Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Interfacetrennung / DMZ

    Scheduled Pinned Locked Moved Deutsch
    22 Posts 4 Posters 2.1k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • D
      deleted
      last edited by

      Hallo, eine kleine Frage.

      Und zwar habe ich ein Interface auf dem alles durch muss. Sozusagen eine DMZ.
      Bei Suricata kann man mit den Interfaces arbeiten wie ich gesehen habe.

      Zuerst wollte ich mich um die Firewall kümmern. Jedoch wird immer wieder geblockt. Auch nach einer Regelfreigabe.
      Gibt es eine Möglichkeit, ein Interface so zu konfigurieren, dass pfsense ungeachtet allem die Pakete einfach durch lässt, egal was es ist?

      mike69M 1 Reply Last reply Reply Quote 0
      • JeGrJ
        JeGr LAYER 8 Moderator
        last edited by

        @deleted said in Interfacetrennung / DMZ:

        Und zwar habe ich ein Interface auf dem alles durch muss. Sozusagen eine DMZ.

        Eine DMZ hat nichts mit "alles muss durch" zu tun. Bitte von irgendwelchen Nulpenroutern und SOHO Murksgeräten sowas einreden lassen. Eine DMZ ist klassisch ein Bereich, in dem vom Internet aus reingegriffen werden kann, während man normalerweise das LAN von außen komplett dicht hat. Da reicht nur ein Port bspw. für ne DMZ. Das was SOHO Krams als DMZ bezeichnet sind eigentlich eher exposed Hosts, bei denen einfach alles transparent freigeschaltet wird, das hat aber eigentlich mit DMZ nichts zu tun :)

        Zuerst wollte ich mich um die Firewall kümmern. Jedoch wird immer wieder geblockt. Auch nach einer Regelfreigabe.

        Dann solltest du vielleicht mal detaillierter zeigen, was du wo wie eingerichtet hast. Interfaces zeigen, Regeln zeigen, deine Anbindung etwas klarer darlegen. Hast du überhaupt mehrere IPs oder nur eine? Wie willst du dann "alles" in die DMZ lassen? Etc. etc.
        Also bitte einfach mal mehr Details und was du bislang wo eingerichtet hast.

        Gibt es eine Möglichkeit, ein Interface so zu konfigurieren, dass pfsense ungeachtet allem die Pakete einfach durch lässt, egal was es ist?

        Prinzipiell ja, aber dazu müsste man erst einmal wissen, WAS du eigentlich genau vor hast und warum.

        Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

        If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

        1 Reply Last reply Reply Quote 0
        • D
          deleted
          last edited by deleted

          Jup, deswegen auch die flache "alles muss durch" Aussage. Ich habe schon mehrere Projekte / Router gesehen und überall ist es anders.

          Konfiguration:

          Eine pfSense hängt per PPPoE am Internet. (Es ist ein ganz normaler privat DSL Anschluss.)
          An einem Interface hängt mit einer statichen IP eine weitere Firewall. Diese kümmert sich eigenständig um alles was dahinter ist. Daher muss nichts vorgefiltert werden oder ähnliches.

          Den Zugang von außen habe ich noch nicht versucht. Bisher nur nach draußen. Und zwar vorerst ganz einfach mit einer "Default allow LAN to any rule".
          Richtig, so wirklich wird das keine DMZ etc. Jedoch wollte ich - bevor ich alles zerlege - gleich nachfragen, ob es bereits einen Workaround gibt. Ich kann mir vorstellen, dass dies kein ungewöhnliches Vorhaben ist? Die SuFu Ergebnisse waren nicht wirklich passend für mein Vorhaben.

          Bob.DigB 1 Reply Last reply Reply Quote 0
          • Bob.DigB
            Bob.Dig LAYER 8 @deleted
            last edited by

            @deleted Es wird doch eh alles durchgelassen von innen nach außen, das ist doch der Standard?

            mike69M 1 Reply Last reply Reply Quote 0
            • mike69M
              mike69 Rebel Alliance @Bob.Dig
              last edited by

              @Bob-Dig said in Interfacetrennung / DMZ:

              @deleted Es wird doch eh alles durchgelassen von innen nach außen, das ist doch der Standard?

