%3F.png)
Hay una máquina FreeBSD 11.1-RELEASE con solo 1 NIC, que sirve recursos compartidos de Samba detrás de uncortafuegos PFenmismoservidor.
Necesito permitir conexionessolode clientes que se conectan desde la red interna (/24).
Actualmente esto parece funcionar:
# Default deny policy
block in log all
# allow Samba connections only from internal IPs
pass in quick on $ext_if inet proto tcp from $ext_if:network to $ext_if:network port {135, 137, 138, 139, 445}
pass in quick on $ext_if inet proto udp from $ext_if:network to $ext_if:network port {135, 137, 138, 139, 445}
¿Pero son estos adecuados y suficientes?
¿Existe una forma mejor y más idiomática de permitir conexiones Samba solo desde la LAN interna utilizando el firewall PF?
Respuesta1
agregue otra interfaz a su instalación de pf-sense. o si hay disponible un conmutador con capacidad VLAN, le brindará interfaces virtuales adicionales en pf-sense.
pondría su recurso compartido de samba en una segunda interfaz y le daría una nueva subred (algo así como 10.10.10.0 /24). Cualquier cosa funcionará, solo necesita que sea una subred diferente a la de los usuarios de LAN que desea controlar.
Ahora configure reglas para qué usuarios pueden acceder a la segunda subred LAN. o específicamente qué usuarios tienen acceso a su recurso compartido de samba por ip.
EDITAR: en PF (Filtrado) para hacer esto: después de una regla de bloqueo predeterminada >
El tráfico ahora debe pasar explícitamente a través del firewall o la política de denegación predeterminada lo descartará. Aquí es donde entran en juego criterios de paquetes como el puerto de origen/destino, la dirección de origen/destino y el protocolo. Siempre que se permita que el tráfico pase a través del firewall, las reglas deben escribirse para que sean lo más restrictivas posible. Esto es para garantizar que se permita pasar el tráfico previsto, y sólo el tráfico previsto.
"# Pasar el tráfico en dc0 desde la red local, 192.168.0.0/24, a OpenBSD"
"# dirección IP de la máquina 192.168.0.1. Además, pase el tráfico de retorno a dc0".
pasar en dc0 de 192.168.0.0/24 a 192.168.0.1
pasar en dc0 de 192.168.0.1 a 192.168.0.0/24
"#Pasar el tráfico TCP al servidor web que se ejecuta en la máquina OpenBSD".
pasar el proto tcp de salida desde cualquiera al puerto de salida www
use el nombre de su interfaz, agregue sus subredes y debería estar listo, use las reglas de IP. Esto hará que esto sea mucho más fácil.
Solo veo dos reglas de paso en tu publicación, creo que necesitarías una entrada/salida tanto con tcp como con udp.