[Gelöst] DMZ-Rechner sollen nicht auf Router-Webinterface kommen können



  • Am Kabel Deutschland Anschluss hängt zum WAN eine FRITZ!Box (Zwangsrouter), dahinter eine pfsense mit LAN 172.23.1.x und DMZ 192.168.2.x.

    Über Firewallregeln wurde erfolgreich ausgeschlossen, dass die DMZ in das LAN oder auf das Webinterface der pfsense können (das LAN hat dagegen Zugriff auf die DMZ).

    Es soll nun verhindert werden, dass aus der DMZ das Webinterface der FRITZ!Box unter der 192.168.2.1 erreicht werden kann.

    Dafür habe ich folgende reject-Firewalregel  für die DMZ eingerichtet.

    IPv4 TCP DMZ net * 192.168.2.1 443 (HTTPS) * none Do not allow DMZ to reach firewall GUI

    Leider greift sie nicht, d.h. das Webinterface der FRITZ!Box kann auch aus der DMZ aufgerufen werden.



  • Kannst du das Setup mal kurz skizzieren?
    Deine Fritzbox LAN IP liegt in deinem DMZ Netz ?
    Das macht ja soweit keinen Sinn. Oder ist deine DMZ dein Transfernetz von FB zu der pfsense?



  • Ändere mal das Protokoll von TCP auf any und den Port von 443 auf 80.



  • @Marvho:

    Ändere mal das Protokoll von TCP auf any und den Port von 443 auf 80.

    Die Änderung des Protokolls von TCP auf any war die Lösung (obwohl dann natürlich nicht mehr – wie von dir vorgeschlagen – der Port auswählbar ist).

    Der Zugriff aus der DMZ auf das Webinterface der FRITZ!Box wird nun - wie gewollt – abgelehnt. Alles andere scheint auf der DMZ dennoch zu laufen, obwohl mich wundert, dass bei einer solch ausgeweiteten reject-Regel überhaupt noch ein vernünftiges Routing DMS > FRITZ!Box läuft. Aber sei's drum.

    Vielen Dank.



  • Du blockierst damit ja nur den Zugriff auf die IP der Fritz!Box. Alle anderen Ziele wie Adressen im Internet bleiben nach wie vor erreichbar.



  • Ich sehe nicht was die Regel überhaupt machen soll.
    Es wird vom DMZ Netz 192.168.2.0 der Zugriff auf die netzinterne IP 192.168.2.1 verweigert ?



  • @l4k3k3m4n:

    Ich sehe nicht was die Regel überhaupt machen soll.
    Es wird vom DMZ Netz 192.168.2.0 der Zugriff auf die netzinterne IP 192.168.2.1 verweigert ?

    Den Zugriff auf die WebUI der FritzBox sperren.



  • @Marvho:

    @l4k3k3m4n:

    Ich sehe nicht was die Regel überhaupt machen soll.
    Es wird vom DMZ Netz 192.168.2.0 der Zugriff auf die netzinterne IP 192.168.2.1 verweigert ?

    Den Zugriff auf die WebUI der FritzBox sperren.

    Wenn das DMZ Netz 192.168.2.0 ist und die IP der Fritzbox 192.168.2.1 dann wir ein Zugriff vom DMZ Netz aber niemals über die pfsense laufen, ergo wird die Regel nie greifen.

    Da die Fritzbox aber wohl sein WAN ist scheinen hier IPs verwechselt worden zu sein.



  • …oder WAN und DMZ haben tatsächlich den gleichen Netzbereich bekommen, was auch nicht gut wäre.