Interfacetrennung / DMZ



  • Hallo, eine kleine Frage.

    Und zwar habe ich ein Interface auf dem alles durch muss. Sozusagen eine DMZ.
    Bei Suricata kann man mit den Interfaces arbeiten wie ich gesehen habe.

    Zuerst wollte ich mich um die Firewall kümmern. Jedoch wird immer wieder geblockt. Auch nach einer Regelfreigabe.
    Gibt es eine Möglichkeit, ein Interface so zu konfigurieren, dass pfsense ungeachtet allem die Pakete einfach durch lässt, egal was es ist?


  • LAYER 8 Moderator

    @deleted said in Interfacetrennung / DMZ:

    Und zwar habe ich ein Interface auf dem alles durch muss. Sozusagen eine DMZ.

    Eine DMZ hat nichts mit "alles muss durch" zu tun. Bitte von irgendwelchen Nulpenroutern und SOHO Murksgeräten sowas einreden lassen. Eine DMZ ist klassisch ein Bereich, in dem vom Internet aus reingegriffen werden kann, während man normalerweise das LAN von außen komplett dicht hat. Da reicht nur ein Port bspw. für ne DMZ. Das was SOHO Krams als DMZ bezeichnet sind eigentlich eher exposed Hosts, bei denen einfach alles transparent freigeschaltet wird, das hat aber eigentlich mit DMZ nichts zu tun :)

    Zuerst wollte ich mich um die Firewall kümmern. Jedoch wird immer wieder geblockt. Auch nach einer Regelfreigabe.

    Dann solltest du vielleicht mal detaillierter zeigen, was du wo wie eingerichtet hast. Interfaces zeigen, Regeln zeigen, deine Anbindung etwas klarer darlegen. Hast du überhaupt mehrere IPs oder nur eine? Wie willst du dann "alles" in die DMZ lassen? Etc. etc.
    Also bitte einfach mal mehr Details und was du bislang wo eingerichtet hast.

    Gibt es eine Möglichkeit, ein Interface so zu konfigurieren, dass pfsense ungeachtet allem die Pakete einfach durch lässt, egal was es ist?

    Prinzipiell ja, aber dazu müsste man erst einmal wissen, WAS du eigentlich genau vor hast und warum.



  • Jup, deswegen auch die flache "alles muss durch" Aussage. Ich habe schon mehrere Projekte / Router gesehen und überall ist es anders.

    Konfiguration:

    Eine pfSense hängt per PPPoE am Internet. (Es ist ein ganz normaler privat DSL Anschluss.)
    An einem Interface hängt mit einer statichen IP eine weitere Firewall. Diese kümmert sich eigenständig um alles was dahinter ist. Daher muss nichts vorgefiltert werden oder ähnliches.

    Den Zugang von außen habe ich noch nicht versucht. Bisher nur nach draußen. Und zwar vorerst ganz einfach mit einer "Default allow LAN to any rule".
    Richtig, so wirklich wird das keine DMZ etc. Jedoch wollte ich - bevor ich alles zerlege - gleich nachfragen, ob es bereits einen Workaround gibt. Ich kann mir vorstellen, dass dies kein ungewöhnliches Vorhaben ist? Die SuFu Ergebnisse waren nicht wirklich passend für mein Vorhaben.



  • @deleted Es wird doch eh alles durchgelassen von innen nach außen, das ist doch der Standard?


  • Rebel Alliance

    @Bob-Dig said in Interfacetrennung / DMZ:

    @deleted Es wird doch eh alles durchgelassen von innen nach außen, das ist doch der Standard?

    Bist Du dir da sicher?

    Es wird alles geblockt, was nicht explizit freigegeben wird. Deswegen hast du bei einer frisch installierten pfSense unter LAN auch eine default allow any to any rule, damit Du erstmal rauskommst.



  • @mike69 Ok, das meinte ich. Verstehe das Anliegen von deleted noch nicht.


  • Rebel Alliance

    @deleted

    Warum möchtest Du eine Firewall hinter einer deaktivierten Firewall betreiben?



  • @Bob-Dig said in Interfacetrennung / DMZ:

    @deleted Es wird doch eh alles durchgelassen von innen nach außen, das ist doch der Standard?

