Verständnisfrage Internet Access



  • Hi Leute!

    Ich lese mich nun schon seit Tagen durchs Forum bzw. hab ich mir auch das PfSense Buch gekauft, weiß schon viel aber noch nicht alles. Und ein Punkt macht mir immer noch schwere Kopfzerbrechen. Nämlich jener wie ich von einem Port, sei es OPT1 oder ein anderer wirklich nur Internet Zugriff erlauben kann. Ist es denn wirklich so, das ich eine Regel machen muss mit der Destination "any", die mir zuerst alles erlaubt, dann aber eine Regel darüber setzen muss die wieder den Zugriff auf LAN oder OPT 2 unterbindet?! Und dies nur damit Internet funktioniert? Auf der einen Seite wird von Grund auf alles geblockt (von OPT1 oder OPT2 weg), dann brauche ich eine Regel die alles erlaubt und dann muss ich erst wieder die Hälfte unterbinden.

    Ich verstehe hier nicht warum das von Grund auf nicht anders gelöst wurde, zum Beispiel mit einem Port der "WAN" heisst. Es gibt ja "WAN Address", aber dieser bezieht sich ja nur auf die IP der WAN Schnittstelle, das bringt mir ja nichts.

    Wäre toll wenn mir hier jemand die Hintergründe erklären könnte, ansonsten ist PFSense ein geiles Stück Software!

    Lg, Markus



  • Also ..

    Als 1. Schnitstelle zuweisen! Sprich opt 1 wlan IP zuweisen etc.
        2. DHCP Server aktivieren auf der anderen Schnitstlle wenn verschiedene subnetze zwischen lan / Wlan  Subnets  zb. LAN 192.168.1.1/24 Wlan 192.168.2.1/24
        3. Eine Outbound Regel erstellen unter NAT ( Ich persönlich mache es mit Manuell) srich from WAN NAT 192.168.2.1
        4. Eine Firewall Regel erstellen für das Interface (WLAN) unter Firewall Rules Wlan z.B. from wlan subnet to WAN adress
    hoffe ich konnte dir einen Gedanken anstoss geben.

    Freundliche Grüsse Mohamad Haider



  • Okay, das heisst wenn ich die NAT-Regeln manuell und richtig anlege, dann kann ich sehr wohl den Clients den Internet Zugriff erlauben in den ich eine Regel erstelle die das OPT1 Subnet auf WAN address erlaubt und dann sollte nur Internet funktionieren für das OPT1 Subnet.

    Ich werde das gleich testen!



  • Nein, bei mir funktioniert das nur so wie ich oben beschrieben habe! Zuerst Blocke ich alles was nicht gehen soll und zum Schluss eine Regel die alles erlaubt, eben any. Ich komme sonst nicht ins Internet. Schade, ich finde das unübersichtlich!



  • @hofimax:

    Okay, das heisst wenn ich die NAT-Regeln manuell und richtig anlege, dann kann ich sehr wohl den Clients den Internet Zugriff erlauben in den ich eine Regel erstelle die das OPT1 Subnet auf WAN address erlaubt und dann sollte nur Internet funktionieren für das OPT1 Subnet.

    Ich werde das gleich testen!

    nein ein nat ist von interface wan  source opt1



  • Kannst du mir mal einen Screenshot von deinen NAT-Rules reinstellen? Ich steh echt total am Schlauch. Ich kann doch bei Destination nur "Any" und "Network" auswählen, aber kein Interface?!  ???



  • Hey, mal langsam mit den jungen Pferden!

    Die Erstellung Deines Regelwerkes unterliegt immer Deinen Bedürfnissen und kann daher nicht pauschal beantwortet werden.
    Bedenke dabei:

    • top down: Die Regeln immer von oben nach unten betrachten. Die erste die passt wird verwendet.
    • Das kann eine 'allow' oder eine 'deny' Regel sein.
    • Du kannst Aliasse verwenden!
    • Unter allen selbst angelegten Regeln kommt noch eine default 'Deny all' Regel.

