Problemas con las reglas de firewall



  • Estimados amigos del foro, trabajo en un hotel y quiero implementar pfsense como firewall. Estoy en la fase de pruebas, arme una PC con un PIII 128 MB y HD de 4,1 GB y 3 placas de red. Una WAN con IP fija que se conecta a internet con un router Cisco, una LAN tambien con IP fija para la red operativa del hotel y una WIFI que se conecta a la red de puntos de acceso inalámbricos para brindar acceso wifi a Internet a los huéspedes con DHCP. A su vez los usuarios del la red LAN se conectan a internet a través de squid y filtrado su contenido con squidgard incluidos en pfsense. Las reglas de firewall para la red WIFI solo restringen el acceso a la red LAN, y la red LAN usa por defecto la regla que da acceso total.
    Hasta ahí funciona de maravillas, el problema aparece cuando en la red LAN deshabilito la regla por defecto y agrego las reglas para que solo accedan a los puertos 110 y 25 del correo electrónico y el puerto 53 de DNS, con excepcion de una serie de maquinas con acceso full designadas en un alias. Lo curioso del caso es que de todas las terminales con acceso al correo electrónico solo una funciona y el resto no. Sí acceden a Internet a través del proxy pero no pueden conectar a los servidores de correo.
    A que se debe esto? probé cambiando el orden de las reglas de todas las formas posibles y siguen sin funcionar las demás terminales y no logro entender porque solo una máquina sí funciona. Me podrían ayudar?

    Datos de la red
    WAM IP: 200.70.xx.xxx
    LAN IP: 192.168.3.1
    WIFI IP: 192.168.2.10 DHCP desde 192.168.2.100 hasta 192.168.2.200

    Reglas de firewall LAN
    proto    source            port    destination      port        gateway
    *          Lan net          *            *                    *                  *  (desactivada)
    *          Permitidos    *            *                    *                  *
    TCP      Lan net          *            *                    53(DNS)      *
    TCP      Lan net          *            *                    25(SMTP)    *
    TCP      Lan net          *            *                    110(POP3)  *

    Afectuosamente.
    Maximiliano Méndez.



  • Estimados amigos del foro, ya pudo resolver mi problema gracias a la ayuda del Sr. Josep Pujadas.
    El problema era que había admitido el puerto 53 del servicio DNS solo en el protocolo TCP y este generalmente usa el protocolo UDP, así que admití los dos protocolos y voilà. Todo funciona a la perfección y ya tengo el pfsense en producción con unas 20 PC.
    Gracias y espero que le sirva a otro con este problema.

    Afectuosamente.
    Maximiliano Méndez.


Log in to reply