Firewall-Einstellungen mit pfSense?

...komplette Frage anzeigen

3 Antworten

Hallo

und zwar möchte ich mithilfe von pfSense eine Firewall erstellen.

Kannst Du mal eine Skizze mache wie der Aufbau aktuell ist?

Am ehesten ist es umsetzbar wenn pfsense auf einem eigenen Rechner (z.B.
Raspberry) läuft der zwischen dem Internetzugang und Switch steht.

Im Anhang habe ich mal mein Heim-Netzwerk beigefügt.

http://www2.pic-upload.de/img/29973469/MyHomeTopology\_lines.png

Linuxhase

Antwort bewerten Vielen Dank für Deine Bewertung
asad98 10.03.2016, 08:03

Also pfSense läuft auf einem eigenen Rechner ("bisschen" stärker als  ein Raspberry :D) und der hängt zwischen dem Switch(ähnlich wie auf deiner Skizze) und einem Rechner den ich abschirmen möchte.

0
Linuxhase 10.03.2016, 18:52
@asad98

@asad98

Also pfSense läuft auf einem eigenen Rechner [....] und der hängt zwischen dem Switch [....] und einem Rechner den ich abschirmen möchte.

Dann sollte es doch ein leichtes sein alles zu blockieren was rein oder raus geht. Selbst mit Standardeinstellungen.

Linuxhase

0
asad98 11.03.2016, 08:21
@Linuxhase

Ja an sich schon, aber ich will ja nur das blockieren was rein geht. Mitlerweile bin ich soweit, dass ich alles blockiert habe was rein geht, aber ich von meinem zweiten Netz was ich mit pfSense erstellt habe immernoch das andere (abgeschirmte) Netz pingen kann. Weißt du vll woran das liegen könnte? Und mein 2. Problem ist noch, dass ich  mein  zweites Netz als Management Netz nutzen möchte, sprich  nur aus diesem Netz administrieren kann und es  den anderen Netzen verbiete.

0
Linuxhase 11.03.2016, 17:03
@asad98

@asad98

aber ich von meinem zweiten Netz [...] immernoch das andere (abgeschirmte) Netz pingen kann. Weißt du vll woran
das liegen könnte?

Das kannst Du zum Beispiel mit iptables unterbinden:

  • crybit.com/iptables-rules-for-icmp
  • admin-magazin.de/News/Tipps/ADMIN-Tipp-Unsichtbar-fuer-Ping
  • rootforum.org/forum/viewtopic.php?t=1725

nur aus diesem Netz administrieren kann und es  den anderen Netzen verbiete.

Auch da dürfte iptables geeignet sein

Linuxhase

0

Hier eine Skizze von meinem Aufbau.

Das Bild ist Von Harald Mühlböck - selbst erstellt mithilfe von xfig und der xfig-libaries., CC BY-SA 3.0, https://commons.wikimedia.org/w/index.php?curid=815692

und von mir überarbeitet.

 - (Computer, PC, Technik)
Antwort bewerten Vielen Dank für Deine Bewertung

was meinst du denn mit. Von aussen erreicht? was genau willst du denn abschirmen? Irgendwelche speziellen Ports?

Antwort bewerten Vielen Dank für Deine Bewertung
asad98 08.03.2016, 16:17

Also ich will das Netzwerk komplett abschirmen, sodass ich damit zwar alles machen kann(ping,http,https usw.), aber man das Netzwerk weder pingen kann oder per ssh erreichen kann usw. Das einzige was von "außen" das Netzwerk erreichen soll sind die Antwortpakete von z.B. ping.

0
Xylex 08.03.2016, 16:23
@asad98

wie sieht denn dein Aufbau aus? Router->Gateway mit pfSense->Rechnernetz?

oder irgedwie anders?

0
asad98 08.03.2016, 16:47
@Xylex

Also ich habe ein Switch daran hängt ein Rechner mit dem ich auch die Firewall konfiguriere. Dann hängt an dem Switch noch ein alter Server, der als Firewall mit pfSense fungiert. Und an dem hängt noch ein Rechner in einem eigenen Netz. Und der Rechner soll alles erreichen, aber niemand soll ihn erreichen.

0
Xylex 08.03.2016, 17:13
@asad98

und an welcher Stelle ist dein Router angeschlossen? auch am Switch?

0
asad98 08.03.2016, 17:23
@Xylex

Jo als WAN Interface, falls du das meinst! Und mit den  Geräten die an dem  Switch hängen komm ich auch ohne Probleme ins Internet und sollen nicht hinter der  Firewall sein.

0
Xylex 08.03.2016, 17:42
@asad98

jetzt wirds schwierig. mit einer Firewall kannst du immer nur die Rechner schützen die dahinter hängen. Das heisst mit deiner Softwarevariante (Personal Firewall) kannst du nur den Rechner schützen bzw. abschirmen auf dem sie läuft, oder eben die dahinter.

https://de.wikipedia.org/wiki/Personal_Firewall

es ginge mit dieser variante nur wenn du eine 2. Netzwerkkarte in dem Rechner mit der Firewall hättest und die Rechner welche geschützt sein sollen an diese Karte anschließt.

Dann würde der erste Rechner sozusagen Gatewayfunktion übernehmen und Alle Packete die dann weitergeleitet würden kontrollieren, bzw. abschirmen.

Die einfachere Variante ist es auf jedem Rechner der geschützt sein soll eine Softwarefirewall zu installieren.

Oder: dein Router oder switch bietet Firewallfunktionalität und du kannst an dieser Stelle die Filterung einstellen. (externe Firewall)

https://de.wikipedia.org/wiki/Firewall#Externe_Firewall_.28auch_Netzwerk-_oder_Hardware-Firewall.29

Es bleibt der nötige Grundaufbau (geschützt ist nur das hinter der Firewall)

0
asad98 10.03.2016, 08:06
@Xylex

An Netzwerkkarten magelts dem Rechner mit pfSense nicht. Der hat um die 10 davon. :D 2 sind an dem Switch angeschlossen, einmal als WAN-Interface und einmal als LAN-Interface über das ich administriere. Und 1 ist an dem Rechner angeschlossen den ich abschirmen möchte.

0

Was möchtest Du wissen?