noizede
Goto Top

Verständnisfrage - pfSense Regel

Liebes Forum!

Nachdem ich mein Problem mit der Reaktionsgeschwindigkeit bei der pfSense gelöst habe (Pfsense - PPTP Modem Problem (kein Internet)) steige ich gerade tiefer in die Firewall Regelwelt ein.

Nur leider habe ich gerade einen Knoten, welcher das LAN Thema bei der pfSense in Verbindung mit Vlans betrifft.

Zitat aus dem Tutorial von aqui:
Wichtig ist hierfür immer das sog. Parent Interface (Basis Interface) an der pfSense, zu dem die VLANs bzw. deren ID Taggings korrespondieren.
Will man also wie hier im Beispiel das LAN Interface (vr0) als sog. "Parent" Interface für die VLANs verwenden, dann wird das Default VLAN 1 hier untagged übertragen und alle weiteren VLANs auf diesem Interface mit einem 802.1q Tag versehen, denn entsprechende VLAN fähige Switches dann wieder verstehen.

Somit habe ich ja nun neben den Vlans auch (mögliche) Regeln für das LAN Interface. Und da ist mir nicht klar, was ich genau definieren soll. So verstehe ich es:
- Lan = Vlan1
- das Vlan1 lege ich eben nicht bewusst als Vlan Interface an, sondern eben ist gegeben durch das Lan
-- Im Vergleich dazu lege ich eben Vlan 10, 20, etc. an (dort sind mir die Regeln klarer)
- Über das Lan = Vlan1 läuft der Management PC und auch der HP Switch der an der pfSense hängt

Nun finde ich aber leider kein Beispiel wie ich dieses LAN bei den Regeln behandeln soll. Was muss ich hier erlauben/verbieten? Ich finde zu zig Themen Beispiele, aber nie zum Vlan1 (Lan) Reiter. Zum Beispiel in dem Beitrag sehe ich überhaupt keine Regeln/Infos zu dem Thema "LAN/Vlan1": Mit PFSense Drucker in einem per VLAN getrennten WLAN Netz verfügbar machen

Da fehlt mir leider komplett das mentale Modell dazu. Beispiele in meinem Kopf:
- Internet erlauben sonst kann ich den Management PC ja nicht updaten
- Muss ich hier explizit den Zugriff erlauben auf die Vlans bzw. wenn gewünscht untereinander?
- Muss ich umgekehrt in den anderen Vlans Regeln für Vlan 1 (=Lan) erstellen?

Aktuell läuft alles perfekt, da ich einfach eine Scheunentor Regel bei LAN habe.

Einen weiteren Knoten habe ich bei:
- in jedem Vlan ist die pfsense erreichbar unter 10.226.xx.1 (wobei xx für die Vlan ID steht, also Vlan10 = 10, etc.)

Ich würde nun je Vlan eine Regel erstellen, dass diese URL nicht erreibar sein sollte, oder?

Danke euch schon vorab! liebe Grüße

noizede

Content-ID: 286822

Url: https://administrator.de/forum/verstaendnisfrage-pfsense-regel-286822.html

Ausgedruckt am: 25.12.2024 um 19:12 Uhr

theoberlin
Lösung theoberlin 27.10.2015, aktualisiert am 30.10.2015 um 10:39:08 Uhr
Goto Top
Hi Noizede,

zu deinem VLAN Problem habe ich attock keine sichere Antwort weile meine hier ohne VLANs arbeitet. Aber rein von der theoretischen herangehensweise würde ich vermuten:

Regel erstellen im LAN Reiter (weil parent Interface) und dort als Source bzw. Destination das Subnetz deines VLANs angeben. Du hast ja pro Vlan eine PfSens IP über die zwischen den VLANs geroutet wird. Dein gateway.

Also folgendes Setting:

LAN (VLAN 1) 10.226.1.1
LAN (VLAN 10) 10.226.10.1
LAN (VLAN 20) 10.226.20.1


Management Zugriff aus VLAN1

Permit
Source 10.226.1.0/24 Destination 10.226.1.1 Port 443 (und 80)

Internet aus VLAN10

Permit
Source 10.226.10.0/24 Destination Any Port 80,443,53,blablabla (DNS (53) ist UDP und TCP!)

VLAN20 in VLAN10

Permit
Source 10.226.20.0/24 Destination 10.226.10.0/24 Port any


Was den zweiten Teile deine Frage angeht:

Du musst am Beginn des Regelwerkes den Zugriff auf das Management Interface über Deny Regeln einrichten.

