[Linuxtrent] Re: aiuto pfsense

• From: "Marco Ciampa" <dmarc-noreply@xxxxxxxxxxxxx> (Redacted sender "ciampix" for DMARC)
• To: linuxtrent@xxxxxxxxxxxxx
• Date: Thu, 30 Mar 2017 12:34:09 +0200

On Thu, Mar 30, 2017 at 11:50:54AM +0200, Riccardo Bicelli wrote:

Per bloccare l'accesso alla WEB UI è sufficiente impostare una regola che
blocchi il traffico sulla porta riservata alla WEB UI verso l'indirizzo
dell'interfaccia che vuoi "chiudere".

Per esempio, se dalla WAN1 vuoi chiudere la tua WEB UI che gira su HTTPS
fai una regola:

Interface: WAN1
Action: Block
Protocol: TCP
Destination : WAN1 Address
Destination Port Range: From HTTPS To HTTPS

E così blocchi.

Questo l'avevo trovato ma non mi è chiara una cosa. Supponiamo che
redirezioni la porta (https per esempio) verso l'interno. Questo blocco
me la blocca per ogni tipo di accesso, sia locale che in port forwarding,
vero? Per cui non c'è modo di _non_ bloccare la porta ma bloccare
l'interfaccia web al firewall nel caso che quest'ultimo faccia anche da
IP pubblico...

Tradotto: sotto Linux esistono le tabelle di IN OUT e FORWARD. Se voglio
bloccare l'accesso alla macchina ma non che i pacchetti la attraversino,
blocco la tabella di IN ma non quella di FORWARD. Su pfsense (ergo BSD)
non mi è chiaro come questo possa distinguere le due cose per cui se
faccio una regola che blocca la porta HTTPS questa (mi sembra) viene
bloccata sia se questa è per l'accesso all'interfaccia Web di pfsense
(locale) che per il forward (la macchina interna che "subisce" il port
forward dietro al pfsense che espone l'IP pubblico.

Non so se mi sono spiegato.

Però di default linterfaccia web non dovrebbe essere accessibile da reti
diverse dalla LAN. Al momento dell'installazione viene create una regola di
anti-lockout sulla LAN che previene di restare chiusi fuori
dall'interfaccia web in caso di regole di lock inserite per sbaglio.
Ovviamente questa regola di anti-lockout fà si che da un host della LAN si
possa accedere all'interfaccia web del firewall su ogni interfaccia del
firewall stesso (WAN Comprese), a meno che non sia esplicitata una regola
di blocco sulle singole interfacce.

Quindi il fatto che la regola sia nella tabella dell'interfaccia LAN è in
realtà una cosa ininfluente visto che agisce su tutte le interfacce...

L'unico modo per capire è provare e sbagliare e rimediare.
Per ora sono nella fase degli sbagli... ;-)

--


Marco Ciampa

I know a joke about UDP, but you might not get it.

------------------------

 GNU/Linux User #78271
 FSFE fellow #364

------------------------

-- 
Per iscriversi  (o disiscriversi), basta spedire un  messaggio con OGGETTO
"subscribe" (o "unsubscribe") a mailto:linuxtrent-request@xxxxxxxxxxxxx

• Follow-Ups:
  • [Linuxtrent] Re: aiuto pfsense
    • From: Riccardo Bicelli

• References:
  • [Linuxtrent] aiuto pfsense
    • From: Marco Ciampa
  • [Linuxtrent] Re: aiuto pfsense
    • From: Marco Ciampa
  • [Linuxtrent] Re: aiuto pfsense
    • From: Riccardo Bicelli
  • [Linuxtrent] Re: aiuto pfsense
    • From: Marco Ciampa
  • [Linuxtrent] Re: aiuto pfsense
    • From: Riccardo Bicelli

Other related posts:

• » [Linuxtrent] aiuto pfsense- Marco Ciampa
• » [Linuxtrent] Re: aiuto pfsense- Marco Ciampa
• » [Linuxtrent] Re: aiuto pfsense- Riccardo Bicelli
• » [Linuxtrent] Re: aiuto pfsense- Marco Ciampa
• » [Linuxtrent] Re: aiuto pfsense- Riccardo Bicelli
• » [Linuxtrent] Re: aiuto pfsense - Marco Ciampa
• » [Linuxtrent] Re: aiuto pfsense- Riccardo Bicelli
• » [Linuxtrent] Re: aiuto pfsense- Marco Ciampa

1. Home
2. linuxtrent
3. Archive
4. 03-2017

---

• » Previous by Date
• » Next by Date
• » Related Posts
• » View list details
• » Manage your subscription

---