123788
Oct 18, 2015
1973
5
0
PfSense: Allgemeine Fragen zu Firewall-Konfiguration
Guten Morgen zusammen!
Betreibe ein pfSense-System, an dem recht viele kleine VLANs hängen.
Im Grunde stellt pfSense für diese nur eine Verbindung ins Internet und DHCP/DNS bereit.
Mein Problem: Zwischen diesen VLANs möchte ich kein Routing, es sollen abgeschlossene Netze sein.
Bisher habe ich dafür immer einzeln Firewall-Regeln konfiguriert, nach folgendem Muster:
Block: InterfaceNetzA -> NetzB_net
Block: InterfaceNetzA -> NetzC_net
Pass: InterfaceNetzA -> All
Das ist bei vielen VLANs aber unübersichtlich, fehleranfällig und ineffizient.
Gibt's da einen kürzeren Weg?
Im Grunde würde mir ja sinngemäß folgendes genügen:
OnlyPass: InterfaceNetzA -> InterfaceInternet
Betreibe ein pfSense-System, an dem recht viele kleine VLANs hängen.
Im Grunde stellt pfSense für diese nur eine Verbindung ins Internet und DHCP/DNS bereit.
Mein Problem: Zwischen diesen VLANs möchte ich kein Routing, es sollen abgeschlossene Netze sein.
Bisher habe ich dafür immer einzeln Firewall-Regeln konfiguriert, nach folgendem Muster:
Block: InterfaceNetzA -> NetzB_net
Block: InterfaceNetzA -> NetzC_net
Pass: InterfaceNetzA -> All
Das ist bei vielen VLANs aber unübersichtlich, fehleranfällig und ineffizient.
Gibt's da einen kürzeren Weg?
Im Grunde würde mir ja sinngemäß folgendes genügen:
OnlyPass: InterfaceNetzA -> InterfaceInternet
Please also mark the comments that contributed to the solution of the article
Content-Key: 285942
Url: https://administrator.de/contentid/285942
Printed on: April 19, 2024 at 02:04 o'clock
5 Comments
Latest comment
Moin,
im Prinzip macht man das so wie du schon angefangen hast, aber etwas einfacher
https://doc.pfsense.org/index.php/Example_basic_configuration#Prerequisi ...
Einfach für jedes VLAN ein Reject oder Block auf den RFC1918 Alias anlegen. Fertig.
VG
Val
im Prinzip macht man das so wie du schon angefangen hast, aber etwas einfacher
https://doc.pfsense.org/index.php/Example_basic_configuration#Prerequisi ...
Prerequisites/Assumptions
This assumes all local networks are privately numbered, and that interfaces have already been configured.
Create an alias (Firewall > Aliases) called RFC1918 containing 192.168.0.0/16, 172.16.0.0/12, and 10.0.0.0/8
This assumes all local networks are privately numbered, and that interfaces have already been configured.
Create an alias (Firewall > Aliases) called RFC1918 containing 192.168.0.0/16, 172.16.0.0/12, and 10.0.0.0/8
Einfach für jedes VLAN ein Reject oder Block auf den RFC1918 Alias anlegen. Fertig.
VG
Val
Gibt's da einen kürzeren Weg?
Ja natürlich ! Meist reicht eine einzige Regekl dafür. Das hängt aber von deiner IP Adressierung ab die du uns ja leider nicht mitteilst. Deshalb mal ein Beispel:
Angenommen deine VLAN Subnetze haben die Struktur 192.168.1.0 /24 = VLAN 1
192.168.1.0 /24 = VLAN 1
192.168.2.0 /24 = VLAN 2
192.168.3.0 /24 = VLAN 3
usw.
Dann reicht eine einzige Regel auf den Interfaces:
Block IP Source <lokales_netz> Destination 192.168.0.0 Mask 255.255.0.0
Das blockt dann Traffic in alle Zielnetze die 192.168.x x als Prefix haben
Denn das könnte ich ja problemlos auch ohne Alias, indem ich es direkt in den Firewall-Rules so angebe?
Bingo ! Genau so ist es.Ein Alias ist nichts anderes als eine Benamung einer IP Adresse oder eines Netzwerkes usw. Brauchst du für das was du vorhast de facto nicht.
Source: Dieses Interface, Destination: 10.0.0.0/8 Rule: Block
Ja, das blockt aus allen Netzen generell den Zugriff auf alle 10er Netze !Denk dran das diese Regel immer VOR der Allow DiesesNetz any Regel kommt !