Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Bloquear acceso a la consola web y comunicacion inter VLAN

    Scheduled Pinned Locked Moved Español
    13 Posts 3 Posters 3.9k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • I
      ikoikej
      last edited by

      Saludos, pues he estado probando pfSense durante un tiempo y me he quedado impresionado con su simplicidad y potencia, solo tenemos un par de inconvenientes antes de implementarlo:

      *tenemos alrededor de 10 VLAN configuradas y funcionando perfectamente (192.168.1.0 / 192.168.2.0 / 192.168.3.0 / etc…), el inconveniente es que desde cualquiera de ellas se puede acceder a la web de administración (la puerta de enlace de cada VLAN) e inclusive se puede acceder a la puerta de enlace de las otras VLAN, queremos mantener el acceso total hacia Internet pero restringir el acceso hacia la interfaz web de administración y queremos restringir también la comunicación entre VLAN's, espero puedan ayudarme, gracias

      1 Reply Last reply Reply Quote 0
      • pttP
        ptt Rebel Alliance
        last edited by

        Revisa/verifica tus Reglas der FW

        Si quieres "mas" ayuda, por favor, adjunta capturas de pantalla de tus Reglas de FW

        1 Reply Last reply Reply Quote 0
        • A
          acriollo
          last edited by

          Hola ikoikej, bienvenido al foro.

          Creo que antes de postear deberias darte una vuelta por el area de documentacion y nos apoyemos para no postear temas que ya estan mas que discutidos en el foro.

          en relacion a tu pregunta del acceso de la consola del admin.

          https://forum.pfsense.org/index.php?topic=82430.0

          tiempo de busqueda ( 5 segs ) :)

          En relacion a lo de la comunicacion entre las interfaces si tu no colocas reglas en tus interfaces en donde les indiques de manera explicita que el trafico de esa vlan va a cruzar hacia otra vlan, no es posible que se vean.  incluso ahora mas en las nuevas versiones.

          Checa las reglas de tu firewall y pega unas pantallas para que los que saben te puedan ayudar.

          Saludos

          1 Reply Last reply Reply Quote 0
          • A
            acriollo
            last edited by

            que paso ptt, otra vez agandallandose las respuestas jajaj

            1 Reply Last reply Reply Quote 0
            • I
              ikoikej
              last edited by

              gracias por sus sugerencias
              ya habilite la opcion "anti-lockout" sin embargo sigo pudiendo entrar a la administración web desde cualquier vlan, me parece que el problema es que cada vlan tiene una regla de dejar pasar todo el trafico saliente, que regla deberia implementar para que las vlan solo tenga acceso a Internet y a nada mas? en decir, no tengan acceso a las otras vlans?

              1 Reply Last reply Reply Quote 0
              • A
                acriollo
                last edited by

                Puedes pegar las reglas que tienes?

                1 Reply Last reply Reply Quote 0
                • I
                  ikoikej
                  last edited by

                  solo tengo una regla por vlan:

                  PASS
                  SOURCE: "nombre de la vlan"
                  DESTINATION: any
                  PROTOCOL: any

                  1 Reply Last reply Reply Quote 0
                  • pttP
                    ptt Rebel Alliance
                    last edited by

                    Pues, justamente, con una Regla de ese tipo estás permitiendo "TODO"

                    Debes "revisarla/modificarla" para ajustarla a tus necesidades o agregar reglas adicionales "Bloqueando" el trafico que no deseas que "Pase"

                    Adjunta un diagrama detallado de Tu Red, y una descripción detallada de lo que necesitas "Pasar" y "Bloquear" (de dónde a dónde) y será mas fácil orientarte/ayudarte ;)

                    1 Reply Last reply Reply Quote 0
                    • I
                      ikoikej
                      last edited by

                      muchas gracias por tu ayuda, adjunto un esquema de mi red

                      *Las VLAN's deben tener acceso solo a internet y a nada mas (no deben tener acceso a otras VLAN ni a la consola web de pfSense)
                      *Por motivos de seguridad, en cada VLAN debe existir SOLO UNA dirección IP que tenga acceso a la web de administración de pfSense

                      1 Reply Last reply Reply Quote 0
                      • pttP
                        ptt Rebel Alliance
                        last edited by

                        Basado en la "abundante/extensa" información incluida en el diagrama "detallado" de tu red  :P

                        Te diré que con la apropiada combinación de "Reglas (Block - Pass) de FW" + "Aliases (port - host)" en cada VLAN, tienes resuelto el problema.

                        1 Reply Last reply Reply Quote 0
                        • I
                          ikoikej
                          last edited by

                          puedes indicarme que tipo de información necesitas que añada al diagrama?

                          1 Reply Last reply Reply Quote 0
                          • pttP
                            ptt Rebel Alliance
                            last edited by

                            Complementando mis comentarios del post anterior….

                            En la Imagen adjunta ves un ejemplo de Reglas de FW, de una Interface "Tipo OPT" (que corresponde a un adaptador Inalámbrico USB) en la que existen 2 Reglas para Lograr que los Usuarios tengan acceso a internet, pero NO a los recursos (Hosts) de las "Otras interfaces" y que Únicamente ciertos Usuarios/IP tengan acceso al menú Web  y a la Consola (vía SSH) del pfSense.

                            En la primera Regla; "Admins" es 1 alias con las IP de los equipos que tendrán acceso al Menú Web / SSH, "management_ip" es otro alias que contiene la IP de cada una de las Interfaces y "management_port" es otro alias que contiene los "Puertos" en el que tienes el Webconfigurator y SSH (443/80/22... o el que hayas configurado)...

                            En dicha regla indicamos al pfSense que el Trafico que NO (! not) venga de las IPs de los "Administradores" hacia la IP/Puerto del Menú Web/SSH sea "Bloqueado"

                            En la Segunda Regla; "Local_Nets" es un alias con la "Subred/Red" de cada una de las interfaces del pfSense.

                            En dicha Regla indicamos al pfSense que el Trafico de los Hosts de esa inteface, que NO (! not) tenga como destino ninguna de los segmentos de Red "locales" del pfSense "Pase" (y por ende salga a internet).

                            Mas info, pues, a Leer se ha dicho :D

                            https://forum.pfsense.org/index.php?topic=23409.0

                            https://doc.pfsense.org/index.php/Main_Page

                            Conste que no es esta la única manera de hacerlo.... tendrás analizar el tema, y luego, definir/decidir cual es la que mejor se ajusta a tus necesidades específicas.

                            pf_WLAN_FW.png
                            pf_WLAN_FW.png_thumb

                            1 Reply Last reply Reply Quote 0
                            • A
                              acriollo
                              last edited by

                              simple, sencillo, funcional.

                              muy buen post ptt

                              1 Reply Last reply Reply Quote 0
                              • First post
                                Last post
                              Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.