Vergessen?
Vergessen?
Administrator Startseite

Apple

iOS, iTunes, Mac OS X

Entwicklung

Assembler, BASIC, Batch & Shell, Bibliotheken & Toolkits, C und C++, CSS, Datenbanken, HTML, IDE & Editoren, Installation, Java, JavaScript, KiXtart, Lizenzierung, Pascal & Delphi, Perl, PHP, Python, VB for Applications, Visual Studio, Webentwicklung, XML

Hardware

Benchmarks, @Server Cluster, CPU, RAM, Mainboards, Drucker und Scanner, Festplatten, Raid, Grafikkarten & Monitore, @Netzwerkkarten, Multimedia & Zubehör, Notebook & Zubehör, @Router und Routing, SAN, NAS, DAS, Server-Hardware, Sonstige Peripheriegeräte, Speicherkarten, Switche und Hubs

Internet

Blogs, CMS, Domain Registrierung, E-Books, E-Business, E-Mail, Flatrates, Hosting & Housing, Informationsdienste, Instant Messaging, Onlinedienste, SEO, Server, Soziale Netzwerke, Utilities, Webbrowser

Linux

Apache Server, Debian, Desktop, Netzwerk, OpenOffice, LibreOffice, RedHat, CentOS, Fedora, Samba, Suse, Tools & Utilities, Ubuntu, Userverwaltung

Microsoft

Exchange Server, @Hyper-V, Installationsprobleme, Netzwerk, Office, Outlook & Mail, Systemdateien, Tools & Utilities, Userverwaltung, @Visual Studio, Windows 7, Windows 8, Windows Phone, Windows Server, Windows Vista, Windows XP

Multimedia

Audio, Digitiales Fernsehen, Grafik, Icons, Schriftarten, Video

Netzwerke

Cluster, DNS, DSL, VDSL, Groupware, Grundlagen, ISDN & Analoganschlüsse, LAN, WAN, Wireless, Monitoring, Netzwerkmanagement, Netzwerkprotokolle, Router & Routing, TK-Netze & Geräte, UMTS, EDGE & GPRS, Voice over IP

Off Topic

Administrator.de Feedback, Humor (lol), Papierkorb

Sicherheit

Backup, Erkennung und -Abwehr, Firewall, Grundlagen, Informationsdienste, Rechtliche Fragen, Sicherheits-Tools, Tipps & Tricks, Verschlüsselung & Zertifikate, Viren und Trojaner

Sonstige Systeme

Google Android, MikroTik RouterOS, Novell Netware, Sun Solaris

Virtualisierung

Hyper-V, KVM, Vmware, Xenserver

Weiterbildung

Aus- und Weiterbildung, Ausland, Schulung & Training, Studentenjobs & Praktikum
Cover IT-Administrator
Für die Mai-Ausgabe hat sich das IT-Administrator Magazin den Schwerpunkt "Messaging & Collaboration" auf die Fahnen geschrieben. Lesen Sie darin, wie Sie die Open Source-Groupware Open-Xchange App Suite in Betrieb nehmen und administrieren. Außerdem zeigen wir Ihnen, wie Sie sich vor Viren und Spam mit Proxmox 3.1 schützen. Nicht zuletzt befassen wir uns mit der administrativen Sicherheit und Überwachung in Exchange Server 2013. In den ... mehr
Mitglied: srynoname
-1
srynoname am 01.03.2010, aktualisiert am 28.03.2010, 9516 Aufrufe

Probleme mit PFsense Firewall Regeln

1) Von einem VLAN nur Zugriff auf WAN zulassen?
2) Zugriff von einem VLAN auf anderes blockieren?

Hallo,

ich habe 2 Probleme mit den PFsense Firewall Regeln und hoffe ihr könnt mir da helfen:

1) Von einem VLAN nur Zugriff auf WAN zulassen?
In VLAN6 befindet sich mein VOIP Telefon. Gebe ich als Destination "any" an, funktioniert alles
problemlos. Aus Sicherheitsgründen wollte ich das Ziel auf "WAN address" einschränken, damit bekommt mein
VOIP Telefon jedoch keine Verbindung mehr und auch die PFsense Logs zeigen an, dass die Verbindung zum
WAN (die ja eigentlich gerade erlaubt wurde?) geblockt wurde?

