11
PfSense Alias oder Verständnis Problem
Hallo zusammen,
ich arbeite mich grade tiefer in die PfSense ein und wollte einem Test Host ( Debian ) explizit nur die Freigaben für das Debian update geben.
Dazu habe ich einen Alias Erstellt:
In den Firewall rules so eingetragen.
Leider werden die Connections immer noch gelockt.
Leider laufe ich in verschiedenen Verbindungen immer wieder in timeouts. Bei eingabe der IP Adressen direkt in den Firewall rules läuft das ganze.
Übersehe ich da etwas?
Grüße
Gansa 28
ich arbeite mich grade tiefer in die PfSense ein und wollte einem Test Host ( Debian ) explizit nur die Freigaben für das Debian update geben.
Dazu habe ich einen Alias Erstellt:
In den Firewall rules so eingetragen.
Leider werden die Connections immer noch gelockt.
Leider laufe ich in verschiedenen Verbindungen immer wieder in timeouts. Bei eingabe der IP Adressen direkt in den Firewall rules läuft das ganze.
Übersehe ich da etwas?
Grüße
Gansa 28
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 517140
Url: https://administrator.de/contentid/517140
Printed on: April 24, 2024 at 15:04 o'clock
11 Comments
Latest comment
Moin, ja die Meldung "cannot resolv"
Steht doch eindeutig da.
Darf die PFSense DNS machen ?
Mal mit mehreren Objekten statt einem versucht ?
Ich kenne das von anderen FWs, dass man jedes Objekt einzeln anlegt und erst später daraus Gruppen bildet.
Henere
Steht doch eindeutig da.
Darf die PFSense DNS machen ?
Mal mit mehreren Objekten statt einem versucht ?
Ich kenne das von anderen FWs, dass man jedes Objekt einzeln anlegt und erst später daraus Gruppen bildet.
Henere
Hi Henere,
danke für die schnelle Antwort.
Ja darf sie läuft auch.
vom System aus:
Auf der PfSense:
Meinst du das mit den Objekten anders herum? eines statt viele ?
Grüße
Gansa28
danke für die schnelle Antwort.
Ja darf sie läuft auch.
vom System aus:
- ping prod.debian.map.fastly.net
Auf der PfSense:
Meinst du das mit den Objekten anders herum? eines statt viele ?
Grüße
Gansa28
Ich kenne die PFSense nicht.
Bei anderen lege ich zB an
Host1 - 1.2.3.4
Host2 - 2.3.4.5
Host3 - 3.4.5.6
Daraus forme ich eine Gruppe und erlaube diese dann als Zielhostgroup, Eventuell noch mit einer Sourcegruppe (Unixhobel)
Also zB
Source: Unixhobel Dest: Zielhostgroup Port 21 Accept
Source: Unixhobel Dest: Zielhostgroup Port 80 Accept
Source: Unixhobel Dest: Zielhostgroup Port 443 Accept
Bei anderen lege ich zB an
Host1 - 1.2.3.4
Host2 - 2.3.4.5
Host3 - 3.4.5.6
Daraus forme ich eine Gruppe und erlaube diese dann als Zielhostgroup, Eventuell noch mit einer Sourcegruppe (Unixhobel)
Also zB
Source: Unixhobel Dest: Zielhostgroup Port 21 Accept
Source: Unixhobel Dest: Zielhostgroup Port 80 Accept
Source: Unixhobel Dest: Zielhostgroup Port 443 Accept
Hi Henere,
wird bei der Sense so Angelegt:
Habe es jetzt mal mit nur einem Alias versucht das gleiche Problem.
Wenn ich in die Firewall rule die IP Adresse eingeben läuft es.
Vielleicht habe ich ein Verständnis Problem mit den "Alias"
Grüße
Gansa28
wird bei der Sense so Angelegt:
Habe es jetzt mal mit nur einem Alias versucht das gleiche Problem.
Wenn ich in die Firewall rule die IP Adresse eingeben läuft es.
Vielleicht habe ich ein Verständnis Problem mit den "Alias"
Grüße
Gansa28
Hi,
Tyoe „Host“ ist nur für interne Hosts gedacht.
Du benötigst Type „URL Table“.
Tyoe „Host“ ist nur für interne Hosts gedacht.
Du benötigst Type „URL Table“.
OHA interessanter Hinweis. Muss ich glatt mal bei mir schauen, wie ich es habe.
