Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

PFSense Firewall WAN Rule, stehe auf dem Schlauch

Frage Sicherheit Firewall

Mitglied: theoberlin

theoberlin (Level 2) - Jetzt verbinden

10.03.2014 um 20:32 Uhr, 7271 Aufrufe, 11 Kommentare

Aloha,

ich stehe gerade mit den FireWall Rules der PFSense auf dem Schlauch.

Normalerweise hat man ja Zonen…DMZ---> WAN Darf mit dem Port dorthin.

Bei der PFSense kann ich aber als Destination nur Netze oder IP Adressen auswählen.

Wie kann ich folgende Regel definieren:

OPT1 darf mit Port 80 in das WAN erstellen?

Also Quasi Zone zu Zone und nicht IP zu IP

Danke schonmal

lg
Theo
Mitglied: Dani
10.03.2014 um 21:01 Uhr
Moin Theo,
Normalerweise hat man ja Zonen…DMZ---> WAN Darf mit dem Port dorthin.
Hängt von der Firewall ab... nicht jede FW macht das so.

OPT1 darf mit Port 80 in das WAN erstellen?
Ich hab kein Plan was du uns damit sagen möchtest!


Grüße,
Dani
Bitte warten ..
Mitglied: theoberlin
10.03.2014 um 21:07 Uhr
Hi Dani,

ich möchte eine Regel erstellen:

Der Beispiel Rechner 192.168.111.11 soll eine Pass Rule in das WAN auf Port 80 bekommen.

Derzeit kriege ich das nur mit einer any to any Rule hin. Und das ist ja nun nicht das Ziel….

Normalerweise bei allen Firewalls die ich kenne kein Problem aber irgendwie krieg Ichs bei der pFSense gerade nicht hin...

lg
Theo
Bitte warten ..
Mitglied: orcape
10.03.2014 um 21:09 Uhr
Hi,
selbstverständlich kann man OPT1 zu WAN Port 80 definieren.
Du kannst wählen zwischen any, single Host, Netzwerk, WAN-Host, WAN-Subnetz, LAN-Host, LAN-Subnetz, Opt1-Host, Opt1-Subnetz, etc. etc...
Wo hast Du da ein Problem ?
Gruß orcape
Bitte warten ..
Mitglied: theoberlin
10.03.2014 um 21:13 Uhr
Hi orcape,

ich will ja allgemein "WAN" erlauben. WAN Host ist ja eine einzelne Adresse bzw. die WAN Adresse der PFSense und WAN Subnetz die im Subnetz der WAN Schnittstelle enthaltenen IP´s.
Das ist ja beides nicht das was ich suche.

lg
Theo
Bitte warten ..
Mitglied: orcape
10.03.2014 um 21:53 Uhr
Die Rules gelten immer ausgehend, auf jedem Interface.
Also LAN-Subnet-->to-->any-->Port 80 sollte Dir http freigeben. Wenn Du dann immer noch keinen Zugriff hast, fehlt Port 53 (DNS).
Dann hast Du zumindest erst mal http-zugriff auf dem LAN.
Weiter mit Port 443, 110, 22, etc.etc.
WAN brauchst Du normalerweise nichts freizugeben, es sei Denn Du willst einen im LAN, OPT1, liegenden Server erreichen oder ein VPN läuft und braucht Zugriff auf's LAN- oder OPT-Interface.
Gruß orcape
Bitte warten ..
Mitglied: theoberlin
10.03.2014 um 21:58 Uhr
Das das so läuft ist klar

Im LAN ist auch eine Lannet to any Regel okay.

Aber wenn ich das in der DMZ mache weil ein dortiger Server HTTP Zugriff ins WAN benötigt würde ich durch eine solche Regel ja auch den HTTP Zugriff von der DMZ in das LAN erlauben was ich nicht möchte.

Es kann ja eigentlich nicht der einzige Weg sein eine Port 80 DMZ to any Regel zu erzeugen und dann noch eine Port 80 DMZ to LAN Deny Regel zu erzeugen.