Bedenke: Das Regelwerk wird von oben nach unten abgearbeitet. First Hit zählt. Nicht aussperren ;)

War jetzt erstmla nur so hingeschrieben vielleicht hilft es dir ja.

lg
Theo
108012
108012 27.10.2015 um 21:07:06 Uhr
Goto Top
Hallo,

bald ist Winter und an den kalten Winterabenden kann man sich auch einmal hinsetzen und dann
ein wenig lesen und dazu gibt es doch tatsächlich zwei pfSense Bücher die man sich durchlesen
kann, erschwinglich sind die auch.

Ich gehe noch einen unter @theoberlin, von "wo kommt es und nach wo geht es" (das Paket)
und vor allem "was darf es" so kann man es auf dem untersten Level ausdrücken.

Gruß
Dobby
michi1983
michi1983 27.10.2015 um 21:23:04 Uhr
Goto Top
attock
Wie bitte? 0.o
noizede
noizede 28.10.2015 um 09:44:41 Uhr
Goto Top
Vielen Dank für die Inputs und die Herangehensweise von theoberlin - das wäre auch mein Ansatz gewesen.

Buch wurde gerade bestellt: http://www.amazon.de/pfSense-Definitive-English-Christopher-Buechler-eb ...

Obwohl das Lesen wird knapp mit 60 Stunden Job und einem Nachwuchs mit 3 Wochen - da hilft auch der Winterabend nicht face-smile

Aber verstehen tue ich es noch immer nicht ganz zu 100% - und bevore ich herumexperementiere, wollte ich eben das Modell dahinter verstehen. Vielleicht hilft ja das Buch face-smile

Noch ein wenig geholfen hat mir der Beitrag: https://calvin.me/block-traffic-vlan-pfsense/

So wie ich es nun verstehe, würde ich bei den LAN Regeln (=Vlan1 in meinem Verständnis) es so machen:
- Source LAN / Destination * / Port * -> erlauben (also LAN darf alles)
- und sonst eben gar keine Einstellungen im LAN Treffen (ausser meinen Balancing Regeln, aber das beinfluss ja nicht das Vlan Thema)

Dann würde ich eine Floating Regel erstellen für Vlans (ausser eben LAN) die NICHTauf die pfSense GUI dürfen (wie im Link dargestellt)

Und dann je Vlan die Regeln erstellen wer darf was bzw. was dürfen die Vlans untereinander. (was mir ja schon klar war, aber eben nicht das zusammenspiel über das LAN).

Danke!
aqui
Lösung aqui 28.10.2015, aktualisiert am 30.10.2015 um 10:39:13 Uhr
Goto Top
Somit habe ich ja nun neben den Vlans auch (mögliche) Regeln für das LAN Interface.
Ja richtig ! Das ist ja quasi das "Basis" Interface was die untagged Pakets sendet. Wenn du so willst vergleichbar mit dem "Default VLAN" bei einem Switch !
Für das Interface gelten natürlich in einer Firewall exakt die gleichen Regelvorschriften wie auch für denn virtuelle tagged Interface darauf...logisch ! Interface ist Interface !
das Vlan1 lege ich eben nicht bewusst als Vlan Interface an, sondern eben ist gegeben durch das Lan
Logisch richtig aber in jedem Switch ist auf einem tagged Uplink IMMER das Default VLAN untagged mit drauf. Entsprechend auch bei der Firewall (Parent, Basis Interface)
Viele Switches bieten aber die Option dieses abzuschalten. Bei der Firewall reicht es einfach dort keine IP zu definieren, dann wird es auch nicht verwendet.
Alternativ richtest du dort eine Blocking any zu any Regel ein die keinerlei Traffic durchlässt. (Was übrigens IMMER die Default Regel ist bei einer Firewall !!)
Nun finde ich aber leider kein Beispiel wie ich dieses LAN bei den Regeln behandeln soll. Was muss ich hier erlauben/verbieten?
Sorry, aber WIE denkst du denn sollen wir dir diese Frage beantworten ???
Wir können doch niemals wissen WIE du mit diesem IP Segment umgehen willst ? Was willst du blocken, was erlauben usw.
Da können wir nur im freien Fall raten oder die Kristallkugel befragen !
In so fern ist deine Frage vollkommen sinnfrei zu dem Thema !
Da fehlt mir leider komplett das mentale Modell dazu. Beispiele in meinem Kopf:
Ohh ja...das merkt man an der Fragestellung !