    Standartmässig nicht. Da ist alles dicht. Sofern nicht die Rule von Mike69 genutzt wird. Interessant ist jedoch, ich habe in einem anderem Setup einen Port freigegeben. Pakete gehen raus und kommen rein, problemlos. Jedoch habe ich das Phänomen, dass ab und an Pakete in der "Default Rule" hängen bleiben. Diese habe ich jedoch nicht aktiv gesetzt und zu finden in der Liste ist sie auch nicht. Keine Ahnung wie das zu stande kommt.

    Daher auch das Topic, ich will in diesem Fall auf Nr. sicher gehen, nichts zu übersehen.

    @mike69 said in Interfacetrennung / DMZ:

    @deleted

    Warum möchtest Du eine Firewall hinter einer deaktivierten Firewall betreiben?

    Die Konfiguration hier gibt nichts anderes her. Ich kann es nicht umbauen und habe keinen zweiten Internetanschluss zur Verfügung.


  • Rebel Alliance

    @deleted said in Interfacetrennung / DMZ:

    @mike69 said in Interfacetrennung / DMZ:

    @deleted
    Warum möchtest Du eine Firewall hinter einer deaktivierten Firewall betreiben?

    Die Konfiguration hier gibt nichts anderes her. Ich kann es nicht umbauen und habe keinen zweiten Internetanschluss zur Verfügung.

    Da muss ich langsam passen. Was kann die Sense nicht, was die andere Firewall kann? Wenn Du magst, erkläre mal, was Du vorhast? Eventuell gibt es andere Lösungsansätze.



  • @deleted said in Interfacetrennung / DMZ:

    Jedoch habe ich das Phänomen, dass ab und an Pakete in der "Default Rule" hängen bleiben. Diese habe ich jedoch nicht aktiv gesetzt und zu finden in der Liste ist sie auch nicht. Keine
    Ahnung wie das zu stande kommt.

    So ein Problem habe ich auch gerade. Keiner weiß woher.


  • Rebel Alliance

    Eventuell liegt es daran



  • @Bob-Dig said in Interfacetrennung / DMZ:

    @deleted said in Interfacetrennung / DMZ:

    Jedoch habe ich das Phänomen, dass ab und an Pakete in der "Default Rule" hängen bleiben. Diese habe ich jedoch nicht aktiv gesetzt und zu finden in der Liste ist sie auch nicht. Keine
    Ahnung wie das zu stande kommt.

    So ein Problem habe ich auch gerade. Keiner weiß woher.

    Da bist du nicht allein. Im Forum gibt es mehrere Topics. Jedoch klingt der Link von mike69 interessant.
    Übrigens, so etwas ähnliches geht auch mit "Snort2c". Ich kann den ganzen Tag problemlos auf Wikipedia sein. Bis dann die IP plötzlich in der Snort2c Tabelle hängt. Keine Ahnung.

    @mike69 said in Interfacetrennung / DMZ:

    @deleted said in Interfacetrennung / DMZ:

    @mike69 said in Interfacetrennung / DMZ:

    @deleted
    Warum möchtest Du eine Firewall hinter einer deaktivierten Firewall betreiben?

    Die Konfiguration hier gibt nichts anderes her. Ich kann es nicht umbauen und habe keinen zweiten Internetanschluss zur Verfügung.

    Da muss ich langsam passen. Was kann die Sense nicht, was die andere Firewall kann? Wenn Du magst, erkläre mal, was Du vorhast? Eventuell gibt es andere Lösungsansätze.

    Der Grund ist ziemlich trivial. Da steht einfach ein weiterer PC welcher eine eigene FW hat. Und an dieser konfig. kann ich nichts ändern. Ein zweiter Internetanschluss um es zu trennen ist nicht drin, deswegen muss das alles über den einen laufen.
    Deswegen ist es notwendig, das ein Interface komplett offen ist und ungeachtet alles durchlässt.



  • @deleted Hab stattdessen Suricata laufen, aber das kann ich in meinem Falle ausschließen.



  • @Bob-Dig said in Interfacetrennung / DMZ:

    @deleted Hab stattdessen Suricata laufen, aber das kann ich in meinem Falle ausschließen.

    Dito. Jedoch reicht es, wenn die betreffenden Rules laufen.

    Doch back to Topic! :)

    Wie konfiguriere ich besagtes Szenario?


  • LAYER 8 Moderator

    @Bob-Dig said in Interfacetrennung / DMZ:

    So ein Problem habe ich auch gerade. Keiner weiß woher.

