23
Rules der pfSense richtig?
Guten Abend,
nachdem ich gestern die pfSense aufgesetzt hatte, musste ich heute natürlich gleich vieles ausprobieren
Meine Rules für das LAN-Interface sehen jetzt so aus:
Damit möchte ich grundlegend den Zugriff auf andere Netze blockieren. Natürlich soll man trotzdem noch das Internet erreichen....
Mit den Rules und der Reihenfolge wie im Bild zu sehen, klappt das mit dem Internet-Zugang und dem Blockieren anderer Netze. Rules wie das erlauben fürs pingen musste ich noch einfügen, nachdem es beim testen nicht klappte
Hab ich irgendetwas wichtiges vergessen oder sollte ich noch andere Sachen blockieren / freigeben?
Gruß Leon
nachdem ich gestern die pfSense aufgesetzt hatte, musste ich heute natürlich gleich vieles ausprobieren
Meine Rules für das LAN-Interface sehen jetzt so aus:
Damit möchte ich grundlegend den Zugriff auf andere Netze blockieren. Natürlich soll man trotzdem noch das Internet erreichen....
Mit den Rules und der Reihenfolge wie im Bild zu sehen, klappt das mit dem Internet-Zugang und dem Blockieren anderer Netze. Rules wie das erlauben fürs pingen musste ich noch einfügen, nachdem es beim testen nicht klappte
Hab ich irgendetwas wichtiges vergessen oder sollte ich noch andere Sachen blockieren / freigeben?
Gruß Leon
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 6548276616
Url: https://administrator.de/contentid/6548276616
Printed on: May 2, 2024 at 11:05 o'clock
23 Comments
Latest comment
Hallo,
Meiner Meinung nach: fast richtig.
1. Nimm nicht "This Firewall", sondern die LAN Address als Destination.
Ich weiß es nicht mehr genau was, aber "This Firewall" hat einige unangenehme Neneneffekte.
2. Allow NTP aus dem LAN zu der Firewall fehlt noch wenn du die pfSense als NTP Server in deinem Netzwerk einsetzt.
3. ggf noch SSH auf die Firewall erlauben
4. entferne die Lockout Regel
5. reduziere HTTPS (und SSH) Zugriff auf wenige Geräte, nicht das ganze LAN.
6. stelle an den Anfang eine Regel IPv6 deny any to any.
Gruß
CH
Meiner Meinung nach: fast richtig.
1. Nimm nicht "This Firewall", sondern die LAN Address als Destination.
Ich weiß es nicht mehr genau was, aber "This Firewall" hat einige unangenehme Neneneffekte.
2. Allow NTP aus dem LAN zu der Firewall fehlt noch wenn du die pfSense als NTP Server in deinem Netzwerk einsetzt.
3. ggf noch SSH auf die Firewall erlauben
4. entferne die Lockout Regel
5. reduziere HTTPS (und SSH) Zugriff auf wenige Geräte, nicht das ganze LAN.
6. stelle an den Anfang eine Regel IPv6 deny any to any.
Gruß
CH
Guten Morgen,
zu 1: Ich habe gerade mal geschaut, mit „this Firewall“ erlaubt man auch den
Zugriff auf alle anderen Interfaces und so
ich werde dies also auf die LAN IP-Adresse ändern
zu 2: ist bisher nicht geplant, aber wird im Hinterkopf behalten
zu 3: wird bisher nicht benötigt
zu 4: meinst du meine eigene Regel oder die Default Regel die durch die
Einstellung entsteht, dass man sich nicht aussperren kann?
Oder meinst du generell diese Art von Regel? Wahrscheinlich nicht, weil
man sich sonst aussperren kann.
zu 5: mache ich, sobald ich die endgültigen Adressen z.B. vom PC habe
zu 6: wird gleich noch ergänzt
Floating Rules gibt es bisher keine. Für das WAN gibt es die zwei default Rules die blocken.
