Firewall Regeln für zwei getrennte Netzwerke



  • Hallo PFsense Community,

    Ich habe zwei getrennte Netzwerke ein Servernetzwerk und ein Heimnetzwerk. In dem Heimnetzwerk und dem Servernetzwerk ist momentan folgende Firewall Regeln aktiv, um auf das Internet zu zugreifen: diese soll so abgeändert werden, sodass die Regel nur für den Internet zugriff zuständig ist und extra eine Regel, welche die Kommunikation zwischen den beiden Netzwerken verbietet. Dann möchte ich noch eine Portfreigabe für den NAS Server im Servernetzwerk erstellen und weitere Portfreigaben für den Port 80 und 443 um mehrere Domains unter einer IP Laufen zu lassen. Außerdem soll der PFsense Router von außerhalb nur über die Domain angesprochen werden und wenn man die IP aufruft soll die Website des NAS Servers im Vordergrund stehen.

    Danke im Voraus :)



  • Die Antwort lautet: ja.

    Wo ist Dein Problem, was hast Du gemacht, was funktioniert nicht oder wo bist du unsicher?
    Wieviele Netzwerk-Karten hast Du in deiner pfSense, wie sind die Netze aufgeteilt, was für Adressbereiche verwendest du?
    Fragen über Fragen…

    Klar könnte ich jetzt drauflos schießen, etwas raten und daraufhin unzählige Tipps geben. Macht aber keinen Sinn, gelle. Also ein wenig mehr zu deiner Konfiguration musst du uns für sinnvolles Feedback schon verraten.



  • Hi,
    @jahonix:

    Die Antwort lautet: ja.

    Wo ist Dein Problem, was hast Du gemacht, was funktioniert nicht oder wo bist du unsicher?
    Wieviele Netzwerk-Karten hast Du in deiner pfSense, wie sind die Netze aufgeteilt, was für Adressbereiche verwendest du?
    Fragen über Fragen…

    Klar könnte ich jetzt drauflos schießen, etwas raten und daraufhin unzählige Tipps geben. Macht aber keinen Sinn, gelle. Also ein wenig mehr zu deiner Konfiguration musst du uns für sinnvolles Feedback schon verraten.

    sehe ich auch so. Schau mal bei den Stick Themen. Dort sind Betzwerk Beispieldiagramme. Poste doch mal ein passenden mit deinem IP-Bereichen und dann können wir dir sicher weiterhelfen.

    Gruß blex



  • Meine Fragen in Stichpunkten und einer Übersicht zusammen gefasst. Am Besten mit Beispielen antworten :)

    = Modem für den Internet Anschluss (Glasfaser Internet) =
                              |
                              |
                    = PFsense Router (Soll angesprochen werden über den Port 80 und 443 unter pfsense.domain.de=
                      |                    |
                      |                    |
                      |            = Fritzbox 7590 (LAN Interface) IP: 192.168.1.1 =  –-> Gäste Netzwerk und Handys usw.
                      |             
      = Servernetzwerk (Bridge) IP: 192.168.2.1 =
                      |                                              |                                                                                         
                      |                                              |                         
                      |                                              Unraid Server –-----------------------------------------------------------------------------------
                      |                                                  |                                                                                                                            |
                      |                        Virtuelle Maschine 1 (soll mit dem Port 80 und 443 unter gamesever.de angesprochen werden) Virtuelle Maschine 2                                           
                      |                               
                      |
            NAS Server (Soll angesprochen werden mit dem Port 443 und 80 unter nas.domain.de)

    • Das Heimnetzwerk und das Servernetzwerk sollen nicht kommunizieren können

    • Grundlegendes Verbot der Kommunikation untereinander im Servernetzwerk

    • Regel welche die Kommunikation von bestimmten Geräten im Servernetzwerk erlaubt

    • Grundlegende Regel für den Internet Zugang für jedes Netzwerk

    • Port freigaben und Zuordnung für die Domains oben

    • Regel welche den Zugriff auf das PFsense Webinterface für Geräte oder ein Netzwerk verbietet



  • Und wir sollen dir jetzt deine Firewall komplett konfigurieren oder was? Wenn ja, wie viel bist du bereit pro Stunde zu zahlen?
    Mach ein ordentliches Angebot dann findet sich vielleicht jemand. Ansonsten gilt RTFM und selber machen.