    Das wage ich zu bezweifeln. Haben ja genug was dazu geschrieben ;) Dein Problem wird eher der Wust an Regeln von pfB sein, die keiner so richtig klar versteht und nach deiner Antwort du selbst ja auch nicht ganz :D

    Wie konfiguriere ich besagtes Szenario?

    beschreibe bzw. skizziere doch bitte das Szenario mal genauer. Ich kann aus deinem Eingangspost immer noch nicht rauslesen, was du genau eigentlich tun willst.

    Ich sehe:

    • pfSense hängt via PPPoE am Internet, also echtes WAN auf dem Gerät.
    • An einem Interface, nennen wir es DMZ, hängt eine weitere Firewall (ist eben so). OK.
    • An einem weiteren Interface gibt es - was?
    • Was soll in dem Szenario gehen und was nicht?

    Gib doch mal ein wenig mehr Infos, so ist das grade stochern im Nebel.
    Und bitte (auch dem Rest) nicht mit eigenen Threads hier das Topic verwässern, sonst blickt man da gar nicht mehr durch, was jetzt Phase ist.

    Grüße



  • @JeGr
    Ich möchte erreichen, dass auf einem Interface - nennen wir es eth1 - an welchem direkt eine weitere Firewall hängt keine Filterung oder sonstiges stattfindet. Sämtliche Firewall / Router etc. Aufgaben werden separat bearbeitet.

    Das heißt, es soll sämtlicher Datenverkehr aus dem Internet weitergegeben werden. Es geht nur im dieses eine Interface alles andere bleibt unberührt.

    PPPoE <-> eth1

    Verstehst du wie ich das meine?


  • Rebel Alliance

    Moin @deleted

    Denke mal, das ist soweit verständlich, nur zu welchem Zweck? Was ist der Hintergrund?
    Weil die Sense paar Pakete mit einer default rule blockt, die Dir nicht ersichtlich sind, möchtest Du jetzt ein ungesichertes Netz erzeugen, damit eine Firewall dahinter greift? So was in der Art?
    Was kann die Sense nicht, was die andere FW kann? <----

    Wie eine demilitarisierte Zone auf einer Sense erstellt wird, da gibt es ar...voll viele Tuts im I-Net, einfach mal die Suchmaschine deines Vertrauens anfeuern.

    Eventuell ist die Lösung ja ganz simple. Hier tummeln sich nämlich richtige Cracks, die mit so was beruflich jeden Tag zu tun haben, die Dir helfen können.
    Einfach das Problem, wie @JeGr schon im 2ten Post beschrieben hat, umfangreicher darstellen, die Rules mal loggen lassen und die Logs hier rein stellen, Screenshot deiner Rules oder Stats hochladen, so was in der Art. Weiss ja keiner, welche Rules und Einstellungen es sonst noch gibt.

    Mit Fragen wie DMZ erstellen, da erschlägt dich Google mit Unmengen an Antworten, da kriecht kaum einer hinter dem Ofen hervor. ☺



  • @mike69 Und ich dachte, das heißt Exposed Host... 😉


  • Rebel Alliance

    @Bob-Dig said in Interfacetrennung / DMZ:

    @mike69 Und ich dachte, das heißt Exposed Host... 😉

    Hier ist der Anfangspost:

    @deleted said in Interfacetrennung / DMZ:
    Hallo, eine kleine Frage.

    Und zwar habe ich ein Interface auf dem alles durch muss. Sozusagen eine DMZ.
    Zuerst wollte ich mich um die Firewall kümmern. Jedoch wird immer wieder geblockt. Auch nach einer Regelfreigabe.
    Gibt es eine Möglichkeit, ein Interface so zu konfigurieren, dass pfsense ungeachtet allem die Pakete einfach durch lässt, egal was es ist?

    @deleted möchte ein ganzes Netzwerk der pfSense FW entziehen. Wäre blöd, wenn die anderen Netze nicht abgesichert sind. :)


  • LAYER 8 Moderator

    @deleted said in Interfacetrennung / DMZ:

    dass auf einem Interface - nennen wir es eth1

    Weil es unter FreeBSD nie so heißen wird (da Hardwarenamen oder symbolischer Name) nutzen wir hier lieber kein eth1, das verwirrt nur unnötig da hier kein Linux werkelt.

    an welchem direkt eine weitere Firewall hängt keine Filterung oder sonstiges stattfindet.