Screenshots (Beschreibung jeweils unterhalb des Screenshots)
Klicken Sie auf das Bild, um es zu vergrößern - d7ca365797e1b80d78c27570d5941e8c.png

Destination any (funktioniert)


Klicken Sie auf das Bild, um es zu vergrößern - 60495539fc25af7f157938e73da2546b.png

Destination WAN (funktioniert nicht)


Klicken Sie auf das Bild, um es zu vergrößern - 4d57f8fe57a27ae4dd94e19712d49ee1.png

Firewall Log (Weiß jemand, was ich mit der 136 anfangen kann / Wie ich diese ID einer Regel zuordne?)


2) Zugriff von einem VLAN auf anderes blockieren?
2) Ich möchte nicht, dass von anderen VLANs auf Geräte in VLAN 6 zugegriffen werden kann.
Nun blockt PFsense ja per default alles, was nicht explizit zugelassen ist. Bei VLAN 6 habe ich nur eine
Regel mit VLAN 6 als Source. Trotzdem kann ich von VLAN 1 (Source also VLAN 1) auf mein VOIP Telefon in
VLAN 6 zugreifen, wenn ich für VLAN 1 eine entsprechende (ausgehende) Regel angebe. Warum ist dies
möglich? Ich sage doch im Endeffekt nur, für VLAN 1 ist ausgehender Traffic zu VLAN 6 erlaubt, nicht
aber, dass für VLAN 6 eingehender Traffic von VLAN 1 erlaubt ist?

Klicken Sie auf das Bild, um es zu vergrößern - e25e9c3a908d842bb3a0f4f3adc36c01.png

VLAN 1 Regeln


Klicken Sie auf das Bild, um es zu vergrößern - dfa16699ea4e2a0867b17c8084a4e11b.png

VLAN 6 Regeln


Klicken Sie auf das Bild, um es zu vergrößern - bc89a720246371b5dc1ee837779aac85.png

VLAN 6 Regeln, VLAN 1 explizit blockiert - ich kann immer noch von VLAN 1 auf mein Telefon in VLAN 6 zugreifen!


Was funktioniert, ist ausgehenden Traffic von VLAN 1 zu VLAN 6 zu blockieren. Aber es muss doch auch
möglich sein, eingehenden Traffic zu VLAN 6 von VLAN 1 zu blocken? (Wäre auch übersichtlicher, wenn man
ein VLAN von den anderen abschotten will, für dieses eine VLAN entsprechend ein/ausgehend zu blocken,
soweit nicht per default geblockt).
5 Antworten
Mitglied: Tommy70
0
Tommy70 am 01.03.2010 um 07:18 Uhr
Hallo,

welche Version von Pfsense setzt du ein?
    Bitte warten ..
    Mitglied: aqui
    0
    aqui am 01.03.2010 um 08:48 Uhr
    Die Version hat damit rein gar nix zu tun.... OK, fangen wir mal am Anfang an:

    1.) Die Angabe "WAN Adress" als Destination ist natürlich unsinning, denn dann kan dein VoIP Telefon nur noch mit der IP Adresse am WAN Interface der pfsense Firewall (Ziel IP) reden.
    Da diese vermutlich kein VoIP spricht, ist diese Regel also etwas sinnfrei. Die Frage ist WO dein Voice Gateway steht ?? Diese Ziel IP gibst du frei oder das Netzwerk in dem das Gateway steht. Hast du wechselnde Gateway Ziele musst du alle diese Netze oder Host Adressen eintragen.

    2.) Die ACLs der Pfsense Firewall wirken nur inbound auf das jeweilige Interface ! Folglich sind alle deine VLAN ACLs falsch konfiguriert, denn du hast die Destination IP von VLAN 6 nicht beachtet !!! Die ist doch rellevant wenn du von anderen Netzen ins VLAN-6 willst !!!
    Du willst ja einen Zugriff auf das VLAN 6 verhindern, was bedeutet alle Pakete in den VLANs die als Destination (also Ziel) das VLAN 6 haben geblockt werden müssen...logisch !!!
    Du gibst also als erste Regel z.V. bei VLAN 1 immer deny any any auf die Destination "vlan6-net" ein. Dann als 2te Regel vlan 1 source permit any any. So werden alle Pakete die VLAN 6 haben als Ziel geblockt, alles andere darf aber raus...logisch wenn man drüber nachdenkt !
    Diese Regel ist identisch für alle anderen VLANs (außer VLAN6) um den Traffic aufs VLAN 6 zu blocken.

