[solved] Windows Domain PFSense LAN-rules werden nicht angewendet
-
Hallo zusammen,
ich glaube ich bin etwas zu blöd für diesen Fall, denn ich verstehe nicht ganz wieso meine Rules für das LAN nicht angewendet werden.
z.B. kann ein Client auf einen Server via RDP zugreifen obwohl keine Regel für dessen SourceIP/Alias zu DestinationIP/Alias vorhanden ist.
Vielleicht könnt ihr meine Wissenslücke etwas auffüllen.Soll:
LAN Netzwerk einschränken innerhalb des LANs. Soll heißen bsplw.: Clients dürfen nur mit RDP auf die entsprechenden LAN Server zugreifen die ich freigegeben habe, alles andere wird mit der default IPv4 & 6 Block rule ganz unter verworfen.Ist:
- Windows Domain DHCP für LAN / DNS usw.
- Server im LAN (192.168.3.2-100)
- Clients im LAN (192.168.3.150-200)
- PFSense: Gateway für WAN (im DHCP hinterlegt) Weiterleitung von MS DNS an PFSense
PFSense LAN rules - vereinfacht:
IPv4 ICMP | any * * * * * none LAN: ICMP pass ... ... ::::::div. rules für Admins:::::: ... ... ::::::Server Bereich:::::: IPv4 TCP/UDP | AD_DC_DNS * Private_Networks * * none LAN: AD DC DNS to LAN IPv4 TCP/UDP | SpezialSysteme * Private_Networks * * none LAN: SpezialServer to LAN ... ... ::::::Client Bereich:::::: IPv4 TCP/UDP | LAN_CL * AD_DC Allowed_AD_Ports * none LAN: Clients AD_DC IPv4 TCP/UDP | LAN_CL * WTS Allowed_RDP * none LAN: RDP ... ... ::::::Default Block rules:::::: IPv4 * * * * * * none LAN: Default reject rules v4 IPv6 * * * * * * none LAN: Default reject rules v6Ich habe auch keine Regel weiter oben enthalten, welche dieses Regelwerk aushebeln würde. Eigentlich sollten doch die LAN Clients durch diese Interface Regel laufen und durch die PFSense erkannt werden, wenn ein LAN Client z.B. per RDP auf eine nicht zugelassenen Alias / Regel mit der reject zurück gewiesen werden.
Habe ich evtl. hier einen Denkfehler und MS ist das Gateway völlig egal weil sein internes DNS die Auflösung der IP o. Namen kennt und somit das Gateway erst gar nicht gefragt wird, solange es kein Name ist der von der Domain verwaltet wird?
Ich habe schon ein VLAN für die Clients vorbereitet, damit diese dann von der PFSense komplett verwaltet wird, aber ich muss noch die Router entsprechend noch einrichten, daher habe ich die Rules in LAN schnell eingebaut um hier etwas Zensur zu betreiben.
Mein Regelwerk wende ich schon erfolgreich in 5 weiteren Netzen an, welche von der PFSense betrieben werden, z.B. WLAN (zwei Standorte inkl. IPSec) / VPN (zwei Standorte inkl. IPSec) / und VLAN (noch in Bearbeitung des intermes LAN).Ignoriert hier jetzt Windows gänzlich seinen Routereintrag oder sehe ich irgendwo einen Denkfehler nicht?
Über jeden Denkanstoß wäre ich sehr Dankbar. ;)Viele Grüße
-
@p54
pfSense kann nur Traffic kontrollieren, der sie auch passiert.
Wenn Clients und Server im selben Netzwerksegment liegen und an einem Switch gestöpselt sind, ist das aber nicht der Fall.Daher gehören Server, die vor Zugriffen geschützt werden sollen in ein eigenes Netzwerksegment, das dann auf einem eigenen Interface an der pfSense hängt.
Im selben Netzwerk kannst du nur die Firewall der Geräte selbst nutzen.
-
@viragomann danke! Ich wollte es fast nicht wahr haben. Aber ist ja auch logisch. Naja, dann muss ich mein VLAN für die Clients zum Abschluss bringen, damit ich Herr über die Leitung bin : )
Danke & viele Grüße!
-
@p54 said in [solved] Windows Domain PFSense LAN-rules werden nicht angewendet:
Naja, dann muss ich mein VLAN für die Clients zum Abschluss bringen
Ein kluger Schritt, einen entsprechenden Switch vorausgesetzt. :-)