Bloquear acesso a WebGui pela Rede LAN
-
Boa tarde,
Tenho um PFSENSE com o seguinte:
- Placa WAN - IP FIXO (Ex. 200.200.200.200);
- Placa LAN - Rede Local (Ex. 190.1.1.1);
O acesso externo ao PFSENSE na webgui, pela placa WAN está funcionando perfeitamente, criei um alias com os IPs Fixo que tenho e tá blza.
Agora na interface LAN, todos os ips da rede tem acesso normalmente, não consegui bloquear. A ideia era cadastrar um MAC+IP para somente determinado IP da Lan poder acessar. O que preciso fazer?
Desde já agradeço qualquer ajuda.
-
troca a porta e bloqueia o acesso da lan nessa porta…
-
Opa Lucas,
Obrigado pelo help.
Tentei da forma que você orientou, e o bloqueio ao acesso funcionou, só que fiquei com o seguinte problema, tenho paginas de bloqueio personalizada "sgerror.php", depois que mudei a porta e criei a regra, as paginas não carregam mais, ele demora determinado tempo e acaba carregando a pagina original do squid.
Passos realizados
- Troquei a porta padrão de 80, para 8082(Não sei se pode ser essa porta);
- Desabilitei a Regra AntiLockout;
- Testei o acesso e funcionou perfeitamente;
- Paginas de bloqueio pararam de funcionar, voltei a porta para o padrão e as paginas voltaram a funcionar.
Obs. Uso o squid3 dev com filtro ssl/https
-
ja vi um topico que falava desse assunto mais nao lembro qual era a solucao, vou dar uma olhada e posto aqui…
-
https://forum.pfsense.org/index.php?topic=77281.msg421610#msg421610
basicamente vc precisa subir outro daemon para o lighthttpd na porta 80 pro sgerror.php
passos a passo:
desabilitar no system->advanced a opção de redirecionar o trafego de http para https
copiar o arquivo de configuração do lighthttp (cp /var/etc/lighty-webConfigurator.conf /var/etc/lighty-proxy-wpad.conf por exemplo)
editar o novo arquivo e alterara o listen port para 80 e mude o diretorio raiz do site para por exemplo /usr/local/www/wpad
copiar o arquivo de erro do squidguard para /usr/local/www/wpad (também funciona para arquivos de configuração automática de proxy)
iniciar o lighthttpd com o comando /usr/local/sbin/lighttpd -f /var/etc/lighty-proxy-wpad.conf
verificar/criar as regras de firewall para permitir acesso ao lighthttp no ip:porta que você configuroupassos adicioanis/opcionais
criar um script para verificar se o daemon novo esta ou não no ar
instalar o pacote filer para editar os arquivos de configuração via gui e mante-los no backup do pfsense -
Crie uma rule dizendo para dar acesso ao ip do pfsense na porta dele permitindo que este trafego venha somente do ip que você quer e vá para System: Advanced: Admin Access e marque Disable webConfigurator anti-lockout rule,
detalhe, crie a regra antes de habilitar a check box se não você pode se trancar para fora.
-
Crie uma rule dizendo para dar acesso ao ip do pfsense na porta dele permitindo que este trafego venha somente do ip que você quer e vá para System: Advanced: Admin Access e marque Disable webConfigurator anti-lockout rule,
detalhe, crie a regra antes de habilitar a check box se não você pode se trancar para fora.
nesse caso quando alguem receber o erro de acesso negado o firewall nao irá bloquear? pois ele nao terá acesso a porta que a pagina do erro usa..
-
Nesse caso vc pode usar o squidguard, ele consegue redirecionar a pagina de bloqueio para outro servidor sem ser o pfsence.
Att.
-
Bom dia pfirewa,
Essa situação é bem explicado pelos colegas lucaspolli e ddorts. O squidguard por padrão utiliza a porta 80 (mesmo utilizado pelo lighthttpd). Você tem as seguintes saídas para contornar essa situação (em ordem de melhor solução):
1- A solução do nosso colega ddorts (redirecionar para um outro servidor). Verifiquei alguns comentários de outros colegas que a utilização da pagina de erro no mesmo servidor que o pfsense, gera uma certa sobrecarga (pois dependendo da frequencia, forçará a utilização do servidor web lighthttpd. Quanto mais recursos voce puder atribuir as outros servidores, mais aliviado seu pfsense ficará.
2- A solução do nosso colega lucaspolli (subir outro daemon para o lighthttpd na porta 80). Dessa forma voce poderá alterar a porta de gerencia web do pfsense para qualquer outra, inclusive fazer uso do protocolo https.
3- Inserir em "Services > Proxy filter > Common ACL > Redirect info" e "Services > Proxy filter > Groups ACL > Redirect" (em todos os grupos) a opção abaixo:
redirect http://ip_do_pfsense:8082/sgerror.php?url=403%20&a=%a&n=%n&i=%i&s=%s&t=%t&u=%u
Dessa forma o redirecionamento fará uso da mesma porta de gerencia do pfsense.
Grande abraço.
Att,
Bruno Pinheiro.
-
Onde se lê:
redirect http://ip_do_pfsense:8082/sgerror.php?url=403%20&a=%a&n=%n&i=%i&s=%s&t=%t&u=%u
leia-se:http://ip_do_pfsense:8082/sgerror.php?url=403%20&a=%a&n=%n&i=%i&s=%s&t=%t&u=%u
-
Bruno, muito obrigado pela sua dica. Outro detalhe importante na 3º solução que você apontou é a necessidade de alterar o Redirect Mode ext url error page (enter url) e ai sim inserir a URL colocada aqui no post.
Abs.
-
Onde se lê:
redirect http://ip_do_pfsense:8082/sgerror.php?url=403%20&a=%a&n=%n&i=%i&s=%s&t=%t&u=%u
leia-se:http://ip_do_pfsense:8082/sgerror.php?url=403%20&a=%a&n=%n&i=%i&s=%s&t=%t&u=%u
Bruno.
A sua dica funciona quando a página bloqueada está usando o protocolo HTTP… se ela usa o HTTPS nenhuma pagina de erro é retornada...Vc consegue retornar a pagina de erro nos 2 casos? (usando proxy não transparente .. com proxy transparente + filtro ssl ativo + certificado funciona)