Netgate m1n1wall

Author Topic: Verständnisfrage "opt1 subnet" zu "any"  (Read 1362 times)

0 Members and 1 Guest are viewing this topic.

Offline shiversc

  • Jr. Member
  • **
  • Posts: 70
    • View Profile
Verständnisfrage "opt1 subnet" zu "any"
« on: July 10, 2012, 04:29:33 am »
Hallo,

ich Pflege gerade pfSense in meine Landschaft ein. Wirklich tolle Distribution, die eine Spende verdient.

Für meine Gäste soll ein WLAN her, welches die SSID der Accesspoint mit einen VLAN zur pfsense verbindet. Das klappt so weit ganz gut, ich bin zu frieden.

Jetzt habe ich versucht Regeln anzulegen für die Kommunikation aus dem Subnet des opt1 Netzes. Da sind mir einige Sachen aufgefallen.

Wenn ich z. B. ICMP, HTTP usw regele, mit der Regel "opt1 subnet" <--> "any" dann ist alles Okay. Gern würde ich die Regel ab so haben, dass der Verkehr über das WAN geht. Wähle ich "opt1 subnet" <--> wan address/wan subnet dann ist die Firewall zu.
Habe ich hier ein Verständnisproblem?
Bzw: was heißt "any" genau, im Fall des VLAN getaggten opt1 Traffics?
Wenn ich any wähle, dann kann kein Client aus dem opt1 subnet nach lan. Das ist auch gut so, soll ja schließlich so sein. oder werfe ich hier was durcheinander?

Offline GruensFroeschli

  • Green Frog
  • Global Moderator
  • Hero Member
  • *****
  • Posts: 5065
  • No i will not fix your computer!
    • View Profile
    • FFXI related
Re: Verständnisfrage "opt1 subnet" zu "any"
« Reply #1 on: July 10, 2012, 04:45:40 am »
Quote
Wenn ich z. B. ICMP, HTTP usw regele, mit der Regel "opt1 subnet" <--> "any" dann ist alles Okay. Gern würde ich die Regel ab so haben, dass der Verkehr über das WAN geht. Wähle ich "opt1 subnet" <--> wan address/wan subnet dann ist die Firewall zu.
Any bedeutet genau das, jede IP die es gibt.

opt-subnet <--> any bedeutet, dass das opt-subnet mit allen IP's kommunizieren darf.
opt-subnet <--> wan-address/wan-subnet bedeutet, dass das opt-subnet nur mit IPs welche im WAN-subnet/WAN-address sind kommunizieren darf.
Da irgendwelche Server im Internet normalerweise nicht um Subnet direkt an deinem WAN liegen willst du das wohl nicht ;)

Wenn dein Ziel ist, dein WLAN ins Internet zu lassen, aber kein Zugriff auf die lokal Netzwerke zu geben.
1: Erzeuge ein Alias mit all deinen subnetzen.
2: Erzeuge eine einzelne Firewallregel auf dem opt-interaface:
allow: protocol: any, source: opt-subnet, source-port: any, destination: !Alias (nicht dein alias), destination-port:any
Mit einer solchen Regel lässt du Traffic zu für alle destinations welche NICHT in deinem Alias sind (sprich das internet). Alles was nicht dieser Regel entspricht (destination in deinen lokalen netzen) wird von der default-block-rule gedroppt.
We do what we must, because we can.
(Except when you PM me to help you directly - DONT: keep your issues in the forum)

Offline shiversc

  • Jr. Member
  • **
  • Posts: 70
    • View Profile
Re: Verständnisfrage "opt1 subnet" zu "any"
« Reply #2 on: July 14, 2012, 03:23:08 am »
Okay, probiere ich doch glatt aus.

Nur habe in eine kleines Problem, wir sind ein internationales Unternehmen, wo alle Standorte der Welt geroutet sind, vom Prinzip her, kann ich alle Netze in allen Standorten erreichen, sofern ich sie kenne.
Ich kenne viele Netze, vielleicht sogar fast alle, aber bestimmt nicht alle.

Was kann ich da tun?

Offline GruensFroeschli

  • Green Frog
  • Global Moderator
  • Hero Member
  • *****
  • Posts: 5065
  • No i will not fix your computer!
    • View Profile
    • FFXI related
Re: Verständnisfrage "opt1 subnet" zu "any"
« Reply #3 on: July 16, 2012, 04:29:27 am »
Ich gehe mal davon aus, dass dein Unternehmen intern private Adressen verwendet?
Wenn du das "lokale-netze" alias machst, füge einfach alle privaten Adressen hinzu
Nach RFC1918 sind das:
10.0.0.0/8
172.16.0.0/12
192.168.0.0/16

Wenn du die Regel wie vorhin mit dem invertierten Alias erzeugst, dann braucht es noch eine zweite Regel welche den Zugriff auf den DNS forwarder der pfSense zulässt.
Ein Beispiel aus einem meiner Setups ist als Screenshot angehängt.
We do what we must, because we can.
(Except when you PM me to help you directly - DONT: keep your issues in the forum)