OPNsense Forum

International Forums => German - Deutsch => Topic started by: gerhard on February 14, 2018, 02:39:43 pm

Title: gesonderte Firewallregel für einen Benutzer
Post by: gerhard on February 14, 2018, 02:39:43 pm

Hallo zusammen,

ich möchte neben meinen Vouchern einen Benutzer der sich authentifizieren kann und eine gesonderte Firewall regel hat. Unter Zugang habe ich neben dem root Benutzer schon einen weiteren angelegt mit dem ich mich auch authentifizieren kann. Wie lege ich nun gesonderte Firewall regeln für diesen fest?
mfg

Title: Re: gesonderte Firewallregel für einen Benutzer
Post by: fabian on February 14, 2018, 05:34:07 pm

Die sauberste Lösung währe vermutlich Authentifizierung über 802.1X und zwei getrennte VLANs.

Title: Re: gesonderte Firewallregel für einen Benutzer
Post by: gerhard on February 16, 2018, 12:06:17 pm

auf jeder Firewall kann ich doch sagen das eine bestimmte IP mehr rechte hat. Jetzt soll statt der IP nur die Authentifikation genommen werden bzw. der Name des Benutzers

Title: Re: gesonderte Firewallregel für einen Benutzer
Post by: JeGr on February 19, 2018, 01:44:08 pm

Hallo erstmal :)

> auf jeder Firewall kann ich doch sagen das eine bestimmte IP mehr rechte hat.

Nein kannst du nicht. Ich weiß nicht von welcher "jeder Firewall" du sprichst, aber auch auf einer Juniper, Cisco oder Sophos kannst du nicht einfach eine Filterregel erstellen und sagen: "Nur der Horst bekommt die".

> Jetzt soll statt der IP nur die Authentifikation genommen werden bzw. der Name des Benutzers

Das ist im Prinzip ein schöner Gedanke. Witzigerweise kann PF - also der Paketfilter der bei den *Sensen genutzt wird - das sogar irgendwie. Allerdings nicht so wie du das gern hättest. Denn "wie" und "wann" soll die Firewall denn wissen, dass Horst gerade angemeldet ist und ab dann die Firewallregel gelten soll? Und was für ein Anwedungsfall stellt das dar? Dein Netz ist komplett abgeschottet, aber User X soll ins Netz dürfen mittels einer Anmeldung? Dann wäre da eher sowas wie Proxy und Co zuständig. Aber mit der Grundfunktion "Firewall" bzw. Paketfilter hat das nichts zu tun, denn auf IP-Paketebene ist es der Firewall komplett unbekannt (und egal) wie ein Benutzer heißt, hier kennt sie lediglich IPs und Ports. Ein Benutzer ist etwas, was auf einer wesentlich höheren Schicht zu Hause ist und auch dort bearbeitet werden muss. :)

Gruß

Title: Re: gesonderte Firewallregel für einen Benutzer
Post by: fabian on February 19, 2018, 05:58:19 pm

Im Grunde gibt es sowas für PF, allerdings weiß ich nicht ob das auf FreeBSD auch geht:
https://www.openbsd.org/faq/pf/authpf.html

Das funktioniert dahingehend, dass in der Firewall die IP mit einem Benutzer temporär verknüpft wird - im Fall von authpf mittels einer aktiven SSH verbindung. Wenn die SSH Verbindung abbricht oder beendet wird, ist der "Status" weg.

Dies könnte zwar auch im CaptivePortal implementiert werden, wird aber auf absehbare Zeit nicht geschen.

Title: Re: gesonderte Firewallregel für einen Benutzer
Post by: JeGr on February 20, 2018, 01:31:50 pm

An AuthPF hatte ich auch gedacht, habe bislang aber in den Sensen da keinerlei Implementation gesehen aber auch nicht besonders tief nachgebohrt.