Wireguard VPN i reguły firewall
-
Dzień dobry,
Czy ktoś mógłby mi podpowiedzieć jak utworzyć poprawnie regułę firewall na pfSense dla ruchu od klientów, który jest terminowany przez Wireguard.
Mam dwa interfejsy LAN, WAN. Użytkownicy łączą się na adres WAN i mają dostęp do całej sieci LAN. Ale chciałbym ograniczyć im dostęp do konkretnych IP ze względu na adres źródłowy użytkownika. Ustawiałem reguły ale niestety nie działają.
Reguły ustawiałem na różnych interfejsach: LAN i Wireguard.
Chciałbym zapobiec, temu że użytkownik sobie dopisze w konfiguracji lokalnej dostęp i będzie mógł się połączyć do hosta, do którego nie ma prawa się łączyć.
Mam ustawione natowanie ruchu wychodzącego do sieci LAN z adresem interfejsu LAN.
Reguły jakie ustawiałem chwilowo odnosiły się do adresu hosta docelowego i ANY jako żródła.
Ping dalej idzie.
Co mogę robić źle?Pozdrawiam
Piotr -
Chyba sam sobie na to odpowiedziałem, czytając inne posty na forum.
@milew odpowiedział w innym poście :)
Jak wrzucasz regułę to otwarte połączenia dalej działają. Musisz je odszukać w Diagnostics/States i pozamykać ręcznie lub zamknąć wszystkie połączenia https://docs.netgate.com/pfsense/en/latest/monitoring/status/firewall-states-reset.html.
Reguły ustawia się na interface WireGuard.
Pozdrawiam
Piotr -
@pitterski
Dwie uwagi. Inteface "WireGuard" to interfejs zbiorczy do:- wszystkich tuneli WG (Interface Group Membership = All Tunnels)
lub - tuneli WG, którym nie przypisano dedykowanego interfejsu (Interface Group Membership = Only Unassigend Tunnels)
lub - żadnych (Interface Group Membership = Żadnych).
Tym czym jest intefejs "WireGuard" zarządza się w VPN / WireGuard / Settings - ustawienie Interface Group Membership.
Osobiście preferuję do każdego tunelu WG przypisywać dedykowany interfejs i użytkować Interface Group Membership = Only Unassigend Tunnels.
- wszystkich tuneli WG (Interface Group Membership = All Tunnels)