Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    [solved] Problem / Verständisfrage bezüglich VLANs und Regelwerk - SG-3100

    Scheduled Pinned Locked Moved Deutsch
    14 Posts 5 Posters 1.1k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • J
      johndo
      last edited by johndo

      Hallo zusammen,

      aktuell habe ich noch eine Checkpoint Firewall die ich durch eine SG-3100 inkl. pfSense ablösen möchte. Scheinbar funktioniert das Thema VLANs bzw. Regelwerk anderst als bei Checkpoint oder ich habe es falsch konfiguriert oder eben noch nicht verstanden :).

      Was ich eigentlich machen möchte ist den integrierten Switch (LAN1 - LAN4) als dedizierte Ports in jeweils einem eigenen VLAN konfigurieren. Also so:

      LAN Port 1 - VLAN 100 - 10.0.1.1/24 - LAN (pfSense, Switch, Accesspoint, PC)
      LAN Port 2 - VLAN 200 - 10.0.2.1/24
      LAN Port 3 - VLAN 300 - 10.0.3.1/24 - LAN (Notebook)
      LAN Port 4 - VLAN 400 - 10.0.4.1/24
      OPT1 - kein VLAN also default - 10.1.1.1/24 - DMZ (Synology)
      WAN - kein VLAN also default

      Ich bin nach dieser Anleitung vorgegangen:
      https://docs.netgate.com/pfsense/en/latest/solutions/sg-3100/switch-overview.html

      Die Konfiguration sieht nun so aus:
      04_SwitchPorts.PNG 03_SwitchVLANs.PNG 02_InterfaceAssignments.PNG 01_VLANs.PNG

      Und im Regelwerk habe ich zum testen erstmal folgendes gemacht:
      07_LAN3.PNG 06_OPT1.PNG 05_LAN1.PNG

      Wenn ich nun von meinem PC (LAN1 - VLAN 100 - 10.0.1.50/24) ins Internet zugreife funktioniert das schon mal.
      Mit meinem Notebook (LAN3 - VLAN 300 - 10.0.3.50/24) geht der Internetzugriff ebenfalls. Soweit so gut und das verstehe ich auch, da die Regeln das ja zulassen.

      Wenn ich nun mit meinem Notebook (LAN3 - VLAN 300 - 10.0.3.50/24) auf meine Synology (DMZ - kein VLAN - 10.1.1.50/24) funktoniert der Zugriff ebenfalls? Das verwirrt mich, da ich keine Regel auf dem OPT1 Interface erstellt habe? Ich wäre nun davon ausgegangen das ich eine eingehende Regel erstellen muss der dies zulässt?

      Letztendlich möchte ich nicht das die Netzte untereinander kommunizieren außer ich dies explizit zulasse.

      GrimsonG 1 Reply Last reply Reply Quote 0
      • GrimsonG
        Grimson Banned @johndo
        last edited by

        @johndo
        https://docs.netgate.com/pfsense/en/latest/firewall/firewall-rule-basics.html konzentriert lesen bis du es verstehst. Wenn das nicht reicht lies das Buch:
        https://docs.netgate.com/pfsense/en/latest/book/firewall/index.html

        J 1 Reply Last reply Reply Quote 0
        • J
          johndo @Grimson
          last edited by johndo

          @Grimson
          Hi,

          diese Antwort hilft mir jetzt so nicht weiter. Sind den meine Regeln falsch?

          1 Reply Last reply Reply Quote 0
          • J
            johndo
            last edited by

            Hi,

            sorry aber ich komme leider nicht weiter. Wie kann ich den eine Regel erstellen die allen Clients das surfen im Internet ermöglicht aber nicht gleichzeitig auf die internen Netze zugreifen darf?

            Ich habe zum Beispiel keine Any Regel erstellt sondern explizit gesagt ich möchte von meinem LAN Net zum WAN Net und zwar alles. Aber dann funktioniert kein Internetzurgiff mehr.

            Wenn ich einzelne Services freischalte zum Beispiel Port 80 und 443 dann gehts das zwar raus aber diese Ports kann ich dann auch wieder in einem Internen Netz erreichen.

            Hat mal jemand einen Screenshot wie das aussehen kann?

