Firewall und ihre Regeln?

Hallo Zusammen

Ich mach mir wieder mal zu viel Gedanken über ein IT-Thema :P

Wenn ich eine Firewall installiere mit einer WAN-, LAN- und DMZ-Schnittstelle. In der DMZ steht ein Webserver, welchen ich aus dem LAN erreichen möchte, muss ich doch logischerweise auf beiden Schnittstellen die Ports öffnen oder nicht? Da ja Traffic welcher hineinkommt und hinausgeht an den jeweiligen Schnittstellen standardmässig zu geblockt werden...

Ich habe dies mal in einer Testumgebung getestet mittels einem IIS-Webserver in der DMZ, einer pfSense-Firewall und einem Windows-Server im LAN. Mir geht einfach nicht in Kopf warum ich die Regel auf der LAN-Schnittstelle einrichten musste? Klar, ich will ja nach draussen über irgendeinen Port und ich will eine Antwort über Port 80. Muss ich das gleiche Spiel umgekehrt nicht an der DMZ-Schnittstelle auch einrichten?!

Bild zum Beitrag

1 Antwort

Vom Fragesteller als hilfreich ausgezeichnet

xxxcyberxxx

Von gutefrage auf Grund seines Wissens auf einem Fachgebiet ausgezeichneter Nutzer

Technik, Technologie, Spiele und Gaming

07.04.2022, 20:50

Sofern du vom LAN keine Regel vom Prinzip Allow Any to Any hast, werden da auch ausgehende Verbindungen in andere Netze blockiert.

Und nein, sofern du die Firewall stateful hältst, reicht es die Verbindung in die DMZ zu erlauben. Die Antwort wird dann implizit auch erlaubt, ohne zusätzliche Regeln einrichten zu müssen

Woher ich das weiß:Hobby – Eigenes Homelab - Netzwerk, Firewall, Server, Domain usw.

eeuullii

Fragesteller

07.04.2022, 20:53

Also heisst dass ich muss nur immer eine Regel vom Netzwerk erstellen / erlauben, von diesem ich ins andere Netzwerk will?

xxxcyberxxx

07.04.2022, 20:57

@eeuullii

Jup.

Nehmen wir Mal an, es werden Verbindungen ohne Regeln blockiert. Nehmen wir an, es gibt Subnetz A und Subnetz B. In B wird ein Server gehostet und A soll darauf zugreifen können.

Es muss jetzt einfach nur eine Regel existieren, die ausgehende Verbindungen von A nach B erlaubt. Sofern die Firewall stateful ist, wird auch die Rückantwort durchgelassen.

Anders wird es auch relativ schwierig, den richtigen Port für die Antwort freizugeben, denn in der Regel wird Source Port Randomization benutzt - der Ursprungsport einer Anfrage an den Server ist zufällig

eeuullii

Fragesteller

07.04.2022, 22:16

@xxxcyberxxx

Vielen Dank für die ausführliche Antwort! Was heisst den genau "statefull"?

xxxcyberxxx

07.04.2022, 22:27

@eeuullii

https://de.wikipedia.org/wiki/Stateful_Packet_Inspection

eeuullii

Fragesteller

26.04.2022, 22:48

@xxxcyberxxx

viele Dank!!

Hallo,

ich möchte mit PfSense eine DMZ realisieren, leider finde ich dazu keine vernünfitge Anleitung, die meinen Fall abdeckt.

PfSense läuft nativ auf einem PC mit drei Netzwerkkarten. Eine für WAN; LAN und DMZ.

Abbildung 1 zeig den Plan, wie das ganze aufgebaut werden soll. Die Hubs sind tatsächlich "dumme" Hubs und keine Switche, also ist VLan nicht möglich, durch die einzelnen Karten meines Verständisses nach aber auch nicht nötig.

Abb. 2 zeigt eine von mir überlegte Konfig. des WAN Interfaces:

alle anfragen am WAN interface, die als Ziel in die DMZ wollen, werden erlaubt.

Abb. 3 zeigt eine von mir überlegte Konfig. für das DMZ Interface:

Alle Anfragen auf die interne IP bspw. 10.1.1.17 für einen theoretischen Webserver werden erlaubt.

Allerdings bin ich mir da nicht sicher und würde ungern durch falsche konfiguration mein LAN nach außen exposen.

Danke schon mal für die Hilfe!

...zur Frage

pfSense bekommt kein Internet (Vodafone Fritzbox im Bridgemode)?

