(Resolvido) Pfsense 2.2.x (Rules Não Libera Somente IP especifico)
-
Boa tarde amigos,
Estou tendo um probleminha no meu Pfsense 2.2.4 em especifico, mas ja tive o mesmo problema com versões 2.2.2 e 2.2.3.
- Na versão 2.1.5, eu crio um Aliase (Bloqueio_RedeSocial) e coloco dentro: pt-br.facebook.com, facebook.com, instagram..etc. certo!
- Depois vou em Rules e crio uma regra que bloqueia acessos da LAN indo para esse Aliase e coloco ele como primeiro de todas as regras, assim quem tentar acessar um deses sites e ele não deixa passar tanto na HTTP quanto na HTTPS. certo!
- Crio um Aliase colocando nele apenas os ips que eu quero que acesse esses sites, sendo que os demais vão continuar bloqueados. Coloco essa regra acima da regra de (Bloqueio_RedeSocial), dai funciona certinho, apenas esses ips que eu liberei funciona Socialnet os demais continuam fechados.
O Problema:
Fiz tudo isso na versão 2.2.3 e 2.2.4 e em ambos a regra ao invez de liberar somente o que esta no Aliase, ele libera a toda a rede.. entendeream? ou seja, é como se ele não reconhecese o Aliase e deixa passar para todo mundo.
Testei usando somente um IP, mesmo assim ele ignora o ip que coloquei e deixa passar para todo o restante da rede.
Alguem ja passou por isso?
Tem solução? -
Pra entender melhor precisa nos mostrar as regras, pois pode estar passando algum detalhe que você não viu. Entendeu?
-
A Tela 1 mostra como a regra deve ficar. "permitidos" a primeira regra é onde fica os ips que podem acessar qualquer coisa e ir para qualquer porta.
A segunda regra mostra um aliase com o nome "bloqueados" que é uma lista de hosts que não quero que o restante da rede use, como exemplo: facebook.com, pt-br.facebook.com, instagram.
A terceira regra passa todo o resto, menos os hosts que estão em "Bloqueados".
OBS: Essa configuração esta no pfsense 2.1.5 x64, funciona normalmente. Ate mesmo se eu colocar um ip especifico no lugar do aliase "Permitidos" tambem funciona.
A mesma configuração fiz no 2.2.3 e não funcionou. Por exemplo, se eu colocar no lugar do aliase "Permitidos" um ip especifico (como mostra a Tela2), ele libera tudo, ou seja, o que esta na aliase "Bloqueados" perde o efeito… "se é que me entenderam!"
Hoje baixei a versão 2.2.4 x64, instalei e fiz o mesmo procedimento como esta na Tela2, não funcionou ele deixa passar, mas ai fiz um teste criando Aliase como mostra a Tela1 e para minha alegria funcionou!!!!.
Ai vem a questão!!!
Sera que eu estou fazendo algo de errado como é o caso da Tela2? Ou o sistema por algum motivo esta deixando passar quando coloco apenas um unico ip?
-
Tudo indica que o facebook esta se conectando por algum ip,host que não foi bloqueado. Verifica se o dns do pfsense esta conseguindo resolver o ip e se o dns das estacões não esta configurado para um dns diferente do pfsense.
-
Tudo indica que o facebook esta se conectando por algum ip,host que não foi bloqueado. Verifica se o dns do pfsense esta conseguindo resolver o ip e se o dns das estacões não esta configurado para um dns diferente do pfsense.
Não reinaldo.feitosa, esta tudo certinho!!!! é como expliquei no post acima.
-
Observei agora na sua Tela2 você colocou 192.168.1.2/24 este /24 esta falando que sua rede toda, para ser só o ip nao precisa de informar a mascara ou seria /32 e nao /24
-
Observei agora na sua Tela2 você colocou 192.168.1.2/24 este /24 esta falando que sua rede toda, para ser só o ip nao precisa de informar a mascara ou seria /32 e nao /24
Ok! Mas qual a influencia disso? So para eu entender: o /24 ele iria por exemplo dizer que "não interessa o ip com esse /24 passa tudo!" +ou- isso?
Dai o /32 ja faz o inverso ele so permite o ip e pronto!. -
Observei agora na sua Tela2 você colocou 192.168.1.2/24 este /24 esta falando que sua rede toda, para ser só o ip nao precisa de informar a mascara ou seria /32 e nao /24
Reinaldo gostaria muito de agradecer por sua ajuda, realmente o problema era o maldito /24. Estou em teste neste momento aqui no laboratório e constatei que se colocarmos o /24 ele mata o bloqueio para os sites que eu queria. Quando coloquei por exemplo o /32 funcionou direitinho.
Valeu Mesmo!!
Estou trabalhando aqui no laboratório com a integração do pfsense + AD + squid3 + squidguard, ate agora tudo esta rolando perfeitamente bem! Autenticação por usuário (grupos liberados e bloqueados), faixa de ips livre do proxy e muito mais….. ta show aqui no PFS!!
Caso alguém tenha interesse posso fazer um post de como tudo foi feito.
-
Para você entender como funcina subrede leia: https://pt.wikipedia.org/wiki/Sub-rede
Quando você quiser especificar um único host (IP) não precisa colocar /32, então em vez de vc colocar 192.168.1.2/32 só precisa 192.168.1.2
Att.,
Reinaldo Feitosa
Analista de Sistemas