            JeGrJ 1 Reply Last reply Reply Quote 0
            • V
              viragomann
              last edited by viragomann

              Hallo,

              ja, "WAN net" ist nur das Subnetz, das am WAN Interface konfiguriert ist, nicht das ganze Internet. Dafür braucht es "any" als Ziel in der Erlauben-Regel. Um Zugriffe auf interne Ziele zu unterbinden, muss du noch eine Block-Regel erstellen und diese vor die Pass-Regel setzen.

              Best Practice um interne Zugriffe generell zu verbieten ist es einen Alias zu erstellen, der sämtliche RFC 1918 Netze beinhaltet (angenommen, du verwendest intern ausschließlich RFC 1918), und diesen als Ziel in der Block-Regel zu verwenden, die an oberster Position in der Liste sitzt.
              Die Regeln werden in pfSense immer von oben nach unten auf Treffer überprüft und bei Zutreffen angewandt und die weiteren ignoriert.

              Hinter dieser Block-Regel kannst du dann einzelnen IPs oder Subnetzen explizit Zugriff mit Pass-Regeln erlauben.

              @johndo said in Problem / Verständisfrage bezüglich VLANs und Regelwerk - SG-3100:

              Wenn ich nun mit meinem Notebook (LAN3 - VLAN 300 - 10.0.3.50/24) auf meine Synology (DMZ - kein VLAN - 10.1.1.50/24) funktoniert der Zugriff ebenfalls? Das verwirrt mich, da ich keine Regel auf dem OPT1 Interface erstellt habe? Ich wäre nun davon ausgegangen das ich eine eingehende Regel erstellen muss der dies zulässt?

              Die Regeln sind auf pfSense immer an jenen Interfaces zu erstellen, an welchen der Traffic in die Firewall reinkommt. Für diesen Zugriff ist also der Regelsatz am LAN3 zuständig.

              1 Reply Last reply Reply Quote 1
              • JeGrJ
                JeGr LAYER 8 Moderator @johndo
                last edited by JeGr

                @johndo Was @Grimson meinte ist schon richtig wenngleich etwas unhöflich verpackt. Mach dich mit der Regelvergabe vertraut und wie sie in pfSense bzw. pf generell funktioniert. Andere Firewalls anderes Prozedere.

                Wichtige Stichpunkte:

                • Es gibt im Normalfall keinen Grund für "ausgehende" Regeln, die man vielleicht bei anderen Produkten nutzt. Ausgehend (aus Interface Sicht also von pfSense nach irgendwohin raus aus der Schnittstelle) ist default erlaubt, da es ja erstmal irgendwo reinkommen muss. Daher:
                • Es wird eingehend gefiltert. Wo ein Paket zuerst auf die pfSense trifft wird die Filterregel erstellt und der Zugriff behandelt. Egal wo das Paket danach hingeht.
                • NAT wird vor Filterregeln abgearbeitet, sollte also ein Paket umgeschrieben werden (Port Forwarding) dann wird seine "neue" bzw. Ziel-IP im Filter verwendet auch wenn man dann bspw. eine private Adresse auf dem WAN als Destination hat.
                • Regeln werden top-to-bottom abgearbeitet und sind alle "quick" (in PF-Sprache). Heißt sie werden bei einem Match sofort angewendet und die Regelverarbeitung abgebrochen. Ein Paket, dass auf die 2. Regel eines Regelsatzes trifft, wird nicht mehr weiter nach unten gehen um dort ggf. doch noch geblockt zu werden. Reihenfolge also entsprechend konfigurieren und verschieben.

                Wie @viragomann also völlig richtig meint: Dein Hauptproblem das "Internet" (meistens "any") zu definieren ist im Normalfall alle im LAN verwendeten Netze - oder einfach alle RFC1918 privaten Netze - zu blocken und den Rest freizugeben. Wird die Sense im Normalfall noch als DHCP, DNS und NTP im VLAN/LAN/Netz verwendet ergibt sich mit Abschirmung alles LANs voneinander meist das hier:

                1. pass udp from <vlan_net> to <this_firewall> port 53 (DNS)
                2. pass udp from <vlan_net> to <this_firewall> port 123 (NTP)
                3. block any from <vlan_net> to RFC1918 (letzteres ist ein Alias mit 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16)
                4. pass any from <vlan_net> to any

                Obiges Beispiel ist auf dem LAN noch ergänzt durch die Anti-Lockout Regel damit man sich nicht von der UI aussperrt, aber im Wesentlichen ist das so ein Standard Set. 1) und 2) kann man natürlich noch zusammenfassen wenn man ein Port Alias anlegt in welchem 53 und 123 enthalten sind ;) Dann klappts mit 3 Regeln :)

                Grüße

                Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                J 1 Reply Last reply Reply Quote 1
                • nodauN
                  nodau
                  last edited by

                  Man kann auch auch eine Pass-Regel mit Invert Match erstellen und diese an Ende packen. Damit wird nur Internet erlaubt. Man spart sich dadurch die any to any Regel.

                  pass any from vlan to NOT rfc1918.

