Fb6360->pfSense

max2012

Hallo,

folgende Konfiguration:
an einer Fritzbox 6360 (arbeitet nur als Kabelmodem; mit einer VoIP Nummer aktiv, die zum Empfangen von Faxe dient) hängt mein pfSense Router (Firewall+NAT).
Komischerweise habe ich an der Fb KEINE Postfreigaben eingerichtet, und trotzdem funktioniert alles.
Auf der eine Seite bin ich zwar froh, dass ich da nix konfigurieren musste, aber auf der andere Seite würde ich schon gerne verstehen, warum es trotzdem funktioniert.
Hat einer von euch eine plausible Erklärung?

Danke & Gruß

orcape

Hi,
ist wohl hier das falsche Forum. ;)
Schon mal überlegt, was der Provider mit der Fritte alles konfigurieren kann.
Stichwort TR069….
Schau mal auf der Fritte nach, ob das aktiviert ist.

an der Fb KEINE Postfreigaben eingerichtet,

Was um alles in der Welt sind Postfreigaben.
Wenn Du Portforwarding meinst, solltest Du schon mal sagen für was Du das benötigst. Ausserdem brauchst Du das nicht, wenn die Fritte als Modem arbeitet, was ich allerdings schon etwas bezweifle.
Zu Deinen Einstellungen hast Du ja eher weniger gepostet. ;)
Gruß orcape

magicteddy

Moin,

Vermutlich läuft Deine Fritte 6360 nicht nur als Kabelmodem sondern als Router, das ist nicht das gleiche.  ;)

Du hast halt 2 Router hintereinander Du kannst auch 3 oder 4 hintereinander hängen kein Thema.

Dein PC (oder auch jeder andere Client) richtet alle seine Anfragen die nicht lokal sind an das Standardgateway das dürfte, für Deine Clients dann pfSense sein. Anfragen die pfSense nicht lokal abfrühstücken kann  werden an die nächste Stufe weiter gereicht, Deine Fritte, die ihrerseits die Anfragen an Deinen Internetanbieter weiter reicht.
Durch die vorhergehenden Anfragen wird quasi der Kanal für die von außen eintreffenden Antworten geöffnet, so gelangen die Antworten an Deinen PC.

Portfreigaben brauchst Du erst dann wenn Du von außen auf irgendetwas im LAN zugreifen willst. Es fehlt die Anfrage von innen die den Kanal öffnet, also musst Du vorher eine Portfreigabe einrichten und damit den Kanal öffnen. Du müsstest sogar 2 Portfreigaben konfigurieren, außen –> Fritte --> pfSense --> Client

-teddy

max2012

erst mal Danke für dein Kommentar; jeder Beitrag ist willkommen

@orcape:

Schau mal auf der Fritte nach, ob das aktiviert ist.

hättest gleich dazu schreiben können, wo man das findet - finde ich nicht

@orcape:

an der Fb KEINE Postfreigaben eingerichtet,

Was um alles in der Welt sind Postfreigaben.
Wenn Du Portforwarding meinst,

ich hatte natürlich ein Tippfehler; bzw. die Autokorrektur hat dazwischen gefunkt
Richtig wäre "Portfreigabe"
sie Attach

@orcape:

…wenn die Fritte als Modem arbeitet, was ich allerdings schon etwas bezweifle.
Zu Deinen Einstellungen hast Du ja eher weniger gepostet. ;)

also, die Fritte 6360 ist ein Kabelmodem.
sorgt dafür dass ich meine fest-IP bekomme (wegen MAC)
am pfSense habe ich die externe fest-IP direkt dran. insofern dachte ich die Fritte wäre nicht als Router konfiguriert.
was meint ihr?


magicteddy

Wir haben hier keine Glaskugeln,

poste doch einfach das Bild Internet  -> Online-Monitor und entferne dort schützenswerte Daten

Warum wird Deine Fritte als Router arbeiten? Weil 99,x% keine pfSense oder vergleichbares hinter der Fritte habe und damit quasi nackt und nach Seife gebückt mit dem Hintern ungeschützt im Internet hängen würden.

-teddy

max2012

@magicteddy:

Wir haben hier keine Glaskugeln,

poste doch einfach das Bild Internet  -> Online-Monitor und entferne dort schützenswerte Daten

reicht dir das? da steht nicht viel….


magicteddy

und wie schaut die WAN IP von pfSense aus?

