Bloqueie outras estações de trabalho na rede WAN acessando a LAN do pfSense

Navegue suas respostas
2

Estou usando o VMware ESXi para criar uma rede com um domínio de teste executando o Exchange 2007.

Estou usando o pfSense como o firewall entre minha rede física (que estou usando como WAN) e a rede interna da VM (que não está conectada a portas físicas), que é a LAN do domínio de teste.

Tudo está funcionando bem. A LAN está usando 192.168.1.x endereços e estou roteando tráfego pela nossa rede, que é 192.168.62.x

Os usuários em nossa rede agora estão recebendo alertas de segurança no Outlook para o servidor Exchange de teste (atualmente eles são mostrados como para mail.contoso.com, pois não configurei o Exchange).

Eu preciso de acesso a e-mail externo para esse domínio de teste para que eu possa provar as técnicas de failover, mas gostaria de bloquear os outros usuários da rede que visualizam o domínio.

Atualmente, também posso fazer ping no firewall e nos servidores da nossa rede 62.x de minhas VMs (não é um grande problema, mas seria bom se elas fossem bloqueadas umas das outras).

Quais regras posso definir no pfSense para evitar isso?

    
por neildeadman 27.03.2013 / 10:44

1 resposta

0

Controlador de domínio 

LDAP (389/3268 TCP/UDP), Kerberos (88 TCP/UDP), DNS (53 TCP/UDP), RPC netlogon (135 TCP)

Servidor de Transporte de Hub do Exchange 2007 

SMTP (25/587 TCP) SSL

Servidor de caixa de correio do Exchange 2007 

 RPC MAPI (135 TCP)

Servidores de retransmissão SMTP (em uma rede de perímetro) 

 SMTP (25,995 SMTP TLS)

Servidor de Unificação de Mensagens do Exchange 2007 

 SMTP (25,995 SMTP TLS)

Servidor de caixa de correio do Exchange 2007 

 RPC MAPI (135 TCP), many dynamic*

Servidor de Unificação de Mensagens do Exchange 2007 

 VoIP (TCP 5060,5061 SSL,5065,5066)

Pastas públicas (hospedadas por um servidor de caixa de correio do Exchange 2007) 

 RPC MAPI (135 TCP)

Pastas públicas (hospedadas por um servidor de caixa de correio do Exchange 2007) 

 RPC MAPI (135 TCP), many dynamic*

Servidor de Acesso para Cliente do Exchange 2007 

 80/443 TCP SSL

Cliente do Outlook 2003 

 RPC over HTTP (80/443 TCP)

Cliente do Outlook 2007 

 RPC over HTTP (80/443 TCP)

Outros clientes (POP3 / SMTP / IMAP4) 

 POP3 (110/995 TCP), IMAP (143/993 TCP), see too 995 SMTP TLS

/ 

* By default, "many dynamic ports" is the port range 1024-65535.

Entendendo as portas usadas pelo Exchange 2007 em um ambiente misto

Isso pode mudar, se a porta do intervalo RPC for configurada:

Configure a porta do intervalo RPC na estação de trabalho do servidor e dos clientes!

Como configurar a alocação de porta dinâmica de RPC para trabalhar com firewalls

Adicional:

Restringindo o tráfego de replicação do Active Directory e o tráfego RPC do cliente a uma porta específica

Configurando Portas do Controlador de Domínio Replicação do Windows 2000/2003 por meio de um firewall

Para testar, use de forma mais significativa essas maravilhosas revistas e documentos gratuitos de Arquitetura:

The Architecture Journal

Centro de arquitetura do MSDN

Blog de arquitetura

Centro de Download da Microsoft: Arquitetura

Centro de Download da Microsoft: Diagramas de arquitetura

Centro de Download da Microsoft: Cartaz sobre arquitetura

Bem, pegue alguns materiais mágicos da Microsoft Airlift.

pfSense:

Adicionando regras com o easyrule

pfSense: Configurando regras de NAT e firewall

Exemplo de configuração básica

pfSense: Comandos importantes da CLI

    
por 27.03.2013 / 11:47

Tags

Posso restringir a formatação de um documento do Powerpoint 2010? Exibe ícones diferentes para diferentes propriedades de um arquivo (no Windows Explorer)