123788
Oct 18, 2015
1973
5
0
PfSense: Allgemeine Fragen zu Firewall-Konfiguration
Guten Morgen zusammen!
Betreibe ein pfSense-System, an dem recht viele kleine VLANs hängen.
Im Grunde stellt pfSense für diese nur eine Verbindung ins Internet und DHCP/DNS bereit.
Mein Problem: Zwischen diesen VLANs möchte ich kein Routing, es sollen abgeschlossene Netze sein.
Bisher habe ich dafür immer einzeln Firewall-Regeln konfiguriert, nach folgendem Muster:
Block: InterfaceNetzA -> NetzB_net
Block: InterfaceNetzA -> NetzC_net
Pass: InterfaceNetzA -> All
Das ist bei vielen VLANs aber unübersichtlich, fehleranfällig und ineffizient.
Gibt's da einen kürzeren Weg?
Im Grunde würde mir ja sinngemäß folgendes genügen:
OnlyPass: InterfaceNetzA -> InterfaceInternet
Betreibe ein pfSense-System, an dem recht viele kleine VLANs hängen.
Im Grunde stellt pfSense für diese nur eine Verbindung ins Internet und DHCP/DNS bereit.
Mein Problem: Zwischen diesen VLANs möchte ich kein Routing, es sollen abgeschlossene Netze sein.
Bisher habe ich dafür immer einzeln Firewall-Regeln konfiguriert, nach folgendem Muster:
Block: InterfaceNetzA -> NetzB_net
Block: InterfaceNetzA -> NetzC_net
Pass: InterfaceNetzA -> All
Das ist bei vielen VLANs aber unübersichtlich, fehleranfällig und ineffizient.
Gibt's da einen kürzeren Weg?
Im Grunde würde mir ja sinngemäß folgendes genügen:
OnlyPass: InterfaceNetzA -> InterfaceInternet
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 285942
Url: https://administrator.de/contentid/285942
Printed on: April 19, 2024 at 02:04 o'clock
5 Comments
Latest comment
Moin,
im Prinzip macht man das so wie du schon angefangen hast, aber etwas einfacher
https://doc.pfsense.org/index.php/Example_basic_configuration#Prerequisi ...
Einfach für jedes VLAN ein Reject oder Block auf den RFC1918 Alias anlegen. Fertig.
VG
Val
im Prinzip macht man das so wie du schon angefangen hast, aber etwas einfacher
https://doc.pfsense.org/index.php/Example_basic_configuration#Prerequisi ...
Prerequisites/Assumptions
This assumes all local networks are privately numbered, and that interfaces have already been configured.
Create an alias (Firewall > Aliases) called RFC1918 containing 192.168.0.0/16, 172.16.0.0/12, and 10.0.0.0/8
This assumes all local networks are privately numbered, and that interfaces have already been configured.
Create an alias (Firewall > Aliases) called RFC1918 containing 192.168.0.0/16, 172.16.0.0/12, and 10.0.0.0/8
Einfach für jedes VLAN ein Reject oder Block auf den RFC1918 Alias anlegen. Fertig.
VG
Val
Gibt's da einen kürzeren Weg?
Ja natürlich ! Meist reicht eine einzige Regekl dafür. Das hängt aber von deiner IP Adressierung ab die du uns ja leider nicht mitteilst. 
Deshalb mal ein Beispel:
Angenommen deine VLAN Subnetze haben die Struktur 192.168.1.0 /24 = VLAN 1
192.168.1.0 /24 = VLAN 1
192.168.2.0 /24 = VLAN 2
192.168.3.0 /24 = VLAN 3
usw.
Dann reicht eine einzige Regel auf den Interfaces:
Block IP Source <lokales_netz> Destination 192.168.0.0 Mask 255.255.0.0
Das blockt dann Traffic in alle Zielnetze die 192.168.x x als Prefix haben
Hallo!
Danke euch beiden für die schnelle Antwort!
Habe das nun mal probiert.. aber irgendetwas scheine ich noch falsch zu machen.
Für's Verständnis: Über einen Alias lege ich einfach den IP-Bereich z.B. meines gesamten LANs fest? (10.0.0.0/8)
Denn das könnte ich ja problemlos auch ohne Alias, indem ich es direkt in den Firewall-Rules so angebe?
Problem:
Ich lege den Alias zwar an ("InternesNetz"), kann diesen aber beim neuen Anlegen einer Firewall-Regel nirgendwo auswählen?
Die Drop-Down-Menüs zeigen mir weiterhin nur die Standard-Einträge an, meine VLANs etc...
Was mache ich falsch?
Im Grunde würde doch folgende Regel auf JEDEM der Interfaces genügen:
Source: Dieses Interface, Destination: 10.0.0.0/8 Rule: Block
?
Danke euch beiden für die schnelle Antwort!
Habe das nun mal probiert.. aber irgendetwas scheine ich noch falsch zu machen.
Für's Verständnis: Über einen Alias lege ich einfach den IP-Bereich z.B. meines gesamten LANs fest? (10.0.0.0/8)
Denn das könnte ich ja problemlos auch ohne Alias, indem ich es direkt in den Firewall-Rules so angebe?
Problem:
Ich lege den Alias zwar an ("InternesNetz"), kann diesen aber beim neuen Anlegen einer Firewall-Regel nirgendwo auswählen?
Die Drop-Down-Menüs zeigen mir weiterhin nur die Standard-Einträge an, meine VLANs etc...
Was mache ich falsch?
Im Grunde würde doch folgende Regel auf JEDEM der Interfaces genügen:
Source: Dieses Interface, Destination: 10.0.0.0/8 Rule: Block
?
Denn das könnte ich ja problemlos auch ohne Alias, indem ich es direkt in den Firewall-Rules so angebe?
Bingo ! Genau so ist es.Ein Alias ist nichts anderes als eine Benamung einer IP Adresse oder eines Netzwerkes usw. Brauchst du für das was du vorhast de facto nicht.
Source: Dieses Interface, Destination: 10.0.0.0/8 Rule: Block
Ja, das blockt aus allen Netzen generell den Zugriff auf alle 10er Netze !Denk dran das diese Regel immer VOR der Allow DiesesNetz any Regel kommt !
Genau und damit wäre es ja genau das, was ich suche.
Klar, muss vorher kommen
Gut, aber ein Alias ist nicht unpraktisch, denn unter dem kann ich ja mehrere LAN-Bereiche zusammenfassen, das ist manchmal praktisch.
Ich danke euch!
Klar, muss vorher kommen
Gut, aber ein Alias ist nicht unpraktisch, denn unter dem kann ich ja mehrere LAN-Bereiche zusammenfassen, das ist manchmal praktisch.
Ich danke euch!
