Netgate Store

Author Topic: Firewall Regeln für zwei getrennte Netzwerke  (Read 429 times)

0 Members and 1 Guest are viewing this topic.

Offline jahonix

  • Hero Member
  • *****
  • Posts: 2677
  • Karma: +162/-28
  • volunteer since 2006
    • View Profile
Re: Firewall Regeln für zwei getrennte Netzwerke
« Reply #15 on: May 17, 2018, 02:50:33 am »
Was sollen wir jetzt mit zwei von dir (irgendwo) geposteten Screenshots anfangen? Klatschen?

Wenn du Hilfe von hier haben willst, dann mache entweder vernünftig mit oder lasse es ganz sein.
Und beantworte gestellt Fragen vollständig, bevor du neue Infos postest.

Hast Du die Bridge schon gelöscht?
Welche Verständnisprobleme gibt es bei der Lektüre der Dokumentationen?
Chris


Offline HydrexHD

  • Newbie
  • *
  • Posts: 12
  • Karma: +0/-0
    • View Profile
Re: Firewall Regeln für zwei getrennte Netzwerke
« Reply #16 on: May 18, 2018, 11:04:10 am »
Nein, die Bridge wird nicht gelöscht da ich diese für die zwei getrennten Netzwerke Aktiv habe. Das Verständnis Problem bei der Dokumentation ist, dass ich immer noch nicht weiß, wie ich z.B. eine Firewall Regel für folgende dinge aufbauen soll:


  • Das Heimnetzwerk(Bridgename: Heimnetz) und das Servernetzwerk (Bridgename Servernetzwerk) sollen nicht kommunizieren können
-> Was soll ich bei dieser Regel bei Quelle auswählen Heimnetz oder Servernetzwerk? und Heimnetz/Servernetzwerk net oder Heimnetz/Servernetzwerk adress?

  • Grundlegendes Verbot der Kommunikation untereinander im Servernetzwerk
-> Was soll ich bei dieser Regel bei Quelle und Ziel auswählen Servernetzwerk net oder Servernetzwerk adress?

  • Regel welche die Kommunikation von bestimmten Geräten im Servernetzwerk erlaubt
-> Was soll ich bei dieser Regel bei Quelle und Ziel auswählen Servernetzwerk net oder Servernetzwerk adress?

  • Grundlegende Regel für den Internet Zugang für jedes Netzwerk
-> Was muss ich bei Quelle und Ziel auswählen für den reinen Internet Zugang zum Beispiel für das Servernetzwerk ohne das irgend eine Kommunikation zwischen den einzelnen Netzwerken erlaubt wird?

  • Weiterleitung einer Domain an einen Server im Servernetzwerk?
-> mit den DNS Forwarder Einstellungen?

  • Regel welche den Zugriff auf das PFsense Webinterface für Geräte oder Netzwerk verbietet
->was muss bei Quelle und Ziel hin?


PS. Sorry für die lange antworte Zeit da ich momentan nicht viel Zeit habe. Es wäre wirklich nett wenn ich jetzt für diese Fragen präzise Antworten bekomme mit Beispielen und nicht lange um den heißen Brei herum geredet wird.

Offline orcape

  • Full Member
  • ***
  • Posts: 188
  • Karma: +6/-0
    • View Profile
Re: Firewall Regeln für zwei getrennte Netzwerke
« Reply #17 on: May 19, 2018, 04:27:43 am »
Hi,
und Sorry, wenn ich hier etwas komisch frage.
Wozu baut man Brücken? Sicher soll es Brücken geben, die irgendwo in der Landschaft stehen und kein Fahrzeug fährt drüber weil der Architekt vergessen hat das da auch noch eine Strasse dazu gehört.
Bridges arbeiten meiner Ansicht nach auf Layer2 Basis und sind nicht dazu da um diese dann für sämtlichen Verkehr zu sperren.
Deine Interfaces für Heim- und Servernetz sollten auf Layer3 Basis sein und keine Bridges, dann sperrt das die pfSense schon mal automatisch. Hier solltest Du dann für alle Interfaces dann den ausgehenden Verkehr explizit erlauben.
Beispiel:
Code: [Select]

