PfSense IPv6-Regel ausschließlich Richtung WAN
Moin,
wie kann ich die pfSense dazu bringen, IPv6-Traffic von diversen Interfaces ausschließlich zum WAN-Interface zu erlauben? Also das Pendant zum Invert-RFC1918-Alias für IPv4.
Derzeit nutze ich Block-Regeln. Aber je nach Anzahl der Interfaces wird das beliebig kompliziert. Außerdem darf man neue Interfaces nicht vergessen.
Danke,
Michael.
wie kann ich die pfSense dazu bringen, IPv6-Traffic von diversen Interfaces ausschließlich zum WAN-Interface zu erlauben? Also das Pendant zum Invert-RFC1918-Alias für IPv4.
Derzeit nutze ich Block-Regeln. Aber je nach Anzahl der Interfaces wird das beliebig kompliziert. Außerdem darf man neue Interfaces nicht vergessen.
Danke,
Michael.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 398165
Url: https://administrator.de/contentid/398165
Ausgedruckt am: 22.11.2024 um 18:11 Uhr
6 Kommentare
Neuester Kommentar
Moin,
bin nicht sicher was du konkret meinst.
Du könntest für deine internen Netze Unique Local Adressen verwenden und bei der pfSense NPT einrichten, wenn du unbedingt IPv6 ähnlich wie IPv4 implementieren möchtest. Allerdings ist das Quatsch und ist eigentlich bei IPv6 nicht mehr vorgesehen. Ich persönlich mache das zwar aktuell selber so, allerdings nur weil es ein paar Besonderheiten bzw. Einschränkungen bei meinem Provider gibt. Normalerweise würde ich einfach das Regelwerk für die Interfaces ordentlich konfigurieren und Global Unicast Adressen verwenden.
Die pfSense arbeitet nach dem Whitelist Prinzip, d.h. per default wird alles geblockt. Du brauchst keine expliziten Block Regeln.
Viele Grüße,
Exception
bin nicht sicher was du konkret meinst.
Du könntest für deine internen Netze Unique Local Adressen verwenden und bei der pfSense NPT einrichten, wenn du unbedingt IPv6 ähnlich wie IPv4 implementieren möchtest. Allerdings ist das Quatsch und ist eigentlich bei IPv6 nicht mehr vorgesehen. Ich persönlich mache das zwar aktuell selber so, allerdings nur weil es ein paar Besonderheiten bzw. Einschränkungen bei meinem Provider gibt. Normalerweise würde ich einfach das Regelwerk für die Interfaces ordentlich konfigurieren und Global Unicast Adressen verwenden.
Die pfSense arbeitet nach dem Whitelist Prinzip, d.h. per default wird alles geblockt. Du brauchst keine expliziten Block Regeln.
Viele Grüße,
Exception
Außerdem darf man neue Interfaces nicht vergessen.
Die sind ja so oder so IMMER per Default geblockt bei einer Firewall wie jederman weiss. Du musst also explizit freigeben !Die grundsätzliche Frage ist ob du ein eigenes statisches Kontingent hast oder deine v6 Netze mit Prefix Delegation bekommst.
So oder so ist es aber dann ganz einfach, denn du blockst dann auf den Interfaces deinen eigenen Bereich mit einer Summary Maske und erlaubst den Rest dann zu "Any". Fertisch !
Um das einfacher zu gestalten kannst du dann mit einem Alias arbeiten.