[Rules] Mehrere IP's ?
-
Hallo Board,
ich hab mir hier gerade unsere pfsense konfiguriert. Jetzt ist es ja so das ich die FW Regeln auf das Subnetz, alle, oder einer einzelnen ip anwenden kann. Was brauchbar währe, ist die Regel auf mehrere IP's die nicht zusammenhängen, anwenden zu können.
Geht das?
-
mag dich eine alias fur dine rule
http://routerip/firewall_aliases.php
-
Du kannst einen sog. Hostsalias anlegen (firewall>aliases). Füge einfach alle IPs als z.B. "mailserver" hinzu. Danach kannst du diesen Alias in allen rot hinterlegten Eingabefeldern benutzen (auch bei NAT Regeln). Erstelle dann z.B. eine Firewallregel "pass, protocol tcp, source mailserver, destination any, port 25, gateway *, Description Mailversand den Mailservern erlauben".
Das gleiche funktioniert z.B. auch mit Ports oder Netzwerken. Einfach den entsprechenden Aliastyp benutzen.
-
Cewl, danke.
Was auch noch interessieren würde:
Ich hab wie schon in nem anderen Thread von mir geschrieben das ich 2 WAN hab. SDSL und DSL.SDSL hängt direkt an der FW, DSL als OPT1 mit nem Router davor.
Dann hab ich "advanced outbound NAT" plus ein paar nat regeln für http, https, und pop3 angelegt damit die übers alte dsl(opt1) gehn. FW Regeln für OPT1 legt NAT ja selbst an, ich hab dann noch zusätzlich eine LAN FW Regel angelegt die besagt das https über OPT1 gw erlaubt ist.
Soweit, so gut. Funktioniert prima.Jetzt hab ich noch irc über OPT1 laufen lassen wollen und hab NAT vergessen, sprich nur im LAN die FW Regel mitm OPT1 gw gesetzt.
Und siehe da, es funktionert ohne NAT?!? Ich bin durcheinander….
Kann mir das einer erklären?
-
Ganz einfach: Deaktiviere advanced outbound NAT. Das wird weder für policybasedrouting noch für loadbalancing benötigt, es sei denn Du hast virtuelle IPs oder willst z.B. gewisse Ausnahmen definieren, etc.
Die pfSense macht bei deaktiviertem advanced outbound nat automatisch NAT auf jedem Interface, das ein Gateway besitzt. Allein die Firewallrules definieren was wohin gerouted wird für policybased routing und loadbalancing.