Default Ruleset Active Directory Kommunikation zwischen zwei Netzen an einer pfSense!
-
Moin,
das ist die offizielle Angabe von Microsoft für eine Domänenkommunikation:
49152-65535/UDP 123/UDP W32Time
49152-65535/TCP 135/TCP RPC Endpoint Mapper
49152-65535/TCP 464/TCP/UDP Kerberos Passwort-Änderung
49152-65535/TCP 49152-65535/TCP RPC für LSA, SAM, NetLogon ()
49152-65535/TCP/UDP 389/TCP/UDP LDAP
49152-65535/TCP 636/TCP LDAP SSL
49152-65535/TCP 3268/TCP LDAP GC
49152-65535/TCP 3269/TCP LDAP GC SSL
53, 49152-65535/TCP/UDP 53/TCP/UDP DNS
49152-65535/TCP 49152-65535/TCP FRS RPC ()
49152-65535/TCP/UDP 88/TCP/UDP Kerberos
49152-65535/TCP/UDP 445/TCP SMB (**)
49152-65535/TCP 49152-65535/TCP DFSR RPC (*) -
@heiko3001
Danke für ie superschnelle Antwort, aber wie kann ich das auf der pfsense in den rules umsetzen, bin da etwas ratlos ehrlich gesagt? -
@NSuttner Bei Firewall und dann Rules.
Dann für beide Netze diese Regeln erstellen. -
@heiko3001 Nochmals danke, habe es gelöst, allerdings die ganzen Ports in Aliase verpackt, damit man nicht die Regeln einzeln schreiben muss! VG Sutti
-
Das sind dann 3 Regeln und 3 Port Aliase, für TCP für UDP und für beides zusammen um es ganz genau umzusetzen.
-
@NOCling Hi, also ich habe 2 Aliase erstellt, um einmal die UDP und einmal die TCP Ports zu bündeln, zudem habe ich zwei Regeln, eben einmal UDP, einmal TCP. So ganz sicher bin ich mir aber nicht, ob das so passt. Könntest Du mir Deine Config der rules + Aliase zukommen lassen, würde mir sehr helfen! VG Sutti
-
@heiko3001 said in Default Ruleset Active Directory Kommunikation zwischen zwei Netzen an einer pfSense!:
@NSuttner Bei Firewall und dann Rules.
Dann für beide Netze diese Regeln erstellen.Da muss ich mal einhaken.
Für beide Netze macht keinen Sinn. Es muss auf dem Interface Regeln geben, die zuerst auf der Firewall aufschlagen. Normalerweise also auf dem Client Netz in Richtung Server. Fertig. Der Rest regelt der State. Ich muss hier aber nichts "da rein" und "da raus" lassen. So funktioniert pfSense nicht. -
@JeGr Danke, mir war klar, das ich das nicht zweimal eintragen muss. Ich habe auf dem OPT1 die entsprechenden Regeln Richtung DC's gesetzt und das passt dann auch! Aber super, das Du das nochmals geschrieben hast! VG Sutti
-
@NSuttner said in Default Ruleset Active Directory Kommunikation zwischen zwei Netzen an einer pfSense!:
@NOCling Hi, also ich habe 2 Aliase erstellt, um einmal die UDP und einmal die TCP Ports zu bündeln, zudem habe ich zwei Regeln, eben einmal UDP, einmal TCP. So ganz sicher bin ich mir aber nicht, ob das so passt. Könntest Du mir Deine Config der rules + Aliase zukommen lassen, würde mir sehr helfen! VG Sutti
Also die ganzen Angaben mit 49152-65535 kannst du schonmal komplett ignorieren. Source Ports sollte man nicht filtern, vor allem nicht, wenn die Ranges noch so groß sind.
Für Domain Kommunikation genügen im Normalfall
- 135
- 137-139
- 445
für Fileserver Zugriffe. NTP und DNS (53/123 udp) bilden wir meistens eh auf der Sense selbst ab, kann man aber auch erlauben wenn man das via DCs zentralisieren möchte. LDAP/LDAPS noch je nach Einsatz.
Die restlichen Ports hängen stark davon ab, was die Clients effektiv noch auf den DCs machen können sollen. Von LDAP/LDAPS abgesehen ist das meiste andere eh Kram, den man von Clients eigentlich nicht sehen möchte. Aber YMMV.
Und wenn man es nicht zu 100% genau nimmt, kann man auch schlicht ein einziges PortAlias nehmen, dort alle Ports einfüllen (egal ob UDP/TCP) und dann einfach TCP/UDP auswählen, das spart einem dann das Anlegen zweier Aliase. Ob man das möchte oder nicht ist dann eine andere Frage, aber möglich ist es.
Cheers
-
@NSuttner
und dann einfach mal schauen was über die Regel geht, viele Ports braucht man einfach nicht wie schon erwähnt wurde. -
@JeGr Danke Dir! VG Sutti