    Somit soll - als Beispiel wie beim exposed Host Setting einer Fritzbox - ALLES vom Internet eingehend einfach tumb an den Firewall Rechner in der DMZ gehen. Ist das korrekt? Was ist mit ausgehend? Was ist mit anderen Interfaces?

    Der Schritt "exposed Host" wäre sicherlich mit 1:1 NAT oder Port Forwarding machbar. Ist die PPPoE Einwahl mit statischer IP? Auch das nirgends erwähnt. Bitte endlich mehr Details, die schon mehrfach angefragt wurden!

    @mike69 said in Interfacetrennung / DMZ:

    Was kann die Sense nicht, was die andere FW kann? <----

    Das brauchen wir ja nicht zu diskutieren, es gab ja oben schon den Vermerk, dass das so der Ist-Stand ist und so bleiben soll/muss. Warum auch immer. Mehr Details gibt es ja nur spärlich.

    @Bob-Dig said in Interfacetrennung / DMZ:

    @mike69 Und ich dachte, das heißt Exposed Host...

    Wenn es lediglich um das komplette 1:1 Forwarding von allem aus Internet nach DMZ-Firewall geht, ja. Hat auch keiner bestritten. @mike69 hatte lediglich hinterfragt, wofür das sein soll, weil es de-facto quatsch ist. Einen Sinn sollte pfSense ja irgendwo haben. Wenn ich aber transparent ALLES aufmache von WAN nach DMZ zur DMZ-FW, dann habe ich keinen Sinn, außer dass pfSense die Modem Einwahl macht. Daher warte ich auch immer noch auf die Beantwortung aller Fragen und nicht diesem ekligen Würmer-aus-der-Nase-ziehen, was sich gerade nach jedem Post abspielt. Es wäre eben um ein Vielfaches einfacher, wenn man endlich mal die Hosen runterlassen würde, was warum wie wo geplant ist und die Intention dahinter. Dann kann man auch ordentlich helfen. Aber gerade sehe ich die Firewall (pfSense) vor der anderen Firewall eher als nutzlos.

    Momentan bin ich durch Arbeit und Streßlevel relativ kurz angebunden und wenn ich schon helfen soll/kann, dann möchte ich auch sinnvolle Posts mit Informationen haben, mit denen ich das auch kann und nicht noch zigfach nachfragen muss, damit ich verstehe, wo das hingeht. Nachher biegen wir wieder 3x ab und es kommt raus, dass man eigentlich was ganz anderes braucht/will aber von anderen Produkten/Geräten ganz andere oder falsche Termini im Kopf hat, sich deshalb falsch ausgedrückt hat und aber eigentlich was ganz anderes bauen möchte. Und für genau solche Tänze fehlt mir die Zeit und Energie. Es wäre also echt hilfreich, wenn sich Problemposter auch dazu aufraffen würden alle möglichen Details zu ihrem Problem/Vorhaben (gern auch unkenntlich gemacht) zu posten, damit man auch ordentlich helfen kann und kein Was-ist-Was-Ratespiel-mit-Memory draus bauen müsste ;) Und das bezieht sich jetzt nicht direkt nur auf @deleted, sondern generell jeden Poster. Man könnte manchmal meinen, es würden hier Leute gefressen, wenn sie zu viele Details posten... :)



  • Ich denke, wir brechen die Philosophiestunde hier ab. Ich muss bereits lachen.

    Das ich kein Netzwerktechniker bin, sollte aufgefallen sein. Jedoch macht es keinen wenig Sinn, wenn es nicht gewollt ist eine Lösung zu finden. Wo das Problem hierbei genau liegt kann ich nur erraten.
    Wenn die gewünschten "Infos" genauer als mit "ich brauche mehr Infos" spezifiziert wurden, habe ich geantwortet.

    Wie geschrieben möchte ich erreichen, dass ein Interface von der pfSense komplett ignoriert wird. Es soll keine Filterung stattfinden. Die restlichen Interfaces sollen unberührt bleiben. Interface <-> PPPoE!
    WAN läuft über PPPoE.
    Was ich nicht genau erwähnt habe, da es erst im letzten Post erfragt wurde und es für mich keinen Sinn ergab, ist, dass es sich nicht um eine statische WAN-IP handelt. Ich hatte lediglich geschrieben, dass es sich um einen normalen privat DSL Anschluss handelt. Entschuldigung.
    Des Weiteren fällt mir eben noch auf, dass ich die Version der pfSense nicht genannt habe. Es ist die 2.4.4-RELEASE-p3. Auch hierfür Entschuldigung. Mein Fehler.

