4. 1 Wan e 2 LANs com bloqueio entre elas (AINDA NÃO RESOLVI-01-07-14)

1 Wan e 2 LANs com bloqueio entre elas (AINDA NÃO RESOLVI-01-07-14)


  • Olá pessoal,
    Novamente (já abri e fechei um post com este assunto), venho pedir ajuda para resolver a questão abaixo, pois desta vez não consegui AINDA efetuar o bloqueio entre as duas LAN´s.

    O esquema ficou o seguinte:

    LAN_ADM <–----> PFSENSE <-------> LAN_CLIENTE
                                          |
                                          |
                                      WAN

    Preciso inserir uma regra do lado da LAN_CLIENTE:

    • Para que a rede LAN_CLIENTE "não acesse" nenhum recurso/protocolo/IP da rede LAN_ADM

    Qual a melhor e mais fácil forma de implementar estas regras?

    Já coloquei as duas LANs para navegarem, pois, usarão uma mesma entrada de internet.

    Já tentei várias regras na rede LAN_CLIENTE mas não consigo bloquear.

    *** O interessante é que esta LAN_CLIENTE pinga e acessa os recursos da LAN principal que é a LAN_ADM, mas o inverso não acontece. Quero desativar qualquer comunicação entre as duas, porém deixando ambas navegando.

    Não sei se é porque a LAN1 (LAN_ADM), quando instalada e configurada inicialmente habilita Firewall/NAT.

    Aguardo sugestões e agradeço desde já.

    0
  • J

    @clon¥:

    Olá pessoal,
    Novamente (já abri e fechei um post com este assunto), venho pedir ajuda para resolver a questão abaixo, pois desta vez não consegui AINDA efetuar o bloqueio entre as duas LAN´s.

    O esquema ficou o seguinte:

    LAN_ADM <–----> PFSENSE <-------> LAN_CLIENTE
                                          |
                                          |
                                      WAN

    Preciso inserir uma regra do lado da LAN_CLIENTE:

    • Para que a rede LAN_CLIENTE "não acesse" nenhum recurso/protocolo/IP da rede LAN_ADM

    Qual a melhor e mais fácil forma de implementar estas regras?

    Já coloquei as duas LANs para navegarem, pois, usarão uma mesma entrada de internet.

    Já tentei várias regras na rede LAN_CLIENTE mas não consigo bloquear.

    *** O interessante é que esta LAN_CLIENTE pinga e acessa os recursos da LAN principal que é a LAN_ADM, mas o inverso não acontece. Quero desativar qualquer comunicação entre as duas, porém deixando ambas navegando.

    Não sei se é porque a LAN1 (LAN_ADM), quando instalada e configurada inicialmente habilita Firewall/NAT.

    Aguardo sugestões e agradeço desde já.

    poem em outra faixa de IP e tira a rota  ::)

    0

  • Mas elas estão com IPs distintos.

    Wan –> via DHCP
    LAN1 (principal) --> 192.168.0.1
    e
    LAN2 (cliente) --> 10.1.1.1

    Pois é, tô chegando a conclusão sobre a tal rota, mas ainda não identifiquei onde eu altero as rotas  :-\

    Porque SIMPLESMENTE a regra que fiz dentro da LAN2 de BLOQUEIO LAN2 para LAN1 (todos os protocolos e serviços) não funciona? Isso que está me matando.

    IPv4 * LAN_VISITANTES net * LAN_1 net * * nenhum

    0
  • L

    inverte sua regra…

    coloca acept all  pra tudo e coloca !LAN ( o ! nega acesso, é o not da regra )
    ficaria assim:

    IPv4 *    LAN_VISITANTES net    *  **!**LAN_1 net    *    *    nenhum

    so lembre de colocar na ordem certa, o PFsense "lê" as regras de cima para baixo, se voce colocar uma liberacao antes do bloqueio, o bloqueio nao funciona..

    0
  • L

    @clon¥:

    PERMITE: IPv4 * LAN_VISITANTES net * ! LAN net * * nenhum

    NEGA: IPv4 TCP * * 10.1.1.1 443 (HTTPS) * nenhum

    PERMITE: IPv4 * LAN_VISITANTES net * * * * nenhum

    Altera a ordem:

    NEGA: IPv4 TCP * * 10.1.1.1 443 (HTTPS) * nenhum

    PERMITE: IPv4 * LAN_VISITANTES net * ! LAN net * * nenhum

    Essa regra esta inutil sendo que vc ja tem ela acima negando a outra LAN:

    PERMITE: IPv4 * LAN_VISITANTES net * * * * nenhum

    lembre-se que as regras funcianam de cima para baixo, após aplicar limpe tambem a tabela States

    0

  • Desisti de entender.