              Bist Du dir da sicher?

              Es wird alles geblockt, was nicht explizit freigegeben wird. Deswegen hast du bei einer frisch installierten pfSense unter LAN auch eine default allow any to any rule, damit Du erstmal rauskommst.

              DG FTTH 400/200
              Supermicro A2SDi-4C-HLN4F with pfSense 2.7.2

              Bob.DigB 1 Reply Last reply Reply Quote 0
              • Bob.DigB
                Bob.Dig LAYER 8 @mike69
                last edited by

                @mike69 Ok, das meinte ich. Verstehe das Anliegen von deleted noch nicht.

                1 Reply Last reply Reply Quote 0
                • mike69M
                  mike69 Rebel Alliance
                  last edited by

                  @deleted

                  Warum möchtest Du eine Firewall hinter einer deaktivierten Firewall betreiben?

                  DG FTTH 400/200
                  Supermicro A2SDi-4C-HLN4F with pfSense 2.7.2

                  D 1 Reply Last reply Reply Quote 0
                  • D
                    deleted @mike69
                    last edited by deleted

                    @Bob-Dig said in Interfacetrennung / DMZ:

                    @deleted Es wird doch eh alles durchgelassen von innen nach außen, das ist doch der Standard?

                    Standartmässig nicht. Da ist alles dicht. Sofern nicht die Rule von Mike69 genutzt wird. Interessant ist jedoch, ich habe in einem anderem Setup einen Port freigegeben. Pakete gehen raus und kommen rein, problemlos. Jedoch habe ich das Phänomen, dass ab und an Pakete in der "Default Rule" hängen bleiben. Diese habe ich jedoch nicht aktiv gesetzt und zu finden in der Liste ist sie auch nicht. Keine Ahnung wie das zu stande kommt.

                    Daher auch das Topic, ich will in diesem Fall auf Nr. sicher gehen, nichts zu übersehen.

                    @mike69 said in Interfacetrennung / DMZ:

                    @deleted

                    Warum möchtest Du eine Firewall hinter einer deaktivierten Firewall betreiben?

                    Die Konfiguration hier gibt nichts anderes her. Ich kann es nicht umbauen und habe keinen zweiten Internetanschluss zur Verfügung.

                    mike69M Bob.DigB 2 Replies Last reply Reply Quote 0
                    • mike69M
                      mike69 Rebel Alliance @deleted
                      last edited by

                      @deleted said in Interfacetrennung / DMZ:

                      @mike69 said in Interfacetrennung / DMZ:

                      @deleted
                      Warum möchtest Du eine Firewall hinter einer deaktivierten Firewall betreiben?

                      Die Konfiguration hier gibt nichts anderes her. Ich kann es nicht umbauen und habe keinen zweiten Internetanschluss zur Verfügung.

                      Da muss ich langsam passen. Was kann die Sense nicht, was die andere Firewall kann? Wenn Du magst, erkläre mal, was Du vorhast? Eventuell gibt es andere Lösungsansätze.

                      DG FTTH 400/200
                      Supermicro A2SDi-4C-HLN4F with pfSense 2.7.2

                      1 Reply Last reply Reply Quote 0
                      • Bob.DigB
                        Bob.Dig LAYER 8 @deleted
                        last edited by Bob.Dig

                        @deleted said in Interfacetrennung / DMZ:

                        Jedoch habe ich das Phänomen, dass ab und an Pakete in der "Default Rule" hängen bleiben. Diese habe ich jedoch nicht aktiv gesetzt und zu finden in der Liste ist sie auch nicht. Keine
                        Ahnung wie das zu stande kommt.

                        So ein Problem habe ich auch gerade. Keiner weiß woher.

