Info su regole default di PfSense!



  • Ciao,
    procedo il mio approfondimento su pfsense  ;) ed ho notato una cosa…

    Di default, viene creata una regola nella LAN che permette il traffico verso tutti...
    come mai?

    Inoltre, ho notato che riesco a pingare il mio router (collegato sull'interfaccia WAN) da qualsiasi computer della LAN.
    Ma non deve essere cosi di default, o mi sbaglio? In pratica, in questo modo tutti possono impostare come gateway direttamente il router e non passare per il firewall...
    Come è possibile??
    Come ovviare a ciò?

    Io voglio che gli utenti devono solo poter navigare ATTRAVERSO il SOLO FIREWALL e tutto ciò che c'è sull'interfaccia WAN non deve essere accessibile dalla LAN!!!!

    GRAZIE



  • Quella è solo una regola di defalut di "comodo" e nulla più … deve dice che tutti i pc di una lan (e tipicamente negli uffici la lan viene considerata sicura) può "uscire".

    Stà a te poi personalizzare il tutto nessuno ti vieta di lasciare il traffico sulle porte 80 per lan e fine poi ovviamente dovrai prevedere qualcosa di meglio per l'ip del tuo pc ...

    Nessuno ti vieta di togliere quella regole e mettere delle regole più restrittive ... tipo per : pass proto tcp - lan sub - dest any - port 21 | 25 | 53 | 80 | 110 | 443 (porte std x il web) poi metti qualcosa del tipo "pass proto any - my ip - dest any - port any" per far passare tutto il traffico dal tuo ip e poi come ultima regola metti "block proto any  - any - dest any - any".

    Ciaoz.-

    Matteo



  • @firewall:

    Inoltre, ho notato che riesco a pingare il mio router (collegato sull'interfaccia WAN) da qualsiasi computer della LAN.
    Ma non deve essere cosi di default, o mi sbaglio? In pratica, in questo modo tutti possono impostare come gateway direttamente il router e non passare per il firewall…

    hai verificato solo il ping e ipotizzato la possibilità di uscire direttamente via router cambiando gw o è davvero così?
    dubito che il tuo client (con ip privato) abbia idea di come raggiungere il router (che avrà ip pubblico) senza un gateway appartenente alla stessa subnet della tua LAN per cui dovrebbe essere impossibile che funzioni.



  • @bruno:

    @firewall:

    Inoltre, ho notato che riesco a pingare il mio router (collegato sull'interfaccia WAN) da qualsiasi computer della LAN.
    Ma non deve essere cosi di default, o mi sbaglio? In pratica, in questo modo tutti possono impostare come gateway direttamente il router e non passare per il firewall…

    hai verificato solo il ping e ipotizzato la possibilità di uscire direttamente via router cambiando gw o è davvero così?
    dubito che il tuo client (con ip privato) abbia idea di come raggiungere il router (che avrà ip pubblico) senza un gateway appartenente alla stessa subnet della tua LAN per cui dovrebbe essere impossibile che funzioni.

    si… la mia è stata un'ipotesi... comunque appena ho 10 minuti provo e aggiorno il topic...
    grazie mille!!!


Locked