Traffic blockieren
-
Hi, ich möchte an einem Interface der Firewall traffic komplett ins internet blockieren.
Also in der Regel geht mein Traffic an einem Port raus. Ich habe nun das etwas umgestrickt und meinem DHCP-Server gesagt, der Bereich 172.16.1.0/28 hat "option routers 172.16.0.99" (ein Port der PFsense der ins internet geht) und diesen trrafic möchte ich eben blocken, komplett.
Wie kann ich das machen? -
Am besten mit einer Block-Regel.
Ich nehme an, dass die betroffenen Geräte dennoch mit anderen internen Adressen kommunizieren können sollen. Dann dürfen diese Zugriffe nicht geblockt werden.
Bewährt hat sich hier, einen Alias zu erstellen, der sämtliche RFC1918 Netze enthält (andere verwendest du intern hoffentlich nicht).
Dann eine Block-Regel erstellen, mit Protocol = any, Source = <das gewünschte interne Subnetz>, Destination = "invert." angehaken und den RFC1918 Alias als Ziel eintragen.
Diese Regel blockt dann alles außer RFC1918 Adressen und passt auch noch, wenn du an denen internen Netzen etwas änderst.Bedenke wie immer bei Firewall-Regel, dass Floating-Regeln oder welche auf Interface Gruppen Prio vor Regeln auf Interfaces haben.