IPv4 TCP LAN net (Source) * (Port) * (Dest.) 80 (HTTP) * none   http-Out
Du wirst wohl hier kaum jemand finden, der Dir eine für Deinen Anwendungsfall maßgeschneiderte Firewall-Einstellung liefert und das ist sicher auch kontraproduktiv, denn Du sollst ja auch verstehen, was Du da tust.
Es gibt im Netz genügend Beispiele und danach solltest Du Dir Deine Rules selbst erstellen können.
Das dies mit einem gewissen Zeitaufwand verbunden sein wird, ist logisch.
Gruß orcape

Offline HydrexHD

  • Newbie
  • *
  • Posts: 12
  • Karma: +0/-0
    • View Profile
Re: Firewall Regeln für zwei getrennte Netzwerke
« Reply #18 on: May 19, 2018, 04:43:45 am »
Die Bridge habe ich deshalb erstellt, da ich eine 4 Port lankarte und eine Wlan karte habe. Und für die Firewall Regel nutze ich die Bridge, weil es für mich keinen Sinn macht für jeden lan port die Regeln einzeln zu machen.

Offline orcape

  • Full Member
  • ***
  • Posts: 188
  • Karma: +6/-0
    • View Profile
Re: Firewall Regeln für zwei getrennte Netzwerke
« Reply #19 on: May 19, 2018, 07:30:59 am »
Quote
Die Bridge habe ich deshalb erstellt, da ich eine 4 Port lankarte und eine Wlan karte habe. Und für die Firewall Regel nutze ich die Bridge, weil es für mich keinen Sinn macht für jeden lan port die Regeln einzeln zu machen.
Da hätte ich Dir ja schon fast VLAN 's empfohlen.. ;)
Du hast in der pfSense Hardware eine 4Port LAN-Karte und eine WLAN-Karte verbaut und bridgest das ganze dann um nur einmal Firewalleinstellungen machen zu müssen? He?
Sorry, anschliessend sollte das dann auch noch unter keinen Umständen untereinander Verbindung haben?
Wenn Du schon 5 Interfaces hast, dann solltest Du Die auch einzeln einrichten.
Auch Deine restlichen Wünsche scheinen von der Traumfabrik zu stammen, denn was Du Dir vorstellst, muss wohl erst noch erfunden werden. Zumindest wird Dir hierfür kaum einer eine Patentlösung für "Lau" präsentieren.
Viel Erfolg aber trotzdem. ;D
Gruß orcape

Offline HydrexHD

  • Newbie
  • *
  • Posts: 12
  • Karma: +0/-0
    • View Profile
Re: Firewall Regeln für zwei getrennte Netzwerke
« Reply #20 on: May 19, 2018, 07:51:36 am »
Ich habe in der PFsense das so gelöst:

WAN Interface: Lan Anschluss am Mainboard

Servernetzwerk Bridge: zwei lan Ports der Quadport Netzwerkkarte und eine Wlankarte

Heimnetzwerk (nicht gebridget): eine extra lan karte an der die Fritzbox angeschlossen ist.

So um jetzt dieses Verständnis Problem zu lösen. Und jetzt möchte ich bitte antworten auf meine Fragen haben:


  • Das Heimnetzwerk(lan) und das Servernetzwerk (Bridgename Servernetzwerk) sollen nicht kommunizieren können
-> Was soll ich bei dieser Regel bei Quelle auswählen Heimnetz oder Servernetzwerk? und Heimnetz/Servernetzwerk net oder Heimnetz/Servernetzwerk adress?

  • Grundlegendes Verbot der Kommunikation untereinander im Servernetzwerk
-> Was soll ich bei dieser Regel bei Quelle und Ziel auswählen Servernetzwerk net oder Servernetzwerk adress?

  • Regel welche die Kommunikation von bestimmten Geräten im Servernetzwerk erlaubt
-> Was soll ich bei dieser Regel bei Quelle und Ziel auswählen Servernetzwerk net oder Servernetzwerk adress?

  • Grundlegende Regel für den Internet Zugang für jedes Netzwerk
-> Was muss ich bei Quelle und Ziel auswählen für den reinen Internet Zugang zum Beispiel für das Servernetzwerk ohne das irgend eine Kommunikation zwischen den einzelnen Netzwerken erlaubt wird?

