Management nur von einem Netz
-
Hallo,
ich habe bei pfSense 2 Netze:
Management: 192.168.1.0
Public: 10.0.0.0Ich möchte pfSense nur von dem Management Netz erreichen können.
Habe bereits Firewall rules für das Public Netz erstellt. Jedoch komme ich dann nicht mehr ins Internet. Die Ports 80 und 443 müssen zwingend offen bleiben.
Jemand ne Idee? -
Moin,
dann poste doch einfach mal die von Dir erstellten Regeln, mit Glaskugel funktioniert das nicht. :P
-teddy
-
Die Ports 80 und 443 müssen zwingend offen bleiben.
Und die pfSense GUI lauscht wohl auch auf 443?
Wenn ja, setze einfach ein Block-Regel aufs Public Interface mit Ziel pfSense-Public-IP.
Üblicherweise verwendet man aber für die pfSense GUI einfach einen ganz anderen Port und der Zugriff dahin ist (automatisch gesetzt durch die Anti-Lockout-rule) nur vom LAN aus möglich. Einzustellen in den Advanced Settings.Oder möchtest du auch Zugriffe vom Public auf MM-Netz unterbinden? Dann wird die Regel etwas komplizierter.
-
Danke für die Antworten.
Ich kann leider erst wieder in ein paar Tagen darauf zugreifen.
Ichvhabe auf jeden Fall eine Firewall Block rule: Source: Public LAN, Ziel: Management LAN.
Habe auch noch versucht: Block Management LAN, Ziel: Firewall (self). Da kann ich dann aber nicht mehr ins Internet.
Aktuell ist pfSense unter Port 443 https zu erreiche .
Dann einfach den Port in den Advanced Settings auf z.B. 57 ändern, neue FW Rule Block Source: Public LAN, Ziel: Firewall (Self) Port 57? -
Habe auch noch versucht: Block Management LAN, Ziel: Firewall (self). Da kann ich dann aber nicht mehr ins Internet.
Du meinst, "Block Public LAN", denke ich?
Dann einfach den Port in den Advanced Settings auf z.B. 57 ändern, neue FW Rule Block Source: Public LAN, Ziel: Firewall (Self) Port 57?
Günstiger ist ein Port oberhalb 1024.
Wichtig ist, dass der Port nicht sonst in deinem Netz verwendet wir. Es gibt in Netz Listen über standardisierte Port, z.B. https://de.wikipedia.org/wiki/Liste_der_standardisierten_PortsAnstatt "Firewall self" versuch die Block Regel mit Ziel "Public LAN address". Es müssten aber auch die MM-Addresse blockiert werden und je nach Konfig auch die WAN, aber auf dieser sollte die pfSense GUI ohnehin nicht lauschen.
Du kannst dir für die Sammlung an zu blockieren Addressen / Netzen einen Alias anlegen.