Home
Help
Search
Login
Register
OPNsense Forum
»
International Forums
»
German - Deutsch
»
gesonderte Firewallregel für einen Benutzer
« previous
next »
Print
Pages: [
1
]
Author
Topic: gesonderte Firewallregel für einen Benutzer (Read 3783 times)
gerhard
Newbie
Posts: 25
Karma: 1
gesonderte Firewallregel für einen Benutzer
«
on:
February 14, 2018, 02:39:43 pm »
Hallo zusammen,
ich möchte neben meinen Vouchern einen Benutzer der sich authentifizieren kann und eine gesonderte Firewall regel hat. Unter Zugang habe ich neben dem root Benutzer schon einen weiteren angelegt mit dem ich mich auch authentifizieren kann. Wie lege ich nun gesonderte Firewall regeln für diesen fest?
mfg
Logged
fabian
Hero Member
Posts: 2769
Karma: 200
OPNsense Contributor (Language, VPN, Proxy, etc.)
Re: gesonderte Firewallregel für einen Benutzer
«
Reply #1 on:
February 14, 2018, 05:34:07 pm »
Die sauberste Lösung währe vermutlich Authentifizierung über 802.1X und zwei getrennte VLANs.
Logged
gerhard
Newbie
Posts: 25
Karma: 1
Re: gesonderte Firewallregel für einen Benutzer
«
Reply #2 on:
February 16, 2018, 12:06:17 pm »
auf jeder Firewall kann ich doch sagen das eine bestimmte IP mehr rechte hat. Jetzt soll statt der IP nur die Authentifikation genommen werden bzw. der Name des Benutzers
Logged
JeGr
Hero Member
Posts: 1945
Karma: 227
old man standing
Re: gesonderte Firewallregel für einen Benutzer
«
Reply #3 on:
February 19, 2018, 01:44:08 pm »
Hallo erstmal
> auf jeder Firewall kann ich doch sagen das eine bestimmte IP mehr rechte hat.
Nein kannst du nicht. Ich weiß nicht von welcher "jeder Firewall" du sprichst, aber auch auf einer Juniper, Cisco oder Sophos kannst du nicht einfach eine Filterregel erstellen und sagen: "Nur der Horst bekommt die".
> Jetzt soll statt der IP nur die Authentifikation genommen werden bzw. der Name des Benutzers
Das ist im Prinzip ein schöner Gedanke. Witzigerweise kann PF - also der Paketfilter der bei den *Sensen genutzt wird - das sogar irgendwie. Allerdings nicht so wie du das gern hättest. Denn "wie" und "wann" soll die Firewall denn wissen, dass Horst gerade angemeldet ist und ab dann die Firewallregel gelten soll? Und was für ein Anwedungsfall stellt das dar? Dein Netz ist komplett abgeschottet, aber User X soll ins Netz dürfen mittels einer Anmeldung? Dann wäre da eher sowas wie Proxy und Co zuständig. Aber mit der Grundfunktion "Firewall" bzw. Paketfilter hat das nichts zu tun, denn auf IP-Paketebene ist es der Firewall komplett unbekannt (und egal) wie ein Benutzer heißt, hier kennt sie lediglich IPs und Ports. Ein Benutzer ist etwas, was auf einer wesentlich höheren Schicht zu Hause ist und auch dort bearbeitet werden muss.
Gruß
Logged
"It doesn't work!" is no valid error description!
- Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense as no(n)sense!
If you're interested in german-speaking business support, feel free to reach out via PM.
fabian
Hero Member
Posts: 2769
Karma: 200
OPNsense Contributor (Language, VPN, Proxy, etc.)
Re: gesonderte Firewallregel für einen Benutzer
«
Reply #4 on:
February 19, 2018, 05:58:19 pm »
Im Grunde gibt es sowas für PF, allerdings weiß ich nicht ob das auf FreeBSD auch geht:
https://www.openbsd.org/faq/pf/authpf.html
Das funktioniert dahingehend, dass in der Firewall die IP mit einem Benutzer temporär verknüpft wird - im Fall von authpf mittels einer aktiven SSH verbindung. Wenn die SSH Verbindung abbricht oder beendet wird, ist der "Status" weg.
Dies könnte zwar auch im CaptivePortal implementiert werden, wird aber auf absehbare Zeit nicht geschen.
Logged
JeGr
Hero Member
Posts: 1945
Karma: 227
old man standing
Re: gesonderte Firewallregel für einen Benutzer
«
Reply #5 on:
February 20, 2018, 01:31:50 pm »
An AuthPF hatte ich auch gedacht, habe bislang aber in den Sensen da keinerlei Implementation gesehen aber auch nicht besonders tief nachgebohrt.
Logged
"It doesn't work!" is no valid error description!
- Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense as no(n)sense!
If you're interested in german-speaking business support, feel free to reach out via PM.
Print
Pages: [
1
]
« previous
next »
OPNsense Forum
»
International Forums
»
German - Deutsch
»
gesonderte Firewallregel für einen Benutzer