Generelle Firewall Eisntellungen



  • Hallo,

    ich bräuchte mal Hilfe bei meiner Firewall Konfiguration.
    Ich habe ein Interface Trunk und mehrere WAN Interfaces. Das Interface Trunk nutze ich um 2 VLANs (Management und Public) zum Switch zu schicken.
    Das Public VLAN (dort verbinden sich die user, die nur Zugriff zum Internet haben sollen) habe ich wie folgt konfiguriert:

    - block - any Protocol - Source: Public-VLAN net - Destination: Management-VLAN - any Port (das Management VLAN soll vom Public VLAN nicht erreicht werden)
    - pass - TCP/UDP - Source: Public-VLAN net - Destination: any - Port: 80
    - pass - TCP/UDP - Source: Public-VLAN net - Destination: any - Port: 443
    - pass - TCP/UDP - Source: Public-VLAN net - Destination: any - Port: 53
    - block - any Protocol - Source: Public-VLAN net - Destination: any - any Port
    

    Bei den WAN Interfaces habe ich KEINE Einstellungen vorgenommen. Das Management VLAN darf überall hin.
    Ist das erst mal OK so, oder fehlt da etwas oder ist etwas falsch?

    Wenn ich mich nun im Public VLAN befinde, kann ich auf den Router (und das komplette Netz 192.168.2.x) des WAN Interfaces zugreifen. Das soll natürlich nicht so sein. Man kann nun natürlich das komplette Netz sperren, was auch funktioniert. Jedoch wird die Firewall auf Events eingesetzt, bei denen der Router bzw. das Netz hinter dem WAN Anschluss sich immer ändert.
    Vielleicht könnte ich alle privaten Netze sperren? Oder wie macht man das?


  • Moderator

    Wenn das Public VLAN nur ins Internet soll und sonst gar nichts, würde ich ein Alias für alle RFC1918 Netze erstellen und das vom Public VLAN aus verbieten. Dann kommen die Nutzer dort nur ins Internet aber lokal sonst nirgends hin. Das dann statt dem Destination MgmtVLAN einbauen und du hast alles erschlagen.

    Grüße



  • Für an Interfaces konfigurierte Netze stellt die pfSense in Regeln auch Variablen zur Verfügung, um das Problem mit änderten IPs zu umgehen.

    So kannst du für deine Zwecke in der Pass-Regel bei Destination den Haken "Invert match." setzen und als Destination "WAN net" auswählen. Das erlaubt dann jedes Ziel mit Ausnahme von WAN net.
    Diese Regel müsstest du aber für jedes WAN net setzen, wenn du mehrere hast. Diese Variablen funktionieren nämlich meines Wissens nicht in Aliases.

    Um den Zugriff auf das Web-Interface zu unterbinden, bedarf es noch einer zusätzlichen Block-Regel.



  • Sehr gut.
    Vielen Dank.