Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Management Interface pfsense

Frage Sicherheit Firewall

Mitglied: killtec

killtec (Level 3) - Jetzt verbinden

11.02.2015, aktualisiert 16:07 Uhr, 678 Aufrufe, 9 Kommentare

Hallo zusammen,
ich habe eine pfSense mit einem Captive Portal aufgesetzt. Verfügbar sind drei LAN-Schnittstellen. Eine davon möchte ich explizit als Management nutzen. Ist das irgendwie möglich?
So dass das Webinterface nicht auf dem LAN horcht, sondern auf dem Management.
WAN und LAN sind jeweils GBit Karten (LAN: 192.168.100.1/24 | WAN: DHCP) die MGMT soll die 192.168.1.1/24 haben.
Der Internet Traffic soll über das LAN Interface laufen.


Gruß
Mitglied: colinardo
11.02.2015, aktualisiert um 15:49 Uhr
Hallo killtec,
mach doch den Zugriff auf das Webinterface aus allen Zonen bis auf deine Management-Schnittstelle mit Firewall-Regeln dicht.

Grüße Uwe
Bitte warten ..
Mitglied: killtec
11.02.2015 um 15:53 Uhr
Das wäre eine Idee, komme nur leider auch nicht von dem MGMT interface auf die Config

Gruß
Bitte warten ..
Mitglied: colinardo
LÖSUNG 11.02.2015, aktualisiert um 16:07 Uhr
Zitat von killtec:
Das wäre eine Idee, komme nur leider auch nicht von dem MGMT interface auf die Config
Wieso das nicht? IP richtig gesetzt DHCP Server auf dem Interface aktiviert, oder Client manuelle IP zugewiesen ?
Firewall auf dem MM-Interface richtig konfiguriert Any-To-Any Regel (oder Port 80/443 freigeschaltet) ?
Bitte warten ..
Mitglied: killtec
11.02.2015 um 16:04 Uhr
Also, die MGMT Karte hat einen DHCP-Server laufen (soll später abgestellt werden). Die FW habe ich noch nicht angepasst für das Interface. Werde das gleich mal nachsehen.

Gruß
Bitte warten ..
Mitglied: killtec
11.02.2015 um 16:07 Uhr
getestet... Es lag an den noch nicht vorhandenen FW Regeln...

Sorry, ist meine erste PFSense.

Danke dir.

Gruß
Bitte warten ..
Mitglied: aqui
11.02.2015, aktualisiert um 20:02 Uhr
Die FW habe ich noch nicht angepasst für das Interface.
Wie bei einer Firewall üblich (und jeder Netzwerker weiss...) ist auf ALLEN Interfaces erstmal alles generell verboten was nicht explizit erlaubt ist !!
So auch an deinem Management Interface !!!
Ausnahme ist nur das Default LAN Interface, dort ist einen any zu any Rule per Default aktiv die alles erlaubt.

Du musst also nur ganz einfach an deinem Mgmt Interface eine Regel erstellen die besagt:
pass Source: mgmt netzwerk, port any ==> Destination: mgmtport address, port TCP 80
Fertig.
Das erlaubt dann NUR die Verbindung eines Clients mit einer Absender IP aus dem Mgmt Netzwerk und einer Ziel IP die der der Mgmt Port IP auf der pfSense entspricht mit dem Zielport TCP 80 (HTTP).
Mehr ist dann an diesem Port nicht möglich !!
Willst du HTTPS auch noch erlauben (oder nur erlauben wegen Sicherheit) dann änderst du den Port halt in TCP 443 oder fügst ihn mit einer weiteren Regel hinzu !
So einfach und kinderleicht ist das
Ansonsten hilft IMMER ein Blick in das Firewall Log unter Diagnostics dort steht nämlich immer drin was die Firewall blockiert !!
Na ja ist ja schon alles gesagt zu dem Thema Regeln. Wichtig noch zu merken:
  • Regeln gelten nur inbound ins Interface
  • Es gilt "First match wins" Was soviel bedeutet wie Reihenfolge zählt und wenn eine Regel einen Hit hat werden die folgenden NICHT mehr abgearbeitet. Das solltest du als Grundregel immer im Hinterkopf haben wenn du ein Regelwerk definierst !
Was in deinem Falle nich wichtig ist:
Thema Anti Lockout Rule !!
Die kannst du Abschlaten wenn du das Interface ganz sicher machen willst. Per default ist die aktiv so das du auf jedem Interface außer WAN das Setup erreichen kannst. Wenn du das deaktivierst bestimmst du mit deinen Regeln den Zugang.
Achtung: Wenn du da dann was verkehrt machst kannst du dir den Ast absägen auf dem du sitzt
Dann hilft dir nur die Shell über den serielnn Port und / oder der Factory Reset !!

