gansa28
Goto Top

PfSense Alias oder Verständnis Problem

Hallo zusammen,

ich arbeite mich grade tiefer in die PfSense ein und wollte einem Test Host ( Debian ) explizit nur die Freigaben für das Debian update geben.

Dazu habe ich einen Alias Erstellt:

1

In den Firewall rules so eingetragen.

2

Leider werden die Connections immer noch gelockt.

3

Leider laufe ich in verschiedenen Verbindungen immer wieder in timeouts. Bei eingabe der IP Adressen direkt in den Firewall rules läuft das ganze.

Übersehe ich da etwas?

Grüße

Gansa 28

Content-Key: 517140

Url: https://administrator.de/contentid/517140

Ausgedruckt am: 03.10.2022 um 19:10 Uhr

Mitglied: Henere
Henere 21.11.2019 um 01:23:05 Uhr
Goto Top
Moin, ja die Meldung "cannot resolv"
Steht doch eindeutig da.

Darf die PFSense DNS machen ?
Mal mit mehreren Objekten statt einem versucht ?
Ich kenne das von anderen FWs, dass man jedes Objekt einzeln anlegt und erst später daraus Gruppen bildet.

Henere
Mitglied: gansa28
gansa28 21.11.2019 aktualisiert um 01:40:38 Uhr
Goto Top
Hi Henere,

danke für die schnelle Antwort.

Ja darf sie läuft auch.

vom System aus:

  1. ping prod.debian.map.fastly.net
PING prod.debian.map.fastly.net (151.101.112.204) 56(84) bytes of data.

Auf der PfSense:

4

Meinst du das mit den Objekten anders herum? eines statt viele ?

Grüße

Gansa28
Mitglied: Henere
Henere 21.11.2019 aktualisiert um 01:42:40 Uhr
Goto Top
Ich kenne die PFSense nicht.
Bei anderen lege ich zB an
Host1 - 1.2.3.4
Host2 - 2.3.4.5
Host3 - 3.4.5.6

Daraus forme ich eine Gruppe und erlaube diese dann als Zielhostgroup, Eventuell noch mit einer Sourcegruppe (Unixhobel)
Also zB
Source: Unixhobel Dest: Zielhostgroup Port 21 Accept
Source: Unixhobel Dest: Zielhostgroup Port 80 Accept
Source: Unixhobel Dest: Zielhostgroup Port 443 Accept
Mitglied: gansa28
gansa28 21.11.2019 um 01:49:53 Uhr
Goto Top
Hi Henere,

wird bei der Sense so Angelegt:

5

Habe es jetzt mal mit nur einem Alias versucht das gleiche Problem.

Wenn ich in die Firewall rule die IP Adresse eingeben läuft es.

6

Vielleicht habe ich ein Verständnis Problem mit den "Alias"

7

Grüße

Gansa28
Mitglied: NordicMike
NordicMike 21.11.2019 um 06:11:54 Uhr
Goto Top
Hi,

Tyoe „Host“ ist nur für interne Hosts gedacht.

Du benötigst Type „URL Table“.
Mitglied: farddwalling
Lösung farddwalling 21.11.2019 um 07:24:33 Uhr
Goto Top
OHA interessanter Hinweis. Muss ich glatt mal bei mir schauen, wie ich es habe.
An sich habe ich die Erfahrung gemacht, das es mit der DNS Auflösung bei den Alias auch mal dauern kann.
Mitglied: aqui
aqui 21.11.2019 aktualisiert um 09:24:57 Uhr
Goto Top
Leider werden die Connections immer noch gelockt.
Kein Wunder !
TCP/UDP 53 sprich DNS fehlt ! Der Host kann somit keinerlei DNS Namen auflösen und scheitert schon daran. Klassischer Anfängerfehler. Sinnvoll ist wenn du dir vorher mal eine IP Kommunikation mit dem Wireshark ansiehst, denn sowas eröffnet Horizonte beim Verständnis von Protokollen und Regeln.
Gewusst wie !!!
Die Firewall Regeln sollten also schon passen wenn man die Schotten dicht macht !! face-wink
Das Firewall Log was geblockte Pakete immer anzeigt und die Packet Capture Funktion unter Diagnostics ist wie immer dein allerbester Freund bei sowas !! face-wink
Mitglied: Henere
Henere 21.11.2019 um 09:50:50 Uhr
Goto Top
@aqui: wieso sollten einige hosts direkt dns nach draussen funken dürfen ?
Wir sehen ja nur einen Teil des Regelwerks.
Wenn der Client das nicht auflösen könnte würde der Request gar nich an der FW ankommen.

Grüße Henere
Mitglied: aqui
aqui 21.11.2019 aktualisiert um 13:25:47 Uhr
Goto Top
Egal ob er Proxy DNS auf der FW macht oder nicht, DNS kann der Host dann niemals auflösen wenn der TO keinerlei DNS Requests aus dem Segment entweder auf die FW oder extern zulässt. In der Regel sind ja nur TCP 80 und 443 erlaubt, damit scheitert dann jegliche DNS Auflösung.
Die Debian Update Quellen unter /etc/apt/sources.list sind bekanntlich ja auch niemals als nackte IP Adressen dort definiert sondern immer als Hostnamen !
Da liegt es dann auf der Hand das das Update nur mit erlaupten HTTP und HTTPS und sonst nix dann logischerweise scheitert.
Wir sehen ja nur einen Teil des Regelwerks.
Das wäre dann recht dumm vom TO wenn dem wirklich so wäre, denn wie sollten wir dann zielführend und helfend sein Regelwerk beurteilen können ?? Das wollen wir ihm mal nicht unterstellen.
Seine Denke war sicher das der Update mit HTTP oder HTTPs geht und das für jegliche IP Kommunikation in der Regel auch DNS zwingend ist (TCP/UDP 53) hat er vermutlich wie so häufig nicht auf dem Radar gehabt, was Anfängern im Eifer des (FW) Gefechts ja auch mal passieren kann.
Mitglied: ludaku
ludaku 21.11.2019 um 14:05:05 Uhr
Goto Top
Wieso ist hier mein Kommentar plötzlich weg?
@Frank ?
Mitglied: ChriBo
ChriBo 21.11.2019 um 14:42:44 Uhr
Goto Top
Hi,
welche pfSense Version verwendest du ?
ich habe gerade einen Alias mit deinen FQDNs erstellt (IP -> Hosts -> IP or FQDN), dann eine Block Regel erstellt: Funktioniert einwandfrei.
Wenn enabled: Wird der Name geblockt, dann funktioniert z.B. ein ping oder http zu prod.debian.map.fastly.net nicht, wenn die Regel disabled ist, ist
dann funktioniert es.
Überprüfe nochmal deine Einstellungen und ggf die Reihenfolge der Regeln

CH