IP Extern blocken



  • Hi,
    ich suche mir gerdae einen Wolf, entweder habe ich hier falsche Schlüsselwörter oder sonst was…
    Ich möchte externe IPs blocken, die auf bestimmte dienste zugreifen wollen.
    Wie kann ich das am besten machen?



  • Packe diese IPs in einen Alias, Firewall > Aliases > IP, nenne diesen bspw. Blacklist.
    Füge am WAN Interface oben eine neue Firewall Regel hinzu, Action = Block, Protocol = any, Source = "Single host or alias" und trage rechts davon den Namen deines Alias ein, bspw. Blacklist. Dann noch Desitanition und Destination Port auf "any" setzen und eine Beschreibung eingeben.
    Achte darauf, dass diese Regel im Set oberhalb der Regeln steht, die den Zugriff auf deine Dienste erlauben, also am besten ganz oben.



  • Ah Okay danke.
    Es gab doch auch noch irgendwie die Möglichkeit, im Firewall log beim WAN -adapter auf "Quickrule" oder so was zu gehen.
    Leider habe ich nicht den WAN-Anschlus da sondern ur den OPT1. Wie kann ich mir die Adapter da aussuchen, die angezeigt werden sollen?



  • Es gibt die "Easy Rule" Funktion im Firewall-Log, unabhängig vom Interface.
    Voraussetzung dafür ist natürlich, dass die Verbindung im Log steht. Es muss also das Logging der erlaubenden Regel aktiviert sein.
    In der Source-Spalte im Log auf das "-" Symbol geklickt, sollte die IP zur Blocklist hunzufügen. Habe ich aber nie in der Praxis angewandt.

    Ein WAN Interface sollte es auf jeder pfSense Installation geben.
    Doch im Grunde ist es egal, wie das Interface heißt. Die Regel ist auf demjenigen zu setzen, auf dem die Verbindung hereinkommt.

    Die externe IP muss natürlich als Source-Adresse an der pfSense ankommen. D.h. hinter einem NAT-Router, die die Source-IP gegen seine eigene austauscht, kannst du nicht mehr nach externen IPs filtern.


  • LAYER 8 Moderator

    Das Quick- oder Easy-Rule geklicke ist aber wirklich nur das: quick & dirty. Das würde ich lieber so machen, wie es viragomann gut beschrieben hat, das ist einfacher, eindeutiger und für dich auch sinnvoller nachzuvollziehen, als irgendwas, was versehentlich mal im Log Viewer angeklickt wurde oder man sich verklickt hat und plötzlich abgehend intern auf dem LAN irgendwas blockt, was da gar nicht geblockt werden soll.


Log in to reply