Regras de segurança.



  • Boa tarde senhores.

    Venho por meio deste pedir auxilio pois estou com alguns problemas em minha rede,

    eu participo de uma rede com vários prédios interligados via fibra e temos uma rede classe B, a minha faixa de ip é da 172.16.3.0 a 172.16.4.255, cada prédio tem seu link de internet dedicado ficando assim a fibra que nós interligam para comunicação de alguns sistemas via rede.

    A pouco tempo descobri que existem outras faixas de IP's navegando em meu PFSense.

    Lá em Serviços => Proxy Server => Access Control, no primeiro campo (Allowed Subnets) eu coloquei a minha faixa de IP's, Ficando assim:

    172.16.3.0/24
    172.16.4.0/24

    mesmo assim todos que setam com os IP's fora dessa minha faixa, conseguem acessar a internet pelo meu link, eu devo colocar algum outro numero após as barras?

    Desde já grato pela atenção.



  • Boa tarde Wadyson,

    Incialmente detectei um erro no seu endereçamento de sub-rede. A range que voce informou não existe. Provavelmente voce deve estar com um range que libera mais pra cima ou pra baixo. Por favor, informe qual é o IP do pfsense com numeros de bits.

    ex: 172.16.3.1/23

    Faixas corretas:

    172.16.3.1/22  >  172.16.0.1 - 172.16.3.254
    172.16.3.1/23  >  172.16.2.1 - 172.16.3.254
    172.16.3.1/24  >  172.16.3.1 - 172.16.3.254

    Por padrão o squid autoriza acesso a partir da rede que esta setado na interface configurada para escutar o proxy. Se hipoteticamente voce utiliza a segunda opção, seu acesso ao squid estara liberando o range 172.16.2.1 - 172.16.3.254.

    Grande abraço,

    Att,

    Bruno Pinheiro.



  • o IP setado para o meu PFSense na porta lan é 172.16.4.254/16



  • Caro Wadyson,

    esse endereço de rede possui está dentro de um range com 65534 hosts.

    Como o squid autoriza toda a rede da interface configurada para escutar o serviço do proxy, o range abaixo está liberado para acessar o seu proxy:

    172.16.0.1 - 172.16.255.254

    Limite mais sua mascara para o numero de hosts em sua rede.

    Bruno Pinheiro



  • desculpem a minha nubisse, mas vou perguntar pois o mundo e movido por elas. srsrsr

    e como eu devo proceder? eu gostaria de que meu proxy abrangesse apenas essas duas faixas de IP's.

    Grato desde já.

    PS: sou novato no ramo e não sei bem como proceder com as configurações de bits.



  • Normal, nós todos tivemos essa duvida algum dia 8)

    Bom, como citei anteriormente, você precisa saber qual o range sua rede está configurada. Se for o caso citado no post (172.16.3.0 a 172.16.4.255), você precisa alterar o endereçamento IP da interface LAN

    **de:    172.16.4.254/16
    para: 172.16.4.254/21

    dessa forma o squid considera o range 172.16.0.1 - 172.16.7.254. (bem menor comparado ao anterior).

    Mas essa não é a melhor das opções. Note que sua rede tem endereço IPs em duas sub-redes caso utiliza bits /22 e /23. Como citou anteriormente, você necessita de uma rede com 512 IPs ("172.16.3.0 a 172.16.4.255"), o numero de bits para esse numero de hosts é /23. Mas se você colocar essa mascara /23 na sua placa de rede LAN, todas as respostas das requisições partindo dos clientes 172.16.3.0 - 172.16.3.255, serão redirecionados para o seu default gateway (que provavelmente o seu modem).

    Para contornar isso, altere o endereçamento dos seu hosts com IP 172.16.3.* para 172.16.4.1 - 172.16.5.254. E por fim, configure a mascara /23 na sua placa de rede LAN.

    Outra forma é bloquear os ranges indesejáveis. Isso faz-se em "Serviços => Proxy Server => Access Control" no segundo campo "Unrestricted IPs'. ex: 172.16.0.0/24 172.16.1.0/24 172.16.2.0/24 172.16.5.0/24 172.16.6.0/24 e 172.16.7.0/24 ***um range por linha

    Isso pode ajudar a fazer o calculo de sub-rede:

    http://www.subnet-calculator.com/subnet.php?net_class=B

    qualquer duvida estamos aqui.

    Att,

    Bruno Pinheiro.**



  • Caramba Bruno, Você me ajudou demais cara! Parabéns e muitíssimo obrigado pelas dicas. Fiz aqui e deu certo.

    Você é o cara!  ;D



  • Que nada cara, batendo cabeça, aprendemos um dia. Ótimo, fico feliz em ter ajudado. Se precisar estamos por aqui.

    Abraços.

    Att,

    Bruno Pinheiro.

    hehe.. nunca recebi um Thanks! Se quiser clicar ai em cima :p



  • @Bruno:

    Outra forma é bloquear os ranges indesejáveis. Isso faz-se em "Serviços => Proxy Server => Access Control" no segundo campo "Unrestricted IPs'. ex: 172.16.0.0/24 172.16.1.0/24 172.16.2.0/24 172.16.5.0/24 172.16.6.0/24 e 172.16.7.0/24 ***um range por linha

    Opa, Voltei. hehehehe
    Mas o segundo campo "Unrestricted IPs" não seriam os IP's sem qualquer tipo de bloqueio?



  • hehe,, confundi com o pfblocker

    Isso mesmo, o controle faz-se todo em Allowed Subnets. Tudo que não tiver no range será bloqueado. Lembrando que voce pode deixar em branco o campo Allowed Subnets, pois ele já autoriza o range de IP da interface que o proxy foi configurado para escutar. (no seu caso a LAN)

    Obrigado.

    Bruno Pinheiro.