Rechnerfreigabe per Hostname



  • Hi,

    ich habe einen Alias und dort sind die Rechner, die durch die Firewall durchgreifen sollen, per Hostname eingetragen.
    Leider klappt das erst, wenn ich die Firewall reboote. Ohne Reboot wird der Rechner im Log geblockt. Die Firewall kann aber per DNS Lookup den Rechnernamen zur richtigen IP auflösen.

    Hat jemand einen Tipp? Version 2.4.4-Release-p3

    Gruß

    Olli


  • LAYER 8 Moderator

    Hi,

    warum sind die per "Name" hinterlegt? Macht für mich keinen Sinn. Vergib die IP Adressen intern via Vorgabe mit DHCP, gib die festen IPs frei und gut ist. Bei Namen, die sich durch DHCP und Co ändern können ist alles andere keine Sicherheit, weil das Intervall in dem Aliase neu aufgelöst werden dann ggf. zu gering ist. Mit Namen oder FQDN arbeiten ist da immer unnötig fehleranfällig.

    Grüße



  • Hi,

    die Kollegen schlagen aus unterschiedlichen Zugängen an der Firewall auf. LAN / WLAN / VPN-Verbindung aus dem Home-Office. Nicht in allen dieser Netze kann ich statische IPs einrichten. Ich müsste dann ganze IP Bänder freigeben, was die Firewall dann sehr viel offener macht. Mit Host-Namen hat das seit Jahren gut geklappt. Nur mit aktuellsten Version haben wir damit Probleme. Liebe Grüße Olli



  • @OKuenstler said in Rechnerfreigabe per Hostname:

    Nicht in allen dieser Netze kann ich statische IPs einrichten.

    Aber Namen gehen? Versteh ich nicht.



  • Was verstehst Du nicht? Wie die Firewall arbeitet oder warum ich keine statischen IPs festlegen kann?

    Zugriffe auf die Firewall sind weltweit. Wenn ein Rechner per Hostname in einem Alias freigeschaltet wird,
    dann ist es egal mit welcher IP er kommt. Er wird dann durchgelassen. Wie geschrieben, vor ein paar Versionen lief das alles Fehlerfrei.

    Gruß

    Olli



  • @OKuenstler Wenn die IP beliebig sein kann, wie soll die Firewall den Namen auflösen, wenn sie dessen IP nicht kennt? Nutze pfSense erst seit kurzem und wenn Du mir einen erklärenden-Link posten würdest, könnte ich es vielleicht selbst nachvollziehen.



  • Das macht der DNS Dienst. Alle Rechner und auch die Firewall selber sind am selben DNS Server angemeldet. Wenn ein Rechner an der Firewall aufschlägt, dann natürlich mit seiner IP Adresse. Jetzt schaut die Firewall ihre Regeln durch und fragt zu jedem freigegeben Host Namen die aktuelle IP ab. Ist die gleich mit der ankommenden IP, dann kommt der Rechner durch.



  • @OKuenstler Das wusste ich. Wenn sich jetzt die IP geändert hat zum alten Stand, wie soll das noch funktionieren?



  • @OKuenstler
    Hi,

    kannst du definitiv sagen, dass der Alias das Problem ist? Wenn du eine IP in die Regel einträgst klappt es?

    Standardmäßig werden die Hostnamen in den Aliases alle 5 Minuten neu aufgelöst. Sollte also keinen Neustart erfordern. Das Intervall kannst du auch selbst festlegen:
    System > Advanced > Firewall & NAT > Aliases Hostnames Resolve Interval

    Verwendest du den Alias in einer NAT-Regel? Damit gibt es, soweit ich mich erinnere, schlechte Erfahrung. Ich würde daher ein "offene" NAT-Regel erstellen und den Alias nur in der FW-Regel einsetzen, die den Zugriff erlaubt.

    Grüße



  • @viragomann Wobei ich damit bis jetzt keine Probleme hatte.



  • @Bob-Dig said in Rechnerfreigabe per Hostname:

    @viragomann Wobei ich damit bis jetzt keine Probleme hatte.

    Du meinst mit Aliases in NAT-Regeln?

    Ich verwende das, glaube ich, nicht. Somit auch keine Probleme. ☺



  • Genau.

    Dachte erst, hier ging es um Zugriffe von außen... 😉

    @OKuenstler Das muss natürlich alles an sein in Unbound.
    Capture2.JPG

    Dazu habe ich noch folgendes in den Alias (nur ein Host in meinem Fall) Eingetragen, damit der Alias auch zusätzlich (für IPv6) aufgelöst werden kann. Funktioniert ohne Probleme.
    Capture.JPG
    Damit werden selbst beim Wechsel des IPv6-Prefix bei mir die Firewallregeln automatisch aktualisiert.

    Wenn es bei dir nicht mehr geht, dann hat die pfSense vielleicht auch einfach "einen weg", kommt ja immer wieder mal vor ist mein Eindruck.

    Oder das Firewall Maximum Table Entries -Limit ist überschritten (z.B. wegen pfBlocker), dann einfach den Wert erhöhen.


  • LAYER 8 Moderator

    @viragomann said in Rechnerfreigabe per Hostname:

    Ich verwende das, glaube ich, nicht. Somit auch keine Probleme.

    Dito, sollte man m.M.n. so viel als möglich vermeiden. Zudem ist gerade Unbound anfällig bei DHCP registration ständig zu hängen, weshalb es beim Resolver nicht empfohlen wird Register DHCP leases zu aktivieren. Static Mappings sind kein Problem, bei OpenVPN hab ich bislang nichts gehört. Das könnte dadurch aber auch das Problem sein, da Unbound dann ständig neu startet und dann die Infos nicht vorliegen.

    @OKuenstler

    Entweder testweise den DNS Forwarder nutzen - da läuft dnsmasq statt unbound der das Problem nicht hat - oder eben statisch gemappte IPs nutzen. Verstehe nicht warum das in LAN, WLAN und OpenVPN nicht gehen soll - machen ja hier mehrere Dutzend Leute auch ;) LAN geht per MAC, WLAN geht per MAC, OpenVPN geht per Zuweisung via Radius oder Client Specific Override.

    Hatte bislang aber selbst in höheren Sicherheitsstufen niemand, der eine "Person" egal von wo genau auf EIN Ziel freigeben wollte/musste. Dafür gibt es ja Zonenkonzepte. Client VPN bspw. darf in Client PC Subnetz o.ä. - Dass genau Huber-PC, Huber-Laptop und Huber-via-VPN genau nur auf bestimmte IPs kommt, hab ich konzeptionell noch nirgends gesehen - bei entsprechend größerer Zahl an Mitarbeitern viel zu großer Aufriß um das noch vernünftig und sicher betreuen zu können. Außerdem anfällig gegen DHCP/DNS Injection Angriffe

    Wirklich neugierig nachgefragt: Wie machst du dann dein Alias/Freigabe? DNS Name ist dann bspw. huber-laptop weil sich der so im DHCP registriert und an den DNS weitergegeben wird?
    Wenn ja, was machst du dann sicherheitstechnisch bei der Konstellation wenn einer einfach seinen Rechner umbenennt? Dann kommt er auch nirgends mehr hin, oder? Lerne ja gern immer wieder dazu, was andernorts so gebaut wird :)


Log in to reply