Navigation

    Netgate Discussion Forum
    • Register
    • Login
    • Search
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search

    1 Wan e 2 LANs com bloqueio entre elas (AINDA NÃO RESOLVI-01-07-14)

    Portuguese
    7
    13
    1608
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • clony
      clony last edited by

      Olá pessoal,
      Novamente (já abri e fechei um post com este assunto), venho pedir ajuda para resolver a questão abaixo, pois desta vez não consegui AINDA efetuar o bloqueio entre as duas LAN´s.

      O esquema ficou o seguinte:

      LAN_ADM <–----> PFSENSE <-------> LAN_CLIENTE
                                            |
                                            |
                                        WAN

      Preciso inserir uma regra do lado da LAN_CLIENTE:

      • Para que a rede LAN_CLIENTE "não acesse" nenhum recurso/protocolo/IP da rede LAN_ADM

      Qual a melhor e mais fácil forma de implementar estas regras?

      Já coloquei as duas LANs para navegarem, pois, usarão uma mesma entrada de internet.

      Já tentei várias regras na rede LAN_CLIENTE mas não consigo bloquear.

      *** O interessante é que esta LAN_CLIENTE pinga e acessa os recursos da LAN principal que é a LAN_ADM, mas o inverso não acontece. Quero desativar qualquer comunicação entre as duas, porém deixando ambas navegando.

      Não sei se é porque a LAN1 (LAN_ADM), quando instalada e configurada inicialmente habilita Firewall/NAT.

      Aguardo sugestões e agradeço desde já.

      1 Reply Last reply Reply Quote 0
      • J
        juninhoandrade last edited by

        @clon¥:

        Olá pessoal,
        Novamente (já abri e fechei um post com este assunto), venho pedir ajuda para resolver a questão abaixo, pois desta vez não consegui AINDA efetuar o bloqueio entre as duas LAN´s.

        O esquema ficou o seguinte:

        LAN_ADM <–----> PFSENSE <-------> LAN_CLIENTE
                                              |
                                              |
                                          WAN

        Preciso inserir uma regra do lado da LAN_CLIENTE:

        • Para que a rede LAN_CLIENTE "não acesse" nenhum recurso/protocolo/IP da rede LAN_ADM

        Qual a melhor e mais fácil forma de implementar estas regras?

        Já coloquei as duas LANs para navegarem, pois, usarão uma mesma entrada de internet.

        Já tentei várias regras na rede LAN_CLIENTE mas não consigo bloquear.

        *** O interessante é que esta LAN_CLIENTE pinga e acessa os recursos da LAN principal que é a LAN_ADM, mas o inverso não acontece. Quero desativar qualquer comunicação entre as duas, porém deixando ambas navegando.

        Não sei se é porque a LAN1 (LAN_ADM), quando instalada e configurada inicialmente habilita Firewall/NAT.

        Aguardo sugestões e agradeço desde já.

        poem em outra faixa de IP e tira a rota  ::)

        1 Reply Last reply Reply Quote 0
        • clony
          clony last edited by

          Mas elas estão com IPs distintos.

          Wan –> via DHCP
          LAN1 (principal) --> 192.168.0.1
          e
          LAN2 (cliente) --> 10.1.1.1

          Pois é, tô chegando a conclusão sobre a tal rota, mas ainda não identifiquei onde eu altero as rotas  :-\

          Porque SIMPLESMENTE a regra que fiz dentro da LAN2 de BLOQUEIO LAN2 para LAN1 (todos os protocolos e serviços) não funciona? Isso que está me matando.

          IPv4 * LAN_VISITANTES net * LAN_1 net * * nenhum

          1 Reply Last reply Reply Quote 0
          • L
            lucaspolli last edited by

            inverte sua regra…

            coloca acept all  pra tudo e coloca !LAN ( o ! nega acesso, é o not da regra )
            ficaria assim:

            IPv4 *    LAN_VISITANTES net    *  **!**LAN_1 net    *    *    nenhum

            so lembre de colocar na ordem certa, o PFsense "lê" as regras de cima para baixo, se voce colocar uma liberacao antes do bloqueio, o bloqueio nao funciona..

            1 Reply Last reply Reply Quote 0
            • L
              lucaspolli last edited by

              @clon¥:

              PERMITE: IPv4 * LAN_VISITANTES net * ! LAN net * * nenhum

              NEGA: IPv4 TCP * * 10.1.1.1 443 (HTTPS) * nenhum

              PERMITE: IPv4 * LAN_VISITANTES net * * * * nenhum

              Altera a ordem:

              NEGA: IPv4 TCP * * 10.1.1.1 443 (HTTPS) * nenhum

              PERMITE: IPv4 * LAN_VISITANTES net * ! LAN net * * nenhum

              Essa regra esta inutil sendo que vc ja tem ela acima negando a outra LAN:

              PERMITE: IPv4 * LAN_VISITANTES net * * * * nenhum

              lembre-se que as regras funcianam de cima para baixo, após aplicar limpe tambem a tabela States

              1 Reply Last reply Reply Quote 0
              • clony
                clony last edited by

                Desisti de entender.

