Ayuda con equivalencia regla iptables-regla pfsense
-
Saludos,
Necesito trasladar esta regla IPTABLES a Firewall PfSense, però no encuentro informacion sobre Estados en Pfsense:
iptables -A FORWARD -o eth0 -i eht1 -p tcp --sport 80 -d 192.168.1.0/24 -m state --state NEW, STABLISHED -j ACCEPT
Si alguien me puede ayudar...
Gracias por adelantado
-
@ipelayo Hola. Manejo iptables pero muy básico. reglas puntuales.
Pero leyendo esto: https://openwebinars.net/blog/control-de-estado-en-iptables/
Asumo que es lo que quieres proteger.
Con Pfsense, al ser un firewall por defecto DROP (todo esta denegado y solo permitimos lo que queremos). estas cubriendo el punto de las conexiones establecidas partiendo del origen. Algo que con Iptables solo es posible cuando utilizas política por Defecto DROP.
Déjame investigar un poco mas al respecto.
Saludos.
-
@ipelayo said in Ayuda con equivalencia regla iptables-regla pfsense:
Saludos,
Necesito trasladar esta regla IPTABLES a Firewall PfSense
Sabes qué es lo que hace dicha regla ?
Para qué la utilizas ?
-
Gracias por el interes,
La idea es trasladar el firewall de iptables a Pfsense...
Es el firewall de un DMZ donde se alojan los servidores a los que se accede desde la red externa.
Lo que quiero es que desde los equipos del DMZ no se puedan iniciar connexiones de red, sino dejar pasar únicamente las respuestas a servicios/connexiones previamente establecidos. (ESTABLISHED)
He estado mirando y lo unico que se me ocurre si no se puede utilizar estados como en IPTABLES es filtrar los paquetes dependiendo de losflags que tiene activados. Es decir, teniendo en cuenta que el primer paquete de un handshake de tres vias és un paquete con el flag SYN activado y ACK desactivado, y los siguientes paquetes ya tienen el flag ACK a 1... Se podria hacer permitiendo solo los paquetes con flag ACK a 1 desde el DMZ al exterior? Con eso impediria que se pudiesen iniciar connexiones TCP desde el DMZ?
La razon de hacer esto seria que dado que el DMZ esta expuesto al exterior, no quiero que nadie que consiguiese acceder a traves de alguna vulnerabilidad a los servidores DMZ, pudiese desde alli atacar a los equipos de la red interna (que estan en otra VLAN).
Gracias
-
Este Hilo te responde: https://forum.netgate.com/topic/147478/allow-only-established-connections-incoming/4
Adicional fíjate mi escenario real.
tengo una red esquema, wan, lan dmz.
En dmz tengo un relay de correo y el servidor webservices (pagina web y servicios públicos.Vamos a las reglas.
1)Desde la wan pueden ingresar al servidor webservices por los puertos 80 y 443, de esta forma desde la red externa solo podran ingresar http y https a la pagina web y servicios publicos por https. En pfsense, esto es una simple regla NAT.-
Permito desde la LAN que puedan ir al webservices por los mismos puertos. Osea 80 y 443. Eso es una regla. Adicional agrego que solo las IP del personal técnico ingresen vía SSH. Eso seria otra regla.
-
En DMZ, como mi servidor Webservices, solo es prestador de servicio. No le permito nada. Por ej, cuando un administrador de la LAN entra por SSH, solo podrá hacer gestiones de sysadmin en el servidor (parar/iniciar un servicio, reboot, etc) todo lo que sea local. Pero ping, internet, query dns, etc etc etc. No podrá.
Por que? Pfsense, por Defecto es Firewall DROP (el deber ser).. Entonces en Pfsense de forma nativa no tiene la necesidad de hacer doble regla. El hecho de que tenga bloqueada toda salida en la DMZ al webservices (como en el ej que te doy) no significa que no le puedan llegar a lo que permito, por ej tener acceso al portal web.
Con lo anterior expongo, que por defecto pfsense solo da respuesta al hosts cuando la conexión es establecida del origen. Si llega a ocurrir un Hackeo en mi webservices y tratan de navegar o ir a otra red. no podrán. por que? Por que no podrán salir por ningún puerto por que esta bloqueado de forma completa.
Una recomendación. si estas en una migración de IPtables a pfsense, te aconsejo, escribir cada regla de forma conceptual y luego la vas quemando en pfsense, evita programas o script que te "migran" las reglas, lo mejor e ir una por una.
La ventaja de Pfsense que si con iptables tienes 200 reglas, con pfsense seran 50 o menos, vas a simplificar bastante por muchos factores.
Saludos.
-
-
Entiendo, muchas gracias me estaba volviendo loco buscando estados en firewall de pfsense.
Tranqui, migro las iptables una a una, no me fio...Muchas gracias de nuevo
-
"van mis 2 centavos"
En la Documentación Oficial, puedes ver/leer cómo funciona el FW
https://docs.netgate.com/pfsense/en/latest/firewall/index.html
Y, si lo deseas, puedes descargar el libro de pfSense, en forma gratuita...
https://docs.netgate.com/pfsense/en/latest/firewall/index.html
-
@ptt gracias cracks
-
@ptt Genial, gracias! esto era lo que buscaba