Sollten mal VLANs dazu kommen, verschiebe ich doch die oben zusehenden Rules dann in mein privates VLAN und erlaube z.B. dem Gast-VLAN nur den Zugriff auf das Internet und den DNS, oder?
Gruß Leon
zu 1: Ich habe gerade mal geschaut, mit „this Firewall“ erlaubt man auch den
Zugriff auf alle anderen Interfaces und so
ich werde dies also auf die LAN IP-Adresse ändern
zu 2: ist bisher nicht geplant, aber wird im Hinterkopf behalten
zu 3: wird bisher nicht benötigt
zu 4: meinst du meine eigene Regel oder die Default Regel die durch die
Einstellung entsteht, dass man sich nicht aussperren kann?
Oder meinst du generell diese Art von Regel? Wahrscheinlich nicht, weil
man sich sonst aussperren kann.
zu 5: mache ich, sobald ich die endgültigen Adressen z.B. vom PC habe
zu 6: wird gleich noch ergänzt
Floating Rules gibt es bisher keine. Für das WAN gibt es die zwei default Rules die blocken.
Sollten mal VLANs dazu kommen, verschiebe ich doch die oben zusehenden Rules dann in mein privates VLAN und erlaube z.B. dem Gast-VLAN nur den Zugriff auf das Internet und den DNS, oder?
Gruß Leon
Hi,
zu 4.: ich meinte die gefault Regel, du hast ja eine eigene erstellt.
Gruß
CH
zu 4.: ich meinte die gefault Regel, du hast ja eine eigene erstellt.
Gruß
CH
6. stelle an den Anfang eine Regel IPv6 deny any to any.
Wozu das?Wäre doch unsinnig wenn der TO einen WAN Anschluss hat mit Dual Stack?! Dann v6 ganz auszuschliessen wäre falsch.
Per default hat steht die Firewall bei WAN auf DHCP, sowohl IPv4 als auch IPv6. Im privaten Netzwerk wird aber keine IPv6 verwendet.
Warum? Wenn der Provider Dual Stack anbietet wäre das ja ein Konfig Fehler.
Ich informiere mich mal…
Sofern ich alle Geräte in VLANs gelegt habe, hat das LAN Interface ja erstmal keine Funktion mehr außer die Adresse der Firewall oder?
Weil dann könnte ich ja DHCP auf LAN deaktivieren und die VLANs bräuchten ja auch keinen Zugriff auf das LAN net, sondern nur auf die Firewall.
Sofern ich alle Geräte in VLANs gelegt habe, hat das LAN Interface ja erstmal keine Funktion mehr außer die Adresse der Firewall oder?
Weil dann könnte ich ja DHCP auf LAN deaktivieren und die VLANs bräuchten ja auch keinen Zugriff auf das LAN net, sondern nur auf die Firewall.
hat das LAN Interface ja erstmal keine Funktion mehr außer die Adresse der Firewall oder?
Nein, das ist so nicht ganz richtig.Das physische LAN Interface ist bei VLAN Nutzung auf diesem Interface immer das Parent Interface und damit ein vollwertiges IP Netzsegement. Der Traffic von diesem Interface wird immer UNtagged ausgesendet, entspricht damit also dem Native VLAN bzw. PVID VLAN.
Traffic wird (und kann) aber nur ausgesendet werden wenn das Interface auch eine IP Adresse konfiguriert hat. Ansonsten existiert schlicht kein PVID VLAN.
In der Regel wir das Parent Interface fürs Management VLAN genutzt in Verbindung mit einem entsprechenden Regelwerk weil es als physisches Interface immer UNtagged erreichbar ist, also auch ohne VLAN Switch, was bei den virtuellen VLAN Interfaces nicht immer gewährleistet ist.
Ein Management Interface trennt immer den Management Zugriff von VLANs mit Produktiv- oder Gasttraffic von denen man üblicherweise keinen Zugriff auf die Infrastruktur Konfiguration haben möchte.
