Per bloccare l'accesso alla WEB UI è sufficiente impostare una regola che
blocchi il traffico sulla porta riservata alla WEB UI verso l'indirizzo
dell'interfaccia che vuoi "chiudere".
Per esempio, se dalla WAN1 vuoi chiudere la tua WEB UI che gira su HTTPS
fai una regola:
Interface: WAN1
Action: Block
Protocol: TCP
Destination : WAN1 Address
Destination Port Range: From HTTPS To HTTPS
E così blocchi.
Però di default linterfaccia web non dovrebbe essere accessibile da reti
diverse dalla LAN. Al momento dell'installazione viene create una regola di
anti-lockout sulla LAN che previene di restare chiusi fuori
dall'interfaccia web in caso di regole di lock inserite per sbaglio.
Ovviamente questa regola di anti-lockout fà si che da un host della LAN si
possa accedere all'interfaccia web del firewall su ogni interfaccia del
firewall stesso (WAN Comprese), a meno che non sia esplicitata una regola
di blocco sulle singole interfacce.
Il giorno 29 marzo 2017 22:25, Marco Ciampa <dmarc-noreply@xxxxxxxxxxxxx>
ha scritto:
On Wed, Mar 29, 2017 at 01:49:47PM +0200, Riccardo Bicelli wrote:
Ciao,
Hai una WAN singola nella quale colleghi entrambi i modem oppure hai due
WAN distinte?
Due WAN. Una su cui si esce che finisce in una rete 10.* e l'altra che fa
solo il NAT dell'IP pubblico statico su una macchina locale (non ho una
DMZ anche se potrei impostarla ma devo ancora prenderci un po' manetta su
pfsense anche se mi sto divertendo parecchio... :-).
Caaaalma. Scusate sono dovuto uscire senza scrivere aggiornamenti.
Non ho riprovato il NAT 1:1 ma solo il port forwarding e funziona.
Mi aveva tratto in inganno il fatto che continuavo a vedere l'iterfaccia
web del FW. In realtà era perché di fatto non uscivo mai su Internet.
Mi spiego. L'IP pubblico è di un provider (Brennercom) e uscivo su
internet da Trentino Network che (ho il forte sospetto) usi Brennercom
come provider. Ergo non uscivo realmente mai su Internet, il FW se ne
accorge e non mi fa vedere il sito ma ciò che vedo dall'interno.
Se mi collego col telefonino vedo tutto e idem da casa.
Diciamo che mi piacerebbe impostare l'interfaccia web di pfsense in modo
da farla vedere solo se si accede dalla rete locale-locale, cioè
192.168.0.* e non da 10.* ecc. ma non so da che parte cominciare...
Grazie anticipatamente per ogni suggerimento...
--
Marco Ciampa
I know a joke about UDP, but you might not get it.
------------------------
GNU/Linux User #78271
FSFE fellow #364
------------------------
--
Per iscriversi (o disiscriversi), basta spedire un messaggio con OGGETTO
"subscribe" (o "unsubscribe") a mailto:linuxtrent-request@xxxxxxxxxxxxx
