Anfäger frage zu firewall

baunty

Hallo zusammen, ich stehe etwas auf dem schlauch was die freigaben angeht.

zur konfiguration:
5 Schnitstellen mit hardware karten und 3 Vlans ( die zuordnungen laufen, mit einzelnen dhcp)

nun möchte ich aber aus WLAN1 in das wan netzt mit dem port 8006 was nicht geht.
port 80 geht.

firewall regel ist eingestellt in WLAN1
Quelle WLAN1 net * * * * Queue nicht gesetzt

sollte dieses nicht bedeuten das alles was aus dem WLAN1 kommt überhall hin darf?

JeGr

Hi,

das ist ein wenig konfus. Was ist WLAN1? Ein echtes Interface? VLAN?
Was ist mit "Will in das WAN Netz" gemeint? Klingt schräg. Internet? Wirklich das WAN_net?

Sollte die Regel tatsächlich so aussehen (WLAN1_net any any any) dann würde das genau dies bedeuten, dass jeder mit Adresse aus den WLAN1 Subnetz überall hin darf. Allerdings würde ich dann erstmal nachsehen OB der Client überhaupt auf der Firewall geblockt wurde oder nicht was anderes schief läuft. Was sagen die Logs? Filter Logs? Interface korrekt? Adresse korrekt? Weswegen geblockt?

Ansonsten leider viel zu wenig Details für eine wirkliche Aussage.

baunty

@jegr
Danke für das feetback also wlan1 ist ein Vlan auf meiner ersten netzwerkkarte. mit der Vlan ID 33 der DHCP vergibt adressen aus dem bereich 10.2.13.50-10.2.13.150 wen ich meinen Laptop an das Interface aus dem VLAN 33 stecke bekomme ich auch die IP 10.2.13.57 somit Passende netzt. Später soll da ein Wlan drann für die Kinder deswegen WLAN1. Wenn ich unter Diafnose ARP Tabelle schaue ist die IP 192.168.179.119 aufgeführt. Ein Ping geht auf die IP auch nur leider bekomme ich meine HP auf dem port 8006 nicht aufgerufen.
in der Diagnose State Übersicht ist die IP 192.168.179.119 auch nicht aufgefüht.
beim Test Port kommt ein grünes ergebniss für den port aus dem netz.

Wo finde ich den bei pfSense die Logs und die weiteren benötigten informationen

Mitschnitt sieht so aus.

11:49:15.870623 IP 10.2.13.57.56152 > 192.168.179.119.8006: tcp 0
11:49:15.870997 IP 192.168.179.119.8006 > 10.2.13.57.56152: tcp 0
11:49:15.873034 IP 10.2.13.57.56153 > 192.168.179.119.8006: tcp 0
11:49:15.873370 IP 192.168.179.119.8006 > 10.2.13.57.56153: tcp 0
11:49:16.122600 IP 10.2.13.57.56154 > 192.168.179.119.8006: tcp 0
11:49:16.122957 IP 192.168.179.119.8006 > 10.2.13.57.56154: tcp 0
11:49:16.887998 IP 192.168.179.119.8006 > 10.2.13.57.56153: tcp 0
11:49:16.888018 IP 192.168.179.119.8006 > 10.2.13.57.56152: tcp 0
11:49:17.144171 IP 192.168.179.119.8006 > 10.2.13.57.56154: tcp 0
11:49:18.870615 IP 10.2.13.57.56152 > 192.168.179.119.8006: tcp 0
11:49:18.870645 IP 10.2.13.57.56153 > 192.168.179.119.8006: tcp 0
11:49:18.870942 IP 192.168.179.119.8006 > 10.2.13.57.56152: tcp 0
11:49:18.870960 IP 192.168.179.119.8006 > 10.2.13.57.56153: tcp 0
11:49:19.122858 IP 10.2.13.57.56154 > 192.168.179.119.8006: tcp 0
11:49:19.123173 IP 192.168.179.119.8006 > 10.2.13.57.56154: tcp 0
11:49:20.889085 IP 192.168.179.119.8006 > 10.2.13.57.56153: tcp 0
11:49:20.889110 IP 192.168.179.119.8006 > 10.2.13.57.56152: tcp 0
11:49:21.145156 IP 192.168.179.119.8006 > 10.2.13.57.56154: tcp 0

nodau

Hallo,

funktioniert der Zugriff auf die HP, wenn du den Client direkt ins Subnet deines Webservers hängst? Die Regel sieht im ersten Moment gut aus, sonst würde auch kein Ping durchkommen. Du könntest mit Telnet ggf. den Port nochmal testen.
Denke aber, dass du ein Problem mit der Verschlüsselung hast. Wenn der Webserver https verlangt, du aber bei der Adresseingabe nur http schreibst, kommt es bei fehlendem Redirect zum Fehler.

baunty

nun habe ich mal den port der HP geändert und auch die IP des Server jetzt schaut die sache so aus:

Server ist in der DMZ hat die IP 10.168.10.2
Client steht im WLAN1 mit der IP 10.2.13.57

stelle ich Client in DMZ kann seite auf 1001 aufgerufen werden mit htaccess und ich kann sie auch anschauen.

doch nicht vom WLAN1 komme ich zu der seite .
vom WAN kann ich die seite Aufrufen
0_1536846141961_97287a94-fdc6-4ae9-9e90-328ce9ec6951-image.png

0_1536846198697_25ef1410-0365-4923-ac65-11ca85325140-image.png

edit: Kann das an den vlans liegen da es ja beidesmal die selbe karte ist? Wen ja wie kann ich das Testen?
0_1536848534796_b5e9f0ce-cddc-4f78-bccc-06b656794268-image.png

JeGr

Dass es physikalisch der gleiche NIC ist, ist irrelevant, das ist der Sinn von VLANs, dass diese getrennt behandelt werden.

stelle ich Client in DMZ kann seite auf 1001 aufgerufen werden mit htaccess und ich kann sie auch anschauen.

Und ist auch sichergestellt, dass überhaupt der Dienst aus einem anderen Netz! aufgerufen werden kann? Das hört sich nämlich (gerade mit .htaccess!) danach an, als würde alles was nicht das gleiche Netz ist, schlicht auf dem Server geblockt werden, nicht auf der Firewall.

baunty

Da ich aus dem WAN netz aktuell die (.htaccess!) aufrufen kann schließe Ich das eigentlich aus. aber (.htaccess!) mal ausmachen und Testen ist eine Idea.

JeGr

WAN ist nicht RFC1918 - also keine privaten IPs. Gibt genug Dienste die default bestimmte IP Ranges ausnehmen bzw. blocken weil davon eigentlich kein Traffic kommen soll. Daher würde ich erstmal den Dienst sicherstellen. Ich weiß ja leider nicht was da eigentlich für ne Kiste in der DMZ steht und wie die konfiguriert ist, da bist du ja generell eher spärlich an Informationen ;)

Zumal ich mich wundere wie du vom WAN aus mit der einen Regel auf eine private Adresse in der DMZ zugreifen willst, wenn du nicht auf dem WAN auch was privates aufliegen oder ein Forwarding definiert hast - dann würde aber die Regel keinen Sinn machen, da Forwards automatische Regel anlegen.

Damit bleibt meine Ursprungsaussage: ZU wenig Details und Infos für eine ordentliche Analyse.