pfSense Gold Subscription

Author Topic: Nur Internetzugang freischalten  (Read 4566 times)

0 Members and 1 Guest are viewing this topic.

Offline fwuser07

  • Jr. Member
  • **
  • Posts: 37
  • Karma: +0/-0
    • View Profile
Nur Internetzugang freischalten
« on: December 16, 2007, 10:43:56 am »
Hallo

Wie muß eine Firewallregel aussehen, um für ein bestimmtes Interface nur den Zugang zum Internet, nicht aber in die anderen Subnets, freizuschalten?

Als Source gebe ich VLAN...Subnet an, aber was muß als Destination angegeben werden?
Zusätzlich muß natürlich fürs DNS Port 53 UDP auf die pfsense freigegeben werden.

Offline GruensFroeschli

  • Little Green Frog
  • Global Moderator
  • Hero Member
  • *****
  • Posts: 5421
  • Karma: +86/-3
  • No i will not fix your computer!
    • View Profile
Re: Nur Internetzugang freischalten
« Reply #1 on: December 16, 2007, 01:14:56 pm »
kommt drauf an wieviele subnets du sonst noch hast.
wenn du nur ein anderes subnet hast kannst du
ziel: "nicht" anderes_subnet machen.

wenndu mehrere hast empfehle ich dir ein alias mit all den subnets die du blocke willst zu erzeugen und dann zwei regeln:
1 regel: source lokales subnet, block: alias mit subnets
2 regel: source lokales subnet, allow: any
We do what we must, because we can.

Asking questions the smart way: http://www.catb.org/esr/faqs/smart-questions.html

Offline fwuser07

  • Jr. Member
  • **
  • Posts: 37
  • Karma: +0/-0
    • View Profile
Re: Nur Internetzugang freischalten
« Reply #2 on: December 30, 2007, 03:28:16 pm »
Danke für den Tip.

Da es sich bei allen lokalen Subnets um Class C Netze handelt, müsste der reine Internetzugang auch folgendermaßen freizugeben sein:

1. Regel: allow > source lokales subnet, destination router ip adresse, port 53 udp
2. Regel: allow > source lokales subnet, destination !192.168.0.0/16

Zumindest funktioniert dies so oder liegt hier ein Denkfehler vor?

Offline GruensFroeschli

  • Little Green Frog
  • Global Moderator
  • Hero Member
  • *****
  • Posts: 5421
  • Karma: +86/-3
  • No i will not fix your computer!
    • View Profile
Re: Nur Internetzugang freischalten
« Reply #3 on: December 30, 2007, 03:50:41 pm »

Da es sich bei allen lokalen Subnets um Class C Netze handelt, müsste der reine Internetzugang auch folgendermaßen freizugeben sein:

2. Regel: allow > source lokales subnet, destination !192.168.0.0/16

/16 ist kein C Netz.

Deine erste regel ist überflüssig da "!anderes subnet" die routeradresse in deinem lokal subnet beinhaltet (natürlich nur wenn es auch wirklich ein C netz ist --> /16 ist ein B netz)
We do what we must, because we can.

Asking questions the smart way: http://www.catb.org/esr/faqs/smart-questions.html

Offline fwuser07

  • Jr. Member
  • **
  • Posts: 37
  • Karma: +0/-0
    • View Profile
Re: Nur Internetzugang freischalten
« Reply #4 on: December 30, 2007, 03:56:19 pm »
Du hast natürlich Recht, es waren Class B Netze gemeint.

Aber ich bin der Meinung, daß die erste Regel schon notwendig ist, da in der zweiten ja die Negation vorkommt.