Bloquear comunicação entre Vlans e LAN

gersonalves

2.5.0-RELEASE (amd64)
built on Tue Feb 16 08:56:29 EST 2021
FreeBSD 12.2-STABLE

Problema: bloqueio entre VLAN x LAN x VLAN não está funcionando.

Meu Pfsense está segmentado da seguinte forma:

WAN: 192.168.25.X
LAN: 192.168.0.X
VLAN Printer: 172.16.5.X
VLAN Adm: 172.16.10.X
VLAN Jurídico: 172.16.15.X
VLAN Guest: 10.10.60.X

As VLANS estão configuradas com as devidas regras de liberação, porém me deparei com um problema: a regra que era para bloquear a comunicação entre as vlans/lan e lan/vlans, não está funcionando e não faço ideia qual seria o motivo.
Estou há 04 dias quebrando cabeça com isso e não acho solução.
Utilizo o E2guardian como proxy e o mesmo está barrando as acls perfeitamente.
Para melhor visualização segue a regra de duas VLANS que não deveriam estar se comunicando (exceto com regra de liberação criada).

Alguém poderia por favor me ajudar a resolver essa questão?
Não sei mais o que fazer ...
Meu switch principal é um Cisco SG220-50 distribuindo/interligando outro Cisco SG220-26, através de uma porta Tunk e os equipamentos (desktop, impressora e access point) conectados a porta Access.

Agradeço qualquer ajuda. Obrigado.

mcury

@gersonalves said in Bloquear comunicação entre Vlans e LAN:

As VLANS estão configuradas com as devidas regras de liberação, porém me deparei com um problema: a regra que era para bloquear a comunicação entre as vlans/lan e lan/vlans, não está funcionando e não faço ideia qual seria o motivo.

As regras parecem estar certas.
O acesso que deveria estar sendo bloqueado está sendo interceptado pelo proxy?
Caso sim, tente configura-lo para fazer o acesso as redes internas diretamente, e não pelo proxy.

Proxy explícito: Quando você usa um arquivo .pac, ou configura o computador do cliente para apontar para o proxy em uma porta específica.
Nesse caso, o pacote sai do computador do cliente em destino ao proxy na porta configurada, e não diretamente para o IP de destino.

Portanto, você precisa por DIRECT para essas redes no arquivo PAC:

if (isInNet(myIpAddress(), "192.168.0.0", "255.255.0.0"))
return "PROXY DIRECT";
}

Ou configurar dentro do navegador do cliente, para que acesso a determinada network não vá pelo proxy.

gersonalves

@mcury @mcury Olá, obrigado por responder.
Respondendo a sua pergunta: O acesso que deveria estar sendo bloqueado está sendo interceptado pelo proxy? Correto é isso que está ocorrendo. Notei o registro nos logs da regra.

Você comentou sobre "Portanto, você precisa por DIRECT para essas redes no arquivo PAC". Essa ação é realizada no próprio Pfsense? Como proceder para validar esse direct. Obs: utilizo proxy transparente no E2g e seria trabalhoso configurar no navegador do usuário e visitante esse "direct".

mcury

@gersonalves said in Bloquear comunicação entre Vlans e LAN:

Respondendo a sua pergunta: O acesso que deveria estar sendo bloqueado está sendo interceptado pelo proxy? Correto é isso que está ocorrendo. Notei o registro nos logs da regra

• Quando se usa proxy explicito, o computador envia o pacote pro proxy ao invés de enviar o pacote direto para o destino, portanto a regra que você criou não dá match.
• Quando se usa proxy transparente, o computador do cliente desconhece o proxy, portanto envia o pacote para o destino e o proxy intercepta no caminho.

Posso apostar que você está usando proxy explícito, você tem certeza que não configurou nada no navegador do cliente? Talvez um WPAD por DHCP ou por DNS no pfsense ?
Pois se o proxy fosse transparente, a regra estaria bloqueando, e o você não precisaria ter criado aquela regra "Proxy" que você criou.
Acho que você se confundiu, está na verdade usando proxy explícito.

Ou você faz a configuração no arquivo que o WPAD está entregando caso esse seja o caso, ou precisa editar a configuração no navegador dos clientes, para que o mesmo envie o pacote direto para o destino quando for redes locais.

Resumindo: O computador do cliente precisa enviar o pacote para o destino correto ao invés de enviar para o proxy quando os destinos forem as redes locais.

gersonalves

@mcury entendi a sua explicação. Meu caso realmente é proxy explícito. Vou seguir suas orientações e realizar alguns testes no ambiente de homologação para alcançar o resultado que estou querendo. Desde já agradeço muito a sua ajuda. Muito obrigado!

mcury

@gersonalves Garanto que vai funcionar, é só fazer o bypass de proxy no cliente, ou no arquivo .pac, e pronto, testa lá e avisa

gersonalves

@mcury Maravilha! Vou fazer isso e posto aqui o resultado! Gratidão

gersonalves

@mcury no E2guardian a função "Bypass Proxy for Private Address Destination" estava desmarcada e após marcá-la as regras de bloqueio entre as Vlans funcionou perfeitamente! Não entendo muito das regras de configuração do E2G, mas após ativar o Bypass, deu certo.

Mais uma vez agradeço a sua atenção e ajuda.

mcury

@gersonalves hm, que bom que funcionou, mas eu não entendi exatamente o que aconteceu.

Pois no meu entendimento, o pacote está saindo do cliente assim:
ip_origem > ip_proxy:e2g_port e não desse jeito: ip_origem > ip_destino, por isso sua regra não dava match.

Desmarcando essa opção não mudaria o cenário de como o pacote sai do cliente.

Acho que no final das contas, o seu proxy é realmente transparente... Pode desabilitar aquela regra lá 'Proxy` que vai continuar tudo funcionando...