Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Stehe auf dem Schlauch - Kommunikation zwischen Interfacen verbieten

    Scheduled Pinned Locked Moved Deutsch
    7 Posts 3 Posters 1.2k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • T
      Tobi
      last edited by

      Hallo,

      irgendwie sehe ich den Wald vor lauter Bäume nicht :(
      Ich habe APU2 Board mit WAN und LAN0-LAN4. Wie verbiete ich die Kommunikation zwischen den LAN0-LAN4 (IPv4 und IPv6)?

      1 Reply Last reply Reply Quote 0
      • ExordiumE
        Exordium
        last edited by

        Aus dem Kopf… Beispielhaft für LAN1 -> LAN2

        Action: Block

        Interface: LAN1

        Address-Family: IPv4+IPv6

        Protokoll: *Any

        Source: LAN1 net

        Dest: LAN2 net

        Besser wäre es, die Netze in entsprechenden Alias(e) zu verpacken. Dann sparst paar Regeln.

        - pfSense Gold Subscriber -

        Sense 1: Shuttle DS57U3 (private)
        Sense 2: Supermicro Atom Barebone (Company Test)
        Sense 3 : 2 x Supermicro SYS-5018D-FN8T (Company Office)

        1 Reply Last reply Reply Quote 0
        • T
          Tobi
          last edited by

          Danke.

          Das "LanX net" als Quelle/ Ziel habe ich einfach immer überlesen

          1 Reply Last reply Reply Quote 0
          • ExordiumE
            Exordium
            last edited by

            Was auch funktionieren müsste:

            Du könntest aber auch die Option setzen, Traffic am gleichen Interface prinzipiell zu erlauben (System -> Advanced -> Firewall & NAT -> Bypass firewall rules for traffic on the same interface) und z.B. in alle anderen Bogons verbieten (Wenn die Interfaces LAN1-LAN4 private Netze sind.) Was man hier dann für IPv6 spezifizieren muss/kann weiß ich allerdings nicht.

            - pfSense Gold Subscriber -

            Sense 1: Shuttle DS57U3 (private)
            Sense 2: Supermicro Atom Barebone (Company Test)
            Sense 3 : 2 x Supermicro SYS-5018D-FN8T (Company Office)

            1 Reply Last reply Reply Quote 0
            • JeGrJ
              JeGr LAYER 8 Moderator
              last edited by

              Private Netze, nicht Bogons. Bogons sind nur Netze, die momentan nicht vergeben sind. Und auf LANs sollte man kein RFC1918 Haken setzen, das könnte ins Auge gehen. Dann lieber selbst ein eigenes Alias definieren und eine Regel damit machen, das erspart Ärger da man die Reihenfolge selbst festlegen kann. Somit

              1. Allow für spezifische IPs aus LAN 2
              2. Block für LAN 1 -> LAN 2
              3. Allow any für LAN 1 (was dann alles außer LAN 2 enthält).

              Gruß

              Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

              If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

              1 Reply Last reply Reply Quote 0
              • T
                Tobi
                last edited by

                Ich habe das erst mit

                1. Erlaube von any bestimmte Dienste im LAN0
                2. Block alles von LAN1 zu LAN0
                3. Block alles von LAN2 zu LAN0
                usw.

                Wo ich jetzt aber etwas verunsichert bin ist WAN zu LAN0. Und zwar wie ist das wegen VPN, wenn ich sagg alles von WAN Interface blockieren? Muss für VPN irgendeine extra Regel erstellt werden? Es ist so, dass nach der Verbindungsaufbau der Rechner IP aus dem LAN0 Bereich bekommt.

                1 Reply Last reply Reply Quote 0
                • ExordiumE
                  Exordium
                  last edited by

                  @JeGr:

                  Private Netze, nicht Bogons. Bogons sind nur Netze, die momentan nicht vergeben sind. Und auf LANs sollte man kein RFC1918 Haken setzen, das könnte ins Auge gehen. Dann lieber selbst ein eigenes Alias definieren und eine Regel damit machen, das erspart Ärger da man die Reihenfolge selbst festlegen kann.

                  Manuell ist natürlich immer besser und übersichtlicher… War auch nur ne spontane Idee.

                  - pfSense Gold Subscriber -

                  Sense 1: Shuttle DS57U3 (private)
                  Sense 2: Supermicro Atom Barebone (Company Test)
                  Sense 3 : 2 x Supermicro SYS-5018D-FN8T (Company Office)

                  1 Reply Last reply Reply Quote 0
                  • First post
                    Last post
                  Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.