Bloquear acceso a la consola web y comunicacion inter VLAN
-
que paso ptt, otra vez agandallandose las respuestas jajaj
-
gracias por sus sugerencias
ya habilite la opcion "anti-lockout" sin embargo sigo pudiendo entrar a la administración web desde cualquier vlan, me parece que el problema es que cada vlan tiene una regla de dejar pasar todo el trafico saliente, que regla deberia implementar para que las vlan solo tenga acceso a Internet y a nada mas? en decir, no tengan acceso a las otras vlans? -
Puedes pegar las reglas que tienes?
-
solo tengo una regla por vlan:
PASS
SOURCE: "nombre de la vlan"
DESTINATION: any
PROTOCOL: any -
Pues, justamente, con una Regla de ese tipo estás permitiendo "TODO"
Debes "revisarla/modificarla" para ajustarla a tus necesidades o agregar reglas adicionales "Bloqueando" el trafico que no deseas que "Pase"
Adjunta un diagrama detallado de Tu Red, y una descripción detallada de lo que necesitas "Pasar" y "Bloquear" (de dónde a dónde) y será mas fácil orientarte/ayudarte ;)
-
muchas gracias por tu ayuda, adjunto un esquema de mi red
*Las VLAN's deben tener acceso solo a internet y a nada mas (no deben tener acceso a otras VLAN ni a la consola web de pfSense)
*Por motivos de seguridad, en cada VLAN debe existir SOLO UNA dirección IP que tenga acceso a la web de administración de pfSense
-
Basado en la "abundante/extensa" información incluida en el diagrama "detallado" de tu red :P
Te diré que con la apropiada combinación de "Reglas (Block - Pass) de FW" + "Aliases (port - host)" en cada VLAN, tienes resuelto el problema.
-
puedes indicarme que tipo de información necesitas que añada al diagrama?
-
Complementando mis comentarios del post anterior….
En la Imagen adjunta ves un ejemplo de Reglas de FW, de una Interface "Tipo OPT" (que corresponde a un adaptador Inalámbrico USB) en la que existen 2 Reglas para Lograr que los Usuarios tengan acceso a internet, pero NO a los recursos (Hosts) de las "Otras interfaces" y que Únicamente ciertos Usuarios/IP tengan acceso al menú Web y a la Consola (vía SSH) del pfSense.
En la primera Regla; "Admins" es 1 alias con las IP de los equipos que tendrán acceso al Menú Web / SSH, "management_ip" es otro alias que contiene la IP de cada una de las Interfaces y "management_port" es otro alias que contiene los "Puertos" en el que tienes el Webconfigurator y SSH (443/80/22... o el que hayas configurado)...
En dicha regla indicamos al pfSense que el Trafico que NO (! not) venga de las IPs de los "Administradores" hacia la IP/Puerto del Menú Web/SSH sea "Bloqueado"
En la Segunda Regla; "Local_Nets" es un alias con la "Subred/Red" de cada una de las interfaces del pfSense.
En dicha Regla indicamos al pfSense que el Trafico de los Hosts de esa inteface, que NO (! not) tenga como destino ninguna de los segmentos de Red "locales" del pfSense "Pase" (y por ende salga a internet).
Mas info, pues, a Leer se ha dicho :D
https://forum.pfsense.org/index.php?topic=23409.0
https://doc.pfsense.org/index.php/Main_Page
Conste que no es esta la única manera de hacerlo.... tendrás analizar el tema, y luego, definir/decidir cual es la que mejor se ajusta a tus necesidades específicas.
-
simple, sencillo, funcional.
muy buen post ptt
