Hilfe für ein Isoliertes VLAN. Nur Internet

Started by ChrisXY, December 30, 2020, 09:56:00 AM

Previous topic - Next topic
Print
Go Down Pages1
User actions
December 30, 2020, 09:56:00 AM
Hallo,
ich habe eins von 4 VLANs erstellt. Klappt auch super.

Ich blocke nun zuerst jedes einzelne andere Netzwerk mit einer Block Regel. So das nur die ANY ANY Aktiv ist damit das Netzwerk ins Internet kommt ( Http Https ... passe ich später genauer an ).

Jedoch finde ich die Lösung etwas Kompliziert. Kommt nun ein Netzwerk von mir hinzu und ich beachte nicht das Netzwerk anzupassen hat es zugriff auf mein Netz.

Gibt es hier eine bessere Lösung ? Kann man dem Netzwerk nicht sagen "GAST" oder wieso gibt es keine Spezielle Rule um in das Internet zu kommen ? WAN Adresse / WAN Netzwerk freigeben hilft nicht.

December 30, 2020, 10:00:19 AM #1
ich verstehe dein problem nicht.
das was nicht erlaubt ist geht auch nicht.
hast du ein lan/vlan angelegt hat es erstmal kein recht ins internet zu kommen.
Internet: Willy.tel Down: 1Gbit/s, UP: 250Mbit/s Glasfaser  |
Router/Firewall: pfSense+ 23.09  |
Hardware: Netgate 6100
December 30, 2020, 10:22:52 AM #2
yes ganz genau es kann gar nichts. Nun will ich NUR Internet Freigeben. Wie geht das genau. hab es bisher nur per any any Regel gemacht. Wenn ich hier aber z.b WAN Adresse oder WAN Netzwerk auswähle geht es nicht. Ich wollte ertsmal keine Speziellen Ports für http https Freigeben. Erstmal alles erlauben in das Internet.

Ich bekomme NUR Internet hin mit any any. Somit darf das Netz natürlich auch in meine anderen Netze
December 30, 2020, 11:07:42 AM #3
so habe ich es bei mir
Internet: Willy.tel Down: 1Gbit/s, UP: 250Mbit/s Glasfaser  |
Router/Firewall: pfSense+ 23.09  |
Hardware: Netgate 6100
December 30, 2020, 11:07:52 AM #4
January 02, 2021, 12:16:55 AM #5
Habe ich das richtig verstanden, dass du aktuell vier Zonen hast, die jeweils nur "Internet dürfen sollen"? Das hieße ja, die dürfen grundsätzlich alles außer 10., 172.16...31 und 192.168. Und genau hier liegt die Lösung dafür. Denk einfach dran, dass automatisch alles verboten ist, was du nicht erlaubst  ;)

Leg einen Network(s)-Alias an mit dem Inhalt 10.0.0.0/8,172.16.0.0/12,192.168.0.0/24 (das kannste grad so rüberkopieren) und nem einschlägigen Namen, also "RFC1918" oder "PRIVATE". Dann kommst du mit einer Allow-Rule je Zone aus, mit Destination/invert angeklickt, Destination "RFC1918".

Oder halt mehrere Regeln, wenn du nur bestimmte Ports/Protokolle erlauben willst. Aber auch bei den Ports würde ich dann mit Aliassen arbeiten, da hast du es einfacher, wenn du hinterher Ports hinzufügen oder rausnehmen willst. So ein Port(s)-Alias namens "UDPstd" könnte dann beispielsweise den Inhalt 53,123,500,1194,3478,4500,5938,17500 haben.

Und wenn du bestimmte einzelne Zonenpärchen doch miteinander reden lassen willst, erlaubst du das entsprechend vor dieser Regel mit der Quick-Option bzw First match (wird dann ja immer alles von oben nach unten abgearbeitet). In diesem Fall natürlich ohne Invert. Da brauchst du dann keinen Alias, da kannst du die Destination direkt aus der Liste auswählen.

Für alle zukünftigen Zonen wird das dann ganz stumpf genauso angelegt. Simpel, aber herrlich übersichtlich. Grüße gehen an dieser Stelle raus an mimugmail für diesen sehr ästhetischen Tipp :)
January 02, 2021, 12:41:21 PM #6
Quote from: jeuler on January 02, 2021, 12:16:55 AM
Leg einen Network(s)-Alias an mit dem Inhalt 10.0.0.0/8,172.16.0.0/12,192.168.0.0/24 (das kannste grad so rüberkopieren)

Bevor er das "grad so" rüberkopiert, sollte er aber 192.168.0.0/16 statt /24 nehmen :)
,,The S in IoT stands for Security!" :)
January 02, 2021, 01:21:34 PM #7
Stimmt, danke für den Hinweis @Gauss23
Da ich es gerade nicht schaffe, meinen Beitrag zu berichtigen, nochmal: 10.0.0.0/8,172.16.0.0/12,192.168.0.0/16
Print
Go Up Pages1
User actions