Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    [Gelöst] DMZ-Rechner sollen nicht auf Router-Webinterface kommen können

    Scheduled Pinned Locked Moved Deutsch
    9 Posts 5 Posters 1.7k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • P
      peter808
      last edited by

      Am Kabel Deutschland Anschluss hängt zum WAN eine FRITZ!Box (Zwangsrouter), dahinter eine pfsense mit LAN 172.23.1.x und DMZ 192.168.2.x.

      Über Firewallregeln wurde erfolgreich ausgeschlossen, dass die DMZ in das LAN oder auf das Webinterface der pfsense können (das LAN hat dagegen Zugriff auf die DMZ).

      Es soll nun verhindert werden, dass aus der DMZ das Webinterface der FRITZ!Box unter der 192.168.2.1 erreicht werden kann.

      Dafür habe ich folgende reject-Firewalregel  für die DMZ eingerichtet.

      IPv4 TCP DMZ net * 192.168.2.1 443 (HTTPS) * none Do not allow DMZ to reach firewall GUI

      Leider greift sie nicht, d.h. das Webinterface der FRITZ!Box kann auch aus der DMZ aufgerufen werden.

      1 Reply Last reply Reply Quote 0
      • L
        l4k3k3m4n
        last edited by

        Kannst du das Setup mal kurz skizzieren?
        Deine Fritzbox LAN IP liegt in deinem DMZ Netz ?
        Das macht ja soweit keinen Sinn. Oder ist deine DMZ dein Transfernetz von FB zu der pfsense?

        1 Reply Last reply Reply Quote 0
        • M
          Marvho
          last edited by

          Ändere mal das Protokoll von TCP auf any und den Port von 443 auf 80.

          1 Reply Last reply Reply Quote 0
          • P
            peter808
            last edited by

            @Marvho:

            Ändere mal das Protokoll von TCP auf any und den Port von 443 auf 80.

            Die Änderung des Protokolls von TCP auf any war die Lösung (obwohl dann natürlich nicht mehr – wie von dir vorgeschlagen – der Port auswählbar ist).

            Der Zugriff aus der DMZ auf das Webinterface der FRITZ!Box wird nun - wie gewollt – abgelehnt. Alles andere scheint auf der DMZ dennoch zu laufen, obwohl mich wundert, dass bei einer solch ausgeweiteten reject-Regel überhaupt noch ein vernünftiges Routing DMS > FRITZ!Box läuft. Aber sei's drum.

            Vielen Dank.

            1 Reply Last reply Reply Quote 0
            • V
              viragomann
              last edited by

              Du blockierst damit ja nur den Zugriff auf die IP der Fritz!Box. Alle anderen Ziele wie Adressen im Internet bleiben nach wie vor erreichbar.

              1 Reply Last reply Reply Quote 0
              • L
                l4k3k3m4n
                last edited by

                Ich sehe nicht was die Regel überhaupt machen soll.
                Es wird vom DMZ Netz 192.168.2.0 der Zugriff auf die netzinterne IP 192.168.2.1 verweigert ?

                1 Reply Last reply Reply Quote 0
                • M
                  Marvho
                  last edited by

                  @l4k3k3m4n:

                  Ich sehe nicht was die Regel überhaupt machen soll.
                  Es wird vom DMZ Netz 192.168.2.0 der Zugriff auf die netzinterne IP 192.168.2.1 verweigert ?

                  Den Zugriff auf die WebUI der FritzBox sperren.

                  1 Reply Last reply Reply Quote 0
                  • L
                    l4k3k3m4n
                    last edited by

                    @Marvho:

                    @l4k3k3m4n:

                    Ich sehe nicht was die Regel überhaupt machen soll.
                    Es wird vom DMZ Netz 192.168.2.0 der Zugriff auf die netzinterne IP 192.168.2.1 verweigert ?

                    Den Zugriff auf die WebUI der FritzBox sperren.

                    Wenn das DMZ Netz 192.168.2.0 ist und die IP der Fritzbox 192.168.2.1 dann wir ein Zugriff vom DMZ Netz aber niemals über die pfsense laufen, ergo wird die Regel nie greifen.

                    Da die Fritzbox aber wohl sein WAN ist scheinen hier IPs verwechselt worden zu sein.

                    1 Reply Last reply Reply Quote 0
                    • jahonixJ
                      jahonix
                      last edited by

                      …oder WAN und DMZ haben tatsächlich den gleichen Netzbereich bekommen, was auch nicht gut wäre.

                      1 Reply Last reply Reply Quote 0
                      • First post
                        Last post
                      Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.