    Wenn du dann auf ein besonderes Problem stößt, das sich nicht mit einer Suche bei Google oder hier im Forum lösen lässt,
    kannst du eine detaillierte Frage stellen und warten bis sich jemand findet der dir dabei weiterhelfen kann/will.



  • Ich habe nicht vor, dass  jemand für mich die Firewall macht ich brauche nur Beispiele oder eine Anleitung.



  • @HydrexHD:

    Ich habe nicht vor, dass  jemand für mich die Firewall macht ich brauche nur Beispiele oder eine Anleitung.

    Dann RTFM: https://doc.pfsense.org/index.php/Main_Page oder noch besser eine Gold Mitgliedschaft für das aktuelle pfSense Buch und die Entwickler Videos.



  • @HydrexHD:

    Am Besten mit Beispielen antworten :)

    Du schaffst es noch nicht einmal, auf die gestellten Fragen gescheit zu antworten, erwartest aber Beispiele?

    Nochmal:
    Wo ist Dein Problem, was hast Du gemacht, was funktioniert nicht oder wo bist du unsicher?

    @HydrexHD:

    = PFsense Router (Soll angesprochen werden über den Port 80 und 443 unter pfsense.domain.de=

    Nein.
    Entweder 80 oder 443.
    Und mit Sicherheit nicht über das öffentliche Netz unter "pfsense.domain.de", das erklärt dir hier hoffentlich niemand!
    Wenn du von außen auf deine Firewall willst, dann ausschließlich über ein VPN.

    @HydrexHD:

    = Servernetzwerk (Bridge) IP: 192.168.2.1 =

    Wer oder was ist da bitte gebridged und warum.

    @HydrexHD:

    Virtuelle Maschine 1 (soll mit dem Port 80 und 443 unter gamesever.de angesprochen werden)

    Von wo aus, lokal oder public? Ist "gamesever.de" deine Domain und du hast Zugriff auf dessen NameServer?

    @HydrexHD:

    • Das Heimnetzwerk und das Servernetzwerk sollen nicht kommunizieren können

    • Grundlegendes Verbot der Kommunikation untereinander im Servernetzwerk

    • Regel welche die Kommunikation von bestimmten Geräten im Servernetzwerk erlaubt

    • Grundlegende Regel für den Internet Zugang für jedes Netzwerk

    • Port freigaben und Zuordnung für die Domains oben

    • Regel welche den Zugriff auf das PFsense Webinterface für Geräte oder ein Netzwerk verbietet

    Nette Einkaufsliste.
    Dazu passt diese Aussage aber überhaupt nicht:
    @HydrexHD:

    Ich habe nicht vor, dass  jemand für mich die Firewall macht ich brauche nur Beispiele oder eine Anleitung.

    Wir reden weiter, wenn du alle meine obigen Fragen sinnvoll beantwortet hast.



  • @HydrexHD:

    • Grundlegendes Verbot der Kommunikation untereinander im Servernetzwerk

    Grundlegende Eigenschaft von Traffic im gleichen Subnetz: der bleibt auf dem Switch und kommt gar nicht beim Router an, kann also von dem auch nicht blockiert werden.

    Ich kann mir nicht helfen, deine Anforderungen klingen ganz schön nach "wünsch dir was". Musst du irgend welche Freunde beeindrucken oder was soll das?

    Üblich wäre es doch, hier mit einer Frage zu starten und das weiter zu entwickeln. Deinen ganzen feuchten Traum hier auf einmal zu ergießen ist weder zweckdienlich noch angemessen.



  • @jahonix:

    Nochmal:
    Wo ist Dein Problem, was hast Du gemacht, was funktioniert nicht oder wo bist du unsicher?

    Das Problem ist, dass ich nicht weiß wie ich die Firewall anpassen soll mit den interfaces.
    @jahonix:

    Nein.
    Entweder 80 oder 443.
    Und mit Sicherheit nicht über das öffentliche Netz unter "pfsense.domain.de", das erklärt dir hier hoffentlich niemand!
    Wenn du von außen auf deine Firewall willst, dann ausschließlich über ein VPN.

