pfsense有沒有禁止LAN端用戶訪問GUI管理頁面的方法?

jacksonindo

請問版上的各位 pfsense 前輩 :
6 k4 X4 p0 Q# V* N4 x4 j目前 個人用 pfsense 佈置了一個小型社區無線網路
7 |7 @& k5 ~( {, H( NAT+用戶管理 + 防火牆 + Captive Portal + DNS解析 )
跑起來效果很不錯 !
, f0 c, V# J0 P但是 LAN端的用戶登入上網後 , 瀏覽器輸入GW網址 192.168.200.1
+ H4 K( I: r1 {6 P, }0 I3 ]5 u會跑出 pfsense 的管理頁登入頁面 ...
2 I0 p+ j7 n! d' U請問 除了將IP的端口原始80port 改為 其它port外 , 有沒有其它方法
0 N# I5 }/ p! X5 C/ y禁止用戶端的瀏覽器訪問192.168.200.1 ??
建構一個虛擬GW嗎 ??? 還是 ??
! ?; g3 j8 N1 k0 o! ~! e* @! U
以上   thanks

jacksonindo

MarchFun 發表於 2019-8-7 12:08 AM
- W: s# g+ m( E沒試過，要測試看看。

2 A3 |+ k& j# e* @MarchFun 您好
4 B# R2 T& [; v( o% d) T
測試OK的步驟如下 :

" T  |) B. i: e* o系統>進階設定>TCP埠
! `$ w0 L' ]( f1 @# L$ B將管理頁的Port改到 ( 49152~65535 動態埠範圍內 )
WEB重導向    口 停用WEB重導向規則 / 不要勾選
3 R! H# ~- _7 |這樣除非客戶知道管理頁的Port , 不然瀏覽器無法打開 !
) R% F3 `/ B1 J
; y0 t) Q/ k# L0 O3 V防火牆>策略規則>LAN
9 B7 ^- ^' x0 w6 R5 ^; L! r在最頂端 增加一條規則
動作 ( Block 阻止 )
來源地址 ( LAN net )  /  埠 ( any )
目地地址 ( 單台主機或別名 / 192.168.200.1 )   /  埠 ( 自定義 / 剛剛改的Port號
/ H3 D, B' _# E* E  J
打完  收工
8 {! h6 d; [6 r* E! Z* D
7 L' b2 V( d* W+ t/ S! w( Q

MarchFun

試著建立一個 rule，讓 LAN 的位址不能存取 192.168.200.1 的 80 埠。看這樣行不行。

jacksonindo

MarchFun 發表於 2019-8-4 11:56 PM
試著建立一個 rule，讓 LAN 的位址不能存取 192.168.200.1 的 80 埠。看這樣行不行。 ...

5 J& D% V) A$ X; z$ s1 [MarchFun 您好
4 @9 d' F7 K, T3 k6 j; y8 \
$ O- ~7 D' }5 D7 ~$ [請問防火牆這樣設定 , 會不會擋住用戶的瀏覽器port80上網 ???

MarchFun

jacksonindo 發表於 2019-8-6 12:57 PM
& r" W' g$ l9 x' D( y' {. V# XMarchFun 您好
5 N8 ^: v# k/ S& h
0 P1 N- _, A- ?# d  a/ ^( r/ G請問防火牆這樣設定 , 會不會擋住用戶的瀏覽器port80上網 ???

' A4 K) R& F( z9 h沒試過，要測試看看。

jacksonindo

我試看看 將管理頁的port改到60000
然後用防火牆擋住
( O: H0 _4 ^+ O4 F1 I. J+ B6 |測試後 再跟您報告結果 ...
( X9 J/ d0 i$ _6 U

MarchFun

jacksonindo 發表於 2019-8-10 05:04 PM
( Q0 M% {$ K' W1 U; FMarchFun 您好
% q$ I' C- X! @- u" m  w# l, C0 Y
測試OK的步驟如下 :

; y' u* \# ~+ Q6 X+ Y) a% ~2 O& X好想法！