Pfsense nur von einem Netz aus managen

warrender

Hallo,

die Pfsense hat drei Schnittstellen: Wan, Lan, Management. Ich möchte, dass ich auf das Webinterface der pfsense nur über die IP-Adresse des Managementnetz komme und nicht über die Ip-Adresse im Lan.

Wie kann man das einstellen?
Danke!

tpf

Servus,
ich hab das damals über die Block-Regel für TCP80 / TCP 443 gelöst.

Grüße

warrender

Danke,

könntest du mir bitte Regel genau beschreiben? Es ist die erste Firewall, die ich konfiguriere ;-)

Am Lan-Interface ist eine Regel standardmäßig hinterlegt, die ich nicht löschen kann: Destination Lan Address, Port: 80 und 443, Beschreibung: Anti-Lockout-Regel
Sollte ich auch diese entfernen.

Ich habe alle Ports geöffnet, die ich brauche.
Werden die restlichen Ports automatisch geblockt oder brauche ich eine eigene Regel für alle übrigen Ports, die ich nicht definiert habe?

JeGr

Am Lan-Interface ist eine Regel standardmäßig hinterlegt, die ich nicht löschen kann: Destination Lan Address, Port: 80 und 443, Beschreibung: Anti-Lockout-Regel
Sollte ich auch diese entfernen.

Wie du richtig gesehen hast, ist die pfSense standardmäßig aus dem LAN bzw. ersten internen Interface auf Zugriff konfiguriert. Deshalb setze ich Projekte meist so um, dass ich zuerst MGMT konfiguriere (und LAN später umbenenne) und den dritten Port dann als eigentliches LAN. Somit hast du den Komfort, dass du die Anti-Lockout Regel behalten kannst, die sonst in den Advanced Settings ausgeschaltet werden muss. Wenn du noch nicht viel konfiguriert hast, würde ich dir das so herum empfehlen.

Grüße
Jens

warrender

Ok. Danke.
Eigentlich habe ich alles fertig konfiguriert!
Gibt es daher noch eine andere Möglichkeit?

JeGr

Ja siehe oben. In den erweiterten Einstellungen den Haken für die Anti Lockout Regel herausnehmen, dann kann auf dem LAN die Regel entfernt werden bzw. ist es schon. Dann eine solche Regel auf deinem MGMT Interface anlegen und als Source MGMT_Network definieren, damit auch NUR das IP Netz des MGMT Netzes darf.
Fertig

viragomann

Dann eine solche Regel auf deinem MGMT Interface anlegen und als Source MGMT_Network definieren, damit auch NUR das IP Netz des MGMT Netzes darf.

Damit würde ich beginnen, sonst kommst du nach dem Speichern vielleicht nicht mehr zu den anderen Übungen. ;)

JeGr

Da hast du natürlich vollkommen recht ;)