-teddy

max2012

@magicteddy:

und wie schaut die WAN IP von pfSense aus?

siehe Anhang

Guest

Komischerweise habe ich an der Fb KEINE Postfreigaben eingerichtet, und trotzdem funktioniert alles.

Ist doch auch alles tutti so herum! Wenn die AVM FB nur als Modem agiert, dann muss man auch keine
Portweiterleitungen konfigurieren! Nur wenn die AVM FB NAT macht muss das geschehen.

Auf der eine Seite bin ich zwar froh, dass ich da nix konfigurieren musste, aber auf der andere Seite würde
ich schon gerne verstehen, warum es trotzdem funktioniert.Hat einer von euch eine plausible Erklärung?

Siehe weiter oben.

Man benötigt in der Regel ein Modem und einen Router oder eine Firewall, und nur weil das beides heute
mitunter recht oft in einem Gehäuse ist, kann es dennoch nur sein dass ein Router nur als reines Modem
agiert, nähmlich dann wenn es in den so genannten "Bridge Modus" versetzt wird bzw. darin arbeitet.

magicteddy

Moin,

an der IP sieht man das die Fritte alles durchreicht, also echter Modembetrieb und kein Router.
Also hast Du nur pfSense als Router und das Geraffel davor ist im Prinzip nur die Anpassung an die Leitung mit Auskopplung der Telefonie. Alles ist gut ;D

-teddy

orcape

Also hast Du nur pfSense als Router und das Geraffel davor ist im Prinzip nur die Anpassung an die Leitung mit Auskopplung der Telefonie. Alles ist gut

Im Prinzip ja, wenn es denn @max2012 schafft, die pfSense richtig zu konfigurieren.
Was ich auf Grund seiner Fragestellung aber eigentlich für sehr fraglich halte.
Gruß orcape

max2012

@orcape:

Also hast Du nur pfSense als Router und das Geraffel davor ist im Prinzip nur die Anpassung an die Leitung mit Auskopplung der Telefonie. Alles ist gut

Im Prinzip ja, wenn es denn @max2012 schafft, die pfSense richtig zu konfigurieren.
Was ich auf Grund seiner Fragestellung aber eigentlich für sehr fraglich halte.
Gruß orcape

Ist doch schön, dass du dir Sorgen um meine Konfiguration machst. Echt!
Wenn es dir nichts ausmacht, würde ich es gerne mal durchgehen, um sicher zu sein, dass ich nix übersehen habe.

Also, ich nutze pfBlockerNG, und habe "deny inbound" auf alle Länder gesetzt! Das habe ich als "Floating rule" einrichten lassen.
Da ich aber das eine oder andere durchlassen möchte (wie Port 25/smtp) habe ich eine "Pass"-Regel im "Floating"-Bereich ganz oben mit "Quick"-Status erzeugt.
Mein Problem ist nur, dass diese Regel regelmäßig nach unten (ganz unten) landet. Ich bekomme es einfach nicht auf Pos 1 fixiert.
Eine Idee, wie ich das lösen könnte?

Danke & Gruß

JeGr

Also, ich nutze pfBlockerNG, und habe "deny inbound" auf alle Länder gesetzt! Das habe ich als "Floating rule" einrichten lassen.

Öhm - warum? Default Deny ist doch eh aktiv, wenn du also kein allow von extern hast (mal von VPN abgesehen) - wozu dann länderspezifisches deny?

Da ich aber das eine oder andere durchlassen möchte (wie Port 25/smtp) habe ich eine "Pass"-Regel im "Floating"-Bereich ganz oben mit "Quick"-Status erzeugt.

OK, das erklärt das gewünschte oben mit pfBlocker. Aber zwei Dinge die ich unsinnig finde: pfBlocker klemmt in Floating macht ggf. Sinn, hat aber nen anderen Background (ähnlich wie Shaping Regeln). Aber warum wenn du eh nur ein WAN hast dann irgendwelche anderen Port 25 Floating Regeln? Floating ist nur dafür da, ggf. alle oder mehrere Interfaces abzudecken. Wenn du nur 25/tcp annehmen willst, dann kleb dir die Regel aufs WAN wo sie hingehört und gut. Zudem macht ein "pfBlockerNG alle Länder block" absolut keinen Sinn. Damit blockst du ja ggf. ALLES. Auf der pfSense gilt doch eh Default Deny (siehe oben), deshalb ist so eine Regel IMHO Unsinn. Es würde jetzt eher Sinn machen, ggf. spezifische Länder zu blocken um bspw. keine Mails von SMTP Servern anzunehmen aus deren Ländern du nichts erwartest oder möchtest. Ist bei Mail aber wieder so eine Sache - woher weiß ich welchen Weg die Mail durch Relays nimmt.

