Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst PFSense Firewall WAN Rule, stehe auf dem Schlauch

Mitglied: theoberlin

theoberlin (Level 2) - Jetzt verbinden

10.03.2014 um 20:32 Uhr, 8925 Aufrufe, 11 Kommentare

Aloha,

ich stehe gerade mit den FireWall Rules der PFSense auf dem Schlauch.

Normalerweise hat man ja Zonen…DMZ---> WAN Darf mit dem Port dorthin.

Bei der PFSense kann ich aber als Destination nur Netze oder IP Adressen auswählen.

Wie kann ich folgende Regel definieren:

OPT1 darf mit Port 80 in das WAN erstellen?

Also Quasi Zone zu Zone und nicht IP zu IP

Danke schonmal

lg
Theo
Mitglied: Dani
10.03.2014 um 21:01 Uhr
Moin Theo,
Normalerweise hat man ja Zonen…DMZ---> WAN Darf mit dem Port dorthin.
Hängt von der Firewall ab... nicht jede FW macht das so.

OPT1 darf mit Port 80 in das WAN erstellen?
Ich hab kein Plan was du uns damit sagen möchtest!


Grüße,
Dani
Bitte warten ..
Mitglied: theoberlin
10.03.2014 um 21:07 Uhr
Hi Dani,

ich möchte eine Regel erstellen:

Der Beispiel Rechner 192.168.111.11 soll eine Pass Rule in das WAN auf Port 80 bekommen.

Derzeit kriege ich das nur mit einer any to any Rule hin. Und das ist ja nun nicht das Ziel….

Normalerweise bei allen Firewalls die ich kenne kein Problem aber irgendwie krieg Ichs bei der pFSense gerade nicht hin...

lg
Theo
Bitte warten ..
Mitglied: orcape
10.03.2014 um 21:09 Uhr
Hi,
selbstverständlich kann man OPT1 zu WAN Port 80 definieren.
Du kannst wählen zwischen any, single Host, Netzwerk, WAN-Host, WAN-Subnetz, LAN-Host, LAN-Subnetz, Opt1-Host, Opt1-Subnetz, etc. etc...
Wo hast Du da ein Problem ?
Gruß orcape
Bitte warten ..
Mitglied: theoberlin
10.03.2014 um 21:13 Uhr
Hi orcape,

ich will ja allgemein "WAN" erlauben. WAN Host ist ja eine einzelne Adresse bzw. die WAN Adresse der PFSense und WAN Subnetz die im Subnetz der WAN Schnittstelle enthaltenen IP´s.
Das ist ja beides nicht das was ich suche.

lg
Theo
Bitte warten ..
Mitglied: orcape
10.03.2014 um 21:53 Uhr
Die Rules gelten immer ausgehend, auf jedem Interface.
Also LAN-Subnet-->to-->any-->Port 80 sollte Dir http freigeben. Wenn Du dann immer noch keinen Zugriff hast, fehlt Port 53 (DNS).
Dann hast Du zumindest erst mal http-zugriff auf dem LAN.
Weiter mit Port 443, 110, 22, etc.etc.
WAN brauchst Du normalerweise nichts freizugeben, es sei Denn Du willst einen im LAN, OPT1, liegenden Server erreichen oder ein VPN läuft und braucht Zugriff auf's LAN- oder OPT-Interface.
Gruß orcape
Bitte warten ..
Mitglied: theoberlin
10.03.2014 um 21:58 Uhr
Das das so läuft ist klar

Im LAN ist auch eine Lannet to any Regel okay.

Aber wenn ich das in der DMZ mache weil ein dortiger Server HTTP Zugriff ins WAN benötigt würde ich durch eine solche Regel ja auch den HTTP Zugriff von der DMZ in das LAN erlauben was ich nicht möchte.

Es kann ja eigentlich nicht der einzige Weg sein eine Port 80 DMZ to any Regel zu erzeugen und dann noch eine Port 80 DMZ to LAN Deny Regel zu erzeugen.

Es muss ja eine Möglichkeit geben eine Regel zu erzeugen welche bspw. von der DMZ nur ins WAN Port 80 freigibt….

lg
Theo
Bitte warten ..
Mitglied: mrtux
10.03.2014 um 22:03 Uhr
Hi !

Oder bei einem einzelnen Host eben dann anstatt LAN subnet eben single host or alias auswählen. Ist doch eigentlich viel simpler als mit dem Zonen Schema. Und wenn ich mich noch richtig erinnere kann man die Interfaces auch umbenennen und muss nicht sowas wie OPT1 als Name verwenden.

mrtux
Bitte warten ..
Mitglied: theoberlin
10.03.2014 um 22:10 Uhr
Ich habe das auch schon in DMZ umbenannt. Nur der Allgemeinheit habe ich das OPT genannt.

Mein Problem ist nicht das Freigeben von Ports von Rechner zu Rechner sonderndes freigeben des Internetzugangs in der DMZ.

Ich möchte in jedem Fall irgendwelche "any" Regeln vermeiden.

Also direkt Frage ich nach der Regel:

Ein Single Host in der DMZ darf auf beliebige IPadressen auf Port 80 zugreifen. Aber auch nur ins WAN alles andere muss weiterhin deny sein.

Mal als Beispiel wie ich das generell meine: From DMZ to WAN, Source 192.168.111.111 any, Destination any Port 80.

