Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Default Ruleset Active Directory Kommunikation zwischen zwei Netzen an einer pfSense!

    Scheduled Pinned Locked Moved Deutsch
    12 Posts 5 Posters 975 Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • N
      NSuttner
      last edited by NSuttner

      Hallo,

      ich habe folgende Situation.
      pfsense 23.09 mit einem LAN Netzwerk indem unsere 2 DCs hängen. Dann habe ich ein zweites OPT1 Netz, wo ich einen alten Windows 2012r2 Server betreiben muss, der bedingt durch seine installierte Software nicht mehr erneuert wird und nur noch sporadisch zum Einsatz kommt. Jetzt möchte ich nur die AD Kommunikation am OPT1 durch rules regeln, alle weitere Kommunikation soll geblockt werden.

      Hat jemand von Euch dafür einen, ich sage mal, "default" rule set parat, ist ja nicht so einfach mit den vielen notwendigen TCP/UDP Ports. Ich habe versucht Port Aliase anzulegen, klappt aber leider irgendwie noch nicht!

      Danke für jede kleine Hilfe.
      VG
      Sutti

      S 1 Reply Last reply Reply Quote 0
      • H
        heiko3001
        last edited by heiko3001

        Moin,

        das ist die offizielle Angabe von Microsoft für eine Domänenkommunikation:

        49152-65535/UDP 123/UDP W32Time
        49152-65535/TCP 135/TCP RPC Endpoint Mapper
        49152-65535/TCP 464/TCP/UDP Kerberos Passwort-Änderung
        49152-65535/TCP 49152-65535/TCP RPC für LSA, SAM, NetLogon ()
        49152-65535/TCP/UDP 389/TCP/UDP LDAP
        49152-65535/TCP 636/TCP LDAP SSL
        49152-65535/TCP 3268/TCP LDAP GC
        49152-65535/TCP 3269/TCP LDAP GC SSL
        53, 49152-65535/TCP/UDP 53/TCP/UDP DNS
        49152-65535/TCP 49152-65535/TCP FRS RPC (        )
        49152-65535/TCP/UDP 88/TCP/UDP Kerberos
        49152-65535/TCP/UDP 445/TCP SMB (**)
        49152-65535/TCP 49152-65535/TCP DFSR RPC (*)

        N 1 Reply Last reply Reply Quote 0
        • N
          NSuttner @heiko3001
          last edited by

          @heiko3001
          Danke für ie superschnelle Antwort, aber wie kann ich das auf der pfsense in den rules umsetzen, bin da etwas ratlos ehrlich gesagt?

          H 1 Reply Last reply Reply Quote 0
          • H
            heiko3001 @NSuttner
            last edited by

            @NSuttner Bei Firewall und dann Rules.
            Dann für beide Netze diese Regeln erstellen.

            N JeGrJ 2 Replies Last reply Reply Quote 1
            • N
              NSuttner @heiko3001
              last edited by

              @heiko3001 Nochmals danke, habe es gelöst, allerdings die ganzen Ports in Aliase verpackt, damit man nicht die Regeln einzeln schreiben muss! VG Sutti

              1 Reply Last reply Reply Quote 0
              • N
                NOCling
                last edited by

                Das sind dann 3 Regeln und 3 Port Aliase, für TCP für UDP und für beides zusammen um es ganz genau umzusetzen.

                Netgate 6100 & Netgate 2100

                N 1 Reply Last reply Reply Quote 0
                • N
                  NSuttner @NOCling
                  last edited by

                  @NOCling Hi, also ich habe 2 Aliase erstellt, um einmal die UDP und einmal die TCP Ports zu bündeln, zudem habe ich zwei Regeln, eben einmal UDP, einmal TCP. So ganz sicher bin ich mir aber nicht, ob das so passt. Könntest Du mir Deine Config der rules + Aliase zukommen lassen, würde mir sehr helfen! VG Sutti

                  JeGrJ 1 Reply Last reply Reply Quote 0
                  • JeGrJ
                    JeGr LAYER 8 Moderator @heiko3001
                    last edited by

                    @heiko3001 said in Default Ruleset Active Directory Kommunikation zwischen zwei Netzen an einer pfSense!:

                    @NSuttner Bei Firewall und dann Rules.
                    Dann für beide Netze diese Regeln erstellen.

                    Da muss ich mal einhaken.
                    Für beide Netze macht keinen Sinn. Es muss auf dem Interface Regeln geben, die zuerst auf der Firewall aufschlagen. Normalerweise also auf dem Client Netz in Richtung Server. Fertig. Der Rest regelt der State. Ich muss hier aber nichts "da rein" und "da raus" lassen. So funktioniert pfSense nicht.

                    Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                    If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                    N 1 Reply Last reply Reply Quote 1
                    • N
                      NSuttner @JeGr
                      last edited by

                      @JeGr Danke, mir war klar, das ich das nicht zweimal eintragen muss. Ich habe auf dem OPT1 die entsprechenden Regeln Richtung DC's gesetzt und das passt dann auch! Aber super, das Du das nochmals geschrieben hast! VG Sutti

                      1 Reply Last reply Reply Quote 0
                      • JeGrJ
                        JeGr LAYER 8 Moderator @NSuttner
                        last edited by JeGr

                        @NSuttner said in Default Ruleset Active Directory Kommunikation zwischen zwei Netzen an einer pfSense!:

                        @NOCling Hi, also ich habe 2 Aliase erstellt, um einmal die UDP und einmal die TCP Ports zu bündeln, zudem habe ich zwei Regeln, eben einmal UDP, einmal TCP. So ganz sicher bin ich mir aber nicht, ob das so passt. Könntest Du mir Deine Config der rules + Aliase zukommen lassen, würde mir sehr helfen! VG Sutti

                        Also die ganzen Angaben mit 49152-65535 kannst du schonmal komplett ignorieren. Source Ports sollte man nicht filtern, vor allem nicht, wenn die Ranges noch so groß sind.

                        Für Domain Kommunikation genügen im Normalfall

                        • 135
                        • 137-139
                        • 445

                        für Fileserver Zugriffe. NTP und DNS (53/123 udp) bilden wir meistens eh auf der Sense selbst ab, kann man aber auch erlauben wenn man das via DCs zentralisieren möchte. LDAP/LDAPS noch je nach Einsatz.

                        Die restlichen Ports hängen stark davon ab, was die Clients effektiv noch auf den DCs machen können sollen. Von LDAP/LDAPS abgesehen ist das meiste andere eh Kram, den man von Clients eigentlich nicht sehen möchte. Aber YMMV.

                        Und wenn man es nicht zu 100% genau nimmt, kann man auch schlicht ein einziges PortAlias nehmen, dort alle Ports einfüllen (egal ob UDP/TCP) und dann einfach TCP/UDP auswählen, das spart einem dann das Anlegen zweier Aliase. Ob man das möchte oder nicht ist dann eine andere Frage, aber möglich ist es.

                        Cheers

                        Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                        If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                        N 1 Reply Last reply Reply Quote 1
                        • S
                          slu @NSuttner
                          last edited by

                          @NSuttner
                          und dann einfach mal schauen was über die Regel geht, viele Ports braucht man einfach nicht wie schon erwähnt wurde.

                          pfSense Gold subscription

                          1 Reply Last reply Reply Quote 1
                          • N
                            NSuttner @JeGr
                            last edited by

                            @JeGr Danke Dir! VG Sutti

                            1 Reply Last reply Reply Quote 0
                            • First post
                              Last post
                            Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.