PFSENSE
Config Rule cho LAN interface( WAN interface
block all )
1.
Chắc chắn
rằng:”Default LAN > any “ đã được disable hoặc remove.
2.
Cho phép DNS truy cập
– nếu pfsense có thể cài dặt cho LAN
address, nếu sử dụng DNS bên ngoài cần
cho phép port 53 đến any where
1.
Allow TCP/UDP 53 (DNS)
from LAN subnet to anywhere
Cho phép DNS port 53 sử dụng 2 giao thức TCP/UDP
từ LAN subnet tới anywhere
2.
Allow TCP/UDP 53 (DNS)
from LAN subnet to LAN Address
Cho phép DNS port 53 sử dụng 2 giao thức TCP/UDP
từ LAN subnet tới LAN address
3.
Dưới đây là cho phép
tất cả user ra internet duyệt web HTTP:
1.
Allow TCP 80 (HTTP)
from LAN subnet to anywhere
4.
Dưới đây là cho phép
tất cả user ra internet duyệt web HTTPS:
1.
Allow TCP 443 (HTTPS)
from LAN subnet to anywhere
5.
Tương tự với các rule
khác mà bạn muốn tạo:
6.
Allow users to access
FTP sites anywhere.
1.
Allow TCP 21 (FTP)
from LAN subnet to anywhere
7.
Allow users to access
SMTP on a mail server somewhere.
1.
Allow TCP 25 (SMTP)
from LAN subnet to anywhere
8.
Allow users to access
POP3 on a mail server somewhere.
1.
Allow TCP 110 (POP3)
from LAN subnet to anywhere
9.
Allow users to access
IMAP on a mail server somewhere.
1.
Allow TCP 143 (IMAP)
from LAN subnet to anywhere
10. If you need to allow remote connection to an
outside windows server you will want to configure a rule for Remote
administration.
1.
Allow TCP/UDP 3389
(Terminal server) from LAN subnet to ip of remote server
11. If you use windows shares on the DMZ and want
LAN users to access these files you need to allow NETBIOS/Microsoft-DS from the
LAN to the DMZ
1.
Allow TCP/UDP 137 from
LAN subnet (NETBIOS) to DMZ subnet
2.
Allow TCP/UDP 138 from
LAN subnet (NETBIOS) to DMZ subnet
3.
Allow TCP/UDP 139 from
LAN subnet (NETBIOS) to DMZ subnet
4.
Allow TCP 445 from LAN
subnet (NETBIOS) to DMZ subnet
Outbound DMZ
1.
By default, there are
no rules on OPT interfaces.
2.
To allow your servers
to use Windows update or browse the WAN
1.
Allow TCP 80 from DMZ
subnet (HTTP) to anywhere
3.
If you use an external
DNS server you will need to allow the computers to leave the network to connect
to a DNS server.
1.
Allow TCP\UDP 53 from
DMZ subnet (DNS) to ip of primary DNS server
2.
Allow TCP\UDP 53 from
DMZ subnet (DNS) to ip of secondary DNS server
4.
To allow your servers
to use a remote time server open port 123.
1.
Allow UDP 123 from DMZ
subnet (NTP) to ip of remote time server
Vì vấn đề bảo mật trên
cho mạng LAN nên ta chỉ cho phép user
vào 1 số trang web , và cấm download 1 số file, muốn làm vậy ta cần 1
số gói sau:
Installation Squid2 +
SquidGuard on pfsense 2.0.x
Installation Squid3 + SquidGuard
on pfsense 2.0.x
Installation Squid2/3 +
SquidGuard on pfsense 2.1.x
No comments:
Post a Comment