Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    [solved] Windows Domain PFSense LAN-rules werden nicht angewendet

    Scheduled Pinned Locked Moved Deutsch
    4 Posts 2 Posters 733 Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • P
      p54
      last edited by p54

      Hallo zusammen,

      ich glaube ich bin etwas zu blöd für diesen Fall, denn ich verstehe nicht ganz wieso meine Rules für das LAN nicht angewendet werden.
      z.B. kann ein Client auf einen Server via RDP zugreifen obwohl keine Regel für dessen SourceIP/Alias zu DestinationIP/Alias vorhanden ist.
      Vielleicht könnt ihr meine Wissenslücke etwas auffüllen.

      Soll:
      LAN Netzwerk einschränken innerhalb des LANs. Soll heißen bsplw.: Clients dürfen nur mit RDP auf die entsprechenden LAN Server zugreifen die ich freigegeben habe, alles andere wird mit der default IPv4 & 6 Block rule ganz unter verworfen.

      Ist:

      • Windows Domain DHCP für LAN / DNS usw.
      • Server im LAN (192.168.3.2-100)
      • Clients im LAN (192.168.3.150-200)
      • PFSense: Gateway für WAN (im DHCP hinterlegt) Weiterleitung von MS DNS an PFSense

      PFSense LAN rules - vereinfacht:

      IPv4 ICMP | any *	*	*	*	*	none	 	LAN: ICMP pass
      ...
      ...
      ::::::div. rules für Admins::::::
      ...
      ...
      ::::::Server Bereich::::::
      IPv4 TCP/UDP | AD_DC_DNS	*	Private_Networks	*	*	none	 	LAN: AD DC DNS to LAN
      IPv4 TCP/UDP | SpezialSysteme	*	Private_Networks	*	*	none	 	LAN: SpezialServer to LAN
      ...
      ...
      ::::::Client Bereich::::::
      IPv4 TCP/UDP | LAN_CL	*	AD_DC	Allowed_AD_Ports *	none	 	LAN: Clients AD_DC
      IPv4 TCP/UDP | LAN_CL	*	WTS	Allowed_RDP 	*	none	 	LAN: RDP
      ...
      ...
      ::::::Default Block rules::::::
      IPv4 *	*	*	*	*	*	none	 	LAN: Default reject rules v4
      IPv6 *	*	*	*	*	*	none	 	LAN: Default reject rules v6
      

      Ich habe auch keine Regel weiter oben enthalten, welche dieses Regelwerk aushebeln würde. Eigentlich sollten doch die LAN Clients durch diese Interface Regel laufen und durch die PFSense erkannt werden, wenn ein LAN Client z.B. per RDP auf eine nicht zugelassenen Alias / Regel mit der reject zurück gewiesen werden.

      Habe ich evtl. hier einen Denkfehler und MS ist das Gateway völlig egal weil sein internes DNS die Auflösung der IP o. Namen kennt und somit das Gateway erst gar nicht gefragt wird, solange es kein Name ist der von der Domain verwaltet wird?

      Ich habe schon ein VLAN für die Clients vorbereitet, damit diese dann von der PFSense komplett verwaltet wird, aber ich muss noch die Router entsprechend noch einrichten, daher habe ich die Rules in LAN schnell eingebaut um hier etwas Zensur zu betreiben.
      Mein Regelwerk wende ich schon erfolgreich in 5 weiteren Netzen an, welche von der PFSense betrieben werden, z.B. WLAN (zwei Standorte inkl. IPSec) / VPN (zwei Standorte inkl. IPSec) / und VLAN (noch in Bearbeitung des intermes LAN).

      Ignoriert hier jetzt Windows gänzlich seinen Routereintrag oder sehe ich irgendwo einen Denkfehler nicht?
      Über jeden Denkanstoß wäre ich sehr Dankbar. ;)

      Viele Grüße

      V 1 Reply Last reply Reply Quote 0
      • V
        viragomann @p54
        last edited by

        @p54
        pfSense kann nur Traffic kontrollieren, der sie auch passiert.
        Wenn Clients und Server im selben Netzwerksegment liegen und an einem Switch gestöpselt sind, ist das aber nicht der Fall.

        Daher gehören Server, die vor Zugriffen geschützt werden sollen in ein eigenes Netzwerksegment, das dann auf einem eigenen Interface an der pfSense hängt.

        Im selben Netzwerk kannst du nur die Firewall der Geräte selbst nutzen.

        P 1 Reply Last reply Reply Quote 0
        • P
          p54 @viragomann
          last edited by

          @viragomann danke! Ich wollte es fast nicht wahr haben. Aber ist ja auch logisch. Naja, dann muss ich mein VLAN für die Clients zum Abschluss bringen, damit ich Herr über die Leitung bin : )

          Danke & viele Grüße!

          V 1 Reply Last reply Reply Quote 0
          • V
            viragomann @p54
            last edited by

            @p54 said in [solved] Windows Domain PFSense LAN-rules werden nicht angewendet:

            Naja, dann muss ich mein VLAN für die Clients zum Abschluss bringen

            Ein kluger Schritt, einen entsprechenden Switch vorausgesetzt. :-)

            1 Reply Last reply Reply Quote 0
            • First post
              Last post
            Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.