Dúvida - Sequência das regras do firewall (DEFAULT POLICY)



  • Bom dia Pessoal,

    É o primeiro tópico que abro aqui no fórum, estou trabalhando a algumas semanas com PFSense e venho do linux espeficicamente com a distro Debian o qual trabalhava com iptables.

    Instalei um servidor novo com PFSense e estou utilizando em ambiente de testes simulando a minha estrutura real de rede que é a seguinte:

    WAN + DMZ => BRIDGE0 ( pfsense em modo bridge com IP's públicos dos servidores)
    LAN => (gerenciamento interno dos equipamentos)
    VLAN10 => (rede administrativa)
    VLAN20 => (rede corporativa)
    VLAN30 => (rede educacional)

    Estou tendo dificuldades em definir a regra padrão para cada LAN por exemplo:
    regra padrão para acesso a rede administrativa; REJECT

    criei uma regra para o trafego vindo da interface VLAN10 com destino a qualquer local (any)  REJECT

    se tento dar um ping de dentro da rede administrativa para uma das outras redes ele esta tratando como DROP (retorna esgotado tempo limite)
    percebi que por padrão o pfsense trata como DROP quando não é definido regra alguma na interface.

    Qual a melhor forma de elaborar esta regra (Default Policy)?

    desde já agradeço pela antenção.



  • paulo.robson,

    Bem vindo ao fórum!  :)

    O pfsense bloqueia o que não está explicito nas regras, portanto a policy padrão é DENY.

    Enquanto estiver fazendo testes de regras para ver o que passa e o que não passa, lembre de resetar os estados de conexão do firewall para não ter a impressão que as regras não estão funcionando.

    O pfsense trata o estado de conexão das regras, o que dispensa a criação das regras de volta. Crie sempre as regras na interface de origem e use o tcpdump na console/ssh para verificar o que esta acontecendo  ou deixando de acontecer com o trafego.

    att,
    Marcello Coutinho



  • Marcello,

    Obrigado pela sua ajuda, me explique como posso fazer para por exemplo toda regra que não se encaixe nas regras já existentes sejam respondidas como REJECT,
    já tentei colocar uma regra genérica no final da lista das rules mas não obtive sucesso.

    att,
    Paulo



  • Normalmente você cria as regras permitindo acesso e por ultimo um com reject no lugar de deny.

    conseguiu ver via tcpdump se o pfsense retorna algum pacote apos bloquear o acesso?



  • verifiquei nos log do pf (firewall) e o mesmo está registrando como block…. não deveria aparecer como reject?



  • @paulo.robson:

    verifiquei nos log do pf (firewall) e o mesmo está registrando como block…. não deveria aparecer como reject?

    Não nos logs. Para o log, block e reject é a mesma coisa, até onde sei. A diferença entre block e reject ocorre no navegador (browser) e em alguns aplicativos. Quando em block, o pacote é dropado silenciosamente. Em reject, há mensagem de erro.



  • bom dia galera!

    johnnybe, obrigado pela ajuda, talvez por eu estar acostumado com o iptables do linux esteja me confundindo porque quando usamos a policy padrão REJECT no iptables todos os pacotes que não se enquadram em regra alguma são rejeitados e nesta condição o servidor retorna um pacote para o emissor avisando que esta rejeitado….

    Aqui na empresa utilzamos o REJECT na rede corporativa que interliga todas as unidades através de IPSEC para facilitar o suporte.

    Até agora não consegui colocar isto para funcionar você tem alguma dica?

    abraço!



  • @paulo.robson:

    Aqui na empresa utilzamos o REJECT na rede corporativa que interliga todas as unidades através de IPSEC para facilitar o suporte.

    Até agora não consegui colocar isto para funcionar você tem alguma dica?

    Você quer dizer, funcionar o IPSEC? Quantas unidades tem a empresa?


Locked