Limitare navigazione internet LAN
-
Ciao ragazzi,
scusate se posto due volte, ma ho provato a chiedere nella sezione "Firewalling" ma nessuno mi ha risposto, allora provo qui :)Ho una pfsense 2.0.3, ed il mio obiettivo è restringere la navigazione internet della rete LAN, su interfaccia LAN, ad alcune porte.
Ho inserito, quindi, questa regola nella tab "LAN":TCP "LAN net" * * ALLOWED_TCP_PORTS * none
dove "ALLOWED_TCP_PORTS" è un alias per le porte 443,80,2095
Ebbene, i siti in 443 e 2095 funzionano, quelli in 80 no!
Ho provato a riscrivere la regola come:TCP "LAN net" * * 80 * none
Ma non funziona.
Se faccio:TCP "LAN net" * * 443 * none
Funziona.
Sniffando il traffico ho notato che i client LAN risolvono il DNS correttamente, mandano il primo pacchetto SYN al server di destinazione sulla porta 80, ma poi non vi è nessuna risposta…Se servono altre info, chiedete.
Grazie -
prova a fare uno sniffing su entrambe le porte, inside (LAN dei pc) e outside (WAN) di pfsense.
-
prova a fare uno sniffing su entrambe le porte, inside (LAN dei pc) e outside (WAN) di pfsense.
Sniffare sulla WAN di pfsense è inutile, poiché il pacchetto non esce mai dalla WAN, viene droppato da pf quando entra nell'interfaccia LAN.
C'è possibilità di loggare i pacchetti droppati?La cosa è davvero strana…non capisco perché poi HTTPS funge ed HTTP no.
-
…certo sulle singole policy puoi mettere la spunta su " Log packets that are handled by this rule".
Ti conviene mettere questa spunta nelle policy che permettono la navigazione ed anche nell'ultima policy "vieta tutto" che avrai in fondo.
Dopodiché controlla sui log di pfsense: Status --> System logs --> Firewall