Reglas de firewall



  • Tengo una duda necesito hacer reglas para diversos tipos de usuario en la misma LAN.

    1. Necesito una regla que permita todo acceso a un cierto rango de IPS ya definidos en un alias por decir A
    2. Necesito una regla general que bloquee el acceso a p2p o el uso de aceleradores asi que no se donde colocar estas reglas en WAN o LAN
      para permitir el tráfico por los puertos TCP/UDP 110 y 25 para correo
      El puerto 80, 21,57, 443, 119 para los servicios http ftp etc.
      otra del puerto 8000 - 8100 (esto lo saque de una guia) para el trafico del streaming

    esto para un grupo b de usuarios
    3. luego otra para prohibir a otro grupo de usuarios C todo acceso a servicios excepto a pop3 y smtp

    aparte de las reglas quiero habilitar el squid para poder filtrar paginas basadas en listas actualizables con el squidguard

    es posible tener funcionando ambos el firewall y el proxy squid sin que interfieran uno con el otro?

    Saludos a todos en este nuevo año que traiga dicha y properidad a sus hogares.



  • De entrada, las reglas siempre en las LAN. En las WAN sólo van reglas si tienes servicios publicados en Internet. Por ejemplo un servidor web que tengas en una LAN y quieras que sea visto desde Internet. Hay otros casos en que conviene poner reglas ens las WAN pero son raros.

    1. Necesito una regla que permita todo acceso a un cierto rango de IPS ya definidos en un alias por decir A

    Suponiendo que te refieras a un alias de IPs internas (origen del tráfico). En Firewall - Rules - LAN:

    • UsuariosTodo * * * * none

    siendo UsuariosTodo el alias con las IPs de tu LAN que tengan acceso a todo.

    2. Necesito una regla general que bloquee el acceso a p2p o el uso de aceleradores asi que no se donde colocar estas reglas en WAN o LAN
      para permitir el tráfico por los puertos TCP/UDP 110 y 25 para correo
      El puerto 80, 21,57, 443, 119 para los servicios http ftp etc.
      otra del puerto 8000 - 8100 (esto lo saque de una guia) para el trafico del streaming

    Pues en Firewall - Rules - LAN:

    TCP/UDP UsuariosAcotados * * PuertosPermitidos * none

    siendo UsuariosAcotados un alias con las IP de tu LAN a acotar y PuertosPermitidos un alias con los puertos que necesitas de salida.

    3. luego otra para prohibir a otro grupo de usuarios C todo acceso a servicios excepto a pop3 y smtp

    De nuevo, en Firewall - Rules - LAN:

    TCP UsuariosCorreo * * PuertosCorreo * none

    siendo UsuariosCorreo un alias con las IP de tu LAN con sólo correo y PuertosCorreo un alias con los puertos que necesitas de salida (SMTP es TCP 25, POP3 es TCP 110 o 995…)

    Nunguna regla más, con lo que el resto de cosas estarán prohibidas.

    aparte de las reglas quiero habilitar el squid para poder filtrar paginas basadas en listas actualizables con el squidguard

    es posible tener funcionando ambos el firewall y el proxy squid sin que interfieran uno con el otro?

    Sí es posible. Pero piensa que si pones el proxy en modo transparente implica que redireccionas automáticamente todas las peticiones hacia TCP 80 que llegan a tu LAN. Por tanto, en caso de tener proxy transparente será en las reglas de squid+squidGuard dónde deberás filtrar la navegación, tanto para IP de origen como para web de destino.

    Como colofón piensa en si tus usuarios pueden y/o son capces de alterar sus IPs. Porque si pueden hacerlo la estructura que pides no tiene seguridad suficiente.



  • Muchas Gracias y felecitaciones estimado Bellera, he ido siguiendo tus post que aportas para encontrar soluciones a nuestros diferentes problemas.

    Bueno necesito el squid por la cuestion de prohibir el acceso a sitios con contenido no adecuado no creo que se pueda con el firewall.

    y amigo tambien pedirte un favor tambien necesito puertos abiertos para el skype y para el msn, el skype parece que escala un rango de puertos  y creo que la salida del msn se hace por el puerto 80.

    para las ips al carecer ipfsense la función de ip-mac binding estoy utilizando dhcp con leases estaticos, defininedo rangos y voy a poner una regla denegando todo para las ips no asignadas, tambien hice el check en las casillas de verificacion que no permiten dar un lease a un dirección desconocida.

