VPN di terze parti dietro firewall
-
Buonasera,
mi sto apprestando a implementare un pfsense appliance in ufficio da me.
Siamo tutti consulenti informatici e quindi lavoriamo da remoto con diverse vpn dei vari clienti (junos pulse, cisco anyconnect, ecc..).
La mia perplessità sta nel fatto di come configurare le diverse regole del firewall per bloccare il traffico wan<->lan ddal momento che i clienti possono variare e di conseguenza anche le porte delle vpn coinvolte. Non posso pensare di star ogni volta con wireshark per capire cosa aprire. Esiste un comando come ad esempio "related, established" di iptables che permette il passaggio da fuori verso dentro su porte di connessioni iniziate dall'interno della lan?
(spero che sia chiaro).
Grazie mille per il supporto.Franco
-
Buongiorno,
come regola generale tutte le connessioni outbound (cioè iniziate internamente) non connectionless permettono implicitamente il passaggio inbound.
Nel caso tipico di necessità di accesso remoto tramite VPN client è necessario e sufficiente configurare il firewall in uscita (cioè sulla porta LAN) permettendo il passaggio dei protocolli VPN usati (IPsec, OpenVPN, ecc.).
Alcuni clienti potrebbero utilizzare porte non standard per alcune tipologie di VPN (come OpenVPN) e in questo caso per non dover aprire in modo puntuale le sole porte necessarie potrebbe essere accettabile lasciare passare tutto il traffico (ovviamente sempre outboud). -
@psp Grazie mille per la delucidazione