1 Wan e 2 LANs com bloqueio entre elas (AINDA NÃO RESOLVI-01-07-14)

juninhoandrade

@clon¥:

Olá pessoal,
Novamente (já abri e fechei um post com este assunto), venho pedir ajuda para resolver a questão abaixo, pois desta vez não consegui AINDA efetuar o bloqueio entre as duas LAN´s.

O esquema ficou o seguinte:

LAN_ADM <–----> PFSENSE <-------> LAN_CLIENTE
                                      |
                                      |
                                  WAN

Preciso inserir uma regra do lado da LAN_CLIENTE:

• Para que a rede LAN_CLIENTE "não acesse" nenhum recurso/protocolo/IP da rede LAN_ADM

Qual a melhor e mais fácil forma de implementar estas regras?

Já coloquei as duas LANs para navegarem, pois, usarão uma mesma entrada de internet.

Já tentei várias regras na rede LAN_CLIENTE mas não consigo bloquear.

*** O interessante é que esta LAN_CLIENTE pinga e acessa os recursos da LAN principal que é a LAN_ADM, mas o inverso não acontece. Quero desativar qualquer comunicação entre as duas, porém deixando ambas navegando.

Não sei se é porque a LAN1 (LAN_ADM), quando instalada e configurada inicialmente habilita Firewall/NAT.

Aguardo sugestões e agradeço desde já.

poem em outra faixa de IP e tira a rota  ::)

clony

Mas elas estão com IPs distintos.

Wan –> via DHCP
LAN1 (principal) --> 192.168.0.1
e
LAN2 (cliente) --> 10.1.1.1

Pois é, tô chegando a conclusão sobre a tal rota, mas ainda não identifiquei onde eu altero as rotas  :-\

Porque SIMPLESMENTE a regra que fiz dentro da LAN2 de BLOQUEIO LAN2 para LAN1 (todos os protocolos e serviços) não funciona? Isso que está me matando.

IPv4 * LAN_VISITANTES net * LAN_1 net * * nenhum

lucaspolli

inverte sua regra…

coloca acept all  pra tudo e coloca !LAN ( o ! nega acesso, é o not da regra )
ficaria assim:

IPv4 *    LAN_VISITANTES net    *  **!**LAN_1 net    *    *    nenhum

so lembre de colocar na ordem certa, o PFsense "lê" as regras de cima para baixo, se voce colocar uma liberacao antes do bloqueio, o bloqueio nao funciona..

lucaspolli

@clon¥:

PERMITE: IPv4 * LAN_VISITANTES net * ! LAN net * * nenhum

NEGA: IPv4 TCP * * 10.1.1.1 443 (HTTPS) * nenhum

PERMITE: IPv4 * LAN_VISITANTES net * * * * nenhum

Altera a ordem:

NEGA: IPv4 TCP * * 10.1.1.1 443 (HTTPS) * nenhum

PERMITE: IPv4 * LAN_VISITANTES net * ! LAN net * * nenhum

Essa regra esta inutil sendo que vc ja tem ela acima negando a outra LAN:

PERMITE: IPv4 * LAN_VISITANTES net * * * * nenhum

lembre-se que as regras funcianam de cima para baixo, após aplicar limpe tambem a tabela States

clony

Desisti de entender.

Por enquanto inverti o IP das LANs, bloqueei acesso à interface do Pfsense e refiz algumas regras.

RESUMINDO:
O que era rede CLIENTE virou a rede principal e vice-versa.

Tá funcionando o que eu quero.
A principal acessa a CLIENTE mas do contrário não.

===============
Nos testes iniciais, a tal inversão havia funcionado, mas para a minha surpresa as redes estão se enxergando.
O firewall deve ter criado rotas entres as duas LAN´s, só pode.

Como resolver este bloqueio.
Alguém pode me ajudar com maior precisão?

Agradeço imensamente.

clony

Nos testes iniciais, a tal inversão havia funcionado, mas para a minha surpresa as redes estão se enxergando.
O firewall deve ter criado rotas entres as duas LAN´s, só pode.

Como resolver este bloqueio.
Alguém pode me ajudar com maior precisão?

Agradeço imensamente.

Conekta

Cara, já pensou em trabalhar com IP'S virtuais?

Vc pode criar um IP virtual no pfsense pra cada Rede e bloquear o resto.

Vai em FIrewall > Virtual Ip's.

Instancia as duas redes, através dos IP's virtuais.

Abs.

clony

Confesso que nunca trabalhei com esta opção.

Me informarei melhor,pois não sei nem por onde começar.

Acredita que seja possível deixar uma rede(a principal) normal e criar uma virtual para a rede CLIENTE?

ddorts

Boa noite clon¥,

Se entendi o seu cenário você gostaria que o lado cliente só tivesse acesso a internet como se fosse uma DMZ (do lado da rede clientes) você enxergando toda rede cliente porem a rede cliente somente enxergar a internet, se for isso, pelo que me lembro é só você retirar todas as regras da rede cliente por default a rede cliente não tem acesso a rede ADM, espero ter ajudado

Att

clony

@ddorts:

Boa noite clon¥,

Se entendi o seu cenário você gostaria que o lado cliente só tivesse acesso a internet como se fosse uma DMZ (do lado da rede clientes) você enxergando toda rede cliente porem a rede cliente somente enxergar a internet, se for isso, pelo que me lembro é só você retirar todas as regras da rede cliente por default a rede cliente não tem acesso a rede ADM, espero ter ajudado

Att

É exatamente isso meu caro.
Bom, testarei a sua solução, mas por segurança terei que estar fisicamente no cliente para efetuar os devidos testes, por isso ainda deixarei este post em aberto, caso surjam outras idéias.

Lembro-me que ao instalar e configurar a 2ª LAN, ela de fato bem sem nenhuma regra por padrão, mas não lembro se navegava ou não. Como veio sem regra, lembro-me que fiz uma regra para liberar a internet, talvez este realmente seja o problema.

Postarei na semana que vem, o resultado desta sua dica. Agradeço desde já.

LFCavalcanti

Olá!

Algumas coisas a considerar:

• Verifique se suas regras NAT Outbound estão para serem criadas automaticamente.
• O PFSense bloqueia qualquer trafego que não esteja explicitamente liberado.

Nas interface CLIENTE crie uma regra com protocolo Any, com Origem CLIENTE_Subnet e destino ADM_Subnet, coloque como Reject.
Na Interface ADM crie uma regra com protocolo Any, Com origem ADM_Subnet e destino ADM_Subnet, coloque como Reject.

Pronto, as redes não se acessam.

Essa regra deve ser a primeira regra da lista.

k1k0borba

Boa noite,

Voce so precisa remover a rota para a LAN  Cliente e para a LAN admin.
Isso vai resolver Seu problema.

Ate logo!