Zugriff vom LAN in die DMZ nach bestimmter Zeit geblockt trotz erlaubter Regeln



  • Hallo alle Zusammen,

    brauch dringend euren Rat da ich selber nicht weiter weiß. Hab seit neuem pfsense 2.0.3 im Geschäft im Einsatz. Bisher sehr zufrieden. Jetzt hab ich nen Server in die DMZ gestellt und der Zugriff vom LAN in die DMZ wird teilweise geblockt trotzer erlaubter Regeln z. B. SSH Zugriff vom LAN nach ca. 20 Sekunden  ???. Zugriff von Extern kein Problem  :). Im Log werden die Packete von der internen LAN-Adresse geblockt.

    Firewall-Regeln:
    Interface, Protokoll, S-Adress, S-Ports => D-Adress, D-Ports, Zugriff
    LAN, ANY, LAN subnet, ANY => ANY, ANY, pass
    DMZ, ANY, DMZ subnet, ANY => ANY, ANY, pass
    DMZ, ANY, LAN subnet, ANY => DMZ subnet, ANY, pass

    NAT-Regeln:
    Interface, Protokoll, S-Adress, S-Ports => D-Adress, D-Ports, NAT-IP, NAT-Port, Access
    WAN, TCP, Ext IP HOME, ANY => WAN Adress, SSH, Intern-IP, SSH, pass

    Bin über jede Beteiligung sehr Dankbar

    Gruß



  • Was sagt den die Firewall log?
    Aktiviere mal "Log packets blocked by the default rule", warte bis eine Verbindung blockiert wird und zeige dann auf das Icon, dann siehst Du welche Regel greift.



  • Bin mir nicht sicher, ob ich deine FW-Regeln in der Kurzform richtig verstehe (Hardcopy innerhalb der Web-GUI wäre hilfreich), aber ich vermute, dass zumindest

    DMZ, ANY, LAN subnet, ANY => DMZ subnet, ANY, pass
    ```überflüssig ist.
    
    Wenn ich die anderen LAN- und DMZ-Regeln richtig verstehe, möchtest du zunächst jeden Datenverkehr vom LAN und von der DMZ in alle anderen Netze passieren lassen. Damit solltest du wie gewünscht auch von der DMZ ins LAN kommen.
    
    Wie hast du denn außer mittels SSH den Zugriff aus der DMZ ins LAN geprüft? Werden Pings (ICMP) auch nach einiger Zeit geblockt?
    
    Ansonsten kann ich mich der Empfehlung von slu nur anschließen.
    
    Peter

Locked