настройка firewall pfsense 2.1.5 если локальные сети за пров

CheBurashka

Добавлю, что пинги с хоста IP 192.168.3.3 firewall на 8.8.8.8 пропускает (судя по логам), но на самом хосте ответов на пинг нет, где ещё подкрутить кроме firewall? nat (сейчас там автомат стоит)?


werter

Выполните


CheBurashka

да я пробовал отключать, не помогает

werter

Какие адреса зарезервированы IANA как "серые"?
В каком порядке читаются правила fw в pfsense?

Если правильно ответите - решите задачу.

P.s. Я надеюсь, что правила fw , предназначенные для LAN Вы не пытаетесь использовать для WAN ? Правда же?

P.p.s.

что пинги с хоста IP 192.168.3.3 firewall на 8.8.8.8 пропускает

На схеме нет.

Кабель от провайдера напрямую приходит на WAN pfsense или есть еще какая железка (свитч etc)?

Мой вам совет. Узнайте поддерживает ли ваша сетевая VLAN. И если да, то сделайте так, что бы на WAN у вас была нормальная сетевая (броадком, интел). После этого настраивайте на ней VLAN-интерфейсы и рулите правилами fw. Всё.

Да, и то правило ,что я вам говорил - отключите (хотя бы временно).

CheBurashka

сверху-вниз, адреса локалок

почему оставил, так как подсеть на интерфейсе Lan пинговалась из WAN подсети, но не в этом суть, вот прям сейчас отключены эти две галки (богон и приват) на WAN, но так и не пингуется 8.8.8.8 из подсети 192.168.3.0/24

werter

Т.е. Вы хотите, чтобы приходящие на WAN со своими VLAN-ми сети имели выход в Интернет через pfsense ?
Или же просто желаете , чтобы VLAN-сети имели доступ\были доступны вашей LAN ?

Что у вас на WAN - белая статика\динамика , серый адрес,  vpn ?

Кабель от провайдера напрямую приходит на WAN pfsense или есть еще какая железка (свитч etc)?

Не ответили. Внимательнее. Это важно!

CheBurashka

на WAN статика, подсети на WAN не имеют vlan-ов, то есть получается простая (как-бы) задача - на WAN интерфейсе висит сеть .3.0/24, дать этой подсети доступ к внутренней сети на LAN, и доступ в интернет

CheBurashka

в моей тестовой схеме  между хостом ip .3.3 и pfsense висит cisco в режиме свича (никак не настроенная), а в реале сейчас работает так: провод от провайдера заходит напрямую в шлюз, где правилами iptables всё это разруливается

CheBurashka

как объясняет провайдер:  "ваши порты (офис, филиалы) объединили в одну "трубу", со всякими vlan-ами заморачиваться не надо, всё зависит как Вы будете настраивать firewall"

вот пример: взял провод провайдера в офисе, воткнул его в ноутбук c ip 10.0.105.111 и у меня есть связь с филиалом, где подсеть 10.0.105.0/24

ПыСы: может выложить сюда правила iptables с дебиана? может укажите правила согласно этого конфига, которые могут отвечать за всё это разруливание….

на всякий случай приложу скрины лога и настройки rules для LAN


werter

на WAN статика

Какая статика - серая или белая ?

как объясняет провайдер:  "ваши порты (офис, филиалы) объединили в одну "трубу", со всякими vlan-ами заморачиваться не надо, всё зависит как Вы будете настраивать firewall"

Так вы определитесь - есть ли у вас VLANы или нет?

вот пример: взял провод провайдера в офисе, воткнул его в ноутбук c ip 10.0.105.111 и у меня есть связь с филиалом, где подсеть 10.0.105.0/24

Правило отключили на WAN  (блокирование серых сетей)?
Без указания шлюза ?

ПыСы: может выложить сюда правила iptables с дебиана? может укажите правила согласно этого конфига, которые могут отвечать за всё это разруливание….
на всякий случай приложу скрины лога и настройки rules для LAN

Выкладывайте\прикладывайте.
И на WAN-е тоже.

