[gelöst] Verständnisfrage zu "firewall host itself"



  • Hallo Zusammen

    Ich wollte lediglich kurz versichern dass ich den Punkt richtig verstanden habe.
    "firewall host itself" ist ein Alias für sämtliche IP's welche die Firewall verwaltet (RFC 1918, WAN, Localhost) ?

    Setze ich eine Floatingroule wie diese ...

    IPv4 TCP/UDP    *    53    This Firewall    53    *    none
    

    ..erhalten RFC 1918, WAN und Localhost den Freipass, DNS in beide Richtungen durchzulassen?

    Grüsse

    Bordi



  • Hi,

    der Alias steht für sämtliche IPs, die der Firewall selbst zugeordnet sind. Also wie der Name schon sagt.

    Hat also, in der Regel verwendet, nichts mit "durchlassen" sondern mit "ran lassen" zu tun.

    Deine Floating-Regel würde also DNS-Zugriff von überall auf die Firewall erlauben, nicht aber auf IPs, die sich in Zugriffsrichtung hinter der FW befinden. Natürlich werden da auch noch die in der Regel gesetzten Interfaces berücksichtigt.

    Grüße



  • Als Beispiel wären dass 192.168.0.1, 172.16.0.1, 10.0.0.1 die zugeteilte WAN IP(?) vom Anbieter und Localhost(?)



  • Hallo @Bordi,
    ja. Hier ein Zitat aus der Netgate Dokumentation:
    "This Firewall (self) - Any IP address assigned to any interface on this firewall (pfSense 2.2+)"

    Quelle: https://docs.netgate.com/pfsense/en/latest/firewall/firewall-rule-basics.html



  • @bepo Ja hatte ich gelesen. War eben genau was mich verunsicherte, weil ein Interface mit 10.0.0.0/8 eingerichtet auch bedeuten könnte, das es die gesamte Range betrifft. Gemeint ist jedoch IP die zur FW führt, und nicht jede IP welche die FW verwaltet.

    Vielen dank für eure Antworten. Genau was ich wissen wollte. #thumpsup



  • Einem Interface können nur einzelne IP-Adressen (eben auch mehrere) zugewiesen werden, aber nicht eine ganze Range. Nur diese werden vom Alias "This Firewall" erfasst.

    Ein ganzer Bereich wie 10.0.0.0/8 könnte zwar auf eine (einem Interface zugewiesene) IP geroutet werden, doch wird auf diese Weise auch nicht der ganze Bereich dem Interface bzw. dem Gerät zugewiesen, würde also auch nicht auf den Alias zutreffen.
    Geroutete IPs könnten nur weiter geroutet oder genattet werden.