  • Weiterleitung einer Domain an einen Server im Servernetzwerk?
-> mit den DNS Forwarder Einstellungen?

  • Regel welche den Zugriff auf das PFsense Webinterface für Geräte oder Netzwerk verbietet
->was muss bei Quelle und Ziel hin?


PS. Es wäre wirklich nett wenn ich jetzt für diese Fragen präzise Antworten bekomme mit Beispielen und nicht lange um den heißen Brei herum geredet wird.

Offline jahonix

  • Hero Member
  • *****
  • Posts: 2677
  • Karma: +162/-28
  • volunteer since 2006
    • View Profile
Re: Firewall Regeln für zwei getrennte Netzwerke
« Reply #21 on: May 19, 2018, 08:02:35 am »
Nein, die Bridge wird nicht gelöscht da ich diese für die zwei getrennten Netzwerke Aktiv habe.
Eine Bridge für zwei getrennte Netze? Das ist schon ... ungewöhnlich.
Wie soll jemand für so einen Quatsch Regeln definieren können, wenn du das selbst schon nicht kannst?


  • Grundlegendes Verbot der Kommunikation untereinander im Servernetzwerk
-> Was soll ich bei dieser Regel bei Quelle und Ziel auswählen Servernetzwerk net oder Servernetzwerk adress
Du du das was ich schreibe entweder nicht liest oder zwanghaft ignorierst, weiß ich nicht, wie ich da antworten soll.
Erklärt habe ich es bereits:
  • Grundlegendes Verbot der Kommunikation untereinander im Servernetzwerk
Grundlegende Eigenschaft von Traffic im gleichen Subnetz: der bleibt auf dem Switch und kommt gar nicht beim Router an, kann also von dem auch nicht blockiert werden.
Da kannst du jetzt foldern was du willst und wütend werden, es hilft nix: das geht nicht.


Es wäre wirklich nett wenn ich jetzt für diese Fragen präzise Antworten bekomme mit Beispielen
Genau, ich setze mich jetzt hin, versuche nach unzähligen Posts dein immer noch nicht vollständig beschriebenes Netzwerk zu verstehen und dann ein "präzise Antwort mit Beispiel" für deine Forderungen zu erstellen.
Geht's noch?

Da du schon die simpelsten Ratschläge nicht umsetzt sehe ich nicht, dass das irgendwie erfolgreich werden könnte. Fange klein an mit einem Netzwerk und versuche dafür Access-Regeln zu erstellen und zu verstehen.
Danach erweiterst du um ein zweites Netzwerk und erstellst dafür Regeln. Testen, ändern, lernen.
Wenn das klappt, dann erstelle Regeln für eingehenden Verkehr zu einem Host.
Langsam erweitern. Nicht alles auf einmal haben und machen wollen.

Erst wenn das alles läuft, dann liest du dich in die Arbeitsweise und Komfiguration eines reverse-proxy ein, um dann deine mehreren externen Domains auf unterschiedliche interne Server zu verteilen. Das ist alles andere als trivial.
Aber so, wie du hier mitmachst und Erfolge/Miserfolge postest, ist das ja eine Kleinigkeit für dich.
Also viel Erfolg!


Und jetzt möchte ich bitte antworten auf meine Fragen haben
So so, willst du das also?
Ich bin an dieser Stelle jetzt raus. Auf Forderungen habe ich keine Lust. Und für unsinnige, feuchte Träume verschwende ich auch keine weitere Zeit.
Chris


Offline orcape

  • Full Member
  • ***
  • Posts: 188
  • Karma: +6/-0
    • View Profile
Re: Firewall Regeln für zwei getrennte Netzwerke
« Reply #22 on: May 19, 2018, 02:13:25 pm »
Quote
Ich bin an dieser Stelle jetzt raus.
Da geh ich mit.  ;D 
Ich hatte gedacht das es Trolle nur auf Facebook gibt, aber das scheint ein rein gesellschaftliches Problem zu werden.
Wie in der Politik, die einen sahnen ab und die anderen machen die Arbeit.
Muss ich nicht haben.