Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Firewall Regeln für zwei getrennte Netzwerke

    Deutsch
    5
    23
    4.4k
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • jahonixJ
      jahonix
      last edited by

      Welche Verständnisprobleme gibt es bei der Lektüre folgender Dokumentationen?
      -Firewall Rule Basics
      -Firewall Rule Processing Order

      1 Reply Last reply Reply Quote 0
      • H
        HydrexHD
        last edited by

        https://picload.org/view/dooapori/operamomentaufnahme_2018-05-16.png.html https://picload.org/view/dooaporw/operamomentaufnahme_2018-05-16.png.html Das sind die momentan aktiven Regeln.

        1 Reply Last reply Reply Quote 0
        • jahonixJ
          jahonix
          last edited by

          Was sollen wir jetzt mit zwei von dir (irgendwo) geposteten Screenshots anfangen? Klatschen?

          Wenn du Hilfe von hier haben willst, dann mache entweder vernünftig mit oder lasse es ganz sein.
          Und beantworte gestellt Fragen vollständig, bevor du neue Infos postest.

          Hast Du die Bridge schon gelöscht?
          Welche Verständnisprobleme gibt es bei der Lektüre der Dokumentationen?

          1 Reply Last reply Reply Quote 0
          • H
            HydrexHD
            last edited by

            Nein, die Bridge wird nicht gelöscht da ich diese für die zwei getrennten Netzwerke Aktiv habe. Das Verständnis Problem bei der Dokumentation ist, dass ich immer noch nicht weiß, wie ich z.B. eine Firewall Regel für folgende dinge aufbauen soll:

            • Das Heimnetzwerk(Bridgename: Heimnetz) und das Servernetzwerk (Bridgename Servernetzwerk) sollen nicht kommunizieren können

            -> Was soll ich bei dieser Regel bei Quelle auswählen Heimnetz oder Servernetzwerk? und Heimnetz/Servernetzwerk net oder Heimnetz/Servernetzwerk adress?

            • Grundlegendes Verbot der Kommunikation untereinander im Servernetzwerk

            -> Was soll ich bei dieser Regel bei Quelle und Ziel auswählen Servernetzwerk net oder Servernetzwerk adress?

            • Regel welche die Kommunikation von bestimmten Geräten im Servernetzwerk erlaubt

            -> Was soll ich bei dieser Regel bei Quelle und Ziel auswählen Servernetzwerk net oder Servernetzwerk adress?

            • Grundlegende Regel für den Internet Zugang für jedes Netzwerk

            -> Was muss ich bei Quelle und Ziel auswählen für den reinen Internet Zugang zum Beispiel für das Servernetzwerk ohne das irgend eine Kommunikation zwischen den einzelnen Netzwerken erlaubt wird?

            • Weiterleitung einer Domain an einen Server im Servernetzwerk?

            -> mit den DNS Forwarder Einstellungen?

            • Regel welche den Zugriff auf das PFsense Webinterface für Geräte oder Netzwerk verbietet

            ->was muss bei Quelle und Ziel hin?

            PS. Sorry für die lange antworte Zeit da ich momentan nicht viel Zeit habe. Es wäre wirklich nett wenn ich jetzt für diese Fragen präzise Antworten bekomme mit Beispielen und nicht lange um den heißen Brei herum geredet wird.

            1 Reply Last reply Reply Quote 0
            • O
              orcape
              last edited by

              Hi,
              und Sorry, wenn ich hier etwas komisch frage.
              Wozu baut man Brücken? Sicher soll es Brücken geben, die irgendwo in der Landschaft stehen und kein Fahrzeug fährt drüber weil der Architekt vergessen hat das da auch noch eine Strasse dazu gehört.
              Bridges arbeiten meiner Ansicht nach auf Layer2 Basis und sind nicht dazu da um diese dann für sämtlichen Verkehr zu sperren.
              Deine Interfaces für Heim- und Servernetz sollten auf Layer3 Basis sein und keine Bridges, dann sperrt das die pfSense schon mal automatisch. Hier solltest Du dann für alle Interfaces dann den ausgehenden Verkehr explizit erlauben.
              Beispiel:

