Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Basic Firewallregeln in pfSense

Mitglied: maddig

maddig (Level 1) - Jetzt verbinden

05.10.2016 um 20:04 Uhr, 2514 Aufrufe, 19 Kommentare

Guten Abend,

ich habe gerade meine Firewall mit pfSense in Betrieb genommen. Da noch keine Firewall regeln eingetragen sind, geht natürlich garnichts. (zb. HTTP, IMAP, etc.)

Ich wollte euch mal fragen ob ihr in irgendeiner Form eine "Beispiel" bzw. "Basic" Config habt, für den Normal betrieb. Also zb. Internet, Whatsapp, Skype... eben standard Dinge.

Ich hoffe ihr könnt mir helfen.

MFG
Mitglied: Spirit-of-Eli
05.10.2016 um 20:09 Uhr
Moin,

was hast du denn vor? Was spricht gegen NAT?

Gruß Spirit
Bitte warten ..
Mitglied: maddig
05.10.2016 um 20:14 Uhr
Das Problem ist vor der pfSense hängt ein Speedport Hybrid, der die Standard Anwendungen zulässt. Daher stoße ich erst jetzt auf dieses Problem.

Jetzt will ich einfach nur derweil die Standardapplication wie zb. HTTP zulassen damit ich das System verstehe. Und mich im Internet einlesen kann.
Bitte warten ..
Mitglied: Spirit-of-Eli
05.10.2016 um 20:22 Uhr
Lass die Ports raus.

Vom LAN eingehend, lässt alles zur FW hin und raus baust dir halt das was du willst.

Wenn du eingehende Kommunikation blockst, achte auf den Zugriff auf die FW ansich. Ansonsten kommst nur noch Serial drauf
Bitte warten ..
Mitglied: maddig
05.10.2016 um 20:27 Uhr
Ok das heißt rausgehend kann ich alles zulassen nur reingehend muss ich dann solche Sachen wie HTTP zulassen oder?

Das heißt vom Interface LAN, von LAN net zu WAN net any zulassen?

Wär cool wenn du ein Beispiel hättest mit nem Screen oder sowas.
Bitte warten ..
Mitglied: michi1983
05.10.2016 um 20:43 Uhr
Zitat von maddig:
Wär cool wenn du ein Beispiel hättest mit nem Screen oder sowas.
Bevor wir hier deine Arbeit machen, bist erst mal du dran.
Poste mal einen Screenshot wie du deine Interfaces angelegt und konfiguriert hast und welche IP Netze du verwendest.

Gruß
Bitte warten ..
Mitglied: maddig
05.10.2016, aktualisiert um 21:03 Uhr
Hallo michi,

im Anhang meine Config. Beim LAN Interface die Einträge waren nur ein Test.

192.168.1.1 ist die IP des Speedports und 192.168.2.1 die Adresse des LAN Interfaces.
05-10-2016 20_56_22-fw001.localdomain - firewall_ rules_ lan - Klicke auf das Bild, um es zu vergrößern
05-10-2016 20_56_07-fw001.localdomain - firewall_ rules_ wan - Klicke auf das Bild, um es zu vergrößern
2016-10-05 20_52_32-spotify - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: michi1983
05.10.2016 um 21:07 Uhr
Also was mich etwas verwirrt sind die Einstellungen des WAN Interfaces.
Dort hast du z.B. als DNS die IP des LAN Interfaces eingetragen. Warum?

Du sagst du hast einen Speedport vor der PfSense, welches IP Netz verwendet der?
Bitte warten ..
Mitglied: maddig
05.10.2016 um 21:13 Uhr
Ehrlich gesagt wundert mich das selber gerade, jedoch finde ich keine Einstellung in der ich es verändern kann.

Der Speedport hat die 192.168.1.1 und das WAN Interfaces die 192.168.1.2 und als Gateway die 1.1 eingetragen.
Bitte warten ..
Mitglied: michi1983
05.10.2016 um 21:16 Uhr
Dazu kommt, wenn du eine Routerkaskade fährst - wie es bei dir der Fall ist - dann musst du bei den Firewall Rules am WAN Interface die Regel entfernen, dass RFC 1819 Adressen geblockt werden.
Bitte warten ..
Mitglied: maddig
05.10.2016 um 21:16 Uhr
ok als Nachtrag: Ich habe den DNS Server geändert auf den Speedport und jetz komme ich z.b. auf Google.

