Internet Zugriff eines Clients zeitlich erlauben [GELÖST]



  • Hallo zusammen!

    Ich möchte den Zugriff eines einzelnen PC's (10.0.0.158) auf das Internet für eine bestimmte Zeit erlauben und habe dies (leider erfolglos) mit folgenden Einstellungen versucht:

    Alias:
    "Notebook2" Host: 10.0.0.158

    Schedules:
    "Test" Montag 21:00 bis 23:00

    Rule:
    Action:  Pass
    IF:        LAN
    TSP:      IPv4
    Prot:      any
    Source:  Single host or alias "Notebook2"
    Dest:    WAN Net (habe any auch schon probiert)
    Sched:  Test

    Es klappt leider nicht! Außerhalb der angegebenen Zeit sollte die Verbindung nicht funktionieren - tut sie aber. Innerhalb der Zeit sollte ich etwas im FW-Log sehen - Fehlanzeige.  Was ist da falsch?

    Danke vorab.

    LG
    Thomas



  • Hi,

    hast du die Regel so positioniert, dass sie vor anderen, die dieselben Bedingungen erfüllen, zutrifft? Und dahinter gleich eine Regel gesetzt, die den Zugriff von Notebook2 ganz verbietet? Dass die Regel gerade nicht aktive ist, bedeutet nicht, dass sie umgekehrt wird.
    Gehe die Regeln durch und prüfe, dass keine andere angewandt wird. Vergiss nicht die Floating, falls du welche hast.

    Zum Troubleshooting schalte alles Logging ein, um herauszufinden welche Regel den Zugriff zu den diversen Zeiten erlaubt.

    Grüße



  • Danke für Deine Antwort.

    Ich hatte die Regel als erste unter im Abschnitt LAN gesetzt, allerdings hatte ich keine Regel gesetzt, die den Zugriff von Notebook2 ganz verbietet. Das war offensichtlich ein Denkfehler meinerseits. Ich bin davon ausgegangen, dass die erste Regel außerhalb der erlaubten Zeit nicht zutrifft und daher den Traffic unterbindet. Die Notwendigkeit einer 2. Regel war mir nicht bewusst (finde ich auch nicht ganz so logisch).

    Allerdings funktioniert das ganze nur mit der Destination "any" - ich würde jedoch nur gerne den Zugriff auf das Internet erlauben/unterbinden. Daher habe ich als Destination "WAN net" oder "WAN adress" gewählt. Das klappt aber nicht.

    Danke vorab!

    LG
    Thomas



  • WAN address ist ist lediglich die WAN-IP-Adresse der pfSense, WAN net ist das Subnetz dem diese IP angehört, nicht das ganze Internet.

    Ich nehme an, du möchtest, dass Notebook2 ins interne LAN bzw. den internen Netzen immer Zugriff hat, auf Internet aber nur zu den bestimmten Zeiten.
    Das erfordert einen kompletten Neuaufbau der Regel.

    Das Ganze geht dann mit einer einzigen Regel:
    Erstelle eine Block-Regel.
    Setze bei Destination den "not"-Haken und wähle darunter "LAN net" aus.
    Der Rest wie gehabt, jedoch musst du die Schedulezeiten umdrehen, also die Zeiten angeben, in denen das Internet blockiert sein soll.

    Diese Regel blockt den den Zugriff aufs Internet zu den angegebenen Zeiten, nicht aber den aufs LAN net. Wenn du mehrere interne Subnetze hast, die immer zugänglich sein soll, lege für diese erst einen Alias an und verwende diesen in der Regel bei Destination anstatt "LAN net".

    Das Ganze macht aber ohnehin nur Sinn, wenn du mehrere interne Interfaces an der pfSense hast. Wenn alles an einem hängt, kann pfSense den Traffic zwischen den Clients ohnehin nicht kontrollieren, dann kannst es auch bei der any-Regel belassen.

    Grüße



  • Funktioniert einwandfrei! Super! Vielen Dank!

    Ganz verstanden habe ich das mit dem ! (not) nicht. Eine Kombination von "DENY" und "NOT" wäre doch das gleich wie "PASS", oder?

    LG
    Thomas



  • Nicht ganz.

    Das 'not' gibt es ja nur bei Source und Destination. Wenn es da gesetzt wird, heißt das nur, die Regel wird auf alle Adressen angewandt, außer den hier angegebenen. Also in deinem Beispiel, eine Block-Regel, die für alle Destinationen zutrifft außer deinem LAN. Ergo LAN wird nicht geblockt, alles andere doch.

    Ich habe in einer meiner Regeln das 'not' für beide, Quelle und Ziel. Damit lassen sich ganz exklusive Regeln erzeugen, für die ich ohne not 3 Regeln gebraucht hätte.  :)

    Grüße



  • Nochmals danke! Da muss ich noch mal tiefer ins Thema einsteigen.

    LG
    Thomas


Log in to reply