1 Wan e 2 LANs com bloqueio entre elas (AINDA NÃO RESOLVI-01-07-14)
-
inverte sua regra…
coloca acept all pra tudo e coloca !LAN ( o ! nega acesso, é o not da regra )
ficaria assim:IPv4 * LAN_VISITANTES net * **!**LAN_1 net * * nenhum
so lembre de colocar na ordem certa, o PFsense "lê" as regras de cima para baixo, se voce colocar uma liberacao antes do bloqueio, o bloqueio nao funciona..
-
@clon¥:
PERMITE: IPv4 * LAN_VISITANTES net * ! LAN net * * nenhum
NEGA: IPv4 TCP * * 10.1.1.1 443 (HTTPS) * nenhum
PERMITE: IPv4 * LAN_VISITANTES net * * * * nenhum
Altera a ordem:
NEGA: IPv4 TCP * * 10.1.1.1 443 (HTTPS) * nenhum
PERMITE: IPv4 * LAN_VISITANTES net * ! LAN net * * nenhum
Essa regra esta inutil sendo que vc ja tem ela acima negando a outra LAN:
PERMITE: IPv4 * LAN_VISITANTES net * * * * nenhum
lembre-se que as regras funcianam de cima para baixo, após aplicar limpe tambem a tabela States
-
Desisti de entender.
Por enquanto inverti o IP das LANs, bloqueei acesso à interface do Pfsense e refiz algumas regras.
RESUMINDO:
O que era rede CLIENTE virou a rede principal e vice-versa.Tá funcionando o que eu quero.
A principal acessa a CLIENTE mas do contrário não.===============
Nos testes iniciais, a tal inversão havia funcionado, mas para a minha surpresa as redes estão se enxergando.
O firewall deve ter criado rotas entres as duas LAN´s, só pode.Como resolver este bloqueio.
Alguém pode me ajudar com maior precisão?Agradeço imensamente.
-
Nos testes iniciais, a tal inversão havia funcionado, mas para a minha surpresa as redes estão se enxergando.
O firewall deve ter criado rotas entres as duas LAN´s, só pode.Como resolver este bloqueio.
Alguém pode me ajudar com maior precisão?Agradeço imensamente.
-
Cara, já pensou em trabalhar com IP'S virtuais?
Vc pode criar um IP virtual no pfsense pra cada Rede e bloquear o resto.
Vai em FIrewall > Virtual Ip's.
Instancia as duas redes, através dos IP's virtuais.
Abs.
-
Confesso que nunca trabalhei com esta opção.
Me informarei melhor,pois não sei nem por onde começar.
Acredita que seja possível deixar uma rede(a principal) normal e criar uma virtual para a rede CLIENTE?
-
Boa noite clon¥,
Se entendi o seu cenário você gostaria que o lado cliente só tivesse acesso a internet como se fosse uma DMZ (do lado da rede clientes) você enxergando toda rede cliente porem a rede cliente somente enxergar a internet, se for isso, pelo que me lembro é só você retirar todas as regras da rede cliente por default a rede cliente não tem acesso a rede ADM, espero ter ajudado
Att
-
Boa noite clon¥,
Se entendi o seu cenário você gostaria que o lado cliente só tivesse acesso a internet como se fosse uma DMZ (do lado da rede clientes) você enxergando toda rede cliente porem a rede cliente somente enxergar a internet, se for isso, pelo que me lembro é só você retirar todas as regras da rede cliente por default a rede cliente não tem acesso a rede ADM, espero ter ajudado
Att
É exatamente isso meu caro.
Bom, testarei a sua solução, mas por segurança terei que estar fisicamente no cliente para efetuar os devidos testes, por isso ainda deixarei este post em aberto, caso surjam outras idéias.Lembro-me que ao instalar e configurar a 2ª LAN, ela de fato bem sem nenhuma regra por padrão, mas não lembro se navegava ou não. Como veio sem regra, lembro-me que fiz uma regra para liberar a internet, talvez este realmente seja o problema.
Postarei na semana que vem, o resultado desta sua dica. Agradeço desde já.
-
Olá!
Algumas coisas a considerar:
- Verifique se suas regras NAT Outbound estão para serem criadas automaticamente.
- O PFSense bloqueia qualquer trafego que não esteja explicitamente liberado.
Nas interface CLIENTE crie uma regra com protocolo Any, com Origem CLIENTE_Subnet e destino ADM_Subnet, coloque como Reject.
Na Interface ADM crie uma regra com protocolo Any, Com origem ADM_Subnet e destino ADM_Subnet, coloque como Reject.Pronto, as redes não se acessam.
Essa regra deve ser a primeira regra da lista.
-
Boa noite,
Voce so precisa remover a rota para a LAN Cliente e para a LAN admin.
Isso vai resolver Seu problema.Ate logo!
