Verständnisfrage - pfSense Regel
Liebes Forum!
Nachdem ich mein Problem mit der Reaktionsgeschwindigkeit bei der pfSense gelöst habe (Pfsense - PPTP Modem Problem (kein Internet)) steige ich gerade tiefer in die Firewall Regelwelt ein.
Nur leider habe ich gerade einen Knoten, welcher das LAN Thema bei der pfSense in Verbindung mit Vlans betrifft.
Zitat aus dem Tutorial von aqui:
Wichtig ist hierfür immer das sog. Parent Interface (Basis Interface) an der pfSense, zu dem die VLANs bzw. deren ID Taggings korrespondieren.
Will man also wie hier im Beispiel das LAN Interface (vr0) als sog. "Parent" Interface für die VLANs verwenden, dann wird das Default VLAN 1 hier untagged übertragen und alle weiteren VLANs auf diesem Interface mit einem 802.1q Tag versehen, denn entsprechende VLAN fähige Switches dann wieder verstehen.
Somit habe ich ja nun neben den Vlans auch (mögliche) Regeln für das LAN Interface. Und da ist mir nicht klar, was ich genau definieren soll. So verstehe ich es:
- Lan = Vlan1
- das Vlan1 lege ich eben nicht bewusst als Vlan Interface an, sondern eben ist gegeben durch das Lan
-- Im Vergleich dazu lege ich eben Vlan 10, 20, etc. an (dort sind mir die Regeln klarer)
- Über das Lan = Vlan1 läuft der Management PC und auch der HP Switch der an der pfSense hängt
Nun finde ich aber leider kein Beispiel wie ich dieses LAN bei den Regeln behandeln soll. Was muss ich hier erlauben/verbieten? Ich finde zu zig Themen Beispiele, aber nie zum Vlan1 (Lan) Reiter. Zum Beispiel in dem Beitrag sehe ich überhaupt keine Regeln/Infos zu dem Thema "LAN/Vlan1": Mit PFSense Drucker in einem per VLAN getrennten WLAN Netz verfügbar machen
Da fehlt mir leider komplett das mentale Modell dazu. Beispiele in meinem Kopf:
- Internet erlauben sonst kann ich den Management PC ja nicht updaten
- Muss ich hier explizit den Zugriff erlauben auf die Vlans bzw. wenn gewünscht untereinander?
- Muss ich umgekehrt in den anderen Vlans Regeln für Vlan 1 (=Lan) erstellen?
Aktuell läuft alles perfekt, da ich einfach eine Scheunentor Regel bei LAN habe.
Einen weiteren Knoten habe ich bei:
- in jedem Vlan ist die pfsense erreichbar unter 10.226.xx.1 (wobei xx für die Vlan ID steht, also Vlan10 = 10, etc.)
Ich würde nun je Vlan eine Regel erstellen, dass diese URL nicht erreibar sein sollte, oder?
Danke euch schon vorab! liebe Grüße
noizede
Nachdem ich mein Problem mit der Reaktionsgeschwindigkeit bei der pfSense gelöst habe (Pfsense - PPTP Modem Problem (kein Internet)) steige ich gerade tiefer in die Firewall Regelwelt ein.
Nur leider habe ich gerade einen Knoten, welcher das LAN Thema bei der pfSense in Verbindung mit Vlans betrifft.
Zitat aus dem Tutorial von aqui:
Wichtig ist hierfür immer das sog. Parent Interface (Basis Interface) an der pfSense, zu dem die VLANs bzw. deren ID Taggings korrespondieren.
Will man also wie hier im Beispiel das LAN Interface (vr0) als sog. "Parent" Interface für die VLANs verwenden, dann wird das Default VLAN 1 hier untagged übertragen und alle weiteren VLANs auf diesem Interface mit einem 802.1q Tag versehen, denn entsprechende VLAN fähige Switches dann wieder verstehen.
Somit habe ich ja nun neben den Vlans auch (mögliche) Regeln für das LAN Interface. Und da ist mir nicht klar, was ich genau definieren soll. So verstehe ich es:
- Lan = Vlan1
- das Vlan1 lege ich eben nicht bewusst als Vlan Interface an, sondern eben ist gegeben durch das Lan
-- Im Vergleich dazu lege ich eben Vlan 10, 20, etc. an (dort sind mir die Regeln klarer)
- Über das Lan = Vlan1 läuft der Management PC und auch der HP Switch der an der pfSense hängt
Nun finde ich aber leider kein Beispiel wie ich dieses LAN bei den Regeln behandeln soll. Was muss ich hier erlauben/verbieten? Ich finde zu zig Themen Beispiele, aber nie zum Vlan1 (Lan) Reiter. Zum Beispiel in dem Beitrag sehe ich überhaupt keine Regeln/Infos zu dem Thema "LAN/Vlan1": Mit PFSense Drucker in einem per VLAN getrennten WLAN Netz verfügbar machen
Da fehlt mir leider komplett das mentale Modell dazu. Beispiele in meinem Kopf:
- Internet erlauben sonst kann ich den Management PC ja nicht updaten
- Muss ich hier explizit den Zugriff erlauben auf die Vlans bzw. wenn gewünscht untereinander?
