4. (Resolvido) Pfsense 2.2.x (Rules Não Libera Somente IP especifico)

(Resolvido) Pfsense 2.2.x (Rules Não Libera Somente IP especifico)

  • J

    Boa tarde amigos,

    Estou tendo um probleminha no meu Pfsense 2.2.4 em especifico, mas ja tive o mesmo problema com versões 2.2.2 e 2.2.3.

    • Na versão 2.1.5, eu crio um Aliase (Bloqueio_RedeSocial) e coloco dentro: pt-br.facebook.com, facebook.com, instagram..etc. certo!
    • Depois vou em Rules e crio uma regra que bloqueia acessos da LAN indo para esse Aliase e coloco ele como primeiro de todas as regras, assim quem tentar acessar um deses sites e ele não deixa passar tanto na HTTP quanto na HTTPS. certo!
    • Crio um Aliase colocando nele apenas os ips que eu quero que acesse esses sites, sendo que os demais vão continuar bloqueados. Coloco essa regra acima da regra de (Bloqueio_RedeSocial), dai funciona certinho, apenas esses ips que eu liberei funciona Socialnet os demais continuam fechados.

    O Problema:

    Fiz tudo isso na versão 2.2.3 e 2.2.4 e em ambos a regra ao invez de liberar somente o que esta no Aliase, ele libera a toda a rede.. entendeream? ou seja, é como se ele não reconhecese o Aliase e deixa passar para todo mundo.

    Testei usando somente um IP, mesmo assim ele ignora o ip que coloquei e deixa passar para todo o restante da rede.

    Alguem ja passou por isso?
    Tem solução?

    0

  • Pra entender melhor precisa nos mostrar as regras, pois pode estar passando algum detalhe que você não viu. Entendeu?

    0
  • J

    A Tela 1 mostra como a regra deve ficar. "permitidos" a primeira regra é onde fica os ips que podem acessar qualquer coisa e ir para qualquer porta.

    A segunda regra mostra um aliase com o nome "bloqueados" que é uma lista de hosts que não quero que o restante da rede use, como exemplo: facebook.com, pt-br.facebook.com, instagram.

    A terceira regra passa todo o resto, menos os hosts que estão em "Bloqueados".

    OBS: Essa configuração esta no pfsense 2.1.5 x64, funciona normalmente. Ate mesmo se eu colocar um ip especifico no lugar do aliase "Permitidos" tambem funciona.

    A mesma configuração fiz no 2.2.3 e não funcionou. Por exemplo, se eu colocar no lugar do aliase "Permitidos" um ip especifico (como mostra a Tela2), ele libera tudo, ou seja, o que esta na aliase "Bloqueados" perde o efeito… "se é que me entenderam!"

    Hoje baixei a versão 2.2.4 x64, instalei e fiz o mesmo procedimento como esta na Tela2, não funcionou ele deixa passar, mas ai fiz um teste criando Aliase como mostra a Tela1 e para minha alegria funcionou!!!!.

    Ai vem a questão!!!

    Sera que eu estou fazendo algo de errado como é o caso da Tela2? Ou o sistema por algum motivo esta deixando passar quando coloco apenas um unico ip?




    0
  • R

    Tudo indica que o facebook esta se conectando por algum ip,host que não foi bloqueado. Verifica se o dns do pfsense esta conseguindo resolver o ip e se o dns das estacões não esta configurado para um dns diferente do pfsense.

    0
  • J

    @reinaldo.feitosa:

    Tudo indica que o facebook esta se conectando por algum ip,host que não foi bloqueado. Verifica se o dns do pfsense esta conseguindo resolver o ip e se o dns das estacões não esta configurado para um dns diferente do pfsense.

    Não reinaldo.feitosa, esta tudo certinho!!!! é como expliquei no post acima.

    0
  • R

    Observei agora na sua Tela2 você colocou 192.168.1.2/24 este /24 esta falando que sua rede toda, para ser só o ip nao precisa de informar a mascara ou seria /32 e nao /24

    0
  • J

    @reinaldo.feitosa:

    Observei agora na sua Tela2 você colocou 192.168.1.2/24 este /24 esta falando que sua rede toda, para ser só o ip nao precisa de informar a mascara ou seria /32 e nao /24

    Ok! Mas qual a influencia disso? So para eu entender: o /24 ele iria por exemplo dizer que "não interessa o ip com esse /24 passa tudo!" +ou- isso?
    Dai o /32 ja faz o inverso ele so permite o ip e pronto!.

    0
  • J

    @reinaldo.feitosa:

    Observei agora na sua Tela2 você colocou 192.168.1.2/24 este /24 esta falando que sua rede toda, para ser só o ip nao precisa de informar a mascara ou seria /32 e nao /24

    Reinaldo gostaria muito de agradecer por sua ajuda, realmente o problema era o maldito /24. Estou em teste neste momento aqui no laboratório e constatei que se colocarmos o /24 ele mata o bloqueio para os sites que eu queria. Quando coloquei por exemplo o /32 funcionou direitinho.

    Valeu Mesmo!!

    Estou trabalhando aqui no laboratório com a integração do pfsense + AD + squid3 + squidguard, ate agora tudo esta rolando perfeitamente bem! Autenticação por usuário (grupos liberados e bloqueados), faixa de ips livre do proxy e muito mais….. ta show aqui no PFS!!

    Caso alguém tenha interesse posso fazer um post de como tudo foi feito.

    0
  • R

    Para você entender como funcina subrede leia: https://pt.wikipedia.org/wiki/Sub-rede

    Quando você quiser especificar um único host (IP) não precisa colocar /32, então em vez de vc colocar 192.168.1.2/32 só precisa 192.168.1.2

    Att.,

    Reinaldo Feitosa
    Analista de Sistemas

    0
 

Products

Applications

Support

Services

News

Resources

Company

Our Mission

As host of the pfSense open source firewall project, Netgate believes in enhancing network connectivity that maintains both security and privacy. We also believe everyone should be able to afford it.

Subscribe to our Newsletter

Product information, software announcements, and special offers. See our newsletter archive for past announcements.

© Copyright 2002 - 2018 Rubicon Communications, LLC | Privacy Policy