настройка firewall pfsense 2.1.5 если локальные сети за пров

CheBurashka

сверху-вниз, адреса локалок

почему оставил, так как подсеть на интерфейсе Lan пинговалась из WAN подсети, но не в этом суть, вот прям сейчас отключены эти две галки (богон и приват) на WAN, но так и не пингуется 8.8.8.8 из подсети 192.168.3.0/24

werter

Т.е. Вы хотите, чтобы приходящие на WAN со своими VLAN-ми сети имели выход в Интернет через pfsense ?
Или же просто желаете , чтобы VLAN-сети имели доступ\были доступны вашей LAN ?

Что у вас на WAN - белая статика\динамика , серый адрес,  vpn ?

Кабель от провайдера напрямую приходит на WAN pfsense или есть еще какая железка (свитч etc)?

Не ответили. Внимательнее. Это важно!

CheBurashka

на WAN статика, подсети на WAN не имеют vlan-ов, то есть получается простая (как-бы) задача - на WAN интерфейсе висит сеть .3.0/24, дать этой подсети доступ к внутренней сети на LAN, и доступ в интернет

CheBurashka

в моей тестовой схеме  между хостом ip .3.3 и pfsense висит cisco в режиме свича (никак не настроенная), а в реале сейчас работает так: провод от провайдера заходит напрямую в шлюз, где правилами iptables всё это разруливается

CheBurashka

как объясняет провайдер:  "ваши порты (офис, филиалы) объединили в одну "трубу", со всякими vlan-ами заморачиваться не надо, всё зависит как Вы будете настраивать firewall"

вот пример: взял провод провайдера в офисе, воткнул его в ноутбук c ip 10.0.105.111 и у меня есть связь с филиалом, где подсеть 10.0.105.0/24

ПыСы: может выложить сюда правила iptables с дебиана? может укажите правила согласно этого конфига, которые могут отвечать за всё это разруливание….

на всякий случай приложу скрины лога и настройки rules для LAN


werter

на WAN статика

Какая статика - серая или белая ?

как объясняет провайдер:  "ваши порты (офис, филиалы) объединили в одну "трубу", со всякими vlan-ами заморачиваться не надо, всё зависит как Вы будете настраивать firewall"

Так вы определитесь - есть ли у вас VLANы или нет?

вот пример: взял провод провайдера в офисе, воткнул его в ноутбук c ip 10.0.105.111 и у меня есть связь с филиалом, где подсеть 10.0.105.0/24

Правило отключили на WAN  (блокирование серых сетей)?
Без указания шлюза ?

ПыСы: может выложить сюда правила iptables с дебиана? может укажите правила согласно этого конфига, которые могут отвечать за всё это разруливание….
на всякий случай приложу скрины лога и настройки rules для LAN

Выкладывайте\прикладывайте.
И на WAN-е тоже.

CheBurashka

итак, статика на WAN белая (это на боевом шлюзе в данный момент, ещё раз повторюсь что я делаю сейчас тестовую схему, расположенную за этим боевым шлюзом, то есть типа имитация провайдерской сети, где мой боевой шлюз выполняет роль провайдера и даёт только интернет)

далее по поводу VLAN - в нашей сети вланы не используются, почему изначально я про них говорил, потому что провайдер так обозвал создание связи между удалёнными точками (то есть объединил все порты, связанные с нами, в один VLAN я так думаю, а от нас ничего по части настроек VLAN не требуется (так сказал пров))

вот настройки правил для WAN ещё раз


CheBurashka

вот с дебиана iptables (все комментарии в скрипте - это уже было написано до меня), этот шлюз в данный момент работает, и связь с филиалами есть, я же хочу разобраться со всеми правилами и причесать всё на pfsense

###Описание сети
#описание инета
INET_IP="87.0.0.0" (это пример)
INET_IP_10="10.0.105.204" # ИП адрес приватной сети , вида 10.0.105.х для доступа из локальной сети, сделан в виде алиаса для внешней сетевухи
INET_IP_dacha="192.168.2.9"
INET_IFACE="eth0"

#описание локалки
LAN_IP="192.168.0.9"
LAN_IP_0_0="192.168.0.0/24"
LAN_IP_10="10.0.105.0/24"
LAN_IP_dacha="192.168.2.0/24"
LAN_IFACE="eth2"

