Ist die Firewall zuverlässig?



  • Hallo,

    ich habe heute die Pfsense Firewall als VM auf meinem Windows Server aufgesetzt , dass läuft auch alles so weit nun habe ich alles wieder umgesteckt da ich , bevor ich alles auf das neue "Setup" umstelle doch noch ein paar Fragen habe.

    Ich habe diverse Porteinstellung sperren und so weiter erstellt, ich habe allerdings die "Grundregel" das alles durchgeht entfernt, dass heißt ich muss echt jeden Port bzw. eine Portrange freigeben was passiert nun wenn der Server extrem belastet wird und die Hardware ins Schwitzen kommt? Besteht die Möglichkeit das Portsperren bzw. Porterlaubnisse einfach "ignoriert" werden?

    Bisher hat mein Netgear DG834B alles zufriedenstellend erledigt.

    Vielen Dank
    Gruß



  • Per default wird alles geblockt.

    Ich verstehe nicht ganz was deine Frage ist.
    Fragst du, ob etwas zugelassen wird, obwohl eine Blockregel existiert, wenn die Hardware stark belastet wird?
    WTF? Wie kommst du auf diese Idee? Wenn, dann eher das Gegenteil, dass wenn die Hardware überlastet ist, Traffic nicht verarbeitet wird weil einfach die Kapazität nicht vorhanden ist.

    Aber wenn du die Hardware unterdimensionierst, hast du sowieso ein Problem und solltest nach neuer Hardware ausschau halten.

    Deiner Beschreibung nach hast du jetzt eine unzahl an Regeln.
    Schau einmal die Alias Funktion an.
    Damit kannst du eine einzelne Regel erzeugen in der du ein Alias verwendest und so beliebig viele einzelne port/ranges gleichzeitig verarbeiten.



  • Ist halt nen kleiner AMD Quad (955er) mit 4GB RAM , dass heißt es ist ausgeschlossen das was an der Wall vorbeikleckert wenn der Server unter Last steht?

    Sind 5 Regeln aber dafür ziemlich wichtige ;)

    So sehe ich das richtig , dass wenn ich die die Standard Regel die alles durch lässt entferne , nur noch Clients ins Internet kommen können die ich dort aufgezählt habe?

    Und ist die erste Regel so richtig ? Ich will das nur 1 Verbindung zu dieser IP mit einem bestimmten Port ermöglicht wird und der Rest geblockt wird!?



  • Wie stellst du dir vor das etwas "vorbeikleckert"?

    Die erste Regel lässt, soweit ich das am screenshot sehe, beliebig viele Verbindungen von der angegebenen SourceIP zur angegebenen DestinationIP zu.
    Wenn du noch die Anzahl Connections begrenzen willst, so kannst du das mit dem Button advanced beim Regel editieren festlegen ( heisst glaube ich "maximum number of connections").

    Alle anderen Regeln könntest du zu einer zusammenfassen.
    Dazu ein Alias erzeugen in dem alle IPs die du erlauben willst enthalten sind und dann als Source dieses Alias angeben.



  • es kann natürlich immer und überall im system ein bit kippen siehe google speicher studie

    also ohne reg ram geht mal gar nix

    burn burn burn^^


Log in to reply