              
	IPv4 TCP 	LAN net (Source) 	* (Port)	* (Dest.)	80 (HTTP) 	* 	none 	  	http-Out

              Du wirst wohl hier kaum jemand finden, der Dir eine für Deinen Anwendungsfall maßgeschneiderte Firewall-Einstellung liefert und das ist sicher auch kontraproduktiv, denn Du sollst ja auch verstehen, was Du da tust.
              Es gibt im Netz genügend Beispiele und danach solltest Du Dir Deine Rules selbst erstellen können.
              Das dies mit einem gewissen Zeitaufwand verbunden sein wird, ist logisch.
              Gruß orcape

              1 Reply Last reply Reply Quote 0
              • H
                HydrexHD
                last edited by

                Die Bridge habe ich deshalb erstellt, da ich eine 4 Port lankarte und eine Wlan karte habe. Und für die Firewall Regel nutze ich die Bridge, weil es für mich keinen Sinn macht für jeden lan port die Regeln einzeln zu machen.

                1 Reply Last reply Reply Quote 0
                • O
                  orcape
                  last edited by

                  Die Bridge habe ich deshalb erstellt, da ich eine 4 Port lankarte und eine Wlan karte habe. Und für die Firewall Regel nutze ich die Bridge, weil es für mich keinen Sinn macht für jeden lan port die Regeln einzeln zu machen.

                  Da hätte ich Dir ja schon fast VLAN 's empfohlen.. ;)
                  Du hast in der pfSense Hardware eine 4Port LAN-Karte und eine WLAN-Karte verbaut und bridgest das ganze dann um nur einmal Firewalleinstellungen machen zu müssen? He?
                  Sorry, anschliessend sollte das dann auch noch unter keinen Umständen untereinander Verbindung haben?
                  Wenn Du schon 5 Interfaces hast, dann solltest Du Die auch einzeln einrichten.
                  Auch Deine restlichen Wünsche scheinen von der Traumfabrik zu stammen, denn was Du Dir vorstellst, muss wohl erst noch erfunden werden. Zumindest wird Dir hierfür kaum einer eine Patentlösung für "Lau" präsentieren.
                  Viel Erfolg aber trotzdem. ;D
                  Gruß orcape

                  1 Reply Last reply Reply Quote 0
                  • H
                    HydrexHD
                    last edited by

                    Ich habe in der PFsense das so gelöst:

                    WAN Interface: Lan Anschluss am Mainboard

                    Servernetzwerk Bridge: zwei lan Ports der Quadport Netzwerkkarte und eine Wlankarte

                    Heimnetzwerk (nicht gebridget): eine extra lan karte an der die Fritzbox angeschlossen ist.

                    So um jetzt dieses Verständnis Problem zu lösen. Und jetzt möchte ich bitte antworten auf meine Fragen haben:

                    @HydrexHD:

                    • Das Heimnetzwerk(lan) und das Servernetzwerk (Bridgename Servernetzwerk) sollen nicht kommunizieren können

                    -> Was soll ich bei dieser Regel bei Quelle auswählen Heimnetz oder Servernetzwerk? und Heimnetz/Servernetzwerk net oder Heimnetz/Servernetzwerk adress?

                    • Grundlegendes Verbot der Kommunikation untereinander im Servernetzwerk

                    -> Was soll ich bei dieser Regel bei Quelle und Ziel auswählen Servernetzwerk net oder Servernetzwerk adress?

                    • Regel welche die Kommunikation von bestimmten Geräten im Servernetzwerk erlaubt

                    -> Was soll ich bei dieser Regel bei Quelle und Ziel auswählen Servernetzwerk net oder Servernetzwerk adress?

                    • Grundlegende Regel für den Internet Zugang für jedes Netzwerk

                    -> Was muss ich bei Quelle und Ziel auswählen für den reinen Internet Zugang zum Beispiel für das Servernetzwerk ohne das irgend eine Kommunikation zwischen den einzelnen Netzwerken erlaubt wird?

                    • Weiterleitung einer Domain an einen Server im Servernetzwerk?

                    -> mit den DNS Forwarder Einstellungen?

                    • Regel welche den Zugriff auf das PFsense Webinterface für Geräte oder Netzwerk verbietet

                    ->was muss bei Quelle und Ziel hin?

                    PS. Es wäre wirklich nett wenn ich jetzt für diese Fragen präzise Antworten bekomme mit Beispielen und nicht lange um den heißen Brei herum geredet wird.

                    1 Reply Last reply Reply Quote 0
                    • jahonixJ
                      jahonix
                      last edited by

                      @HydrexHD:

                      Nein, die Bridge wird nicht gelöscht da ich diese für die zwei getrennten Netzwerke Aktiv habe.

                      Eine Bridge für zwei getrennte Netze? Das ist schon … ungewöhnlich.
                      Wie soll jemand für so einen Quatsch Regeln definieren können, wenn du das selbst schon nicht kannst?

                      @HydrexHD:

                      • Grundlegendes Verbot der Kommunikation untereinander im Servernetzwerk

                      -> Was soll ich bei dieser Regel bei Quelle und Ziel auswählen Servernetzwerk net oder Servernetzwerk adress

                      Du du das was ich schreibe entweder nicht liest oder zwanghaft ignorierst, weiß ich nicht, wie ich da antworten soll.
                      Erklärt habe ich es bereits:
                      @jahonix:

                      @HydrexHD:

                      • Grundlegendes Verbot der Kommunikation untereinander im Servernetzwerk

                      Grundlegende Eigenschaft von Traffic im gleichen Subnetz: der bleibt auf dem Switch und kommt gar nicht beim Router an, kann also von dem auch nicht blockiert werden.

                      Da kannst du jetzt foldern was du willst und wütend werden, es hilft nix: das geht nicht.

                      @HydrexHD:

                      Es wäre wirklich nett wenn ich jetzt für diese Fragen präzise Antworten bekomme mit Beispielen

                      Genau, ich setze mich jetzt hin, versuche nach unzähligen Posts dein immer noch nicht vollständig beschriebenes Netzwerk zu verstehen und dann ein "präzise Antwort mit Beispiel" für deine Forderungen zu erstellen.
                      Geht's noch?

                      Da du schon die simpelsten Ratschläge nicht umsetzt sehe ich nicht, dass das irgendwie erfolgreich werden könnte. Fange klein an mit einem Netzwerk und versuche dafür Access-Regeln zu erstellen und zu verstehen.
                      Danach erweiterst du um ein zweites Netzwerk und erstellst dafür Regeln. Testen, ändern, lernen.
                      Wenn das klappt, dann erstelle Regeln für eingehenden Verkehr zu einem Host.
                      Langsam erweitern. Nicht alles auf einmal haben und machen wollen.

                      Erst wenn das alles läuft, dann liest du dich in die Arbeitsweise und Komfiguration eines reverse-proxy ein, um dann deine mehreren externen Domains auf unterschiedliche interne Server zu verteilen. Das ist alles andere als trivial.
                      Aber so, wie du hier mitmachst und Erfolge/Miserfolge postest, ist das ja eine Kleinigkeit für dich.
                      Also viel Erfolg!

                      @HydrexHD:

                      Und jetzt möchte ich bitte antworten auf meine Fragen haben

                      So so, willst du das also?
                      Ich bin an dieser Stelle jetzt raus. Auf Forderungen habe ich keine Lust. Und für unsinnige, feuchte Träume verschwende ich auch keine weitere Zeit.

                      1 Reply Last reply Reply Quote 1
                      • O
                        orcape
                        last edited by

                        Ich bin an dieser Stelle jetzt raus.

                        Da geh ich mit.  ;D 
                        Ich hatte gedacht das es Trolle nur auf Facebook gibt, aber das scheint ein rein gesellschaftliches Problem zu werden.
                        Wie in der Politik, die einen sahnen ab und die anderen machen die Arbeit.
                        Muss ich nicht haben.

                        1 Reply Last reply Reply Quote 1
                        • First post
                          Last post
                        Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.