Pfsense nur von einem Netz aus managen



  • Hallo,

    die Pfsense hat drei Schnittstellen: Wan, Lan, Management. Ich möchte, dass ich auf das Webinterface der pfsense nur über die IP-Adresse des Managementnetz komme und nicht über die Ip-Adresse im Lan.

    Wie kann man das einstellen?
    Danke!



  • Servus,
    ich hab das damals über die Block-Regel für TCP80 / TCP 443 gelöst.

    Grüße



  • Danke,

    könntest du mir bitte Regel genau beschreiben? Es ist die erste Firewall, die ich konfiguriere ;-)

    Am Lan-Interface ist eine Regel standardmäßig hinterlegt, die ich nicht löschen kann: Destination Lan Address, Port: 80 und 443, Beschreibung: Anti-Lockout-Regel
    Sollte ich auch diese entfernen.

    Ich habe alle Ports geöffnet, die ich brauche.
    Werden die restlichen Ports automatisch geblockt oder brauche ich eine eigene Regel für alle übrigen Ports, die ich nicht definiert habe?


  • Moderator

    Am Lan-Interface ist eine Regel standardmäßig hinterlegt, die ich nicht löschen kann: Destination Lan Address, Port: 80 und 443, Beschreibung: Anti-Lockout-Regel
    Sollte ich auch diese entfernen.

    Wie du richtig gesehen hast, ist die pfSense standardmäßig aus dem LAN bzw. ersten internen Interface auf Zugriff konfiguriert. Deshalb setze ich Projekte meist so um, dass ich zuerst MGMT konfiguriere (und LAN später umbenenne) und den dritten Port dann als eigentliches LAN. Somit hast du den Komfort, dass du die Anti-Lockout Regel behalten kannst, die sonst in den Advanced Settings ausgeschaltet werden muss. Wenn du noch nicht viel konfiguriert hast, würde ich dir das so herum empfehlen.

    Grüße
    Jens



  • Ok. Danke.
    Eigentlich habe ich alles fertig konfiguriert!
    Gibt es daher noch eine andere Möglichkeit?


  • Moderator

    Ja siehe oben. In den erweiterten Einstellungen den Haken für die Anti Lockout Regel herausnehmen, dann kann auf dem LAN die Regel entfernt werden bzw. ist es schon. Dann eine solche Regel auf deinem MGMT Interface anlegen und als Source MGMT_Network definieren, damit auch NUR das IP Netz des MGMT Netzes darf.
    Fertig



  • Dann eine solche Regel auf deinem MGMT Interface anlegen und als Source MGMT_Network definieren, damit auch NUR das IP Netz des MGMT Netzes darf.

    Damit würde ich beginnen, sonst kommst du nach dem Speichern vielleicht nicht mehr zu den anderen Übungen. ;)


  • Moderator

    Da hast du natürlich vollkommen recht ;)