Regole sul firewall non funzionanti



  • Salve,
    Ho configurato pfsense come captive portal e naturalmente ho abilitato solo il traffico consentito sull'interfaccia LAN (access point).
    Vorrei però fare in modo che:
    1. Con una determinata schedulazione il firewall blocchi ogni tipo di traffico sull'interfaccia LAN
    2. Impedisca l'accesso alle porte di management di pfsense HTTPS e SSH per quell'interfaccia.
    Allego immagine di configurazione.

    Naturalmente ho messo la spunta in Advanced in Disable webConfigurator anti-lockout rule.

    Spero riusciate ad aiutarmi, visto che non capisco da cosa dipenda questo malfunzionamento.



  • Faccio un UP.
    Ho cortesemente bisogno del vostro aiuto.
    Grazie.



  • Qual'è il malfunzionamento ? Funziona lo stesso ?
    Comunque ti sconsiglio di disabilitare l'https e l'SSH, se vuoi bloccare la navigazione blocca solamente le porte più usate 21,80 ecc ecc

    Se hai un'ulteriore interfaccia usa quella (OPT1) così addirittura puoi fare un cron che te la butta giù eheheh



  • @jakkar:

    Qual'è il malfunzionamento ? Funziona lo stesso ?
    Comunque ti sconsiglio di disabilitare l'https e l'SSH, se vuoi bloccare la navigazione blocca solamente le porte più usate 21,80 ecc ecc

    Se hai un'ulteriore interfaccia usa quella (OPT1) così addirittura puoi fare un cron che te la butta giù eheheh

    Il malfunzionamento è che la configurazione impostata non blocca niente. Tuttora ancora non ho risolto.

    Purtroppo non ho un'altra interfaccia.



  • Comunque io tutte quelle regole non le capisco  ???
    se le cancelli tutte e lasci solo il block all ? funge ? mi raccomando abilita la webgui sulla wan, che se dovesse funzionare la regola ma non lo schedule potrebbe essere un problema riaccederci ehehe



  • Ciao,
    non ho capito bene cosa vuoi fare ma ti posso dire quel che fa quello che hai scritto:

    1. la prima regola effettua il reject dei tentativi di accesso all'admin sempre
    2. la seconda regola blocca in base ad un certo scheduling come giustamente vuoi fare tu
    3. dalla terza regola in avanti permetti l'accesso ai protocolli che hai indicato purchè non appartenenti alal classe 192.168.0.0/16 Di queste regole non ho proprio capito il senso, tu hai dei server smtp, http, pop3 ecc… interni alla tua rete (ammesso che la tua rete sia 192.168.0.0/16)? Perchè hai fatto un eccezione per questa rete? Se hai due macchine nella stessa rete che si devono parlare non passano dal firewall e quindi non dovrebbe servire a nulla.
      Ultimo appunto è sui protocolli usati nelle regole, hai messo sempre sia tcp che udp ma i protocolli che stai gestendo son tutti tcp.

    Ciao



  • @fabio.vigano:

    Ciao,
    non ho capito bene cosa vuoi fare ma ti posso dire quel che fa quello che hai scritto:

    1. la prima regola effettua il reject dei tentativi di accesso all'admin sempre
    2. la seconda regola blocca in base ad un certo scheduling come giustamente vuoi fare tu
    3. dalla terza regola in avanti permetti l'accesso ai protocolli che hai indicato purchè non appartenenti alal classe 192.168.0.0/16 Di queste regole non ho proprio capito il senso, tu hai dei server smtp, http, pop3 ecc… interni alla tua rete (ammesso che la tua rete sia 192.168.0.0/16)? Perchè hai fatto un eccezione per questa rete? Se hai due macchine nella stessa rete che si devono parlare non passano dal firewall e quindi non dovrebbe servire a nulla.
      Ultimo appunto è sui protocolli usati nelle regole, hai messo sempre sia tcp che udp ma i protocolli che stai gestendo son tutti tcp.

    Ciao

    Menomale, pensavo fosse la mia ignoranza a non farmi capire il senso di quelle regole! eheheh comunque io credo che 192.168.0.0/16 sia la lan (nell'ultima regola non c'è il l'inversione), che poi nell'interfaccia LAN solitamente si bloccano solo alcune regole ed in fondo c'è il pass all, sono rari gli scenari in cui nella lan blocchi tutto tranne alcune porte. Su pfsense non si vede nella webgui l'ultima regole che accetta tutto, ma posso garantirti che esiste!

    Comunque devi fare quella prova a cancellarle tutte lasciare solo il block all. Inoltre dovresti dirci le porte che hai messo nell'alias della prima regola e magari farci capire meglio cosa vuoi fare e perché, magari puoi trovare spunti e suggerimenti per farlo in un'altro modo!



  • @jakkar:

    nell'interfaccia LAN solitamente si bloccano solo alcune regole ed in fondo c'è il pass all, sono rari gli scenari in cui nella lan blocchi tutto tranne alcune porte.

    Solitamente viene fatto così, ma a livello di sicurezza secondo me è una falla abbastanza importante.. Meglio aprire (anche verso l'esterno) solo quello che realmente serve



  • @fabio.vigano:

    Ciao,
    non ho capito bene cosa vuoi fare ma ti posso dire quel che fa quello che hai scritto:

    1. la prima regola effettua il reject dei tentativi di accesso all'admin sempre
    2. la seconda regola blocca in base ad un certo scheduling come giustamente vuoi fare tu
    3. dalla terza regola in avanti permetti l'accesso ai protocolli che hai indicato purchè non appartenenti alal classe 192.168.0.0/16 Di queste regole non ho proprio capito il senso, tu hai dei server smtp, http, pop3 ecc… interni alla tua rete (ammesso che la tua rete sia 192.168.0.0/16)? Perchè hai fatto un eccezione per questa rete? Se hai due macchine nella stessa rete che si devono parlare non passano dal firewall e quindi non dovrebbe servire a nulla.
      Ultimo appunto è sui protocolli usati nelle regole, hai messo sempre sia tcp che udp ma i protocolli che stai gestendo son tutti tcp.

    Ciao

    Per prima cosa grazie a tutti dell'aiuto.
    La macchina pfsense funziona da captive portal per un hotspot wifi per gli ospiti che entrano in azienda.
    Praticamente ho configurato una rete 10.x.x.x per gli utenti hotspot mentre la 192.168.x.x è la mia rete interna.
    Con quelle regole permetto solo a quel determinato traffico di passare solo verso l'esterno (internet) ed evito che raggiunga la rete interna (dove sono pubblicati server di posta, intranet etc etc)
    Pfsense deve fare solo da firewall tra l'hotspot e la lan (che nella macchina è connessa come wan (e da cui ho accesso alla webgui)
    Diciamo che questa configurazione ha funzionato per un paio di giorni. Dopodichè ha smesso di funzionare e non capisco il perchè.
    Spero riusciate ad aiutarmi a risolvere.



  • Ciao,
    guarda quest'articolo http://www.pfsenseitaly.com/2012/08/separare-laccesso-wifi-per-utenti-ed.html per le regole vedi sezione 3.4

    Ciao Fabio


Log in to reply