADM_Subnet, coloque como Reject.
Na Interface ADM crie uma regra com protocolo Any, Com origem ADM_Subnet e destino ADM_Subnet, coloque como Reject.Pronto, as redes não se acessam.
Essa regra deve ser a primeira regra da lista.
-
Boa noite,
Voce so precisa remover a rota para a LAN Cliente e para a LAN admin.
Isso vai resolver Seu problema.Ate logo!