LO_IFACE="lo"
LO_IP="127.0.0.1"

#путь iptables
IPTABLES="/sbin/iptables"

#загрузка модулей
/sbin/depmod -a
/sbin/modprobe ip_tables
/sbin/modprobe ip_conntrack
/sbin/modprobe iptable_filter
/sbin/modprobe iptable_mangle
/sbin/modprobe iptable_nat
/sbin/modprobe ipt_LOG
/sbin/modprobe ipt_limit
/sbin/modprobe ipt_state

echo "1" > /proc/sys/net/ipv4/ip_forward

#Назначение политик по-умолчанию для системных цепочек.
$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT DROP
$IPTABLES -P FORWARD DROP

#создаются все пользовательские цепочки, которые мы будем использовать позже в пределах этой таблицы.
$IPTABLES -N bad_tcp_packets
$IPTABLES -N allowed
$IPTABLES -N tcp_packets
$IPTABLES -N udp_packets
$IPTABLES -N icmp_packets

#Эта цепочка предназначена для отфильтровывания пакетов с "неправильными" заголовками и решения ряда других проблем.
$IPTABLES -A bad_tcp_packets -p tcp --tcp-flags SYN,ACK SYN,ACK -m state --state NEW -j REJECT --reject-with tcp-reset 
$IPTABLES -A bad_tcp_packets -p tcp ! --syn -m state --state NEW -j LOG --log-prefix "New not syn:"
$IPTABLES -A bad_tcp_packets -p tcp ! --syn -m state --state NEW -j DROP

#TCP пакет, следуя с интерфейса $INET_IFACE, попадает в цепочку tcp_packets, если пакет следует на разрешенный порт, то после этого проводится дополнительная проверка в цепочке allowed.
$IPTABLES -A allowed -p TCP --syn -j ACCEPT
$IPTABLES -A allowed -p TCP -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A allowed -p TCP -j DROP

###Здесь мы указываем, какие порты могут быть доступны из Internet.
#разрешаем и перекидываем в цепочку allowed для дополнительной проверки пакетов
$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 21 -j allowed
$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 22 -j allowed
$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 80 -j allowed
$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 113 -j allowed

#разрешаем
$IPTABLES -A udp_packets -p UDP -s 0/0 --destination-port 53 -j ACCEPT
$IPTABLES -A udp_packets -p UDP -s 0/0 --destination-port 123 -j ACCEPT
$IPTABLES -A udp_packets -p UDP -s 0/0 --destination-port 2074 -j ACCEPT
$IPTABLES -A udp_packets -p UDP -s 0/0 --destination-port 4000 -j ACCEPT

#разрешаем
$IPTABLES -A icmp_packets -p ICMP -s 0/0 --icmp-type 8 -j ACCEPT
$IPTABLES -A icmp_packets -p ICMP -s 0/0 --icmp-type 11 -j ACCEPT

#всё что приходит по tcp перекидывается в цепочку bad_tcp_packets для отсеивания "плохих" пакетов
$IPTABLES -A INPUT -p tcp -j bad_tcp_packets

$IPTABLES -A INPUT -p ALL -i $LAN_IFACE -s $LAN_IP_0_0 -j ACCEPT
$IPTABLES -A INPUT -p ALL -i $INET_IFACE -s $LAN_IP_10 -j ACCEPT
$IPTABLES -A INPUT -p ALL -i $INET_IFACE -s $LAN_IP_dacha -j ACCEPT
$IPTABLES -A INPUT -p ALL -i $LAN_IFACE -s $LAN_IP_10 -j ACCEPT
$IPTABLES -A INPUT -p ALL -i $LAN_IFACE -s $LAN_IP_dacha -j ACCEPT

$IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $LO_IP -j ACCEPT
$IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $LAN_IP -j ACCEPT
$IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $INET_IP -j ACCEPT
$IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $INET_IP_10 -j ACCEPT
$IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $INET_IP_dacha -j ACCEPT

$IPTABLES -A INPUT -p UDP -i $LAN_IFACE --dport 67 --sport 68 -j ACCEPT

$IPTABLES -A INPUT -p ALL -d $INET_IP -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A INPUT -p ALL -d $INET_IP_10 -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A INPUT -p ALL -d $INET_IP_dacha -m state --state ESTABLISHED,RELATED -j ACCEPT