Es muss ja eine Möglichkeit geben eine Regel zu erzeugen welche bspw. von der DMZ nur ins WAN Port 80 freigibt….

lg
Theo
Bitte warten ..
Mitglied: mrtux
10.03.2014 um 22:03 Uhr
Hi !

Oder bei einem einzelnen Host eben dann anstatt LAN subnet eben single host or alias auswählen. Ist doch eigentlich viel simpler als mit dem Zonen Schema. Und wenn ich mich noch richtig erinnere kann man die Interfaces auch umbenennen und muss nicht sowas wie OPT1 als Name verwenden.

mrtux
Bitte warten ..
Mitglied: theoberlin
10.03.2014 um 22:10 Uhr
Ich habe das auch schon in DMZ umbenannt. Nur der Allgemeinheit habe ich das OPT genannt.

Mein Problem ist nicht das Freigeben von Ports von Rechner zu Rechner sonderndes freigeben des Internetzugangs in der DMZ.

Ich möchte in jedem Fall irgendwelche "any" Regeln vermeiden.

Also direkt Frage ich nach der Regel:

Ein Single Host in der DMZ darf auf beliebige IPadressen auf Port 80 zugreifen. Aber auch nur ins WAN alles andere muss weiterhin deny sein.

Mal als Beispiel wie ich das generell meine: From DMZ to WAN, Source 192.168.111.111 any, Destination any Port 80.

Hoffe das war verständlich.

lg
Theo
Bitte warten ..
Mitglied: orcape
11.03.2014 um 05:42 Uhr
Hi,
lies Dir das mal durch....
https://forum.pfsense.org/index.php?topic=55667.0
So in etwa habe ich das auch gelöst.
1.Regel entsprechend anpassen
2.Regel habe ich als Block-to-LAN
3.Regel bei Destination (Use this option to invert the sense of the match.)
Weiter je nach Bedarf.
Gruß orcape
Bitte warten ..
Mitglied: theoberlin
11.03.2014 um 06:44 Uhr
Hi orcape,

So habe ich das jetzt auch gelöst.

Aber das empfinde ich als echte Schwachstelle der pfSense das man keine Regeln direkt ins WAN mit bestimmten Ports definieren kann sondern jedesmal aufpassen muss das alles andere in einer zusätzlichen Regel geblockt ist...

Naja danke
Theo
---solved---
Bitte warten ..
Mitglied: DerHahntrut
26.01.2015, aktualisiert um 01:54 Uhr
Guten Abend

Vielleicht ein wenig spät, habe mich jedoch mit den gleichen Fragen auseinander gesetzt wie Thread Ersteller.

Ich hätte noch eine Lösung zu Ihrem Fall:

Regel 1: pass-> Lannet anyport lanaddress 53port (dns)
Regel 2: block->Lannet anyport RFC1918 anyport
Regel 3: pass-> Lannet anyport anyaddress 80port (http)
Regel 4: pass-> Lannet anyport anyaddress 443port (https)
Regel 5: block->anyaddress anyport anyaddress anyport (ALL Blocked)


RFC1918 ist ein Alias und definiert: 192.168.0.0/16 || 172.16.0.0/12 || 10.0.0.0/8
Nach diesen Regeln muss in anderen Vlan's keine Blockregel erstellt werden und dennoch uneingeschränkter Internet access.
Sollte doch ein Dienst in ein anderes Vlan greifen dürfen ist die Regel zwischen 1 und 2 gut aufgehoben

Gruss
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (21)

Frage von Xaero1982 zum Thema Microsoft ...

Windows Update
Treiberinstallation durch Windows Update läßt sich nicht verhindern (17)

Frage von liquidbase zum Thema Windows Update ...

Windows Tools
gelöst Aussendienst Datensynchronisierung (12)

Frage von lighningcrow zum Thema Windows Tools ...

Windows Server
RODC über VPN - Verbindung weg (10)

Frage von stefan2k1 zum Thema Windows Server ...