[ Introducció ] [ Cas-Estudi ] [ Instal·lació ] [ Configuració base ] [ Àlies ] [ NAT ] [ Regles ] [ DNS ] [ DHCP ] [ Cabal ] [ OpenVPN ] [ Portal ]
[ OpenVPN sense DHCP ] [ spamd ]

Regles del tallafocs

Estem en el cor del tallafocs. Aquí es decideix quines connexions es permeten i quines no.

Hem d'entendre el tallafocs com una caixa amb una sèrie de portes d'entrada. Es tracta de deixar o no deixar entrar (paquets d'informació) per cadascuna de les portes que tenim. Aquest concepte és molt important, ja que si un paquet d'informació pot entrar per una porta vol dir que sortirà (en principi) per qualsevol altra. Per tant, pel que fa a les sortides només ens ocuparem de seleccionar quina es fa servir. Res més.

Cada porta té doncs les seves regles que s'executen segons l'ordre en que estan posades. De la primera cap a la darrera. Dic "cap a la darrera" perquè quan un paquet d'informació cumpleix una de les regles es fa l'acció que diu la regla i ja no es miren les següents.

I què passa si s'arriba a la darrera regla i cap d'elles fa pel nostre paquet d'informació? Doncs que el paquet no passa. Si no hi ha regla, el paquet és blocat.

I quines accions pot fer una regla? Doncs tres: deixar passar (pass), blocar (block) i refusar (reject). La diferència entre blocar i refusar és important. Si es bloca, simplement s'ignora el paquet d'informació que s'està rebent. Si es refusa, es comunica a l'emissor que no es vol el paquet. Per tant, normalment es bloca. Per què? Doncs perquè blocar és silenciós, és no fer cas a l'emissor i prou.

També podem desactivar regles. Les regles desactivades es veuen "difuminades" dins la llista de regles. Això és especialment interessant quan es necessiten regles que es fan servir de forma ocasional. Per exemple, per a tasques d'administració de la xarxa.

Tots els ordinadors clients empren com a configuració automàtica de proxy l'arxiu www.domini.exemple/proxy.pac capaç de detectar si el proxy està disponible o no. En cas de no estar disponible, la navegació es fa de forma directa. El contingut de l'arxiu proxy.pac és:

function FindProxyForURL(url, host) {
     // No fer servir proxy des de 192.168.XXX/24
     // Fa obsoletes les regles 3 i 4 de la LAN
     isInNet(myIpAddress(), "192.168.XXX.0", "255.255.255.0") {return "DIRECT";}

     // No fer servir proxy per als nostres dominis
     if (shExpMatch(url,"*.domini.exemple/*"))                {return "DIRECT";}
     if (shExpMatch(url,"*.domini.exemple:*"))                {return "DIRECT";}
     if (shExpMatch(url,"*.domini.exemple2/*"))               {return "DIRECT";}
     if (shExpMatch(url,"*.domini.exemple2:*"))               {return "DIRECT";}
     if (shExpMatch(url,"*/localhost/*"))                     {return "DIRECT";}
     if (shExpMatch(url,"*/localhost:*"))                     {return "DIRECT";}

     // No fer servir proxy per a microsoft
     if (isInNet(host, "207.46.0.0", "255.255.0.0"))          {return "DIRECT";}
     if (isInNet(host, "64.4.0.0", "255.255.192.0"))          {return "DIRECT";}
     // Utilitza proxy a la resta de casos
     // Si el proxy falla o no es troba, va directe
     return "PROXY proxy.domini.exemple:8080; DIRECT";

  }

Si es vol,  es poden configurar regles destinades a blocar l'accés al proxy, per tal de forçar les connexions de determinats clients de forma directa. Per tant, no cal perdre de vista que proxy.pac i les regles del tallafocs actuen plegats.

Som-hi doncs! A les regles de cadascuna de les sis interfícies ...

[Firewall] [Rules] [LAN]
[Firewall] [Rules] [WAN]
[Firewall] [Rules] [WAN1]
[Firewall] [Rules] [WAN2]
[Firewall] [Rules] [Alumnes]
[Firewall] [Rules] [Wireless]

 

[Firewall] [Rules] [LAN]

Explicació de les regles:

  1. Es permet qualsevol accés des de la xarxa LAN a la xarxa Alumnes.
  2. Es permet qualsevol accés des de la xarxa LAN a la xarxa Wireless.
  3. Es permet qualsevol accés des dels servidors (a la xarxa LAN) al servidor proxy, situat a la xarxa WAN (tasques d'administració). Regla desactivada (obsoleta) perquè a proxy.pac ja es diu que la LAN va directa.
  4. Es bloca per a la resta d'ordinadors de la xarxa LAN l'accés al servidor proxy (situat a la xarxa WAN). D'aquesta forma es força la navegació directa, sense proxy (gràcies a proxy.pac). Regla desactivada (obsoleta) perquè a proxy.pac ja es diu que la LAN va directa.
  5. Qualsevol ordinador de la xarxa LAN pot anar a la xarxa WAN, essent la porta d'enllaç la IP privada del router ADSL (192.168.AAA.1). A la pràctica això permet arribar al router ADSL (per exemple, per a fer-li ping).
  6. El mateix que 5, però per a WAN1. Permet administrar el router ADSL (192.168.BBB.1).
  7. El mateix que 5 i 6, però per a WAN2. Permet administrar el router ADSL (192.168.CCC.1).
  8. www de la xarxa LAN accedeix a Internet emprant el router 192.168.AAA.1.
  9. mail de la xarxa LAN accedeix a Internet emprant el router 192.168.BBB.1.
  10. s207 de la xarxa LAN accedeix a Internet emprant el router 192.168.BBB.1.
  11. s18 de la xarxa LAN accedeix a Internet emprant el router 192.168.CCC.1.
  12. s204 de la xarxa LAN accedeix a Internet emprant el router 192.168.BBB.1.
  13. s206 de la xarxa LAN accedeix a Internet emprant el router 192.168.AAA.1.
  14. La resta del trànsit de la xarxa LAN sortirà cap a Internet emprant el router 192.168.AAA.1.




[Firewall] [Rules] [WAN]

Explicació de les regles:

  1. L'existència de servidors Samba/CIFS (i, el que és el mateix, de serveis d'arxius de Windows) a la xarxa LAN origina que hi hagi paquets de l'examinador d'equips que arriben a la porta d'enllaç per defecte del tallafocs. pfSense els talla automàticament com a mesura de seguretat. Aquests bloquetjos queden reflectits en el log del tallafocs. Aquesta regla només té la finalitat de substituir el compartament estàndard de pfSense i evitar així els logs.
  2. Es permet l'accés (des de la xarxa WAN) a www de la LAN en protocol TCP i per als ports estandard (HTTP, HTTPS i SSH). Aquesta regla es complementa amb el NAT Port Forward definit per a www.



[Firewall] [Rules] [WAN1]

Les regles corresponen a l'autorització del trànsit (des de la xarxa WAN1) per als NAT Port Forward anteriorment definits ...


[Firewall] [Rules] [WAN2]

Les regles corresponen a:


[Firewall] [Rules] [Alumnes]

Explicació de les regles:

  1. Es permet el trànsit cap FTP-Proxy Helper, que resideix a localhost (127.0.0.1).

  2. Es bloca l'accés a l'administració de pfSense des la xarxa d'Alumnes.

  3. Es bloca l'accés als serveis de Microsoft des la xarxa d'Alumnes. Aquest blocatge funciona només si no es passa pel proxy que hi ha a la WAN. Per això a proxy.pac hi ha una regla per anar directe en el cas de Microsoft.

  4. En contraposició a la regla 2, es permeten la resta d'accessos d'Alumnes a Alumnes. Aquesta regla és necessària perquè la xarxa Alumnes veu la IP de pfSense com a servidor DHCP, DNS i porta d'enllaç predeterminada.

  5. Regla desactivada. Si se l'activa serveix per blocar l'accés al servidor proxy situat a la xarxa WAN.

  6. Permet l'accés a la xarxa WAN des la xarxa Alumnes. Regla necessària per poder accedir al servidor proxy de la WAN.

  7. Regla desactivada. Si se l'activa permet l'accés a la xarxa WAN1 des la xarxa Alumnes.

  8. Regla desactivada. Si se l'activa permet l'accés a la xarxa WAN2 des la xarxa Alumnes.

  9. Permet l'accés des la xarxa Alumnes a www pels ports estandard (HTTP, HTTPS i SSH).

  10. Permet l'accés des la xarxa Alumnes a www pels ports samba (servidor Samba/CIFS).

  11. Permet l'accés SSH des la xarxa Alumnes a s207.

  12. Permet l'accés des la xarxa Alumnes a s207 pels ports samba (servidor Samba/CIFS).

  13. Permet l'accés des la xarxa Alumnes a mail pels ports correu (SMTP, POP3 SSL, HTTP i HTTPS).

  14. Permet l'accés des la xarxa Alumnes a s204 pel port 60080 (webcam).

  15. Permet l'accés des la xarxa Alumnes a s204 pels ports samba (servidor Samba/CIFS).

  16. Permet l'accés per RDP des la xarxa Alumnes a s204.

  17. Permet l'accés des la xarxa Alumnes a cb50 pel port 60081 (webcam).

  18. Permet l'accés des la xarxa Alumnes a s206 pels ports samba (servidor Samba/CIFS).

  19. La resta de trànsit de la xarxa Alumnes sortirà cap a Internet pel router ADSL 192.168.AAA.1.



[Firewall] [Rules] [Wireless]

Vistes les regles de la xarxa Alumnes (sens dubte la més complexa), les de la xarxa Wireless s'expliquen per si mateixes ...

Les diferències són que per a la Wireless només s'autoritzen els serveis locals que es tindrien si s'accedís des d'Internet (web, SSH, correu i webcams) i que la connexió a Internet es fa pel router ADSL 192.168.CCC.1.

 

Autor: Josep Pujadas i Jubany
© 2006. Tots els drets reservats