Entschuldige die verspätete Antwort.
@viragomann said in Default Deny Policy - wie Zugang zum Internet konfigurieren?:
Nachdem die pfSense nur das erlaubt, was explizit in einer Pass-Regel ausgedrückt ist, kannst du alle Ziele, die du erlauben möchtest, auch in eine einzige Regel packen. Alles von dieser Regel nicht Erfasste, wird blockiert.
Ja, ich habe auch ein wenig darüber nachgedacht und bin dabei zu einem Schluss gekommen, auf den ich aber etwas weiter unten eingehe.
Momentan läuft es bei mir quasi andersherum. Alles ist erlaubt, mit Ausnahme des RFC1918 Alias.
Ist aber im Grunde Geschmacksache, ob mit einer Regel formuliert oder mit mehreren. Für dich und andere soll es übersichtlich sein und den gewünschten Zweck erfüllen.
Übersichtlich ist mein Regelset, allerdings ist auch quasi außer lokalen Netzen nichts geblockt, weder als Dest-IP noch D-Port.
(Eine "Allow selfNet to WAN {Address;Net}" funktioniert nicht)
Möchtest du das wirklich? Macht nur Sinn, wenn du NAT Reflection verwendest.
Nein, wenn ich es richtig verstanden habe, vermutlich nicht. Ich bin zwar noch am lernen, aber einen für meine Bedürfnisse positiven Aspekt von NAT Reflection konnte ich jetzt auf Anhieb zumindest nicht direkt ausmachen. Einzig für Testzwecke der eigenen Erreichbarkeit von außen, denke ich, könnte man es kurzzeitig ausprobieren, z.B. um die eigene Domain aus dem eigenen Netzwerk heraus zu pingen.
Dafür das NAT Reflection aus ist spricht jedenfalls, dass wenn ich meine eigene Domain anpinge der Ping <1ms liegt, also lokal.
Ich fürchte, das verstehe ich nicht ganz. Wenn die vom DNS zurückgegebene IP nicht erlaubt ist, wird der Zugriff natürlich geblockt, unabhängig, ob die IP zu deinem WAN net gehört oder nicht.
Völlig richtig. Davon war ich auch ausgegangen, bin mittlerweile aber davon überzeugt. Daher habe ich beschlossen von einer Default Deny Any Any bzw. des Ersetzens der Default Allow zunächst für mein Netzwerk auch erst einmal Abstand zu nehmen.
Default deny gilt immer. Die Default allow-Regel am LAN kann auch geändert / entfernt werden.
Ansonsten ist das wohl schon mit obigen Beispiel beantwortet.
Grüße
Da mein Hauptziel in erster Linie ein besseres Verständnis ist bin ich von einer Default Deny auf IP-Basis abgerückt, das ist für meine Bedürfnisse sinnvoll de facto so nicht umsetzbar (ich möchte offenen Zugriff auf das WWW).
Was ich jedoch evtl noch ausprobieren könnte ist eine Default Deny auf Dest-Portbasis. Dass das im Echtlauf auch kein Zuckerschlecken wäre, vor allem mit Netflix, Steam, TeamSpeak & Co ist mir bewusst.
Allerdings denke ich mir, dass es in einer virtuellen Windows / Linux Umgebung mit relativ vertretbarem Aufwand machbar sein sollte. Der einzige Vorteil wäre, dass man mal einen Überblick erhält welche Dienste zu welchen Zielports (in einer Standardinstallation) kommunizieren.
Das es auch Webseiten gibt, die auf 8080, 8181 und wohl auch 81 lauschen habe ich mittlerweile auch gelesen. Und natürlich auch, dass sehr viel Schadsoftware sich über diese Ports "zuhause" anmeldet, vor allem wohl auch gerne 8080 und 8181 (was die wohl auch genutzten Ports für HTTP betrifft).
Ob das ganze für ein Heimnetzwerk noch einen Vorteil bringt bezweifele ich somit zunächst einmal. Für Lernzwecke kann sowas natürlich dennoch schon Sinn machen.
Was ich also für mich extrahieren konnte war, dass es je nach Ansprüchen für ein Netzwerk natürlich Bedingung sein kann, eine strikte Default Deny Any Any zu fahren, auf die SRC bezogen vermutlich nur noch bei entsprechend dokumentierten Applikationen. Auf die Dest-Ebene jedoch kann man, je nach gewünschtem Nutzungserlebnis, einen etwas strikteren Umgang auf D-Port vermutlich mit ausreichend Aufwand auch für zuhause anleiern.
Wie gesagt, den Nutzen (für meine Ansprüche an mein Netzwerk) stelle ich in kein gutes Verhältnis zum nötigen Aufwand, auch nicht für einen D-Port basierten Umgang. Aber das ist ein anderes Thema... :-)
Grüße
