Bloquear acceso a la consola web y comunicacion inter VLAN



  • Saludos, pues he estado probando pfSense durante un tiempo y me he quedado impresionado con su simplicidad y potencia, solo tenemos un par de inconvenientes antes de implementarlo:

    *tenemos alrededor de 10 VLAN configuradas y funcionando perfectamente (192.168.1.0 / 192.168.2.0 / 192.168.3.0 / etc…), el inconveniente es que desde cualquiera de ellas se puede acceder a la web de administración (la puerta de enlace de cada VLAN) e inclusive se puede acceder a la puerta de enlace de las otras VLAN, queremos mantener el acceso total hacia Internet pero restringir el acceso hacia la interfaz web de administración y queremos restringir también la comunicación entre VLAN's, espero puedan ayudarme, gracias


  • Rebel Alliance

    Revisa/verifica tus Reglas der FW

    Si quieres "mas" ayuda, por favor, adjunta capturas de pantalla de tus Reglas de FW



  • Hola ikoikej, bienvenido al foro.

    Creo que antes de postear deberias darte una vuelta por el area de documentacion y nos apoyemos para no postear temas que ya estan mas que discutidos en el foro.

    en relacion a tu pregunta del acceso de la consola del admin.

    https://forum.pfsense.org/index.php?topic=82430.0

    tiempo de busqueda ( 5 segs ) :)

    En relacion a lo de la comunicacion entre las interfaces si tu no colocas reglas en tus interfaces en donde les indiques de manera explicita que el trafico de esa vlan va a cruzar hacia otra vlan, no es posible que se vean.  incluso ahora mas en las nuevas versiones.

    Checa las reglas de tu firewall y pega unas pantallas para que los que saben te puedan ayudar.

    Saludos



  • que paso ptt, otra vez agandallandose las respuestas jajaj



  • gracias por sus sugerencias
    ya habilite la opcion "anti-lockout" sin embargo sigo pudiendo entrar a la administración web desde cualquier vlan, me parece que el problema es que cada vlan tiene una regla de dejar pasar todo el trafico saliente, que regla deberia implementar para que las vlan solo tenga acceso a Internet y a nada mas? en decir, no tengan acceso a las otras vlans?



  • Puedes pegar las reglas que tienes?



  • solo tengo una regla por vlan:

    PASS
    SOURCE: "nombre de la vlan"
    DESTINATION: any
    PROTOCOL: any


  • Rebel Alliance

    Pues, justamente, con una Regla de ese tipo estás permitiendo "TODO"

    Debes "revisarla/modificarla" para ajustarla a tus necesidades o agregar reglas adicionales "Bloqueando" el trafico que no deseas que "Pase"

    Adjunta un diagrama detallado de Tu Red, y una descripción detallada de lo que necesitas "Pasar" y "Bloquear" (de dónde a dónde) y será mas fácil orientarte/ayudarte ;)



  • muchas gracias por tu ayuda, adjunto un esquema de mi red

    *Las VLAN's deben tener acceso solo a internet y a nada mas (no deben tener acceso a otras VLAN ni a la consola web de pfSense)
    *Por motivos de seguridad, en cada VLAN debe existir SOLO UNA dirección IP que tenga acceso a la web de administración de pfSense


  • Rebel Alliance

    Basado en la "abundante/extensa" información incluida en el diagrama "detallado" de tu red  :P

    Te diré que con la apropiada combinación de "Reglas (Block - Pass) de FW" + "Aliases (port - host)" en cada VLAN, tienes resuelto el problema.



  • puedes indicarme que tipo de información necesitas que añada al diagrama?


  • Rebel Alliance

    Complementando mis comentarios del post anterior….

    En la Imagen adjunta ves un ejemplo de Reglas de FW, de una Interface "Tipo OPT" (que corresponde a un adaptador Inalámbrico USB) en la que existen 2 Reglas para Lograr que los Usuarios tengan acceso a internet, pero NO a los recursos (Hosts) de las "Otras interfaces" y que Únicamente ciertos Usuarios/IP tengan acceso al menú Web  y a la Consola (vía SSH) del pfSense.

    En la primera Regla; "Admins" es 1 alias con las IP de los equipos que tendrán acceso al Menú Web / SSH, "management_ip" es otro alias que contiene la IP de cada una de las Interfaces y "management_port" es otro alias que contiene los "Puertos" en el que tienes el Webconfigurator y SSH (443/80/22... o el que hayas configurado)...

    En dicha regla indicamos al pfSense que el Trafico que NO (! not) venga de las IPs de los "Administradores" hacia la IP/Puerto del Menú Web/SSH sea "Bloqueado"

    En la Segunda Regla; "Local_Nets" es un alias con la "Subred/Red" de cada una de las interfaces del pfSense.

    En dicha Regla indicamos al pfSense que el Trafico de los Hosts de esa inteface, que NO (! not) tenga como destino ninguna de los segmentos de Red "locales" del pfSense "Pase" (y por ende salga a internet).

    Mas info, pues, a Leer se ha dicho :D

    https://forum.pfsense.org/index.php?topic=23409.0

    https://doc.pfsense.org/index.php/Main_Page

    Conste que no es esta la única manera de hacerlo.... tendrás analizar el tema, y luego, definir/decidir cual es la que mejor se ajusta a tus necesidades específicas.




  • simple, sencillo, funcional.

    muy buen post ptt


Log in to reply