Intern Ports öffnen zwischen zwei Netzen intern.



  • Hallo.
    Ich habe ein kleines Problem.
    Und ich möchte nicht einfach in der Firewall herum frickeln und wo möglich Fehler machen.

    Mir geht es einfach darum gewisse Ports intern zwischen mein zwei getrennten Netzen  zu öffen.

    Ich habe:
    Lan: 192.168.1.0/24
    Wlan: 192.168.3.0/24

    Ports 1714 bis 1764 für TCP und UDP sollen geöffnet werden.

    Jetzt bin ich mir aber nicht sicher was ich in der Firewall eintragen muss eben.
    Mfg



  • Hallo,

    die pfSense hat standardmäßig am LAN eine Regel, die alles und überall hin erlaubt. Wenn du das einschränken möchtest, musst du diese Regel löschen / deaktivieren.

    Du hast nicht genannt, auf welchem der Netze der Traffic eingeschränkt werden soll. Mglw. nur für WLan, und LAN soll eh alles dürfen.

    Wenn du bspw. für WLAN diese Ports nach LAN öffnen möchtest, legst du eine FW-Regel am WLan Interface an. Protocol = TCP/UDP, Source = WLan net, Source Port = any, Destination = LAN net, Destination Port = other, custom = 1714 to = other, custom = 1764

    Bedenke aber, wenn du die Zugriffe einschränkst, musst du bspw. auch den Zugriff aufs Internet in einer gesonderten Regel erlauben, wenn das gewünscht ist (Ports 80, 443) und auch den Zugriff auf einen DNS Server.



  • Hallo, ich danke für die schnelle Antwort.

    Und nein, ich möchte natürlich nix in irgendeiner Weise einschränken zwischen Lan und wlan.

    Mir geht es darum, das ich mein tv-gerät das am Lan hängt wieder mit mein Smartphone steuern können das ich über WLAN am Router verbunden hat.
    Leider findet so meine app das Gerät nun nicht mehr.

    Genauso sieht es mit smb freigeben aus die im LAN sind finde isehe ich am Notebook im wlan nicht.

    Nun dachte ich das es von Haus aus Einschränkungung geben muß wohl.
    Mfg



  • Wenn du die allow any to any Regel vom LAN aufs WLAN kopierst, gibt es von der Firewall her keine Einschränkung irgendwohin.

    ABER: Du hast nun dein WLAN in einem anderen Subnetz und daher kommen wohl deine Probleme.
    Die TV-Bedienung ist üblicherweise auf Multicasts angewiesen, SMB auf Broadcasts, wenn du keinen Domaincontroller betreibst. Beide finden am Router ihr Ende, d.h. es geht standardmäßig nicht von einem Subnetz in ein anderes.
    Für die Multicasts könnte dir der IGMP Proxy der pfSense helfen (Services Menü), für Broadcasts kenne ich keine Abhilfe, das geht nicht von einem Subnetz in ein anderes.

    Also nachdem du eh nichts einschränken möchtest, wäre die simpelste Lösung für dich, WLAN u. LAN wieder in ein Broadcast-Domäne zu bringen. Am einfachsten, den WLAN AP über einen Switch mit dem LAN verbinden oder du kannst auch die beiden Interfaces auf der pfSense brücken, damit wäre es dann immer noch möglich, den Traffic zu kontrollieren.



  • Hallo.
    Ja daran hatte ich auch schon gedacht das es Probleme geben könnte wenn Lan und wlan verschiedenen subnetze sind.

    Ich habe jetzt.das wlan ge bright mit Lan. Nun funktioniert alles so wie ich es gern wolte.

    PS. Ich bin nachwievor der Meinung das wlan und das Lan getrennt sein solte eigentlich. Zwecks der übersicht und Sicherheit.  Aber das kann auch Ansichtssache sein bestimmt.
    Mfg



  • Hallo,

    klar könnte es ein Sicherheitsgewinn sein, das WLAN vom LAN zu trennen.
    Ganz vereint sind die Netze ja auch nicht, wenn sie auf der pfSense gebrückt sind.

    Du kannst immer noch auf jedem Interface getrennte Firewall-Regeln erstellen. Dazu müssen die beiden Parameter in System > Advanced > System Tunables "net.link.bridge.pfil_member" (1) und "net.link.bridge.pfil_bridge" (0) die entsprechenden Werte habe. Meines Wissens ist das jetzt standardmäßig so gesetzt, dass man die Filterregeln auf dem Interface setzen kann, war früher anders.

    Dann kannst du am WLAN Interface eine Regel wie die o.g. anlegen, nur eben als Quelle und Ziel das neue Netz (dasselbe) eintragen. Für Multicasts kannst du eine Regel erstellen, die das IGMP-Protokoll erlaubt, das dürfte aber ohnehin nur LAN-seitig nötig sein, wo vermutlich eh alles erlaubt ist. Und darunter eine Regel, die Zugriff auf LAN blockt. Dann noch eine, die den Traffic ins Internet erlaubt.

    Grüße


Log in to reply