    Also einfach mal in Ruhe über Quell und Ziel IP Adressen nachdenken, dann erschliesst sich einem die FW Logik sehr schnell, denn Zauberwerk ist das nicht !!
    Im Zweifelsfall hilft immer das FW Log....das sagt immer gleich wo es kneift !!
      Bitte warten ..
      Mitglied: srynoname
      0
      srynoname am 01.03.2010 um 23:19 Uhr
      Hallo,

      danke für eure Antworten.

      Zu 1) Tja, das habe ich dann wohl verpeilt mit WAN address, dachte das wäre eine beliebige, wusste nicht,
      dass dies die WAN Interface Adresse ist.

      Zu 2) Prinzipiell verstehe ich das ja soweit, aber eben nicht, warum ich nicht direkt bei VLAN6 eingehenden Traffic blocken kann bzw. von VLAN 1 auf VLAN 6 zugreifen kann, wenn ich in VLAN 6 keinen eingehenden Traffic von VLAN 1 erlaubt habe!?
      "Die ACLs der Pfsense Firewall wirken nur inbound auf das jeweilige Interface !" Der Traffic von VLAN1 ist doch auch wieder eingehender Traffic von VLAN 6? Und vor allem beim ausgehenden Traffic von VLAN 6 zu VLAN 1, warum greft da anscheinend auch die VLAN 1 permit Regel?

      Schonmal danke für jede Hilfe und sorry, mache das halt nur privat fürs Heimnetz face-wink
        Bitte warten ..
        Mitglied: aqui
        0
        aqui am 07.03.2010 um 11:08 Uhr
        Du erliegst hier einem fatalen Denkfehler !!! Die Firewall Regeln gelten nur für Pakete die ins Pfsense Netzwerk Interface reingehen also incoming sind. Pfsense unterscheidet da nicht zwischen einem physischen Port oder einem VLAN Port sondern behandelt beide wie ganz normale Netzwerk Ports.
        Du kannst keine Reglen definieren bei denen Pakete die über VLAN1 schon reingekommen sind, also im Router "hängen" und dann geblockt werden bevor sie auf VLAN6 intern wieder rausgehen also aus Routersicht outgoing sind.
        Pfsense und Monowall supportet NUR incomming (eingehende) Regeln auf einem Interface !!!
        Folglich musst du also schon gleich an VLAN1 dafür sorgen das Pakete mit der Ziel IP Adresse von VLAN6 dort gar nicht erst reinlaufen, denn intern ausgehend ins VLAN6 kannst du sie nicht mehr filtern da nicht supportet !!! Logisch !!

        Um die Logik der Filterlisten etwas transparenter zu machen:
        Stell dir die VLANs bzw. deinen Pfsense als Routerbox vor der für alle VLANs ein separates Ethernet Interface hat. Also eine Box mit 6 Netzwerkkarten bzw. Buchsen.
        Du kannst mit den FW Regeln NUR eingehende Pakete an diesem Netzwerk Interface filtern NICHT ausgehende Pakete also jene, die die Box von intern wieder an diese Interfaces raussendet.
        Das (ausgehende Filterlisten pro Port) supportet Pfsense oder Monowall (und auch alle anderen freien Firewalls) nicht. Regeln gelten also immer nur für eingehende Pakete !

        Damit sollte die Logik klar sein!! Du musst also schon an den eingehenden Interfaces dafür sorgen das Pakete von diesem Netz gar nicht erst "in" die Pfsense gelangen, weil du sie schlicht ausgehend gar nicht mehr filtern kannst.
        Letztlich ist es ja egal wo diese regel steht aber diese Logik musst du immer beachten !!

        Damit sollte dein Szenario dann problemlos funktionieren !!