Eine Idee, wie ich das lösen könnte?

Ja siehe oben. Weg mit den Floating Regeln, du hast keine multiplen WANs und auch m.E. sonst keinen sinnvollen Grund, die Regeln in "Floating" zu hängen. Das sind incoming WAN Regeln. Und dort sauber sortiert wird das auch Sinn machen. Aber doppelt Blocken macht hier gar keinen Sinn.

Grüße
Jens

max2012

@JeGr:

Ja siehe oben. Weg mit den Floating Regeln, du hast keine multiplen WANs und auch m.E. sonst keinen sinnvollen Grund, die Regeln in "Floating" zu hängen. Das sind incoming WAN Regeln. Und dort sauber sortiert wird das auch Sinn machen. Aber doppelt Blocken macht hier gar keinen Sinn.

Danke für deine Bemerkung. Habe ich wieder was dazu gelernt.
Ich bin aber nicht ganz davon überzeugt, dass das alles "unsinnig" ist, was ich da mache.
Vielleicht weißt du nur noch nicht, was ich will, weil ich es auch noch nicht so dargelegt habe!?
Also, es ist so: ich erlaube und möchte Mails erhalten.
Aber definitiv möchte ich keine Mails von bestimmte Länder/Regionen, wie zB Indien, Korea, Japan, etc.
Von andere Länder/Regionen will ich aber auf jeden Fall Mails erhalten.
Also dachte ich mir, pfBlockerNG hilft mir die Länder ausfindig zu machen, um dort alles zu blockieren, was reinkommt.
Bei andere Länder darf zwar smtp(25) rein, aber der Rest auch nicht.

Wie würdest du das machen?

Gruß,

JeGr

Also, es ist so: ich erlaube und möchte Mails erhalten.
Aber definitiv möchte ich keine Mails von bestimmte Länder/Regionen, wie zB Indien, Korea, Japan, etc.

Und woher nimmst du die konkrete genaue Angabe, dass du absolut keine Mails von dort bekommen willst? Woher weißt du, dass bspw. durch einen lokalen/kontinentalen Ausfall eines Dienstes dieser über eine andere Geolokation sendet? Das ist ja unter anderem der Sinn von Internet und seinem Routing. Dass der Weg nicht vorgegeben ist. Und das gilt hier auch bei Mails, einem der ältesten Protokolle. Wenn jetzt - bspw. - Windows Live Mail Western Europe ausfällt und die dann - um möglichst geografisch nahe zu bleiben - die Mails via Ost Europa senden, du aber bspw. die Länder geblockt hast? Gibts keine Mail. Obwohl du die vielleicht haben möchtest.
Das war meine Aussage. Man kann eben bei Diensten, die man "anbietet" - und da gehört indirekt dann der eigene Mailserver dazu - nur mit Abstichen solche krassen Aussagen treffen. Vor allem wird es dann bei Fehlersuche lustig, warum Mail x nicht lief und nach viel Debugging kommt dann raus - ups Land geblockt.

Aber gut, dass musst du wissen, ob du das möchtest.

Also dachte ich mir, pfBlockerNG hilft mir die Länder ausfindig zu machen, um dort alles zu blockieren, was reinkommt.

Ich habe nicht behauptet, dass es das falsche Tool für Geo-Blocking ist. Ich habe nur in Frage gestellt, ob es für Mails das Richtige ist.

Wie würdest du das machen?

Frei nach der Aussage "Don't be a mail-nazi" im Mailserver. Wo es eigentlich hingehört, auch weil man dann beim Debugging die Firewall oder Routing außen vor hat. Hängt aber davon ab wie stark man beschränken will, kann, warum und in welchem Ausmaß etc.

Wenn du aber unbedingt bspw. mit pfB arbeiten willst, kannst du auch für die Länder, die du nicht möchtest, Alias Listen erstellen und diese dann in deiner Allow Regel mit ! (NOT) Indikator als Quelle angeben. Dann erreichst du das, was du willst, aber wesentlich einfacher zu managen.

Gruß