11
PFSense Firewall WAN Rule, stehe auf dem Schlauch
Aloha,
ich stehe gerade mit den FireWall Rules der PFSense auf dem Schlauch.
Normalerweise hat man ja Zonen…DMZ---> WAN Darf mit dem Port dorthin.
Bei der PFSense kann ich aber als Destination nur Netze oder IP Adressen auswählen.
Wie kann ich folgende Regel definieren:
OPT1 darf mit Port 80 in das WAN erstellen?
Also Quasi Zone zu Zone und nicht IP zu IP
Danke schonmal
lg
Theo
ich stehe gerade mit den FireWall Rules der PFSense auf dem Schlauch.
Normalerweise hat man ja Zonen…DMZ---> WAN Darf mit dem Port dorthin.
Bei der PFSense kann ich aber als Destination nur Netze oder IP Adressen auswählen.
Wie kann ich folgende Regel definieren:
OPT1 darf mit Port 80 in das WAN erstellen?
Also Quasi Zone zu Zone und nicht IP zu IP
Danke schonmal
lg
Theo
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 232210
Url: https://administrator.de/contentid/232210
Printed on: April 19, 2024 at 22:04 o'clock
11 Comments
Latest comment
Moin Theo,
Grüße,
Dani
Normalerweise hat man ja Zonen…DMZ---> WAN Darf mit dem Port dorthin.
Hängt von der Firewall ab... nicht jede FW macht das so.OPT1 darf mit Port 80 in das WAN erstellen?
Ich hab kein Plan was du uns damit sagen möchtest!Grüße,
Dani
Hi Dani,
ich möchte eine Regel erstellen:
Der Beispiel Rechner 192.168.111.11 soll eine Pass Rule in das WAN auf Port 80 bekommen.
Derzeit kriege ich das nur mit einer any to any Rule hin. Und das ist ja nun nicht das Ziel….
Normalerweise bei allen Firewalls die ich kenne kein Problem aber irgendwie krieg Ichs bei der pFSense gerade nicht hin...
lg
Theo
ich möchte eine Regel erstellen:
Der Beispiel Rechner 192.168.111.11 soll eine Pass Rule in das WAN auf Port 80 bekommen.
Derzeit kriege ich das nur mit einer any to any Rule hin. Und das ist ja nun nicht das Ziel….
Normalerweise bei allen Firewalls die ich kenne kein Problem aber irgendwie krieg Ichs bei der pFSense gerade nicht hin...
lg
Theo
Hi,
selbstverständlich kann man OPT1 zu WAN Port 80 definieren.
Du kannst wählen zwischen any, single Host, Netzwerk, WAN-Host, WAN-Subnetz, LAN-Host, LAN-Subnetz, Opt1-Host, Opt1-Subnetz, etc. etc...
Wo hast Du da ein Problem ?
Gruß orcape
selbstverständlich kann man OPT1 zu WAN Port 80 definieren.
Du kannst wählen zwischen any, single Host, Netzwerk, WAN-Host, WAN-Subnetz, LAN-Host, LAN-Subnetz, Opt1-Host, Opt1-Subnetz, etc. etc...
Wo hast Du da ein Problem ?
Gruß orcape
Hi orcape,
ich will ja allgemein "WAN" erlauben. WAN Host ist ja eine einzelne Adresse bzw. die WAN Adresse der PFSense und WAN Subnetz die im Subnetz der WAN Schnittstelle enthaltenen IP´s.
Das ist ja beides nicht das was ich suche.
lg
Theo
ich will ja allgemein "WAN" erlauben. WAN Host ist ja eine einzelne Adresse bzw. die WAN Adresse der PFSense und WAN Subnetz die im Subnetz der WAN Schnittstelle enthaltenen IP´s.
Das ist ja beides nicht das was ich suche.
lg
Theo
Die Rules gelten immer ausgehend, auf jedem Interface.
Also LAN-Subnet-->to-->any-->Port 80 sollte Dir http freigeben. Wenn Du dann immer noch keinen Zugriff hast, fehlt Port 53 (DNS).
Dann hast Du zumindest erst mal http-zugriff auf dem LAN.
Weiter mit Port 443, 110, 22, etc.etc.
WAN brauchst Du normalerweise nichts freizugeben, es sei Denn Du willst einen im LAN, OPT1, liegenden Server erreichen oder ein VPN läuft und braucht Zugriff auf's LAN- oder OPT-Interface.
Gruß orcape
Also LAN-Subnet-->to-->any-->Port 80 sollte Dir http freigeben. Wenn Du dann immer noch keinen Zugriff hast, fehlt Port 53 (DNS).
Dann hast Du zumindest erst mal http-zugriff auf dem LAN.
Weiter mit Port 443, 110, 22, etc.etc.
WAN brauchst Du normalerweise nichts freizugeben, es sei Denn Du willst einen im LAN, OPT1, liegenden Server erreichen oder ein VPN läuft und braucht Zugriff auf's LAN- oder OPT-Interface.
Gruß orcape
Das das so läuft ist klar 
Im LAN ist auch eine Lannet to any Regel okay.
Aber wenn ich das in der DMZ mache weil ein dortiger Server HTTP Zugriff ins WAN benötigt würde ich durch eine solche Regel ja auch den HTTP Zugriff von der DMZ in das LAN erlauben was ich nicht möchte.
Es kann ja eigentlich nicht der einzige Weg sein eine Port 80 DMZ to any Regel zu erzeugen und dann noch eine Port 80 DMZ to LAN Deny Regel zu erzeugen.
Es muss ja eine Möglichkeit geben eine Regel zu erzeugen welche bspw. von der DMZ nur ins WAN Port 80 freigibt….
lg
Theo
Im LAN ist auch eine Lannet to any Regel okay.