    Ok, dann mach ich das PFsense Interface nur über den VPN erreichbar. Wie kann ich es deaktivieren, dass die PFsense von Außen erreichbar ist?
    @jahonix:

    @HydrexHD:

    = Servernetzwerk (Bridge) IP: 192.168.2.1 =

    Wer oder was ist da bitte gebridged und warum.

    Ich habe da eine Bridge erstellt mit 2 lan interfaces und der Wlankarte.

    @jahonix:

    @HydrexHD:

    Virtuelle Maschine 1 (soll mit dem Port 80 und 443 unter gamesever.de angesprochen werden)

    Von wo aus, lokal oder public? Ist "gamesever.de" deine Domain und du hast Zugriff auf dessen NameServer?

    Name Server ist nicht das richtige wort dafür. Die Domain heißt natürlich nicht so. Die Domain soll am ende auf den Root Server im Netzwerk zeigen nach außen hin.

    @jahonix:

    @HydrexHD:

    • Das Heimnetzwerk und das Servernetzwerk sollen nicht kommunizieren können

    • Grundlegendes Verbot der Kommunikation untereinander im Servernetzwerk

    • Regel welche die Kommunikation von bestimmten Geräten im Servernetzwerk erlaubt

    • Grundlegende Regel für den Internet Zugang für jedes Netzwerk

    • Port freigaben und Zuordnung für die Domains oben

    • Regel welche den Zugriff auf das PFsense Webinterface für Geräte oder ein Netzwerk verbietet

    Auf der Liste habe ich aufgezählt welche Firewall Regeln ich erstellen möchte.



  • @HydrexHD:

    Das Problem ist, dass ich nicht weiß wie ich die Firewall anpassen soll mit den interfaces.

    Wie jetzt, du schaffst es, 2 Interfaces + WLAN zu bridgen und hast Probleme "beim Anpassen der Interfaces"?

    @HydrexHD:

    Ok, dann mach ich das PFsense Interface nur über den VPN erreichbar. Wie kann ich es deaktivieren, dass die PFsense von Außen erreichbar ist?

    Wie hast du es denn aktiviert? Im Ursprungszustand war ja von außen gar nichts zu erreichen.

    @HydrexHD:

    Ich habe da eine Bridge erstellt mit 2 lan interfaces und der Wlankarte.

    Vergiss das mit der Bridge besser ganz schnell wieder und mache das rückgängig.
    Ein Router-Port ist kein Switch-Port und WLAN kann FreeBSD nicht wirklich gut.
    Also anstatt bridged LAN Ports besorg Dir einen 5-Port Switch für 10 Euro. Mit einer Software-Bridge kommst du nie auf vernünftige Performance, daher machen Switche das auch in Hardware.
    Und als AP nimm einen gescheiten externen.

    @HydrexHD:

    Die Domain soll am ende auf den Root Server im Netzwerk zeigen nach außen hin.

    Da soll(t)en doch schon pfSense.domain.de und noch irgend ein Server laufen.
    Wieviele public IPs hast du denn von deinem Provider bekommen, auf denen du das alles aufteilen willst? Pro IP gibt es ja immer nur einen Port 80 und einen Port 443.

    @HydrexHD:

    Grundlegendes Verbot der Kommunikation untereinander im Servernetzwerk

    Das geht immer noch nicht…

    @HydrexHD:

    Port freigaben und Zuordnung für die Domains oben

    Für mehrere Domains und nur eine public IP: siehe oben. Ist mit Port-Freigaben auch nicht getan…

    @HydrexHD:

    Regel welche den Zugriff auf das PFsense Webinterface für Geräte oder ein Netzwerk verbietet

    Das ist so grundlegend für das Verständnis deines Vorhabens, dass ich jetzt mal deinen Versuch dazu sehen will. Also poste mal Screenshots deiner Regeln zB für das LAN Interface. Dann können wir darüber reden warum es nicht geht oder wenn es geht, wie deine Regel für andere Interfaces/Hosts/… abzuändern ist.



