Цитируя rubic-а
-
Доброго.
Нашел в сети страницу rubic-а (ага! попался!)
Заброшенную, но с крайне полезной информацией по pfsense (и не только).
Делюсь http://pfsensible.blogspot.com/Зы. В статье "Сильная и слабая модели хоста" имеется важное замечание:
В качестве примера: вы решили ограничить доступ к GUI pfSense из локальной сети и создали правило сетевого фильтра:
Block TCP !ADMIN * LAN address HTTPS * none
т. е. запретить соединение по протоколу TCP с любого хоста кроме хоста "ADMIN" и любого порта на LAN-адрес pfSense, на порт HTTPS (веб-интерфейс). При этом, если HTTPS трафик разрешен нижестоящим правилом (а он, как правило, разрешен), то искушенный злоумышленник-инсайдер может легко определить внешний адрес pfSense (WAN address) и прямо из локальной сети открыть в браузере https://pfsense_wan_address и ввести пароль.
Вы должны запретить доступ ко всем собственным IP pFsense из всех подключенных к ней сетей, если хотите ограничить доступ к GUI pfSense пользователям.Проверил, предварительно откл. нек-ые запрещающие правила fw на LAN. Все верно - доступ к вебке пф из LAN на WAN address-е имеется (!)
У меня (в лоб) это решено:
- Переносом порта вебки на нестандартный порт.
- Созданием правила fw на LAN, в к-ом доступ к вебке пф разрешен только с ip админ-ра. И правила, к-ое разрешает из LAN доступ в Сеть только по определен. портам (и протоколам). Никаких правил fw на LAN типа "всем-везде-по-всем-протоколам-и-портам-можно" быть не должно вообще.
@rubic
Жаль, что больше не поддерживаете эту страничку (