4
M0n0wall Regeln erstellen - Wie?
Gegeben ist ein x86-System mit vier Netzwerkkarten und m0n0wall auf 'ner CF-Karte. Wie die Firewall-Regeln in der Theorie aussehen sollen, ist mir auch klar - nur funktioniert es in der Praxis nicht.
Hallo zusammen,
Ich beschäftige mich seit geraumer Zeit mit der m0n0wall (http://m0n0.ch) und finde diese Softwarelösung für heimische Netze und kleine Firmen eigentlich ganz elegant, bringt sie doch einen gewaltigen Funktionsumfang mit, den sonst teilweise nur die großen Enterprise-Büchsen von Juniper oder Cisco bieten.
Zusammengeschraubt und Grundinstalliert ist die Kiste auch - sprich, die NICs sind soweit richtig bezeichnet, mit ihren Netzen versehen etc.
Die Basisregel zwischen INT und * passt auch soweit, von meinem Netz möchte ich vorerst ins * alles dürfen (schließlich bin ich hier der Admin ^^).
Dazu existieren zwei weitere Interfaces: DMZ (wie der Name schon sagt - da soll irgendwann mal ein Webserver/Proxy und evtl. ein Mailrelay drinnestehen), aber die DMZ ist vorerst nicht so wichtig. Wichtiger ist ein Interface, wo eine weitere Wohnung hier im Hause angeschlossen ist, deren Bewohner allerdings nicht alles können sollen:
Vom MIETER-Iface zum WAN soll folgendes funktionieren:
Ping
HTTP
HTTPS
SMTP
POP3
IMAP
IRC (6667-6669)
sowie die DNS-Requests an die m0n0wall selbst.
Alles andere soll geblockt werden, vor allem der Verkehr in das INT-Netz (sprich mein eigenes Netz) möchte ich zuverlässig unterbinden.
Nun habe ich schon den ganzen gestrigen Tag und den heutigen Vormittag gelesen, gebastelt, ausprobiert etc., aber noch keine funktionierende Lösung hinbekommen (das Experimentier-Schlachtfeld packe ich mal als Screenshot hierher).
Mit der "Temp-Rule" komme ich natürlich prima ins Web, aber dummerweise auch überall in die anderen Netze ...
Vielleicht mag mir ja jemand dabei helfen, würde mich freuen (Bin zwar selbst Informatiker, aber auf diesem Gebiet schraube ich einfach zu selten -.-).
Vielen Dank
der Kartan
Ich beschäftige mich seit geraumer Zeit mit der m0n0wall (http://m0n0.ch) und finde diese Softwarelösung für heimische Netze und kleine Firmen eigentlich ganz elegant, bringt sie doch einen gewaltigen Funktionsumfang mit, den sonst teilweise nur die großen Enterprise-Büchsen von Juniper oder Cisco bieten.
Zusammengeschraubt und Grundinstalliert ist die Kiste auch - sprich, die NICs sind soweit richtig bezeichnet, mit ihren Netzen versehen etc.
Die Basisregel zwischen INT und * passt auch soweit, von meinem Netz möchte ich vorerst ins * alles dürfen (schließlich bin ich hier der Admin ^^).
Dazu existieren zwei weitere Interfaces: DMZ (wie der Name schon sagt - da soll irgendwann mal ein Webserver/Proxy und evtl. ein Mailrelay drinnestehen), aber die DMZ ist vorerst nicht so wichtig. Wichtiger ist ein Interface, wo eine weitere Wohnung hier im Hause angeschlossen ist, deren Bewohner allerdings nicht alles können sollen:
Vom MIETER-Iface zum WAN soll folgendes funktionieren:
Ping
HTTP
HTTPS
SMTP
POP3
IMAP
IRC (6667-6669)
sowie die DNS-Requests an die m0n0wall selbst.
Alles andere soll geblockt werden, vor allem der Verkehr in das INT-Netz (sprich mein eigenes Netz) möchte ich zuverlässig unterbinden.
Nun habe ich schon den ganzen gestrigen Tag und den heutigen Vormittag gelesen, gebastelt, ausprobiert etc., aber noch keine funktionierende Lösung hinbekommen (das Experimentier-Schlachtfeld packe ich mal als Screenshot hierher).
