Restringir portas da lan com proxy



  • Fala srs. tudo bem ?

    Levando em consideracao as boas praticas de  bloqueio de porta interno das quais somente as utilizadas devem ser liberadas, gostaria de tirar uma duvida com os srs a respeito de estar com  proxy.

    Caso esteja com um proxy como posso bloquear as porta ou deixar somente as que realmente precisam? Vamos supor que quero deixar somente a 80, 8080, 443 e 21. Quando o user internamente faz uma requisicao ele chama no 3128 ja que o proxy é transparente, Entao, devo habilitar somente a 3128 e as demais que nao pedem porta 80 ?

    Tentei fazer isso mas acabei matando a net dos usuarios, a porta source deles são altas, como posso proceder?

    valeu, abcs!



  • @pedrolima88:

    Fala srs. tudo bem ?

    Levando em consideracao as boas praticas de  bloqueio de porta interno das quais somente as utilizadas devem ser liberadas, gostaria de tirar uma duvida com os srs a respeito de estar com  proxy.

    Caso esteja com um proxy como posso bloquear as porta ou deixar somente as que realmente precisam? Vamos supor que quero deixar somente a 80, 8080, 443 e 21. Quando o user internamente faz uma requisicao ele chama no 3128 ja que o proxy é transparente, Entao, devo habilitar somente a 3128 e as demais que nao pedem porta 80 ?

    Tentei fazer isso mas acabei matando a net dos usuarios, a porta source deles são altas, como posso proceder?

    valeu, abcs!

    Olá,

    Como seu Proxy é transparente, os navegadores dos clientes sempre buscarão a porta 80/443 etc. O Squid redireciona essas conexões internamente, de forma transparente para o usuário. Então se vocÊ bloqueia a porta 80, os usuários tem sua navegação bloqueada.



  • nas versões 3.0 e 2.x do pacote, só a porta 80 é redirecionada para o squid.

    Na 3.3.x-dev você pode interceptar a porta 80 e 443.

    8080 e 21 não são redirecionadas. Para filtrar estas portas, crie regras com aliases ou marque o proxy nas estações.



  • Valeu Srs.

    Mas a duvida em si é a seguinte, vamos supor que eu queira liberar só web e porta 21.

    Devo liberar entao a porta 3128 80 e 21 ? Pq qnd ela chega no sv ela chega com uma porta alta aleatoria. Seria isso ?



  • @pedrolima88:

    Devo liberar entao a porta 3128 80 e 21 ? Pq qnd ela chega no sv ela chega com uma porta alta aleatoria. Seria isso ?

    Não confunda porta cliente(sempre aleatória e maior que 1024) com porta servidor.

    Crie suas regras liberando portas servidor.



  • oops tem razao. Mas nesse caso, bloqueio a 80 ja que tudo vai para 3128 ou deixo 80 e o encaminhamento ocorre internamente?



  • Deixa aberta para o firewall conseguir fazer o forward.



  • só uma ultima pergunta, eu devo fazer essa restricao na lan ou na saida da wan?

    Fiz isso na lan, mas a internet cai para alguns usuarios e outros nao.

    Dai fico na duvida, devo fazer isso na saida da wan ja que internamente as portas alttas podem ser requisitadas pelo fw? Eu liberei uma grande quantidade, mas mesmo assim uma hora bloqueia…  segue lista de liberadas.

    icon
    icon IPv4 TCP/UDP LAN net * * 80 (HTTP) * none
    edit
    delete add
    icon
    icon IPv4 TCP/UDP LAN net * * 3128 * none
    edit
    delete add
    icon
    icon IPv4 TCP/UDP LAN net * * 443 (HTTPS) * none
    edit
    delete add
    icon
    icon IPv4 TCP/UDP LAN net * * 587 (SUBMISSION) * none
    edit
    delete add
    icon
    icon IPv4 TCP/UDP LAN net * * 995 (POP3/S) * none
    edit
    delete add
    icon
    icon IPv4 TCP/UDP LAN net * * 993 (IMAP/S) * none



  • @pedrolima88:

    só uma ultima pergunta, eu devo fazer essa restricao na lan ou na saida da wan?

    Como descrito no site, em vários tutoriais e tópicos espalhados pelo fórum,  O pfsense é um firewall STATEFULL e portanta mantém o estado da conexão. Toda e qualquer regra é criada na interface onde o tráfego começa. Se você quer filtrar o acesso de alguém que está na sua LAN, então é na LAN que você cria a regra.

    Use o tcpdump para entender o que está acontecendo com o seu tráfego.



  • Obirgado Marcello, mas mesmo assim, se ele mantem a porta, portanto, a porta alta se mantem, nao eh isso? Essa parte que nao consigo comrpeender. perdoe-me.



  • @pedrolima88:

    Obirgado Marcello, mas mesmo assim, se ele mantem a porta, portanto, a porta alta se mantem, nao eh isso? Essa parte que nao consigo comrpeender. perdoe-me.

    Estude mais sobre o tcp/ip, vai te ajudar bastante.



  • tudo bem Marcello, obrigado pelo conselho.

    Uma coisa é saber na teoria, outra coisa é por na pratica. nunca estudando somente tcp ip saberiamos como configurar diversas coisas nesse maravilhos firewall. Nao sei se vc esta sem paciencia para responder, compreendo que isso pode ocorrer as vezes, se nao tiver como, tudo bem, agradeço ja de ante mao por toda a ajuda que ja me deu. Vou tentar achar a resposta e a solucao para isso, talvez seja a duvida de diversos, só que da forma que e passado no tutorial do site nao é tao simples quanto parece. Nao é somente abrir a porta e pronto…

    Bom, de qualquer forma, muito obrigado pela ajuda.

    Para quem quiser, segue algumas dicas do proprio Marcelloc.

    http://forum.pfsense.org/index.php?topic=40867.0



  • A porta cliente é sempre any ou *

    Parabéns pela pesquisa, evita o trabalho de quase sempre explicar os primeiros passos.