[ Introducció ] [
Cas-Estudi
] [ Instal·lació ] [ Configuració base ] [
Àlies ] [ NAT
] [ Regles ] [ DNS ] [ DHCP
] [ Cabal ] [ OpenVPN
] [ Portal ]
[ OpenVPN sense DHCP ] [ spamd
]
Estem en el cor del tallafocs. Aquí es decideix quines connexions es permeten i quines no.
Hem d'entendre el tallafocs com una caixa amb una sèrie de portes d'entrada. Es tracta de deixar o no deixar entrar (paquets d'informació) per cadascuna de les portes que tenim. Aquest concepte és molt important, ja que si un paquet d'informació pot entrar per una porta vol dir que sortirà (en principi) per qualsevol altra. Per tant, pel que fa a les sortides només ens ocuparem de seleccionar quina es fa servir. Res més.
Cada porta té doncs les seves regles que s'executen segons l'ordre en que estan posades. De la primera cap a la darrera. Dic "cap a la darrera" perquè quan un paquet d'informació cumpleix una de les regles es fa l'acció que diu la regla i ja no es miren les següents.
I què passa si s'arriba a la darrera regla i cap d'elles fa pel nostre paquet d'informació? Doncs que el paquet no passa. Si no hi ha regla, el paquet és blocat.
I quines accions pot fer una regla? Doncs tres: deixar passar (pass), blocar (block) i refusar (reject). La diferència entre blocar i refusar és important. Si es bloca, simplement s'ignora el paquet d'informació que s'està rebent. Si es refusa, es comunica a l'emissor que no es vol el paquet. Per tant, normalment es bloca. Per què? Doncs perquè blocar és silenciós, és no fer cas a l'emissor i prou.
També podem desactivar regles. Les regles desactivades es veuen "difuminades" dins la llista de regles. Això és especialment interessant quan es necessiten regles que es fan servir de forma ocasional. Per exemple, per a tasques d'administració de la xarxa.
Tots els ordinadors clients empren com a configuració automàtica de proxy l'arxiu www.domini.exemple/proxy.pac capaç de detectar si el proxy està disponible o no. En cas de no estar disponible, la navegació es fa de forma directa. El contingut de l'arxiu proxy.pac és:
function FindProxyForURL(url,
host) { // No fer servir proxy des de 192.168.XXX/24 // Fa obsoletes les regles 3 i 4 de la LAN isInNet(myIpAddress(), "192.168.XXX.0", "255.255.255.0") {return "DIRECT";} // No fer servir proxy per als nostres dominis if (shExpMatch(url,"*.domini.exemple/*")) {return "DIRECT";} if (shExpMatch(url,"*.domini.exemple:*")) {return "DIRECT";} if (shExpMatch(url,"*.domini.exemple2/*")) {return "DIRECT";} if (shExpMatch(url,"*.domini.exemple2:*")) {return "DIRECT";} if (shExpMatch(url,"*/localhost/*")) {return "DIRECT";} if (shExpMatch(url,"*/localhost:*")) {return "DIRECT";} // No fer servir proxy per a
microsoft |
Si es vol, es poden configurar regles destinades a blocar l'accés al proxy, per tal de forçar les connexions de determinats clients de forma directa. Per tant, no cal perdre de vista que proxy.pac i les regles del tallafocs actuen plegats.
Som-hi doncs! A les regles de cadascuna de les sis interfícies ...
[Firewall] [Rules] [LAN]
[Firewall] [Rules] [WAN]
[Firewall] [Rules] [WAN1]
[Firewall] [Rules] [WAN2]
[Firewall] [Rules] [Alumnes]
[Firewall] [Rules] [Wireless]
Explicació de les regles:
Explicació de les regles:
Les regles corresponen a l'autorització del trànsit (des de la xarxa WAN1) per als NAT Port Forward anteriorment definits ...
Les regles corresponen a:
Explicació de les regles:
Es permet el trànsit cap FTP-Proxy Helper, que resideix a localhost (127.0.0.1).
Es bloca l'accés a l'administració de pfSense des la xarxa d'Alumnes.
Es bloca l'accés als serveis de Microsoft des la xarxa d'Alumnes. Aquest blocatge funciona només si no es passa pel proxy que hi ha a la WAN. Per això a proxy.pac hi ha una regla per anar directe en el cas de Microsoft.
En contraposició a la regla 2, es permeten la resta d'accessos d'Alumnes a Alumnes. Aquesta regla és necessària perquè la xarxa Alumnes veu la IP de pfSense com a servidor DHCP, DNS i porta d'enllaç predeterminada.
Regla desactivada. Si se l'activa serveix per blocar l'accés al servidor proxy situat a la xarxa WAN.
Permet l'accés a la xarxa WAN des la xarxa Alumnes. Regla necessària per poder accedir al servidor proxy de la WAN.
Regla desactivada. Si se l'activa permet l'accés a la xarxa WAN1 des la xarxa Alumnes.
Regla desactivada. Si se l'activa permet l'accés a la xarxa WAN2 des la xarxa Alumnes.
Permet l'accés des la xarxa Alumnes a www pels ports estandard (HTTP, HTTPS i SSH).
Permet l'accés des la xarxa Alumnes a www pels ports samba (servidor Samba/CIFS).
Permet l'accés SSH des la xarxa Alumnes a s207.
Permet l'accés des la xarxa Alumnes a s207 pels ports samba (servidor Samba/CIFS).
Permet l'accés des la xarxa Alumnes a mail pels ports correu (SMTP, POP3 SSL, HTTP i HTTPS).
Permet l'accés des la xarxa Alumnes a s204 pel port 60080 (webcam).
Permet l'accés des la xarxa Alumnes a s204 pels ports samba (servidor Samba/CIFS).
Permet l'accés per RDP des la xarxa Alumnes a s204.
Permet l'accés des la xarxa Alumnes a cb50 pel port 60081 (webcam).
Permet l'accés des la xarxa Alumnes a s206 pels ports samba (servidor Samba/CIFS).
La resta de trànsit de la xarxa Alumnes sortirà cap a Internet pel router ADSL 192.168.AAA.1.
Vistes les regles de la xarxa Alumnes (sens dubte la més complexa), les de la xarxa Wireless s'expliquen per si mateixes ...
Les diferències són que per a la Wireless només s'autoritzen els serveis locals que es tindrien si s'accedís des d'Internet (web, SSH, correu i webcams) i que la connexió a Internet es fa pel router ADSL 192.168.CCC.1.
Autor: Josep Pujadas i Jubany
© 2006. Tots els drets reservats