Vlan no Pfsense



  • Boa noite pessoal,
    Estou com um problema aqui (não sei se é um problema ou algo que estou fazendo errado).
    No pfsense tenho duas placas de rede (wan e lan). Criei duas vlans na interface Lan (uma para a lan e outra para a administração dos switches), logo minhas interfaces ficaram assim: Wan, Vlan111 e Vlan222
    Utilizo proxy transparent e não sei porque os bloqueios do firewall de uma vlan para outra não funcionam. Se eu desabilito o proxy, ai as regras do firewall funcionam - no que diz respeito a o que pode ser acessado de uma vlan para a outra.

    Criei tb as vlans no switche e a porta que vai para o pfsense configurei como trunk passando as duas vlans

    Resumindo, por exemplo, quero que apenas meu ip da vlan111 acesse a porta 80 da vlan 222 (que é a administração do switche). Uma vez não tendo nenhuma regra para liberar esse tráfego, ou se, tiver a regra bloqueando esse tráfego, não era para bloquear ou liberar? Se o squid estiver rodando, ele desconsidera tudo que eu coloquei em firewall/rules, ou seja, se eu não liberei ou até mesmo bloqueio esse tráfego, ele continua acessando. Agora se eu paro o serviço do squid, ai sim ele lê as regras do firewall.

    Testei também colocando o IP do swicthe em Bypass Proxy for These Destination IPs, e ai as regras do firewall também passam a valer.

    Alguém pode me ajudar?

    Obrigada



  • Boa noite,

    O ideal seria você postar um print das regras de firewall do PFSense.

    No PFsense se vc não criou uma regra liberando ele está bloqueando.



  • Olá rogeriorabelo

    O problema não é liberar.. o problema é que não está bloqueando.



  • Bom dia,

    Por padrão o PFSense cria uma regra no firewall chamada "Anti-Lockout Rule", ela está acima de qualquer regra no seu firewall e tem como portas liberadas aquelas que você usa para a administração do PFSense 80,443 e 22( Se você ativou o SSH e definiu essa porta).

    Se você não desabilitou essa regra, ela quer dizer que: para qualquer IP de origem para a rede onde está o seu PFSense na porta 80 seja liberado o acesso.Por isso você está conseguindo acessar de outra VLAN.

    Para resolver isso você cria uma regra, com a origem sendo o seu IP com destino ao IP do Switch na porta 80 liberando.

    Logo abaixo vai uma regra na VLAN111 dizendo que: para todos os IP's dessa VLAN para o IP do SWITCH na porta 80 sejam bloqueados.

    Para ficar "bonitinho" você cria alias para seu IP e para o IP do Switch, assim fica fácil você adicionar outras máquinas para ter acesso ao Switch, e fica fácil adicionar diversos Switch para a administração.

    Se você não possui a "Anti-Lockout Rule", o problema deve estar nas precedências de regras.

    Sobre o Squid em modo transparente você pode criar regras separadas para cada VLAN, e essas não vão interferir quanto o assunto é porta.
    Nesse seu caso acredito que é só as regras de firewall mesmo.



  • porque você precisa de squid para acessar a vlan de gerenciamento?
    desligue o squid desta interface

    crie regras de firewall para rotear da sua rede para a rede de gerenciamento apenas para os IP que você quiser.


Log in to reply