Pfsense en VLAN scheiding, en de outgoing chain

donderdag 19 september 2019 12:15

Acties:

0 Henk 'm!

Kitesurf FTW!

Topicstarter

Bij mij thuis heb ik een virtuele Pfsense router draaien en heb ik verschillende vlannen (LAN, INFRA, DMZ enz).
Omdat ik niet zomaar al mijn interne verkeer naar buiten wil toestaan heb ik daar ook regels voor gemaakt. Echter worstel ik met het volgende:

Stel ik wil poort 443 richting het internet (WAN) openzetten dan heb ik daar de eerste actieve regel voor gemaakt.
Maar ik wil poort 443 richting mijn andere VLANnens bijvoorbeeld niet open hebben staan.

Moet ik dan per poort een block regel gaan maken per VLAN?

Ik ben eigenlijk opzoek naar iets van een optie om het open te zetten naar alles behalve RFC1918 subnetten maar dat lijkt er niet te zijn of mis ik iets?

iRacing Profiel

donderdag 19 september 2019 12:23

Acties:

0 Henk 'm!

CyBeR

💩

Eerst blocken richting rfc1918 dan allowen naar alles.

All my posts are provided as-is. They come with NO WARRANTY at all.

donderdag 19 september 2019 13:36

Acties:

0 Henk 'm!

RammY

Dát!

As je het overzichtelijk wil houden en echt wil dichttimmeren, en je hebt al de config zoals uit je screenshot, zou ik eerst per vlan alles dicht zetten met een aparte block regel, en dan een allow onderaan zoals Cyber ook al zegt.

Heb je mooi overzicht met wat je doet.

Deze advertentieplaats is te huur!

donderdag 19 september 2019 14:25

Acties:

0 Henk 'm!

Valkyre

Kitesurf FTW!

Topicstarter

Hmm ja dat lijkt dus niet te werken ik heb nu dit:

Afbeeldingslocatie: https://tweakers.net/ext/f/uE78Q1VaI3JfRO6IdlFb17DG/medium.png

En de regel zelf:

Afbeeldingslocatie: https://tweakers.net/ext/f/GyGTGPEyXVhhIsgFGcJfgQqN/medium.png

Hmm browsen naar buiten dat werkt nog wel, echter mijn DNS server staat in het infra VLAN en daar heb ik een allow regel voor zie hieronder, echter word dit verkeer geblocked omdat het volgens mij door de eerste regel nu word tegengehouden.

Afbeeldingslocatie: https://tweakers.net/ext/f/f6aXrn1u1bwO9fQh7dcWsLuc/medium.png

of zal ik dan deze block regel aan het einde moeten zetten?

[ Voor 37% gewijzigd door Valkyre op 19-09-2019 15:11 ]

iRacing Profiel

donderdag 19 september 2019 17:57

Acties:

0 Henk 'm!

CyBeR

💩

Mijn aanname is dat van boven naar onder de 1e regel die matcht, telt. In dat geval moet je dus eerst het verkeer naar rfc1918 blokkeren en daarna al het andere verkeer toestaan.

Sommige firewalls werken andersom, dat de laatste regel die matcht toegepast wordt. In dat geval moet je block inderdaad achteraan staan.

All my posts are provided as-is. They come with NO WARRANTY at all.

donderdag 19 september 2019 18:52

Acties:

+1 Henk 'm!

nike

De regels lees je van bovn naar benden.
Je begint met je allow regels en onderaan je block.

Je kan ook ivert match doen.
Hier staat een goede uitleg waarmee je met 1 regel een block kan doen.
YouTube: 2018 Getting started with pfsense 2.4 from install to secure! includ...

-edit-

vrijdag 20 september 2019 11:59

Acties:

0 Henk 'm!

Valkyre

Kitesurf FTW!

Topicstarter

nike schreef op donderdag 19 september 2019 @ 18:52:
De regels lees je van bovn naar benden.
Je begint met je allow regels en onderaan je block.

Je kan ook ivert match doen.
Hier staat een goede uitleg waarmee je met 1 regel een block kan doen.
YouTube: 2018 Getting started with pfsense 2.4 from install to secure! includ...

Bedankt voor het filmpje de invert match is inderdaad wat ik nog niet goed begreep.
Het is vrij laat geworden en een groot deel van mijn problemen kwam van een denk fout in een alias. (IP adres van de dc in het infra vlan klopte niet meer en daar was ik net mee aan het testen....

)

met NMAP getest en lijk ik wel het beoogde resultaat te bereiken. Ik heb ergens nog een gevoel dat het efficienter kan?

Afbeeldingslocatie: https://tweakers.net/ext/f/Vv3uRwUAWvDHgCy4GM9fizKR/medium.png

iRacing Profiel

vrijdag 20 september 2019 20:58

Acties:

0 Henk 'm!

nike

Ik denk zelf dat je een beeje actief bent hierin, en het wat simpeler moet maken.
Ik zelf ben ook een groot pfsense fan, met net zoals jij veel vlans vpn etc.

Als jij je netwerk goed indeeld heb je geen rare regels nodig.

Ik heb zelf mijn trusted lan, die mag alles.
Dan een gastennet werk die mag niet naar de rest, wel op internet.
Tevens internet og things, denk aan domotica hue lampen etc. Beperkte nternet met 2mb.
Cctv wat niet naar buiten mag.

Wat je dan doet is dat je lan alles mag, die mag dus ook de connectie naar je andere netwerken maken, maar je andere netwerken mogen niet de verbinding naar je lan opzetten.
Je andere netwerk krijgen dan een block naar je lan, en eventueel naar je nadere netwerken.

Zo blijft alles in je egen netwerk en de risico beperkt, en jij kan met he lan netwerk overal bij.

Hoef je niet moeilijk te doen,et bepaalde poorten openzetten naar buiten.

Ps: daar komt de invert match om de ho maken.
In je kastennetwerk maak je im 1 reglel je mag alles behalve je lan netwerk..
Voeg je ander netwerk regels toe en je ben in 4of 5 regels klaar.

[ Voor 9% gewijzigd door nike op 20-09-2019 21:04 ]

-edit-

Vraag

Alle reacties