Aber wenn ich das in der DMZ mache weil ein dortiger Server HTTP Zugriff ins WAN benötigt würde ich durch eine solche Regel ja auch den HTTP Zugriff von der DMZ in das LAN erlauben was ich nicht möchte.
Es kann ja eigentlich nicht der einzige Weg sein eine Port 80 DMZ to any Regel zu erzeugen und dann noch eine Port 80 DMZ to LAN Deny Regel zu erzeugen.
Es muss ja eine Möglichkeit geben eine Regel zu erzeugen welche bspw. von der DMZ nur ins WAN Port 80 freigibt….
lg
Theo
Hi !
Oder bei einem einzelnen Host eben dann anstatt LAN subnet eben single host or alias auswählen. Ist doch eigentlich viel simpler als mit dem Zonen Schema. Und wenn ich mich noch richtig erinnere kann man die Interfaces auch umbenennen und muss nicht sowas wie OPT1 als Name verwenden.
mrtux
Oder bei einem einzelnen Host eben dann anstatt LAN subnet eben single host or alias auswählen. Ist doch eigentlich viel simpler als mit dem Zonen Schema. Und wenn ich mich noch richtig erinnere kann man die Interfaces auch umbenennen und muss nicht sowas wie OPT1 als Name verwenden.
mrtux
Ich habe das auch schon in DMZ umbenannt. Nur der Allgemeinheit habe ich das OPT genannt.
Mein Problem ist nicht das Freigeben von Ports von Rechner zu Rechner sonderndes freigeben des Internetzugangs in der DMZ.
Ich möchte in jedem Fall irgendwelche "any" Regeln vermeiden.
Also direkt Frage ich nach der Regel:
Ein Single Host in der DMZ darf auf beliebige IPadressen auf Port 80 zugreifen. Aber auch nur ins WAN alles andere muss weiterhin deny sein.
Mal als Beispiel wie ich das generell meine: From DMZ to WAN, Source 192.168.111.111 any, Destination any Port 80.
Hoffe das war verständlich.
lg
Theo
Mein Problem ist nicht das Freigeben von Ports von Rechner zu Rechner sonderndes freigeben des Internetzugangs in der DMZ.
Ich möchte in jedem Fall irgendwelche "any" Regeln vermeiden.
Also direkt Frage ich nach der Regel:
Ein Single Host in der DMZ darf auf beliebige IPadressen auf Port 80 zugreifen. Aber auch nur ins WAN alles andere muss weiterhin deny sein.
Mal als Beispiel wie ich das generell meine: From DMZ to WAN, Source 192.168.111.111 any, Destination any Port 80.
Hoffe das war verständlich.
lg
Theo
Hi,
lies Dir das mal durch....
https://forum.pfsense.org/index.php?topic=55667.0
So in etwa habe ich das auch gelöst.
1.Regel entsprechend anpassen
2.Regel habe ich als Block-to-LAN
3.Regel bei Destination (Use this option to invert the sense of the match.)
Weiter je nach Bedarf.
Gruß orcape
lies Dir das mal durch....
https://forum.pfsense.org/index.php?topic=55667.0
So in etwa habe ich das auch gelöst.
1.Regel entsprechend anpassen
2.Regel habe ich als Block-to-LAN
3.Regel bei Destination (Use this option to invert the sense of the match.)
Weiter je nach Bedarf.
Gruß orcape
Hi orcape,
So habe ich das jetzt auch gelöst.
Aber das empfinde ich als echte Schwachstelle der pfSense das man keine Regeln direkt ins WAN mit bestimmten Ports definieren kann sondern jedesmal aufpassen muss das alles andere in einer zusätzlichen Regel geblockt ist...
Naja danke
Theo
---solved---
So habe ich das jetzt auch gelöst.
Aber das empfinde ich als echte Schwachstelle der pfSense das man keine Regeln direkt ins WAN mit bestimmten Ports definieren kann sondern jedesmal aufpassen muss das alles andere in einer zusätzlichen Regel geblockt ist...
Naja danke
Theo
---solved---
Guten Abend
Vielleicht ein wenig spät, habe mich jedoch mit den gleichen Fragen auseinander gesetzt wie Thread Ersteller.
Ich hätte noch eine Lösung zu Ihrem Fall:
Regel 1: pass-> Lannet anyport lanaddress 53port (dns)
Regel 2: block->Lannet anyport RFC1918 anyport
Regel 3: pass-> Lannet anyport anyaddress 80port (http)
Regel 4: pass-> Lannet anyport anyaddress 443port (https)
Regel 5: block->anyaddress anyport anyaddress anyport (ALL Blocked)
Nach diesen Regeln muss in anderen Vlan's keine Blockregel erstellt werden und dennoch uneingeschränkter Internet access.
Sollte doch ein Dienst in ein anderes Vlan greifen dürfen ist die Regel zwischen 1 und 2 gut aufgehoben
Gruss
Vielleicht ein wenig spät, habe mich jedoch mit den gleichen Fragen auseinander gesetzt wie Thread Ersteller.
Ich hätte noch eine Lösung zu Ihrem Fall:
Regel 1: pass-> Lannet anyport lanaddress 53port (dns)
Regel 2: block->Lannet anyport RFC1918 anyport
Regel 3: pass-> Lannet anyport anyaddress 80port (http)
Regel 4: pass-> Lannet anyport anyaddress 443port (https)
Regel 5: block->anyaddress anyport anyaddress anyport (ALL Blocked)
| 172.16.0.0/12 |
Sollte doch ein Dienst in ein anderes Vlan greifen dürfen ist die Regel zwischen 1 und 2 gut aufgehoben
Gruss
