Pfsense VLAN trennen konfiguration

fredfred
Goto Top
Hallo zusammen,

ich habe eine Pfsense anhand von diesem Forum installiert, besten Dank für die vielen Tipps hier !

Zur Kontrolle möchte ich die Konfiguration hier schnell zeigen ...

Es gibt 9 VLAN'S die nur ins Internet dürfen. Untereinander soll alles gesperrt sein.
Auch darf das pfsense Webgui nicht geöffnet bzw. angezeigt werden.

Ein VLAN (98) darf jedoch in alle anderen VLAN'S zugriff haben, auch das Webgui der pfsense soll erreichbar sein.

Es funktioniert alles wie gewünscht. Hab ich dennoch etwas übersehen oder falsch gemacht ?


firewall_vlan_1
Die VLAN 60 - 82

firewall_vlan_3


firewall_vlan_2

Das Admin VLAN

Content-Key: 2102428083

Url: https://administrator.de/contentid/2102428083

Ausgedruckt am: 04.07.2022 um 15:07 Uhr

Mitglied: ChriBo
ChriBo 10.03.2022 um 07:38:53 Uhr
Goto Top
Hi,
in deinem Regelwerk habe ich 1 Fehler festgestellt.
1. verwende Drop anstelle von Reject.
Drop funktioniert nur bei TCP.

Ich selber setze die Regeln etwas anders als du.
ich kann dann bei Bedarf genaueres Loggen einschalten.

- IPv6 any protocol Source any to Destination any -> Deny
- Separator <Access to Firewall>
- IPv4 ICMP from x_VLAN net to Firewall -> Allow
- IPv4 TCP/UDP DNS from x_VLAN net to Firewall -> Allow
- IPv4 TCP/UDP NTP from x_VLAN net to Firewall -> Allow
- Separator <Access to private networks>
- IPv4 any from any to RFC1918 -> Deny
- Separator <Access to Internet>
Hier Regeln für Zugriff auf Internet
- IPv4, Source immer x_VLAN net -> allow benötigte Ports
- IPv4, from any to any -> Block , logging standardmäßig nicht enabled, falls benötigt (temporär) einschalten.

Gruß
CH
Mitglied: radiogugu
radiogugu 10.03.2022 um 10:40:39 Uhr
Goto Top
Hallo.

Ich halte das wie @chribo.

Suksessive die erlaubten Ports oder Alias Gruppen pro Schnittstelle eintragen und am Ende eine Block any / any Regel. Diese ist zwar überflüssig, sieht aber sauber aus und man kann die Regel überprüfen, wie oft diese schon "getroffen" wurde.

Bei der Verwendung von Reject statt Block bekommt der "Zurückgestoßene" ja immer mit, dass er unerwünscht war. Bei einem Block latscht man da in eine Timeout irgendwann, als wenn nichts anwortet.

Im internen Netzwerk jetzt zunächst nur teilweise relevant, es sei aber erwähnt.

Wie auch @ChriBo schrieb, nicht vergessen den Zeitbezug zu definieren bzw. zu erlauben:

Zitat von @ChriBo:
- IPv4 TCP/UDP NTP from x_VLAN net to Firewall -> Allow

Kann manchmal knallen, wenn ein Gerät keine korrekte Zeit bekommt.

Gruß
Marc
Mitglied: aqui
aqui 10.03.2022 um 10:42:25 Uhr
Goto Top
Du meintest sicher Reject funktioniert nur bei TCP ?! face-wink
Das Management und dessen Zugriff kann man statt Regeln an jedem VLAN auch einfacher über die Anti Logout Rule lösen. Ist etwas effizienter aber alles letztlich eine Frage der Kosmetik. Eis gibt viele Wege nach Rom... face-wink
Und ob man IPv6 generell totlegt und das sinnvoll ist muss man sich auch fragen.
Die Deny Regel der RFC 1918 ist eigentlich überflüssig, denn es ist eh alle DENied was nicht explizit erlaubt ist. Eine Deny any any ist also immer explizit am Ende des Regelwerkes ohne das man es konfiguriert.