CheBurashka

итак, статика на WAN белая (это на боевом шлюзе в данный момент, ещё раз повторюсь что я делаю сейчас тестовую схему, расположенную за этим боевым шлюзом, то есть типа имитация провайдерской сети, где мой боевой шлюз выполняет роль провайдера и даёт только интернет)

далее по поводу VLAN - в нашей сети вланы не используются, почему изначально я про них говорил, потому что провайдер так обозвал создание связи между удалёнными точками (то есть объединил все порты, связанные с нами, в один VLAN я так думаю, а от нас ничего по части настроек VLAN не требуется (так сказал пров))

вот настройки правил для WAN ещё раз


CheBurashka

вот с дебиана iptables (все комментарии в скрипте - это уже было написано до меня), этот шлюз в данный момент работает, и связь с филиалами есть, я же хочу разобраться со всеми правилами и причесать всё на pfsense

###Описание сети
#описание инета
INET_IP="87.0.0.0" (это пример)
INET_IP_10="10.0.105.204" # ИП адрес приватной сети , вида 10.0.105.х для доступа из локальной сети, сделан в виде алиаса для внешней сетевухи
INET_IP_dacha="192.168.2.9"
INET_IFACE="eth0"

#описание локалки
LAN_IP="192.168.0.9"
LAN_IP_0_0="192.168.0.0/24"
LAN_IP_10="10.0.105.0/24"
LAN_IP_dacha="192.168.2.0/24"
LAN_IFACE="eth2"

LO_IFACE="lo"
LO_IP="127.0.0.1"

#путь iptables
IPTABLES="/sbin/iptables"

#загрузка модулей
/sbin/depmod -a
/sbin/modprobe ip_tables
/sbin/modprobe ip_conntrack
/sbin/modprobe iptable_filter
/sbin/modprobe iptable_mangle
/sbin/modprobe iptable_nat
/sbin/modprobe ipt_LOG
/sbin/modprobe ipt_limit
/sbin/modprobe ipt_state

echo "1" > /proc/sys/net/ipv4/ip_forward

#Назначение политик по-умолчанию для системных цепочек.
$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT DROP
$IPTABLES -P FORWARD DROP

#создаются все пользовательские цепочки, которые мы будем использовать позже в пределах этой таблицы.
$IPTABLES -N bad_tcp_packets
$IPTABLES -N allowed
$IPTABLES -N tcp_packets
$IPTABLES -N udp_packets
$IPTABLES -N icmp_packets

#Эта цепочка предназначена для отфильтровывания пакетов с "неправильными" заголовками и решения ряда других проблем.
$IPTABLES -A bad_tcp_packets -p tcp --tcp-flags SYN,ACK SYN,ACK -m state --state NEW -j REJECT --reject-with tcp-reset 
$IPTABLES -A bad_tcp_packets -p tcp ! --syn -m state --state NEW -j LOG --log-prefix "New not syn:"
$IPTABLES -A bad_tcp_packets -p tcp ! --syn -m state --state NEW -j DROP

#TCP пакет, следуя с интерфейса $INET_IFACE, попадает в цепочку tcp_packets, если пакет следует на разрешенный порт, то после этого проводится дополнительная проверка в цепочке allowed.
$IPTABLES -A allowed -p TCP --syn -j ACCEPT
$IPTABLES -A allowed -p TCP -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A allowed -p TCP -j DROP

###Здесь мы указываем, какие порты могут быть доступны из Internet.
#разрешаем и перекидываем в цепочку allowed для дополнительной проверки пакетов
$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 21 -j allowed
$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 22 -j allowed
$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 80 -j allowed
$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 113 -j allowed

#разрешаем
$IPTABLES -A udp_packets -p UDP -s 0/0 --destination-port 53 -j ACCEPT
$IPTABLES -A udp_packets -p UDP -s 0/0 --destination-port 123 -j ACCEPT
$IPTABLES -A udp_packets -p UDP -s 0/0 --destination-port 2074 -j ACCEPT
$IPTABLES -A udp_packets -p UDP -s 0/0 --destination-port 4000 -j ACCEPT

#разрешаем
$IPTABLES -A icmp_packets -p ICMP -s 0/0 --icmp-type 8 -j ACCEPT
$IPTABLES -A icmp_packets -p ICMP -s 0/0 --icmp-type 11 -j ACCEPT

#всё что приходит по tcp перекидывается в цепочку bad_tcp_packets для отсеивания "плохих" пакетов
$IPTABLES -A INPUT -p tcp -j bad_tcp_packets