Details dazu beschreibt das hiesige Layer 2 VLAN Tutorial im Kapitel pfSense / OPNsense VLAN.
Wie immer: Lesen und verstehen...
Okay, bisher hatte ich ein Management VLAN geplant, mit eigenem DHCP Server und meine ganzen Netzwerk-Geräte unterstützen auch ein Management mit anderer VLAN ID.
Mir ist jetzt nur noch nicht ganz klar, welche Variante besser ist, Management im Native VLAN oder in einem anderen VLAN?
Mir ist jetzt nur noch nicht ganz klar, welche Variante besser ist, Management im Native VLAN oder in einem anderen VLAN?
Da gibts kein besser und schlechter, das ist schlicht eigene Geschmackssache. Für ein Management auf dem PVID VLAN spricht das es immer ohne Tagging einfach erreichbar ist. Wenn es das Default PVID Fallback VLAN ist erfordert es ein gutes Regelwerk. Das muss man aber immer selber entscheiden was einem da dann wichtig ist.
Hier noch mal eine Übersicht der angepassten Rules, als Hilfe für andere Anfänger
Eine korrigierte Version steht weiter unten...
Eine korrigierte Version steht weiter unten...
Du hast wieder einen Fehler drin. 
Als Destination beim Firewall GUI und Ping Zugriff solltest du nicht eine dedizierte IP angeben sondern aus guten Gründen IMMER den dafür vordefinierten System Alias LAN_IPaddress verwenden!! Wurde dir oben auch schon mehrfach gesagt.
Die generelle Allow Regel könnte man etwas sinnvoller gestalten indem du die überflüssige Blocking Regel für die Privaten Netze entfernst und diese dann bei der allgemeinen Regel als negiert ("!" davor) eingibst was dann bedeutet an alles forwarden außer den privaten Alias.
Doch nicht so ein leuchtendes Beispiel für Anfänger... 🧐
Als Destination beim Firewall GUI und Ping Zugriff solltest du nicht eine dedizierte IP angeben sondern aus guten Gründen IMMER den dafür vordefinierten System Alias LAN_IPaddress verwenden!! Wurde dir oben auch schon mehrfach gesagt.
Die generelle Allow Regel könnte man etwas sinnvoller gestalten indem du die überflüssige Blocking Regel für die Privaten Netze entfernst und diese dann bei der allgemeinen Regel als negiert ("!" davor) eingibst was dann bedeutet an alles forwarden außer den privaten Alias.
Doch nicht so ein leuchtendes Beispiel für Anfänger... 🧐
Ah das mit der LAN_adress war ein Missverständnis. Ich hatte nicht an den Alias gedacht...
So jetzt sollte es aber passen.
Achso wenn ich jetzt noch den Zugriff auf andere Netze freigebe, muss dass dann aber vor die erlaube alles außer private Netzwerke oder?
So jetzt sollte es aber passen.
Achso wenn ich jetzt noch den Zugriff auf andere Netze freigebe, muss dass dann aber vor die erlaube alles außer private Netzwerke oder?
So jetzt sollte es aber passen.
Vorbildlich!! 👍noch den Zugriff auf andere Netze freigebe
Wenn diese "anderen Netze" im Bereich des geblockten Aliases Private Netzwerke liegt dann ja. Hier ist deine Fragestellung leider zu wenig präzise. Sonst nein, weil da ja dann die globale Erlaube Regel mit abfackelt.
Es gilt immer First match wins bei der Firewall. Sprich beim ersten positiven Hit wird der Rest der Regel nicht mehr abgearbeitet.
zwei fragen
1) wie sollte die wan seite für 0815 konfiguration aussehen, sprich alles von außen blockieren muss man da etwas extra eintragen?
