2 Netze voneinander isolieren

Started by Luci0815, September 25, 2020, 10:13:48 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
September 25, 2020, 10:13:48 PM
Moin,

ich habe eine dämliche Frage:

Ich habe zwei logische und voneinander zu isolierende Netze A und B*. Beide sollen ins Internet und die Policies sind "floating". Wegen des Internetzuganges haben sie dann natürlich auch eine http/https/ftp to any - Regel. Um aber den (http-)Zugriff auf das jeweils andere Netz zu verhindern, muss ich das Standardgateway ("WAN-Inteface" der Firewall) in jeder Policy angeben, um den Weg vorzugeben (Routingpolicy), verstehe ich das richtig? Alternativ natürlich über eine Deny-Regel wieder mit Netzadressen?

* Die beiden Netze sind in eigenen VLANs, auf den Firewall-Ports kommen Sie aber untagged an (an zwei verschiedenen Ports). Grund: Im Notfall Stecker ziehen können, auch von einem, der keine Ahnung von Netzwerken hat.
September 25, 2020, 10:17:45 PM #1
moin, bitte mal das auch grafisch darstellen in einem netzwerkplan
gerne mit den lokalen id´s oder vlans damit wir genau ansprechen können was zu tun ist.

was ich aber noch nicht verstanden habe (auch ohne zeichnung, und vielleicht hilt mir diese es zu verstehen)
was/warum hast du da eine float regel?
Internet: Willy.tel Down: 1Gbit/s, UP: 250Mbit/s Glasfaser  |
Router/Firewall: pfSense+ 23.09  |
Hardware: Netgate 6100
September 25, 2020, 10:27:32 PM #2
Grüße.

Ich würde das ganze, wie mein Vorredner ohne floating Regeln machen
Auf das LAN A Interface
from LAN A to LAN B deny
from LAN A to * allow

auf das LAN B Interface
from LAN B to LAN A deny
From LAN B to * any

da die Regeln von oben nach unten abgearbeitet werden verwirft er alle Packet von LAN A to LAN B bzw andersrum und kommt gar nicht mehr zur zweiten Regel
Die Ports kannst/musst du natürlich noch mit angeben

durchhalten
September 25, 2020, 11:17:29 PM #3
Hi, danke für eure Antworten.

Der Aufbau ist ganz banal. Ihr meint also, ich sollte lieber Port-Regeln benutzen? Kann man hier auch mit Port-Groups arbeiten? (hab die Firewall grad nicht vor mir). Hm, das wird etwas Fleißarbeit  :'(

September 26, 2020, 07:16:50 AM #4
1. was meinst du mit Port, soll das z. b. http port 80 gemeint sein?
2. leider verstehe ich nicht was genau dein ziel sein soll.
3. wenn dein ziel ist das vlan a nicht auf vlan b kommen soll aber trotzdem alle ins internet das hat dir @shb256
erklärt.

mach doch eine beschreibung was dein ziel ist z. b.

Code Select

mein vlan 3 soll keinen zugriff auf das vlan 33 bekommen, der internet zugriff soll für beide vlans möglich sein, wie soll ich die frirewall regeln erstellen. ich habe es probiert so habe ich die regeln angelegt.


so können wir effizient helfen.
Internet: Willy.tel Down: 1Gbit/s, UP: 250Mbit/s Glasfaser  |
Router/Firewall: pfSense+ 23.09  |
Hardware: Netgate 6100
September 26, 2020, 08:24:20 AM #5 Last Edit: September 26, 2020, 08:46:14 AM by Luci0815
Hi,

- 2 logische Netze (LAN und Gast-LAN) sollen über die opnsense ins Internet
- diese Netze dürfen sich gegenseitig nicht sehen
- auf der Switch-Ebene ist das durch tagged VLANs sichergestellt
- die Firewall sieht diese VLANs jedoch nicht, weil sie untagged ankommen und deswegen die 2 physischen Ports (Interfaces). Jedes Netz soll einzeln per Stecker ziehen lahm gelegt werden können. Es ist an dieser Stelle auch nicht notwendig, mit VLANs auf der Firewall zu arbeiten, meiner Meinung nach.

Laut eurer Empfehlung ist dies alles besser über Port (Interface) Regeln zu realisieren.

September 26, 2020, 09:28:04 AM #6
Was für eine Hardware setzt du denn ein, hat die denn genug Ethernetports?
Bitte mal Bilder deiner Interface Konfiguration.
also einfach so machen wie es @shb256 geschrieben hat.
Internet: Willy.tel Down: 1Gbit/s, UP: 250Mbit/s Glasfaser  |
Router/Firewall: pfSense+ 23.09  |
Hardware: Netgate 6100
September 26, 2020, 10:18:56 AM #7
https://www.thomas-krenn.com/de/produkte/rack-server/1he-server/intel-single-cpu/intel-single-ri1102d.html

Die Interface-Konfiguration kann ich erst am Montag posten. Habe aber 3 LAN Interfaces, 2 "WAN" Interfaces (Uplink zur nächsten Firewall) und ein Gast-LAN-Interface in eigene Interface-Gruppen gepackt. Deswegen meine Frage, ob man auch Interface-Gruppen als Source bzw. Destination in den Regeln benutzen kann.
September 26, 2020, 07:00:02 PM #8
> Laut eurer Empfehlung ist dies alles besser über Port (Interface) Regeln zu realisieren.

Das sind keine Port Regeln, das mag bei Sophos so sein. Vergiss das schnell. Das sind ganz normale Regeln AUF dem Interface - wie es standard ist. Fertig :) Nicht mehr, nicht weniger.

Ob du das mit zwei physikalischen Interfaces/Ports auf deinem Switch regelst oder nicht - wenn mans so will klar. Ich seh da nicht wirklich den Sinn, 2 Gigabit Ports zu verschwenden wenn es nur um Internet geht. Dann kann man auch die VLANs durchreichen und gut. Stecker ziehen mag ganz witzig sein, aber ist das notwendig? Aber klar, musst du wissen.

> Gast-LAN-Interface in eigene Interface-Gruppen gepackt

Warum in welche Gruppen wie/wo gepackt? Klingt seltsam. Und nein, IF Gruppen können NICHT als Source oder Dest genutzt werden, die tauchen als Pseudo Interface auf und du kannst dann für die Gruppen Regeln definieren, die technisch gesehen auf jedem Interface gelten, musst dann aber Source / Destination entsprechend festlegen, also bspw. ein entsprechendes Netzalias erstellen um sie zu nutzen.

Zudem sollte man WANs nicht in Gruppen packen bzw. Regeln auf WAN Gruppen nutzen, da ansonsten die reply-to Parameter im Paketfilter nicht gesetzt werden.

Cheers
\jens

"It doesn't work!" is no valid error description! - Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense as no(n)sense! ;)

If you're interested in german-speaking business support, feel free to reach out via PM.
Print
Go Up Pages1
User actions