    Jedoch ist die Verwendung irrelevant. Und wenn an diesem Interface eine FW hängt an welcher eine weitere FW hängt, einfach weil ich gern Firewalls hintereinander hänge. Wo spielt das eine Rolle in der Konfiguration des Szenarios?
    Und, was sind alle möglichen Details? Da bräuchte ich mehr Details. Das bis auf die Softwareversion aus meiner Sicht relevante, habe ich genannt. Spontan würde mir noch einfallen, dass es ein RJ45 Anschluss und das Lankabel grün ist. Länge, unter 50M.

    Ich bitte einen Mod oder Admin, dieses Topic hier zu löschen.


  • LAYER 8 Moderator

    @deleted said in Interfacetrennung / DMZ:

    Wenn die gewünschten "Infos" genauer als mit "ich brauche mehr Infos" spezifiziert wurden, habe ich geantwortet.

    Hatte ich oben bereits beschrieben: mache doch einfach ein Bild oder beschreibe einfacher, was das im Endstadium werden soll? Es ist einfach unklar, und bevor wir jetzt ewig lange rumbasteln mit hinterher dann doch unnützen oder falschen Wegen, die dir am Ende nicht helfen, will man gleich ordentlich helfen. Da muss man nichts abbrechen, sondern sich nur einmal ordentlich äußern wenn man gefragt wird. Aber auf meine Anfragen kam lediglich dann eine einzelne Zeile mit einer Antwort zu drei oder mehr Fragen? Was soll ich dazu dann sagen?

    Was ich nicht genau erwähnt habe, da es erst im letzten Post erfragt wurde und es für mich keinen Sinn ergab, ist, dass es sich nicht um eine statische WAN-IP handelt. Ich hatte lediglich geschrieben, dass es sich um einen normalen privat DSL Anschluss handelt. Entschuldigung.

    Dann wird das aber auch nicht funktionieren. PPPoE gibt dir immer eine neue dynamische IP. Somit kannst du kein 1:1 NAT machen. Du schreibst aber immer wieder

    Wie geschrieben möchte ich erreichen, dass ein Interface von der pfSense komplett ignoriert wird. Es soll keine Filterung stattfinden. Die restlichen Interfaces sollen unberührt bleiben. Interface <-> PPPoE!

    Das ist aber "technischer" Quatsch. Es gibt kein "Ignorieren". Was soll denn nun passieren? Das habe ich nun mehrfach gefragt aber außer deiner "ich bin kein Netzwerker" Antwort bleibt es bei "ignorieren". WAS soll die pfSense mit dem Interface machen? Das habe ich mehrfach gefragt.

    • Soll ALLER Traffic von außen einfach auf die Firewall in der DMZ geschoben werden? Ja? Nein? Weiß nicht?
    • Was ist mit anderen Interfaces an der Firewall? Sollen die von extern auch erreichbar sein? Über einzelne Ports?
    • Was ist für dich "Interface ignorieren, nicht filtern, blah"? Siehe Punkt 1 -> Soll vom Internet einfach jeder Scheiß auf die andere Firewall dahinter geschoben werden? Abgehend alles rauslassen ist ja kein Thema mit einer any-any Regel auf dem DMZ Interface?

    Was ich ebenfalls mehrfach(!) geschrieben habe - wenn externer Zugriff auf die DMZ Firewall soll - dass dann alles weitergeleitet werden muss. Das geht normalerweise via 1:1 NAT, aber nur bei fixer IP. Bei dynamischer ist das nicht möglich, weil bei BiNAT die IP des Zugriffs von außen angegeben werden muss. Also kannst du nur mit Port Forwards auf die DMZ Firewall arbeiten, das ist aber nicht "ALLEN Traffic durchschieben".

    Daher habe ich klare Fragen gestellt, auf die leider keine Antworten kamen. Da muss man auch nicht von Philosophie faseln oder lachen, sondern einfach mal den Hintern hochbekommen und auf die Fragen antworten, die gestellt werden, dann bekommt man auch gerne Antworten.

    Grüße


Log in to reply