Geräte im DZ können nicht von innen nach außen



  • Hallo zusammen,

    ich bin gerade ein bisschen am verzweifeln seitens meiner Firewallkonfiguartion.

    Ich habe ein DMZ eingerichtet über einer Bridge (WAN,DMZ). Ich kann die Geräte auch erreichen allerdings können die Geräte nicht nach außen agieren.

    WAN : Static IP (Feste IP vom Provider) Internet funktioniert
    LAN : Static IP (192.168.0.1) Internet funktioniert
    DMZ : Static IP (192.168.1.1) von außen erreichbar, von Innen nach außen keine Erfolg.

    In den Logs steht auch beispielsweise wenn ich von einem Gerät im DMZ eine externe IP anbinge folgendes :

    block on em0 usw.

    Wo liegt hier mein Fehler bzw. wo kann ich anfangen?  Regeln hab ich aktuell zum testen auf any* gesetzt.



  • Wenn du eine Bridge einrichtest heißt das ja das du auf beiden interfaces den selben bereich verwenden willst oder?
    Hast du mehr als eine feste IP von Provider?
    Weil ich nicht ganz verstehe was du vor hast.
    Wenn du in der DMZ den Servern eine Öffentliche IP geben willst warum dann die PfSense dazwischen?


  • Moderator

    Dem Kollegen flix schließe ich mich an. Es macht IMHO wenig Sinn DMZ und WAN zu bridgen, gerade wenn man wie oben eigentlich in der DMZ private Adressen geplant hat!?

    Grüße



  • @flix87:

    Wenn du eine Bridge einrichtest heißt das ja das du auf beiden interfaces den selben bereich verwenden willst oder?
    Hast du mehr als eine feste IP von Provider?
    Weil ich nicht ganz verstehe was du vor hast.
    Wenn du in der DMZ den Servern eine Öffentliche IP geben willst warum dann die PfSense dazwischen?

    Ja, ich will das alles über die DMZ geht damit ich auch bei einer festen IP Ports sperren kann.

    Und ja ich habe mehrere feste IP Adressen.



  • Wenn du eine weiter öffentliche IP nutzen willst packe diese einfach als virtuelle IP auf die WAN Schnittstelle drauf. Musst du aber nicht wenn die jetzige IP noch nicht für andere Ports benutzt wird.
    WAN und DMZ sollten dann nicht gebridged werden.
    Und dann einfach mit NAT arbeiten und die entsprechendes Ports auf den Server in der DMZ weiterleiten.


  • Moderator

    Da hat Flix ganz recht. Da muss nichts gebridgt werden, du kannst hier einfach die Geräte in der DMZ entweder ausgehend oder generell NATten und dafür auch mehrere IPs nutzen kannst. Was du genau anstellen willst, müsstest du ggf. erläutern (was ist denn die Wunschvorstellung wie es optimalerweise sein sollte), dann könnte man auch konkrete Umsetzungsvorschläge machen.

    Grüße