$IPTABLES -A INPUT -p TCP -i $INET_IFACE -j tcp_packets
$IPTABLES -A INPUT -p UDP -i $INET_IFACE -j udp_packets
$IPTABLES -A INPUT -p ICMP -i $INET_IFACE -j icmp_packets
$IPTABLES -A INPUT -p ICMP -i $LAN_IFACE -j icmp_packets
$IPTABLES -A INPUT -p tcp -m tcp -i $LAN_IFACE -s $LAN_IP_0_0 --dport 3128 -j ACCEPT
$IPTABLES -A INPUT -p tcp -m tcp -i $LAN_IFACE -s $LAN_IP_10 --dport 3128 -j ACCEPT
$IPTABLES -A INPUT -p tcp -m tcp -i $LAN_IFACE -s $LAN_IP_dacha --dport 3128 -j ACCEPT
$IPTABLES -A INPUT -p tcp -m tcp -i $INET_IFACE -s $LAN_IP_10 --dport 3128 -j ACCEPT
$IPTABLES -A INPUT -p tcp -m tcp -i $INET_IFACE -s $LAN_IP_dacha --dport 3128 -j ACCEPT

$IPTABLES -A INPUT -m limit --limit 3/minute --limit-burst 3 -j LOG --log-level DEBUG --log-prefix "IPT INPUT packet died: "

$IPTABLES -A FORWARD -p tcp -j bad_tcp_packets

$IPTABLES -A FORWARD -i $LAN_IFACE -j ACCEPT

$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

$IPTABLES -A FORWARD -s $LAN_IP_10 -d $LAN_IP_0_0 -j ACCEPT
$IPTABLES -A FORWARD -s $LAN_IP_dacha -d $LAN_IP_0_0 -j ACCEPT

$IPTABLES -A FORWARD -m limit --limit 3/minute --limit-burst 3 -j LOG --log-level DEBUG --log-prefix "IPT FORWARD packet died: "

$IPTABLES -A OUTPUT -p tcp -j bad_tcp_packets
$IPTABLES -A OUTPUT -p ALL -s $LO_IP -j ACCEPT
$IPTABLES -A OUTPUT -p ALL -s $LAN_IP -j ACCEPT
$IPTABLES -A OUTPUT -p ALL -s $INET_IP -j ACCEPT
$IPTABLES -A OUTPUT -p tcp -m tcp -o $LAN_IFACE -d $LAN_IP_0_0 --sport 3128 -j ACCEPT -m conntrack --ctstate RELATED,ESTABLISHED
$IPTABLES -A OUTPUT -p tcp -m tcp -o $LAN_IFACE -d $LAN_IP_10 --sport 3128 -j ACCEPT -m conntrack --ctstate RELATED,ESTABLISHED
$IPTABLES -A OUTPUT -p tcp -m tcp -o $LAN_IFACE -d $LAN_IP_dacha --sport 3128 -j ACCEPT -m conntrack --ctstate RELATED,ESTABLISHED
$IPTABLES -A OUTPUT -p tcp -m tcp -o $INET_IFACE -d $LAN_IP_10 --sport 3128 -j ACCEPT -m conntrack --ctstate RELATED,ESTABLISHED
$IPTABLES -A OUTPUT -p tcp -m tcp -o $INET_IFACE -d $LAN_IP_dacha --sport 3128 -j ACCEPT -m conntrack --ctstate RELATED,ESTABLISHED

$IPTABLES -A OUTPUT -m limit --limit 3/minute --limit-burst 3 -j LOG --log-level DEBUG --log-prefix "IPT OUTPUT packet died: "

 # Добавляем в iptables строчку перенаправления запросов юзеров с 80-го порта на порт сквида 3128
$IPTABLES -t nat -A PREROUTING -i $LAN_IFACE -p tcp -m tcp -s $LAN_IP_0_0 ! -d $LAN_IP_0_0 --dport 80 -j REDIRECT --to-ports 3128
$IPTABLES -t nat -A PREROUTING -i $LAN_IFACE -p tcp -m tcp -s $LAN_IP_10 ! -d $LAN_IP_10 --dport 80 -j REDIRECT --to-ports 3128
$IPTABLES -t nat -A PREROUTING -i $LAN_IFACE -p tcp -m tcp -s $LAN_IP_dacha ! -d $LAN_IP_dacha --dport 80 -j REDIRECT --to-ports 3128
$IPTABLES -t nat -A PREROUTING -i $INET_IFACE -p tcp -m tcp -s $LAN_IP_10 ! -d $LAN_IP_10 --dport 80 -j REDIRECT --to-ports 3128
$IPTABLES -t nat -A PREROUTING -i $INET_IFACE -p tcp -m tcp -s $LAN_IP_dacha ! -d $LAN_IP_dacha --dport 80 -j REDIRECT --to-ports 3128
#$IPTABLES -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128

