Цитируя rubic-а



  • Доброго.

    Нашел в сети страницу rubic-а (ага! попался!)
    Заброшенную, но с крайне полезной информацией по pfsense (и не только).
    Делюсь http://pfsensible.blogspot.com/

    Зы. В статье "Сильная и слабая модели хоста" имеется важное замечание:

    В качестве примера: вы решили ограничить доступ к GUI pfSense из локальной сети и создали правило сетевого фильтра:
    Block TCP !ADMIN * LAN address HTTPS * none
    т. е. запретить соединение по протоколу TCP с любого хоста кроме хоста "ADMIN" и любого порта на LAN-адрес pfSense, на порт HTTPS (веб-интерфейс). При этом, если HTTPS трафик разрешен нижестоящим правилом (а он, как правило, разрешен), то искушенный злоумышленник-инсайдер может легко определить внешний адрес pfSense (WAN address) и прямо из локальной сети открыть в браузере https://pfsense_wan_address и ввести пароль.
    Вы должны запретить доступ ко всем собственным IP pFsense из всех подключенных к ней сетей, если хотите ограничить доступ к GUI pfSense пользователям.

    Проверил, предварительно откл. нек-ые запрещающие правила fw на LAN. Все верно - доступ к вебке пф из LAN на WAN address-е имеется (!)

    У меня (в лоб) это решено:

    1. Переносом порта вебки на нестандартный порт.
    2. Созданием правила fw на LAN, в к-ом доступ к вебке пф разрешен только с ip админ-ра. И правила, к-ое разрешает из LAN доступ в Сеть только по определен. портам (и протоколам). Никаких правил fw на LAN типа "всем-везде-по-всем-протоколам-и-портам-можно" быть не должно вообще.

    @rubic
    Жаль, что больше не поддерживаете эту страничку (


Log in to reply