Nur Internetzugang freischalten



  • Hallo

    Wie muß eine Firewallregel aussehen, um für ein bestimmtes Interface nur den Zugang zum Internet, nicht aber in die anderen Subnets, freizuschalten?

    Als Source gebe ich VLAN…Subnet an, aber was muß als Destination angegeben werden?
    Zusätzlich muß natürlich fürs DNS Port 53 UDP auf die pfsense freigegeben werden.



  • kommt drauf an wieviele subnets du sonst noch hast.
    wenn du nur ein anderes subnet hast kannst du
    ziel: "nicht" anderes_subnet machen.

    wenndu mehrere hast empfehle ich dir ein alias mit all den subnets die du blocke willst zu erzeugen und dann zwei regeln:
    1 regel: source lokales subnet, block: alias mit subnets
    2 regel: source lokales subnet, allow: any



  • Danke für den Tip.

    Da es sich bei allen lokalen Subnets um Class C Netze handelt, müsste der reine Internetzugang auch folgendermaßen freizugeben sein:

    1. Regel: allow > source lokales subnet, destination router ip adresse, port 53 udp
    2. Regel: allow > source lokales subnet, destination !192.168.0.0/16

    Zumindest funktioniert dies so oder liegt hier ein Denkfehler vor?



  • @fwuser07:

    Da es sich bei allen lokalen Subnets um Class C Netze handelt, müsste der reine Internetzugang auch folgendermaßen freizugeben sein:

    2. Regel: allow > source lokales subnet, destination !192.168.0.0/16

    /16 ist kein C Netz.

    Deine erste regel ist überflüssig da "!anderes subnet" die routeradresse in deinem lokal subnet beinhaltet (natürlich nur wenn es auch wirklich ein C netz ist –> /16 ist ein B netz)



  • Du hast natürlich Recht, es waren Class B Netze gemeint.

    Aber ich bin der Meinung, daß die erste Regel schon notwendig ist, da in der zweiten ja die Negation vorkommt.


Log in to reply