                Por enquanto inverti o IP das LANs, bloqueei acesso à interface do Pfsense e refiz algumas regras.

                RESUMINDO:
                O que era rede CLIENTE virou a rede principal e vice-versa.

                Tá funcionando o que eu quero.
                A principal acessa a CLIENTE mas do contrário não.

                ===============
                Nos testes iniciais, a tal inversão havia funcionado, mas para a minha surpresa as redes estão se enxergando.
                O firewall deve ter criado rotas entres as duas LAN´s, só pode.

                Como resolver este bloqueio.
                Alguém pode me ajudar com maior precisão?

                Agradeço imensamente.

                1 Reply Last reply Reply Quote 0
                • clony
                  clony last edited by

                  Nos testes iniciais, a tal inversão havia funcionado, mas para a minha surpresa as redes estão se enxergando.
                  O firewall deve ter criado rotas entres as duas LAN´s, só pode.

                  Como resolver este bloqueio.
                  Alguém pode me ajudar com maior precisão?

                  Agradeço imensamente.

                  1 Reply Last reply Reply Quote 0
                  • C
                    Conekta last edited by

                    Cara, já pensou em trabalhar com IP'S virtuais?

                    Vc pode criar um IP virtual no pfsense pra cada Rede e bloquear o resto.

                    Vai em FIrewall > Virtual Ip's.

                    Instancia as duas redes, através dos IP's virtuais.

                    Abs.

                    1 Reply Last reply Reply Quote 0
                    • clony
                      clony last edited by

                      Confesso que nunca trabalhei com esta opção.

                      Me informarei melhor,pois não sei nem por onde começar.

                      Acredita que seja possível deixar uma rede(a principal) normal e criar uma virtual para a rede CLIENTE?

                      1 Reply Last reply Reply Quote 0
                      • D
                        ddorts last edited by

                        Boa noite clon¥,

                        Se entendi o seu cenário você gostaria que o lado cliente só tivesse acesso a internet como se fosse uma DMZ (do lado da rede clientes) você enxergando toda rede cliente porem a rede cliente somente enxergar a internet, se for isso, pelo que me lembro é só você retirar todas as regras da rede cliente por default a rede cliente não tem acesso a rede ADM, espero ter ajudado

                        Att

                        1 Reply Last reply Reply Quote 0
                        • clony
                          clony last edited by

                          @ddorts:

                          Boa noite clon¥,

                          Se entendi o seu cenário você gostaria que o lado cliente só tivesse acesso a internet como se fosse uma DMZ (do lado da rede clientes) você enxergando toda rede cliente porem a rede cliente somente enxergar a internet, se for isso, pelo que me lembro é só você retirar todas as regras da rede cliente por default a rede cliente não tem acesso a rede ADM, espero ter ajudado

                          Att

                          É exatamente isso meu caro.
                          Bom, testarei a sua solução, mas por segurança terei que estar fisicamente no cliente para efetuar os devidos testes, por isso ainda deixarei este post em aberto, caso surjam outras idéias.

                          Lembro-me que ao instalar e configurar a 2ª LAN, ela de fato bem sem nenhuma regra por padrão, mas não lembro se navegava ou não. Como veio sem regra, lembro-me que fiz uma regra para liberar a internet, talvez este realmente seja o problema.

                          Postarei na semana que vem, o resultado desta sua dica. Agradeço desde já.

                          1 Reply Last reply Reply Quote 0
                          • L
                            LFCavalcanti last edited by

                            Olá!

                            Algumas coisas a considerar:

                            • Verifique se suas regras NAT Outbound estão para serem criadas automaticamente.
                            • O PFSense bloqueia qualquer trafego que não esteja explicitamente liberado.

                            Nas interface CLIENTE crie uma regra com protocolo Any, com Origem CLIENTE_Subnet e destino ADM_Subnet, coloque como Reject.
                            Na Interface ADM crie uma regra com protocolo Any, Com origem ADM_Subnet e destino ADM_Subnet, coloque como Reject.

                            Pronto, as redes não se acessam.

                            Essa regra deve ser a primeira regra da lista.

                            –

                            Luiz Fernando Cavalcanti
                            IT Manager
                            Arriviera Technology Group

                            1 Reply Last reply Reply Quote 0
                            • K
                              k1k0borba last edited by

                              Boa noite,

                              Voce so precisa remover a rota para a LAN  Cliente e para a LAN admin.
                              Isso vai resolver Seu problema.

                              Ate logo!

                              1 Reply Last reply Reply Quote 0
                              • First post
                                Last post