Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Bloquear acesso a WebGui pela Rede LAN

    Scheduled Pinned Locked Moved Portuguese
    12 Posts 6 Posters 5.0k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • W
      wrp
      last edited by

      Boa tarde,

      Tenho um PFSENSE com o seguinte:

      • Placa WAN - IP FIXO (Ex. 200.200.200.200);
      • Placa LAN - Rede Local (Ex. 190.1.1.1);

      O acesso externo ao PFSENSE na webgui, pela placa WAN está funcionando perfeitamente, criei um alias com os IPs Fixo que tenho e tá blza.

      Agora na interface LAN, todos os ips da rede tem acesso normalmente, não consegui bloquear. A ideia era cadastrar um MAC+IP para somente determinado IP da Lan poder acessar. O que preciso fazer?

      Desde já agradeço qualquer ajuda.

      1 Reply Last reply Reply Quote 0
      • L
        lucaspolli
        last edited by

        troca a porta e bloqueia o acesso da lan nessa porta…

        1 Reply Last reply Reply Quote 0
        • W
          wrp
          last edited by

          Opa Lucas,

          Obrigado pelo help.

          Tentei da forma que você orientou, e o bloqueio ao acesso funcionou, só que fiquei com o seguinte problema, tenho paginas de bloqueio personalizada "sgerror.php", depois que mudei a porta e criei a regra, as paginas não carregam mais, ele demora determinado tempo e acaba carregando a pagina original do squid.

          Passos realizados

          • Troquei a porta padrão de 80, para 8082(Não sei se pode ser essa porta);
          • Desabilitei a Regra AntiLockout;
          • Testei o acesso e funcionou perfeitamente;
          • Paginas de bloqueio pararam de funcionar, voltei a porta para o padrão e as paginas voltaram a funcionar.

          Obs. Uso o squid3 dev com filtro ssl/https

          1 Reply Last reply Reply Quote 0
          • L
            lucaspolli
            last edited by

            ja vi um topico que falava desse assunto mais nao lembro qual era a solucao, vou dar uma olhada e posto aqui…

            1 Reply Last reply Reply Quote 0
            • L
              lucaspolli
              last edited by

              https://forum.pfsense.org/index.php?topic=77281.msg421610#msg421610

              basicamente vc precisa subir outro daemon para o lighthttpd na porta 80 pro sgerror.php

              passos a passo:

              desabilitar no system->advanced a opção de redirecionar o trafego de http para https
              copiar o arquivo de configuração do lighthttp (cp /var/etc/lighty-webConfigurator.conf /var/etc/lighty-proxy-wpad.conf  por exemplo)
              editar o novo arquivo e alterara o listen port para 80 e mude o diretorio raiz do site para por exemplo /usr/local/www/wpad
              copiar o arquivo de erro do squidguard para /usr/local/www/wpad (também funciona para arquivos de configuração automática de proxy)
              iniciar o lighthttpd com o comando /usr/local/sbin/lighttpd -f /var/etc/lighty-proxy-wpad.conf
              verificar/criar as regras de firewall para permitir acesso ao  lighthttp no ip:porta que você configurou

              passos adicioanis/opcionais

              criar um script para verificar se o daemon novo esta ou não no ar
              instalar o pacote filer para editar os arquivos de configuração via gui e mante-los no backup do pfsense

              1 Reply Last reply Reply Quote 0
              • D
                ddorts
                last edited by

                Crie uma rule dizendo para dar acesso ao ip do pfsense na porta dele permitindo que este trafego venha somente do ip que você quer e vá para System: Advanced: Admin Access e marque Disable webConfigurator anti-lockout rule,

                detalhe, crie a regra antes de habilitar a check box se não você pode se trancar para fora.

                pfsense.JPG
                pfsense.JPG_thumb

                1 Reply Last reply Reply Quote 0
                • L
                  lucaspolli
                  last edited by

                  @ddorts:

                  Crie uma rule dizendo para dar acesso ao ip do pfsense na porta dele permitindo que este trafego venha somente do ip que você quer e vá para System: Advanced: Admin Access e marque Disable webConfigurator anti-lockout rule,

                  detalhe, crie a regra antes de habilitar a check box se não você pode se trancar para fora.

                  nesse caso quando alguem receber o erro de acesso negado o firewall nao irá bloquear? pois ele nao terá acesso a porta que a pagina do erro usa..

