PFSense y DMZ Lan con WebServer y MailServer
-
???Hola a todos/as,
vengo de utilizar IPCop y estoy probando a utilizar PFSense tratando de aprovechar la posibilidad de usar los paquetes de IPS e IDS.
El equipo en el que he venido usando el IPCop es un PIII a 800 MHz con 3 tarjetas, una para la LAN, DMZ y Conexion a Router respectivamente.
A la hora de realizar la configuración inicial he decidido bloquear todo el tráfico y el NAT y permitir solo lo que me interesa.
Tratando de configurar el acceso a la DMZ tanto desde el exterior como desde la LAN local me he encontrado con que era capaz de permitir el trafico desde la WAN hasta la DMZ pero a pesar de haber incluido todas las reglas de firewall y de NAT tanto entrante como saliente el firewall bloqueaba los paquetes de respuesta desde la DMZ a las peticiones originadas desde Internet.
Según los registros del Firewall, estos paquetes aparecían bloqueados por la regla por defecto.
Después de 1 hora de haberlo dejado por imposible, sin realizar ninguna modificación, comenzó a funcionar. Y la verdad, es algo que me preocupa no saber el motivo de que empezara a funcionar solo.
A alguien se le ocurre cual puede ser el motivo? Recarga de reglas del Firewall?? no lo se.
Y ya que estoy aprovecho, es posible utilizar direcciones MAC en vez de direcciones IP para las reglas del Firewall??.
Gracias por todo y un saludo.
-
¡Hola!
el firewall bloqueaba los paquetes de respuesta desde la DMZ a las peticiones originadas desde Internet.
Según los registros del Firewall, estos paquetes aparecían bloqueados por la regla por defecto.
¿Qué tipo de paquetes? Es frecuente en conexiones http ver "falsos" bloqueos, debido a que los usuarios "abandonan" repentinamente la conexión y entonces esto produce un "falso" bloqueo. Hemos hablado en más de una ocasión de este tema; tiene que ver en como BSD gestiona los paquetes.
¿Qué versión de pfSense estás empleando?
Y ya que estoy aprovecho, es posible utilizar direcciones MAC en vez de direcciones IP para las reglas del Firewall??.
Que yo sepa no. También hemos hablado varias veces de esto. Puedes emplear DHCP estático (fijando la IP para una determinada MAC) y después aplicar reglas en función de las IPs asignadas.
¡Bienvenido al foro de pfSense!
Saludos,
Josep Pujadas
-
Buenas a todos,
antes de nada, gracias bellera por tu pronta respuesta y por tu bien venida al foro :D. Se agradece.
Con respecto a los paquetes bloqueados por el firewall eran paquetes TCP con origen en el puerto 25 de mi MailServer y con destino una IP externa a un puerto de usuario.
Comencé instalado la 1.1 creo y al ver que no me funcionaban las respuestas de mi MailServer (las del WebServer funcionaban sin problemas que era algo que me mosqueaba aun más) actualicé a la 1.2.
Y de nuevo aprovecho para preguntar algo, existe algún tutorial de como añadir los paquetes de IDS para cortar messenger a nivel de paquete?
Gracias por todo.
-
Yo tengo funcionando un servidor de mails linux detras de un router firewall pfsense y la verdad no he tenido ningun tipo de problemas tanto para enviar e-mails como para recibirlos.
Por otro lado para bloquear el MSN yo lo he bloqueado desde el proxy squid desde otro servidor linux aplicando reglas de filtrado, pero lo que si pude ver buscando en google fue que para bloquear el MSN hay que impedir el acceso a determinadas ip o dominios a los que se conecta el MSN.
Si tuviese que aconsejarte te diria que instales un servidor proxy y bloquees todo el trafico saliente de la LAN excepto el que pasa por el proxy, de esta forma vas a poder acelerar la navegacion en general y tener un mayor control y estadisticas del trafico de las pc.
Pero otra opcion seria bloquear el acceso a las ip que se resuelven de los nombres de dominios a los que se intenta conectar el MSN, desgraciadamente no me las acuerdo ahora pero estan en muchas paginas solo hay que buscarlo en el google.
Con respecto a esta opcion creo que el pfsense no puede bloquear el acceso a un nombre de dominio pero si a una IP.Espero que te sirva de algo mi experiencia personal, saludos y contanos como te fue!
-
¡Hola de nuevo!
Con respecto a los paquetes bloqueados por el firewall eran paquetes TCP con origen en el puerto 25 de mi MailServer y con destino una IP externa a un puerto de usuario.
Una transmisión así no parece tener sentido. ¿No era al revés? Los usuarios de Internet (origen) se conectan desde cualquier puerto a tu servidor de correo (destino) que escucha en el puerto 25. Y tu servidor de correo (origen) debe emplear un puerto cualquiera para enviar el correo a otros SMTP (destino) que escuchan en el puerto 25.
Se me ocurre que igual formaban parte de respuestas de tu servidor, cortadas por algún motivo. Igual simplemente se trataba de un fallo temporal de la conectividad a Internet. A veces pasa que te vuelves loco porque una cosa no funciona y resulta que el problema está fuera …
Y de nuevo aprovecho para preguntar algo, existe algún tutorial de como añadir los paquetes de IDS para cortar messenger a nivel de paquete?
Tienes tres soluciones:
*** Bloquear el rango de IPs de Microsoft. Algo drástico …
*** Instalar squid y establecer reglas de bloqueo, como ya te han dicho.
*** Parece que hay un proxy específico para esto, http://www.imspector.org/#2 y que está disponible como paquete de pfSense. Algunos usuarios andan con ello, pero me parece que había algún problemilla. Busca en el foro por imspector ...Saludos,
Josep Pujadas