dasbrot
Goto Top

Pfsense Bestimmte Adresse lässt sich nicht in rules freigeben

Guten Tag.

Wir haben eine Pfsense 2.6.0
und ein internes Netz in dem Mittels Deny Regel ( Any Any) das Surfen im Internet unterbunden ist.

Lediglich der Teamviewer Port ist freigegeben. Das funktioniert auch so weit.
Nun soll noch eine weitere Seite portal.snapacc.com freigegeben werden.
Die Seite snapacc.com lässt sich auch mittels Alias (Hosts) freigeben. Die Seite portal.snapacc.com welche zum Login benutzt wird jedoch nicht.
Auch ein freigeben der IP 13.107.213.45 führt nicht zum Erfolg, auch dann ist nur snapacc.com aufrufbar.
Was ist mit dieser Seite anders ? Lässt sich das mit Boardmitteln lösen ?
lg

Content-Key: 7470942822

Url: https://administrator.de/contentid/7470942822

Printed on: July 20, 2024 at 05:07 o'clock

Mitglied: 7426148943
7426148943 Jun 09, 2023 updated at 14:12:08 (UTC)
Goto Top
Naja wenn du mal in die Browser Developer-Tools schaust siehst du das da noch von weiteren Domains im Background geladen wird wie bspw.
signalr.net / azure.com / ...
ohne die die Seite nicht funktioniert.

Zeppel
Member: Delta9
Delta9 Jun 09, 2023 at 14:12:27 (UTC)
Goto Top
Hi,

soweit ich weiss unterstützt die Pfsense keine Wildcards in den Aliasen und du kannst in einem Host immer nur ein Ziel definieren.
D.H. du hast in der FW nur snapacc.com freigegegen, aber nicht portal.snapacc.com.

Bei der Freigabe via IP ist es das Selbe. Das Portal läuft unter einer anderen IP und wird daher geblockt.
VG
Member: radiogugu
radiogugu Jun 10, 2023 updated at 16:17:02 (UTC)
Goto Top
Nabend.

Ich habe bei mir den umgekehrten Fall.

Da hilft das Blockieren der Domains teamviewer.com + teamviewer.de.

Danach ist der "Gerät" nicht nutzbar.

Ich meine es war auch so, dass TV auf Port 443 "zurückfällt", wenn deren genutzter Ports nicht erreichbar sind.

Gruß
Marc
Member: DasBrot
DasBrot Jun 12, 2023 at 07:01:35 (UTC)
Goto Top
Danke für die Antwort.
Nein die portal.snapacc.com habe ich natürlich auch hinzugefügt, und das Portal läuft unter der selben ip.
Member: DasBrot
DasBrot Jun 12, 2023 at 07:08:22 (UTC)
Goto Top
@7426148943 das leuchtet ein. Chrome zeigt mir unter "untersuchen" einige Domains an. Sowas wie snapacc-signalr-prod-portal.service.signalr.net Ich füge einfach mal alles hinzu was ich auf der Loginseite finde.

lg
Member: UnbekannterNR1
UnbekannterNR1 Jun 12, 2023 at 07:13:41 (UTC)
Goto Top
Du könntest einen transparenten Proxy versuchen und dort hast die Möglichkeit *.signalr.net aus die Whitelist zu setzen. Nicht schön aber einen Versuch wert.