Precendencia de filtro sobre ruteo?



  • Saludos a todos, tengo una duda de como esta funcionado mi firewall, todo funciona de las mil maravillas, excelente producto, la cuestion de la duda es la siguiente:

    tengo configuradas varias rutas estaticas de acceso hacia diferentes redes que forman las sucursales de mi empresa que se accesan a travez de un router de la red local, al mismo tiempo tengo restringido el acceso a internet solamente a las primeras 128 ip de mi red lan, la idea es que todos puedan accesar las redes de las sucursales pero solamente las primeras 128 ip de la red lcoal tengan internet, el "problema" es que tengo que permitir explicitamente el acceso de las ultimas 128 ips de la red lan hacia las sucursales en las reglas de filtro, de lo contrario el firewall bloquea el acceso, como que el filtro tuviera precendencia sobre el ruteo, digamos que la cosa esta asi:

    Interfaces
    WAN: aaa.bbb.ccc.ddd
    LAN: 192.168.10.1/24

    Rutas Estaticas:
    192.168.20.0/24 -> 192.168.10.254
    192.168.30.0/24 -> 192.168.10.254

    en reglas de filtro
    Action  Source    Destination
    PASS  192.168.10.128/25 192.168.20.0/24
    PASS  192.168.10.128/25 192.168.30.0/24
    BLOCK  192.168.10.128/25 *
    PASS  192.168.10.0/25 *

    Segun yo las primeras dos reglas de PASS no eran necesarias, ya que el firewall veria que tiene ruta estatica y redireccionaria el paquete antes de pasarlo por el filtro, pero si las quito me aparecen en el log bloquadas por el block all default.
    Sera que he omitido algo bastante obvio?
    Saludos



  • ¡Hola!

    Interesante instalación …

    Sí son necesarias las dos reglas.

    El caso es que tus estaciones ven la LAN de pfSense como su Gateway (192.168.10.1), la cual recibe los paquetes y los reenvía a tu Router de sucursales (192.168.10.254). Para poder hacer este reenvío tienes que tener las dos primeras reglas.

    En muchos cortafuegos se configura una regla LAN to LAN que autoriza todo, para prever estos casos.

    Es normal que te resulte chocante. A mi me pasó también hace algunos años manejando mis primeros Zyxel ZyWALL (unos cortafuegos, por cierto, muy interesantes). Reglas LAN/LAN, WAN/WAN ... Me pregunté ¿qué es esto? ...

    Si tus estaciones son Windows emplea el comando tracert hasta una IP de una sucursal tuya y seguramente verás el rebote de interfase a interfase ... Si tus estaciones son UNIX/Linux el comando es traceroute.

    Saludos,

    Josep Pujadas



  • Ok, gracias por la aclaracion, efectivamente, ya me habia percatado del rebote de interfaces,
    Saludos



  • Hola a todos, revisando las opciones en un 1.2rc3 encontre la opcion para que no sean necesarias las reglas lan - lan:

    System -> Advanced -> Miscellaneous -> Static route filtering

    Bypass firewall rules for traffic on the same interface
    This option only applies if you have defined one or more static routes. If it is enabled, traffic that enters and leaves through the same interface will not be checked by the firewall. This may be desirable in some situations where multiple subnets are connected to the same interface.

    lo activas y volia, ya no son necesarias las reglas de lan - lan
    Saludos


Log in to reply