Ein bestimmtes Interface per Regeln stilllegen



  • Hallo,

    ich habe eine Netzwerkdose im Garten, um eine Airport Express für Airplay anzuschließen. Aber da ich ein wenig Paranoid bin ;D, möchte ich diese für längere Abwesenheitsperioden oder im Winter vom Heimnetzwerk trennen (bisher erfolgte das per Ausstöpseln des LAN Kabels, jetzt soll es eleganter über das WebIF passieren).

    Dazu habe ich mir folgendes überlegt:
    0. die Dose ist an ein eigenes in der pfSense eingerichtetes Interface angeschlossen, welches zur LAN+WLAN Bridge dazugehört
    1. unter Floating erstelle ich eine Regel mit den folgenden Parametern: Apply on Match; Interface - GARTEN; alles auf any; Tag - garten
    2. unter Bridge erstelle ich eine Reject-Regel mit den folgenden Parametern: Interface - Bridge; Source - Bridge net; Rest - any; Tagged - garten

    Schon sollte es doch laufen? Bzw. als ich dies vor einigen Tagen eingerichtet habe, lief es wohl tatsächlich so wie geplant. Jetzt aber habe ich die AE im Garten eingeschaltet und diese funktioniert komischerweise trotzdem wieder.

    Zunächst würde ich gerne fragen, ob ich generell alles richtig gemacht bzw. geplant habe, um dann auf die weitere Fehlersuche zu gehen.



  • Wozu so umstädlich?
    Du schreibst, dass die Dose an einem eigenen Interface der pfSense betrieben wird.
    Wenn Du die Dose länger nicht brauchst, deaktiviere doch einfach das Interface in der pfSense.


  • Moderator

    Was Birke sagt mit dem Zusatz: Interface disablen und einfach aus der Bridge rausnehmen müsste theoretisch doch reichen?



  • Ja gut, das wäre das einfachste und so hatte ich es anfangs auch gemacht. Der genaue Grund fällt mir jetzt nicht mehr ein, aber ich habe diese Vorgehensweise aufgegeben… und jetzt wollte ich es auf die o.g. Art und Weise lösen, denn so ergeben sich deutlich mehr Möglichkeiten (Stichwort: Schedules).



  • Wenn es nur um die mögliche Zeitsteuerung geht, könntest Du das Cron-Paket installieren und das ifup/ifdown dann über einen normalen Cronjob machen.
    Wäre nicht so komfortabel zu konfigurieren, aber sollte auch machbar sein.



  • Ich habe ja gesagt, dass sich dadurch mehr Möglichkeiten ergeben (die Zeitsteuerung war nur "u.a."). Wozu also etwas kompliziertes machen, wenn es doch einfacher und komfortabler gehen sollte. Die Frage ist halt, was bei mir falsch läuft. Kann denn keiner etwas zur angefragten Umsetzung sagen - was ich evtl. falsch mache oder worauf ich einen Blick werfen sollte?