Hallo zusammen,

ich bin bei Vodafone und habe eine Fritzbox 6591 Cable, wobei ich den Bridgemode auf LAN 3 aktiviert habe. Ich besitze eine statische IPv4-Adresse.
An diesem LAN 3 hängt die WAN Schnittstelle einer Hardware Firewall (pfSense).
Die Netze "nach" der pfSense sollen von außen erreichbar sein.
Nun bekommt die pfSense scheinbar aber leider kein Internet vom LAN3(Ping Test auf der pfSense Web GUI an 8.8.8.8 = 100% Packet Loss). Wenn der Bridgemode deaktiviert wird, bekommt die pfSense jedoch Internet aber das ist dann natürlich sicherheitstechnisch Müll.

Es kann doch hier nur ein Problem mit der Konfiguration der WAN Schnittstelle auf der pfSense geben oder? Wie genau muss ich die WAN-Schnittstelle auf der pfSense konfigurieren? (Ausgegangen von einer werksseitigen Standardkonfiguration der WAN Schnittstelle der pfSense)

Vielen Dank im Voraus!!

...zur Frage

Pfsense leitet kein Internet weiter?

Ich habe über Proxmox Pfsense und Debian am laufen bekommen, soweit so gut. Ich habe den Wan Port mit einer OVS Bridge und den Lan Port mit einer Standard Linux Bridge am laufen. Pfsense bekommt Internet(Kann updaten etc.) Aber über den PC, der ans Lan angeschlossen ist, bekomme ich kein Internet. Ich komme auf die Pfsense Page über 192.168.1.1, jedoch kann ich nichts anderes anpingen, was außerhalb des Netzwerkes ist. Danke für jede Hilfe.

...zur Frage

Drahtlosverbindung absichern (Hardware VPN)?

Hey,

ich möchte meine Drahtlosverbindung mit einer Hardware VPN + Firewall absichern. Da ich in dem WLAN kein Admin bin, habe ich keinen Zugang zur Konfiguration der Ports. Eine eigene Box werde ich mir wohl erst demnächst irgendwann holen. Ich bin mir nur noch nicht ganz sicher welche Variante und welches Modell ich benutzen soll. Da mich Cyber Security interessiert, bin ich dabei mich in das Thema Netzwerk- und Systemsicherheit einzulesen. Ich möchte versuchen ein sicheres System aufzubauen. Erstmal eine sichere Verbindung und danach stück für stück einen Homeserver. Für die WLAN-Verbindung würde ich gerne eine Hardwarelösung verwenden (VPN + Firewall).

Bei Pi-Hole, pfSense, OPNsene und ähnlichem dürfte die Konfiguration ohne Vorkenntnise schwierig werden. Bei solchen Hardware VPNs wie SonicWALL, Netgate (Links unten) ist es laut einigen Beiträgen auf Reddit einfacher und man hat während der Laufzeit Support.

Pi-Hole + unbound (muss mit Snort oder Suricata erweitert werden, um als IDS/IPS zu fungieren)
pfSense (OpenSource, muss extra mit pfBlockerNG erweitert werden um das gleiche wie Pi-Hole zu machen)
OPNsense
DPN (Decentralized VPN with Secure & Encrypted Traffic) (Bandbreite wird standartmäßig mit anderen Deeper Connect Nutzern geteilt) ---- Deeper Connect Mini Set // Deeper Connect Nano

Die beiden habe ich mir mal ausgesucht.

https://www.voelkner.de/products/4781938/SonicWall-TZ-370-Firewall.html?offer=5e2df06266bc0006eb7091b6820e2fc0

https://www.amazon.de/dp/B084HKDKM9/?smid=A7P7EAUWU945G&tag=idealode-mp-pk-21&linkCode=asn&creative=6742&camp=1638&creativeASIN=B084HKDKM9&ascsubtag=2023-06-04_3e6bab7fdd096b489d9ab697acc176f2fd76004ea8bb22d9a7c7af4da443813f&th=1&psc=1

...zur Frage

Aufteilung des Heimnetzes in verschiedene Bereiche?

Hallo zusammen!

Ich würde gerne folgendes bewerkstelligen (mir stehen zwei Fritzboxen zur Verfügung):

1. DMZ einrichten

Router 1 ist die Schnittstelle zwischen WAN und DMZ (sagen wir 192.168.0.1 mit 255.255.255.0); kein DHCP
Router 2 ist Schnittstelle zwischen DMZ und WAN (sagen wir 192.168.0.254 in Netz von Router 1 und 192.168.178.1 mit 255.255.255.0 im privaten Netz) mit Router 1 als Modem; Router 2 vergibt die Adressen im privaten Netz mittels DHCP

Das bekomme ich bestimmt hin. In der DMZ möchte ich dann z. B. meinen Home Assistant einbinden, so dass er dauerhaft auf das Internet zugreifen kann, aber nicht auf das Heimnetzwerk.

Erste Frage:

Kann ich vom privaten Netzwerk direkt auf Geräte der DMZ zugreifen (z. B. 192.168.0.15)?

