Firewall blockt alles - "Default deny rule"
-
Guten Morgen an Alle!
Ich habe nun die pfSense "Grundkonfiguriert", also WAN und LAN Interface. Ich habe keine Firewall-Regeln angelegt etc.
Aufbau siehe:
https://forum.pfsense.org/index.php?topic=99589.0Am "LAN-Switch" gibt es verschiedene VLANs.
1x WAN (hier ist der Cisco Router + WAN Interface pfSense)
1x FW (hier ist das LAN Interface von pfsense)Weitere VLANs für Server, Drucker etc…
Der "LAN-Switch" übernimmt das Routing, hier ist die default-Route die Firwall (10.0.10.254). Diese IP habe ich dem LAN-Interface in pfsense gegeben.
Wenn ich nun mit meinem Notebook im gleichen VLAN bin (wie das LAN-Interface von pfsense) - also "FW" - funktioniert das Internet.
Vom "LAN-Switch" aus kann ich auch einen ping/traceroute absetzen - z.b. ping 8.8.8.8
Von den anderen PCs / Server ist aber leider kein Internet möglich.
Im Log der Firewall stehen dutzende solcher Meldungen:
@5(1000105593) block drop in log inet all label "Default deny rule IPv4"
Im Internet habe ich den Hinweis bezüglich "Bypass firewall rules for traffic on the same interface" gefunden und auch aktiviert - leider ohne Erfolg.
Ich bekomme noch immer die gleichen Meldungen im Firewall-Log.Fehlen hier statische Routen? Oder muss ich ein VLAN erstellen?
In der aktuell eingesetzten Firewall von PaloAlto gibt es statische Routen unter trust/untrust.
Anbei auch ein paar Screenhsots.
Vielen Dank für eure Mühe :)
-
Im englisch sprachigen Forum gibt es wohl ein ähnliches Problem:
https://forum.pfsense.org/index.php?topic=89386.0Hier in den Docs:
https://doc.pfsense.org/index.php/Logs_show_%22blocked%22_for_traffic_from_a_legitimate_connection,_why%3FIch nutze auch mehrere Subnetze dier hier am LAN-Interface angeschlossen sind, getrennt durch die verschiedenen VLANs. Habt ihr eine Idee? Benötige ein VLAN auf dem LAN-Interface?
Oder ist diese Meldung "OK" und der Fehler liegt woanders?
-
deine Regel auf dem LAN Netz sagt ja alles was aus dem LAN Netzwerk kommt wird erlaubt ist und darunter ist keine Reglen.
Bei der PfSense ist es so das alles was nicht definiert ist einfach geblockt wird.
Wenn nun an deinem LAN noch andere Netze hängen dann ist ja als Quelle etwas anderes als das LAN Netz was an der Firewall ankommt und weil das nun mal nicht definiert ist wird es geblockt :)Zum testen kannst du ja mal eine any any Regel auf den LAN Interface einrichten also das egal von wo es kommt egal wohin es geht alles erlaubt ist.
Wenn das klappt dann einfach versuchen die Regel entsprechend so dicht zu machen das es passt. -
Hey Danke für deine Info.
Also das LAN-Interface hat die "10.0.10.254". Transfer-Netz zwischen Switch und pfsense = 10.0.10.0/24
Leider ich kann erst später wieder an diesem System testen.
Dein Tipp mit der "any any" Regel hatte ich glaube schon probiert > es war aber so spät das ich mir nicht mehr sicher bin ;) Danke auf jeden Fall für den Hinweis, teste ich später (nochmal).
Im Anhang habe ich ein Screenshots vom betroffenen Subnetz. Dieses sind am Switch (Layer 3 fähig) in eigenen VLANs.
Genügt dann eine Firewall-Regel, welche "172.16.64.0/19" zulässt? Oder muss ich jedes Subnetz einzeln erlauben?
Beispiel:
Interface: LAN
Destination - Type: Network
Destination - Address: 172.16.64.0/19
Destination port range: from any to any
-
Ja aber nicht als Destination sonder als Source diese Netze angeben. Also Destination dann Any (außer die sollen nicht überall hin)
Wenn ich das richtig verstanden habe dient dein LAN Interface ja als Gateway für andere Netze wenn dem so ist diese als Source angeben.
-
Ah OK Danke.
Das heißt ich kann nicht einfach "172.16.64.0/19" angeben > siehe Screenshot, sondern anstelle dieser IP die einzelnen Netze wie:
172.16.68.0/23
172.16.72.0/24etc… jeweils TCP und UDP ?
Unter "Destination" habe ich "any" gewählt, denn das müsste dann ja auch noch passen falls ich mehrere WAN-Interfaces hinzufüge (Loadbalancing oder Failover) - oder?
Danke für deine Geduld :)
-
je nachdem was du für netze hast kannst du natürlich auch netze mit der entsprechende Subnetzmaske zusammen fassen.
als Protokoll würde ich any nehmen wenn du nur TCP/UDP machst geht kein Ping weil der auf ICMP basiert und man das immer zum testen nimmt ;)
Destination bleibt meistens any das hat mit Loadbalancing oder Failover noch nichts zu tun
das kannst du unter Advanced features und da dann Gateway einstellen. Dort kannst du verschiedene Gateways bzw. Gatewaygruppen einstellen. -
Top! Danke dir! Werde das mal testen und mich gegebenenfalls nochmal melden.