  • Ich habe nur eine Öffentliche IP Adresse daher soll der PFsense router beim Aufrufen einer Domain auf den Jeweiligen Webserver im Netzwerk verweisen. Und nein ich hab keine Probleme beim Anpassen, da ich zwei Netzwerke mit Bridges erstellt habe. Das Problem dabei ist, dass ich nicht weiß wie ich die einzelnen Firewall Regeln welche ich als Stichpunkte zusammengefasst habe um setzten soll mit dem Aufbau zum Beispiel welches Interface ich da verwenden soll z.B. bei Quelle oder Ziel. Und den Port 80 und 443 soll nur für einzelne Server freigegeben werden. Und da ich momentan im WAN eine Standart Regel aktiv habe welche den Internet Zugang frei gibt genauso wie bei den anderen. Bei den anderen ist die Standart Regel welche im LAN voreingestellt ist Kopiert und aktiv. Das hat die Auswirkung, dass ich vom Heimnetz auf das Servernetzwerk zugreifen kann. Die Bilder der Regeln sende ich noch.



  • @HydrexHD:

    Und da ich momentan im WAN eine Standart Regel aktiv habe welche den Internet Zugang frei gibt genauso wie bei den anderen.

    Huh, eine "Internet Zugang" Regel am WAN? Die ist prima und lässt bestimmt allen Verkehr in Dein Netzwerk.  ???
    Lösche die mal lieber, für ausgehenden Verkehr brauchst du überhaupt gar keine Regel am WAN.

    Mehrere Server hinter einer public IP zu betreiben ist dann schon fortgeschrittene Konfiguration Teil 4 oder so.
    Vielleicht solltest du erst einmal mit dem Regelverständnis anfangen. Das ist nicht so schwer, als dass man das nicht selbst hinbekommt.

    Hast Du die Bridge schon gelöscht?



  • Welche Verständnisprobleme gibt es bei der Lektüre folgender Dokumentationen?
    -Firewall Rule Basics
    -Firewall Rule Processing Order





  • Was sollen wir jetzt mit zwei von dir (irgendwo) geposteten Screenshots anfangen? Klatschen?

    Wenn du Hilfe von hier haben willst, dann mache entweder vernünftig mit oder lasse es ganz sein.
    Und beantworte gestellt Fragen vollständig, bevor du neue Infos postest.

    Hast Du die Bridge schon gelöscht?
    Welche Verständnisprobleme gibt es bei der Lektüre der Dokumentationen?



  • Nein, die Bridge wird nicht gelöscht da ich diese für die zwei getrennten Netzwerke Aktiv habe. Das Verständnis Problem bei der Dokumentation ist, dass ich immer noch nicht weiß, wie ich z.B. eine Firewall Regel für folgende dinge aufbauen soll:

    • Das Heimnetzwerk(Bridgename: Heimnetz) und das Servernetzwerk (Bridgename Servernetzwerk) sollen nicht kommunizieren können

    -> Was soll ich bei dieser Regel bei Quelle auswählen Heimnetz oder Servernetzwerk? und Heimnetz/Servernetzwerk net oder Heimnetz/Servernetzwerk adress?

    • Grundlegendes Verbot der Kommunikation untereinander im Servernetzwerk

    -> Was soll ich bei dieser Regel bei Quelle und Ziel auswählen Servernetzwerk net oder Servernetzwerk adress?

    • Regel welche die Kommunikation von bestimmten Geräten im Servernetzwerk erlaubt

    -> Was soll ich bei dieser Regel bei Quelle und Ziel auswählen Servernetzwerk net oder Servernetzwerk adress?

    • Grundlegende Regel für den Internet Zugang für jedes Netzwerk

    -> Was muss ich bei Quelle und Ziel auswählen für den reinen Internet Zugang zum Beispiel für das Servernetzwerk ohne das irgend eine Kommunikation zwischen den einzelnen Netzwerken erlaubt wird?

    • Weiterleitung einer Domain an einen Server im Servernetzwerk?

    -> mit den DNS Forwarder Einstellungen?

    • Regel welche den Zugriff auf das PFsense Webinterface für Geräte oder Netzwerk verbietet

    ->was muss bei Quelle und Ziel hin?