Mach es dir ganz einfach:
Vom Parent Interface kommen immer untagged Pakete. Folglich haben diese Pakete KEINE Kennung bzw. VLAN ID.
Woher sollte die auch kommen wenns keine gibt ?!
Das diese Pakete in VLAN 1 kommen entspreht also nur in deinem Kopf bzw. liegt am Switch.
Bei Switches ist es so da sie untagged Traffic der an tagged Ports bei ihnen anliegen per Default immer in das Default sprich Native VLAN forwarden. Was ja nun mal das VLAN 1 ist.
So kommt es also das dieser untagged Traffic immer in VLAN 1 ist.
Das muss aber logischerweise nicht so sein !
Jedem (guten) Switch kannst du am Port sagen WO er untagged Traffic hin forwarden soll. Du kannst ihm also auch sagen das Native (Default) VLAN ist am Port x das VLAN 10 !
Dann schiebt der Switch alle untagged Packete an deisem Port eben ins VLAN 10.
Das sollte nun dein "mentales Modell" hoffentlich etwas zurechtrücken, denn das "Modell" dahinter ist kinderleicht und simpel !

Aktuell läuft alles perfekt, da ich einfach eine Scheunentor Regel bei LAN habe.
Na ja zu dem ziemlichen Blödsinn muss man wohl nix mehr kommentieren hier !
Da fragt man sich allen Ernstes warum du denn überhaupt eine Firewall nutzt. Mit solchen sinnfreien regeln kannst du sie ja besser gleich ganz weglassen.
Ich würde nun je Vlan eine Regel erstellen, dass diese URL nicht erreibar sein sollte, oder?
Oha...nun kommt aber der freie Fall ??
Was bitte hat eine Regel mit einer URL zu tun ?? Fisch und Fahrrad !!!
Mit URL meinst du eine HTTP URL oder WAS genau willst du uns mit diesem Kauderwelsch sagen bzw. WAS ist für dich eine "URL" ??

Zum Thema tagged und untagged Traffic auf den Parent Interfaces bzw. Default VLANs ist ja oben jetzt alles gesagt und du solltest da den Durchblick haben jetzt !
Dann musst du nur noch die simplen Grundregeln bei den Firewall Rules beachten und dich daran halten:
  • Die Regeln gelten nur INBOUND sprich also für Pakete die sich vom Draht (LAN Segment) IN die Firewall hinenbewegen. Deshalb hier immer auf richtige Source und destination IP achten UND auch entsprechend Source und Destination Port wenn du nach Anwendungen filtern willst !
  • Es gilt First match wins ! Bedeutet soviel das bei ersten positiven Hit in einem Firewall Regelwerk an einem Port die nachfolgenden Regelen NICHT mehr abgearbeitet werden. Erlaubst du also was in der ersten Regel und verbietest es in einer folgenden greift das logischerweise dann nicht ! Reihenfolge zählt hier also im Regelwerk !!! Normal kommen die Verbotsregelen also immer zuerst bevor man dann hinterher erlaubt.
Mehr muss man nicht wissen !
So, damit sollte dann nun trotz Job, Frau, Baby und was du sonst noch für Ausreden hast nun hoffentlich der Groschen gefallen sein ?!
theoberlin
theoberlin 28.10.2015 um 11:07:39 Uhr
Goto Top
Hi Noizede,

ja so sollte das klappen.

Dann ja nurnoch ein gelöst face-smile

lg
Theo
noizede
noizede 30.10.2015 um 11:43:28 Uhr
Goto Top
Hallo und vielen Dank!

Mit den Informationen kann ich schon sehr viel weiter anfangen und einiges ist mir klarer.

Ich denke mein Grundproblem war um Verständnis mit "Parent Interface" beim LAN. Da hatte ich die falsche Vorstellung und dachte durch den Begriff "Parent" wirken sich hier Regeln auf die Vlans aus (also vom Parent ausgehend auf die "Kinder). Auch das Verständnis was genau in dem Segmen "Lan" passiert ist mir nun klarer.

Somit vielen Dank und lg Noizede

Ich darf nur kurz auf die aqui Fragen antworten, da ich es nicht gut finde in einem Forum auf Fragen nicht einzugegehen als TO, auch wen gelöst:

- ad Scheunentoregel:
ja, das dies Mist ist, war mir klar. Ich meinte damit auch nur in dem Segment Lan habe ich diese Regel. Und eigenlich war es falscher Begriff von mir. Nicht komplette Scheunentorregel sondern ich habe dort: Source: LAN -> darf alles -> werde dies aber nun enger ziehen