2. IP-Kameras hinzufügen

Nun möchte ich außerdem Überwachungskameras ins Netzwerk integrieren. Da ich diese in den Home Assistant integrieren möchte, müssten sie mutmaßlich auch in der DMZ liegen. Sie sollen jedoch ausschließlich in der DMZ arbeiten dürfen, das heißt jegliches "Nach-Hause-Telefonieren" zu irgendwelchen Drittservern soll unterbunden werden wie auch der Aufruf aus dem Internet.

Zweite Frage:

Reicht es die Kameras in der DMZ zu platzieren oder benötige ich hierfür ein drittes Netz? Wenn Letzteres, wie gewährleiste ich die gegenseitige Erreichbarkeit von Home Assistant und Kameras?

Dritte Frage:

Kann bei einer Fritzbox die Internetznutzung der Kameras unterbunden werden?

Danke schon mal für eure Unterstützung!

...zur Frage

Übernimmt Fortigate die Aufgabe des Firewall von meinen DSL-Router?

Wenn ich meine Fortigate 60F von WAN Schnittstelle mit meiner Fritzbox 7430 verbinde, übernimmt Fortigate automatisch die Aufgabe als Firewall von meiner DSL-Router? Ich möchte für meinen Abschlussprojekt offline darüber konfigurieren. Jedoch habe ich keine Seriell (zu Ethernet) Kabel um mich mit der Konsole zu verbinden. Stattdessen wollte ich über die Web-Interface versuchen, aber anscheinend reicht es nicht aus, Laptop/Computer mit Ethernet-Kabel zu verbinden (Computer/Laptop Lan -> Port 1 (Fortigate 60F)

Hinweis: Laut Anleitung sollte ich nur mit meinen Computer/Laptop mit Fortigate über Ethernet zu verbinden auf Port 1 + Endgerät auf DHCP einstellen, was ich schon mehrmals versucht habe

...zur Frage

Netzwerk mit DMZ über VLAN?

Ich habe eine Fritzbox und eine Firewall und wollte mein Netzwerk damit sicherer machen, also eine DMZ aufbauen.

Da die Firewall kein DSL Modem hat und mein Router keinen reinen Modem Betrieb, wollte ich den Router über LAN an die Firewall hängen. Die LAN Ports der Firewall wollte ich in 3 VLANs teilen.

1. VLAN an dem der Router hängt (also Internet) und Tags für VLAN 2 und VLAN 3

2. VLAN für die DMZ mit TAG für VLAN 1 (Internet)

3. VLAN für mein HeimNetz mit TAG für VLAN 1 (Internet)

Ist das Sicherheitstechnisch sinnvoll? Das heißt wird nun VLAN 2 gekapert, ist das VLAN 1 und VLAN 3 danach noch sicher? Oder ist VLAN 3 direkt für VLAN 2 erreichbar, weil sie beide Zugriff auf VLAN 1 haben?

Danke für eure Hilfe.

...zur Frage

Speedport Smart 4 (exposed Host)?

Moin,

Ich bin neulich auf Telekom umgestiegen und habe in meiner Kurzsichtigkeit deren Speedport Smart 4 als Leihgerät genommen. Allgemein bin ich zufrieden. Bloß wollte ich (aufgrund meines Interesses für Netzwerk-Sicherheit) eine Firewall als Exposed Host konfigurieren, genauer eine Fortigate 60E (von meiner Ausbildungsstätte geliehen).

Leider hat der Speedport Smart 4 eine eingebaute Firewall, welche nicht konfigurierbar ist. Eine Option für "Exposed Host" oder "DMZ" steht nicht zur Verfügung.

Das Einzige ist eine "Portweiterleitung". Hier kommt nun meine Frage. Kann ich mit dieser Portweiterleitung trotzdem eine Art Exposed Host einrichten? Ich bin sehr neu in diesem Feld und komme hier leider nicht weiter. (Habe im Februar eine Ausbildung zum Fachinformatiker für Systemintegration begonnen)

Liebe Grüße und danke im Voraus!

Dennis

...zur Frage

Sophos XG 86w: WIFI to LAN?

Ich habe eine Sophos XG 86w (FW Ver. 17.xxx) Firewall mit integriertem WLAN bei einem Kunden installiert. (Der Hauptgrund für die Anschaffung war die Blockierung von Pornoseiten und Browsergames in diesem kleinen Unternehmen.) WLAN funktioniert und darüber kann ich auch auf das Internet zugreifen. Aber auf meine Geräte (Drucker, NAS) im LAN habe ich über WLAN keinen Zugriff. Benutzt werden Port 1 für LAN und Port 2 für WAN. Port 3 und 4 sind frei.

