Navigation

    Netgate Discussion Forum
    • Register
    • Login
    • Search
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search

    1 Wan e 2 LANs com bloqueio entre elas (AINDA NÃO RESOLVI-01-07-14)

    Portuguese
    7
    13
    1588
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • clony
      clony last edited by

      Olá pessoal,
      Novamente (já abri e fechei um post com este assunto), venho pedir ajuda para resolver a questão abaixo, pois desta vez não consegui AINDA efetuar o bloqueio entre as duas LAN´s.

      O esquema ficou o seguinte:

      LAN_ADM <–----> PFSENSE <-------> LAN_CLIENTE
                                            |
                                            |
                                        WAN

      Preciso inserir uma regra do lado da LAN_CLIENTE:

      • Para que a rede LAN_CLIENTE "não acesse" nenhum recurso/protocolo/IP da rede LAN_ADM

      Qual a melhor e mais fácil forma de implementar estas regras?

      Já coloquei as duas LANs para navegarem, pois, usarão uma mesma entrada de internet.

      Já tentei várias regras na rede LAN_CLIENTE mas não consigo bloquear.

      *** O interessante é que esta LAN_CLIENTE pinga e acessa os recursos da LAN principal que é a LAN_ADM, mas o inverso não acontece. Quero desativar qualquer comunicação entre as duas, porém deixando ambas navegando.

      Não sei se é porque a LAN1 (LAN_ADM), quando instalada e configurada inicialmente habilita Firewall/NAT.

      Aguardo sugestões e agradeço desde já.

      1 Reply Last reply Reply Quote 0
      • J
        juninhoandrade last edited by

        @clon¥:

        Olá pessoal,
        Novamente (já abri e fechei um post com este assunto), venho pedir ajuda para resolver a questão abaixo, pois desta vez não consegui AINDA efetuar o bloqueio entre as duas LAN´s.

        O esquema ficou o seguinte:

        LAN_ADM <–----> PFSENSE <-------> LAN_CLIENTE
                                              |
                                              |
                                          WAN

        Preciso inserir uma regra do lado da LAN_CLIENTE:

        • Para que a rede LAN_CLIENTE "não acesse" nenhum recurso/protocolo/IP da rede LAN_ADM

        Qual a melhor e mais fácil forma de implementar estas regras?

        Já coloquei as duas LANs para navegarem, pois, usarão uma mesma entrada de internet.

        Já tentei várias regras na rede LAN_CLIENTE mas não consigo bloquear.

        *** O interessante é que esta LAN_CLIENTE pinga e acessa os recursos da LAN principal que é a LAN_ADM, mas o inverso não acontece. Quero desativar qualquer comunicação entre as duas, porém deixando ambas navegando.

        Não sei se é porque a LAN1 (LAN_ADM), quando instalada e configurada inicialmente habilita Firewall/NAT.

        Aguardo sugestões e agradeço desde já.

        poem em outra faixa de IP e tira a rota  ::)

        1 Reply Last reply Reply Quote 0
        • clony
          clony last edited by

          Mas elas estão com IPs distintos.

          Wan –> via DHCP
          LAN1 (principal) --> 192.168.0.1
          e
          LAN2 (cliente) --> 10.1.1.1

          Pois é, tô chegando a conclusão sobre a tal rota, mas ainda não identifiquei onde eu altero as rotas  :-\

          Porque SIMPLESMENTE a regra que fiz dentro da LAN2 de BLOQUEIO LAN2 para LAN1 (todos os protocolos e serviços) não funciona? Isso que está me matando.

          IPv4 * LAN_VISITANTES net * LAN_1 net * * nenhum

          1 Reply Last reply Reply Quote 0
          • L
            lucaspolli last edited by

            inverte sua regra…

            coloca acept all  pra tudo e coloca !LAN ( o ! nega acesso, é o not da regra )
            ficaria assim:

            IPv4 *    LAN_VISITANTES net    *  **!**LAN_1 net    *    *    nenhum

            so lembre de colocar na ordem certa, o PFsense "lê" as regras de cima para baixo, se voce colocar uma liberacao antes do bloqueio, o bloqueio nao funciona..

            1 Reply Last reply Reply Quote 0
            • L
              lucaspolli last edited by

              @clon¥:

              PERMITE: IPv4 * LAN_VISITANTES net * ! LAN net * * nenhum

              NEGA: IPv4 TCP * * 10.1.1.1 443 (HTTPS) * nenhum

              PERMITE: IPv4 * LAN_VISITANTES net * * * * nenhum

              Altera a ordem:

              NEGA: IPv4 TCP * * 10.1.1.1 443 (HTTPS) * nenhum

              PERMITE: IPv4 * LAN_VISITANTES net * ! LAN net * * nenhum

              Essa regra esta inutil sendo que vc ja tem ela acima negando a outra LAN:

              PERMITE: IPv4 * LAN_VISITANTES net * * * * nenhum

              lembre-se que as regras funcianam de cima para baixo, após aplicar limpe tambem a tabela States

              1 Reply Last reply Reply Quote 0
              • clony
                clony last edited by

                Desisti de entender.

                Por enquanto inverti o IP das LANs, bloqueei acesso à interface do Pfsense e refiz algumas regras.

