Fragen zur Firewall



  • Hallo, bin neu aber sehr begeistert vom pfsense.

    Leider verstehe ich die Firewall nicht so ganz und mit Englsch ist es auch nicht so einfach. Hier meine Fragen:

    • Wenn man Pass-Regeln erstellt, muss man dann auch eine abschließende Block/RJ Regel zum Abschluss erstellen? Oder gilt, was nicht frei gegeben ist wird auch nicht durchgelassen?

    • Was ist der Unterschied zwischen der Darstellung im Punkt NAT und den Rules? Irgendwie beeinflussen die sich ja?

    • Ich habe ein opt1 Netzwerk mit Servern. Das soll nach außen offen und zum LAN geschlossen sein. Benötige ich für diese Netz einen Gateway oder wird die Funktion durch die Firewall ersetzt?

    Ich denke, dass sind die wichtigsten Fragen. Es wäre super, wenn mir es jemand näher bringen könnte, sicher auch zur Hilfe für andere.



  • @peroni5:

    Hallo, bin neu aber sehr begeistert vom pfsense.

    Hallo,

    Leider verstehe ich die Firewall nicht so ganz und mit Englsch ist es auch nicht so einfach. Hier meine Fragen:

    • Wenn man Pass-Regeln erstellt, muss man dann auch eine abschließende Block/RJ Regel zum Abschluss erstellen? Oder gilt, was nicht frei gegeben ist wird auch nicht durchgelassen?

    Mit Pass gibts du frei welches LAN oder einzelne Rechner über das entsprechende Interface kommunizieren dürfen. Grundsätzlich ist alles andere geblockt, d.h. du benötigst keine besondere Block Regel.

    Ausnahme ist das LAN Interface, dort ist erstmal jedem Gerät was dort angeschlossen ist die kommunikation über das LAN Interface erlaubt. Dies geschieht durch die Anti Lockout Regel, Grund dafür ist das man über LAN erstmal zugriff auf die pfsense bekommt um sie zu konfigurieren und auf der Internet zugreifen kann ohne erstmal groß was einstellen muß an der FW.

    • Was ist der Unterschied zwischen der Darstellung im Punkt NAT und den Rules? Irgendwie beeinflussen die sich ja?
    • Ich habe ein opt1 Netzwerk mit Servern. Das soll nach außen offen und zum LAN geschlossen sein. Benötige ich für diese Netz einen Gateway oder wird die Funktion durch die Firewall ersetzt?
      [/qoute]

    Wenn du einen Server betreibst ist ein NAT vermutlich sinnvoller als einen einfache Regel, hier muß du für einige Serverdienste Port Ranges freigeben.
    NAT erstellen und dann in WAN Rules PASS oder Block definieren. Für die kommunikation raus geht der Server über das Standard Gateway, für die Kommunikation rein ist kein Gateway erforderlich.

    Ich hoffe mal ich habe es so halbwegs richtig rüber gebracht



  • Hallo xidendt, also im Prinzip läuft schon alles :-). Ich habe es halt so lange probiert, bis es ging. Man sollte aber auch verstehen, warum es so ist. Du hast mich etwas weiter gebracht. Vielen Dank.

    Also der opt1 läuft ohne Gateway im Moment.

    Vielleicht kann noch jemand erklären, diese Zusammenhänge: Source (Quelle), Dest (Ziel), NAT (Übersetzer) Adresse/Netz/Port

    Adresse ist die Adresse der jeweiligen Schnittstelle, so wie ich es verstanden habe. Netz und Port ist soweit klar. Warum muss man bei NAT  u.U. 4!!!!! Quellen angeben (IF, Quelle, ZIel, NAT)?  :o

    Wann gibt man nur die Schnittstellen-IP an?



  • @peroni5:

    Vielleicht kann noch jemand erklären, diese Zusammenhänge: Source (Quelle), Dest (Ziel), NAT (Übersetzer) Adresse/Netz/Port

    Source, wo es her kommt (Internet)
    Ziel, wo es hin soll (Server)

    NAT lauscht an WAN welche Ports auf den Server weiter geleitet werden sollen und reicht diese weiter, das trifft zu wenn du NAT / Port Forwarding nimmst.

    Adresse ist die Adresse der jeweiligen Schnittstelle, so wie ich es verstanden habe. Netz und Port ist soweit klar. Warum muss man bei NAT  u.U. 4!!!!! Quellen angeben (IF, Quelle, ZIel, NAT)?  :o

    Wann gibt man nur die Schnittstellen-IP an?

    Das geht glaube ich bei NAT 1:1

    Ich habe nur Port Forwarding eingerichtet auf meinen Server, schließlich will ich nicht alle Dienste vom Internet erreichen.
    Ich habe z.B. FTP mit einer Port Range und SSH mit nur einem Port weiter geleitet, Samba nciht, da dieser Dienst nur Internen genutzt wird. Leite ich alles was auf WAN ankommt kann ich mir eigentlich die Firewall sparen.


Log in to reply