BLOQUEO DE PUERTO EN INTERFACE OPT1

jsbilbo

Buenos Días,

necesito ayuda, tengo en mi trabajo un equipo con pfsense configurado de la siguiente forma:

LAN–---------> Red Interna de la empresa
WAN---------->linea ADSL
OPT1---------> Línea ADSL2

El problema que tengo es que tengo un usuario que necesita tener un puerto abierto por una aplicacion en concreto que tiene, dicho puerto es el 24623. El caso es que quiero que dicho puerto siempre salga por la interface WAN y quiero bloquear que salga por la OPT1...es decir sólo quiero bloquear dicho puerto si sale por la OPT1.

He hecho un monton de pruebas pero no me funciona, me sale indistintamente por la WAN O LA OPT1 ¿me podeis ayudar? He puerto reglas del tipo:

EN FIREWALL RULES OPT1:

PROTO            SOURCE          PORT          DESTINATION          PORT          GATEWAY

X  TCP/UDP          LAN net          24623            OPT1 net              *                OPT1
X  TCP/UDP              *                *                  LAN net            24623              OPT1

EN FIREWALL RULES LAN HE PUESTO LO SIGUIENTE PARA INTENTAR QUE TODO EL TRAFICO DE LAN NET QUE VENGA DESDE EL PUERTO 24623 VAYA POR INTERFACE WAN:

PROTO            SOURCE          PORT          DESTINATION          PORT          GATEWAY

TCP/UDP          LAN net          24623                  *                  *                    *

Espero que me podais ayudar. Muchas gracias por vuestra atencion.

Un saludo a todos.

bellera

Creo que deberías poner, en LAN, antes que cualquier regla que diga lo contrario:

PROTO            SOURCE          PORT          DESTINATION          PORT          GATEWAY

TCP/UDP          LAN net          *                      *                  24623              *

Lo digo porque normalmente es el puerto de destino el que determina qué puerto emplea la aplicación, no el de origen.

Si eso no va postea el resultado del comando netstat en un PC que esté haciendo la conexión. Por supuesto tendrás que activar una regla que permita todo para ver qué hace el PC mediante netstat. De lo contrario no habrá conexión y no verás nada.

jsbilbo

buenos Días Bellera, gracias por tu respuesta,

te comento…ya había probado la solución que me propones pero no me vale...ya que como comentaba en mi post el puerto que utiliza esta maquina es el 24623 y el problema que tengo es que desde este equipo salen las conexiones desde el puerto 24623 pero el destino son puertos aleatorios, por lo que no puedo poner la regla que me propones. Por ejemplo te muestro alguna conexiones que hace la Ip interna de dicha maquina:

tcp 10.1.1.23:24623 <- 10.1.6.3:24623 <- xXX.134.102.78:2075 ESTABLISHED:ESTABLISHED
tcp 10.1.1.23:24623 <- 10.1.6.3:24623 <- xXX.163.208.62:1738 ESTABLISHED:ESTABLISHED
tcp 10.1.1.23:24623 <- 10.1.6.3:24623 <- xXX.162.36.51:61112 ESTABLISHED:ESTABLISHED
tcp 10.1.1.23:24623 <- 10.1.6.3:24623 <- xXX.131.81.229:4238 ESTABLISHED:ESTABLISHED
tcp 10.1.1.23:24623 <- 10.1.6.3:24623 <- xXX.129.99.42:1372         ESTABLISHED:ESTABLISHED

Espero que me podais dar aluna idea para que pueda solucionar mi problema...sigo buscando una solucion.

Gracias de antemano!

un saludo

bellera

Insisto…

Si eso no va postea el resultado del comando netstat en un PC que esté haciendo la conexión.

Lo que muestras de States son conexiones entrantes, no salientes. La "flechitas" indican el sentido de la conexión. Por eso no funcionan las reglas.

leoalfa09

podrias probar las siguientes reglas en tu interface lan:

PROTO            SOURCE          PORT          DESTINATION          PORT          GATEWAY

X  TCP/UDP          LAN net          *                      *                  24623              WAN

TCP/UDP          LAN net          *                      *                  24623              OPT1

Pruebalas y nos cuentas