1 Wan e 2 LANs com bloqueio entre elas (AINDA NÃO RESOLVI-01-07-14)



  • Olá pessoal,
    Novamente (já abri e fechei um post com este assunto), venho pedir ajuda para resolver a questão abaixo, pois desta vez não consegui AINDA efetuar o bloqueio entre as duas LAN´s.

    O esquema ficou o seguinte:

    LAN_ADM <–----> PFSENSE <-------> LAN_CLIENTE
                                          |
                                          |
                                      WAN

    Preciso inserir uma regra do lado da LAN_CLIENTE:

    • Para que a rede LAN_CLIENTE "não acesse" nenhum recurso/protocolo/IP da rede LAN_ADM

    Qual a melhor e mais fácil forma de implementar estas regras?

    Já coloquei as duas LANs para navegarem, pois, usarão uma mesma entrada de internet.

    Já tentei várias regras na rede LAN_CLIENTE mas não consigo bloquear.

    *** O interessante é que esta LAN_CLIENTE pinga e acessa os recursos da LAN principal que é a LAN_ADM, mas o inverso não acontece. Quero desativar qualquer comunicação entre as duas, porém deixando ambas navegando.

    Não sei se é porque a LAN1 (LAN_ADM), quando instalada e configurada inicialmente habilita Firewall/NAT.

    Aguardo sugestões e agradeço desde já.



  • @clon¥:

    Olá pessoal,
    Novamente (já abri e fechei um post com este assunto), venho pedir ajuda para resolver a questão abaixo, pois desta vez não consegui AINDA efetuar o bloqueio entre as duas LAN´s.

    O esquema ficou o seguinte:

    LAN_ADM <–----> PFSENSE <-------> LAN_CLIENTE
                                          |
                                          |
                                      WAN

    Preciso inserir uma regra do lado da LAN_CLIENTE:

    • Para que a rede LAN_CLIENTE "não acesse" nenhum recurso/protocolo/IP da rede LAN_ADM

    Qual a melhor e mais fácil forma de implementar estas regras?

    Já coloquei as duas LANs para navegarem, pois, usarão uma mesma entrada de internet.

    Já tentei várias regras na rede LAN_CLIENTE mas não consigo bloquear.

    *** O interessante é que esta LAN_CLIENTE pinga e acessa os recursos da LAN principal que é a LAN_ADM, mas o inverso não acontece. Quero desativar qualquer comunicação entre as duas, porém deixando ambas navegando.

    Não sei se é porque a LAN1 (LAN_ADM), quando instalada e configurada inicialmente habilita Firewall/NAT.

    Aguardo sugestões e agradeço desde já.

    poem em outra faixa de IP e tira a rota  ::)



  • Mas elas estão com IPs distintos.

    Wan –> via DHCP
    LAN1 (principal) --> 192.168.0.1
    e
    LAN2 (cliente) --> 10.1.1.1

    Pois é, tô chegando a conclusão sobre a tal rota, mas ainda não identifiquei onde eu altero as rotas  :-\

    Porque SIMPLESMENTE a regra que fiz dentro da LAN2 de BLOQUEIO LAN2 para LAN1 (todos os protocolos e serviços) não funciona? Isso que está me matando.

    IPv4 * LAN_VISITANTES net * LAN_1 net * * nenhum



  • inverte sua regra…

    coloca acept all  pra tudo e coloca !LAN ( o ! nega acesso, é o not da regra )
    ficaria assim:

    IPv4 *    LAN_VISITANTES net    *  **!**LAN_1 net    *    *    nenhum

    so lembre de colocar na ordem certa, o PFsense "lê" as regras de cima para baixo, se voce colocar uma liberacao antes do bloqueio, o bloqueio nao funciona..