Was mir jedoch komisch vorkommt ist die Scheunentorregel in der Firewall. Heißt das jetzt das die alles zulässt?
Bitte warten ..
Mitglied: michi1983
05.10.2016 um 21:20 Uhr
Hier mal die 2 Interfaces von mir:

screen shot 2016-10-05 at 20.53.17 - Klicke auf das Bild, um es zu vergrößern
Hier wird alles geblockt was übers WAN Interface kommt, außer die SSH Verbindung von mir zu Hause und per OpenVPN darf man auch drauf aufs WAN Interface.

screen shot 2016-10-05 at 20.53.32 - Klicke auf das Bild, um es zu vergrößern
Und hier ist einerseits eine anti-lockout Rule und andererseits wird alles erlaubt was vom LAN (internes Netz kommt).
Bitte warten ..
Mitglied: maddig
05.10.2016 um 21:27 Uhr
Ah ok, danke dir.

Das heißt, wenn ich die Config beim LAN Interfaces auf Standard lasse, kann ich vom LAN aus alles erreichen nach außen. UNd vielleicht ne blöde Frage, aber wenn ich von nem Dienst eine Rückantwort bekomme wäre das ja theoretisch eine eingehende Verbindung. Wie wird des gehandhabt?

Und auf dem WAN Interfaces betreibe ich sozusagen Portforwarding. Hier habe ich auch noch eine Frage. Warum ist bei dem einen eine Destination eingetragen und bei dem anderen keine also ein *?

Das heißt wenn ich von außen per RDP auf einen Server zugreifen will mache ich es so wie du mit der SSH Regel und mache bei Destiantion ein any rein?

Vielen Dank für deine Geduld :P
Bitte warten ..
Mitglied: michi1983
05.10.2016, aktualisiert um 21:33 Uhr
Zitat von maddig:
UNd vielleicht ne blöde Frage, aber wenn ich von nem Dienst eine Rückantwort bekomme wäre das ja theoretisch eine eingehende Verbindung. Wie wird des gehandhabt?
Es gibt keine blöden Fragen
Da es eine Rückantwort ist, brauchst du dir keine Gedanken machen weil zuerst die Verbindung von dir initiiert wurde.

Und auf dem WAN Interfaces betreibe ich sozusagen Portforwarding.
Hier habe ich auch noch eine Frage. Warum ist bei dem einen eine Destination eingetragen und bei dem anderen keine also ein *?
Ich weiß nicht was du hier meinst.

Das heißt wenn ich von außen per RDP auf einen Server zugreifen will mache ich es so wie du mit der SSH Regel und mache bei Destiantion ein any rein?
Naja, bei dir funktioniert das wieder anders.
Bei dir nimmt ja nicht die PfSense die Verbindungen entgegen, sondern schon der Speedport wenn du jetzt den Zugriff von außen (also vom Internet) meinst. Das heißt du musst am Speedport schon die Portweiterleitung machen zur PfSense.

Hier steht übrigens noch alles Wissenswerte über die PfSense von unserem Profi @aqui:
https://www.administrator.de/wissen/preiswerte-vpn-f%C3%A4hige-firewall- ...
Bitte warten ..
Mitglied: maddig
05.10.2016, aktualisiert um 21:38 Uhr
Ja das mit den Ports ist mir klar das ich den Port vom Speedport weiterleite auf die pfSense und dann dort weiterbehandle.

Also das die pfSense mit den Standardeinstellungen sicher ist ohne das ich bedenken haben muss und ich trz alles machen kann in Form von surfen etc. ist richtig oder?

Mir ging es nur drum wie du den Port zb. 3389 an der pfSense einrichtest, dass man von außen auf einen Server zugreifen kann.

Danke für den Link. Nach dieser Anleitung bin ich vorgegangen und die hat mir sehr geholfen.
Bitte warten ..
Mitglied: michi1983
LÖSUNG 05.10.2016 um 21:42 Uhr
Die PfSense ist komplett dicht und sicher mit den Standardregeln.
Beim LAN bei dir kannst du aber alles löschen bis auf die ersten 2.
Bitte warten ..
Mitglied: maddig
05.10.2016 um 21:57 Uhr
Ok gut danke dir!!

Könntest du noch mir noch einen Screen vom erstellen einer Regel machen die einen Port zb 3389 ins Lan erlaubt?

Damit hab ich eine Vorlage und kann damit rumprobieren.