                        D JeGrJ 2 Replies Last reply Reply Quote 0
                        • mike69M
                          mike69 Rebel Alliance
                          last edited by

                          Eventuell liegt es daran

                          DG FTTH 400/200
                          Supermicro A2SDi-4C-HLN4F with pfSense 2.7.2

                          1 Reply Last reply Reply Quote 0
                          • D
                            deleted @Bob.Dig
                            last edited by

                            @Bob-Dig said in Interfacetrennung / DMZ:

                            @deleted said in Interfacetrennung / DMZ:

                            Jedoch habe ich das Phänomen, dass ab und an Pakete in der "Default Rule" hängen bleiben. Diese habe ich jedoch nicht aktiv gesetzt und zu finden in der Liste ist sie auch nicht. Keine
                            Ahnung wie das zu stande kommt.

                            So ein Problem habe ich auch gerade. Keiner weiß woher.

                            Da bist du nicht allein. Im Forum gibt es mehrere Topics. Jedoch klingt der Link von mike69 interessant.
                            Übrigens, so etwas ähnliches geht auch mit "Snort2c". Ich kann den ganzen Tag problemlos auf Wikipedia sein. Bis dann die IP plötzlich in der Snort2c Tabelle hängt. Keine Ahnung.

                            @mike69 said in Interfacetrennung / DMZ:

                            @deleted said in Interfacetrennung / DMZ:

                            @mike69 said in Interfacetrennung / DMZ:

                            @deleted
                            Warum möchtest Du eine Firewall hinter einer deaktivierten Firewall betreiben?

                            Die Konfiguration hier gibt nichts anderes her. Ich kann es nicht umbauen und habe keinen zweiten Internetanschluss zur Verfügung.

                            Da muss ich langsam passen. Was kann die Sense nicht, was die andere Firewall kann? Wenn Du magst, erkläre mal, was Du vorhast? Eventuell gibt es andere Lösungsansätze.

                            Der Grund ist ziemlich trivial. Da steht einfach ein weiterer PC welcher eine eigene FW hat. Und an dieser konfig. kann ich nichts ändern. Ein zweiter Internetanschluss um es zu trennen ist nicht drin, deswegen muss das alles über den einen laufen.
                            Deswegen ist es notwendig, das ein Interface komplett offen ist und ungeachtet alles durchlässt.

                            Bob.DigB 1 Reply Last reply Reply Quote 0
                            • Bob.DigB
                              Bob.Dig LAYER 8 @deleted
                              last edited by

                              @deleted Hab stattdessen Suricata laufen, aber das kann ich in meinem Falle ausschließen.

                              D 1 Reply Last reply Reply Quote 0
                              • D
                                deleted @Bob.Dig
                                last edited by

                                @Bob-Dig said in Interfacetrennung / DMZ:

                                @deleted Hab stattdessen Suricata laufen, aber das kann ich in meinem Falle ausschließen.

                                Dito. Jedoch reicht es, wenn die betreffenden Rules laufen.

                                Doch back to Topic! :)

                                Wie konfiguriere ich besagtes Szenario?

                                1 Reply Last reply Reply Quote 0
                                • JeGrJ
                                  JeGr LAYER 8 Moderator @Bob.Dig
                                  last edited by

                                  @Bob-Dig said in Interfacetrennung / DMZ:

                                  So ein Problem habe ich auch gerade. Keiner weiß woher.

                                  Das wage ich zu bezweifeln. Haben ja genug was dazu geschrieben ;) Dein Problem wird eher der Wust an Regeln von pfB sein, die keiner so richtig klar versteht und nach deiner Antwort du selbst ja auch nicht ganz :D

                                  Wie konfiguriere ich besagtes Szenario?

                                  beschreibe bzw. skizziere doch bitte das Szenario mal genauer. Ich kann aus deinem Eingangspost immer noch nicht rauslesen, was du genau eigentlich tun willst.

                                  Ich sehe:

                                  • pfSense hängt via PPPoE am Internet, also echtes WAN auf dem Gerät.
                                  • An einem Interface, nennen wir es DMZ, hängt eine weitere Firewall (ist eben so). OK.
                                  • An einem weiteren Interface gibt es - was?
                                  • Was soll in dem Szenario gehen und was nicht?