2) soweit ichs verstanden habe arbeitet die firewall mit whitelist dh dass die regel "blockiere private netzwerke" überflüssig sein sollte
1) wie sollte die wan seite für 0815 konfiguration aussehen, sprich alles von außen blockieren muss man da etwas extra eintragen?
2) soweit ichs verstanden habe arbeitet die firewall mit whitelist dh dass die regel "blockiere private netzwerke" überflüssig sein sollte
Ad 1.)
Nein, man muss nichts eintragen, die Firewall kommt per Default mit wasserdichten WAN Port Settings die ALLES blocken.
Ad 2.)
Firewalls arbeiten bekanntlich generell immer mit Whitelists. Es ist alles geblockt was nicht explizit erlaubt wird. Das ist aber Firewall Grundschule, erste Klasse!
Ad 3.)
"Zur Lizenzfrage: die deutsche Rechtschreibung ist Freeware, jeder darf sie nutzen. Sie ist aber NICHT OpenSource, das heißt, der Nutzer darf sie nicht verändern!"
Nein, man muss nichts eintragen, die Firewall kommt per Default mit wasserdichten WAN Port Settings die ALLES blocken.
Ad 2.)
Firewalls arbeiten bekanntlich generell immer mit Whitelists. Es ist alles geblockt was nicht explizit erlaubt wird. Das ist aber Firewall Grundschule, erste Klasse!
Ad 3.)
"Zur Lizenzfrage: die deutsche Rechtschreibung ist Freeware, jeder darf sie nutzen. Sie ist aber NICHT OpenSource, das heißt, der Nutzer darf sie nicht verändern!"
Zitat von @aqui:
Ad 3.)
"Zur Lizenzfrage: die deutsche Rechtschreibung ist Freeware, jeder darf sie nutzen. Sie ist aber NICHT OpenSource, das heißt, der Nutzer darf sie nicht verändern!"
Ad 3.)
"Zur Lizenzfrage: die deutsche Rechtschreibung ist Freeware, jeder darf sie nutzen. Sie ist aber NICHT OpenSource, das heißt, der Nutzer darf sie nicht verändern!"
Hallo zusammen,
nachdem ich weitere VLANs z.B. für Gäste oder das Management erstellt habe und das soweit mit den verschiedenen Regeln läuft, brauche ich nochmal eure Hilfe.
Ich habe ein neues VLAN erstellt, bisher ohne Regeln. An diesem VLAN klemmt ein Gerät, für das ich folgende Infos bezüglich Firewall-Regeln habe:
- offene Ports (z.B. 13, 80, 443, 1003, 5938)
- Ausgang zum Gerät frei
Welche Regeln muss ich also erstellen, gerade im Hinblick auf die benötigten Ports?
Gruß Leon
nachdem ich weitere VLANs z.B. für Gäste oder das Management erstellt habe und das soweit mit den verschiedenen Regeln läuft, brauche ich nochmal eure Hilfe.
Ich habe ein neues VLAN erstellt, bisher ohne Regeln. An diesem VLAN klemmt ein Gerät, für das ich folgende Infos bezüglich Firewall-Regeln habe:
- offene Ports (z.B. 13, 80, 443, 1003, 5938)
- Ausgang zum Gerät frei
Welche Regeln muss ich also erstellen, gerade im Hinblick auf die benötigten Ports?
Gruß Leon
I tell you because it's a pita to read text with wrong small or captial letter usage! 😡
Für eine zielführende Hilfe wäre es nötig das einmal genau zu definieren, was du leider nicht gemacht hast. Bleibt nur freitägliches Kristallkugeln. 🐟
Nochmals zur Erinnerung die goldenen Grundregeln:
Ich habe ein neues VLAN erstellt, bisher ohne Regeln.
Das heisst dann: alles verbotenWelche Regeln muss ich also erstellen
WAS willst du denn genau für dieses Gerät erreichen?Für eine zielführende Hilfe wäre es nötig das einmal genau zu definieren, was du leider nicht gemacht hast. Bleibt nur freitägliches Kristallkugeln. 🐟
- Das es nur auf diesen Ports angesprochen werden kann?