# Включаем NAT, чтобы пропускать SSL, DNS, NTP и т.д. запросы:
#$IPTABLES -t nat -A POSTROUTING -o $INET_IFACE -s $LAN_IP_RANGE ! -d $LAN_IP_RANGE -j SNAT --to 1.1.1.1
$IPTABLES -t nat -A POSTROUTING -o $INET_IFACE -j SNAT --to-source $INET_IP

# NAT для сети 10.0.105.x
$IPTABLES -t nat -A POSTROUTING -o $LAN_IFACE -s $LAN_IP_0_0 -d $LAN_IP_10 -j SNAT --to-source $INET_IP_10
$IPTABLES -t nat -A POSTROUTING -o $LAN_IFACE -s $LAN_IP_0_0 -d $LAN_IP_dacha -j SNAT --to-source $INET_IP_dacha

# Разрешаем squid'у выходить в инет
$IPTABLES -A OUTPUT -p tcp -m tcp -o $INET_IFACE ! -d $LAN_IP_0_0 --dport 80 -j ACCEPT
$IPTABLES -A INPUT  -p tcp -m tcp -i $INET_IFACE ! -s $LAN_IP_0_0 --sport 80 -j ACCEPT -m conntrack --ctstate RELATED,ESTABLISHED
$IPTABLES -A OUTPUT -p tcp -m tcp -o $INET_IFACE ! -d $LAN_IP_10 --dport 80 -j ACCEPT
$IPTABLES -A OUTPUT -p tcp -m tcp -o $INET_IFACE ! -d $LAN_IP_dacha --dport 80 -j ACCEPT
$IPTABLES -A INPUT  -p tcp -m tcp -i $INET_IFACE ! -s $LAN_IP_10 --sport 80 -j ACCEPT -m conntrack --ctstate RELATED,ESTABLISHED
$IPTABLES -A INPUT  -p tcp -m tcp -i $INET_IFACE ! -s $LAN_IP_dacha --sport 80 -j ACCEPT -m conntrack --ctstate RELATED,ESTABLISHED

# И делаем проход для SSL, DNS, NTP:
$IPTABLES -A FORWARD -p tcp -m tcp -i $LAN_IFACE -o $INET_IFACE ! -d $LAN_IP_0_0 -m multiport --dports 53,123,443 -j ACCEPT
$IPTABLES -A FORWARD -p tcp -m tcp -i $INET_IFACE -o $LAN_IFACE ! -s $LAN_IP_0_0 -m multiport --sports 53,123,443 -j ACCEPT -m conntrack --ctstate RELATED,ESTABLISHED
$IPTABLES -A FORWARD -p udp -m udp -i $LAN_IFACE -o $INET_IFACE ! -d $LAN_IP_0_0 -m multiport --dports 53,123 -j ACCEPT
$IPTABLES -A FORWARD -p udp -m udp -i $INET_IFACE -o $LAN_IFACE ! -s $LAN_IP_0_0 -m multiport --sports 53,123 -j ACCEPT -m conntrack --ctstate RELATED,ESTABLISHED
#
$IPTABLES -A OUTPUT -p TCP -s 0/0 --dport 110 -j ACCEPT
$IPTABLES -A OUTPUT -p TCP -s 0/0 --dport 25 -j ACCEPT
$IPTABLES -A OUTPUT -p TCP -s 0/0 --dport 995 -j ACCEPT
$IPTABLES -A OUTPUT -p TCP -s 0/0 --dport 465 -j ACCEPT
$IPTABLES -A OUTPUT -p TCP -s 0/0 --dport 53 -j ACCEPT
$IPTABLES -A OUTPUT -p TCP -s 0/0 --dport 4800 -j ACCEPT
$IPTABLES -A OUTPUT -p TCP -s 0/0 --dport 1029 -j ACCEPT

