(Resolvido) Pfsense 2.2.x (Rules Não Libera Somente IP especifico)



  • Boa tarde amigos,

    Estou tendo um probleminha no meu Pfsense 2.2.4 em especifico, mas ja tive o mesmo problema com versões 2.2.2 e 2.2.3.

    • Na versão 2.1.5, eu crio um Aliase (Bloqueio_RedeSocial) e coloco dentro: pt-br.facebook.com, facebook.com, instagram..etc. certo!
    • Depois vou em Rules e crio uma regra que bloqueia acessos da LAN indo para esse Aliase e coloco ele como primeiro de todas as regras, assim quem tentar acessar um deses sites e ele não deixa passar tanto na HTTP quanto na HTTPS. certo!
    • Crio um Aliase colocando nele apenas os ips que eu quero que acesse esses sites, sendo que os demais vão continuar bloqueados. Coloco essa regra acima da regra de (Bloqueio_RedeSocial), dai funciona certinho, apenas esses ips que eu liberei funciona Socialnet os demais continuam fechados.

    O Problema:

    Fiz tudo isso na versão 2.2.3 e 2.2.4 e em ambos a regra ao invez de liberar somente o que esta no Aliase, ele libera a toda a rede.. entendeream? ou seja, é como se ele não reconhecese o Aliase e deixa passar para todo mundo.

    Testei usando somente um IP, mesmo assim ele ignora o ip que coloquei e deixa passar para todo o restante da rede.

    Alguem ja passou por isso?
    Tem solução?



  • Pra entender melhor precisa nos mostrar as regras, pois pode estar passando algum detalhe que você não viu. Entendeu?



  • A Tela 1 mostra como a regra deve ficar. "permitidos" a primeira regra é onde fica os ips que podem acessar qualquer coisa e ir para qualquer porta.

    A segunda regra mostra um aliase com o nome "bloqueados" que é uma lista de hosts que não quero que o restante da rede use, como exemplo: facebook.com, pt-br.facebook.com, instagram.

    A terceira regra passa todo o resto, menos os hosts que estão em "Bloqueados".

    OBS: Essa configuração esta no pfsense 2.1.5 x64, funciona normalmente. Ate mesmo se eu colocar um ip especifico no lugar do aliase "Permitidos" tambem funciona.

    A mesma configuração fiz no 2.2.3 e não funcionou. Por exemplo, se eu colocar no lugar do aliase "Permitidos" um ip especifico (como mostra a Tela2), ele libera tudo, ou seja, o que esta na aliase "Bloqueados" perde o efeito… "se é que me entenderam!"

    Hoje baixei a versão 2.2.4 x64, instalei e fiz o mesmo procedimento como esta na Tela2, não funcionou ele deixa passar, mas ai fiz um teste criando Aliase como mostra a Tela1 e para minha alegria funcionou!!!!.

    Ai vem a questão!!!

    Sera que eu estou fazendo algo de errado como é o caso da Tela2? Ou o sistema por algum motivo esta deixando passar quando coloco apenas um unico ip?






  • Tudo indica que o facebook esta se conectando por algum ip,host que não foi bloqueado. Verifica se o dns do pfsense esta conseguindo resolver o ip e se o dns das estacões não esta configurado para um dns diferente do pfsense.



  • @reinaldo.feitosa:

    Tudo indica que o facebook esta se conectando por algum ip,host que não foi bloqueado. Verifica se o dns do pfsense esta conseguindo resolver o ip e se o dns das estacões não esta configurado para um dns diferente do pfsense.

    Não reinaldo.feitosa, esta tudo certinho!!!! é como expliquei no post acima.



  • Observei agora na sua Tela2 você colocou 192.168.1.2/24 este /24 esta falando que sua rede toda, para ser só o ip nao precisa de informar a mascara ou seria /32 e nao /24



  • @reinaldo.feitosa:

    Observei agora na sua Tela2 você colocou 192.168.1.2/24 este /24 esta falando que sua rede toda, para ser só o ip nao precisa de informar a mascara ou seria /32 e nao /24

    Ok! Mas qual a influencia disso? So para eu entender: o /24 ele iria por exemplo dizer que "não interessa o ip com esse /24 passa tudo!" +ou- isso?
    Dai o /32 ja faz o inverso ele so permite o ip e pronto!.



  • @reinaldo.feitosa:

    Observei agora na sua Tela2 você colocou 192.168.1.2/24 este /24 esta falando que sua rede toda, para ser só o ip nao precisa de informar a mascara ou seria /32 e nao /24

    Reinaldo gostaria muito de agradecer por sua ajuda, realmente o problema era o maldito /24. Estou em teste neste momento aqui no laboratório e constatei que se colocarmos o /24 ele mata o bloqueio para os sites que eu queria. Quando coloquei por exemplo o /32 funcionou direitinho.

    Valeu Mesmo!!

    Estou trabalhando aqui no laboratório com a integração do pfsense + AD + squid3 + squidguard, ate agora tudo esta rolando perfeitamente bem! Autenticação por usuário (grupos liberados e bloqueados), faixa de ips livre do proxy e muito mais….. ta show aqui no PFS!!

    Caso alguém tenha interesse posso fazer um post de como tudo foi feito.



  • Para você entender como funcina subrede leia: https://pt.wikipedia.org/wiki/Sub-rede

    Quando você quiser especificar um único host (IP) não precisa colocar /32, então em vez de vc colocar 192.168.1.2/32 só precisa 192.168.1.2

    Att.,

    Reinaldo Feitosa
    Analista de Sistemas