$IPTABLES -A INPUT -p ALL -i $LAN_IFACE -s $LAN_IP_0_0 -j ACCEPT
$IPTABLES -A INPUT -p ALL -i $INET_IFACE -s $LAN_IP_10 -j ACCEPT
$IPTABLES -A INPUT -p ALL -i $INET_IFACE -s $LAN_IP_dacha -j ACCEPT
$IPTABLES -A INPUT -p ALL -i $LAN_IFACE -s $LAN_IP_10 -j ACCEPT
$IPTABLES -A INPUT -p ALL -i $LAN_IFACE -s $LAN_IP_dacha -j ACCEPT

$IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $LO_IP -j ACCEPT
$IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $LAN_IP -j ACCEPT
$IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $INET_IP -j ACCEPT
$IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $INET_IP_10 -j ACCEPT
$IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $INET_IP_dacha -j ACCEPT

$IPTABLES -A INPUT -p UDP -i $LAN_IFACE --dport 67 --sport 68 -j ACCEPT

$IPTABLES -A INPUT -p ALL -d $INET_IP -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A INPUT -p ALL -d $INET_IP_10 -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A INPUT -p ALL -d $INET_IP_dacha -m state --state ESTABLISHED,RELATED -j ACCEPT

$IPTABLES -A INPUT -p TCP -i $INET_IFACE -j tcp_packets
$IPTABLES -A INPUT -p UDP -i $INET_IFACE -j udp_packets
$IPTABLES -A INPUT -p ICMP -i $INET_IFACE -j icmp_packets
$IPTABLES -A INPUT -p ICMP -i $LAN_IFACE -j icmp_packets
$IPTABLES -A INPUT -p tcp -m tcp -i $LAN_IFACE -s $LAN_IP_0_0 --dport 3128 -j ACCEPT
$IPTABLES -A INPUT -p tcp -m tcp -i $LAN_IFACE -s $LAN_IP_10 --dport 3128 -j ACCEPT
$IPTABLES -A INPUT -p tcp -m tcp -i $LAN_IFACE -s $LAN_IP_dacha --dport 3128 -j ACCEPT
$IPTABLES -A INPUT -p tcp -m tcp -i $INET_IFACE -s $LAN_IP_10 --dport 3128 -j ACCEPT
$IPTABLES -A INPUT -p tcp -m tcp -i $INET_IFACE -s $LAN_IP_dacha --dport 3128 -j ACCEPT

$IPTABLES -A INPUT -m limit --limit 3/minute --limit-burst 3 -j LOG --log-level DEBUG --log-prefix "IPT INPUT packet died: "

$IPTABLES -A FORWARD -p tcp -j bad_tcp_packets

$IPTABLES -A FORWARD -i $LAN_IFACE -j ACCEPT

$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

$IPTABLES -A FORWARD -s $LAN_IP_10 -d $LAN_IP_0_0 -j ACCEPT
$IPTABLES -A FORWARD -s $LAN_IP_dacha -d $LAN_IP_0_0 -j ACCEPT

$IPTABLES -A FORWARD -m limit --limit 3/minute --limit-burst 3 -j LOG --log-level DEBUG --log-prefix "IPT FORWARD packet died: "

$IPTABLES -A OUTPUT -p tcp -j bad_tcp_packets
$IPTABLES -A OUTPUT -p ALL -s $LO_IP -j ACCEPT
$IPTABLES -A OUTPUT -p ALL -s $LAN_IP -j ACCEPT
$IPTABLES -A OUTPUT -p ALL -s $INET_IP -j ACCEPT
$IPTABLES -A OUTPUT -p tcp -m tcp -o $LAN_IFACE -d $LAN_IP_0_0 --sport 3128 -j ACCEPT -m conntrack --ctstate RELATED,ESTABLISHED
$IPTABLES -A OUTPUT -p tcp -m tcp -o $LAN_IFACE -d $LAN_IP_10 --sport 3128 -j ACCEPT -m conntrack --ctstate RELATED,ESTABLISHED
$IPTABLES -A OUTPUT -p tcp -m tcp -o $LAN_IFACE -d $LAN_IP_dacha --sport 3128 -j ACCEPT -m conntrack --ctstate RELATED,ESTABLISHED
$IPTABLES -A OUTPUT -p tcp -m tcp -o $INET_IFACE -d $LAN_IP_10 --sport 3128 -j ACCEPT -m conntrack --ctstate RELATED,ESTABLISHED
$IPTABLES -A OUTPUT -p tcp -m tcp -o $INET_IFACE -d $LAN_IP_dacha --sport 3128 -j ACCEPT -m conntrack --ctstate RELATED,ESTABLISHED

