Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Regel Destination "any" für Default Route vermeiden

    Scheduled Pinned Locked Moved Deutsch
    4 Posts 3 Posters 912 Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • S
      spel
      last edited by

      Hallo,

      ich finde pfSense ja wirklich gut, aber warum zum Teufel kann ich das Internet/WAN nicht als Ziel angeben? "any" als Ziel in den Firewall regeln isst Mist. Dann darf alles überall hin, von VLAN zu VLAN usw.

      Ich kenne das z.B. von LANCOM so, dass ich das Interface angeben kann.. Bei pfSense kann ich nur Netzwerkadressen etc. angeben.

      Und ein Mischmasch aus Pass und Block möchte ich eignetlich nicht.

      Ziel ist es also eine Regel für z.B. WebZugriff zu erstellen, dabei aber nur so viel wie nötig zu bennen, also nicht any, sondern die WAN-Schnittstelle (in meinem Fall wäre WAN-Adress das Netz einer vor der pfSense stehenden Fritzbox…)

      Danke für eure Hilfe!

      1 Reply Last reply Reply Quote 0
      • V
        viragomann
        last edited by

        Hallo,

        dafür braucht es in pfSense eben 2 Schritte:

        Lege einen IP Alias an, Name privateNetze, oder RFC 1918 oder was immer dir gefällt.
        Füge sämtliche private Netzwerkbereiche hinzu:
        192.168.0.0/16
        172.16.0.0/12
        10.0.0.0/8

        Diesen kannst du dann in den Firewall-Regeln verwenden, um nur Zugriff auf Internet zu erlauben bzw. um Zugriff auf private zu blockieren.
        Bspw. wenn du keine default allow any to any Regel hast, erstelle eine Pass-Regel oder modifiziere zuvor genannte, verwende den erstellten Alias als Destination und setze den Haken bei "Invert match".
        Diese Regel erlaubt dann Zugriff auf alles außer den privaten Netzen.

        Natürlich reicht es, nur die Netze dem Alias hinzuzufügen, die du selbst verwendest, mit sämtlichen privaten IP Bereichen funktioniert die Regel aber auch noch, nachdem du an deinen Netzwerken etwas verändert hast.

        1 Reply Last reply Reply Quote 0
        • JeGrJ
          JeGr LAYER 8 Moderator
          last edited by

          Hi,

          ich finde pfSense ja wirklich gut, aber warum zum Teufel kann ich das Internet/WAN nicht als Ziel angeben?

          Weil es kein "Internet" per se gibt. Woher soll die FW wissen, was du als Internet bezeichnest und was nicht? :)

          Ich kenne das z.B. von LANCOM so, dass ich das Interface angeben kann.. Bei pfSense kann ich nur Netzwerkadressen etc. angeben.

          Was für ein Interface? Du kannst durchaus bei Regeln z.B. angeben "LAN subnet" oder "XY subnet".

          Und ein Mischmasch aus Pass und Block möchte ich eignetlich nicht.

          Das ist aber genau das, was LANCOM und Co eben knirschend machen, und man bei pfSense feingranular sauber einstellen kann.

          Ziel ist es also eine Regel für z.B. WebZugriff zu erstellen, dabei aber nur so viel wie nötig zu bennen, also nicht any, sondern die WAN-Schnittstelle (in meinem Fall wäre WAN-Adress das Netz einer vor der pfSense stehenden Fritzbox…)

          Dann tue er das doch! Es steht dir doch frei, schlicht ein Alias zu erstellen mit allen Netzen, die du ausschließen möchtest (z.B. eben andere VLANs wie du schreibst) und dann eben eine Regel mit Ziel !(nicht)Aliasname zu definieren. Oder eben - sauberer und besser in der Übersicht - erst ein Block auf diesen Alias, damit kein Zugriff von bspw. LAN1 auf LAN2 möglich ist - dann ein allow any(thing else) mit bspw. Ports die du freigibst und danach gilt dann der implizite "deny any". Dann erlaubst du keinen Zugriff auf LAN1->LAN2, von LAN1 ins Internet nur auf spezifische Ports und alles andere geblockt. Braucht 2 Regel. Finde ich weder unübersichtlich, schwierig oder unhandlich :)

          Grüße

          Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

          If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

          1 Reply Last reply Reply Quote 0
          • S
            spel
            last edited by

            Hallo,

            ich kenne das Regelwerk sonst nur von LANCOM. pfSense ist da ja wirklich näher an der Technik/Logic.

            Danke für eure Hilfe!

            1 Reply Last reply Reply Quote 0
            • First post
              Last post
            Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.