Pfsense routing?
-
Hallo!
Wichtig ist es für einen Neuling zu wissen, dass Regeln immer an jenem Interface anzulegen sind, an welchem der Traffic in die Firewall reinkommt.
Wenn also ein Client (172.16.2.56) aus dem Nutzer-Netz, angenommen 172.16.0.0/16, vollen Zugriff auf sämtliche Rechner im Admin-Netz (192.168.100.0/24) haben soll, gehst auf das Tab des Nutzer-Netzes in Firewall > Rules und legst dort die Regel an:ID Proto Source Port Destination Port Gateway Queue Schedule Description * 172.16.2.56 * 192.168.100.0/24 * * none
Wenn das Interface des Admin-Netz mit 192.168.100.0/24 eingerichtet ist, hält pfSense dafür auch eine Variable vor, die du in der Regel verwenden kannst, je nach dem, wie du das Interface benannt hast.
Um die Zugriffe auf gewisse Dienste einzuschränken, kannst du beim Protokoll anstatt any ein bestimmtes wählen und bei Destination Port ebenso einen bestimmten.
Wenn du mehrere Hosts (IPs) oder Ports zusammenfassen möchtest, bspw. soll die Source IP 5 Adressen beinhalten, kannst du dir erst "Aliases" anlegen: Firewall > Aliases. Diese können dann in der Regel anstatt Source- od. Destination-IP od. -Ports verwendet werden.
-
Hallo Leute, es klappte so das beide Interfaces über die pfsense laufen richtig gut, jedoch besteht mein auftraggeber darauf, das das adminnetz nicht über die pfsense laufen soll.
Nun wurde oben erwähnt, das man mein Ziel, das sich beide Netze kennen auch über das eintragen von statischen routen auf den servern erreichen kann. kann mir jemand erklären wie das geht? Wirklich Schritt für Schritt, denn ich bin absolute anfängerin..:D -
auf dem Server (ich gehe mal von Windows aus)
CMD auf machen und dann
route add <netzwerk>mask <netzmaske><gateway>-p
z.B.
route add 172.16.0.0 mask 255.255.255.0 192.168.100.10 -p
mit dem -p ist das Ganze auch Neustartsicher.
Aber wie gesagt auf dem WAN Interface wird alles Private geblockt. Muss man dann eben erlauben.
Wirklich schön ist es nicht. Aber wenn es nicht anders geht ist das eben so.</gateway></netzmaske></netzwerk> -
So habe es nun anders gelöst, in dem ich dem Server, welcher mehrere Schnittstellen besitzt (lediglich eth0 im Adminnetz) eine statische IP aus dem Nutzernetz gegeben habe und diese nun von Nagios überwachen lasse. ;)
Also viel zu kompliziert gedacht ;)
Danke für die Mühe :) -
Hallo, ich schon wieder, diese Lösung ist nicht die gewünschte, also muss ich nun wohl doch die routen auf den Servern eintragen, was muss ich da beachten? Es sind übrigens Linux Server.
Wie müssen die Regeln in der pfsense lauten oder muss ich dort eine statische Route erstellen?…
Hilfe :-[ -
Zuerst musst du auf dem WAN Interface den Hacken bei block private networks rausnehmen.
Dann entsprechend auf dem WAN interface eine Allow Regel für den Server bzw eben das ganze Netz einrichten dann sollte es gehen.Eine Route musst du da nicht erstellen die PfSense kennt ja nun schon beide Netze.
-
Wie müsste die Regel lauten? bin grade verwirrt…
Und die route vom Server geht die in das 172.16.0.0/24 netzwerk oder direkt auf die pfsense? -
die route in das Netz geht über die pfsense
sollet so sein unter linux
route add -net 172.16.0.0 netmask 255.255.255.0 gw <pfsense wan="" ip="">und die Regeln können zum testen auf der PfSense auf dem WAN interface mal allow any to any sein</pfsense> -
So jetzt kann ich vom Server aus das andere Netz anpingen, jedoch zieht Nagios noch nicht die richtigen infos …
-
was meinst du denn damit das er nicht die richtigen Infos zieht?
-
Nagios arbeitet mit einem NRPE service, der bestimmte Sachen des Servers überwacht, meine einstellungen sind dort richtig, da es ja als ich beide Netze über die pfsense laufen lies lief.
Jetzt jedoch streikt der Service noch …kann es sein das ich vielleicht auf der Vm auf der Nagios und somit auch dieser Service laufen vielleicht auch eine route hinzufügen muss?... -
wenn Nagios in deinem speedport Netz ist und Server im PfSense Netz überwachen soll ja dann muss auch da die route rein.
Immer wenn etwas vom Speedport Netz in das PfSense Netz will brauch man hier eine Route auf dem Server im Speedport Netz. Andersrum kennt die PfSense ja beide Netze. Und wenn dann die Regel passen auf der Pfsense dann sollte das auch klappen -
Nagios ist im Nutzernetz. Also brauche ich da keine route.. dann muss ja irgentwas an meinen pfsense regeln falsch sein…
ich habe auf dem Wan interface die allow any regel aktuell drin.
Wo brauche ich noch regeln und was für welche?..
Danke ;) -
Und auf dem Server den du überwachen willst ist da die Route drin?
Kannst du in beide Richtungen Pingen?
Gibt es noch eine Firewall auf Nagios bzw dem zu überwachenden Server?
Auf den Lan sollte auch Allow any sein zum Testen ob es dann geht. Immer dran denke von oben nach unten werden die Regeln abgearbeitet diese Any to Any Regel solle also ganz oben sitzen. -
Ja der Server hat die Route.
Ja ich kann in beide Richtungen pingen.
Nein Nagios und die Server haben keine Firewall.
Auf dem Wan befindet sich eine allow any rule und auch auf dem lan, natürlich oben plaziert.. aber nichts passiert -
Ich nutze auch NRPE da muss man glaube ich auch noch erlauben wer darauf zugreifen darf vielleicht stimmt da was nicht?
Kannst du denn andere Dienste auf dem Server erreichen (z.B. wenn vorhanden http oder so was)
ansonsten scheint es von der PfSense zu passen sofern du bei der Allow Regel im Protokollfeld auch alles erlaubt hast und nicht nur ICMP.
-
Dort ist der Zugriff von Nagios auch erlaubt…
ne ich hab wirklich alles erlaubt...
Wo auch immer der Fehler oder das Problem liegt.-.- -
dann ist das Ganze echt seltsam. Nochmal prüfen ob die Routen auch wirklich stimmen bzw. Die Regeln. Ansonsten wüsste ich jetzt so auch erstmal nix.
-
Jetzt funktioniert es..
aber so könne die firewall rules ja nicht stehen bleiben ich erlaube ja alles.. wie richte ich diese nun ordentlich ein?;)Achja das Problem lag daran, das ich in der nrpe config unter allowed _host nicht nur die nagios, sondern auch die wan ip benötigte
-
Stimmt weil die PfSense auf dem WAN NAT macht und daher kommt diese Adresse.
Nun ja du musst du wissen wer soll was dürfen. Wo hin ping bzw. welcher Port wird wo genutzt dann kannst du diese erlauben und den Rest verbieten.