                                  Gib doch mal ein wenig mehr Infos, so ist das grade stochern im Nebel.
                                  Und bitte (auch dem Rest) nicht mit eigenen Threads hier das Topic verwässern, sonst blickt man da gar nicht mehr durch, was jetzt Phase ist.

                                  Grüße

                                  Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                                  If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                                  1 Reply Last reply Reply Quote 0
                                  • D
                                    deleted
                                    last edited by deleted

                                    @JeGr
                                    Ich möchte erreichen, dass auf einem Interface - nennen wir es eth1 - an welchem direkt eine weitere Firewall hängt keine Filterung oder sonstiges stattfindet. Sämtliche Firewall / Router etc. Aufgaben werden separat bearbeitet.

                                    Das heißt, es soll sämtlicher Datenverkehr aus dem Internet weitergegeben werden. Es geht nur im dieses eine Interface alles andere bleibt unberührt.

                                    PPPoE <-> eth1

                                    Verstehst du wie ich das meine?

                                    JeGrJ 1 Reply Last reply Reply Quote 0
                                    • mike69M
                                      mike69 Rebel Alliance
                                      last edited by

                                      Moin @deleted

                                      Denke mal, das ist soweit verständlich, nur zu welchem Zweck? Was ist der Hintergrund?
                                      Weil die Sense paar Pakete mit einer default rule blockt, die Dir nicht ersichtlich sind, möchtest Du jetzt ein ungesichertes Netz erzeugen, damit eine Firewall dahinter greift? So was in der Art?
                                      Was kann die Sense nicht, was die andere FW kann? <----

                                      Wie eine demilitarisierte Zone auf einer Sense erstellt wird, da gibt es ar...voll viele Tuts im I-Net, einfach mal die Suchmaschine deines Vertrauens anfeuern.

                                      Eventuell ist die Lösung ja ganz simple. Hier tummeln sich nämlich richtige Cracks, die mit so was beruflich jeden Tag zu tun haben, die Dir helfen können.
                                      Einfach das Problem, wie @JeGr schon im 2ten Post beschrieben hat, umfangreicher darstellen, die Rules mal loggen lassen und die Logs hier rein stellen, Screenshot deiner Rules oder Stats hochladen, so was in der Art. Weiss ja keiner, welche Rules und Einstellungen es sonst noch gibt.

                                      Mit Fragen wie DMZ erstellen, da erschlägt dich Google mit Unmengen an Antworten, da kriecht kaum einer hinter dem Ofen hervor. ☺

                                      DG FTTH 400/200
                                      Supermicro A2SDi-4C-HLN4F with pfSense 2.7.2

                                      Bob.DigB 1 Reply Last reply Reply Quote 0
                                      • Bob.DigB
                                        Bob.Dig LAYER 8 @mike69
                                        last edited by

                                        @mike69 Und ich dachte, das heißt Exposed Host... 😉

                                        1 Reply Last reply Reply Quote 0
                                        • mike69M
                                          mike69 Rebel Alliance @deleted
                                          last edited by

                                          @Bob-Dig said in Interfacetrennung / DMZ:

                                          @mike69 Und ich dachte, das heißt Exposed Host... 😉

                                          Hier ist der Anfangspost:

                                          @deleted said in Interfacetrennung / DMZ:
                                          Hallo, eine kleine Frage.

                                          Und zwar habe ich ein Interface auf dem alles durch muss. Sozusagen eine DMZ.
                                          Zuerst wollte ich mich um die Firewall kümmern. Jedoch wird immer wieder geblockt. Auch nach einer Regelfreigabe.
                                          Gibt es eine Möglichkeit, ein Interface so zu konfigurieren, dass pfsense ungeachtet allem die Pakete einfach durch lässt, egal was es ist?

