Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Frage zu Firewall

    Deutsch
    4
    5
    1.0k
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • H
      hudri
      last edited by

      Hallo zusammen

      Ich möchte mir mit PFSense als Router und einem Unify Switch ein Heimnetz bauen.
      Am Switch hängen die Clients wie WLAN Access Points, Smart Home Zeugs, PCs.
      Die verschiedenen Geräteklasse möchte ich in VLANs unterteilen und ganz klassisch mit Firewall Regeln voneinander trennen.
      Was mir unklar ist:
      Ist es möglich zu verhindern dass das IoT VLAN mit meinem admin-VLAN kommuniziert, jedoch die Clients aus dem admin-VLAN das IoT-VLAN sehr wohl aufrufen können?

      Beispiel:
      Ich will mit meinem Desktop PC (=admin VLAN) die Werte aus dem Wechselrichter (=IoT VLAN) auslesen können. Jedoch soll der Wechselrichter meinen Desktop PC am besten gar nicht sehen.

      danke für eure Unterstützung :)

      V 1 Reply Last reply Reply Quote 0
      • V
        viragomann @hudri
        last edited by

        @hudri
        Hallo,

        grundsätzlich ist jedes VLAN ein eigenes Subnetz und kann damit nur über das Gateway (pfSense) eine Verbindung in ein anderes Subnetz aufbauen. Und auf der pfSense kannst du eben genau festlegen, wer wohin darf.

        Die VLANs selbst sind so sicher von einander getrennt, wie die Geräte sicher sind, die sie verwalten. Das sind typischerweise der Router und Switche. Wenn dein Switch VLAN-fähig ist und so konfiguriert ist, dass er die Netze richtig trennt, kannst du der Sache voll vertrauen.

        H 1 Reply Last reply Reply Quote 2
        • H
          hudri @viragomann
          last edited by hudri

          @viragomann
          hallo nochmals
          Das Grundprinzip habe ich (glaube ich :) verstanden.
          Eigentlich geht es um die Ausprägung der Firewall Regeln.
          Ich habe ein Gerät im VLAN "IoT" (1) und meinen Admin PC im VLAN "admin" (2)

          Wie müsste ich die FW Regeln konfigurieren, sodass ich von 2 auf 1 zugreifen kann, jedoch ein öffnen von Verbindungen von 1 auf 2 untersagt ist, JEDOCH erlaubt ist wenn zuvor 2 die Verbindung initiert hat?

          Genügt es mit einer einfachen Block/Discard Regel auf PFSense von 1 nach 2 zu arbeiten? Kann ich dann von 2 nach 1 Verbindungen aufbauen und "sehe" alles?

          Bob.DigB 1 Reply Last reply Reply Quote 0
          • Bob.DigB
            Bob.Dig LAYER 8 @hudri
            last edited by

            @hudri
            Traffic wird grundsätzlich nur am eingehenden Interface gefiltert, der Rückweg ist dann statefull und wird nicht mehr reguliert. Das bedeutet, dass originärer Traffic aus dem Internet am WAN-Interface erlaubt werden muss. Wenn Traffic von LAN1 auf LAN2 erlaubt sein soll, dann muss dies auf LAN1 geregelt werden usw.

            Alles wird geblockt, was nicht explizit erlaubt ist. Bis auf das erste LAN enthält auch kein Interface ootb irgendwelche Regeln. Ausnahmen gibt es z.B. für DHCP, welches unsichtbar abläuft und keinerlei Regeln durch den Nutzer bedarf.

            1 Reply Last reply Reply Quote 2
            • N
              NOCling
              last edited by

              IPv4 oder auch IPv6?

              Für erstes reicht ein Alias in den alle RFC1918 Netze rein kommen.
              Dann kommt ein Deny auf diesen Alias in das LAN Netz.
              Netz zu Netz Zugriff musst du dann davor regeln, also freigeben.

              Unter die RFC1918 Regel dann eine Regel die IP auf any erlaubt im LAN für Internetzugriff.

              IPv6 wird ein wenig komplexer.
              Weil Clients hier 3 IPs gleichzeitig haben.

              Netgate 6100 & Netgate 2100

              1 Reply Last reply Reply Quote 1
              • First post
                Last post
              Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.