    Erstelle Dir zB einen Alias, den Du 'lokale-Netze' nennst.
    Den benutzt Du in einer 'allow' Regel, in der als Ziel 'lokale-Netze' steht und der NOT Haken aktiviert ist.
    Schon kannst Du überall außer zu den im Alias definierten Zielen hin.
    Und es ist nur eine (1) Regel!



  • Okay, danke für die Antwort. Ich habe das was du schreibst ja wirklich alles gecheckt, top-down usw.. Aber ich checke immer noch nicht wie ich einem

    a) Interface wie OPT1 oder OPT2 das Internet freischalte und gleichzeitig nach LAN nur gewisse Ports erlaube. Muss ich da wirklich mit einer "allow all" Regel arbeiten und vor dieser Regel alles andere verbieten??

    Oder gibt es wirklich den Weg mit

    b) "allow all" und Destination "Wan Adress" via NAT?? An diesem Punkt scheitere ich im Moment.

    Punkt a) bring ich hin, aber wäre es nicht mit Punkt B übersichtlicher??



  • Vergiss doch mal NAT! Das ist nur outbound wichtig, intern benutzt Du nur Regeln, es sei denn, Du baust etwas Spezielles. Das ist zumindest am Anfang mit Sicherheit nicht zeitsparend…

    Also:
    von OPT1 -> LAN: allow [Source] mit [Source Port Range ] nach [Destination/Alias] mit [Destination Port oder Range oder Alias]
    [da moderne Betriebssysteme intern bereits ein NAT machen ("Windows Firewall") und der Quellport daher willkürlich sein kann benutzt Du als Source Port Range '
    ' und definierst nur das erlaubte Ziel!]
    Diese Regel vor die gestern beschriebene 'allow Internet' Regel. Fertig.

    Das sind nun zwei Regeln für das OPT1 Interface. Ist doch hübsch übersichtlich, oder?
    Die gleichen Regeln (oder natürloich entsprechend angepasste) brauchst Du dann noch für das OPT2 Interface auf dessen eigenen Reiter.

    Wenn Du eine 'allow All -> WAN address' machst, dann erlaubt diese Regel genau das: Zugang zur WAN IP. Das ist aber NICHT das Internet sondern eben nur die IP eines Interfaces.



  • Okay, ich vergesse NAT, ich dacht ich kann via NAT doch mit der Destination WAN-Address etwas anfangen bezüglich Internet Access.

    Für mich wäre es halt logischer, nachdem ein OPT1 Interface ausgehend default mal gar nichts zulässt, einfach mal eine Regel zu machen die einfach nur das Internet erlaubt. So kenne ich das zum Beispiel vom IPCop. Das ich hier den Umweg mit den Aliases machen muss in dem ich in einer Regel alles erlaube aber meine lokalen Netze blocke damit OPT1 Internet hat aber sonst nirgends hin darf finde ich einfach umständlich. Aber wenns nicht anders geht finde ich mich natürlich damit ab  ;D



  • Wenn Du nur zwei interne Interfaces (Lan & Opt1) hast, dann reicht eine Regel ganz ohne Aliasse:

    IF: Opt1  PCL: *  S: OPT  SPR: *  D: !LAN subnet  DPR: * (also all but LAN)

    So arbeitet halt der pf, im Gegensatz zu den IPtables vom IPcop. Wenn man sich erst einmal umgewöhnt hat ist es straight forward und macht auch Sinn.



  • Ja, wahrscheinlich ist es reine Gewöhnungssache. Wenn man was jahrelang gewohnt ist wie ich den IPCop, deswegen hinterfrag ich das Ganze vielleicht auch so blöd!

    Aber vielen Dank für deine Unterstützung, das war sehr hilfreich für mich!



  • Hallo Chris Vielen Dank für deine Geneile Erklärung wirklich sehr Hilfereich :)


Log in to reply