[Linuxtrent] Re: aiuto pfsense
- From: Riccardo Bicelli <r.bicelli@xxxxxxxxx>
- To: linuxtrent@xxxxxxxxxxxxx
- Date: Thu, 30 Mar 2017 16:17:28 +0200
Il giorno 30 marzo 2017 12:34, Marco Ciampa <dmarc-noreply@xxxxxxxxxxxxx>
ha scritto:
Questo l'avevo trovato ma non mi è chiara una cosa. Supponiamo che
redirezioni la porta (https per esempio) verso l'interno. Questo blocco
me la blocca per ogni tipo di accesso, sia locale che in port forwarding,
vero? Per cui non c'è modo di _non_ bloccare la porta ma bloccare
l'interfaccia web al firewall nel caso che quest'ultimo faccia anche da
IP pubblico...
Tradotto: sotto Linux esistono le tabelle di IN OUT e FORWARD. Se voglio
bloccare l'accesso alla macchina ma non che i pacchetti la attraversino,
blocco la tabella di IN ma non quella di FORWARD. Su pfsense (ergo BSD)
non mi è chiaro come questo possa distinguere le due cose per cui se
faccio una regola che blocca la porta HTTPS questa (mi sembra) viene
bloccata sia se questa è per l'accesso all'interfaccia Web di pfsense
(locale) che per il forward (la macchina interna che "subisce" il port
forward dietro al pfsense che espone l'IP pubblico.
Non so se mi sono spiegato.
Se in pfsense fai un port forward, quando aggiungi la regola di NAT
automaticamente viene aggiunta una filter rule associata che consente,
dall'interfaccia di provenienza, il traffico per la porta designata verso
l'host su cui esegui il forward.
Ovviamente quella filter rule per funzionare deve stare più in alto
rispetto alla regola di blocco.
Quindi il fatto che la regola sia nella tabella dell'interfaccia LAN è in
realtà una cosa ininfluente visto che agisce su tutte le interfacce...
Penso proprio di essermi sbagliato. Di default la regola anti-lockout viene
impostata sull'indirizzo della LAN. E' la regola per uscire all'esterno, la
LAN-to-Any che ti fa accedere (anche) alla web ui delle altre interfacce.
Di default pfsense non ha un isolamento delle interfacce e devi farlo tu a
mano.
Buona pratica, per isolare le LAN, è creare un alias di ip nel firewall che
rappresenti tutte le reti locali utilizzate e chiamarlo (con molta
fantasia) all_local_subnets.
Negli indirizzi ip metti le subnet di tutte le tue LAN.
Poi su ogni LAN crei le seguenti regole, partendo dal fondo e andando in su:
1: Isolamento rete: Blocca tutto
2: Uscita su Internet: Consenti tutto, destinazione NOT (Invert Match in
Web UI) all local_subnets
3: Accesso all'interfaccia: Consenti tutto su Interface Address (In realtà
si potrebbe essere ancora più restrittivi, limitando l'accesso ai soli
servizi che si desidera rendere accessibili)
Impostando queste regole non dovresti più poter accedere alla web ui su
interfacce diverse da quella a cui sei collegato.
Riccardo.
Other related posts:
