Ist meine Konfig so okay ?
-
Moin erstmal :D
Ich bin relativ neu im Gebiet und habe mir eine Spielwiese mir einem ESXI-Host gebaut. Auf diesem befinden sich eine pfsense mit WAN, LAN, DMZ Interfaces, ein 2012r2 Fileserver, ein Admin-PC, sowie ein Debian Webserver mit owncloud.
Das WAN ist an eine physische Netzwerkkarte des esxi-Hosts gebunden und steckt als Exposed Host an einer Fritzbox, welche momentan die Internetverbindung zum Provider herstellt und dyndns macht (geht momentan nicht anders, zukünftig wird sich die pfsense selbst beim Anbieter einwählen, die fritzbox fällt dann weg).
Die zweite physische Netzwerkkarte des esxi-hosts hängt physisch an einem switch, an dem weitere Hosts im LAN hängen, z.B. mein PC.
Der DMZ-Adapter ist komplett virtuell, dort befindet sich der besagte Webserver mit fester IP, wo ein OPEN-DNS-Server eingetragen ist.
Die pfsense macht im LAN DHCP und DNS.Die Ports 443 und 80 werden auf den Webserver geforwarded.
Es existiert eine Regel um Traffic aus der DMZ in das LAN zu verwerfen (reicht hier eine IPv4-Regel aus?)
An den LAN-Regeln habe ich nichts verändert.
Die IPsec-Regel ermöglicht Verkehr der mobile clients überall hin.Ist diese Konfiguration sicherheitstechnisch vertretbar? Habt ihr Verbesserungsvorschläge?
Ob die Konfiguration an sich sinnvoll ist klammert bitte erstmal aus, die Umgebung ist hauptsächlich wie gesagt zum Experimentieren gedacht.
Hier noch ein paar Screenshots zur Verdeutlichung:
Danke euch!!!