$IPTABLES -A OUTPUT -m limit --limit 3/minute --limit-burst 3 -j LOG --log-level DEBUG --log-prefix "IPT OUTPUT packet died: "

 # Добавляем в iptables строчку перенаправления запросов юзеров с 80-го порта на порт сквида 3128
$IPTABLES -t nat -A PREROUTING -i $LAN_IFACE -p tcp -m tcp -s $LAN_IP_0_0 ! -d $LAN_IP_0_0 --dport 80 -j REDIRECT --to-ports 3128
$IPTABLES -t nat -A PREROUTING -i $LAN_IFACE -p tcp -m tcp -s $LAN_IP_10 ! -d $LAN_IP_10 --dport 80 -j REDIRECT --to-ports 3128
$IPTABLES -t nat -A PREROUTING -i $LAN_IFACE -p tcp -m tcp -s $LAN_IP_dacha ! -d $LAN_IP_dacha --dport 80 -j REDIRECT --to-ports 3128
$IPTABLES -t nat -A PREROUTING -i $INET_IFACE -p tcp -m tcp -s $LAN_IP_10 ! -d $LAN_IP_10 --dport 80 -j REDIRECT --to-ports 3128
$IPTABLES -t nat -A PREROUTING -i $INET_IFACE -p tcp -m tcp -s $LAN_IP_dacha ! -d $LAN_IP_dacha --dport 80 -j REDIRECT --to-ports 3128
#$IPTABLES -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128

# Включаем NAT, чтобы пропускать SSL, DNS, NTP и т.д. запросы:
#$IPTABLES -t nat -A POSTROUTING -o $INET_IFACE -s $LAN_IP_RANGE ! -d $LAN_IP_RANGE -j SNAT --to 1.1.1.1
$IPTABLES -t nat -A POSTROUTING -o $INET_IFACE -j SNAT --to-source $INET_IP

# NAT для сети 10.0.105.x
$IPTABLES -t nat -A POSTROUTING -o $LAN_IFACE -s $LAN_IP_0_0 -d $LAN_IP_10 -j SNAT --to-source $INET_IP_10
$IPTABLES -t nat -A POSTROUTING -o $LAN_IFACE -s $LAN_IP_0_0 -d $LAN_IP_dacha -j SNAT --to-source $INET_IP_dacha

# Разрешаем squid'у выходить в инет
$IPTABLES -A OUTPUT -p tcp -m tcp -o $INET_IFACE ! -d $LAN_IP_0_0 --dport 80 -j ACCEPT
$IPTABLES -A INPUT  -p tcp -m tcp -i $INET_IFACE ! -s $LAN_IP_0_0 --sport 80 -j ACCEPT -m conntrack --ctstate RELATED,ESTABLISHED
$IPTABLES -A OUTPUT -p tcp -m tcp -o $INET_IFACE ! -d $LAN_IP_10 --dport 80 -j ACCEPT
$IPTABLES -A OUTPUT -p tcp -m tcp -o $INET_IFACE ! -d $LAN_IP_dacha --dport 80 -j ACCEPT
$IPTABLES -A INPUT  -p tcp -m tcp -i $INET_IFACE ! -s $LAN_IP_10 --sport 80 -j ACCEPT -m conntrack --ctstate RELATED,ESTABLISHED
$IPTABLES -A INPUT  -p tcp -m tcp -i $INET_IFACE ! -s $LAN_IP_dacha --sport 80 -j ACCEPT -m conntrack --ctstate RELATED,ESTABLISHED