  • @clon¥:

    PERMITE: IPv4 * LAN_VISITANTES net * ! LAN net * * nenhum

    NEGA: IPv4 TCP * * 10.1.1.1 443 (HTTPS) * nenhum

    PERMITE: IPv4 * LAN_VISITANTES net * * * * nenhum

    Altera a ordem:

    NEGA: IPv4 TCP * * 10.1.1.1 443 (HTTPS) * nenhum

    PERMITE: IPv4 * LAN_VISITANTES net * ! LAN net * * nenhum

    Essa regra esta inutil sendo que vc ja tem ela acima negando a outra LAN:

    PERMITE: IPv4 * LAN_VISITANTES net * * * * nenhum

    lembre-se que as regras funcianam de cima para baixo, após aplicar limpe tambem a tabela States



  • Desisti de entender.

    Por enquanto inverti o IP das LANs, bloqueei acesso à interface do Pfsense e refiz algumas regras.

    RESUMINDO:
    O que era rede CLIENTE virou a rede principal e vice-versa.

    Tá funcionando o que eu quero.
    A principal acessa a CLIENTE mas do contrário não.

    ===============
    Nos testes iniciais, a tal inversão havia funcionado, mas para a minha surpresa as redes estão se enxergando.
    O firewall deve ter criado rotas entres as duas LAN´s, só pode.

    Como resolver este bloqueio.
    Alguém pode me ajudar com maior precisão?

    Agradeço imensamente.



  • Nos testes iniciais, a tal inversão havia funcionado, mas para a minha surpresa as redes estão se enxergando.
    O firewall deve ter criado rotas entres as duas LAN´s, só pode.

    Como resolver este bloqueio.
    Alguém pode me ajudar com maior precisão?

    Agradeço imensamente.



  • Cara, já pensou em trabalhar com IP'S virtuais?

    Vc pode criar um IP virtual no pfsense pra cada Rede e bloquear o resto.

    Vai em FIrewall > Virtual Ip's.

    Instancia as duas redes, através dos IP's virtuais.

    Abs.



  • Confesso que nunca trabalhei com esta opção.

    Me informarei melhor,pois não sei nem por onde começar.

    Acredita que seja possível deixar uma rede(a principal) normal e criar uma virtual para a rede CLIENTE?



  • Boa noite clon¥,

    Se entendi o seu cenário você gostaria que o lado cliente só tivesse acesso a internet como se fosse uma DMZ (do lado da rede clientes) você enxergando toda rede cliente porem a rede cliente somente enxergar a internet, se for isso, pelo que me lembro é só você retirar todas as regras da rede cliente por default a rede cliente não tem acesso a rede ADM, espero ter ajudado

    Att



  • @ddorts:

    Boa noite clon¥,

    Se entendi o seu cenário você gostaria que o lado cliente só tivesse acesso a internet como se fosse uma DMZ (do lado da rede clientes) você enxergando toda rede cliente porem a rede cliente somente enxergar a internet, se for isso, pelo que me lembro é só você retirar todas as regras da rede cliente por default a rede cliente não tem acesso a rede ADM, espero ter ajudado

    Att

    É exatamente isso meu caro.
    Bom, testarei a sua solução, mas por segurança terei que estar fisicamente no cliente para efetuar os devidos testes, por isso ainda deixarei este post em aberto, caso surjam outras idéias.

    Lembro-me que ao instalar e configurar a 2ª LAN, ela de fato bem sem nenhuma regra por padrão, mas não lembro se navegava ou não. Como veio sem regra, lembro-me que fiz uma regra para liberar a internet, talvez este realmente seja o problema.

    Postarei na semana que vem, o resultado desta sua dica. Agradeço desde já.



  • Olá!

    Algumas coisas a considerar:

    • Verifique se suas regras NAT Outbound estão para serem criadas automaticamente.
    • O PFSense bloqueia qualquer trafego que não esteja explicitamente liberado.

    Nas interface CLIENTE crie uma regra com protocolo Any, com Origem CLIENTE_Subnet e destino ADM_Subnet, coloque como Reject.
    Na Interface ADM crie uma regra com protocolo Any, Com origem ADM_Subnet e destino ADM_Subnet, coloque como Reject.

    Pronto, as redes não se acessam.

    Essa regra deve ser a primeira regra da lista.



  • Boa noite,

    Voce so precisa remover a rota para a LAN  Cliente e para a LAN admin.
    Isso vai resolver Seu problema.

    Ate logo!


Log in to reply