- ad Frage nach Beispiele im Segment "Lan"
Da fehlte mir eben komplett das Verständnis was in dem Segment "passiert". Ich interpretiere es nun so für mich: Dieses Segment (LAN) ist eben gleich Vlan 1 was eben gleich mein Management Lan ist. Hier muss ich natürlich erlauben auf die pfSense GUI zuzugreifen um diese zu verwalten. In diesem Segment hängt nur 1 Device (PC) der eben für die Verwaltung zuständig ist. Dies ist der einzige Rechner der auf die GUI der pfSense kommen darf sowie auf andere Netzwerkgeräte wie eben den Switch und die 2 Modems. Alle anderen Vlans werden geblocked. Sonst benötigt dieses Segment noch HTTP/S Zugang für etwaige Updates auf dem Verwaltungsrechner. Sonst darf er nichts ...

- ad URL nicht erreichbar:
sorry, falsches Wording mit "URL" -> gemeint war: Vlans ausser eben Vlan1 dürfen die jeweilige IP der pfSense nicht erreichen.
aqui
aqui 30.10.2015 aktualisiert um 12:10:16 Uhr
Goto Top
Parent ist auch ungebräuchlich. Besser ist hier immer der übliche Begriff "Native VLAN" oder "Default VLAN".
pfSense bezieht das Parent aber auf das Interface auf dem die Childs sprich die VLANs aufsetzen. In so fern passt die Bezeichnung schon genau denn es kann ja mehrere Interfaces geben bei einer FW. Nur ein völliger Laie ist dann oft verwirrt was damit gemeint sein könnte, da er die Begriffe aufgrund seiner Unkenntniss der Matiere dann nicht zuordnen kann.

Was den Rest anbetrifft solltes du nicht so eine weinerliche Mimose sein ! Wenn man sich als völliger Laie wie du bewusst in ein Administrator Forum wagt sollte dir schon klar das der Ton mal etwas rauer wird. Das muss noch lange nicht heissen das du hier niedergemacht wirst.
Fazit: Also etwas weniger beleidigte Leberwurst und etwas mehr proaktiv sein !
Kannst oder willst du das nicht, bist du bei http://www.gutefrage.de sicher besser aufgehoben. face-wink
michi1983
michi1983 30.10.2015 um 11:56:19 Uhr
Goto Top
Zitat von @aqui:
Was den Rest anbetrifft solltes du nicht so eine weinerliche Mimose sein ! Wenn man sich als völliger Laie wie du bewusst in ein Administrator Forum wagt sollte dir schon klar das der Ton mal etwas rauer wird. Das muss noch lange nicht heissen das du hier niedergemacht wirst.
Fazit: Also etwas weniger beleidigte Leberwurst und etwas mehr proaktiv sein !
Kannst oder willst du das nicht, bist du bei http://www.gutefrage.de sicher besser aufgehoben. face-wink
Ich glaube das hast du falsch verstanden @aqui face-wink
Der TO wollte aus Respekt die Fragen die du ihm gestellt hast beantworten weil er eben findet, dass Fragen die an den TO gerichtet werden auch beantwortet werden, selbst wenn das Thema bereits gelöst ist.

Just my 2 cents face-wink
noizede
noizede 30.10.2015 um 12:02:04 Uhr
Goto Top
Danke @michi1983!

Genau so war es gemeint und keine Spur von Leberwurst & Beleidigt! War ja richtiger Input von dir @aqui und gebe dir ja recht face-smile (selbst Schuld wenn ich zB URL statt IP schreibe, etc.)

lg Noizede

PS: und ja finde es wirklich eine Unart wenn ich Threads lese wo man dem TO helfen will, und er reagiert nicht auf Fragen. Im realen leben drehe ich mich ja auch nicht um und gehe ...
aqui
aqui 30.10.2015 aktualisiert um 12:11:45 Uhr
Goto Top
Ich nehme alles zurück und behaupte das Gegenteil. Sorry für die Verwirrung !
Das mit dem umdrehen und gehen war ein gutes Beispiel was leider hier oft passiert. Noch schlimmer sind die die sich dann auch gleich noch wieder abmelden.
Aber für letztere gibts ja dann immer @Biber 's Papierkorb
noizede
noizede 30.10.2015 um 12:17:21 Uhr
Goto Top
Kein Thema und schönes Wochenende face-smile

Das mit Gegenteil finde ich es jetzt sehr lässig von Dir - d.h. ich bin jetzt "offiziell" Profi und kein Laie mehr face-smile
aqui
aqui 30.10.2015 um 12:44:54 Uhr
Goto Top
Das ist ja immer Ziel des Forums hier, das man was lernt und so sukzessive zum Profi wird. face-big-smile