Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Zugriff vom LAN in die DMZ nach bestimmter Zeit geblockt trotz erlaubter Regeln

    Scheduled Pinned Locked Moved Deutsch
    3 Posts 3 Posters 2.0k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • P
      Pinockio
      last edited by

      Hallo alle Zusammen,

      brauch dringend euren Rat da ich selber nicht weiter weiß. Hab seit neuem pfsense 2.0.3 im Geschäft im Einsatz. Bisher sehr zufrieden. Jetzt hab ich nen Server in die DMZ gestellt und der Zugriff vom LAN in die DMZ wird teilweise geblockt trotzer erlaubter Regeln z. B. SSH Zugriff vom LAN nach ca. 20 Sekunden  ???. Zugriff von Extern kein Problem  :). Im Log werden die Packete von der internen LAN-Adresse geblockt.

      Firewall-Regeln:
      Interface, Protokoll, S-Adress, S-Ports => D-Adress, D-Ports, Zugriff
      LAN, ANY, LAN subnet, ANY => ANY, ANY, pass
      DMZ, ANY, DMZ subnet, ANY => ANY, ANY, pass
      DMZ, ANY, LAN subnet, ANY => DMZ subnet, ANY, pass

      NAT-Regeln:
      Interface, Protokoll, S-Adress, S-Ports => D-Adress, D-Ports, NAT-IP, NAT-Port, Access
      WAN, TCP, Ext IP HOME, ANY => WAN Adress, SSH, Intern-IP, SSH, pass

      Bin über jede Beteiligung sehr Dankbar

      Gruß

      1 Reply Last reply Reply Quote 0
      • S
        slu
        last edited by

        Was sagt den die Firewall log?
        Aktiviere mal "Log packets blocked by the default rule", warte bis eine Verbindung blockiert wird und zeige dann auf das Icon, dann siehst Du welche Regel greift.

        pfSense Gold subscription

        1 Reply Last reply Reply Quote 0
        • P
          pvoigt
          last edited by

          Bin mir nicht sicher, ob ich deine FW-Regeln in der Kurzform richtig verstehe (Hardcopy innerhalb der Web-GUI wäre hilfreich), aber ich vermute, dass zumindest

          DMZ, ANY, LAN subnet, ANY => DMZ subnet, ANY, pass
```überflüssig ist.

Wenn ich die anderen LAN- und DMZ-Regeln richtig verstehe, möchtest du zunächst jeden Datenverkehr vom LAN und von der DMZ in alle anderen Netze passieren lassen. Damit solltest du wie gewünscht auch von der DMZ ins LAN kommen.

Wie hast du denn außer mittels SSH den Zugriff aus der DMZ ins LAN geprüft? Werden Pings (ICMP) auch nach einiger Zeit geblockt?

Ansonsten kann ich mich der Empfehlung von slu nur anschließen.

Peter
          1 Reply Last reply Reply Quote 0
          • First post
            Last post
          Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.