Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Generelle Firewall Eisntellungen

    Scheduled Pinned Locked Moved Deutsch
    4 Posts 3 Posters 3.1k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • G
      groovesurfer
      last edited by

      Hallo,

      ich bräuchte mal Hilfe bei meiner Firewall Konfiguration.
      Ich habe ein Interface Trunk und mehrere WAN Interfaces. Das Interface Trunk nutze ich um 2 VLANs (Management und Public) zum Switch zu schicken.
      Das Public VLAN (dort verbinden sich die user, die nur Zugriff zum Internet haben sollen) habe ich wie folgt konfiguriert:

      - block - any Protocol - Source: Public-VLAN net - Destination: Management-VLAN - any Port (das Management VLAN soll vom Public VLAN nicht erreicht werden)
      - pass - TCP/UDP - Source: Public-VLAN net - Destination: any - Port: 80
      - pass - TCP/UDP - Source: Public-VLAN net - Destination: any - Port: 443
      - pass - TCP/UDP - Source: Public-VLAN net - Destination: any - Port: 53
      - block - any Protocol - Source: Public-VLAN net - Destination: any - any Port
      

      Bei den WAN Interfaces habe ich KEINE Einstellungen vorgenommen. Das Management VLAN darf überall hin.
      Ist das erst mal OK so, oder fehlt da etwas oder ist etwas falsch?

      Wenn ich mich nun im Public VLAN befinde, kann ich auf den Router (und das komplette Netz 192.168.2.x) des WAN Interfaces zugreifen. Das soll natürlich nicht so sein. Man kann nun natürlich das komplette Netz sperren, was auch funktioniert. Jedoch wird die Firewall auf Events eingesetzt, bei denen der Router bzw. das Netz hinter dem WAN Anschluss sich immer ändert.
      Vielleicht könnte ich alle privaten Netze sperren? Oder wie macht man das?

      1 Reply Last reply Reply Quote 0
      • JeGrJ
        JeGr LAYER 8 Moderator
        last edited by

        Wenn das Public VLAN nur ins Internet soll und sonst gar nichts, würde ich ein Alias für alle RFC1918 Netze erstellen und das vom Public VLAN aus verbieten. Dann kommen die Nutzer dort nur ins Internet aber lokal sonst nirgends hin. Das dann statt dem Destination MgmtVLAN einbauen und du hast alles erschlagen.

        Grüße

        Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

        If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

        1 Reply Last reply Reply Quote 0
        • V
          viragomann
          last edited by

          Für an Interfaces konfigurierte Netze stellt die pfSense in Regeln auch Variablen zur Verfügung, um das Problem mit änderten IPs zu umgehen.

          So kannst du für deine Zwecke in der Pass-Regel bei Destination den Haken "Invert match." setzen und als Destination "WAN net" auswählen. Das erlaubt dann jedes Ziel mit Ausnahme von WAN net.
          Diese Regel müsstest du aber für jedes WAN net setzen, wenn du mehrere hast. Diese Variablen funktionieren nämlich meines Wissens nicht in Aliases.

          Um den Zugriff auf das Web-Interface zu unterbinden, bedarf es noch einer zusätzlichen Block-Regel.

          1 Reply Last reply Reply Quote 0
          • G
            groovesurfer
            last edited by

            Sehr gut.
            Vielen Dank.

            1 Reply Last reply Reply Quote 0
            • First post
              Last post
            Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.