- Muss ich umgekehrt in den anderen Vlans Regeln für Vlan 1 (=Lan) erstellen?
Aktuell läuft alles perfekt, da ich einfach eine Scheunentor Regel bei LAN habe.
Einen weiteren Knoten habe ich bei:
- in jedem Vlan ist die pfsense erreichbar unter 10.226.xx.1 (wobei xx für die Vlan ID steht, also Vlan10 = 10, etc.)
Ich würde nun je Vlan eine Regel erstellen, dass diese URL nicht erreibar sein sollte, oder?
Danke euch schon vorab! liebe Grüße
noizede
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 286822
Url: https://administrator.de/forum/verstaendnisfrage-pfsense-regel-286822.html
Ausgedruckt am: 25.12.2024 um 19:12 Uhr
13 Kommentare
Neuester Kommentar
Hi Noizede,
zu deinem VLAN Problem habe ich attock keine sichere Antwort weile meine hier ohne VLANs arbeitet. Aber rein von der theoretischen herangehensweise würde ich vermuten:
Regel erstellen im LAN Reiter (weil parent Interface) und dort als Source bzw. Destination das Subnetz deines VLANs angeben. Du hast ja pro Vlan eine PfSens IP über die zwischen den VLANs geroutet wird. Dein gateway.
Also folgendes Setting:
LAN (VLAN 1) 10.226.1.1
LAN (VLAN 10) 10.226.10.1
LAN (VLAN 20) 10.226.20.1
Management Zugriff aus VLAN1
Permit
Source 10.226.1.0/24 Destination 10.226.1.1 Port 443 (und 80)
Internet aus VLAN10
Permit
Source 10.226.10.0/24 Destination Any Port 80,443,53,blablabla (DNS (53) ist UDP und TCP!)
VLAN20 in VLAN10
Permit
Source 10.226.20.0/24 Destination 10.226.10.0/24 Port any
Was den zweiten Teile deine Frage angeht:
Du musst am Beginn des Regelwerkes den Zugriff auf das Management Interface über Deny Regeln einrichten.
Bedenke: Das Regelwerk wird von oben nach unten abgearbeitet. First Hit zählt. Nicht aussperren ;)
War jetzt erstmla nur so hingeschrieben vielleicht hilft es dir ja.
lg
Theo
zu deinem VLAN Problem habe ich attock keine sichere Antwort weile meine hier ohne VLANs arbeitet. Aber rein von der theoretischen herangehensweise würde ich vermuten:
Regel erstellen im LAN Reiter (weil parent Interface) und dort als Source bzw. Destination das Subnetz deines VLANs angeben. Du hast ja pro Vlan eine PfSens IP über die zwischen den VLANs geroutet wird. Dein gateway.
Also folgendes Setting:
LAN (VLAN 1) 10.226.1.1
LAN (VLAN 10) 10.226.10.1
LAN (VLAN 20) 10.226.20.1
Management Zugriff aus VLAN1
Permit
Source 10.226.1.0/24 Destination 10.226.1.1 Port 443 (und 80)
Internet aus VLAN10
Permit
Source 10.226.10.0/24 Destination Any Port 80,443,53,blablabla (DNS (53) ist UDP und TCP!)
VLAN20 in VLAN10
Permit
Source 10.226.20.0/24 Destination 10.226.10.0/24 Port any
Was den zweiten Teile deine Frage angeht:
Du musst am Beginn des Regelwerkes den Zugriff auf das Management Interface über Deny Regeln einrichten.
Bedenke: Das Regelwerk wird von oben nach unten abgearbeitet. First Hit zählt. Nicht aussperren ;)
War jetzt erstmla nur so hingeschrieben vielleicht hilft es dir ja.
lg
Theo
Hallo,
bald ist Winter und an den kalten Winterabenden kann man sich auch einmal hinsetzen und dann
ein wenig lesen und dazu gibt es doch tatsächlich zwei pfSense Bücher die man sich durchlesen
kann, erschwinglich sind die auch.
