!!ERLEDIGT!! Firewall Einstellung auf dem gleichen Interface… bitte eure Hilfe



  • Hallo… ich bin neu mit Pfsense, vorher habe ich einen Router mit LEDE. Ich habe dort vor einem Monat eine Frage gestellt ohne Chance eine Lösung dafür zu finden. Und jetzt weil ich neu bin in Pfsense Welt hätte ich eure Hilfe dabei:

    eine Box von Yamaha, unterstützt Web Interface on tcp 80, ich möchte aber dieses Port blockieren, und die Box muss bleiben auf dem gleichen interface vom WLAN, so es bleibt erreichbar. wie kann ich das schaffen mit Firewall? ich habe mehrere Befehle und einstellungen probiert, aber die Box bleibt immer erreichbar unter tcp 80 !!!... von einem Interface zu dem Anderen klappt es definitiv, aber auf dem gleichen Interface überhaupt nicht.



  • Hi,

    auf dem WAN Interface willst du port 80 zu machen?
    Das heisst von aussen soll niemand auf port 80 zugreifen können?

    Ist das korrekt?



  • Eine Firewall kann nur Traffic zwischen den Interfaces filtern.
    Traffic von einem WLAN-Geräte zu einem anderen wird gar nicht über die Firewall geroutet, daher kann sie auch nicht eingreifen.

    Bei den meisten WLAN-APs hast du aber die Möglichkeit Traffic zwischen einzelnen WiFi-Geräten zu unterbinden. Ob das für dich praktikabel ist, musst du entscheiden, dann könntest du etwa auch nicht etwa vom Smartphone via WLAN drucken, wenn der Drucker auch über WLAN angebunden ist.



  • Danke viragomann… es ist genauso was ich in der letzten Zeit immer wieder versucht habe... Geräte auf dem gleichen Interface kann man überhaupt nicht solche Traffic Rules einstellen, es ist vorgesehen von einem Interface zu dem Anderen, und wenn die Geräte so bleiben müssen -auf dem gleichen Interface- was soll ich tun??? nichts!!! es ist überhaupt nicht möglich. Das Problem muss dieses Gerät unbedingt mit dem WLAN zu Hause verbunden sein, mit dem gleichen SSID wie die anderen Geräte, sonst wird es nicht erkannt bzw wird es vom App auf meinem Handy nicht gefunden. Ich habe danach versucht, dieses Gerät auf einem Interface zu packen, und ganze Traffic zu ermöglichen zwischen seinem Interface und Interface vom WLAN, keine Chance, wieder nicht gefunden oder erkannt. Bonjour Service oder DLNA kann man nicht überbrücken (von einem Interface zu dem Anderen), und jetzt??? gibt es eine Lösung oder nicht???
    deine Meinung nach bitte



  • Auf einer gemeinsamen SSID kann es keine Lösung geben, es sei denn der AP beherrscht mehrere Subnetze (VLAN) auf einer einzigen SSID.

    Auf getrennten SSIDs:

    • Vorausgesetzt der AP kann VLAN, kannst du das Gerät, dessen Traffic du kontrollieren möchtest auf ein eigenes VLAN legen, die VLANs auf der pfSense einrichten und brücken.
      Damit sind sie auch wieder im selben Subnetz und alles funktioniert wie bisher. Allerdings kann die pfSense den Traffic nun filtern.

    • Kann der AP nicht VLAN, kannst du selbiges mit einem 2. AP (auch als USB-Stick an der pfSense) umsetzen. Jedoch muss der 2. AP zwingend an einem eigenen Interface angeschlossen werden, oder der Switch beherrscht VLAN.

    • Für unterschiedliche Subnetze sollte es auch Lösungen geben, wie IGMP-Proxy oder UPnP, ist aber hier nicht weiter interessant, weil aufwändiger einzurichten und von der Hardware-Seite muss einer der beiden oberen Punkte auch erfüllt sein.



