Bloquear acesso a WebGui pela Rede LAN



  • Boa tarde,

    Tenho um PFSENSE com o seguinte:

    • Placa WAN - IP FIXO (Ex. 200.200.200.200);
    • Placa LAN - Rede Local (Ex. 190.1.1.1);

    O acesso externo ao PFSENSE na webgui, pela placa WAN está funcionando perfeitamente, criei um alias com os IPs Fixo que tenho e tá blza.

    Agora na interface LAN, todos os ips da rede tem acesso normalmente, não consegui bloquear. A ideia era cadastrar um MAC+IP para somente determinado IP da Lan poder acessar. O que preciso fazer?

    Desde já agradeço qualquer ajuda.



  • troca a porta e bloqueia o acesso da lan nessa porta…



  • Opa Lucas,

    Obrigado pelo help.

    Tentei da forma que você orientou, e o bloqueio ao acesso funcionou, só que fiquei com o seguinte problema, tenho paginas de bloqueio personalizada "sgerror.php", depois que mudei a porta e criei a regra, as paginas não carregam mais, ele demora determinado tempo e acaba carregando a pagina original do squid.

    Passos realizados

    • Troquei a porta padrão de 80, para 8082(Não sei se pode ser essa porta);
    • Desabilitei a Regra AntiLockout;
    • Testei o acesso e funcionou perfeitamente;
    • Paginas de bloqueio pararam de funcionar, voltei a porta para o padrão e as paginas voltaram a funcionar.

    Obs. Uso o squid3 dev com filtro ssl/https



  • ja vi um topico que falava desse assunto mais nao lembro qual era a solucao, vou dar uma olhada e posto aqui…



  • https://forum.pfsense.org/index.php?topic=77281.msg421610#msg421610

    basicamente vc precisa subir outro daemon para o lighthttpd na porta 80 pro sgerror.php

    passos a passo:

    desabilitar no system->advanced a opção de redirecionar o trafego de http para https
    copiar o arquivo de configuração do lighthttp (cp /var/etc/lighty-webConfigurator.conf /var/etc/lighty-proxy-wpad.conf  por exemplo)
    editar o novo arquivo e alterara o listen port para 80 e mude o diretorio raiz do site para por exemplo /usr/local/www/wpad
    copiar o arquivo de erro do squidguard para /usr/local/www/wpad (também funciona para arquivos de configuração automática de proxy)
    iniciar o lighthttpd com o comando /usr/local/sbin/lighttpd -f /var/etc/lighty-proxy-wpad.conf
    verificar/criar as regras de firewall para permitir acesso ao  lighthttp no ip:porta que você configurou

    passos adicioanis/opcionais

    criar um script para verificar se o daemon novo esta ou não no ar
    instalar o pacote filer para editar os arquivos de configuração via gui e mante-los no backup do pfsense



  • Crie uma rule dizendo para dar acesso ao ip do pfsense na porta dele permitindo que este trafego venha somente do ip que você quer e vá para System: Advanced: Admin Access e marque Disable webConfigurator anti-lockout rule,

    detalhe, crie a regra antes de habilitar a check box se não você pode se trancar para fora.




  • @ddorts:

    Crie uma rule dizendo para dar acesso ao ip do pfsense na porta dele permitindo que este trafego venha somente do ip que você quer e vá para System: Advanced: Admin Access e marque Disable webConfigurator anti-lockout rule,

    detalhe, crie a regra antes de habilitar a check box se não você pode se trancar para fora.

    nesse caso quando alguem receber o erro de acesso negado o firewall nao irá bloquear? pois ele nao terá acesso a porta que a pagina do erro usa..



  • Nesse caso vc pode usar o squidguard, ele consegue redirecionar a pagina de bloqueio para outro servidor sem ser o pfsence.

    Att.



  • Bom dia pfirewa,

    Essa situação é bem explicado pelos colegas lucaspolli e ddorts. O squidguard por padrão utiliza a porta 80 (mesmo utilizado pelo lighthttpd). Você tem as seguintes saídas para contornar essa situação (em ordem de melhor solução):

    1- A solução do nosso colega ddorts (redirecionar para um outro servidor). Verifiquei alguns comentários de outros colegas que a utilização da pagina de erro no mesmo servidor que o pfsense, gera uma certa sobrecarga (pois dependendo da frequencia, forçará a utilização do servidor web lighthttpd. Quanto mais recursos voce puder atribuir as outros servidores, mais aliviado seu pfsense ficará.

    2- A solução do nosso colega lucaspolli (subir outro daemon para o lighthttpd na porta 80). Dessa forma voce poderá alterar a porta de gerencia web do pfsense para qualquer outra, inclusive fazer uso do protocolo https.

    3- Inserir em "Services > Proxy filter > Common ACL > Redirect info" e "Services > Proxy filter > Groups ACL > Redirect" (em todos os grupos) a opção abaixo:

    redirect http://ip_do_pfsense:8082/sgerror.php?url=403%20&a=%a&n=%n&i=%i&s=%s&t=%t&u=%u

    Dessa forma o redirecionamento fará uso da mesma porta de gerencia do pfsense.

    Grande abraço.

    Att,

    Bruno Pinheiro.



  • Onde se lê:

    redirect http://ip_do_pfsense:8082/sgerror.php?url=403%20&a=%a&n=%n&i=%i&s=%s&t=%t&u=%u
    leia-se:

    http://ip_do_pfsense:8082/sgerror.php?url=403%20&a=%a&n=%n&i=%i&s=%s&t=%t&u=%u



  • Bruno, muito obrigado pela sua dica. Outro detalhe importante na 3º solução que você apontou é a necessidade de alterar o Redirect Mode ext url error page (enter url) e ai sim inserir a URL colocada aqui no post.

    Abs.



  • @Bruno:

    Onde se lê:

    redirect http://ip_do_pfsense:8082/sgerror.php?url=403%20&a=%a&n=%n&i=%i&s=%s&t=%t&u=%u
    leia-se:

    http://ip_do_pfsense:8082/sgerror.php?url=403%20&a=%a&n=%n&i=%i&s=%s&t=%t&u=%u

    Bruno.
    A sua dica funciona quando a página bloqueada está usando o protocolo HTTP… se ela usa o HTTPS nenhuma pagina de erro é retornada...

    Vc consegue retornar a pagina de erro nos 2 casos? (usando proxy não transparente .. com proxy transparente + filtro ssl ativo + certificado funciona)


Log in to reply