leon98
Goto Top

Rules der pfSense richtig?

Guten Abend,

nachdem ich gestern die pfSense aufgesetzt hatte, musste ich heute natürlich gleich vieles ausprobieren face-smile

Meine Rules für das LAN-Interface sehen jetzt so aus:
screenshot 2023-03-28 215937

Damit möchte ich grundlegend den Zugriff auf andere Netze blockieren. Natürlich soll man trotzdem noch das Internet erreichen....
Mit den Rules und der Reihenfolge wie im Bild zu sehen, klappt das mit dem Internet-Zugang und dem Blockieren anderer Netze. Rules wie das erlauben fürs pingen musste ich noch einfügen, nachdem es beim testen nicht klappteface-smile

Hab ich irgendetwas wichtiges vergessen oder sollte ich noch andere Sachen blockieren / freigeben?

Gruß Leon

Content-ID: 6548276616

Url: https://administrator.de/contentid/6548276616

Ausgedruckt am: 19.12.2024 um 09:12 Uhr

ChriBo
ChriBo 29.03.2023 um 08:02:36 Uhr
Goto Top
Hallo,
Meiner Meinung nach: fast richtig.
1. Nimm nicht "This Firewall", sondern die LAN Address als Destination.
Ich weiß es nicht mehr genau was, aber "This Firewall" hat einige unangenehme Neneneffekte.
2. Allow NTP aus dem LAN zu der Firewall fehlt noch wenn du die pfSense als NTP Server in deinem Netzwerk einsetzt.
3. ggf noch SSH auf die Firewall erlauben
4. entferne die Lockout Regel
5. reduziere HTTPS (und SSH) Zugriff auf wenige Geräte, nicht das ganze LAN.
6. stelle an den Anfang eine Regel IPv6 deny any to any.

Gruß
CH
leon98
leon98 29.03.2023 um 08:32:12 Uhr
Goto Top
Guten Morgen,

zu 1: Ich habe gerade mal geschaut, mit „this Firewall“ erlaubt man auch den
Zugriff auf alle anderen Interfaces und so
ich werde dies also auf die LAN IP-Adresse ändern
zu 2: ist bisher nicht geplant, aber wird im Hinterkopf behalten face-smile
zu 3: wird bisher nicht benötigt
zu 4: meinst du meine eigene Regel oder die Default Regel die durch die
Einstellung entsteht, dass man sich nicht aussperren kann?
Oder meinst du generell diese Art von Regel? Wahrscheinlich nicht, weil
man sich sonst aussperren kann.
zu 5: mache ich, sobald ich die endgültigen Adressen z.B. vom PC habe
zu 6: wird gleich noch ergänzt


Floating Rules gibt es bisher keine. Für das WAN gibt es die zwei default Rules die blocken.
Sollten mal VLANs dazu kommen, verschiebe ich doch die oben zusehenden Rules dann in mein privates VLAN und erlaube z.B. dem Gast-VLAN nur den Zugriff auf das Internet und den DNS, oder?

Gruß Leon
ChriBo
ChriBo 29.03.2023 um 08:43:08 Uhr
Goto Top
Hi,
zu 4.: ich meinte die gefault Regel, du hast ja eine eigene erstellt.

Gruß
CH
aqui
aqui 29.03.2023 um 08:53:16 Uhr
Goto Top
6. stelle an den Anfang eine Regel IPv6 deny any to any.
Wozu das?
Wäre doch unsinnig wenn der TO einen WAN Anschluss hat mit Dual Stack?! Dann v6 ganz auszuschliessen wäre falsch.
leon98
leon98 29.03.2023 um 08:57:48 Uhr
Goto Top
Per default hat steht die Firewall bei WAN auf DHCP, sowohl IPv4 als auch IPv6. Im privaten Netzwerk wird aber keine IPv6 verwendet.
aqui
aqui 29.03.2023 um 09:56:15 Uhr
Goto Top
Warum? Wenn der Provider Dual Stack anbietet wäre das ja ein Konfig Fehler.
leon98
leon98 29.03.2023 um 10:26:21 Uhr
Goto Top
Ich informiere mich mal…

Sofern ich alle Geräte in VLANs gelegt habe, hat das LAN Interface ja erstmal keine Funktion mehr außer die Adresse der Firewall oder?
Weil dann könnte ich ja DHCP auf LAN deaktivieren und die VLANs bräuchten ja auch keinen Zugriff auf das LAN net, sondern nur auf die Firewall.
aqui
aqui 29.03.2023 aktualisiert um 10:51:29 Uhr
Goto Top
hat das LAN Interface ja erstmal keine Funktion mehr außer die Adresse der Firewall oder?
Nein, das ist so nicht ganz richtig.
Das physische LAN Interface ist bei VLAN Nutzung auf diesem Interface immer das Parent Interface und damit ein vollwertiges IP Netzsegement. Der Traffic von diesem Interface wird immer UNtagged ausgesendet, entspricht damit also dem Native VLAN bzw. PVID VLAN.
Traffic wird (und kann) aber nur ausgesendet werden wenn das Interface auch eine IP Adresse konfiguriert hat. Ansonsten existiert schlicht kein PVID VLAN.
In der Regel wir das Parent Interface fürs Management VLAN genutzt in Verbindung mit einem entsprechenden Regelwerk weil es als physisches Interface immer UNtagged erreichbar ist, also auch ohne VLAN Switch, was bei den virtuellen VLAN Interfaces nicht immer gewährleistet ist.
Ein Management Interface trennt immer den Management Zugriff von VLANs mit Produktiv- oder Gasttraffic von denen man üblicherweise keinen Zugriff auf die Infrastruktur Konfiguration haben möchte.

