pfSense заблокировать весь трафик, кроме опеределенных ресуров.

0

1

Развернул под Proxmox на ВМ pfsense. Настроил OpenVPN. Извне коннект проходить все ок. Необходимо закрыть доступ ко всем ресурсам кроме определенных (по ip). Создал в Aliases не сколько записей с белыми ip адресами (куда надо открыть доступ). Firewall/Rules/OpenVPN добавил правила разрешающий доступ с алиасами и создал правило Block всех ресурсов(ниже всех). При коннект клиента доступ закрыт ко всему. Отключаю правило Block и все сайты открываются. Как сделать доступ только к определенным ресурсам?

Ссылка

←	Как лучше сделать сжатый swap?

Автоматическое подключение к Vpn

→

Конфиг-то выложишь, или нам догадываться?

anonymous
(12.04.21 09:56:55 MSK)

Ответ на: комментарий от anonymous 12.04.21 09:56:55 MSK

Aliases

<aliases>
	<alias>
		<name>WLlinuxorgru</name>
		<type>host</type>
		<address>178.248.233.6</address>
		<descr></descr>
		<detail><![CDATA[Entry added Mon, 12 Apr 2021 06:44:09 +0000]]></detail>
	</alias>
</aliases>


Rules

<filter>
	<rule>
		<descr><![CDATA[OpenVPN Remote Users wizard]]></descr>
		<direction>in</direction>
		<source>
			<any></any>
		</source>
		<destination>
			<network>wanip</network>
			<port>1199</port>
		</destination>
		<interface>wan</interface>
		<protocol>udp</protocol>
		<type>pass</type>
		<enabled>on</enabled>
		<tracker>1618209177</tracker>
		<created>
			<time>1618209177</time>
			<username><![CDATA[OpenVPN Wizard]]></username>
		</created>
	</rule>
	<rule>
		<type>pass</type>
		<ipprotocol>inet</ipprotocol>
		<descr><![CDATA[Default allow LAN to any rule]]></descr>
		<interface>lan</interface>
		<tracker>0100000101</tracker>
		<source>
			<network>lan</network>
		</source>
		<destination>
			<any></any>
		</destination>
	</rule>
	<rule>
		<type>pass</type>
		<ipprotocol>inet6</ipprotocol>
		<descr><![CDATA[Default allow LAN IPv6 to any rule]]></descr>
		<interface>lan</interface>
		<tracker>0100000102</tracker>
		<source>
			<network>lan</network>
		</source>
		<destination>
			<any></any>
		</destination>
	</rule>
	<rule>
		<id></id>
		<tracker>1618209920</tracker>
		<type>pass</type>
		<interface>openvpn</interface>
		<ipprotocol>inet</ipprotocol>
		<tag></tag>
		<tagged></tagged>
		<max></max>
		<max-src-nodes></max-src-nodes>
		<max-src-conn></max-src-conn>
		<max-src-states></max-src-states>
		<statetimeout></statetimeout>
		<statetype><![CDATA[keep state]]></statetype>
		<os></os>
		<protocol>tcp</protocol>
		<source>
			<any></any>
		</source>
		<destination>
			<address>WLlinuxorgru</address>
		</destination>
		<descr></descr>
		<created>
			<time>1618209920</time>
			<username><![CDATA[admin@90.189.XXX.XXX (Local Database)]]></username>
		</created>
		<updated>
			<time>1618210706</time>
			<username><![CDATA[admin@90.189.XXX.XXX (Local Database)]]></username>
		</updated>
	</rule>
	<rule>
		<id></id>
		<tracker>1618210151</tracker>
		<type>block</type>
		<interface>openvpn</interface>
		<ipprotocol>inet46</ipprotocol>
		<tag></tag>
		<tagged></tagged>
		<max></max>
		<max-src-nodes></max-src-nodes>
		<max-src-conn></max-src-conn>
		<max-src-states></max-src-states>
		<statetimeout></statetimeout>
		<statetype><![CDATA[keep state]]></statetype>
		<os></os>
		<source>
			<any></any>
		</source>
		<destination>
			<any></any>
		</destination>
		<descr></descr>
		<created>
			<time>1618210151</time>
			<username><![CDATA[admin@90.189.XXX.XXX (Local Database)]]></username>
		</created>
		<updated>
			<time>1618210439</time>
			<username><![CDATA[admin@90.189.XXX.XXX (Local Database)]]></username>
		</updated>
	</rule>
	<rule>
		<descr><![CDATA[OpenVPN Remote Users wizard]]></descr>
		<source>
			<any></any>
		</source>
		<destination>
			<any></any>
		</destination>
		<interface>openvpn</interface>
		<type>pass</type>
		<enabled>on</enabled>
		<tracker>1618209178</tracker>
		<created>
			<time>1618209177</time>
			<username><![CDATA[OpenVPN Wizard]]></username>
		</created>
	</rule>
	<separator>
		<wan></wan>
		<openvpn></openvpn>
	</separator>
</filter>

Dmit84
(12.04.21 10:20:40 MSK) автор топика

Ссылка

https://skr.sh/s7XMcVZezJx?a https://skr.sh/s7XeTDm4sxB?a

Dmit84
(12.04.21 10:24:36 MSK) автор топика

Ссылка

При коннект клиента доступ закрыт ко всему.

Уверен? Судя по правилам фаерволла он закрыт ко всему кроме двух IP. Ты же в курсе, что львиная доля сайтов в современном мире не живет на одном IP? Что сайт как конструктор собран из кирпичиков, когда каждый кусочек живет на своём CDN/проксируется через Cloudflare и т.п. В современном мире нельзя открыть пару IP и сказать, что вот это я открыл какой-то сайт - остальное в блок.

Кстати, где разрешающие правила для хождения UDP/TCP DNS? DNS over HTTPS?

anonymous
(12.04.21 20:09:09 MSK)

Ответ на: комментарий от anonymous 12.04.21 20:09:09 MSK

https://clip2net.com/s/4bFpdUz

до DNS вчера дошло, что в список под блокировки попадают, разрешил. Но очень долго иногда открываются страница. Прописал еще диапозон Телеграм и иногда коннект пропадает, через какое то время появляется

Dmit84
(13.04.21 07:29:00 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Как лучше сделать сжатый swap?

Admin

Автоматическое подключение к Vpn

→

Похожие темы