    Por enquanto inverti o IP das LANs, bloqueei acesso à interface do Pfsense e refiz algumas regras.

    RESUMINDO:
    O que era rede CLIENTE virou a rede principal e vice-versa.

    Tá funcionando o que eu quero.
    A principal acessa a CLIENTE mas do contrário não.

    ===============
    Nos testes iniciais, a tal inversão havia funcionado, mas para a minha surpresa as redes estão se enxergando.
    O firewall deve ter criado rotas entres as duas LAN´s, só pode.

    Como resolver este bloqueio.
    Alguém pode me ajudar com maior precisão?

    Agradeço imensamente.

    0

  • Nos testes iniciais, a tal inversão havia funcionado, mas para a minha surpresa as redes estão se enxergando.
    O firewall deve ter criado rotas entres as duas LAN´s, só pode.

    Como resolver este bloqueio.
    Alguém pode me ajudar com maior precisão?

    Agradeço imensamente.

    0
  • C

    Cara, já pensou em trabalhar com IP'S virtuais?

    Vc pode criar um IP virtual no pfsense pra cada Rede e bloquear o resto.

    Vai em FIrewall > Virtual Ip's.

    Instancia as duas redes, através dos IP's virtuais.

    Abs.

    0

  • Confesso que nunca trabalhei com esta opção.

    Me informarei melhor,pois não sei nem por onde começar.

    Acredita que seja possível deixar uma rede(a principal) normal e criar uma virtual para a rede CLIENTE?

    0
  • D

    Boa noite clon¥,

    Se entendi o seu cenário você gostaria que o lado cliente só tivesse acesso a internet como se fosse uma DMZ (do lado da rede clientes) você enxergando toda rede cliente porem a rede cliente somente enxergar a internet, se for isso, pelo que me lembro é só você retirar todas as regras da rede cliente por default a rede cliente não tem acesso a rede ADM, espero ter ajudado

    Att

    0

  • @ddorts:

    Boa noite clon¥,

    Se entendi o seu cenário você gostaria que o lado cliente só tivesse acesso a internet como se fosse uma DMZ (do lado da rede clientes) você enxergando toda rede cliente porem a rede cliente somente enxergar a internet, se for isso, pelo que me lembro é só você retirar todas as regras da rede cliente por default a rede cliente não tem acesso a rede ADM, espero ter ajudado

    Att

    É exatamente isso meu caro.
    Bom, testarei a sua solução, mas por segurança terei que estar fisicamente no cliente para efetuar os devidos testes, por isso ainda deixarei este post em aberto, caso surjam outras idéias.

    Lembro-me que ao instalar e configurar a 2ª LAN, ela de fato bem sem nenhuma regra por padrão, mas não lembro se navegava ou não. Como veio sem regra, lembro-me que fiz uma regra para liberar a internet, talvez este realmente seja o problema.

    Postarei na semana que vem, o resultado desta sua dica. Agradeço desde já.

    0
  • L

    Olá!

    Algumas coisas a considerar:

    • Verifique se suas regras NAT Outbound estão para serem criadas automaticamente.
    • O PFSense bloqueia qualquer trafego que não esteja explicitamente liberado.

    Nas interface CLIENTE crie uma regra com protocolo Any, com Origem CLIENTE_Subnet e destino ADM_Subnet, coloque como Reject.
    Na Interface ADM crie uma regra com protocolo Any, Com origem ADM_Subnet e destino ADM_Subnet, coloque como Reject.

    Pronto, as redes não se acessam.

    Essa regra deve ser a primeira regra da lista.

    0
  • K

    Boa noite,

    Voce so precisa remover a rota para a LAN  Cliente e para a LAN admin.
    Isso vai resolver Seu problema.

    Ate logo!

    0
Log in to reply
 

Products

Services

Support

News

Resources

Company

Our Mission

We provide leading-edge network security at a fair price - regardless of organizational size or network sophistication. We believe that an open-source security model offers disruptive pricing along with the agility required to quickly address emerging threats.

Subscribe to our Newsletter

Product information, software announcements, and special offers. See our newsletter archive for past announcements.

© Copyright 2019 Rubicon Communications, LLC | Privacy Policy