Navigation

    Netgate Discussion Forum
    • Register
    • Login
    • Search
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search

    (Resolvido) Pfsense 2.2.x (Rules Não Libera Somente IP especifico)

    Portuguese
    3
    9
    773
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • J
      joselysr last edited by

      Boa tarde amigos,

      Estou tendo um probleminha no meu Pfsense 2.2.4 em especifico, mas ja tive o mesmo problema com versões 2.2.2 e 2.2.3.

      • Na versão 2.1.5, eu crio um Aliase (Bloqueio_RedeSocial) e coloco dentro: pt-br.facebook.com, facebook.com, instagram..etc. certo!
      • Depois vou em Rules e crio uma regra que bloqueia acessos da LAN indo para esse Aliase e coloco ele como primeiro de todas as regras, assim quem tentar acessar um deses sites e ele não deixa passar tanto na HTTP quanto na HTTPS. certo!
      • Crio um Aliase colocando nele apenas os ips que eu quero que acesse esses sites, sendo que os demais vão continuar bloqueados. Coloco essa regra acima da regra de (Bloqueio_RedeSocial), dai funciona certinho, apenas esses ips que eu liberei funciona Socialnet os demais continuam fechados.

      O Problema:

      Fiz tudo isso na versão 2.2.3 e 2.2.4 e em ambos a regra ao invez de liberar somente o que esta no Aliase, ele libera a toda a rede.. entendeream? ou seja, é como se ele não reconhecese o Aliase e deixa passar para todo mundo.

      Testei usando somente um IP, mesmo assim ele ignora o ip que coloquei e deixa passar para todo o restante da rede.

      Alguem ja passou por isso?
      Tem solução?

      1 Reply Last reply Reply Quote 0
      • T
        tomaswaldow last edited by

        Pra entender melhor precisa nos mostrar as regras, pois pode estar passando algum detalhe que você não viu. Entendeu?

        1 Reply Last reply Reply Quote 0
        • J
          joselysr last edited by

          A Tela 1 mostra como a regra deve ficar. "permitidos" a primeira regra é onde fica os ips que podem acessar qualquer coisa e ir para qualquer porta.

          A segunda regra mostra um aliase com o nome "bloqueados" que é uma lista de hosts que não quero que o restante da rede use, como exemplo: facebook.com, pt-br.facebook.com, instagram.

          A terceira regra passa todo o resto, menos os hosts que estão em "Bloqueados".

          OBS: Essa configuração esta no pfsense 2.1.5 x64, funciona normalmente. Ate mesmo se eu colocar um ip especifico no lugar do aliase "Permitidos" tambem funciona.

          A mesma configuração fiz no 2.2.3 e não funcionou. Por exemplo, se eu colocar no lugar do aliase "Permitidos" um ip especifico (como mostra a Tela2), ele libera tudo, ou seja, o que esta na aliase "Bloqueados" perde o efeito… "se é que me entenderam!"

          Hoje baixei a versão 2.2.4 x64, instalei e fiz o mesmo procedimento como esta na Tela2, não funcionou ele deixa passar, mas ai fiz um teste criando Aliase como mostra a Tela1 e para minha alegria funcionou!!!!.

          Ai vem a questão!!!

          Sera que eu estou fazendo algo de errado como é o caso da Tela2? Ou o sistema por algum motivo esta deixando passar quando coloco apenas um unico ip?




          1 Reply Last reply Reply Quote 0
          • R
            reinaldo.feitosa last edited by

            Tudo indica que o facebook esta se conectando por algum ip,host que não foi bloqueado. Verifica se o dns do pfsense esta conseguindo resolver o ip e se o dns das estacões não esta configurado para um dns diferente do pfsense.

            1 Reply Last reply Reply Quote 0
            • J
              joselysr last edited by

              @reinaldo.feitosa:

              Tudo indica que o facebook esta se conectando por algum ip,host que não foi bloqueado. Verifica se o dns do pfsense esta conseguindo resolver o ip e se o dns das estacões não esta configurado para um dns diferente do pfsense.

              Não reinaldo.feitosa, esta tudo certinho!!!! é como expliquei no post acima.

              1 Reply Last reply Reply Quote 0
              • R
                reinaldo.feitosa last edited by

                Observei agora na sua Tela2 você colocou 192.168.1.2/24 este /24 esta falando que sua rede toda, para ser só o ip nao precisa de informar a mascara ou seria /32 e nao /24

                1 Reply Last reply Reply Quote 0
                • J
                  joselysr last edited by

                  @reinaldo.feitosa:

                  Observei agora na sua Tela2 você colocou 192.168.1.2/24 este /24 esta falando que sua rede toda, para ser só o ip nao precisa de informar a mascara ou seria /32 e nao /24

                  Ok! Mas qual a influencia disso? So para eu entender: o /24 ele iria por exemplo dizer que "não interessa o ip com esse /24 passa tudo!" +ou- isso?
                  Dai o /32 ja faz o inverso ele so permite o ip e pronto!.

                  1 Reply Last reply Reply Quote 0
                  • J
                    joselysr last edited by

                    @reinaldo.feitosa:

                    Observei agora na sua Tela2 você colocou 192.168.1.2/24 este /24 esta falando que sua rede toda, para ser só o ip nao precisa de informar a mascara ou seria /32 e nao /24

                    Reinaldo gostaria muito de agradecer por sua ajuda, realmente o problema era o maldito /24. Estou em teste neste momento aqui no laboratório e constatei que se colocarmos o /24 ele mata o bloqueio para os sites que eu queria. Quando coloquei por exemplo o /32 funcionou direitinho.

                    Valeu Mesmo!!

                    Estou trabalhando aqui no laboratório com a integração do pfsense + AD + squid3 + squidguard, ate agora tudo esta rolando perfeitamente bem! Autenticação por usuário (grupos liberados e bloqueados), faixa de ips livre do proxy e muito mais….. ta show aqui no PFS!!

                    Caso alguém tenha interesse posso fazer um post de como tudo foi feito.

                    1 Reply Last reply Reply Quote 0
                    • R
                      reinaldo.feitosa last edited by

                      Para você entender como funcina subrede leia: https://pt.wikipedia.org/wiki/Sub-rede

                      Quando você quiser especificar um único host (IP) não precisa colocar /32, então em vez de vc colocar 192.168.1.2/32 só precisa 192.168.1.2

                      Att.,

                      Reinaldo Feitosa
                      Analista de Sistemas

                      1 Reply Last reply Reply Quote 0
                      • First post
                        Last post

                      Products

                      • Platform Overview
                      • TNSR
                      • pfSense Plus
                      • Appliances

                      Services

                      • Training
                      • Professional Services

                      Support

                      • Subscription Plans
                      • Contact Support
                      • Product Lifecycle
                      • Documentation

                      News

                      • Media Coverage
                      • Press
                      • Events

                      Resources

                      • Blog
                      • FAQ
                      • Find a Partner
                      • Resource Library
                      • Security Information

                      Company

                      • About Us
                      • Careers
                      • Partners
                      • Contact Us
                      • Legal
                      Our Mission

                      We provide leading-edge network security at a fair price - regardless of organizational size or network sophistication. We believe that an open-source security model offers disruptive pricing along with the agility required to quickly address emerging threats.

                      Subscribe to our Newsletter

                      Product information, software announcements, and special offers. See our newsletter archive to sign up for future newsletters and to read past announcements.

                      © 2021 Rubicon Communications, LLC | Privacy Policy