Captive Portal - regras de firewall
-
Tenho um captive portal ativo, faixa de ips 10.10.1.0/24, nessa faixa tenho um switch (10.10.1.1) e um AP (10.10.1.252) percebi agora que quando acesso a rede wifi do captive, mesmo sem logar na pagina de acesso, eu consigo acessar a webgui do switch e do AP, tentei algumas regras de firewall para bloqueio mais o acesso continua liberado, alguem tem alguma ideia de como bloquear isso?
-
Vc pode fazer assim:
Primeiro, vamos liberar apenas uma máquina da rede (10.10.1.10) para acessar o switch e o AP.
ACCEPT
Proto Source Port Destination Port Gateway Queue Schedule Description
IPv4 TCP 10.10.1.10 * 10.10.1.1 * * noneProto Source Port Destination Port Gateway Queue Schedule Description
IPv4 TCP 10.10.1.10 * 10.10.1.252 * * noneAgora vamos bloquear toda a rede
Block
Proto Source Port Destination Port Gateway Queue Schedule Description
IPv4 TCP 10.10.1.0/24 * 10.10.1.1 * * noneProto Source Port Destination Port Gateway Queue Schedule Description
IPv4 TCP 10.10.1.0/24 * 10.10.1.252 * * none -
Vc pode fazer assim:
Primeiro, vamos liberar apenas uma máquina da rede (10.10.1.10) para acessar o switch e o AP.
ACCEPT
Proto Source Port Destination Port Gateway Queue Schedule Description
IPv4 TCP 10.10.1.10 * 10.10.1.1 * * noneProto Source Port Destination Port Gateway Queue Schedule Description
IPv4 TCP 10.10.1.10 * 10.10.1.252 * * noneAgora vamos bloquear toda a rede
Block
Proto Source Port Destination Port Gateway Queue Schedule Description
IPv4 TCP 10.10.1.0/24 * 10.10.1.1 * * noneProto Source Port Destination Port Gateway Queue Schedule Description
IPv4 TCP 10.10.1.0/24 * 10.10.1.252 * * noneEntao, ja havia feito isso, e nada de bloqueio, no AP ate entendo, ele esta em bridge, o acesso a ele se faz antes de passar pelo pfsense, teria que bloquear no firewall do proprio AP, porem no switch que teoricamente passa pelo pfsense, o bloqueio tambem nao acontece…
-
humm acho que agora entendi…
LAN -> AP -> Switch (Vlan) <- (pfsense vlan)
o acesso é por vlan no switch e nao por uma interface direta no pfsense, por isso o trafego passa pelo AP e Swicth antes do pfsense
Será que terei que usar o firewall do AP e do Switch para bloqueio?
-
Quem está atrás do AP (bridge) sim, deverá ser feito no AP o bloqueio. Agora para bloquear o acesso ao switch, crie uma regra:
Origem 10.10.1.252 para 10.10.1.1 porta 80 ou 23
-
Agora para bloquear o acesso ao switch, crie uma regra:
Origem 10.10.1.252 para 10.10.1.1 porta 80 ou 23
tambem nao, o switch ta entre o AP e o pfsense.. ou seja, eu "chego" primeiro no switch pra depois ir pro pfsense