Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Client isolieren ohne statische Konfiguration zu ändern

    Deutsch
    3
    5
    1.1k
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • magicteddyM
      magicteddy
      last edited by

      WAN–pfSense (192.168.0.251)--[Clients (192.168.0.0/24)]
      Jetzt macht ein Client gelegentlich Mist, obwohl statisch konfiguriert ist er machmal kurzzeitig auf einer schon anderweitig vergebenen IP Adresse aktiv. >:( Geschäftsleitung hat eine Frist gesetzt, die muss ich jetzt leider abwarten und darf nicht einfach die Leitung kappen. Mein Ansatzpunk wäre jetzt den krummen Vogel mit einem Router zu isolieren und darüber in ein Gastnetz zu schieben.

      Jetzt die eigentliche Frage pfSense läuft auf einer Firebox mit insgesamt 8 Ports wovon 6 noch unbelegt sind.
      Kann ich Firewall Regeln auch auf einer Bridge anwenden? Alles was von der korrekten IP wird aufs Standardgate weitergeleitet, alles was von einer falschen IP kommt wird verworfen. Der Böse Client wäre der einzige Teilnehmer an diesem Port. Anderer Ansatz? Außer Netz kappen, das darf ich eben noch nicht! Ich würde mir nur gerne den zusätzlichen Router sparen.

      -teddy

      @Work Lanner FW-7525B pfSense 2.7.2
      @Home APU.2C4 pfSense 2.7.2
      @CH APU.1D4 pfSense 2.7.2

      1 Reply Last reply Reply Quote 0
      • V
        viragomann
        last edited by

        @magicteddy:

        WAN–pfSense (192.168.0.251)--[Clients (192.168.0.0/24)]
        Jetzt die eigentliche Frage pfSense läuft auf einer Firebox mit insgesamt 8 Ports wovon 6 noch unbelegt sind.
        Kann ich Firewall Regeln auch auf einer Bridge anwenden?

        Ja, natürlich, dazu ist eine Firewall ja da, auch wenn sie im Bridge Mode läuft.

        Mir ist nur nicht ganz klar, wie du das genau umsetzen willst.

        @magicteddy:

        Anderer Ansatz? Außer Netz kappen, das darf ich eben noch nicht! Ich würde mir nur gerne den zusätzlichen Router sparen.

        Ich füttere in einem Client-Netz die pfSense mit einer Liste mit nicht verwendeter IPs. Die Liste steht auf einem Webserver und kann auf der pfSense über Firewall > Aliases als URL importiert werden. Nachdem hier nur nach einem URL gefragt wird, geht das wohl auch direkt von einer Netzwerk-Freigabe, habe ich aber noch nicht versucht.
        Diesen Alias verwende ich in einer Block-Regel am LAN Interface, so dass von diesen IPs nichts ins Internet geht, und der Nutzer damit wohl wenig Freude hat.

        Grüße

        1 Reply Last reply Reply Quote 0
        • magicteddyM
          magicteddy
          last edited by

          Moin,

          mein Gedanke ist diesem Client einen eigenen Port am pfSense zu widmen.
          Alles was von der richtigen IP dieses Clients kommt geht durch und darf ins Internet.
          Wenn auf diesem Port Traffic von einer anderen Quell IP kommt wird er verworfen.
          Alles was ins Lan geht wird auch verworfen.

          Somit kann das Teil sein VPN zum Zielserver über das Internet nur mit der von mir festgelegten IP aufbauen, macht das Teil mal wieder Mist und greift sich eine andere IP hat es keine Auswirkung außer das das Gerät keinen Tunnel aufbauen kann.
          Kein Tunnel erzeugt immer Stress bei Sicherheitsdienstleister und ich habe eine Daumenschraube: Fixt euren Mist und ihr habt kein Stress 8)

          Achso und danke für den Tipp mit der Liste nicht verwendeter IPs, ist im Hinterkopf abgelegt.

          -teddy

          @Work Lanner FW-7525B pfSense 2.7.2
          @Home APU.2C4 pfSense 2.7.2
          @CH APU.1D4 pfSense 2.7.2

          1 Reply Last reply Reply Quote 0
          • JeGrJ
            JeGr LAYER 8 Moderator
            last edited by

            @magicteddy:

            Primär eine nette Idee, allerdings problematisch, da du dann bspw.

            192.168.0.0/24 auf Port 1
            192.168.0.111/32 auf Port 2
            x.y.z.a/bc auf Port X (WAN)

            laufen hättest. Problem damit: du hättest zwei mal das gleiche Netz auf unterschiedlichen Interfaces gebunden. Damit gibts rein aus Routing Sicht nur Probleme.

            Wenn der Client die IP via DHCP holt, sollte es allerdings gehen, dann müsstest du auf seinen "extra Port" ein anderes IP Netz raufpacken. Wenn er dann kein ordentliches DHCP macht sondern selbst IPs vergibt, knallts und er kommt nicht raus.

            Oder habe ich dich da mißverstanden?

            Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

            If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

            1 Reply Last reply Reply Quote 0
            • magicteddyM
              magicteddy
              last edited by

              Moin,

              Du hast mich fast richtig verstanden ;D
              DHCP geht nicht da Client fest konfiguriert.

              2 gleiche Netze am Router = schlechte Idee
              Deshalb wollte ich das per Bridge mit Regeln lösen:

              • Absender hat falsche IP –> block

              • Absender will ins Lan –> block

              • Absender will ins Wan –> OK

              @Work Lanner FW-7525B pfSense 2.7.2
              @Home APU.2C4 pfSense 2.7.2
              @CH APU.1D4 pfSense 2.7.2

              1 Reply Last reply Reply Quote 0
              • First post
                Last post
              Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.