Client isolieren ohne statische Konfiguration zu ändern



  • WAN–pfSense (192.168.0.251)--[Clients (192.168.0.0/24)]
    Jetzt macht ein Client gelegentlich Mist, obwohl statisch konfiguriert ist er machmal kurzzeitig auf einer schon anderweitig vergebenen IP Adresse aktiv. >:( Geschäftsleitung hat eine Frist gesetzt, die muss ich jetzt leider abwarten und darf nicht einfach die Leitung kappen. Mein Ansatzpunk wäre jetzt den krummen Vogel mit einem Router zu isolieren und darüber in ein Gastnetz zu schieben.

    Jetzt die eigentliche Frage pfSense läuft auf einer Firebox mit insgesamt 8 Ports wovon 6 noch unbelegt sind.
    Kann ich Firewall Regeln auch auf einer Bridge anwenden? Alles was von der korrekten IP wird aufs Standardgate weitergeleitet, alles was von einer falschen IP kommt wird verworfen. Der Böse Client wäre der einzige Teilnehmer an diesem Port. Anderer Ansatz? Außer Netz kappen, das darf ich eben noch nicht! Ich würde mir nur gerne den zusätzlichen Router sparen.

    -teddy



  • @magicteddy:

    WAN–pfSense (192.168.0.251)--[Clients (192.168.0.0/24)]
    Jetzt die eigentliche Frage pfSense läuft auf einer Firebox mit insgesamt 8 Ports wovon 6 noch unbelegt sind.
    Kann ich Firewall Regeln auch auf einer Bridge anwenden?

    Ja, natürlich, dazu ist eine Firewall ja da, auch wenn sie im Bridge Mode läuft.

    Mir ist nur nicht ganz klar, wie du das genau umsetzen willst.

    @magicteddy:

    Anderer Ansatz? Außer Netz kappen, das darf ich eben noch nicht! Ich würde mir nur gerne den zusätzlichen Router sparen.

    Ich füttere in einem Client-Netz die pfSense mit einer Liste mit nicht verwendeter IPs. Die Liste steht auf einem Webserver und kann auf der pfSense über Firewall > Aliases als URL importiert werden. Nachdem hier nur nach einem URL gefragt wird, geht das wohl auch direkt von einer Netzwerk-Freigabe, habe ich aber noch nicht versucht.
    Diesen Alias verwende ich in einer Block-Regel am LAN Interface, so dass von diesen IPs nichts ins Internet geht, und der Nutzer damit wohl wenig Freude hat.

    Grüße



  • Moin,

    mein Gedanke ist diesem Client einen eigenen Port am pfSense zu widmen.
    Alles was von der richtigen IP dieses Clients kommt geht durch und darf ins Internet.
    Wenn auf diesem Port Traffic von einer anderen Quell IP kommt wird er verworfen.
    Alles was ins Lan geht wird auch verworfen.

    Somit kann das Teil sein VPN zum Zielserver über das Internet nur mit der von mir festgelegten IP aufbauen, macht das Teil mal wieder Mist und greift sich eine andere IP hat es keine Auswirkung außer das das Gerät keinen Tunnel aufbauen kann.
    Kein Tunnel erzeugt immer Stress bei Sicherheitsdienstleister und ich habe eine Daumenschraube: Fixt euren Mist und ihr habt kein Stress 8)

    Achso und danke für den Tipp mit der Liste nicht verwendeter IPs, ist im Hinterkopf abgelegt.

    -teddy


  • LAYER 8 Moderator

    @magicteddy:

    Primär eine nette Idee, allerdings problematisch, da du dann bspw.

    192.168.0.0/24 auf Port 1
    192.168.0.111/32 auf Port 2
    x.y.z.a/bc auf Port X (WAN)

    laufen hättest. Problem damit: du hättest zwei mal das gleiche Netz auf unterschiedlichen Interfaces gebunden. Damit gibts rein aus Routing Sicht nur Probleme.

    Wenn der Client die IP via DHCP holt, sollte es allerdings gehen, dann müsstest du auf seinen "extra Port" ein anderes IP Netz raufpacken. Wenn er dann kein ordentliches DHCP macht sondern selbst IPs vergibt, knallts und er kommt nicht raus.

    Oder habe ich dich da mißverstanden?



  • Moin,

    Du hast mich fast richtig verstanden ;D
    DHCP geht nicht da Client fest konfiguriert.

    2 gleiche Netze am Router = schlechte Idee
    Deshalb wollte ich das per Bridge mit Regeln lösen:

    • Absender hat falsche IP –> block

    • Absender will ins Lan –> block

    • Absender will ins Wan –> OK


Log in to reply