    PS. Sorry für die lange antworte Zeit da ich momentan nicht viel Zeit habe. Es wäre wirklich nett wenn ich jetzt für diese Fragen präzise Antworten bekomme mit Beispielen und nicht lange um den heißen Brei herum geredet wird.



  • Hi,
    und Sorry, wenn ich hier etwas komisch frage.
    Wozu baut man Brücken? Sicher soll es Brücken geben, die irgendwo in der Landschaft stehen und kein Fahrzeug fährt drüber weil der Architekt vergessen hat das da auch noch eine Strasse dazu gehört.
    Bridges arbeiten meiner Ansicht nach auf Layer2 Basis und sind nicht dazu da um diese dann für sämtlichen Verkehr zu sperren.
    Deine Interfaces für Heim- und Servernetz sollten auf Layer3 Basis sein und keine Bridges, dann sperrt das die pfSense schon mal automatisch. Hier solltest Du dann für alle Interfaces dann den ausgehenden Verkehr explizit erlauben.
    Beispiel:

    
    	IPv4 TCP 	LAN net (Source) 	* (Port)	* (Dest.)	80 (HTTP) 	* 	none 	  	http-Out 
    

    Du wirst wohl hier kaum jemand finden, der Dir eine für Deinen Anwendungsfall maßgeschneiderte Firewall-Einstellung liefert und das ist sicher auch kontraproduktiv, denn Du sollst ja auch verstehen, was Du da tust.
    Es gibt im Netz genügend Beispiele und danach solltest Du Dir Deine Rules selbst erstellen können.
    Das dies mit einem gewissen Zeitaufwand verbunden sein wird, ist logisch.
    Gruß orcape



  • Die Bridge habe ich deshalb erstellt, da ich eine 4 Port lankarte und eine Wlan karte habe. Und für die Firewall Regel nutze ich die Bridge, weil es für mich keinen Sinn macht für jeden lan port die Regeln einzeln zu machen.



  • Die Bridge habe ich deshalb erstellt, da ich eine 4 Port lankarte und eine Wlan karte habe. Und für die Firewall Regel nutze ich die Bridge, weil es für mich keinen Sinn macht für jeden lan port die Regeln einzeln zu machen.

    Da hätte ich Dir ja schon fast VLAN 's empfohlen.. ;)
    Du hast in der pfSense Hardware eine 4Port LAN-Karte und eine WLAN-Karte verbaut und bridgest das ganze dann um nur einmal Firewalleinstellungen machen zu müssen? He?
    Sorry, anschliessend sollte das dann auch noch unter keinen Umständen untereinander Verbindung haben?
    Wenn Du schon 5 Interfaces hast, dann solltest Du Die auch einzeln einrichten.
    Auch Deine restlichen Wünsche scheinen von der Traumfabrik zu stammen, denn was Du Dir vorstellst, muss wohl erst noch erfunden werden. Zumindest wird Dir hierfür kaum einer eine Patentlösung für "Lau" präsentieren.
    Viel Erfolg aber trotzdem. ;D
    Gruß orcape



  • Ich habe in der PFsense das so gelöst:

    WAN Interface: Lan Anschluss am Mainboard

    Servernetzwerk Bridge: zwei lan Ports der Quadport Netzwerkkarte und eine Wlankarte

    Heimnetzwerk (nicht gebridget): eine extra lan karte an der die Fritzbox angeschlossen ist.

    So um jetzt dieses Verständnis Problem zu lösen. Und jetzt möchte ich bitte antworten auf meine Fragen haben:

    @HydrexHD:

    • Das Heimnetzwerk(lan) und das Servernetzwerk (Bridgename Servernetzwerk) sollen nicht kommunizieren können

    -> Was soll ich bei dieser Regel bei Quelle auswählen Heimnetz oder Servernetzwerk? und Heimnetz/Servernetzwerk net oder Heimnetz/Servernetzwerk adress?

    • Grundlegendes Verbot der Kommunikation untereinander im Servernetzwerk

    -> Was soll ich bei dieser Regel bei Quelle und Ziel auswählen Servernetzwerk net oder Servernetzwerk adress?