                  1 Reply Last reply Reply Quote 0
                  • D
                    ddorts
                    last edited by

                    Nesse caso vc pode usar o squidguard, ele consegue redirecionar a pagina de bloqueio para outro servidor sem ser o pfsence.

                    Att.

                    1 Reply Last reply Reply Quote 0
                    • B
                      brunopinheiro
                      last edited by

                      Bom dia pfirewa,

                      Essa situação é bem explicado pelos colegas lucaspolli e ddorts. O squidguard por padrão utiliza a porta 80 (mesmo utilizado pelo lighthttpd). Você tem as seguintes saídas para contornar essa situação (em ordem de melhor solução):

                      1- A solução do nosso colega ddorts (redirecionar para um outro servidor). Verifiquei alguns comentários de outros colegas que a utilização da pagina de erro no mesmo servidor que o pfsense, gera uma certa sobrecarga (pois dependendo da frequencia, forçará a utilização do servidor web lighthttpd. Quanto mais recursos voce puder atribuir as outros servidores, mais aliviado seu pfsense ficará.

                      2- A solução do nosso colega lucaspolli (subir outro daemon para o lighthttpd na porta 80). Dessa forma voce poderá alterar a porta de gerencia web do pfsense para qualquer outra, inclusive fazer uso do protocolo https.

                      3- Inserir em "Services > Proxy filter > Common ACL > Redirect info" e "Services > Proxy filter > Groups ACL > Redirect" (em todos os grupos) a opção abaixo:

                      redirect http://ip_do_pfsense:8082/sgerror.php?url=403%20&a=%a&n=%n&i=%i&s=%s&t=%t&u=%u

                      Dessa forma o redirecionamento fará uso da mesma porta de gerencia do pfsense.

                      Grande abraço.

                      Att,

                      Bruno Pinheiro.

                      1 Reply Last reply Reply Quote 0
                      • B
                        brunopinheiro
                        last edited by

                        Onde se lê:

                        redirect http://ip_do_pfsense:8082/sgerror.php?url=403%20&a=%a&n=%n&i=%i&s=%s&t=%t&u=%u
                        leia-se:

                        http://ip_do_pfsense:8082/sgerror.php?url=403%20&a=%a&n=%n&i=%i&s=%s&t=%t&u=%u

                        1 Reply Last reply Reply Quote 0
                        • A
                          avner_ads
                          last edited by

                          Bruno, muito obrigado pela sua dica. Outro detalhe importante na 3º solução que você apontou é a necessidade de alterar o Redirect Mode ext url error page (enter url) e ai sim inserir a URL colocada aqui no post.

                          Abs.

                          1 Reply Last reply Reply Quote 0
                          • S
                            sosmicro
                            last edited by

                            @Bruno:

                            Onde se lê:

                            redirect http://ip_do_pfsense:8082/sgerror.php?url=403%20&a=%a&n=%n&i=%i&s=%s&t=%t&u=%u
                            leia-se:

                            http://ip_do_pfsense:8082/sgerror.php?url=403%20&a=%a&n=%n&i=%i&s=%s&t=%t&u=%u

                            Bruno.
                            A sua dica funciona quando a página bloqueada está usando o protocolo HTTP… se ela usa o HTTPS nenhuma pagina de erro é retornada...

                            Vc consegue retornar a pagina de erro nos 2 casos? (usando proxy não transparente .. com proxy transparente + filtro ssl ativo + certificado funciona)

                            Oswaldo Romano
                            SOSMICRO - uberaba - MG

                            1 Reply Last reply Reply Quote 0
                            • First post
                              Last post
                            Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.