Закрыть доступ к серверу pfSense
-
Собственно ситуация такая:
есть сервер pfSense 2.0, который натит кучу вланов в интернет.Сервер является шлюзом для каждого влана (в каждом влане живёт своя подсеть) и имеет адреса вида 192.168.ххх.1
Для управления у меня используется VLAN 1
НО веб интерфейс и ssh будут доступны в каждом влане по этому адресу!Я понимаю,что самым простым решением будет - перекрыть доступ к КАЖДОМУ этому адресу, либо объединить адреса в группу и работать с ней. Но Если подсетей много - встаёт вопрос оптимизации этой рутины. Не заносить же каждый раз в группу адрес при добавлении нового влана?
В идеале хочу увидеть галочку "разрешить только с этой подсети", но понимаю - что скорее всего это мечта :)
Вобщем, подскажите что можно придумать. -
1. Сделать правило разрешения доступа к pfSense web/ssh только из нужной сети
2. Сделать правило запрета доступа к pfSense web/ssh для всех (***)
3. Отключить Anti-lockout опцию. -
1. Сделать правило разрешения доступа к pfSense web/ssh только из нужной сети
2. Сделать правило запрета доступа к pfSense web/ssh для всех (***)
А как это будет выглядеть? ведь сервер имеет не 1 адрес, а настоящую кучу.
-
1. Сделать правило разрешения доступа к pfSense web/ssh только из нужной сети
2. Сделать правило запрета доступа к pfSense web/ssh для всех (***)
А как это будет выглядеть? ведь сервер имеет не 1 адрес, а настоящую кучу.
Ключевое слово - Alias.
-
спасибо копетан.
Я об этом в первом посту писал. Неужели существует только 1 путь - добавить КАЖДЫЙ интерфейс в группу (алиас)?? -
НО веб интерфейс и ssh будут доступны в каждом влане по этому адресу!
Копетан подсказывает - логин и пасс от pf не выдавать ни в коем случае ни одному пользователю ни одного VLAN-а. А в остальном - это паранойя, друг мой.
p.s. У меня 300 машин и у pf-а туева куча LAN-фейсов. Ну и ? Пускай пробуют достучаться до админки хоть по web хоть по ssh. Флаг в руки.
Правильно трафик нарезать для ВСЕХ (приоритеты etc.) - это да, это задача. -
1. Сделать правило разрешения доступа к pfSense web/ssh только из нужной сети
2. Сделать правило запрета доступа к pfSense web/ssh для всех (***)
А как это будет выглядеть? ведь сервер имеет не 1 адрес, а настоящую кучу.
Floating rules + опция quick. Не пойму что за алиасы и зачем?
-
НО веб интерфейс и ssh будут доступны в каждом влане по этому адресу!
Копетан подсказывает - логин и пасс от pf не выдавать ни в коем случае ни одному пользователю ни одного VLAN-а. А в остальном - это паранойя, друг мой.
p.s. У меня 300 машин и у pf-а туева куча LAN-фейсов. Ну и ? Пускай пробуют достучаться до админки хоть по web хоть по ssh. Флаг в руки.
Правильно трафик нарезать для ВСЕХ (приоритеты etc.) - это да, это задача.ну как бе логин и пароль это одно, а, например, дырки и эксплоиты в веб-сервере ещё никто не отменял. Апач например оч хорошо доссится перловыми скриптами. И попробуй поадминить когда веб лежит.
Зачем конечному юзеру знать на чём у меня шлюз?? Вобщем, не секурно получается.dvserg
опция Quick как я понимаю - применяет правило немедленно. Но по какому принципу мне отбирать(отсеивать по 22,80,443 портам) траффик на локальные интерфейсы (если не алиасом)? :) -
НО веб интерфейс и ssh будут доступны в каждом влане по этому адресу!
Копетан подсказывает - логин и пасс от pf не выдавать ни в коем случае ни одному пользователю ни одного VLAN-а. А в остальном - это паранойя, друг мой.
p.s. У меня 300 машин и у pf-а туева куча LAN-фейсов. Ну и ? Пускай пробуют достучаться до админки хоть по web хоть по ssh. Флаг в руки.
Правильно трафик нарезать для ВСЕХ (приоритеты etc.) - это да, это задача.ну как бе логин и пароль это одно, а, например, дырки и эксплоиты в веб-сервере ещё никто не отменял. Апач например оч хорошо доссится перловыми скриптами. И попробуй поадминить когда веб лежит.
Зачем конечному юзеру знать на чём у меня шлюз?? Вобщем, не секурно получается.dvserg
опция Quick как я понимаю - применяет правило немедленно. Но по какому принципу мне отбирать(отсеивать по 22,80,443 портам) траффик на локальные интерфейсы (если не алиасом)? :)Ну блокировочное правило можно алиасом в флоат, либо на каждом интерфейсе блокировать отдельно. Вы же в любом случае настраиваете для каждого вашего интерфейса разрешающие правила? А алиас проще и быстрее некуда.
-
да мне бы как раз лучше чтобы сначала "запрещай", а потом "разрешай".
Согласитесь, в промышленных масштабах это нереально трудозатратно.Но раз нет….. будем дальше жувать кактуз ))))
всем спасибо.... -
да мне бы как раз лучше чтобы сначала "запрещай", а потом "разрешай".
Согласитесь, в промышленных масштабах это нереально трудозатратно.Но раз нет….. будем дальше жувать кактуз ))))
всем спасибо....Можно и так. В флоат запретить доступ к указанным портам без опции quick, а ниже тут же или на нужном интерфейсе разрешить.
-
а float применяется ДО или после правил по интерфейсам?
-
а float применяется ДО или после правил по интерфейсам?
Применяется ДО, и по умолчанию на нем правила идут без опции Quick. В этом случае просматриваются все правила подряд, а затем переходит на список правил соотв. интерфейса. При наличии опции Quick правило флоат применяется немедленно, как и правило на интерфейсе.
