Captive Portal - regras de firewall



  • Tenho um captive portal ativo, faixa de ips 10.10.1.0/24, nessa faixa tenho um switch (10.10.1.1) e um AP (10.10.1.252) percebi agora que quando acesso a rede wifi do captive, mesmo sem logar na pagina de acesso, eu consigo acessar a webgui do switch e do AP, tentei algumas regras de firewall para bloqueio mais o acesso continua liberado, alguem tem alguma ideia de como bloquear isso?



  • Vc pode fazer assim:

    Primeiro, vamos liberar apenas uma máquina da rede (10.10.1.10) para acessar o switch e o AP.

    ACCEPT

    Proto             Source       Port Destination   Port   Gateway Queue Schedule Description
    IPv4  TCP 10.10.1.10 * 10.10.1.1     *        *           none

    Proto             Source       Port Destination   Port   Gateway Queue Schedule Description
    IPv4  TCP 10.10.1.10 * 10.10.1.252     *        *           none

    Agora vamos bloquear toda a rede

    Block

    Proto             Source       Port Destination   Port   Gateway Queue Schedule Description
    IPv4  TCP 10.10.1.0/24 * 10.10.1.1     *        *           none

    Proto             Source       Port Destination   Port   Gateway Queue Schedule Description
    IPv4  TCP 10.10.1.0/24 * 10.10.1.252     *        *           none



  • @neo_X:

    Vc pode fazer assim:

    Primeiro, vamos liberar apenas uma máquina da rede (10.10.1.10) para acessar o switch e o AP.

    ACCEPT

    Proto             Source       Port Destination   Port   Gateway Queue Schedule Description
    IPv4  TCP 10.10.1.10 * 10.10.1.1     *        *           none

    Proto             Source       Port Destination   Port   Gateway Queue Schedule Description
    IPv4  TCP 10.10.1.10 * 10.10.1.252     *        *           none

    Agora vamos bloquear toda a rede

    Block

    Proto             Source       Port Destination   Port   Gateway Queue Schedule Description
    IPv4  TCP 10.10.1.0/24 * 10.10.1.1     *        *           none

    Proto             Source       Port Destination   Port   Gateway Queue Schedule Description
    IPv4  TCP 10.10.1.0/24 * 10.10.1.252     *        *           none

    Entao, ja havia feito isso, e nada de bloqueio, no AP ate entendo, ele esta em bridge, o acesso a ele se faz antes de passar pelo pfsense, teria que bloquear no firewall do proprio AP, porem no switch que teoricamente passa pelo pfsense, o bloqueio tambem nao acontece…



  • humm acho que agora entendi…

    LAN -> AP -> Switch (Vlan) <- (pfsense vlan)

    o acesso é por vlan no switch e nao por uma interface direta no pfsense, por isso o trafego passa pelo AP e Swicth antes do pfsense

    Será que terei que usar o firewall do AP e do Switch para bloqueio?



  • Quem está atrás do AP (bridge) sim, deverá ser feito no AP o bloqueio.  Agora para bloquear o acesso ao switch, crie uma regra:

    Origem 10.10.1.252 para 10.10.1.1 porta 80 ou 23



  • @neo_X:

    Agora para bloquear o acesso ao switch, crie uma regra:

    Origem 10.10.1.252 para 10.10.1.1 porta 80 ou 23

    tambem nao, o switch ta entre o AP e o pfsense.. ou seja, eu "chego" primeiro no switch pra depois ir pro pfsense