                  Norman

                  virtualized pfSense 2.7.2 HA-Cluster on vsphere 8

                  1 Reply Last reply Reply Quote 1
                  • J
                    johndo
                    last edited by

                    Hi,

                    ah nun wird es etwas klarer. Ich teste das mal und melde mich nochmal sobald ich noch fragen dazu habe. Danke!

                    1 Reply Last reply Reply Quote 0
                    • nodauN
                      nodau
                      last edited by

                      18A6087F-FD0D-43E1-868A-8147A48BF0D3.jpeg

                      sieht dann so aus

                      Norman

                      virtualized pfSense 2.7.2 HA-Cluster on vsphere 8

                      1 Reply Last reply Reply Quote 1
                      • J
                        johndo @JeGr
                        last edited by

                        @JeGr said in Problem / Verständisfrage bezüglich VLANs und Regelwerk - SG-3100:

                        pass udp from <vlan_net> to <this_firewall> port 53 (DNS)
                        pass udp from <vlan_net> to <this_firewall> port 123 (NTP)
                        block any from <vlan_net> to RFC1918 (letzteres ist ein Alias mit 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16)
                        pass any from <vlan_net> to any

                        Hi,

                        ich habe diese Regeln so übernommen das funktioniert pirma :). Ist zwar etwas aufwändig so viele regeln zu pflegen aber doch recht übersichtlich und gut verständlich. Zumindest wenn man das Grundprinzip von pfsense mal verstanden hat.

                        1 Reply Last reply Reply Quote 0
                        • nodauN
                          nodau
                          last edited by

                          Wir gesagt, die letzten beiden Regeln kann man zusammenfassen.

                          Norman

                          virtualized pfSense 2.7.2 HA-Cluster on vsphere 8

                          JeGrJ 1 Reply Last reply Reply Quote 1
                          • JeGrJ
                            JeGr LAYER 8 Moderator @nodau
                            last edited by

                            @bahsig said in Problem / Verständisfrage bezüglich VLANs und Regelwerk - SG-3100:

                            Wir gesagt, die letzten beiden Regeln kann man zusammenfassen.

                            Führt häufig zu Verwechslung und irritiert viele weil das ! (nicht) gerne übersehen wird. Außerdem hatten wir es schon häufiger, dass ! Regeln nicht so funktionieren wie manch einer denkt. Würde ich der Einfachheit vermeiden.

                            @johndo

                            Ist zwar etwas aufwändig so viele regeln zu pflegen aber doch recht übersichtlich und gut verständlich.

                            Also wenn 4(!) Regeln für dich schon viel sind, solltest du das mit der Firewall vielleicht nochmal überdenken... wir verwalten hier 4-hundert(!) Regeln auf einem Interface bei großen Kisten. Und sicher könnte man da die ein oder andere zusammenfassen, allerdings sind da viele automatisch erzeugte weil NAT Regeln drin. Hat also Methode ;)

                            Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                            If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                            J 1 Reply Last reply Reply Quote 1
                            • J
                              johndo @JeGr
                              last edited by

                              @JeGr

                              Hi,

                              das bezog sich nicht auf die 4 Regeln. Ich habe natürlich wesentlich mehr. Es müssen halt recht viele Regeln erstellt werden. Ich kenne das aus Vergangenheit anders...allerdings auch andere Firewall von daher alles gut :)

                              1 Reply Last reply Reply Quote 0
                              • JeGrJ
                                JeGr LAYER 8 Moderator
                                last edited by

                                War auch spaßig gemeint ;)

                                Und nicht vergessen, dass man auch Separatoren einfügen kann (4 Farben, beliebiger Text) um das entsprechend zu organisieren und besser verständlich zu machen

                                Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                                If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                                1 Reply Last reply Reply Quote 0
                                • First post
                                  Last post
                                Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.