Firewall Rules



  • Hi,

    Haltet mich für dumm oder unfähig aber ich habe ein Problem mit dem blocken von einer IP Adresse.
    Ziel des ganzen ist es jegliche Kommunikation mit einer IP Adresse zu unterbinden und die Rechner zu enttarnen welche das tun.

    Also habe ich folgende Rules erstellt.

    WAN

    Proto                      Source              Port            Destination          Port            Gateway Queue
    IPv4 TCP          123.456.789.000      *                        *                  *                  *        none     
    IPv4 TCP                        *                *            123.456.789.000      *                  *        none

    LAN

    IPv4 TCP                        *                *            123.456.789.000      *                  *        none

    Alle natürlich Protokolliert.

    Und dennoch kann ich die IP Anpingen und sehe keinen Eintrag diesbezüglich im LOG

    Wo ist mein Gedankenfehler begraben?

    Danke für die Hilfe


  • LAYER 8 Moderator

    Falsch. Das blockt eingehende Verbindungen von 123.456.789.000 (mit der ersten Regel) und die zweite macht keinen Sinn. Die zweite besagt dass Verbindungen ZU 217.160.165.202 auf dem WAN geblockt werden. Ist aber quatsch, denn dein WAN hat nicht die IP 123.456.789.000, deshalb ist die zweite Regel obsolete.

    Korrekt wäre die zweite Regel, wenn du sie genauso wie sie ist (quelle any, quellport any, dest 123.456.789.000, destport any, logging an) auf das LAN klebst. Dann macht es Sinn. Denn du willst auf dem LAN sehen, wenn eine Kiste eine Verbindung dahin aufbaut und es nicht erst auf dem WAN intercepten (was eh nicht geht mit der pfSense GUI).

    Grüße



  • Sorry da fehlte noch einiges an Text dachte er hat es glöscht das es gepostet wurde habe ich erst später gesehen.

    das die zweite WAN Regel nicht so viel sinn mach ist mir klar sollte aber keinen Problem erzeugen. war nur einfach eine Überreaktion


  • LAYER 8 Moderator

    Richtig sie macht nichts, deswegen wird sie auch kein Problem erzeugen ;) dann kann man sie aber auch löschen, denn sie hat keinen Wert. :)

    Die zweite Regel ist richtig, aber wohl ja nicht die einzige Regel auf dem LAN oder? Natürlich muss der BLOCK dann VOR dem PASS kommen, sonst wird der Client erlaubt und kommt gar nicht erst zur Verbotsregel. Wenn du auf dem LAN also eine Pass ANY Rule hast, muss die sinnvollerweise GANZ nach unten, damit alle anderen Blocks vorher greifen.

    Grüße



  • Thx, das leben kann manchmal so einfach sein :facepalm:


Log in to reply