    Acepto sugerencias amigo

    Una vez mas muchas gracias



  • ¡De nada!

    Skype
    Google puertos skype site:forum.pfsense.org
    http://forum.pfsense.org/index.php/topic,30499.msg157824.html#msg157824

    Messenger
    Google puertos messenger site:forum.pfsense.org
    http://forum.pfsense.org/index.php/topic,7848.msg44112.html#msg44112

    A parte de esto piensa que pfSense 2.0 puede filtrar capa 7 (layer 7). Es decir, se pueden definir reglas por patrones de aplicaciones.

    Google "layer 7" pfsense
    http://doc.pfsense.org/index.php/Traffic_Shaping_Guide#Layer_7
    http://forum.pfsense.org/index.php/topic,37545.0.html
    http://www.javcasta.com/2011/10/03/seguridad-pfsense-reglas-de-filtrado-de-capa-de-aplicacion-deep-packet-inspection/

    No puedo decirte más sobre esto porque todavía no lo probé.

    Saludos,

    Josep Pujadas



  • Josep, ya tengo funcionando el server pfsense, aun no coloco el filtro black list ni ninguna configuración sobre el squid

    Las reglas funcionan de maravilla, pero tengo un problema, tengo una antena omni y todos mis clientes cercanos o directos se pueden conectar sin mayor problema este es un bullet y esta configurado como bridge.

    Tengo accesos lejanos, y para esto utilizo un locom2 para complementar el bridge y de ahi baja la conexion por cable a esos clientes, funciona el dhcp y el asigna un ip a los clientes pero no tienen acceso a ningun servicio mas y estan dentro del mismo alias de los clientes que funcionan.

    Saludos.


  • Rebel Alliance

    tengo una antena omni y todos mis clientes cercanos o directos se pueden conectar sin mayor problema

    este es un bullet y esta configurado como bridge.

    Tengo accesos lejanos, y para esto utilizo un locom2 para complementar el bridge y de ahi baja la conexion por cable a esos clientes, funciona el dhcp y el asigna un ip a los clientes pero no tienen acceso a ningun servicio mas y estan dentro del mismo alias de los clientes que funcionan.

    El Bullet lo tienes como AP WDS? O solo como AP ?

    El Nano Loco, lo tienes en Bridge ?

    Un diagrama de como estan conectados los diferentes equipos, y las IPs que utilizan facilitaria ayudarte

    Saludos



  • Este es el diagrama de red que estoy utilizando

    http://imageshack.us/photo/my-images/855/diagramaderedactual.jpg/

    El pfsense es el gateway /firewall en 192.168.1.1
    las maquinas tienen ips en la misma subred

    el bullet m2 esta en la misma subred configurado en modo AP (192.168.1.20) y esta configurado en modo bridge (no importaria la ip que le diera asi estuviera en otra subred 192.168.x.x igual haria el puente para que se conecten las portatiles y equipos inalambricos) bien aqui se conectan muy bien los equipos  directamente.

    el loco m2 esta configurado como station (ninguno esta configurado en modo wds) y detras de este es que las computadoras no tienen acceso a internet (sale en windows 7 un error no se encuentra servidor DNS) pero si les resuelve dhcp o sea llegan al server pfsense y les asigna una ip (estoy usando Leases estaticas)

    Ahora esta configuracion funcionaba normalmente con un router (en vez del server), por lo que me extraña no se puedan conectar ahora revise configuraciones pero no encuentro la solucion

    Estoy usando Pfsense 2.0 RC3

    y las reglas que me dio bellera.

    las mismas computadoras funcionan antes del bridge (pero no asi despues)


  • Rebel Alliance

    Con equipos Ubiquiti, cuando los utilizas para un punto a punto, lo recomendado es configurarlos como AP-WDS <–--> Station-WDS (los 2 en modo Bridge), de este modo el link te queda transparente en capa 2  (pasan las MACs originales de cada host).

    Tambien seria conveniente que actualices tu pfSense a la version 2.0.1 "Release" en lugar de estar utilizando una RC "antigua", ya que justamente en la 2.0.1 se ha actualizado el servidor DHCP

    http://blog.pfsense.org/?p=633

    » Updated ISC DHCP server to 4.2.3 (#1888) – this fixes a denial of service vulnerability in dhcpd.

    Saludos.



  • Ya gracias amigos esta parte ya funciono, coloque los AP en wds y ya estan transparentes.

    Saludos


Locked