                                          @deleted möchte ein ganzes Netzwerk der pfSense FW entziehen. Wäre blöd, wenn die anderen Netze nicht abgesichert sind. :)

                                          DG FTTH 400/200
                                          Supermicro A2SDi-4C-HLN4F with pfSense 2.7.2

                                          1 Reply Last reply Reply Quote 0
                                          • JeGrJ
                                            JeGr LAYER 8 Moderator @deleted
                                            last edited by

                                            @deleted said in Interfacetrennung / DMZ:

                                            dass auf einem Interface - nennen wir es eth1

                                            Weil es unter FreeBSD nie so heißen wird (da Hardwarenamen oder symbolischer Name) nutzen wir hier lieber kein eth1, das verwirrt nur unnötig da hier kein Linux werkelt.

                                            an welchem direkt eine weitere Firewall hängt keine Filterung oder sonstiges stattfindet.

                                            Somit soll - als Beispiel wie beim exposed Host Setting einer Fritzbox - ALLES vom Internet eingehend einfach tumb an den Firewall Rechner in der DMZ gehen. Ist das korrekt? Was ist mit ausgehend? Was ist mit anderen Interfaces?

                                            Der Schritt "exposed Host" wäre sicherlich mit 1:1 NAT oder Port Forwarding machbar. Ist die PPPoE Einwahl mit statischer IP? Auch das nirgends erwähnt. Bitte endlich mehr Details, die schon mehrfach angefragt wurden!

                                            @mike69 said in Interfacetrennung / DMZ:

                                            Was kann die Sense nicht, was die andere FW kann? <----

                                            Das brauchen wir ja nicht zu diskutieren, es gab ja oben schon den Vermerk, dass das so der Ist-Stand ist und so bleiben soll/muss. Warum auch immer. Mehr Details gibt es ja nur spärlich.

                                            @Bob-Dig said in Interfacetrennung / DMZ:

                                            @mike69 Und ich dachte, das heißt Exposed Host...

                                            Wenn es lediglich um das komplette 1:1 Forwarding von allem aus Internet nach DMZ-Firewall geht, ja. Hat auch keiner bestritten. @mike69 hatte lediglich hinterfragt, wofür das sein soll, weil es de-facto quatsch ist. Einen Sinn sollte pfSense ja irgendwo haben. Wenn ich aber transparent ALLES aufmache von WAN nach DMZ zur DMZ-FW, dann habe ich keinen Sinn, außer dass pfSense die Modem Einwahl macht. Daher warte ich auch immer noch auf die Beantwortung aller Fragen und nicht diesem ekligen Würmer-aus-der-Nase-ziehen, was sich gerade nach jedem Post abspielt. Es wäre eben um ein Vielfaches einfacher, wenn man endlich mal die Hosen runterlassen würde, was warum wie wo geplant ist und die Intention dahinter. Dann kann man auch ordentlich helfen. Aber gerade sehe ich die Firewall (pfSense) vor der anderen Firewall eher als nutzlos.

                                            Momentan bin ich durch Arbeit und Streßlevel relativ kurz angebunden und wenn ich schon helfen soll/kann, dann möchte ich auch sinnvolle Posts mit Informationen haben, mit denen ich das auch kann und nicht noch zigfach nachfragen muss, damit ich verstehe, wo das hingeht. Nachher biegen wir wieder 3x ab und es kommt raus, dass man eigentlich was ganz anderes braucht/will aber von anderen Produkten/Geräten ganz andere oder falsche Termini im Kopf hat, sich deshalb falsch ausgedrückt hat und aber eigentlich was ganz anderes bauen möchte. Und für genau solche Tänze fehlt mir die Zeit und Energie. Es wäre also echt hilfreich, wenn sich Problemposter auch dazu aufraffen würden alle möglichen Details zu ihrem Problem/Vorhaben (gern auch unkenntlich gemacht) zu posten, damit man auch ordentlich helfen kann und kein Was-ist-Was-Ratespiel-mit-Memory draus bauen müsste ;) Und das bezieht sich jetzt nicht direkt nur auf @deleted, sondern generell jeden Poster. Man könnte manchmal meinen, es würden hier Leute gefressen, wenn sie zu viele Details posten... :)

                                            Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                                            If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                                            D 1 Reply Last reply Reply Quote 1
                                            • First post
                                              Last post
                                            Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.