Interface routing



  • Hallo,
    ich hab ein WAN, LAN, WLAN, DMZ interfaces und will das LAN nur nach außen kommunizieren kann und DMZ nicht in die anderen interfaces, wie kann ich das realisieren?

    MFG


  • LAYER 8 Moderator

    Wie wäre es statt dessen die Frage zu beantworten, was denn für deine Planung nicht so funktioniert wie es soll? Und warum das so ist? Denn die Frage ist wirklich Basic-Wissen und sollte mit Dokumentation und kurzem Blick auf ein Netzdiagramm zu lösen sein.

    1. Warum geht Außenkommunikation?
      -> NAT
      => nur LAN nach außen NATten, die anderen nicht.

    2. Warum geht Kommunikation von Netz X nach Netz Y?
      -> Firewall
      => Regeln entsprechend konfigurieren.

    Grüße



  • Also, du hast mich falsch verstanden  :-[.
    Ich will das man aus dem WLAN Subnetz(Interface) nicht mit anderen Subnetzen(Interfaces) kommunizieren kann aber ins Internet kommt.
    Ich weis dass das ne dumme Frage ist habs aber selber mit den Firewall Rules probiert, hat leider nicht funktioniert und MrGoogle konnte mir auch nicht helfen,  ;).

    MFG Luick.



  • Wenn ein Netzwerksegment an einem Interface nur ins WAN soll (d.h. überall hin außer auf private Netze (RFC 1918)), ist der simpelste Weg, du legst dir einen Alias für RFC 1918 an und verwendest diesen dann in der Firewall-Regel. Firewall > Alias > IP.
    Name nach Belieben, RFC1918 würde sich anbieten.
    Diese Netze hinzufügen:
      10.0.0.0/8
      172.16.0.0/12
      192.168.0.0/16

    Dann legst du am entspechenden Interface eine Firewall-Regel an:
    Protocol: any
    Source: any
    Dest: check bei "invert match.", "Singele host or alias" auswählen und rechts den Namen des Alias.
    Und noch einen treffenden Namen vergeben.

    Anstatt den RFC 1918 Netzen könntest du natürlich auch nur deine eigenen internen Netze nehmen, aber mit den oben genannten bist du auch auf der sicheren Seite, falls du mal ein Subnetz ändern solltest.

    Wenn du aber auch Zugriff von diesem Interface auf die pfSense selbst benötigst, bspw. DNS od. DHCP, musst du dafür eine zusätzliche Regel erstell, die nur dieses erlaubt und diese oberhalb der o.g. positionieren.



  • Danke, funktioniert  8)


Log in to reply