Lies dir also hier dringenst erstmal die Grundlagen durch, denn das ist pfSense Basic bzw. generell Firewall Basiscs:
http://www.administrator.de/wissen/preiswerte-vpn-fähige-firewall- ...
und auch hier in den Folgethreads:
http://www.administrator.de/wissen/wlan-lan-gastnetz-einrichten-captive ...
Bitte warten ..
Mitglied: killtec
13.02.2015 um 11:04 Uhr
Hi Aqui,
Danke auch noch mal für deine Antwort habe nun alles am laufen wie es soll. Hätte da noch eine andere Frage zum Thema Captive Portal + WLAN.
Sollte, wenn ich ein Captive Portal betreibe das WLAN ohne Verschlüsselung laufen, oder ruhig mit?
Ich habe aktuell eine bestehende Infrastruktur mit WPA2 wo ich den Captive Portal noch zwischen Router und AP's setzen möchte.

Gruß
Bitte warten ..
Mitglied: aqui
13.02.2015, aktualisiert um 11:16 Uhr
Sollte, wenn ich ein Captive Portal betreibe das WLAN ohne Verschlüsselung laufen, oder ruhig mit?
Immer ohne !
Ist ja klar, denn was für einen Sinn hätte dann eine Verschlüsselung ?
Erstens müsstest du jedem Einzelnen dann das Schlüsselpasswort verraten, was einen erhöhten und unsinnigen Arbeitsaufwand für dich bedeutet ! Zudem müsstest du es dann wenn es einigermaßen schützen soll mindestens täglich ändern, was wiederum den Aufwand erhöht. Ein sinnloser Teufelskreis und kein einziger CP Betreiber macht so einen Unsinn.
Zweitens ist das Passwort damit dann sofort quasi öffentlich. Du kannst dann gleich am Eingang ein Poster hinhängen auf dem steht "Unser WLAN Passwort ist xyz..." Damit ist der Sinn eines Passworts sofort konterkariert.
Vergiss den Unsinn also.
Offen lassen und Gäste mussen sich wie bei allen anderen CPs auch selber um eine Encryption kümmern. Das weiss mittlerweile auch jeder Laie der CPs benutzt und hat so gut wie immer eine VPN Verbindung dann zu seinem Ziel !

Normal nimmt man immer mSSID Accesspoints die mit gleicher HW mehrere virtuelle WLANs aufziehen können. So hat man ein offenes Gast WLAN mit CP und ein verschlüsseltes internes.
Beschreibung dazu HIER
Das interne verschlüsselte bei Firmen am besten immer mit Radius Authentisierung: http://www.administrator.de/wissen/sichere-wlan-benutzer-authentifizier ...
Bitte warten ..
Mitglied: killtec
13.02.2015 um 12:25 Uhr
Danke für die Links und die Info. Werde das dann offen machen.
bei den WLAN's habe ich mir das auch schon überlegt mit Multi SSID, das können leider dann nur zwei von 4 AP's. Mal schauen ob ich die anderen dann auch getuscht bekomme.

Danke.

Gruß
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(1)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Router & Routing
gelöst Sind virtuelle Interface mit VLANs bei einer PFSense möglich? (4)

Frage von StefanKittel zum Thema Router & Routing ...

Router & Routing
Squid3 auf PfSense CARP Interface

Frage von theoberlin zum Thema Router & Routing ...

Netzwerke
PfSense Netzwerkgeschwindigkeit von Interface zu Interface (2)

Frage von christianW zum Thema Netzwerke ...

Router & Routing
Welche pfsense Version für Dual-Wan Router mit APU2C4 installieren (4)

Frage von Roland30 zum Thema Router & Routing ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

Outlook & Mail
Outlook 2010 findet ost datei nicht (18)

Frage von Floh21 zum Thema Outlook & Mail ...

Windows Server
Server 2008R2 startet nicht mehr (Bad Patch 0xa) (18)

Frage von Haures zum Thema Windows Server ...