3
PfSense Pure NAT zu DMZ
Hallo,
ich habe kürzlich eine zweite WAN-IP nur für die Geräte in der DMZ eingerichtet, Jetzt habe ich aber noch ein kleines Problem, zumindest hoffe ich das es nur klein ist:
Ich habe zu diversen Clients an der LAN-Schnittstelle ein Port Forward eingerichtet, was ich erst nicht erreichen konnte, wenn ich die DNS-Namen inkl. Port von der WAN IP angesprochen habe. Da habe ich heraus gefunden das man unter Advanced>Firewall & NAT das sogenannte Pure NAT aktivieren muss. Somit kann ich als Client aus dem lokalen Netz die WAN IP inkl. des Port Forwards verwenden.
Alles schön und gut...
Kann ich dies aber auch mit Port Forwards ins DMZ? Ich habe ein Port Forward eingerichtet, komme aber aus dem lokalen Netz nicht drauf. Nur von außerhalb.
Weiß jemand wie das geht?
Gruß
ich habe kürzlich eine zweite WAN-IP nur für die Geräte in der DMZ eingerichtet, Jetzt habe ich aber noch ein kleines Problem, zumindest hoffe ich das es nur klein ist:
Ich habe zu diversen Clients an der LAN-Schnittstelle ein Port Forward eingerichtet, was ich erst nicht erreichen konnte, wenn ich die DNS-Namen inkl. Port von der WAN IP angesprochen habe. Da habe ich heraus gefunden das man unter Advanced>Firewall & NAT das sogenannte Pure NAT aktivieren muss. Somit kann ich als Client aus dem lokalen Netz die WAN IP inkl. des Port Forwards verwenden.
Alles schön und gut...
Kann ich dies aber auch mit Port Forwards ins DMZ? Ich habe ein Port Forward eingerichtet, komme aber aus dem lokalen Netz nicht drauf. Nur von außerhalb.
Weiß jemand wie das geht?
Gruß
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 342294
Url: https://administrator.de/forum/pfsense-pure-nat-zu-dmz-342294.html
Ausgedruckt am: 10.04.2025 um 03:04 Uhr
3 Kommentare
Neuester Kommentar
Ich habe zu diversen Clients an der LAN-Schnittstelle ein Port Forward eingerichtet,
Uuuhhh...gruselig !! Und das an einer Firewall ! Wozu willst du das LAN dann mit einer Firewall und DMZ richtigerweise schützen wenn du Löcher in dein Firewall bohrst die das alles aufweicht und die Sicherheit dann obsolet macht ?? Klingt nicht gerade nach wirklicher Security ?!Wenn überhaupt dann macht man PFW in die DMZ aber doch niemals ins zu schützende LAN !
VPN wäre die bessere und intelligentere Wahl !
Alles schön und gut...
Nicht wirklich....Geht natürlich auch aus der DMZ aber solange du die Konfig nicht postest kann man nur wild raten und spekulieren.
Du hast vermutlichen einen Konfig Fehler gemacht.
Hallo,
Toll...
Man kauft sich ein Auto das den höchsten Sicherheitsansprüchen genügt und baut dann Airbag, Gurt und Kameras aus um das Auto leichter zu machen
Du exponierst deine Clients durch das Port Forwarding direkt ins Internet.... Hat was von Harakiri oder korrekterweise Seppuko.....
brammer
Ich habe zu diversen Clients an der LAN-Schnittstelle ein Port Forward eingerichtet,
Toll...
Man kauft sich ein Auto das den höchsten Sicherheitsansprüchen genügt und baut dann Airbag, Gurt und Kameras aus um das Auto leichter zu machen
Du exponierst deine Clients durch das Port Forwarding direkt ins Internet.... Hat was von Harakiri oder korrekterweise Seppuko.....
brammer
Hi Fenris14
sicher das du nicht pro Gerät je ein VLAN (eine Art DMZ) einrichten willst und dann jedes PortForw. damit genau redirigierst. PureNAT hat afair den Vorteil das dieses Gerät dann intern nicht mehr angesprochen werden kann Sofern du das willst musst du auf PureNAT+Proxy gehen wenn ich die letzte (und erste...) Schulung richtig rekapituliere. Sofern andere Geräte diesen Dienst lokal nutzen sollen kannst du via den Rules genau definieren was geht und was nicht (immerhin geht ab Werk gar nichts zwischen denen, da alle Pakete fallen gelassen werden da fehlende Regel); immerhin bis du im Inet exponiert und hängst damit in der Sicherheit der einzelnen Dienste, was zumeist recht abenteuerlich sein kann.
Ein anderer Gedanke wäre einen Proxyservice zu exponieren und den eigentlichen Primärservice so anzusprechen. geht halt nicht mit allem.
Gruß
Sam
sicher das du nicht pro Gerät je ein VLAN (eine Art DMZ) einrichten willst und dann jedes PortForw. damit genau redirigierst. PureNAT hat afair den Vorteil das dieses Gerät dann intern nicht mehr angesprochen werden kann Sofern du das willst musst du auf PureNAT+Proxy gehen wenn ich die letzte (und erste...) Schulung richtig rekapituliere. Sofern andere Geräte diesen Dienst lokal nutzen sollen kannst du via den Rules genau definieren was geht und was nicht (immerhin geht ab Werk gar nichts zwischen denen, da alle Pakete fallen gelassen werden da fehlende Regel); immerhin bis du im Inet exponiert und hängst damit in der Sicherheit der einzelnen Dienste, was zumeist recht abenteuerlich sein kann.
Ein anderer Gedanke wäre einen Proxyservice zu exponieren und den eigentlichen Primärservice so anzusprechen. geht halt nicht mit allem.
Gruß
Sam