- Das es nur auf diese Ports antwortet bzw. nur established Traffic dieser Ports durchkommt sonst nix?
- Das das Gerät selber nirgendwo hinkommt lokal oder Internet?
- Das es selber nur auf bestimmten Ports irgendwo hinkommt?
- Muss es Systemdiense wie DNS (TCP/UDP 53) oder DHCP erreichen können?
Nochmals zur Erinnerung die goldenen Grundregeln:
- Regeln wirken nur INboud, also VOM Netzwerk Draht IN das FW Interface rein!
- Es gilt: "First match wins" also der erste positive Hit bewirkt das der Rest des Regelwerkes nicht mehr abgearbeitet wird. Bedeutet: Reihenfolge zählt!
Das Gerät soll in beide Richtungen kommunizieren können und benötigt dafür die oben genannten Ports (die müssen wohl als Alias angelegt werden).
INbound müsste ich dann also eine Regel haben die den Port-Alias erlaubt.
OUTbound, also von der Firewall zum Gerät ist ja alles erlaubt, sprich da ist alles offen und frei.
Richtig?
DNS wäre vielleicht sinnvoll (TCP/UDP VLAN50 net * LAN Adress 53 (DNS) *). Für DHCP müsste auch ein weiterer Port freigeben werden.
INbound müsste ich dann also eine Regel haben die den Port-Alias erlaubt.
OUTbound, also von der Firewall zum Gerät ist ja alles erlaubt, sprich da ist alles offen und frei.
Richtig?
DNS wäre vielleicht sinnvoll (TCP/UDP VLAN50 net * LAN Adress 53 (DNS) *). Für DHCP müsste auch ein weiterer Port freigeben werden.
Warum nimmst du denn keine simple Scheunentor Regel wenn dies nur der einzige Host in dem VLAN ist?!
Ein PASS ipv4+v6 Source: vlanx_net, any - Destination: any, any
löst dann doch die Anforderung.
Damit kann dann jeder zum Host und der Host kann überall hin, fertisch! Einfacher gehts nicht.
Ein PASS ipv4+v6 Source: vlanx_net, any - Destination: any, any
löst dann doch die Anforderung.
Damit kann dann jeder zum Host und der Host kann überall hin, fertisch! Einfacher gehts nicht.
Für DHCP müsste auch ein weiterer Port freigeben werden.
Nein, das brauchst du nicht. DHCP kann immer durch eine Default Regel passieren.Zitat von @aqui:
Warum nimmst du denn keine simple Scheunentor Regel wenn dies nur der einzige Host in dem VLAN ist?!
Ein PASS ipv4+v6 Source: vlanx_net, any - Destination: any, any
löst dann doch die Anforderung.
Damit kann dann jeder zum Host und der Host kann überall hin, fertisch! Einfacher gehts nicht.
Warum nimmst du denn keine simple Scheunentor Regel wenn dies nur der einzige Host in dem VLAN ist?!
Ein PASS ipv4+v6 Source: vlanx_net, any - Destination: any, any
löst dann doch die Anforderung.
Damit kann dann jeder zum Host und der Host kann überall hin, fertisch! Einfacher gehts nicht.
Stimmt und sicherheitsmäßig dürfte das aufgrund der Richtung keinen Unterschied machen…
Für DHCP müsste auch ein weiterer Port freigeben werden.
Nein, das brauchst du nicht. DHCP kann immer durch eine Default Regel passieren.und sicherheitsmäßig dürfte das aufgrund der Richtung keinen Unterschied machen…
So ist es, denn wenn du den Zugriff auf diesen Host für bestimmte Clients blocken willst machst du das immer auf den Interfaces dieser Clients, nicht aber am Interface wo dieser Host arbeitet. 