  • @viragomann: Herzlichen Dank für dein Reply… soweit alles möglich bei mir zu Hause, entweder durch ein AP über mehrere VLAN oder über getrennte SSID... du meinst dass es machbar ist, wenn ich ein extra VLAN machen werde für dieses Gerät, und als Bridge Interface zu dem Interface wo WLAN herkommt konfiguriere, ist das korrekt? und wenn ja, wäre es super und nett von dir wenn du mir ein bisschen mehr erklären könntest.
    WLAN zu Hause läuft über ein Interface wo andere Geräte angeschlossen sind damit DLNA server funktionieren wird (bzw. Bonjour Service wegen Airprint mit dem Drucker oder NAS wegen automatischer Erkennung). Dies Interface hat VLAN 6 mit Ip Adresse von 192.168.27.1 und aktiviertem DHCP server. jetzt kommt das Gerät auf einem anderen Interface mit einem separatem VLAN (z.B. 9), soll dies Interface ohne Ip Adresse konfiguriert werden (damit Bridge funktionieren wird), und dann Bridge soll installiert werden zu dem Interface vom WLAN. So wird das Gerät seine Ip Adresse bekommen vom Interface WLAN, aber kann ich danach Traffic Rules konfigurieren wie es auf einem anderen Interface ist.
    Ich hoffe dass ich deine Idee richtig verstanden habe, oder?...
    aber wird das Gerät auch automatisch erkannt wie es genauso auf dem gleichen Interface von WLAN?.. ich hoffe es...



  • Eine eigene SSID ist vermutlich Bedingung, dass du einem Gerät ein eigenes VLAN zuweisen kannst, wie oben angemerkt.

    Nachdem du am selben Interface neben dem WLAN-AP auch andere Geräte dran hängen hast, nehme ich an, dass diese nicht in ein VLAN sollen und alle Geräte mit Switches verbunden sind.
    Grundsätzlich heißt es bei der pfSense, es sollen an einem Interface nicht getaggte (also VLAN) und ungetaggte Pakete ankommen. Ich selbst habe damit bislang allerdings noch keine negativen Erfahrungen gemacht. Liegt möglicherweise aber auch an der Hardware bzw. den Treibern. Also einfach ausprobieren.
    Von der Sicherheit her sollte aber alles getaggt sein.

    Gebrückt werden immer 2 oder mehrere Interfaces, nicht eine Brücke zu einem Interface hinzugefügt.

    Auf der pfSense sieht das so aus:

    • Du gehst auf Interface > Assignments > VLAN und erstellst du die benötigten VLAN an den jeweiligen Interfaces.

    • Auf Interfaces > Interface Assignments musst du dann den VLAN Interfaces zuweisen. Dazu bei "Available network ports:" das zuvor konfigurierte VLAN auswählen und "Add" klicken, danach auf das neu erstellte Interface, um es zu öffnen, "Enable" checken und Save.

    • Du entfernst die IP-Konfiguration von den bestehenden Interfaces, die gebrückt werden sollen. Diese Konfiguration wird hinterher der Brücke zugewiesen. Achte aber hier darauf, dass du nicht das Interface lahmlegst, dass du für den Web-Configurator benutzt.

    • Auf Interfaces > Bridges erstellst du dann die Bridge(s) aus den neuen und ggf. bestehenden Interfaces (das müssen nicht alles virtuelle sein).

    • Zuletzt wieder zurück auf Interfaces > Interface Assignments und da nun ein weiteres Interface wie oben erstellen, bei dem du nun die Bridge als Network port nimmst. Dieses Interface konfigurierst du dann mit den gewünschten Einstellungen, also IP 192.168.27.1, wenn ich das richtig verstanden habe.

    • DHCP oder DNS musst du ggf. auf dieses Interface umstellen.

    Ich hoffe, ich habe nichts vergessen, ich mach das auch nicht jede Woche, ich habe aktuell überhaupt keine Brücke auf pfSense konfiguriert.

    Damit die Filter-Regeln auf den Interfaces und nicht auf der Bridge wirken, solltest du in System > Advanced > System Tunables noch folgende Settings überprüfen (die aber so Standard sind):
    net.link.bridge.pfil_member > 1
    net.link.bridge.pfil_bridge > 0

    @khllo:

    aber wird das Gerät auch automatisch erkannt wie es genauso auf dem gleichen Interface von WLAN?.. ich hoffe es…

    Wenn die Brücke richtig konfiguriert ist und die Firewall-Regeln an den Interfaces die jeweiligen Paket zulassen, ja. Mit einer any-any-any Regeln (auch Protokoll) sollte es klappen, dann kannst du ja versuchen, die Freiheiten etwas einzuschränken.

    Beim konfigurieren des AP achte darauf, dass du ggf. auch den Management-Zugang auf VLAN umstellen musst.



  • @viragomann: DU BIST DER BESTER… Ich danke dir herzlich für die beste Erklärung... ich werde zunächst versuchen, es wird bestimmt dauern bis ich hinkriegen werde, aber nicht schlimm, nach deiner Anleitung wird es irgendwann klappen...



  • @viragomann: DANKE DIR… genauso wie du beschrieben hast, es hat geklappt  ;D


Log in to reply