Mit der "Temp-Rule" komme ich natürlich prima ins Web, aber dummerweise auch überall in die anderen Netze ...
Vielleicht mag mir ja jemand dabei helfen, würde mich freuen (Bin zwar selbst Informatiker, aber auf diesem Gebiet schraube ich einfach zu selten -.-).
Vielen Dank
der Kartan
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 157057
Url: https://administrator.de/contentid/157057
Printed on: April 24, 2024 at 14:04 o'clock
4 Comments
Latest comment
Bei einer Firewall Regel gilt immer :"First match wins...." !!!
Folglich muss deine Blocking Regel am Ende der Liste ganz an den Anfang !
Dann funktionierts auch !
Kannst du mit Klick auf (e)dit einfach verschieben.
Der Rest der Liste sieht OK aus
Folglich muss deine Blocking Regel am Ende der Liste ganz an den Anfang !
Dann funktionierts auch !
Kannst du mit Klick auf (e)dit einfach verschieben.
Der Rest der Liste sieht OK aus
Oh, mir fällt jetzt erst auf, daß ich garnicht geschrieben habe, was funktioniert und was nicht -.- (Bin schon etwas verbastelt im Kopf 
)
Also ... wenn ich die Temp-Route deaktiviere, funktioniert nur das Pingen in die Welt, keine Namensauflösung, kein HTTP, nix. Ich kann nichtmal die m0n0wall anpingen, geschweige denn als DNS abfragen ...
Daß die Block-Regel nach oben muss, erscheint mir logisch, aber lieber wäre es mir, wenn ich die garnicht bräuchte sondern generell nur mit den Regeln den erlaubten Verkehr von MIETER nach WAN definiere (alles undefinierte geht ja nicht).
)Also ... wenn ich die Temp-Route deaktiviere, funktioniert nur das Pingen in die Welt, keine Namensauflösung, kein HTTP, nix. Ich kann nichtmal die m0n0wall anpingen, geschweige denn als DNS abfragen ...
Daß die Block-Regel nach oben muss, erscheint mir logisch, aber lieber wäre es mir, wenn ich die garnicht bräuchte sondern generell nur mit den Regeln den erlaubten Verkehr von MIETER nach WAN definiere (alles undefinierte geht ja nicht).
Das Problem ist das WAN = Internet = * ist und damit (* = alle IP Netze) matched auch natürlich Traffic in die anderen lokalen Monowall IP Segmente wenn die Block Regeln nicht gleich am Anfang stehen bei einer Regel.
Du kannst das Pferd aber auch von hinten aufzäumen und die Blockregel im Zielsegment eintragen zum Mieter Segment.
Aber auch da hast du das Problem wenn hier auch Internet Zugang erlaubt ist (also wieder * ) muss die Block Regel auch hier wieder ganz an den Anfang.
Was den Rest anbetrifft solltest du erstmal mit * * am Mieter Segment testweise alles erlauben um zu checken das du korrekte IPs bekommst und das Mono Interface Pingen kannst.
Ist das der Fall kannst du die Liste wieder aktivieren !
Ein Blick in das Firewall Log öffnet immer die Augen...denn dort wird alles mitprotokolliert und man kann genau sehen wo es kneift !
Lies dir zusätzlich die Monowall pfSense Tutorials durch hier. Im Umfang der Thread Historie findest du diverse Beispiele funktionierender FW Regeln !
Du kannst das Pferd aber auch von hinten aufzäumen und die Blockregel im Zielsegment eintragen zum Mieter Segment.
Aber auch da hast du das Problem wenn hier auch Internet Zugang erlaubt ist (also wieder * ) muss die Block Regel auch hier wieder ganz an den Anfang.
Was den Rest anbetrifft solltest du erstmal mit * * am Mieter Segment testweise alles erlauben um zu checken das du korrekte IPs bekommst und das Mono Interface Pingen kannst.
Ist das der Fall kannst du die Liste wieder aktivieren !
Ein Blick in das Firewall Log öffnet immer die Augen...denn dort wird alles mitprotokolliert und man kann genau sehen wo es kneift !
Lies dir zusätzlich die Monowall pfSense Tutorials durch hier. Im Umfang der Thread Historie findest du diverse Beispiele funktionierender FW Regeln !