werter

1. Удаляете 1-е и 2 последних правила на WAN
2. Создаете два Vitrual IP для WAN (тип IP alias) - 10.0.105.204/24 и 192.168.2.9/24
3. Создаете правила fw на LAN для доступа из LAN subnet до сетей 10.0.105.0/24 и 192.168.2.0/24 . А лучше (временно) - разрешено всё и всем везде.
4. Переключаете NAT в ручной режим и рисуете правила NAT для WAN , первое- Source будет ваша локалка 192.168.0.0/24 , Destination -  10.0.105.0/24,  NAT-ить будете на 10.0.105.204, второе - Source будет ваша локалка 192.168.0.0/24, Destination - 192.168.2.0/24 и NAT-ить будете на 192.168.2.9
И ставите эти правила выше всех.

CheBurashka

Сегодня утром сделал по Вашим пунктам, сбросил pfsense по дефолту всё, заново интерфейсы настроил, на сети 192.168.0.0/24 интернет был, но не было связи с филиалами (10.0.105.0/24 и 192.168.2.0/24)
Может я где то не правильно указал, или надо было ещё прописать что-то (машину ребутал после настроек)

ПыСы: интернет появился на 192.168.0.0/24 (офис) после перемещения правило на первое место в NAT "source 192.168.0.0/24 nat WAN address"


werter

@CheBurashka:

ПыСы: интернет появился на 192.168.0.0/24 (офис) после перемещения правило на первое место в NAT "source 192.168.0.0/24 nat WAN address"

3. Создаете правила fw на LAN для доступа из LAN subnet до сетей 10.0.105.0/24 и 192.168.2.0/24 . А лучше (временно) - разрешено всё и всем везде.
4. Переключаете NAT в ручной режим и рисуете правила NAT для WAN , первое- Source будет ваша локалка 192.168.0.0/24 , Destination -  10.0.105.0/24,  NAT-ить будете на 10.0.105.204, второе - Source будет ваша локалка 192.168.0.0/24, Destination - 192.168.2.0/24 и NAT-ить будете на 192.168.2.9

И ставите эти правила выше всех.

Посмотрите что я выделил жирным.
Внимательнее впредь.


CheBurashka

нуууу, про дестинейшн изначально не было… (ну или неужели я так пропустил, ибо просматривал сообщение несколько раз), завтра попробую, спасибо за ответ


werter

И я бы все же 3-е правило на WAN в самый низ поставил.

CheBurashka

ну чтож, связь с объектами появилась, но на сетях 10.0.105.0/24 и 192.168.2.0/24 нет интернета (в логах было видно что блокирует fw)
в rules на WAN добавлял правило "source 192.168.2.0/24 destination all" (хотя так не правильно вроде как)  - в логах сообщения о блокировании пропали, но инета так и не появилось, чую снова в NAT дописать надо что то?

ПыСы: и на будущее хочу спросить, проблем с настройкой сквида в pfsense не должно возникнуть при такой организации сети? потыкался в веб-интерфейсе настроек


werter

Последний скрин - выберите и WAN интерфейс  в Proxy Interface

CheBurashka

ок, отмечу, но сквид пока особо не смотрю, хочу для начала просто получить инет на подсетях за WAN, где завернуть бы трафик для инета?

werter

Попробуйте добавить в Outbond NAT на WAN правила, где в Source будут ваши 10.0.105.0/24 и 192.168.2.0/24,
Destination - * , а NAT-ся будет на WAN address. Выкладывайте скрин правил Outbond NAT и смотрите логи fw.

CheBurashka

нет, так не получилось… =( а, нет, получилось после добавления правила в fw (первые две строки на скрине)

Итак, спасибо большое за помощь в настройке, хочу узнать с точки зрения "правильности" - всё ли хорошо написано? И, вопрос - если я хочу запретить "всё", кроме необходимых портов, то нужно в fw удалить разрешающие правила на "всё" и добавить на определённые порты, так?


CheBurashka

Блин, только вот между подсетями 10.0.105.0 и 192.168.2.0 связи нет, (пинги с 10.0.105.207 до 192.168.2.9 проходят, а до других хостов нет. Опять нат что-то похоже, ибо fw пропускает)… вот лог с fw

Всё, сделал связь между ними, в нате добавил правила, аналогичные из 192.168.0.0


werter

Как бы так .