Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Precendencia de filtro sobre ruteo?

    Scheduled Pinned Locked Moved Español
    4 Posts 2 Posters 3.3k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • B
      b4nsh33
      last edited by

      Saludos a todos, tengo una duda de como esta funcionado mi firewall, todo funciona de las mil maravillas, excelente producto, la cuestion de la duda es la siguiente:

      tengo configuradas varias rutas estaticas de acceso hacia diferentes redes que forman las sucursales de mi empresa que se accesan a travez de un router de la red local, al mismo tiempo tengo restringido el acceso a internet solamente a las primeras 128 ip de mi red lan, la idea es que todos puedan accesar las redes de las sucursales pero solamente las primeras 128 ip de la red lcoal tengan internet, el "problema" es que tengo que permitir explicitamente el acceso de las ultimas 128 ips de la red lan hacia las sucursales en las reglas de filtro, de lo contrario el firewall bloquea el acceso, como que el filtro tuviera precendencia sobre el ruteo, digamos que la cosa esta asi:

      Interfaces
      WAN: aaa.bbb.ccc.ddd
      LAN: 192.168.10.1/24

      Rutas Estaticas:
      192.168.20.0/24 -> 192.168.10.254
      192.168.30.0/24 -> 192.168.10.254

      en reglas de filtro
      Action  Source    Destination
      PASS  192.168.10.128/25 192.168.20.0/24
      PASS  192.168.10.128/25 192.168.30.0/24
      BLOCK  192.168.10.128/25 *
      PASS  192.168.10.0/25 *

      Segun yo las primeras dos reglas de PASS no eran necesarias, ya que el firewall veria que tiene ruta estatica y redireccionaria el paquete antes de pasarlo por el filtro, pero si las quito me aparecen en el log bloquadas por el block all default.
      Sera que he omitido algo bastante obvio?
      Saludos

      1 Reply Last reply Reply Quote 0
      • belleraB
        bellera
        last edited by

        ¡Hola!

        Interesante instalación …

        Sí son necesarias las dos reglas.

        El caso es que tus estaciones ven la LAN de pfSense como su Gateway (192.168.10.1), la cual recibe los paquetes y los reenvía a tu Router de sucursales (192.168.10.254). Para poder hacer este reenvío tienes que tener las dos primeras reglas.

        En muchos cortafuegos se configura una regla LAN to LAN que autoriza todo, para prever estos casos.

        Es normal que te resulte chocante. A mi me pasó también hace algunos años manejando mis primeros Zyxel ZyWALL (unos cortafuegos, por cierto, muy interesantes). Reglas LAN/LAN, WAN/WAN ... Me pregunté ¿qué es esto? ...

        Si tus estaciones son Windows emplea el comando tracert hasta una IP de una sucursal tuya y seguramente verás el rebote de interfase a interfase ... Si tus estaciones son UNIX/Linux el comando es traceroute.

        Saludos,

        Josep Pujadas

        1 Reply Last reply Reply Quote 0
        • B
          b4nsh33
          last edited by

          Ok, gracias por la aclaracion, efectivamente, ya me habia percatado del rebote de interfaces,
          Saludos

          1 Reply Last reply Reply Quote 0
          • B
            b4nsh33
            last edited by

            Hola a todos, revisando las opciones en un 1.2rc3 encontre la opcion para que no sean necesarias las reglas lan - lan:

            System -> Advanced -> Miscellaneous -> Static route filtering

            Bypass firewall rules for traffic on the same interface
            This option only applies if you have defined one or more static routes. If it is enabled, traffic that enters and leaves through the same interface will not be checked by the firewall. This may be desirable in some situations where multiple subnets are connected to the same interface.

            lo activas y volia, ya no son necesarias las reglas de lan - lan
            Saludos

            1 Reply Last reply Reply Quote 0
            • First post
              Last post
            Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.