    • Regel welche die Kommunikation von bestimmten Geräten im Servernetzwerk erlaubt

    -> Was soll ich bei dieser Regel bei Quelle und Ziel auswählen Servernetzwerk net oder Servernetzwerk adress?

    • Grundlegende Regel für den Internet Zugang für jedes Netzwerk

    -> Was muss ich bei Quelle und Ziel auswählen für den reinen Internet Zugang zum Beispiel für das Servernetzwerk ohne das irgend eine Kommunikation zwischen den einzelnen Netzwerken erlaubt wird?

    • Weiterleitung einer Domain an einen Server im Servernetzwerk?

    -> mit den DNS Forwarder Einstellungen?

    • Regel welche den Zugriff auf das PFsense Webinterface für Geräte oder Netzwerk verbietet

    ->was muss bei Quelle und Ziel hin?

    PS. Es wäre wirklich nett wenn ich jetzt für diese Fragen präzise Antworten bekomme mit Beispielen und nicht lange um den heißen Brei herum geredet wird.



  • @HydrexHD:

    Nein, die Bridge wird nicht gelöscht da ich diese für die zwei getrennten Netzwerke Aktiv habe.

    Eine Bridge für zwei getrennte Netze? Das ist schon … ungewöhnlich.
    Wie soll jemand für so einen Quatsch Regeln definieren können, wenn du das selbst schon nicht kannst?

    @HydrexHD:

    • Grundlegendes Verbot der Kommunikation untereinander im Servernetzwerk

    -> Was soll ich bei dieser Regel bei Quelle und Ziel auswählen Servernetzwerk net oder Servernetzwerk adress

    Du du das was ich schreibe entweder nicht liest oder zwanghaft ignorierst, weiß ich nicht, wie ich da antworten soll.
    Erklärt habe ich es bereits:
    @jahonix:

    @HydrexHD:

    • Grundlegendes Verbot der Kommunikation untereinander im Servernetzwerk

    Grundlegende Eigenschaft von Traffic im gleichen Subnetz: der bleibt auf dem Switch und kommt gar nicht beim Router an, kann also von dem auch nicht blockiert werden.

    Da kannst du jetzt foldern was du willst und wütend werden, es hilft nix: das geht nicht.

    @HydrexHD:

    Es wäre wirklich nett wenn ich jetzt für diese Fragen präzise Antworten bekomme mit Beispielen

    Genau, ich setze mich jetzt hin, versuche nach unzähligen Posts dein immer noch nicht vollständig beschriebenes Netzwerk zu verstehen und dann ein "präzise Antwort mit Beispiel" für deine Forderungen zu erstellen.
    Geht's noch?

    Da du schon die simpelsten Ratschläge nicht umsetzt sehe ich nicht, dass das irgendwie erfolgreich werden könnte. Fange klein an mit einem Netzwerk und versuche dafür Access-Regeln zu erstellen und zu verstehen.
    Danach erweiterst du um ein zweites Netzwerk und erstellst dafür Regeln. Testen, ändern, lernen.
    Wenn das klappt, dann erstelle Regeln für eingehenden Verkehr zu einem Host.
    Langsam erweitern. Nicht alles auf einmal haben und machen wollen.

    Erst wenn das alles läuft, dann liest du dich in die Arbeitsweise und Komfiguration eines reverse-proxy ein, um dann deine mehreren externen Domains auf unterschiedliche interne Server zu verteilen. Das ist alles andere als trivial.
    Aber so, wie du hier mitmachst und Erfolge/Miserfolge postest, ist das ja eine Kleinigkeit für dich.
    Also viel Erfolg!

    @HydrexHD:

    Und jetzt möchte ich bitte antworten auf meine Fragen haben

    So so, willst du das also?
    Ich bin an dieser Stelle jetzt raus. Auf Forderungen habe ich keine Lust. Und für unsinnige, feuchte Träume verschwende ich auch keine weitere Zeit.



  • Ich bin an dieser Stelle jetzt raus.

    Da geh ich mit.  ;D 
    Ich hatte gedacht das es Trolle nur auf Facebook gibt, aber das scheint ein rein gesellschaftliches Problem zu werden.
    Wie in der Politik, die einen sahnen ab und die anderen machen die Arbeit.
    Muss ich nicht haben.