Diferenciação de saída dos links
-
Pessoal, bom dia!
Surgiu pra mim um novo escopo agora.
Tenho 2 links de internet no meu pfsense rodando. Se o link principal cair o secundário assume. Até ai está ok.
Só que a GVT aqui na empresa tem hora que está pecando um pouco, e gostaria de fazer o seguinte:
todo trafego de internet, Skype… sair pelo link atual. e tudo que for pelo RDP sair pelo outro link.
Me de uma luz de como eu faria isso?
-
Cria uma regra para a porta 3389 (RDP) e nas opções avançadas muda o gateway padrão, como está na imagem;
Essa regra precisa estar antes da regra do restante do trafego.
-
Estou indo em Firewall > Rules > Lan
- Nova Regra *
Source: Any
Destination: Any
Destination port range
from: 3389
to: 3389Advanced -> Gateway (NET)
Essa lógica esta maios ou menos certa?
-
Sim, me parece certo.
-
entendi. só mais uma dúvida.
Tenho um sistema web aqui na empresa onde o pessoal precisa dele direto para trabalhar.
Se eu criar a mesma regra porem no destination colocar um alias de algum site que criei em "Aliases". tambem estaria certo?
Ele verificaria que aquele site estaria na regra e direcionaria para o gateway que selecionei anteriormente.
-
Acho que sim, nunca testei mas parece funcionar.
-
Essa lógica esta maios ou menos certa?
Liberar uma porta pra qualquer acesso externo dá espaço para a saída dos usuarios malandros. Sugiro sempre deixar o acesso específico para os servidores de destino.
-
Obrigado pela observação;
-
Entendi. Ao Invés então posso colocar no destination meu IP da aplicação externa.
-
Entendi. Ao Invés então posso colocar no destination meu IP da aplicação externa.
Sempre crie regras para os serviços que você precisa. Regras genéricas deixam a sua segurança igualmente genérica…
-
Pessoal, fiz a regra do meu computador: Minha ideia é q o meu PC saia pelo outro link conectado ao pfsense.
Firewall > LAN
Action: Pass
Interface: LAN
Protocol: Any
Source: Single Host or Alias > "Meu ip"
Destination: AnyGateway: Link Secundário
Após essa regra eu salvei e apliquei.
Continuei navegando pelo meu link pincipal. Como eu posso ver onde está o problema?
-
Continuei navegando pelo meu link pincipal. Como eu posso ver onde está o problema?
Primeiro vendo a ordem das regras e segundo matando as conexões ativas antes de testar uma alteração de regra.
-
Entendi. Só para informação, fiz essa regra e coloquei como a primeira de baixo para cima e a segunda de cima para baixo e não funcionou.
Onde ela teria que ficar corretamente? Segue o print das minhas regras da lan
E como eu mato essas conexões ativas?
Desculpe a minha ignorância, mas estou aprendendo o PfSense na marra. Tive que achar uma solução e implementar sem ao menos conhecer a ferramenta aqui na empresa onde eu trabalho.
Nem sei se essas regras atuais estão da forma certa =((
 -
Alguma ideia pessoal?
-
Onde ela teria que ficar corretamente?
As regras são lidas e aplicadas de cima para baixo.
E como eu mato essas conexões ativas?
Diagnostics -> States
-
Entendi. Só para informação, fiz essa regra e coloquei como a primeira de baixo para cima e a segunda de cima para baixo e não funcionou.
Onde ela teria que ficar corretamente? Segue o print das minhas regras da lan
E como eu mato essas conexões ativas?
Desculpe a minha ignorância, mas estou aprendendo o PfSense na marra. Tive que achar uma solução e implementar sem ao menos conhecer a ferramenta aqui na empresa onde eu trabalho.
Nem sei se essas regras atuais estão da forma certa =((
Se me permite deixa fazer duas observações nas suas regras pensando um pouco mais em segurança:
1. Os ips liberados para as portas 80 e 443 são os mesmos? se for para tornar simples crie um alias com as duas portas.
2. Está creio que seja importante mesmo entando dentro da rede local, altere a sua porta ssh de 22 para uma outra qualquer se possível até mesmo a porta 80 de acesso ao pfsense para evitar que tentem digitar o ip do servidor e ver que existe o pfsense nele o mesmo para a porta 22 ssh.
[]s
