Administracion Remota SSH y HTTPS



  • Buenas.. De nuevo por aca, les recuerdo que soy nuevo en el tema.

    Mi pregunta es la siguiente, segun este tutorial: http://doc.pfsense.org/index.php/Restrict_access_to_management_interface , puedo usar en la Regla LAN creada para el accesso remoto la opcion de Alias para puertos destino, sin embargo, en la version 2.0 de pfsense no me sale esa opcion, por lo tanto: Deberia crear una regla para cada puerto destino (una para HTTPS y otra para SSH) ? y de ser asi, no tendria problema con el orden de estas 2 reglas?

    De antemano gracias por la ayuda.



  • ¿Qué opción no sale, dices?

    El alias tienes que crearlo tú… No entiendo que es lo que no te sale...



  • Exacto Bellera..

    yo creo el alias, esta creado. pero cuando voy a la configuracion de las reglas LAN, en la casilla de DESTINATION PORT no me permite colocar Alias, solo seleccionar un protocolo (de la lista de protocolos)..
    Lo que deseo es crear una regla para la administracion, que me pase el trafico con origen XXX y puertos destinos HTTPS y SSH. Cree 2 alias, uno para las direcciones origenes y uno para los Ports Destino. Pero al configurar la LAN en el Destination Port no me da la opcion de colocar un alias.

    Gracias por responder.



  • Es como siempre, la opción (other) y el casillero rojo a su derecha.

    Siempre y cuando hayas puesto que la regla es para un protocolo que use puertos (TCP, UDP).

    Si tienes problemas refresca la caché de tu navegador o bien cambia de navegador. Firefox es lo más aconsejable.



  • Gracias por la respuesta Bellera. Solucionado.
    Tengo algunas dudas con respecto al soporte NTP y SNMP, voy a abrir otro Topic, para estos…

    Muchisimas gracias.



  • @jc-colmenares:

    yo creo el alias, esta creado. pero cuando voy a la configuracion de las reglas LAN, en la casilla de DESTINATION PORT no me permite colocar Alias, solo seleccionar un protocolo (de la lista de protocolos)..

    Tienes que comenzar, a escribir el nombre del alias y aparece una lista,si hay mas de uno que comienza parecido.



  • Buenos dias amigos, aca estoy de nuevo..
    Resulta que estoy haciendo esta configuracion (http://doc.pfsense.org/index.php/Restrict_access_to_management_interface) practicamente igual, y aun asi no puedo accesar con las redes especificadas. Explico:

    Tengo las interfaces
    LAN:192.168.1.1
    WAN: 200.xxx.xxx.xxx

    Estoy tratando de restringir el acceso SSH y HTTPS a la administracion de la interfaz Lan, permitiendo solo los host dentro de la red 200.xxx.xxx.xxx.
    Realizo la configuracion exactamente como indica el tutorial. Entonces, conecto un pc a la LAN, le asigno una IP dentro del rango antes mencionado y cuando intento conectarme a la Lan (192.168.1.1) no me lo permite (problema de conexion).. Que estoy haciendo mal.? o que esta pasando?

    Tambien hice lo mismo, pero cambiando la ip de LAN, colocandola dentro del rango IP 200.xxx.xxx.xxx, realice el mismo procedimiento de conectar un pc con una ip dentro del rango y tampoco me permitio acceder..

    Podrian ayudarme para lograr la administracion del Pfsense desde las redes que yo deseo…

    Muchas gracias.



  • Necesito ayuda..



  • alguna Idea…..



  • Como lo tengo…

    Alias pfadmin con las IPs de las máquinas que pueden administrar pfSense.
    Alias administra con los puertos 80, 443, 22 y 8000. El 8000 es para el Captive Portal.

    Tres reglas:

    TCP/UDP LAN net * LAN address 53 (DNS) *
    TCP pfadmin * LAN address administra *
    X *         *        * LAN address *              *

    quiere decir PASS
    X quiere decir BLOCK

    La primera regla es necesaria si se usa pfSense como DNS local. Suele ser así si los equipos están por DHCP.
    La tercera regla es la que genera el marcar la casilla para deshabilitar la regla que impide el bloqueo.

    En la 2.0 aparece en LAN una regla para evitar sustos:

        • LAN Address 22 80 443 * *

    que viene a ser la segunda de más arriba.

    Y ante la duda, reinicia. A veces estos cambios vuelven loco al equipo…

    ¡Suerte!

    Josep Pujadas



  • Bellera muchas gracias por la respuesta.. aun no soluciono..

    Tengo lo siguiente:
    Alias Alias1 con las redes 200.x.x.64/26 y 200.x.x.96/29
    Alias Alias2 con los puertos 443, 22, 80.

    Reglas:

    TCP  Alias1  *  LAN address  Alias2  *
    X *    any    *  LAN address    *      *

    Para realizar prubas, conecto un PC a la interfaz LAN y le coloco una IP en el rango de las redes que estoy permitiendo, y no puedo acceder, ni via HTTP, HTTPS ni con Putty SSH.. Ya reinicie el equipo y acabo de perder la administracion..

    Que otra cosa podra ser..? No tengo mas nada configurado.. Solo las configuraciones que viene por default y estas reglas que acabo de agregar.

    Gracias…



  • Tengo las interfaces
    LAN:192.168.1.1
    WAN: 200.xxx.xxx.xxx

    Se me pasó por alto esto. ¡Horror!

    Claro que no te funciona. Quieres acceder a administrar pfSense desde el lado WAN. Lo que manejábamos era para hacer que no todas las máquinas del lado LAN puedan administrarlo.

    Lo que quieres está en http://doc.pfsense.org/index.php/Remote_firewall_Administration



  • Perdon Bellera, el error lo coloque yo.. No quiero administrar desde la wan, sino desde la LAN, disculpaa y haciendo la configuracion que te mostre arriba no logro hacerlo… La direccion de la WAN no es la misma que las redes que asigne en el Alias1.

    Quiero hacer la administracion desde la LAN, como veniamos haciendo..



  • Pues entonces las posibles razones de que no funcione son:

    • Las direcciones IP no pertenecen al rango de la LAN. Jamás podrán comunicar con ella.
    • Las direcciones IP que das no son de carácter privado. Son públicas. No siguen los estándares., http://es.wikipedia.org/wiki/Red_privada

    Quizás tendrías que explicar mejor tu topología porque parece extraño lo que quieres hacer y no se entiende.



  • ok bellera, dejame chequear y cualquier cosa escribo.. Creo que estoy confundido.



  • Hola Bellera, tenias razon, estaba intentando entrar desde una PC que tenia una IP fuera del rango..

    Ahora, hice las configuraciones para la administracion en mi WAN, segun el Tuto que posteastes.. Pero aun asi no logro acceder a la caja..

    Tengo solamente configurada en la caja un regla en WAN com la siguiente: 
    x          *              RFC 1918                      *            *                      *            *
    x          *          Reserved/no asig                *            *                        *          *

    TCP          Alias1                              *      Wan Address            8000      *

    donde Alias1 es el grupo de redes que deseo permitir para la administracion…

    Con esta configuracion no logro acceder a la caja, que podria estar pasando..

    Nota: ya cambia en el WebCongfigurator el puerto que deseaba (8000) por ejemplo..



  • En el tutorial dice que el destino es Any, no WAN address

    No te puedo decir más porque siempre entro por OpenVPN o mediante un servidor SSH que esté en la LAN, publicado en Internet y el correspondiente túnel dentro de SSH.


Log in to reply