Como liberar corretamente sites específicos?
-
Ola, bom dia!
Sou analista de sistemas com pouco conhecimento em suporte, mas gerencio um firewall usando o PFSense 2.3.2.
Na minha rede, tenho um grupo de maquinas que devem acessar apenas alguns sites. Entao, fiz uma primeira regra liberando o ip dos sites especificos (descubro o ip usando o comando ping) e uma segunda bloqueando o resto. O problema eh que ocorrem algumas dificuldades, por exemplo: o site 1 abre, mas nao abrem as imagens; o site 2 demora muito para abrir, etc…
Entao, por favor, como descobrir o que falta para funcionar corretamente?
Regra 1: Liberado IPv4 * IpGrupoInterno * IpGrupoExterno *
Regra 2: Bloqueado IPv4 TCP IpGrupoInterno * * *Obrigado!
-
Ola, bom dia!
Sou analista de sistemas com pouco conhecimento em suporte, mas gerencio um firewall usando o PFSense 2.3.2.
Na minha rede, tenho um grupo de maquinas que devem acessar apenas alguns sites. Entao, fiz uma primeira regra liberando o ip dos sites especificos (descubro o ip usando o comando ping) e uma segunda bloqueando o resto. O problema eh que ocorrem algumas dificuldades, por exemplo: o site 1 abre, mas nao abrem as imagens; o site 2 demora muito para abrir, etc…
Entao, por favor, como descobrir o que falta para funcionar corretamente?
Regra 1: Liberado IPv4 * IpGrupoInterno * IpGrupoExterno *
Regra 2: Bloqueado IPv4 TCP IpGrupoInterno * * *Obrigado!
Bom dia,
Algo que me ajudou bastante foi a utilização do TCP Dump para verificar todas as conexões que estão sendo requisitadas e retornadas do site, você consegue encontrar os comandos em qualquer site, e aqui no forum também tem alguns tópicos relacionados a isto.
Também é bom verificar os endereços de domínio que compõe o site pressionando F12 no navegador, como por exemplo no site do forum.pfsense.org, os domínios necessários para acesso a todo o conteúdo aparecem como na imagem, onde é necessário somente a liberação com o domínio forum.pfsense.org.
Leve em consideração que o trabalho que está fazendo necessitara de uma manutenção grande nas regras de firewall se você for bloquear e liberar especificamente para cada site, eu recomendaria a criação de três regras base que devem ficar em baixo de todas, que são as seguintes:
Regra 1: Liberação da porta 53 (resolução de nomes DNS)
Liberado - IPv4 UDP - LAN net - * - * - 53 (DNS)
Regra 2: Liberação da porta 80 (HTTP)
Liberado - IPv4 TCP - LAN net - * - * - 80 (HTTP)
Regra 3: Lieberação da porta 443 (HTTPS)
Liberado - IPv4 TCP/UDP - LAN net - * - * - 443 (HTTPS)E acima destas regras você realiza o bloqueio para os hosts específicos que necessita.
 -
Muito obrigado! Vou seguir suas orientações para ver se consigo fazer melhor. E qualquer coisa volto a postar.
-
Dessa forma tu vai ter trabalho dobrado sempre. Agora que tem poucos sites a bloquear, fica mais tranquilo. O problema é quando isso começa a crescer. Sugiro já ir dando uma olhada no squid pra esse tipo de bloqueio.