Vlan no Pfsense
-
Boa noite pessoal,
Estou com um problema aqui (não sei se é um problema ou algo que estou fazendo errado).
No pfsense tenho duas placas de rede (wan e lan). Criei duas vlans na interface Lan (uma para a lan e outra para a administração dos switches), logo minhas interfaces ficaram assim: Wan, Vlan111 e Vlan222
Utilizo proxy transparent e não sei porque os bloqueios do firewall de uma vlan para outra não funcionam. Se eu desabilito o proxy, ai as regras do firewall funcionam - no que diz respeito a o que pode ser acessado de uma vlan para a outra.Criei tb as vlans no switche e a porta que vai para o pfsense configurei como trunk passando as duas vlans
Resumindo, por exemplo, quero que apenas meu ip da vlan111 acesse a porta 80 da vlan 222 (que é a administração do switche). Uma vez não tendo nenhuma regra para liberar esse tráfego, ou se, tiver a regra bloqueando esse tráfego, não era para bloquear ou liberar? Se o squid estiver rodando, ele desconsidera tudo que eu coloquei em firewall/rules, ou seja, se eu não liberei ou até mesmo bloqueio esse tráfego, ele continua acessando. Agora se eu paro o serviço do squid, ai sim ele lê as regras do firewall.
Testei também colocando o IP do swicthe em Bypass Proxy for These Destination IPs, e ai as regras do firewall também passam a valer.
Alguém pode me ajudar?
Obrigada
-
Boa noite,
O ideal seria você postar um print das regras de firewall do PFSense.
No PFsense se vc não criou uma regra liberando ele está bloqueando.
-
Olá rogeriorabelo
O problema não é liberar.. o problema é que não está bloqueando.
-
Bom dia,
Por padrão o PFSense cria uma regra no firewall chamada "Anti-Lockout Rule", ela está acima de qualquer regra no seu firewall e tem como portas liberadas aquelas que você usa para a administração do PFSense 80,443 e 22( Se você ativou o SSH e definiu essa porta).
Se você não desabilitou essa regra, ela quer dizer que: para qualquer IP de origem para a rede onde está o seu PFSense na porta 80 seja liberado o acesso.Por isso você está conseguindo acessar de outra VLAN.
Para resolver isso você cria uma regra, com a origem sendo o seu IP com destino ao IP do Switch na porta 80 liberando.
Logo abaixo vai uma regra na VLAN111 dizendo que: para todos os IP's dessa VLAN para o IP do SWITCH na porta 80 sejam bloqueados.
Para ficar "bonitinho" você cria alias para seu IP e para o IP do Switch, assim fica fácil você adicionar outras máquinas para ter acesso ao Switch, e fica fácil adicionar diversos Switch para a administração.
Se você não possui a "Anti-Lockout Rule", o problema deve estar nas precedências de regras.
Sobre o Squid em modo transparente você pode criar regras separadas para cada VLAN, e essas não vão interferir quanto o assunto é porta.
Nesse seu caso acredito que é só as regras de firewall mesmo. -
porque você precisa de squid para acessar a vlan de gerenciamento?
desligue o squid desta interfacecrie regras de firewall para rotear da sua rede para a rede de gerenciamento apenas para os IP que você quiser.