# И делаем проход для SSL, DNS, NTP:
$IPTABLES -A FORWARD -p tcp -m tcp -i $LAN_IFACE -o $INET_IFACE ! -d $LAN_IP_0_0 -m multiport --dports 53,123,443 -j ACCEPT
$IPTABLES -A FORWARD -p tcp -m tcp -i $INET_IFACE -o $LAN_IFACE ! -s $LAN_IP_0_0 -m multiport --sports 53,123,443 -j ACCEPT -m conntrack --ctstate RELATED,ESTABLISHED
$IPTABLES -A FORWARD -p udp -m udp -i $LAN_IFACE -o $INET_IFACE ! -d $LAN_IP_0_0 -m multiport --dports 53,123 -j ACCEPT
$IPTABLES -A FORWARD -p udp -m udp -i $INET_IFACE -o $LAN_IFACE ! -s $LAN_IP_0_0 -m multiport --sports 53,123 -j ACCEPT -m conntrack --ctstate RELATED,ESTABLISHED
#
$IPTABLES -A OUTPUT -p TCP -s 0/0 --dport 110 -j ACCEPT
$IPTABLES -A OUTPUT -p TCP -s 0/0 --dport 25 -j ACCEPT
$IPTABLES -A OUTPUT -p TCP -s 0/0 --dport 995 -j ACCEPT
$IPTABLES -A OUTPUT -p TCP -s 0/0 --dport 465 -j ACCEPT
$IPTABLES -A OUTPUT -p TCP -s 0/0 --dport 53 -j ACCEPT
$IPTABLES -A OUTPUT -p TCP -s 0/0 --dport 4800 -j ACCEPT
$IPTABLES -A OUTPUT -p TCP -s 0/0 --dport 1029 -j ACCEPT

werter

1. Удаляете 1-е и 2 последних правила на WAN
2. Создаете два Vitrual IP для WAN (тип IP alias) - 10.0.105.204/24 и 192.168.2.9/24
3. Создаете правила fw на LAN для доступа из LAN subnet до сетей 10.0.105.0/24 и 192.168.2.0/24 . А лучше (временно) - разрешено всё и всем везде.
4. Переключаете NAT в ручной режим и рисуете правила NAT для WAN , первое- Source будет ваша локалка 192.168.0.0/24 , Destination -  10.0.105.0/24,  NAT-ить будете на 10.0.105.204, второе - Source будет ваша локалка 192.168.0.0/24, Destination - 192.168.2.0/24 и NAT-ить будете на 192.168.2.9
И ставите эти правила выше всех.

CheBurashka

Сегодня утром сделал по Вашим пунктам, сбросил pfsense по дефолту всё, заново интерфейсы настроил, на сети 192.168.0.0/24 интернет был, но не было связи с филиалами (10.0.105.0/24 и 192.168.2.0/24)
Может я где то не правильно указал, или надо было ещё прописать что-то (машину ребутал после настроек)

ПыСы: интернет появился на 192.168.0.0/24 (офис) после перемещения правило на первое место в NAT "source 192.168.0.0/24 nat WAN address"


werter

@CheBurashka:

ПыСы: интернет появился на 192.168.0.0/24 (офис) после перемещения правило на первое место в NAT "source 192.168.0.0/24 nat WAN address"

3. Создаете правила fw на LAN для доступа из LAN subnet до сетей 10.0.105.0/24 и 192.168.2.0/24 . А лучше (временно) - разрешено всё и всем везде.
4. Переключаете NAT в ручной режим и рисуете правила NAT для WAN , первое- Source будет ваша локалка 192.168.0.0/24 , Destination -  10.0.105.0/24,  NAT-ить будете на 10.0.105.204, второе - Source будет ваша локалка 192.168.0.0/24, Destination - 192.168.2.0/24 и NAT-ить будете на 192.168.2.9

И ставите эти правила выше всех.

Посмотрите что я выделил жирным.
Внимательнее впредь.


CheBurashka

нуууу, про дестинейшн изначально не было… (ну или неужели я так пропустил, ибо просматривал сообщение несколько раз), завтра попробую, спасибо за ответ


werter

И я бы все же 3-е правило на WAN в самый низ поставил.

CheBurashka

ну чтож, связь с объектами появилась, но на сетях 10.0.105.0/24 и 192.168.2.0/24 нет интернета (в логах было видно что блокирует fw)
в rules на WAN добавлял правило "source 192.168.2.0/24 destination all" (хотя так не правильно вроде как)  - в логах сообщения о блокировании пропали, но инета так и не появилось, чую снова в NAT дописать надо что то?

ПыСы: и на будущее хочу спросить, проблем с настройкой сквида в pfsense не должно возникнуть при такой организации сети? потыкался в веб-интерфейсе настроек


werter

Последний скрин - выберите и WAN интерфейс  в Proxy Interface

CheBurashka

ок, отмечу, но сквид пока особо не смотрю, хочу для начала просто получить инет на подсетях за WAN, где завернуть бы трафик для инета?