Настройки FireWall PFSense



  • И сразу вопрос, может я что то не включил, но для меня остаётся загадкой почему нельзя чётко указать запрет на локальную сеть, мне например не надо было чтобы шлюз был доступен для некоторых локальных пользователей. Указывая и вбивая правила как Block так и Reject получаю одно и тоже.



  • Пробросил порты натом (точнее через PAT) как и хотел дописал.
    WAN  TCP  80 (HTTP)  10.0.77.1
    (ext.: any) 3128  proxy-nat 
    [edit rule]
    [add a new nat based on this one]
    WAN TCP 443 (HTTPS) 10.0.77.1
    (ext.: any) 3128  NAT-HTTPS-3128 
    [edit rule]
    [add a new nat based on this one]
    WAN TCP 1986  10.0.77.1
    (ext.: any) 22 (SSH) PAT-22

    Разрешив соединения по определённым портам, самое удивительно всё заработало, точнее оно  и должно заработать.
    На фаерволе для LAN дописал вот это:

    TCP/UDP  LAN net  *  LAN address  3128  *      A-3128-FLAN-to-LANi 
    TCP LAN address 3128 WAN address 3128 *   LAN-to-WAN-3128 
    TCP/UDP LAN address 5190 (ICQ) WAN address 5190 (ICQ) *   A-LAN-WAN-ICQ

    Теперь мучаюсь пробрасывая порты для RAdmin и ICQ.

    К участникам форума кто уже конфигурил FireWall есть ли замечания по правилам? или повесить ещё правила для WAN,



  • К сожалению не понятно что вы пытаетесь сделать. Лучший вариант - схемы сети и скриншоты правил.



  • Local net - > LAN (sis0) - WAN (vr0) - Internet
    Как включается обычный нат, в целевой системе он включается обычной заменой ipforward 1
    Я так подозреваю здесь надо в Outbound дописывать?



  • @MSubbotin:

    Как включается обычный нат, в целевой системе он включается обычной заменой ipforward 1

    Вот ето что было?

    @MSubbotin:

    Local net - > LAN (sis0) - WAN (vr0) - Internet

    Я так подозреваю здесь надо в Outbound дописывать?

    Да, отключить NatReflection, создать разрешающие правила на Wan, Lan, и включить Outbound nat на Wan (ы вроде так).



  • Если не сложно киньте картинку для Outbound



  • В общем поправьте меня если я неправ.

    При выключенной галочке NAT Reflection - нат работает по стандартным правила. И если в Outbound ничего не дописано, а стоит триггер на Automatic outbound NAT rule generation (IPsec passthrough) то….разобраться не могу просто.
    Прочитал некоторые мануалы в одном из них написано:

    После работы мастера пакеты с LAN в WAN будут проходить без проблем, причем все. Чтобы самостоятельно создавать правила NAT следует отключить их автоматическое создание в System – Advanced, сняв флажок «Disable NAT Reflection«

    Отсюда вывод то есть NAT уже рабочий и делает он всё на автомате. Что касается правил FireWall здесь неразбериха, ниже сам текст, если я правильно перевёл его, то все входящие соединения будут заблокированы, пока не допишешь правила.

    No rules are currently defined for this interface.
    All incoming connections on this interface will be blocked until you add pass rules.

    Самое удивительное, хотя я знаю почему, работает squid+squidGuard. Проблем нет блокирует всё что мне нужно и ходит куда нужно. Правил блокирующих или ограничивающих его на WAN интерфейсе нет. Хотя squid вообще здесь с боку припёка, может быть…но он работает на LAN интрефейсе порт 3128.

    Отсюда вопрос как работает данный FireWall и по каким правила. Мне немного становится непонятно. Потому как по идее он должен блокировать трафик по порту 3128 по умолчанию для LAN Subnet`s.

    Нужна помощь.



  • tcp4      0      0 10.0.0.200.20350      jim5.mail.ru.http      ESTABLISHED
    tcp4      0      0 10.0.0.200.3285        win.mail.ru.http      TIME_WAIT

    Это лог netstat только щас допёр что нат работает в режиме DNAT. Жесть теперь ещё глубже стала кроличья нора.



  • Так что народ никто подсказать не может по настройкам FireWall. Я на винде делал, на FreeBSD\nix* делал, здесь чёт не осилил.



  • @MSubbotin:

    Так что народ никто подсказать не может по настройкам FireWall. Я на винде делал, на FreeBSD\nix* делал, здесь чёт не осилил.

    Там изначально есть базовое правило, которое пускает всех в интернет.. смотри на интерфейсе LAN :  LANsubnet => Any
    Поскольку оно стоит в самом верху, то действует не зависимо на остальные правила и даже запреты.. чтобы заблокировать кого то нужно или базовое правило опускать, либо вообще удалять его, и прописывать только разрешения.

    На других роутерах всё точно так же работает, на KWF к примеру. Чем выше правило тем оно главнее.



  • Я разобрался. Как всегда бывает из-за невнимательности не увидел внизу надпись, дословный перевод которой означает:

    Все правил включённые выше будут исполнятся если FireWall включён, учтите они исполняются в порядке запросов, как портов так и адресов. Любые другие запросы которых нет в листе правил будут блокироваться.

    Всем пасибо кто помогал. Думаю скоро появится мануал по настройке PFSENE.

    Мой блог sys-admin.blog.ru



  • @MSubbotin:

    Я разобрался. Как всегда бывает из-за невнимательности не увидел внизу надпись, дословный перевод которой означает:

    Все правил включённые выше будут исполнятся если FireWall включён, учтите они исполняются в порядке запросов, как портов так и адресов. Любые другие запросы которых нет в листе правил будут блокироваться.

    Всем пасибо кто помогал. Думаю скоро появится мануал по настройке PFSENE.

    Мой блог sys-admin.blog.ru

    фаервол pf везде так работает (freebsd, openbsd, pfsense), не  знаю из-за чего возникла такая проблема у вас



  • В основном режиме PF работает просмотром всех правил. Может быть куча подходящих правил, которые последовательно применяются к пакету или срабатывает последнее дефолтное (deny all).

    Но! Есть в правилах опция quick, которая приказывает немедленно примениться к пакету. Вот эта опция и используется в User-Level (пользовательских) правилах, которые вы задаете на Вэб интерфейсе. То есть вы должны проектировать ваши правила так, чтобы наиболее частные(для конкретных IP/port) находились вверху, а общие внизу. По умолчанию pfSense блокирует все.

    Следующее Но. User-Level (пользовательские) правила расположены после правил системы и служб.
    Вы не сможете заблокировать или как-то регулировать доступ к прокси squid правилами файрвола. Это-же относится и ко многим другим пакетам.
    Единственно в HAVP можно выбрать соотв. режим и уже самому правилами файрвола настроить доступ и пересылку пакетов.


Locked