dasbrot
Goto Top

Pfsense Bestimmte Adresse lässt sich nicht in rules freigeben

Guten Tag.

Wir haben eine Pfsense 2.6.0
und ein internes Netz in dem Mittels Deny Regel ( Any Any) das Surfen im Internet unterbunden ist.

Lediglich der Teamviewer Port ist freigegeben. Das funktioniert auch so weit.
Nun soll noch eine weitere Seite portal.snapacc.com freigegeben werden.
Die Seite snapacc.com lässt sich auch mittels Alias (Hosts) freigeben. Die Seite portal.snapacc.com welche zum Login benutzt wird jedoch nicht.
Auch ein freigeben der IP 13.107.213.45 führt nicht zum Erfolg, auch dann ist nur snapacc.com aufrufbar.
Was ist mit dieser Seite anders ? Lässt sich das mit Boardmitteln lösen ?
lg

Content-ID: 7470942822

Url: https://administrator.de/contentid/7470942822

Ausgedruckt am: 19.12.2024 um 10:12 Uhr

7426148943
7426148943 09.06.2023 aktualisiert um 16:12:08 Uhr
Goto Top
Naja wenn du mal in die Browser Developer-Tools schaust siehst du das da noch von weiteren Domains im Background geladen wird wie bspw.
signalr.net / azure.com / ...
ohne die die Seite nicht funktioniert.

Zeppel
Delta9
Delta9 09.06.2023 um 16:12:27 Uhr
Goto Top
Hi,

soweit ich weiss unterstützt die Pfsense keine Wildcards in den Aliasen und du kannst in einem Host immer nur ein Ziel definieren.
D.H. du hast in der FW nur snapacc.com freigegegen, aber nicht portal.snapacc.com.

Bei der Freigabe via IP ist es das Selbe. Das Portal läuft unter einer anderen IP und wird daher geblockt.
VG
radiogugu
radiogugu 10.06.2023 aktualisiert um 18:17:02 Uhr
Goto Top
Nabend.

Ich habe bei mir den umgekehrten Fall.

Da hilft das Blockieren der Domains teamviewer.com + teamviewer.de.

Danach ist der "Gerät" nicht nutzbar.

Ich meine es war auch so, dass TV auf Port 443 "zurückfällt", wenn deren genutzter Ports nicht erreichbar sind.

Gruß
Marc
DasBrot
DasBrot 12.06.2023 um 09:01:35 Uhr
Goto Top
Danke für die Antwort.
Nein die portal.snapacc.com habe ich natürlich auch hinzugefügt, und das Portal läuft unter der selben ip.
DasBrot
DasBrot 12.06.2023 um 09:08:22 Uhr
Goto Top
@7426148943 das leuchtet ein. Chrome zeigt mir unter "untersuchen" einige Domains an. Sowas wie snapacc-signalr-prod-portal.service.signalr.net Ich füge einfach mal alles hinzu was ich auf der Loginseite finde.

lg
UnbekannterNR1
UnbekannterNR1 12.06.2023 um 09:13:41 Uhr
Goto Top
Du könntest einen transparenten Proxy versuchen und dort hast die Möglichkeit *.signalr.net aus die Whitelist zu setzen. Nicht schön aber einen Versuch wert.