Ich danke dir vielmals im vorraus.
Bitte warten ..
Mitglied: michi1983
LÖSUNG 05.10.2016, aktualisiert um 22:12 Uhr
Kann ich dir morgen nachliefern.
Aber das ist nicht so schwer.
Einfach logisch nachdenken
Unter Firewall -> NAT beim ersten Tab Port Forwarding einen neuen Eintrag erstellen und dem Wizard folgen.
Standardmäßig ist es so eingestellt, dass die dazugehörige Firewall Regel automatisch mit erstellt wird.
Bitte warten ..
Mitglied: maddig
05.10.2016 um 22:20 Uhr
Ok ich danke dir vielmals !!
Bitte warten ..
Mitglied: jOeY--
26.05.2019 um 10:14 Uhr
Zitat von michi1983:

Die PfSense ist komplett dicht und sicher mit den Standardregeln.

Danke für diese Aussage, das beruhigt mich als Anfänger erstmal
Bitte warten ..
Ähnliche Inhalte
Firewall
PFsens Open VPN Verbindung
Frage von OSelbeckFirewall4 Kommentare

Ich richte gerade eine Open VPN Peer to Peer ein. Der VPN tunnel wird aufgebaut, dann kann ich pingen, ...

Firewall
Firewallregeln Exchange - DMZ
gelöst Frage von A-MertenFirewall3 Kommentare

Hallo Zusammen, ich stehe gerade etwas auf dem Schlauch und benötige etwas Hilfe von euch. Infrastruktur ist wie folgt ...

Netzwerke
PfSense - Firewallregeln für UPNP?
gelöst Frage von FA-jkaNetzwerke9 Kommentare

Hallo, wenn ein Host hinter einer pfSense einen Port via UPNP aufmacht - muss ich dann zusätzlich eine Firewallregel ...

Firewall
Sophos UTM Firewallregeln Webserver
gelöst Frage von maddigFirewall7 Kommentare

Guten Abend, ich bin gerade von pfSense auf Sophos umgestiegen. Im Moment bin ich dabei meine Firewallregeln wieder zu ...

Neue Wissensbeiträge
Router & Routing

Statische Route dauerhaft einrichten unter Ubuntu 18.04 LTS

Erfahrungsbericht von the-buccaneer vor 18 StundenRouter & Routing2 Kommentare

"Kann ja nicht so schwer sein, unter Ubuntu 18.04 LTS ne statische Route einzurichten", denkt der Windows-Admin und gelegentliche ...

Microsoft

Effect on customer websites and Microsoft services and products in Chrome version 80 or later

Information von Dani vor 1 TagMicrosoft

Guten Abend zusammen, The Stable release of the Google Chrome web browser (build 80, scheduled for release on February ...

Drucker und Scanner

Kyocera PCL Barcode Flash SD v3.0 Firmware Update installieren

Tipp von Mana vor 3 TagenDrucker und Scanner1 Kommentar

Ich hatte eine vorhandene "PCL Barcode Flash SD v3.0 Type D/E", die bisher in einem Kyocera FS-4200DN verbaut war. ...

Sicherheit
0-day Schwachstelle im Internet Explorer
Information von kgborn vor 8 TagenSicherheit3 Kommentare

In Microsofts Internet Explorer gibt es eine 0-day Schwachstelle in der Scripting Engine, die faktisch alle Browser- und Windows-Versionen ...

Heiß diskutierte Inhalte
Batch & Shell
Verschlüsselung von Dateien über .bat
gelöst Frage von ShadowmindBatch & Shell19 Kommentare

Guten tag miteinander! Ich arbeite zurzeit an einem Decoder/Coder in der Batch syntax, um verschiedene Dateien zu verschlüsseln. Leider ...

CPU, RAM, Mainboards
Was macht eine CPU mit einer Milliarde Transistoren?
Frage von UserUWCPU, RAM, Mainboards10 Kommentare

Jede Generation hat mehr Transistoren, heute werden ein oder auch mehrere Milliardem erreicht. Gleichzeitig nimmt die Taktfrequenz kaum noch ...

Windows 10
"System" verwendet Hosts-Datei
Frage von ankauf71Windows 108 Kommentare

Hallo zusammen! Nachdem ich heute erfolglos versucht habe die Hosts-Datei zu ändern stellte ich fest das diese von einem ...

Windows 10
Windows 10: Kennwort funktioniert plötzlich nicht mehr
Frage von Stefan007Windows 106 Kommentare

Hi zusammen, ich habe bei einem Bekannten folgendes Problem vorgefunden: Win10 Home, lok. User (kein Microsoft Konto). Das System ...