                RESUMINDO:
                O que era rede CLIENTE virou a rede principal e vice-versa.

                Tá funcionando o que eu quero.
                A principal acessa a CLIENTE mas do contrário não.

                ===============
                Nos testes iniciais, a tal inversão havia funcionado, mas para a minha surpresa as redes estão se enxergando.
                O firewall deve ter criado rotas entres as duas LAN´s, só pode.

                Como resolver este bloqueio.
                Alguém pode me ajudar com maior precisão?

                Agradeço imensamente.

                1 Reply Last reply Reply Quote 0
                • clony
                  clony last edited by

                  Nos testes iniciais, a tal inversão havia funcionado, mas para a minha surpresa as redes estão se enxergando.
                  O firewall deve ter criado rotas entres as duas LAN´s, só pode.

                  Como resolver este bloqueio.
                  Alguém pode me ajudar com maior precisão?

                  Agradeço imensamente.

                  1 Reply Last reply Reply Quote 0
                  • C
                    Conekta last edited by

                    Cara, já pensou em trabalhar com IP'S virtuais?

                    Vc pode criar um IP virtual no pfsense pra cada Rede e bloquear o resto.

                    Vai em FIrewall > Virtual Ip's.

                    Instancia as duas redes, através dos IP's virtuais.

                    Abs.

                    1 Reply Last reply Reply Quote 0
                    • clony
                      clony last edited by

                      Confesso que nunca trabalhei com esta opção.

                      Me informarei melhor,pois não sei nem por onde começar.

                      Acredita que seja possível deixar uma rede(a principal) normal e criar uma virtual para a rede CLIENTE?

                      1 Reply Last reply Reply Quote 0
                      • D
                        ddorts last edited by

                        Boa noite clon¥,

                        Se entendi o seu cenário você gostaria que o lado cliente só tivesse acesso a internet como se fosse uma DMZ (do lado da rede clientes) você enxergando toda rede cliente porem a rede cliente somente enxergar a internet, se for isso, pelo que me lembro é só você retirar todas as regras da rede cliente por default a rede cliente não tem acesso a rede ADM, espero ter ajudado

                        Att

                        1 Reply Last reply Reply Quote 0
                        • clony
                          clony last edited by

                          @ddorts:

                          Boa noite clon¥,

                          Se entendi o seu cenário você gostaria que o lado cliente só tivesse acesso a internet como se fosse uma DMZ (do lado da rede clientes) você enxergando toda rede cliente porem a rede cliente somente enxergar a internet, se for isso, pelo que me lembro é só você retirar todas as regras da rede cliente por default a rede cliente não tem acesso a rede ADM, espero ter ajudado

                          Att

                          É exatamente isso meu caro.
                          Bom, testarei a sua solução, mas por segurança terei que estar fisicamente no cliente para efetuar os devidos testes, por isso ainda deixarei este post em aberto, caso surjam outras idéias.

                          Lembro-me que ao instalar e configurar a 2ª LAN, ela de fato bem sem nenhuma regra por padrão, mas não lembro se navegava ou não. Como veio sem regra, lembro-me que fiz uma regra para liberar a internet, talvez este realmente seja o problema.

                          Postarei na semana que vem, o resultado desta sua dica. Agradeço desde já.

                          1 Reply Last reply Reply Quote 0
                          • L
                            LFCavalcanti last edited by

                            Olá!

                            Algumas coisas a considerar:

                            • Verifique se suas regras NAT Outbound estão para serem criadas automaticamente.
                            • O PFSense bloqueia qualquer trafego que não esteja explicitamente liberado.

                            Nas interface CLIENTE crie uma regra com protocolo Any, com Origem CLIENTE_Subnet e destino ADM_Subnet, coloque como Reject.
                            Na Interface ADM crie uma regra com protocolo Any, Com origem ADM_Subnet e destino ADM_Subnet, coloque como Reject.

                            Pronto, as redes não se acessam.

                            Essa regra deve ser a primeira regra da lista.

                            1 Reply Last reply Reply Quote 0
                            • K
                              k1k0borba last edited by

                              Boa noite,

                              Voce so precisa remover a rota para a LAN  Cliente e para a LAN admin.
                              Isso vai resolver Seu problema.

                              Ate logo!

                              1 Reply Last reply Reply Quote 0
                              • First post
                                Last post

                              Products

                              • Platform Overview
                              • TNSR
                              • pfSense
                              • Appliances

                              Services

                              • Training
                              • Professional Services

                              Support

                              • Subscription Plans
                              • Contact Support
                              • Product Lifecycle
                              • Documentation

                              News

                              • Media Coverage
                              • Press
                              • Events

                              Resources

                              • Blog
                              • FAQ
                              • Find a Partner
                              • Resource Library
                              • Security Information

                              Company

                              • About Us
                              • Careers
                              • Partners
                              • Contact Us
                              • Legal
                              Our Mission

                              We provide leading-edge network security at a fair price - regardless of organizational size or network sophistication. We believe that an open-source security model offers disruptive pricing along with the agility required to quickly address emerging threats.

                              Subscribe to our Newsletter

                              Product information, software announcements, and special offers. See our newsletter archive to sign up for future newsletters and to read past announcements.

                              © 2021 Rubicon Communications, LLC | Privacy Policy