Ich gehe noch einen unter @theoberlin, von "wo kommt es und nach wo geht es" (das Paket)
und vor allem "was darf es" so kann man es auf dem untersten Level ausdrücken.
Gruß
Dobby
bald ist Winter und an den kalten Winterabenden kann man sich auch einmal hinsetzen und dann
ein wenig lesen und dazu gibt es doch tatsächlich zwei pfSense Bücher die man sich durchlesen
kann, erschwinglich sind die auch.
Ich gehe noch einen unter @theoberlin, von "wo kommt es und nach wo geht es" (das Paket)
und vor allem "was darf es" so kann man es auf dem untersten Level ausdrücken.
Gruß
Dobby
Somit habe ich ja nun neben den Vlans auch (mögliche) Regeln für das LAN Interface.
Ja richtig ! Das ist ja quasi das "Basis" Interface was die untagged Pakets sendet. Wenn du so willst vergleichbar mit dem "Default VLAN" bei einem Switch !Für das Interface gelten natürlich in einer Firewall exakt die gleichen Regelvorschriften wie auch für denn virtuelle tagged Interface darauf...logisch ! Interface ist Interface !
das Vlan1 lege ich eben nicht bewusst als Vlan Interface an, sondern eben ist gegeben durch das Lan
Logisch richtig aber in jedem Switch ist auf einem tagged Uplink IMMER das Default VLAN untagged mit drauf. Entsprechend auch bei der Firewall (Parent, Basis Interface)Viele Switches bieten aber die Option dieses abzuschalten. Bei der Firewall reicht es einfach dort keine IP zu definieren, dann wird es auch nicht verwendet.
Alternativ richtest du dort eine Blocking any zu any Regel ein die keinerlei Traffic durchlässt. (Was übrigens IMMER die Default Regel ist bei einer Firewall !!)
Nun finde ich aber leider kein Beispiel wie ich dieses LAN bei den Regeln behandeln soll. Was muss ich hier erlauben/verbieten?
Sorry, aber WIE denkst du denn sollen wir dir diese Frage beantworten ???Wir können doch niemals wissen WIE du mit diesem IP Segment umgehen willst ? Was willst du blocken, was erlauben usw.
Da können wir nur im freien Fall raten oder die Kristallkugel befragen !
In so fern ist deine Frage vollkommen sinnfrei zu dem Thema !
Da fehlt mir leider komplett das mentale Modell dazu. Beispiele in meinem Kopf:
Ohh ja...das merkt man an der Fragestellung !Mach es dir ganz einfach:
Vom Parent Interface kommen immer untagged Pakete. Folglich haben diese Pakete KEINE Kennung bzw. VLAN ID.
Woher sollte die auch kommen wenns keine gibt ?!
Das diese Pakete in VLAN 1 kommen entspreht also nur in deinem Kopf bzw. liegt am Switch.
Bei Switches ist es so da sie untagged Traffic der an tagged Ports bei ihnen anliegen per Default immer in das Default sprich Native VLAN forwarden. Was ja nun mal das VLAN 1 ist.
So kommt es also das dieser untagged Traffic immer in VLAN 1 ist.
Das muss aber logischerweise nicht so sein !
Jedem (guten) Switch kannst du am Port sagen WO er untagged Traffic hin forwarden soll. Du kannst ihm also auch sagen das Native (Default) VLAN ist am Port x das VLAN 10 !
Dann schiebt der Switch alle untagged Packete an deisem Port eben ins VLAN 10.
Das sollte nun dein "mentales Modell" hoffentlich etwas zurechtrücken, denn das "Modell" dahinter ist kinderleicht und simpel !
Aktuell läuft alles perfekt, da ich einfach eine Scheunentor Regel bei LAN habe.
Na ja zu dem ziemlichen Blödsinn muss man wohl nix mehr kommentieren hier !Da fragt man sich allen Ernstes warum du denn überhaupt eine Firewall nutzt. Mit solchen sinnfreien regeln kannst du sie ja besser gleich ganz weglassen.
Ich würde nun je Vlan eine Regel erstellen, dass diese URL nicht erreibar sein sollte, oder?
Oha...nun kommt aber der freie Fall ??Was bitte hat eine Regel mit einer URL zu tun ?? Fisch und Fahrrad !!!
Mit URL meinst du eine HTTP URL oder WAS genau willst du uns mit diesem Kauderwelsch sagen bzw. WAS ist für dich eine "URL" ??
Zum Thema tagged und untagged Traffic auf den Parent Interfaces bzw. Default VLANs ist ja oben jetzt alles gesagt und du solltest da den Durchblick haben jetzt !
