pfSense Support Subscription

Author Topic: [Gelöst] Firewall Regel Kein Internet für Clients  (Read 99 times)

0 Members and 1 Guest are viewing this topic.

Offline DasBrot

  • Newbie
  • *
  • Posts: 2
  • Karma: +0/-0
    • View Profile
[Gelöst] Firewall Regel Kein Internet für Clients
« on: December 07, 2017, 02:40:32 am »
Hallo.
Ich kämpfe mit dem Problem das ich allen Clients das Internet verbieten möchte. Später soll es Ausnahmen geben.

Leider gibt es nicht wie bei anderen Firewalls die Regel für Wan Verbindungen. Wan Adress und net beziehen sich ja nicht auf "das Internet"

Ich habe nun eine Regel in der Lan Sektion erstellt. (siehe Bild) Damit verbiete ich alles ausser Lan zu Lan. Funktioniert auch. Allerdings geht dann auch kein Lan zu Opt1 und auch kein Lan zu Ipsec.
Eine Regel davor oder danach welche dies erlauben würde ist ja nicht möglich.

Mit welchem Regelset kann ich "nur" die Verbindung ins Wan unterbinden ? So das ipsec und Opt auch weiterhin möglich ist ?

Gruß
Bernd
« Last Edit: December 07, 2017, 03:36:56 am by DasBrot »

Offline Crunk_Bass

  • Jr. Member
  • **
  • Posts: 30
  • Karma: +3/-0
    • View Profile
Re: Firewall Regel Kein Internet für Clients
« Reply #1 on: December 07, 2017, 03:10:06 am »
Selbstverständlich ist eine Regel davor möglich, die den Zugriff auf Opt1 erlaubt.
Die Regeln werden von oben nach unten durchgearbeitet bis eine gefunden wird, die zutrifft.
Alles was nicht per Regel erlaubt wird ist verboten.
Wenn du also alle Regeln ausser die voreingestellte Anti-Lockout Rule löschst hast du genau das erreicht was du gerade mit deiner Regel machst.
Die Firewall kann sowieso keine Verbindungen filtern, die das LAN Subnetz nicht verlassen.

Eine Möglichkeit "Internet" als Ziel anzugeben gibt es leider nicht.
Was du aber machen kannst ist einen Alias erstellen und diesen in der Firewallregel verwenden.

Beispiel: Firewall -> Aliases -> IP

Name: RFC_1918
Description: Private Subnetze
Type: Network(s)
Network or FQDN: 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16



In der Firewall Regel gibst du dann als Ziel den Alias an:



Dieser Beitrag wurde editiert, um denen, die das gleiche Problem haben und per Suche auf den Thread stoßen gleich die bessere Antwort zu liefern.
Link zum alten Screenshot, auf den sich die Antwort von jahonix beizeht: ALTER SCREENSHOT
« Last Edit: Today at 06:32:26 am by Crunk_Bass »

Offline DasBrot

  • Newbie
  • *
  • Posts: 2
  • Karma: +0/-0
    • View Profile
Re: Firewall Regel Kein Internet für Clients
« Reply #2 on: December 07, 2017, 03:36:29 am »
Das scheint es zu sein.
Bei dieser Firewall sehe ich oft den Wald vor lauter Bäumen nicht.
Es wird eine Weile dauern bis das Verinnerlicht ist.
Vielen Dank.

Offline jahonix

  • Hero Member
  • *****
  • Posts: 2433
  • Karma: +146/-14
  • volunteer since 2006
    • View Profile
Re: [Gelöst] Firewall Regel Kein Internet für Clients
« Reply #3 on: December 07, 2017, 07:46:30 am »
Die Version mit einem Alias ist gut, allerdings fördert es nicht gerade die Übersicht, wenn man mit nur einer Regel lokal erlauben und gleichzeitig extern verbieten will.

Ich würde daher immer sowas machen:
1.) erlaube RFC1918 (zB über den Alias)
2.) blockiere den Rest

Das kann man auch nachts bei einer hektischen Fehlersuche noch sofort nachvollziehen.
Chris

The issue with IPv6 jokes is that almost no one understands them and no one is using them yet.

Offline Crunk_Bass

  • Jr. Member
  • **
  • Posts: 30
  • Karma: +3/-0
    • View Profile
Re: [Gelöst] Firewall Regel Kein Internet für Clients
« Reply #4 on: Today at 06:33:05 am »
Danke für den Hinweis jahonix.

Du hast natürlich Recht.
Besser wäre eine Regel, die private IP-Adressbereiche erlaubt.
Ich habe mich beim Erstellen der Regel wahrscheinlich zu stark an dem Screenshot von DasBrot orientiert, in dem mit Invert match gearbeitet wurde.

Den Rest blockieren kann man machen um ganz sicher zu gehen. Wenn allerdings nur die RFC1918 Regel existiert wird sowieso alles andere geblockt.

Ich habe meine erste Antwort editiert.
Link zum alten Screenshot, auf den sich die Antwort von jahonix bezieht: ALTER SCREENSHOT