Regel Destination "any" für Default Route vermeiden



  • Hallo,

    ich finde pfSense ja wirklich gut, aber warum zum Teufel kann ich das Internet/WAN nicht als Ziel angeben? "any" als Ziel in den Firewall regeln isst Mist. Dann darf alles überall hin, von VLAN zu VLAN usw.

    Ich kenne das z.B. von LANCOM so, dass ich das Interface angeben kann.. Bei pfSense kann ich nur Netzwerkadressen etc. angeben.

    Und ein Mischmasch aus Pass und Block möchte ich eignetlich nicht.

    Ziel ist es also eine Regel für z.B. WebZugriff zu erstellen, dabei aber nur so viel wie nötig zu bennen, also nicht any, sondern die WAN-Schnittstelle (in meinem Fall wäre WAN-Adress das Netz einer vor der pfSense stehenden Fritzbox…)

    Danke für eure Hilfe!



  • Hallo,

    dafür braucht es in pfSense eben 2 Schritte:

    Lege einen IP Alias an, Name privateNetze, oder RFC 1918 oder was immer dir gefällt.
    Füge sämtliche private Netzwerkbereiche hinzu:
    192.168.0.0/16
    172.16.0.0/12
    10.0.0.0/8

    Diesen kannst du dann in den Firewall-Regeln verwenden, um nur Zugriff auf Internet zu erlauben bzw. um Zugriff auf private zu blockieren.
    Bspw. wenn du keine default allow any to any Regel hast, erstelle eine Pass-Regel oder modifiziere zuvor genannte, verwende den erstellten Alias als Destination und setze den Haken bei "Invert match".
    Diese Regel erlaubt dann Zugriff auf alles außer den privaten Netzen.

    Natürlich reicht es, nur die Netze dem Alias hinzuzufügen, die du selbst verwendest, mit sämtlichen privaten IP Bereichen funktioniert die Regel aber auch noch, nachdem du an deinen Netzwerken etwas verändert hast.


  • Moderator

    Hi,

    ich finde pfSense ja wirklich gut, aber warum zum Teufel kann ich das Internet/WAN nicht als Ziel angeben?

    Weil es kein "Internet" per se gibt. Woher soll die FW wissen, was du als Internet bezeichnest und was nicht? :)

    Ich kenne das z.B. von LANCOM so, dass ich das Interface angeben kann.. Bei pfSense kann ich nur Netzwerkadressen etc. angeben.

    Was für ein Interface? Du kannst durchaus bei Regeln z.B. angeben "LAN subnet" oder "XY subnet".

    Und ein Mischmasch aus Pass und Block möchte ich eignetlich nicht.

    Das ist aber genau das, was LANCOM und Co eben knirschend machen, und man bei pfSense feingranular sauber einstellen kann.

    Ziel ist es also eine Regel für z.B. WebZugriff zu erstellen, dabei aber nur so viel wie nötig zu bennen, also nicht any, sondern die WAN-Schnittstelle (in meinem Fall wäre WAN-Adress das Netz einer vor der pfSense stehenden Fritzbox…)

    Dann tue er das doch! Es steht dir doch frei, schlicht ein Alias zu erstellen mit allen Netzen, die du ausschließen möchtest (z.B. eben andere VLANs wie du schreibst) und dann eben eine Regel mit Ziel !(nicht)Aliasname zu definieren. Oder eben - sauberer und besser in der Übersicht - erst ein Block auf diesen Alias, damit kein Zugriff von bspw. LAN1 auf LAN2 möglich ist - dann ein allow any(thing else) mit bspw. Ports die du freigibst und danach gilt dann der implizite "deny any". Dann erlaubst du keinen Zugriff auf LAN1->LAN2, von LAN1 ins Internet nur auf spezifische Ports und alles andere geblockt. Braucht 2 Regel. Finde ich weder unübersichtlich, schwierig oder unhandlich :)

    Grüße



  • Hallo,

    ich kenne das Regelwerk sonst nur von LANCOM. pfSense ist da ja wirklich näher an der Technik/Logic.

    Danke für eure Hilfe!