Erste Schritte mit pfsense---Verständnisfrage
-
Hallo liebes Forum,
ich bin ganz neu in der Thematik pfsense und habe jetzt eine Verständnisfrage.
Ich habe meine eine pfsense auf einem alten Rechner mit 2 Netzwerk-Karten installiert, um einen Server von meinem anderen Netz zu trennen.
Ich habe einen Vodafone-Kabelanschluss und gehen von der Fritzbox da man da mitbekommt in die pfsense. Die pfsense läuft als exposed Host auf der Fritzbox.
Hinter der pfsense habe ich einen alten TP-Link WLAN Access Point und einen Server hängen.
Die Fritzbox hat die Standart IP Einstellungen also 192.168.178.X und die pfsense 192.168.1.X. Ich verbinde nun ein Notebook mit dem TP-LINK Access Point und kann damit auf die pfsense und den Server zugreifen und kann auch damit aufs Internet zugreifen. Soweit so gut. Nun ist mir gestern aufgefallen das ich mit den Notebook das ja hinter der pfsense hängt auch auf das 192.168.178.X Netz der Fritzbox zugreifen kann, sprich die Weboberfläche der Fritzbox öffnen oder auf das NAS das an der Fritzbox hängt.
Soll das so sein? Oder ist da irgendwo der Wurm drinnen?
Die pfsense habe ich erstmal nur installiert und WAN und LAN Port zugewiesen, sonst habe ich noch keine Einstellungen gemacht.
Ich hoffe ich stehe jetzt mit der Frage nicht wie der totale Depp da.
Gruß
RotesMeerJogger -
pfSense hat am LAN Interface ab Werk eine "Alles erlauben" Regel. Diese müsstest du entfernen und nur die gewünschten Ports/Ziele erlauben.
-
@bepo seit wann? es ist nur eine Regel drin, die dich vom GUI nicht aussperrt. ansonsten ist alles gesperrt.
-
Aus Sicht der pfsense ist die IP der Fritzbox schon das Internet...
-
- LAN Any-Any Regel entfernen
- LAN DNS Traffic zur pfSense erlauben.
- RFC1918 Alias anlegen
- LAN Reject Rule anlegen Invert RFC1918
-Rico
-
@pfadmin " Rules on the LAN interface allowing the LAN subnet to any destination come by default."
Quelle: https://www.netgate.com/docs/pfsense/firewall/firewall-rule-basics.htmlSchon immer glaub ich.
-
@pfadmin said in Erste Schritte mit pfsense---Verständnisfrage:
@bepo seit wann? es ist nur eine Regel drin, die dich vom GUI nicht aussperrt. ansonsten ist alles gesperrt.
Seit wann nicht? Auf dem LAN ist in einer Standard Installation immer eine "Default any any" Regel enthalten, die erstmal sämtlichen Traffic abgehend erlaubt. War schon immer/relativ lange so. Die Lockout Regel ist darüber und soll nur unterbinden, dass man sich aussperrt, wenn man genau diese any any Regel rauswirft um das abzuschotten. :)
Ich würde 3 zu 1 machen und 2 ergänzen um NTP. Ansonsten um einen Netzbereich erstmal dicht zu machen, ein schönes Set :)
-
-
@rotesmeerjogger said in Erste Schritte mit pfsense---Verständnisfrage:
@Rico @JeGr ich verstehe zwar im Moment nur Bahnhof zwischen 2 spanischen Dörfern, aber ich versuche trotzdem mal mein Glück.
Vielen Dank für die Hilfe.