Hoffe das war verständlich.

lg
Theo
Bitte warten ..
Mitglied: orcape
11.03.2014 um 05:42 Uhr
Hi,
lies Dir das mal durch....
https://forum.pfsense.org/index.php?topic=55667.0
So in etwa habe ich das auch gelöst.
1.Regel entsprechend anpassen
2.Regel habe ich als Block-to-LAN
3.Regel bei Destination (Use this option to invert the sense of the match.)
Weiter je nach Bedarf.
Gruß orcape
Bitte warten ..
Mitglied: theoberlin
11.03.2014 um 06:44 Uhr
Hi orcape,

So habe ich das jetzt auch gelöst.

Aber das empfinde ich als echte Schwachstelle der pfSense das man keine Regeln direkt ins WAN mit bestimmten Ports definieren kann sondern jedesmal aufpassen muss das alles andere in einer zusätzlichen Regel geblockt ist...

Naja danke
Theo
---solved---
Bitte warten ..
Mitglied: DerHahntrut
26.01.2015, aktualisiert um 01:54 Uhr
Guten Abend

Vielleicht ein wenig spät, habe mich jedoch mit den gleichen Fragen auseinander gesetzt wie Thread Ersteller.

Ich hätte noch eine Lösung zu Ihrem Fall:

Regel 1: pass-> Lannet anyport lanaddress 53port (dns)
Regel 2: block->Lannet anyport RFC1918 anyport
Regel 3: pass-> Lannet anyport anyaddress 80port (http)
Regel 4: pass-> Lannet anyport anyaddress 443port (https)
Regel 5: block->anyaddress anyport anyaddress anyport (ALL Blocked)


RFC1918 ist ein Alias und definiert: 192.168.0.0/16 || 172.16.0.0/12 || 10.0.0.0/8
Nach diesen Regeln muss in anderen Vlan's keine Blockregel erstellt werden und dennoch uneingeschränkter Internet access.
Sollte doch ein Dienst in ein anderes Vlan greifen dürfen ist die Regel zwischen 1 und 2 gut aufgehoben

Gruss
Bitte warten ..
Ähnliche Inhalte
Firewall
PfSense Monitoring Firewall Rules
Frage von JudgeDreddFirewall3 Kommentare

Hallo Zusammen, im Einsatz ist eine pfSense (Version 2.4.0), auf der diverse FW-Regeln angelegt sind. Es kommt ja immer ...

Netzwerke

PfSense: Probleme mit Wirksamkeit von Rules

gelöst Frage von Fenris14Netzwerke12 Kommentare

Hallo, ich habe gerade ein Problem mit einem Setup für LAN-Rules. Dieses hatte ich vor einiger Zeit schon eingerichtet ...

Netzwerkmanagement

Pfsense (Watchguard) WAN sehr langsam

gelöst Frage von medikopterNetzwerkmanagement23 Kommentare

Hallo, ich mal wieder mit meiner Pfsense. Meine WAN Geschwindigkeit ist verdammt niedrig. Habe den Zugang über PPPoE zu ...

Router & Routing

Firewall Rules Outbound Cisco RV130W

Frage von SergeantRaufboldRouter & Routing3 Kommentare

Hallo Zusammen, ich habe hier ein Problem mit den Firewall Regeln eines Cisco RV130 RV. Ich möchte jeden ausgehenden ...

Neue Wissensbeiträge
Windows 10
Zero-Day-Lücke in Microsoft Edge
Information von kgborn vor 2 TagenWindows 10

In Microsofts Edge-Browser klafft wohl eine nicht geschlossene (0-Day) Sicherheitslücke im Just In Time Compiler (JIT Compiler) für Javascript. ...

Sicherheit
Microsoft und Skype: Sicherheit
Information von kgborn vor 2 TagenSicherheit

Die Tage gab es ja einige Berichte zur Sicherheit des Skype-Updaters. Der Updater von Skype läuft unter dem Konto ...

Datenschutz

Behörden ignorieren Sicherheitsbedenken gegenüber Windows 10

Information von Penny.Cilin vor 3 TagenDatenschutz8 Kommentare

Hallo, passend zum Thema Ablösung LIMUX in München ein interessanter Beitrag dazu: Behörden ignorieren Sicherheitsbedenken gegenüber Windows 10 Anscheinend ...

Sicherheit
Information Security Hub Munich airport
Information von brammer vor 3 TagenSicherheit

Hallo, Neues Center für Cyber Kriminalität am Münchener Flughafen brammer

Heiß diskutierte Inhalte
Windows 10
Windows 10 (1709) Tastur und Maus wieder einschalten?
Frage von LochkartenstanzerWindows 1016 Kommentare

Moin, Ich habe von einem Kunden einen Win10-Rechner bekommen, bei dem weder Tastatur noch Maus geht. Die Hardware funktioniert ...

Humor (lol)
Was könnte man mit einem Server machen? Idee gesucht
Frage von 2SeitenHumor (lol)12 Kommentare

Hey Zusammen Ich habe einen alten HP G2 Rackserver zu Hause rumliegen. 28GB Ram, 1xAMD Prozi mit etwa 2GHz. ...

Server-Hardware
Server für Exchange 2016, Kaufberatung
Frage von MazenauerServer-Hardware10 Kommentare

Guten Tag werte Gemeinde, Vorab: Ich dachte es gab mal einen separaten Bereich für solche Anfragen, habe ich leider ...

Firewall
RB2011 Firewall Rule eine bestimmte Mac oder IP Adresse nicht zu blockieren
Frage von lightmanFirewall10 Kommentare

Hallo liebes Forum mit ihren Spezialisten. Ich habe meine Firewall so konfiguriert das kein Endgerät ohne meine Speziellen Erlaubnis ...