Regras so funcionam de for com destino "any"

fabriciogcbh

Ola,

Estou trocando meu firewall para o pfsense e ja estou tendo um problema para faze-lo funcionar. Fiz a instalação da versão 2.3.3 e antes de colocar em pratica ja foi feito a atualização para a 2.3.4. Tb ja resetei toda a estrutura do pfsense e comecei do zero, mesmo assim nada resolveu.

Minha estrutura é a seguinte.
WAN (wan)      -> msk0_vlan2      -> v4: 192.164.0.23/24
LAN (lan)          -> msk0                  -> v4: 192.164.5.118/24
DMZ (opt1)      -> msk0_vlan200 -> v4: 192.168.5.118/24
WIFI (opt2)      -> msk0_vlan105 -> v4: 172.16.105.10/24

Resumindo, a LAN é a default e todas as outras estão como VLANs
Todas estão se pingando e resolvendo nomes normalmente com uma regra padrão para liberar tudo de ICMP e DNS em Firewall / Rules / Floating

Agora que começa o problema.
Se tento fazer uma regra para a LAN ter total acesso a WAN, em qualquer porta ou protocolo so funciona se eu colocar "Destination "Any" "  em Firewall / Rules / LAN
, se eu colocar "Destination  WAN" , não funciona. Isso vale para qualquer rede configurada para qualquer direção delas.

States    Protocol        Source    Port        Destination    Port  Gateway        Queue
0 /0 B      IPv4 TCP LAN net     *                      *              *          *                    none

Ja tentei colocar todas as opções que existem em "Destination" e não acessa nenhum recurso da rede destino.

marcelloc

@fabriciogcbh:

Agora que começa o problema.
Se tento fazer uma regra para a LAN ter total acesso a WAN, em qualquer porta ou protocolo so funciona se eu colocar "Destination "Any" "  em Firewall / Rules / LAN
, se eu colocar "Destination  WAN" , não funciona. Isso vale para qualquer rede configurada para qualquer direção delas.


A sintaxe está correta. O destino que você coloca na regra é exatamente o destino, e não o caminho para o destino.

Qual o objetivo de colocar uma regra que permite sua rede interna chegar no ip da sua wan?  ???

fabriciogcbh

@marcelloc:

Qual o objetivo de colocar uma regra que permite sua rede interna chegar no ip da sua wan?  ???

Não entendi muito bem sua pergunta.

O objetivo, pelo que eu interpretei na sua pergunta, seria o que todos fazem, compartilhar a internet.
Ja que deixar tudo liberado, não é uma solução no meu caso.
Mantendo a minha linha de raciocínio sobre como liberar as regras no pfsense, não esta funcionando, se eu colocar regra de acesso a porta 80 no meu servidor de web que esta na DMZ, não consigo ter o acesso, so consigo acessar, como falei anteriormente, colocando "Destination any". "Destination Any" em uma DMZ não pode ser usada, senão não justifica ter uma DMZ.

Não posso colocar uma regra geral de qualquer rede acessar a WAN, minha DMZ por ex, so vai acessar a WAN para liberação de alguns serviços e atualização de sistema. Minha LAN e minha DMZ não vão acessar a WIFI. A WIFI so vai acessar algumas portas e maquinas especificas da LAN.

Hoje eu tenho todas estas regras funcionando em iptables com Debian. Ate poderia deixar como esta, so que implementei minha WIFI recentemente, e como é tudo feito manualmente, esta se tornando um pouco confuso para o restante do pessoal que trabalha comigo, Com o pfsense fica uma situação mais facil de configurar, ate para quem não tem muita experiencia.

EDITADO:
Estou começando a achar que estou fazendo as regras de forma errada, porem em videos que assisti pela internet a fora, não consegui identificar o que esta errado.

marcelloc

@fabriciogcbh:

Não posso colocar uma regra geral de qualquer rede acessar a WAN, minha DMZ por ex, so vai acessar a WAN para liberação de alguns serviços e atualização de sistema. Minha LAN e minha DMZ não vão acessar a WIFI. A WIFI so vai acessar algumas portas e maquinas especificas da LAN.

Nestes exemplos, você usa LAN subnet, DMZ subnet, e assim por diante no destination
na regra da lan por exemplo, você bloqueia o acesso as redes que não quer e em seguida libera o acesso ANY.

@fabriciogcbh:

Hoje eu tenho todas estas regras funcionando em iptables com Debian.

A lógica é a mesma. Como o pfSense é stateful, você não precisa se preocupar com a regra de volta do pacote, crie somente a regra na interface onde o trafego começa.

fabriciogcbh

@marcelloc:

Nestes exemplos, você usa LAN subnet, DMZ subnet, e assim por diante no destination
na regra da lan por exemplo, você bloqueia o acesso as redes que não quer e em seguida libera o acesso ANY.

Vou tentar aqui e retorno, pq não posso parar a galera no meio do serviço.

Uma duvida, não consegui encontrar um documento claro com as explicações.
Qual a diferença entre "LAN net"  e "LAN subnet"

Seria??
LAN net, liberar o acesso ou a passagem ao IP da LAN
LAN subnet, liberar o acesso a rage daquela LAN

Obrigado.

marcelloc

Pra mim são a mesma coisa. O que sei que tem diferente é lan net e lan address.