Details dazu beschreibt das hiesige Layer 2 VLAN Tutorial im Kapitel pfSense / OPNsense VLAN.
Wie immer: Lesen und verstehen... face-wink
leon98
leon98 29.03.2023 um 11:13:46 Uhr
Goto Top
Okay, bisher hatte ich ein Management VLAN geplant, mit eigenem DHCP Server und meine ganzen Netzwerk-Geräte unterstützen auch ein Management mit anderer VLAN ID.

Mir ist jetzt nur noch nicht ganz klar, welche Variante besser ist, Management im Native VLAN oder in einem anderen VLAN?
aqui
aqui 29.03.2023 um 11:29:51 Uhr
Goto Top
Da gibts kein besser und schlechter, das ist schlicht eigene Geschmackssache. Für ein Management auf dem PVID VLAN spricht das es immer ohne Tagging einfach erreichbar ist. Wenn es das Default PVID Fallback VLAN ist erfordert es ein gutes Regelwerk. Das muss man aber immer selber entscheiden was einem da dann wichtig ist.
leon98
leon98 29.03.2023 aktualisiert um 15:03:12 Uhr
Goto Top
Hier noch mal eine Übersicht der angepassten Rules, als Hilfe für andere Anfänger face-smile
screenshot 2023-03-29 120851

Eine korrigierte Version steht weiter unten...
aqui
aqui 29.03.2023 aktualisiert um 12:45:53 Uhr
Goto Top
Du hast wieder einen Fehler drin. face-sad
Als Destination beim Firewall GUI und Ping Zugriff solltest du nicht eine dedizierte IP angeben sondern aus guten Gründen IMMER den dafür vordefinierten System Alias LAN_IPaddress verwenden!! Wurde dir oben auch schon mehrfach gesagt.

Die generelle Allow Regel könnte man etwas sinnvoller gestalten indem du die überflüssige Blocking Regel für die Privaten Netze entfernst und diese dann bei der allgemeinen Regel als negiert ("!" davor) eingibst was dann bedeutet an alles forwarden außer den privaten Alias.

Doch nicht so ein leuchtendes Beispiel für Anfänger... 🧐
leon98
Lösung leon98 29.03.2023 um 15:05:36 Uhr
Goto Top
Ah das mit der LAN_adress war ein Missverständnis. Ich hatte nicht an den Alias gedacht...

screenshot 2023-03-29 150120

So jetzt sollte es aber passen.
Achso wenn ich jetzt noch den Zugriff auf andere Netze freigebe, muss dass dann aber vor die erlaube alles außer private Netzwerke oder?
aqui
aqui 29.03.2023 um 22:50:11 Uhr
Goto Top
So jetzt sollte es aber passen.
Vorbildlich!! 👍
noch den Zugriff auf andere Netze freigebe
Wenn diese "anderen Netze" im Bereich des geblockten Aliases Private Netzwerke liegt dann ja. Hier ist deine Fragestellung leider zu wenig präzise. face-sad
Sonst nein, weil da ja dann die globale Erlaube Regel mit abfackelt.
Es gilt immer First match wins bei der Firewall. Sprich beim ersten positiven Hit wird der Rest der Regel nicht mehr abgearbeitet.
evgnbz
evgnbz 30.03.2023 aktualisiert um 08:16:39 Uhr
Goto Top
zwei fragen
1) wie sollte die wan seite für 0815 konfiguration aussehen, sprich alles von außen blockieren muss man da etwas extra eintragen?
2) soweit ichs verstanden habe arbeitet die firewall mit whitelist dh dass die regel "blockiere private netzwerke" überflüssig sein sollte
aqui
aqui 30.03.2023 aktualisiert um 10:35:20 Uhr
Goto Top
Ad 1.)
Nein, man muss nichts eintragen, die Firewall kommt per Default mit wasserdichten WAN Port Settings die ALLES blocken.
Ad 2.)
Firewalls arbeiten bekanntlich generell immer mit Whitelists. Es ist alles geblockt was nicht explizit erlaubt wird. Das ist aber Firewall Grundschule, erste Klasse! face-wink
Ad 3.)
"Zur Lizenzfrage: die deutsche Rechtschreibung ist Freeware, jeder darf sie nutzen. Sie ist aber NICHT OpenSource, das heißt, der Nutzer darf sie nicht verändern!"
evgnbz
evgnbz 30.03.2023 um 13:34:35 Uhr
Goto Top
Zitat von @aqui:

Ad 3.)
"Zur Lizenzfrage: die deutsche Rechtschreibung ist Freeware, jeder darf sie nutzen. Sie ist aber NICHT OpenSource, das heißt, der Nutzer darf sie nicht verändern!"
03782
leon98
leon98 23.06.2023 um 15:16:48 Uhr
Goto Top
Hallo zusammen,

nachdem ich weitere VLANs z.B. für Gäste oder das Management erstellt habe und das soweit mit den verschiedenen Regeln läuft, brauche ich nochmal eure Hilfe.

