Mehrere VLANs abtrennen



  • Hallo zusammen,

    ich stehe vor einem kleinen Problem und komme nicht weiter.

    Ich bin aktuell dabei mehrere VLANs von der PfSense als L3 zu routen. Soweit so gut.

    Nun möchte ich z.B.: Das das VLAN 20 nicht das VLAN 10,100 und 150 sieht.

    Muss ich dafür nun drei Regeln erstellen die a la Block VLAN 20 Net to VLAN 10, Block VLAN 20 Net to VLAN 100… oder geht das auch einfacher?

    Damit das VLAN 20 nun auch aufs Internet zugreifen kann muss ich anschließend noch eine ANY to ANY Pass Regel setzen, geht das eventuell auch einfacher?

    Außerdem Frage ich mich, ob ich die Admin Oberfläche für bestimmte Interfaces deaktivieren kann, ist dies möglich?

    Danke im Voraus!

    Viele Grüße


  • Moderator

    Muss ich dafür nun drei Regeln erstellen die a la Block VLAN 20 Net to VLAN 10, Block VLAN 20 Net to VLAN 100… oder geht das auch einfacher?

    Das geht einfacher. Ein Alias erstellen, dort alle VLANs aufnehmen (also deren IP Netze) und die Regel nicht ANY to ANY erstellen, sondern als Destination ! (NICHT) <alias>nutzen. Damit wird ausgehend auf dem VLAN20 bspw. nur das erlaubt, was nicht als Ziel das Alias hat (also alle VLANs), ergo das Internet.  Da ansonsten eh alle Netze eine Block any Definition inne haben, wird nur das erlaubt, was du explizit spezifiziert hast. Kein Grund also, große Blocker Regeln zu erstellen, du musst nur deine Allow Regeln genau definieren. Dann ist der rest explizit geblockt.</alias>



  • Kann man so machen.
    Bedenken sollte man, dass dann Dienste der pfSense wie DNS oder NTP auch nicht mehr verfügbar sind, da ja geblockt.
    Was ist eigentlich mit DHCP? Eigentlich dürfte ja gar kein Traffic aus den Subnetzen mehr an der pfSense (mit ihrer IP im Bereich des Block-Aliases) landen können?

    Und wenn man wie ich den DNS ausschließlich über die pfSense zulässt, dann muss man das halt vorher noch explizit zulassen.



  • @jahonix:

    Kann man so machen.
    Bedenken sollte man, dass dann Dienste der pfSense wie DNS oder NTP auch nicht mehr verfügbar sind, da ja geblockt.

    5 seconden: Services/DNS server und Services/NTP um die zwei auch auf die VLANs laufen zu lassen. Firewall rules dafur, und fertig.

    Außerdem Frage ich mich, ob ich die Admin Oberfläche für bestimmte Interfaces deaktivieren kann, ist dies möglich?

    Selbstverstandlich  :)

    Top rule: [src] VLAN-net [dest] VLAN-interface address [port] 80 (HTTP), reject.



  • Hallo zusammen,

    vielen Dank für eure Antworten!

    Das mit dem Alias ist wesentlich einfacher, danke dafür.

    Habe nun Pass src VLAN20 dest ! VLAN100etc. und damit bleiben ja dns und ntp dienste erhalten, da die dienste auf jedem subnetz laufen.

    Und die Top rule funktioniert wunderbar, danke! (Musste aber natürlich auf Port 443 schalten da https)

    Ist damit gelöst.

    Viele Grüße und schönes Wochenende !!