Consiglio Regola - blocco ip internet



  • vorrei che un ip non accedesse ad internet, non solo pagine web ma proprio tutto, ma che sia in grado di navigare in lan.

    ho pensato di mettere una regola LAN:
    block
    LAN
    IPV4
    Protocol ANY
    Surce : ipdabloccare
    Destination: WAN adress

    solo che non riesco a metterla come prima regola in quanto la prima regola fissa nel Firewall è
    Protocol *
    Surce *
    Port *
    Destination LAN
    Port 80

    Non capisco il perchè nn fuziona.... forse devo fare l'inverso? ovvero andare in WAN e bloccare l'ip LAN?



  • ho corretto la cosa e riesco a mettere in ordine le regole... ovvero era andato in tilt pfsense e dopo un riavvio tutto ok.....

    però la regola stranamente non funziona.
    block
    LAN
    IPV4 + IPV6
    Protocol *
    Surce : ipdabloccare
    Destination: *

    Quindi mi trovo prima regola
    block
    LAN
    IPV4 + IPV6
    Protocol *
    Surce : ipdabloccare
    Destination: *
    Seconda Regola
    Pass
    LAN
    IPV4
    Protocol *
    Surce : *
    Destination: *

    • COSI NON FUZIONA -
      se disattivo la prima regola e modifico la seconda mettendo block anzichè pass funziona... sembra che non riconosca l'ip fisso da bloccare.

    suggerimenti?



  • ho fatto una terza prova.....
    ho reimpostato le regole come da "seconda configurazione" ovvero prima regola blocco ip lan e senconda regola pass *

    se faccio il ping di google 216.58.198.3 dal pc bloccato non lo raggiungo ma navigo sul web, se disattivo la regola e rifaccio il ping lo raggiungo e navigo quindi sembrerebbe esserci un qualche problema con il DNS?



  • però ho qualche dubbio anche su questa ultima analisi.
    ovvero se modifico la regola "principale" LAN e da pass la metto a block non navigo più.

    ps: ho un domain controller win server che fa da dns e quindi non uso pfsense quindi forse bloccando l'intera rete si blocca anche il dns win!?



  • Altra mega anomalia..... nella regola di blocco metto un alias con due ip LAN...uno viene bloccato l'altro no!😱

    qualcuno ha qualche suggerimento?



  • @federicop said in Consiglio Regola - blocco ip internet:

    Altra mega anomalia..... nella regola di blocco metto un alias con due ip LAN...uno viene bloccato l'altro no!😱

    qualcuno ha qualche suggerimento?

    Io... uno... spiega per bene... ^^
    La necessità è bloccare la navigazione su internet di un pc... orbene, il pc usa come gateway pfsense? C'è il proxy abilitato su pfsense? pfsense è l'unico gateway di rete (perchè se il DC fa/può_fare anche da gateway/proxy simo(sei) ammare... ^
    ^



  • hai ragione..... scusa do sempre cose per scontato!

    Pfsense è l'unico gateway - su pfsene è abilitato squid proxy server e il DC non fa da gateway.

    voglio bloccare tutto il traffico in uscita... non solo la navigazione... esempio se ho un virus su un pc non voglio che "comunichi" all'esterno!



  • Sulla configurazione del proxy puoi inserire gli ip da bloccare. Penso che questo blocco valga solo se si usa il proxy, quindi devi inserire qualche altra regola per bloccare le porte/servizi non "proxati".



  • dove si trova la sezione dove mettere gli ip da bloccare?
    io conosco solo quella dove mettere gli ip che devono bypassare il proxy....

    poi per la regola ovviamente lascio attiva quella Block *



  • xyz.jpg



  • Grazie!
    una curiosità.. che differenza passa tra la funziona di blocco ip esterni che imposti in Proxy filter SquidGuard: Common Access Control List (ACL)Common ACL e quella che invece trovo in questa sezione che mi hai indicato - Proxy Server: Access ControlACLs (white e black list)

    grazie ancora


Log in to reply