Como liberar corretamente sites específicos?



  • Ola, bom dia!

    Sou analista de sistemas com pouco conhecimento em suporte, mas gerencio um firewall usando o PFSense 2.3.2.

    Na minha rede, tenho um grupo de maquinas que devem acessar apenas alguns sites. Entao, fiz uma primeira regra liberando o ip dos sites especificos (descubro o ip usando o comando ping) e uma segunda bloqueando o resto. O problema eh que ocorrem algumas dificuldades, por exemplo: o site 1 abre, mas nao abrem as imagens; o site 2 demora muito para abrir, etc…

    Entao, por favor, como descobrir o que falta para funcionar corretamente?

    Regra 1: Liberado    IPv4  *        IpGrupoInterno    *    IpGrupoExterno    *
    Regra 2: Bloqueado  IPv4  TCP    IpGrupoInterno    *    *                          *

    Obrigado!



  • @Cavalcante:

    Ola, bom dia!

    Sou analista de sistemas com pouco conhecimento em suporte, mas gerencio um firewall usando o PFSense 2.3.2.

    Na minha rede, tenho um grupo de maquinas que devem acessar apenas alguns sites. Entao, fiz uma primeira regra liberando o ip dos sites especificos (descubro o ip usando o comando ping) e uma segunda bloqueando o resto. O problema eh que ocorrem algumas dificuldades, por exemplo: o site 1 abre, mas nao abrem as imagens; o site 2 demora muito para abrir, etc…

    Entao, por favor, como descobrir o que falta para funcionar corretamente?

    Regra 1: Liberado    IPv4  *        IpGrupoInterno    *    IpGrupoExterno    *
    Regra 2: Bloqueado  IPv4  TCP    IpGrupoInterno    *    *                          *

    Obrigado!

    Bom dia,

    Algo que me ajudou bastante foi a utilização do TCP Dump para verificar todas as conexões que estão sendo requisitadas e retornadas do site, você consegue encontrar os comandos em qualquer site, e aqui no forum também tem alguns tópicos relacionados a isto.

    Também é bom verificar os endereços de domínio que compõe o site pressionando F12 no navegador, como por exemplo no site do forum.pfsense.org, os domínios necessários para acesso a todo o conteúdo aparecem como na imagem, onde é necessário somente a liberação com o domínio forum.pfsense.org.

    Leve em consideração que o trabalho que está fazendo necessitara de uma manutenção grande nas regras de firewall se você for bloquear e liberar especificamente para cada site, eu recomendaria a criação de três regras base que devem ficar em baixo de todas, que são as seguintes:

    Regra 1: Liberação da porta 53 (resolução de nomes DNS)
                Liberado - IPv4 UDP - LAN net - * - * - 53 (DNS)   
    Regra 2: Liberação da porta 80 (HTTP)
                Liberado - IPv4 TCP - LAN net - * - * - 80 (HTTP)
    Regra 3: Lieberação da porta 443 (HTTPS)
                Liberado - IPv4 TCP/UDP - LAN net - * - * - 443 (HTTPS)

    E acima destas regras você realiza o bloqueio para os hosts específicos que necessita.

    ![domínios site.JPG](/public/imported_attachments/1/domínios site.JPG)
    ![domínios site.JPG_thumb](/public/imported_attachments/1/domínios site.JPG_thumb)



  • Muito obrigado! Vou seguir suas orientações para ver se consigo fazer melhor. E qualquer coisa volto a postar.



  • Dessa forma tu vai ter trabalho dobrado sempre. Agora que tem poucos sites a bloquear, fica mais tranquilo. O problema é quando isso começa a crescer. Sugiro já ir dando uma olhada no squid pra esse tipo de bloqueio.