Ich habe ein neues VLAN erstellt, bisher ohne Regeln. An diesem VLAN klemmt ein Gerät, für das ich folgende Infos bezüglich Firewall-Regeln habe:
- offene Ports (z.B. 13, 80, 443, 1003, 5938)
- Ausgang zum Gerät frei

Welche Regeln muss ich also erstellen, gerade im Hinblick auf die benötigten Ports?

Gruß Leon
aqui
aqui 23.06.2023 aktualisiert um 15:45:05 Uhr
Goto Top
I tell you because it's a pita to read text with wrong small or captial letter usage! 😡

Ich habe ein neues VLAN erstellt, bisher ohne Regeln.
Das heisst dann: alles verboten
Welche Regeln muss ich also erstellen
WAS willst du denn genau für dieses Gerät erreichen?
Für eine zielführende Hilfe wäre es nötig das einmal genau zu definieren, was du leider nicht gemacht hast. Bleibt nur freitägliches Kristallkugeln. 🐟 face-sad
  • Das es nur auf diesen Ports angesprochen werden kann?
  • Das es nur auf diese Ports antwortet bzw. nur established Traffic dieser Ports durchkommt sonst nix?
  • Das das Gerät selber nirgendwo hinkommt lokal oder Internet?
  • Das es selber nur auf bestimmten Ports irgendwo hinkommt?
  • Muss es Systemdiense wie DNS (TCP/UDP 53) oder DHCP erreichen können?
Fragen über Fragen....?? face-sad

Nochmals zur Erinnerung die goldenen Grundregeln:
  • Regeln wirken nur INboud, also VOM Netzwerk Draht IN das FW Interface rein!
  • Es gilt: "First match wins" also der erste positive Hit bewirkt das der Rest des Regelwerkes nicht mehr abgearbeitet wird. Bedeutet: Reihenfolge zählt!
leon98
leon98 23.06.2023 um 21:54:57 Uhr
Goto Top
Das Gerät soll in beide Richtungen kommunizieren können und benötigt dafür die oben genannten Ports (die müssen wohl als Alias angelegt werden).

INbound müsste ich dann also eine Regel haben die den Port-Alias erlaubt.
OUTbound, also von der Firewall zum Gerät ist ja alles erlaubt, sprich da ist alles offen und frei.
Richtig?

DNS wäre vielleicht sinnvoll (TCP/UDP VLAN50 net * LAN Adress 53 (DNS) *). Für DHCP müsste auch ein weiterer Port freigeben werden.
aqui
Lösung aqui 23.06.2023 aktualisiert um 22:21:47 Uhr
Goto Top
Warum nimmst du denn keine simple Scheunentor Regel wenn dies nur der einzige Host in dem VLAN ist?!
Ein PASS ipv4+v6 Source: vlanx_net, any - Destination: any, any
löst dann doch die Anforderung.
Damit kann dann jeder zum Host und der Host kann überall hin, fertisch! Einfacher gehts nicht. face-wink
Für DHCP müsste auch ein weiterer Port freigeben werden.
Nein, das brauchst du nicht. DHCP kann immer durch eine Default Regel passieren.
leon98
leon98 23.06.2023 um 22:46:35 Uhr
Goto Top
Zitat von @aqui:

Warum nimmst du denn keine simple Scheunentor Regel wenn dies nur der einzige Host in dem VLAN ist?!
Ein PASS ipv4+v6 Source: vlanx_net, any - Destination: any, any
löst dann doch die Anforderung.
Damit kann dann jeder zum Host und der Host kann überall hin, fertisch! Einfacher gehts nicht. face-wink

Stimmt und sicherheitsmäßig dürfte das aufgrund der Richtung keinen Unterschied machen…

Für DHCP müsste auch ein weiterer Port freigeben werden.
Nein, das brauchst du nicht. DHCP kann immer durch eine Default Regel passieren.
aqui
Lösung aqui 24.06.2023 aktualisiert um 09:38:24 Uhr
Goto Top
und sicherheitsmäßig dürfte das aufgrund der Richtung keinen Unterschied machen…
So ist es, denn wenn du den Zugriff auf diesen Host für bestimmte Clients blocken willst machst du das immer auf den Interfaces dieser Clients, nicht aber am Interface wo dieser Host arbeitet. face-wink