RotesMeerJogger
Wird schon - neue Sprachen lernen dauert ein wenig ;)
-
Alias anlegen: Neues Alias mit Namen RFC1918 und dort die entsprechend im RFC definierten privaten Netze eintragen:
- 10.0.0.0/8
- 172.16.0.0/12
- 192.168.0.0/16
-
Wenn man auf dem LAN IF richtig filtern möchte und nicht einfach alles erlaubt, wäre das Vorgehen wie folgt eine Möglichkeit:
- Über der "allow any" Regel eine neue "Pass" Regel erstellen mit UDP, Ziel "This Firewall" und Port 53 (DNS)
- Das gleiche mit einer NTP Regel (Port 123 UDP). Alternativ ein Port Alias erstellen mit 53 und 123 und beide Regeln in eine verpacken
- Dann eine "Reject" Regel erstellen mit Protocol & Source "any", Destination "RFC1918" (Alias)
- Darunter sollte jetzt die Any-Any Regel vom Anfang stehen
Resultat: Die Regeln von oben nach unten gestatten dann NTP/DNS über die Firewall zu beziehen, dann greift das RFC1918 Alias und blockt sämtlichen privaten IP Traffic weg -> also Zugriff in jede andere vorhandenen lokalen Netze inklusive der Fritzbox. Die "Allow Any Any" Regel danach hat dann nur noch "das restliche Internet", welches erlaubt wird - und selbst da kann man dann natürlich noch weiter ausfiltern wenn man denn möchte.
Zudem ist dies auch die Antwort auf die oft gestellte Frage: Wie kann ich Traffic zwischen zwei LANs/VLANs unterbinden :)
-
-
Nochmal auf Anfang... Standardmäßig erlaubt die Any-Regel den Weg überall hin. Was bisher noch nich erwähnt wurde, nach Standardkonfiguration werden private Netzwerke am WAN blockiert. Unter "Interfaces" => "WAN" nach unten scrollen und das Häkchen bei "Block private networks and loopback addresses" entfernen. Dann sollte die Fritzbox aus dem Netzwerkbereich hinter der PFSense ereichbar sein.
-
Keine Ahnung was du da schreibst, das Fritz Netz am WAN der pfSense kann er aus dem LAN per default erreichen, genau das will er ja verhindern.
Den RFC1918 Block am WAN muss er entfernen wenn er aus dem Fritz Netz auf das LAN der pfSense zugreifen will, davon wurde von ihm aber nichts gesagt bisher.-Rico
-
@rico Tut mir Leid, stimmt. Muss an den leichten sprachlichen Unzulänglichkeiten des Start-Posts gelegen haben, dass ich es missverstanden habe. Das hat den Sinn natürlich leider negiert. Vielleicht sollte ich mich kurz vor dem Schlafengehen nicht mehr hier rum tummeln ;)
-
@inciter said in Erste Schritte mit pfsense---Verständnisfrage:
Nochmal auf Anfang... Standardmäßig erlaubt die Any-Regel den Weg überall hin. Was bisher noch nich erwähnt wurde, nach Standardkonfiguration werden private Netzwerke am WAN blockiert. Unter "Interfaces" => "WAN" nach unten scrollen und das Häkchen bei "Block private networks and loopback addresses" entfernen. Dann sollte die Fritzbox aus dem Netzwerkbereich hinter der PFSense ereichbar sein.
Stimmt leider so oder so nicht. Bei dem Haken geht es nämlich nur um eingehenden Traffic von diesem/diesen Netzen. Nicht um die ursprüngliche Frage, warum er das Netz von hinter der pfSense (aus dem LAN) überhaupt erreichen kann bzw. ob das gewollt ist. Die Fragen lassen sich leicht beantworten mit "ja und ja" weil gehört so durch die any-any-Regel. Die Haken für Bogon und Private Blocks gelten nur auf WAN eingehend und haben mit der Frage somit nichts zu tun.
Grüße
-
Das wurde doch schon geklärt @JeGr ;-)
-Rico
-
Kann/konnte ich so nicht rauslesen aus den 3 Posts. Denn für meine Interpretation stand da immer noch (sinngemäß): Wenn der Haken rausgenommen wird, kommt er aufs WAN auf die FB drauf. Hat aber wie gesagt damit nichts zu tun, da es um die Richtung geht, in welcher Regeln gelten. Und da hier ein Anfänger mit ersten Schritten zu Gange ist, mag ich sowas Mißverständliches klarstellen. Regeln genauso wie die Haken bei Bogon/Private Networks gelten nur eingehend auf diesem Interface. Und nur für Traffic der von dort ursprünglich ausgeht. Nicht für irgendetwas anderes, keine Antwortpakete oder sonstiges :)
