PFsense hinter PFsense - welche Ports nötig?



  • Hallo,

    wenn ich eine PFsense neu installiere und diese Ihre Packages ziehen will, klappt das im Netz hinter einer anderen PFsense (inkl. Proxy) nicht!

    Welche Ports sind hierfür zu öffnen? Bisher hatte ich eine IP-Adresse die frei durch die Firewall durfte, aber diese wird mir zu oft "missbraucht" hier im Netz.

    Grüße


  • LAYER 8 Moderator

    Hallo sebden,

    das hat erstmal mit Ports oder Proxy nichts zu tun. Anscheinend lässt die vorgeschaltete pfSense deine zweite hintendran nicht durch oder filtert ihren Traffic. Da das nur begrenzt Sinn macht, würde ich an der Stelle auf pfS1 einfach die IP von pfS2 von LAN->WAN freigeben. Wenn du allerdings hinter pfS2 Clients hast, die dann via NAT die Adresse von pfS2 haben, sollte das eher nur mit Zieldefinition passieren (source: pfS2 adresse, target: packages.pfsense.org bspw.).

    Grüße



  • Meines Wissens werden die OS Updates vom Host updates.pfsense.org gezogen. Die pfSense benötigt aber auch Zugriff auf einen DNS Server, der diesen Namen auflösen kann und im General Setup eingestellt sein muss.



  • Danke erstmal für die Antworten!

    @JeGr - die IP möchte ich nicht (mehr) so durchlassen, wir sind eine Firma aus IT'lern und da wird so eine IP gerne auch mal geliehen für ungefragte Aktionen. So war es vorher allerdings eingerichtet. Ansonsten wäre es nur für eine Einrichtung nötig, dann wird die jeweils zweite Box ja wieder aus dem Netz genommen. Hinter dieser hängen zu der Zeit auch keine Clients.

    @ viragomann - das könnte helfen! Ich packe diese Adresse mal in meinen Alias für erlaubte Server bzw. Adressen, dann sind alle Ports dorthin gleich mit offen. DNS stellt die vorhandene Box via Standartport zur Verfügung.


  • LAYER 8 Moderator

    Wenn es nur zur Einrichtung wäre, warum dann nicht einfach mit IP-freischalten Regel machen und danach wieder disablen?



  • Es werden in Zukunft sicher mehrere Boxen werden, da würde ich mir eine default-config schneidern, welche dann per DHCP am WAN immer neue IPs bezieht. Würde ich eine feste IP benutzen, wäre die schnell wieder bei der Belegschaft in Benutzung.

    Das wäre auch nicht so dramatisch, jedoch geschieht das ungefragt weil mal ein Programm oder Dienst vielleicht nicht ganz so will wie geplant. Auf diese Art ist ggf. sogar schon ein Trojaner (IRC irgendwas) auf einen solchen PC gelangt den Snort glücklicherweise geblockt hat (Anm. die Telekom war noch schneller als Snort und hat gleich wieder Briefe versendet).

    Und ohne offene IP wird halt miteinander gesprochen und das Problem sauber mit einzelnen Freigaben oder dergleichen gelöst  8)


  • LAYER 8 Moderator

    OK das macht es klarer. Dann würde ich das auch so sehen wie Virago und die pfsense Adresse in einem Alias mit aufnehmen, das einfach erlaubt wird. dann klappen auch Updates etc. sauber.


Log in to reply