        Wenns das denn war bitte
        http://www.administrator.de/index.php?faq=32
        nicht vergessen !
          Bitte warten ..
          Mitglied: srynoname
          0
          srynoname am 07.03.2010 um 23:34 Uhr
          vielen dank aqui, habe mir zwischenzeitlich auch "pfsense - the definitive guide" gekauft, dort steht dann auch nochmal dass pfsense eine stateful firewall ist und was das bedeutet (regeln für "antwortverkehr" automatisch erzeugt usw / Standard Router NAT-like) face-smile
            Bitte warten ..
            Mehr Neuester Wissensbeitrag
            Notebook & Zubehör
            Erfahrungsbericht: N'Abend. Ich nutze seit einiger Zeit ein Lenovo ThinkPad Yoga und wollte mal ein paar Zeilen dazu hierlassen. Das Yoga ist ein 12,5-Zoll "Convertible" mit einem komplett umklappbaren ... von jsysde, Thema: Notebook & Zubehör
            Mehr Diese Inhalte könnten dich auch interessieren
            LAN, WAN, Wireless
            Frage: Hallo, ich habe eine Firewall auf Basis von PfSense. (Neustes Update) Folgende Konfiguration: Internet PfSense - Internes LAN/WLAN Mein Problem ist, dass im Firewall Log auf dem LAN ... von NetworkUser, Thema: LAN, WAN, Wireless
            Firewall
            Frage: Aloha, ich stehe gerade mit den FireWall Rules der PFSense auf dem Schlauch. Normalerweise hat man ja Zonen…DMZ- WAN Darf mit dem Port dorthin. Bei der PFSense kann ... von theoberlin, Thema: Firewall
            Router & Routing
            Frage: Hallo zusammen es geht um folgendes Problem: Wir wollen von unserem Firmennetzwerk aus eine PPTP-VPN-Verbindung zu einem remoten Netzwerk aufbauen, am remoten Netzwerk ist eine Firewall mit integriertem ... von dierussensindda, Thema: Router & Routing
            Voice over IP
            Frage: Aloha an alle, ich habe seit 2 Tagen das ganze Internet nach einem Lösungsweg abgesucht, aber nichts hat bisher gefruchtet. Meine Situation: Bisher hatte ich einfach (privat) eine ... von theoberlin, Thema: Voice over IP
            Router & Routing
            Frage: Hallo Zusammen, zunächst vielen Dank an alle die hier helfen können - ich bin um jeden Ansatz dankbar! Aktuell stehe ich vor folgendem Scenario und komme nicht weiter: ... von mythice, Thema: Router & Routing
            Heiß diskutierte Inhalte
            Sonstige Peripheriegeräte
            Frage: Hallo ich wollte fragen bei der Kamera SNC-6312 wie man deren videos und Bilder auf seinem eigenen Computer abspeichern kann. Ich wollte auch noch wissen wie ich die ... von halmarkus, Thema: Sonstige Peripheriegeräte
            Backup
            Frage: Die täglichen Acronis backups ".tib" werden auf einer separaten Festplatte im gleichen PC gespeichert. Sind sie dort vor Viren oder sonstiger Schadsoftware ausreichend geschützt? Falls nein, was müßte ... von akelus, Thema: Backup
            Installationsprobleme
            Frage: Ich versuche die ganze Zeit den Dropbox zu installieren und der zeigt mir jedesmal an das ich ein Problem mit dem Netzwerk habe. Ich habe schon die Internetsicherheit ... von halmarkus, Thema: Installationsprobleme
            Switche und Hubs
            Frage: Hallo liebe Menschen, ich hätte zwei für viele hier evtl. einfache Fragen. Zuersteinmal wie es zu dem Problem kommt: Es steht ein Drucker bei mir im 2. Obergeschoss ... von tombola22, Thema: Switche und Hubs
            Netzwerk
            Frage: Moin, Mit Highspeed-DSL sieht es im ländlichen Raum leider schlecht aus, nun ist seit kurzem hier LTE verfügbar :))) Kleiner Wehrmutstropfen ist die Volumenbegrenzung vor allem wenn alle ... von soleria, Thema: Netzwerk