Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Firewall Rules

    Scheduled Pinned Locked Moved Deutsch
    5 Posts 2 Posters 992 Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • L
      LordN1kon
      last edited by

      Hi,

      Haltet mich für dumm oder unfähig aber ich habe ein Problem mit dem blocken von einer IP Adresse.
      Ziel des ganzen ist es jegliche Kommunikation mit einer IP Adresse zu unterbinden und die Rechner zu enttarnen welche das tun.

      Also habe ich folgende Rules erstellt.

      WAN

      Proto                      Source              Port            Destination          Port            Gateway Queue
      IPv4 TCP          123.456.789.000      *                        *                  *                  *        none     
      IPv4 TCP                        *                *            123.456.789.000      *                  *        none

      LAN

      IPv4 TCP                        *                *            123.456.789.000      *                  *        none

      Alle natürlich Protokolliert.

      Und dennoch kann ich die IP Anpingen und sehe keinen Eintrag diesbezüglich im LOG

      Wo ist mein Gedankenfehler begraben?

      Danke für die Hilfe

      1 Reply Last reply Reply Quote 0
      • JeGrJ
        JeGr LAYER 8 Moderator
        last edited by

        Falsch. Das blockt eingehende Verbindungen von 123.456.789.000 (mit der ersten Regel) und die zweite macht keinen Sinn. Die zweite besagt dass Verbindungen ZU 217.160.165.202 auf dem WAN geblockt werden. Ist aber quatsch, denn dein WAN hat nicht die IP 123.456.789.000, deshalb ist die zweite Regel obsolete.

        Korrekt wäre die zweite Regel, wenn du sie genauso wie sie ist (quelle any, quellport any, dest 123.456.789.000, destport any, logging an) auf das LAN klebst. Dann macht es Sinn. Denn du willst auf dem LAN sehen, wenn eine Kiste eine Verbindung dahin aufbaut und es nicht erst auf dem WAN intercepten (was eh nicht geht mit der pfSense GUI).

        Grüße

        Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

        If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

        1 Reply Last reply Reply Quote 0
        • L
          LordN1kon
          last edited by

          Sorry da fehlte noch einiges an Text dachte er hat es glöscht das es gepostet wurde habe ich erst später gesehen.

          das die zweite WAN Regel nicht so viel sinn mach ist mir klar sollte aber keinen Problem erzeugen. war nur einfach eine Überreaktion

          1 Reply Last reply Reply Quote 0
          • JeGrJ
            JeGr LAYER 8 Moderator
            last edited by

            Richtig sie macht nichts, deswegen wird sie auch kein Problem erzeugen ;) dann kann man sie aber auch löschen, denn sie hat keinen Wert. :)

            Die zweite Regel ist richtig, aber wohl ja nicht die einzige Regel auf dem LAN oder? Natürlich muss der BLOCK dann VOR dem PASS kommen, sonst wird der Client erlaubt und kommt gar nicht erst zur Verbotsregel. Wenn du auf dem LAN also eine Pass ANY Rule hast, muss die sinnvollerweise GANZ nach unten, damit alle anderen Blocks vorher greifen.

            Grüße

            Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

            If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

            1 Reply Last reply Reply Quote 0
            • L
              LordN1kon
              last edited by

              Thx, das leben kann manchmal so einfach sein :facepalm:

              1 Reply Last reply Reply Quote 0
              • First post
                Last post
              Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.