4. Generelle Firewall Eisntellungen

Generelle Firewall Eisntellungen

  • G

    Hallo,

    ich bräuchte mal Hilfe bei meiner Firewall Konfiguration.
    Ich habe ein Interface Trunk und mehrere WAN Interfaces. Das Interface Trunk nutze ich um 2 VLANs (Management und Public) zum Switch zu schicken.
    Das Public VLAN (dort verbinden sich die user, die nur Zugriff zum Internet haben sollen) habe ich wie folgt konfiguriert:

    - block - any Protocol - Source: Public-VLAN net - Destination: Management-VLAN - any Port (das Management VLAN soll vom Public VLAN nicht erreicht werden)
- pass - TCP/UDP - Source: Public-VLAN net - Destination: any - Port: 80
- pass - TCP/UDP - Source: Public-VLAN net - Destination: any - Port: 443
- pass - TCP/UDP - Source: Public-VLAN net - Destination: any - Port: 53
- block - any Protocol - Source: Public-VLAN net - Destination: any - any Port

    Bei den WAN Interfaces habe ich KEINE Einstellungen vorgenommen. Das Management VLAN darf überall hin.
    Ist das erst mal OK so, oder fehlt da etwas oder ist etwas falsch?

    Wenn ich mich nun im Public VLAN befinde, kann ich auf den Router (und das komplette Netz 192.168.2.x) des WAN Interfaces zugreifen. Das soll natürlich nicht so sein. Man kann nun natürlich das komplette Netz sperren, was auch funktioniert. Jedoch wird die Firewall auf Events eingesetzt, bei denen der Router bzw. das Netz hinter dem WAN Anschluss sich immer ändert.
    Vielleicht könnte ich alle privaten Netze sperren? Oder wie macht man das?

    0
  • Rebel Alliance Moderator

    Wenn das Public VLAN nur ins Internet soll und sonst gar nichts, würde ich ein Alias für alle RFC1918 Netze erstellen und das vom Public VLAN aus verbieten. Dann kommen die Nutzer dort nur ins Internet aber lokal sonst nirgends hin. Das dann statt dem Destination MgmtVLAN einbauen und du hast alles erschlagen.

    Grüße

    0
  • V

    Für an Interfaces konfigurierte Netze stellt die pfSense in Regeln auch Variablen zur Verfügung, um das Problem mit änderten IPs zu umgehen.

    So kannst du für deine Zwecke in der Pass-Regel bei Destination den Haken "Invert match." setzen und als Destination "WAN net" auswählen. Das erlaubt dann jedes Ziel mit Ausnahme von WAN net.
    Diese Regel müsstest du aber für jedes WAN net setzen, wenn du mehrere hast. Diese Variablen funktionieren nämlich meines Wissens nicht in Aliases.

    Um den Zugriff auf das Web-Interface zu unterbinden, bedarf es noch einer zusätzlichen Block-Regel.

    0
  • G

    Sehr gut.
    Vielen Dank.

    0
Log in to reply
 

Products

Applications

Support

Services

News

Resources

Company

Our Mission

As host of the pfSense open source firewall project, Netgate believes in enhancing network connectivity that maintains both security and privacy. We also believe everyone should be able to afford it.

Subscribe to our Newsletter

Product information, software announcements, and special offers. See our newsletter archive for past announcements.

© Copyright 2002 - 2019 Rubicon Communications, LLC | Privacy Policy