Dann musst du nur noch die simplen Grundregeln bei den Firewall Rules beachten und dich daran halten:
- Die Regeln gelten nur INBOUND sprich also für Pakete die sich vom Draht (LAN Segment) IN die Firewall hinenbewegen. Deshalb hier immer auf richtige Source und destination IP achten UND auch entsprechend Source und Destination Port wenn du nach Anwendungen filtern willst !
- Es gilt First match wins ! Bedeutet soviel das bei ersten positiven Hit in einem Firewall Regelwerk an einem Port die nachfolgenden Regelen NICHT mehr abgearbeitet werden. Erlaubst du also was in der ersten Regel und verbietest es in einer folgenden greift das logischerweise dann nicht ! Reihenfolge zählt hier also im Regelwerk !!! Normal kommen die Verbotsregelen also immer zuerst bevor man dann hinterher erlaubt.
So, damit sollte dann nun trotz Job, Frau, Baby und was du sonst noch für Ausreden hast nun hoffentlich der Groschen gefallen sein ?!
Parent ist auch ungebräuchlich. Besser ist hier immer der übliche Begriff "Native VLAN" oder "Default VLAN".
pfSense bezieht das Parent aber auf das Interface auf dem die Childs sprich die VLANs aufsetzen. In so fern passt die Bezeichnung schon genau denn es kann ja mehrere Interfaces geben bei einer FW. Nur ein völliger Laie ist dann oft verwirrt was damit gemeint sein könnte, da er die Begriffe aufgrund seiner Unkenntniss der Matiere dann nicht zuordnen kann.
Was den Rest anbetrifft solltes du nicht so eine weinerliche Mimose sein ! Wenn man sich als völliger Laie wie du bewusst in ein Administrator Forum wagt sollte dir schon klar das der Ton mal etwas rauer wird. Das muss noch lange nicht heissen das du hier niedergemacht wirst.
Fazit: Also etwas weniger beleidigte Leberwurst und etwas mehr proaktiv sein !
Kannst oder willst du das nicht, bist du bei http://www.gutefrage.de sicher besser aufgehoben.
pfSense bezieht das Parent aber auf das Interface auf dem die Childs sprich die VLANs aufsetzen. In so fern passt die Bezeichnung schon genau denn es kann ja mehrere Interfaces geben bei einer FW. Nur ein völliger Laie ist dann oft verwirrt was damit gemeint sein könnte, da er die Begriffe aufgrund seiner Unkenntniss der Matiere dann nicht zuordnen kann.
Fazit: Also etwas weniger beleidigte Leberwurst und etwas mehr proaktiv sein !
Kannst oder willst du das nicht, bist du bei http://www.gutefrage.de sicher besser aufgehoben.
Zitat von @aqui:
Was den Rest anbetrifft solltes du nicht so eine weinerliche Mimose sein ! Wenn man sich als völliger Laie wie du bewusst in ein Administrator Forum wagt sollte dir schon klar das der Ton mal etwas rauer wird. Das muss noch lange nicht heissen das du hier niedergemacht wirst.
Fazit: Also etwas weniger beleidigte Leberwurst und etwas mehr proaktiv sein !
Kannst oder willst du das nicht, bist du bei http://www.gutefrage.de sicher besser aufgehoben.
Ich glaube das hast du falsch verstanden @aqui Was den Rest anbetrifft solltes du nicht so eine weinerliche Mimose sein ! Wenn man sich als völliger Laie wie du bewusst in ein Administrator Forum wagt sollte dir schon klar das der Ton mal etwas rauer wird. Das muss noch lange nicht heissen das du hier niedergemacht wirst.
Fazit: Also etwas weniger beleidigte Leberwurst und etwas mehr proaktiv sein !
Kannst oder willst du das nicht, bist du bei http://www.gutefrage.de sicher besser aufgehoben.
Der TO wollte aus Respekt die Fragen die du ihm gestellt hast beantworten weil er eben findet, dass Fragen die an den TO gerichtet werden auch beantwortet werden, selbst wenn das Thema bereits gelöst ist.
Just my 2 cents
Ich nehme alles zurück und behaupte das Gegenteil. Sorry für die Verwirrung !
Das mit dem umdrehen und gehen war ein gutes Beispiel was leider hier oft passiert. Noch schlimmer sind die die sich dann auch gleich noch wieder abmelden.
Aber für letztere gibts ja dann immer @Biber 's Papierkorb
Das mit dem umdrehen und gehen war ein gutes Beispiel was leider hier oft passiert. Noch schlimmer sind die die sich dann auch gleich noch wieder abmelden.
Aber für letztere gibts ja dann immer @Biber 's Papierkorb