Firewall Rules

Tommes

Active member
Hi!

Hinter meiner Fritzbox läuft auf einem APU2 Board eine pfSense und daran angeschlossen zwei Subnetze. Ziel ist, das im Subnetz der Fritzbox (192.168.178.0/24) alle nicht vertrauenswürdigen Geräte betrieben werden sollen, von denen einige durch Portfreigaben in der Fritzbox aus dem Internet erreichbar sind. Im weitesten Sinne stellt dieses Subnetz meine DMZ da. Die beiden Subnetze hinter der pfSense sind durch entsprechende Regeln voneinander getrennt. Auch der Zugang auf Geräte im Subnetz der Fritzbox werden durch entsprechende Regeln unterbunden. Möchte ich auf ein Gerät im Subnetz der Fritzbox zugreifen, muss ich das durch eine Regel explizit erlauben. So weit so gut... läuft auch alles!

Wäre es nicht einfacher, den Zugriff auf das Subnetz der Fritzbox komplett zu erlauben? Also etwa so....

1659594304193.png

... dann würde ich mir einige Regeln ersparen um auf einzelne Geräte im Subnetz der Fritzbox zuzugreifen. Sehr ihr da irgendeine Gefahr drin? Kann man das so machen?

Tommes
 
Zuletzt bearbeitet:

Barungar

Active member
Ich kenne den pfSense FW-Regelaufbau nicht. Mir erschließt sich so direkt auf dem Screenshot die Richtung des Traffics z.B. nicht.
 

Tommes

Active member
Ähm... naja. Das Regelwerk ist nicht komplett abgebildet und eigentlich tut das auch nichts zur Sache. Mich interessiert einzig und allein, ob ich aus einem "sicheren"Subnetz hinter der pfSense, gefahrlos auf das gesamte Subnet der Fritzbox zugreifen kann. Die Gegenrichtung, also vom Fritzbox Subnet in Richtung pfSense Subnet ist natürlich untersagt.
 

Barungar

Active member
Solange die Gegenrichtung geblockt wird (und das war mir aus den bisherigen Infos noch nicht klar) ist die Gefahr ziemlich gering.

Grundsätzlich ist der Oneway-Zugriff auf Systeme in einer DMZ nicht minder gefährlicher als auf das Internet allgemein.
Aber da hast Du ja auch keine allgemeine Block-Regel und lässt nur die fünf Webservices zu, die Du regelmäßig nutzt. :D

Die Gefahr ist also "überschaubar" und dürfte rein statistisch sogar leicht unter dem Allgemeinen Internet liegen.
Also ja, kann man machen.
 

the other

Well-known member
Moinsen,
Habe ich hier als Einbahnstraße auch so eingerichtet wobei im fritzbox Netzwerk meist nur die fritzbox selber ist. Da ich aber von unterwegs gerne mal den ab abhören will oder die anruferliste einsehen muss, ist der Zugriff begrenzt erlaubt.
 

Neueste Beiträge

Letzte Anleitungen

Statistik des Forums

Themen
750
Beiträge
11.129
Mitglieder
310
Neuestes Mitglied
DirkHH
Oben