Ich bin gemäss Sophos Anleitung (https://community.sophos.com/kb/en-us/122789) vorgegangen, aber bei Punkt 5 (siehe Bild, Anmerkung, Bild ist aus Anleitung und nicht von meiner Firewall), müsste ich bei "Port to Bridge" einen Port auswählen können. Wenn ich dieses Dropdown Menü öffne, dann wird kein Port angezeigt. Was muss ich anders konfigurieren, damit ich einen "Port to Bridge" verfübgar habe? Bzw. auf welchen Port müsste ich das bridgen?

Auch wenn ich gemäss Anleitung für FW 16 vorgehe, funktioniert der Zugriff auf die LAN devices nicht.

Eine Regel LAN to LAN habe ich ebenfalls erstellt.

Vielen Dank für eine Antwort.

...zur Frage

Raspberry Pi Firewall?

Hallo zusammen,

für ein Projekt benötige ich eure Unterstützung:

In meinem LAN (echtes Dual-Stack mit DynDNS) hängt ein Raspberry. Von der FritzBox aus wird dem Raspberry die IP 10.7.7.49/24 zugewiesen. Diese Adresse liegt an eth0 an. Der Raspberry dient aber auch als WLAN Client für andere Geräte. Über hostapd stellt er das Interface wlan0 zur verfügung. Hier gibt es folgende Adressen für die Clients: 10.8.8.0/24. Als AP ist er über die 10.8.8.1 erreichbar.

Für das Projekt ist es nötig, dass ich von extern auf einen Client des Raspberries (10.8.8.10) komme. Dieser stellt einen Webserver auf Port 8080 zur Verfügung. Sprich: Ich möchte mit meiner Domain (http://meine.domain:8080) auf den Port 8080 des Clients kommen.

Das mit der FritzFox, dem DynDNS und dem Reverse Proxy bekomme ich hin. Nur nicht die Weiterleitung von eth0 10.7.7.49:8080 auf wlan0 10.8.8.10:8080. Ich gehe schwer davon aus, dass ich hier an die "iptables" muss.

Kann mir jemand helfen? Welchen Befehl brauche ich hier?

...zur Frage

pfSense 3 interne Netzwerke?

Guten Abend,

ich plane zur Zeit eine neue Netzwerkstruktur in meinem Haushalt.

Kann man pfSense so einrichten, dass man 3 Netzwerke (jedes Netzwerk hat seine eigene LAN-Karte) hat?

Über eine positive Antwort würde ich mich sehr freuen.

Mit freundlichem Gruß Dennis Blaschke

...zur Frage

IIS Webserver nur über Adresse erreichbar machen?

Hallo,

Ich muss für eine Übung für meine It-Techniker LAP, einen IIS Webserver mit
der Default Website einrichten. Soweit alles kein Problem da die Default
Website ja schon Standard mäßig installiert ist.

Also habe ich nur die Bindung zur IP erstellt und im DNS den A Host Eintrag
mit der geforderten Adresse (lap.wifisbg.at) gesetzt.

Das hat also auch soweit gut funktioniert. Nun ist mein Problem aber das in
der Arbeitsanweisung ausdrücklich definiert ist das der Webserver nur unter
dieser Adresse (lap.wifisbg.at) erreichbar sein darf.

Leider komme ich hier nicht weiter, mein erster Ansatz wäre gewesen die IP
Adresse am Webserver einfach auszuschließen, das geht aber logischerweise
ja nicht da der DNS Eintrag ja nur auf die IP Adresse weiter leitet. Also bin
ich leider ziemlich ratlos...

Hat hier irgendwer eventuell eine Idee bzw. einen Lösungsansatz wie man das
wie gefordert realisieren kann?

Vielen Dank für eure Hilfe

Bindung im IIS

DNS Eintrag

...zur Frage

Strato vServer Port nicht erreichbar?

Hallo!

Ich habe einen Webserver auf localhost:8080. Führe ich curl localhost:8080 aus bekomme ich den HTML-Quelltext meiner Seite zurück. Jetzt möchte ich aber gerne extern darauf zugreifen. Ich nutze Ubuntu 20.04. Mein Firewall-Table sieht so aus:

To                         Action      From
--                         ------      ----
8080                       ALLOW IN    Anywhere
8080/tcp                   ALLOW IN    Anywhere
8080 (v6)                  ALLOW IN    Anywhere (v6)
8080/tcp (v6)              ALLOW IN    Anywhere (v6)

Was soll ich machen? Sowohl mit der IP als auch mit dem Hostnamen (h12345.stratoserver.net) bekomme ich ein connection refused.

...zur Frage

DSL Router direkt ins LAN?

Kann man den DSL Router an einer Firewall direkt ins LAN Segment hängen oder ist das nicht zu empfehlen aus Sicherheitsgründen. Ist besser der WAN Port an der Firewall zu benutzen?

...zur Frage

Was möchtest Du wissen?

Deine Frage stellen