Regra de acesso externo x rede interna



  • Olá amigos do fórum,

    Sou um tanto novo com o pfsense e também no fórum, mas em dois dias já pus funcionar um pfsense+proxy, mas, estou com uma duvida que é a seguinte:

    Pfsense esta entrando no meu servidor Windows server 2003+AD, fiz os roteamento e ate aí tudo bem, minha rede interna esta com internet. Tenho nesse servidor um sistema interno que tambem sai externo para minhas filiais pela porta 8080, e depois de instalar o pfsense não estou conseguindo acesso.

    Como posso configurar?



  • Olá  ;D

    Para que seja feito o acesso externo a esta aplicação pela porta 8080 é necessário criar um Port Forwarding(Redirecionamento de Porta), para isso vá em "Firewall>NAT" e na primeira aba "Port Forward" crie uma regra parecida com:
    Interface: WAN (Ou outro nome que esta para a Interface de Internet)
    Protocol: TCP
    Source: Any(Ou o IP das outras empresas que precisam acessar)
    Destination: WAN Address
    Destination port Range: From: 8080 To: 8080
    Redirect target IP: (IP do seu Servidor)
    Redirect target Port: 8080



  • @LFCavalcanti:

    Olá  ;D

    Para que seja feito o acesso externo a esta aplicação pela porta 8080 é necessário criar um Port Forwarding(Redirecionamento de Porta), para isso vá em "Firewall>NAT" e na primeira aba "Port Forward" crie uma regra parecida com:
    Interface: WAN (Ou outro nome que esta para a Interface de Internet)
    Protocol: TCP
    Source: Any(Ou o IP das outras empresas que precisam acessar)
    Destination: WAN Address
    Destination port Range: From: 8080 To: 8080
    Redirect target IP: (IP do seu Servidor)
    Redirect target Port: 8080

    Vou fazer a regra e posto a conclusão.
    Obrigado até o momento



  • @Robsonsb:

    @LFCavalcanti:

    Olá  ;D

    Para que seja feito o acesso externo a esta aplicação pela porta 8080 é necessário criar um Port Forwarding(Redirecionamento de Porta), para isso vá em "Firewall>NAT" e na primeira aba "Port Forward" crie uma regra parecida com:
    Interface: WAN (Ou outro nome que esta para a Interface de Internet)
    Protocol: TCP
    Source: Any(Ou o IP das outras empresas que precisam acessar)
    Destination: WAN Address
    Destination port Range: From: 8080 To: 8080
    Redirect target IP: (IP do seu Servidor)
    Redirect target Port: 8080

    Vou fazer a regra e posto a conclusão.
    Obrigado até o momento

    Muito obrigado, Luiz Fernando,

    a regra funcionou perfeitamente.

    Já aproveitando o gancho, consigo acessar externamente o Pfsense desta mesma forma? qual a porta para acesso ao firewall?



  • @Robsonsb:

    Já aproveitando o gancho, consigo acessar externamente o Pfsense desta mesma forma? qual a porta para acesso ao firewall?

    Depende? Qual a porta que você deixou para a administração da GUI do pfSense? HTTPS, HTTP? Normalmente seria a 443 (HTTPS), se você não mudou isso.



  • @johnnybe:

    Depende? Qual a porta que você deixou para a administração da GUI do pfSense? HTTPS, HTTP? Normalmente seria a 443 (HTTPS), se você não mudou isso.

    Não alterei nada nesse sentido, então a regra será HTTPS na porta 443 direcionando para o IP do PFsense?



  • @Robsonsb:

    @johnnybe:

    Depende? Qual a porta que você deixou para a administração da GUI do pfSense? HTTPS, HTTP? Normalmente seria a 443 (HTTPS), se você não mudou isso.

    Não alterei nada nesse sentido, então a regra será HTTPS na porta 443 direcionando para o IP do PFsense?

    Eu mudaria essa porta padrão para alguma outra livre, porém sempre em https. Não precisa fazer port forward nesse caso porque se trata de uma interface diretamente conectada. Basta criar uma regra na WAN para a porta de administração da GUI. Mas lembre-se de restringir esse tipo de acesso o quanto mais puder.
    Você precisa também considerar que, para acessos remotos à interface GUI, é mais que recomendável ter uma VPN entre as pontas.



  • Eu mudaria essa porta padrão para alguma outra livre, porém sempre em https. Não precisa fazer port forward nesse caso porque se trata de uma interface diretamente conectada. Basta criar uma regra na WAN para a porta de administração da GUI. Mas lembre-se de restringir esse tipo de acesso o quanto mais puder.
    Você precisa também considerar que, para acessos remotos à interface GUI, é mais que recomendável ter uma VPN entre as pontas.

    Pensando por esse lado vou deixar sem esse acesso, deixarei apenas com acesso interno.
    Obrigado Johnnybe pelas explicações.

    abraço



  • hhmmmmm…

    O que pegou? A VPN? A porta de acesso?

    Se você seguir alguns procedimentos básicos a coisa não é tão temerosa assim, mesmo sem VPN:

    1- Sempre HTTPS! Mas em porta diferente da 443. Um exemplo: Tenho clientes rodando em portas altas, acima de 10000. O importante aqui é que seja HTTPS, porta alta e utilize uma que não seja alocada à nenhum dos aplicativos conhecidos. Principalmente aplicativos malvados. :D
    2- Mudar o nome (username) desabilitando o usuário admin.
    3- Senhas seguras, com pelo menos 12 caracteres incluindo caracteres especiais e numeros.
    4- Mudar também a maneira de acesso ao console (SSH), alterando a porta e solicitando senha.

    Acredito que você tenha conhecimento sobre senhas seguras, então suponho que não preciso entrar em maiores detalhes.
    É evidente a camada de proteção a mais que uma VPN oferece, porém nada desmerece um teste com as dicas acima citadas.
    Ou até mesmo que você opere dessa forma, mesmo sem VPN. Basta saber usar as regras (rules) restringindo acesso e, com isso, estar suficientemente seguro.



  • @johnnybe:

    hhmmmmm…

    O que pegou? A VPN? A porta de acesso?

    Se você seguir alguns procedimentos básicos a coisa não é tão temerosa assim, mesmo sem VPN:

    1- Sempre HTTPS! Mas em porta diferente da 443. Um exemplo: Tenho clientes rodando em portas altas, acima de 10000. O importante aqui é que seja HTTPS, porta alta e utilize uma que não seja alocada à nenhum dos aplicativos conhecidos. Principalmente aplicativos malvados. :D
    2- Mudar o nome (username) desabilitando o usuário admin.
    3- Senhas seguras, com pelo menos 12 caracteres incluindo caracteres especiais e numeros.
    4- Mudar também a maneira de acesso ao console (SSH), alterando a porta e solicitando senha.

    Acredito que você tenha conhecimento sobre senhas seguras, então suponho que não preciso entrar em maiores detalhes.
    É evidente a camada de proteção a mais que uma VPN oferece, porém nada desmerece um teste com as dicas acima citadas.
    Ou até mesmo que você opere dessa forma, mesmo sem VPN. Basta saber usar as regras (rules) restringindo acesso e, com isso, estar suficientemente seguro.

    Na verdade tenho conhecimento no que você falou, o que eu não sei é aplicar essas configs no pfsense, pois, realmente sou "novado" em firewall e Linux :-, se puder por alguns prints de exemplo agradeço imensamente, (risos), algumas regras já consegui fazer com ajuda dos prints de vcs aqui do fórum e necessito pois, já pus o pfsense em produção…

    Obrigado desde já...


Locked