An sich habe ich die Erfahrung gemacht, das es mit der DNS Auflösung bei den Alias auch mal dauern kann.
An sich habe ich die Erfahrung gemacht, das es mit der DNS Auflösung bei den Alias auch mal dauern kann.
Leider werden die Connections immer noch gelockt.
Kein Wunder !TCP/UDP 53 sprich DNS fehlt ! Der Host kann somit keinerlei DNS Namen auflösen und scheitert schon daran. Klassischer Anfängerfehler. Sinnvoll ist wenn du dir vorher mal eine IP Kommunikation mit dem Wireshark ansiehst, denn sowas eröffnet Horizonte beim Verständnis von Protokollen und Regeln.
Gewusst wie !!!
Die Firewall Regeln sollten also schon passen wenn man die Schotten dicht macht !!
Das Firewall Log was geblockte Pakete immer anzeigt und die Packet Capture Funktion unter Diagnostics ist wie immer dein allerbester Freund bei sowas !!
@aqui: wieso sollten einige hosts direkt dns nach draussen funken dürfen ?
Wir sehen ja nur einen Teil des Regelwerks.
Wenn der Client das nicht auflösen könnte würde der Request gar nich an der FW ankommen.
Grüße Henere
Wir sehen ja nur einen Teil des Regelwerks.
Wenn der Client das nicht auflösen könnte würde der Request gar nich an der FW ankommen.
Grüße Henere
Egal ob er Proxy DNS auf der FW macht oder nicht, DNS kann der Host dann niemals auflösen wenn der TO keinerlei DNS Requests aus dem Segment entweder auf die FW oder extern zulässt. In der Regel sind ja nur TCP 80 und 443 erlaubt, damit scheitert dann jegliche DNS Auflösung.
Die Debian Update Quellen unter /etc/apt/sources.list sind bekanntlich ja auch niemals als nackte IP Adressen dort definiert sondern immer als Hostnamen !
Da liegt es dann auf der Hand das das Update nur mit erlaupten HTTP und HTTPS und sonst nix dann logischerweise scheitert.
Seine Denke war sicher das der Update mit HTTP oder HTTPs geht und das für jegliche IP Kommunikation in der Regel auch DNS zwingend ist (TCP/UDP 53) hat er vermutlich wie so häufig nicht auf dem Radar gehabt, was Anfängern im Eifer des (FW) Gefechts ja auch mal passieren kann.
Die Debian Update Quellen unter /etc/apt/sources.list sind bekanntlich ja auch niemals als nackte IP Adressen dort definiert sondern immer als Hostnamen !
Da liegt es dann auf der Hand das das Update nur mit erlaupten HTTP und HTTPS und sonst nix dann logischerweise scheitert.
Wir sehen ja nur einen Teil des Regelwerks.
Das wäre dann recht dumm vom TO wenn dem wirklich so wäre, denn wie sollten wir dann zielführend und helfend sein Regelwerk beurteilen können ?? Das wollen wir ihm mal nicht unterstellen.Seine Denke war sicher das der Update mit HTTP oder HTTPs geht und das für jegliche IP Kommunikation in der Regel auch DNS zwingend ist (TCP/UDP 53) hat er vermutlich wie so häufig nicht auf dem Radar gehabt, was Anfängern im Eifer des (FW) Gefechts ja auch mal passieren kann.
Wieso ist hier mein Kommentar plötzlich weg?
@Frank ?
@Frank ?
Hi,
welche pfSense Version verwendest du ?
ich habe gerade einen Alias mit deinen FQDNs erstellt (IP -> Hosts -> IP or FQDN), dann eine Block Regel erstellt: Funktioniert einwandfrei.
Wenn enabled: Wird der Name geblockt, dann funktioniert z.B. ein ping oder http zu prod.debian.map.fastly.net nicht, wenn die Regel disabled ist, ist
dann funktioniert es.
Überprüfe nochmal deine Einstellungen und ggf die Reihenfolge der Regeln
CH
welche pfSense Version verwendest du ?
ich habe gerade einen Alias mit deinen FQDNs erstellt (IP -> Hosts -> IP or FQDN), dann eine Block Regel erstellt: Funktioniert einwandfrei.
Wenn enabled: Wird der Name geblockt, dann funktioniert z.B. ein ping oder http zu prod.debian.map.fastly.net nicht, wenn die Regel disabled ist, ist
dann funktioniert es.
Überprüfe nochmal deine Einstellungen und ggf die Reihenfolge der Regeln
CH
