Naja, Du solltest Dir überlegen, was "wirklich" worauf Zugriff braucht (im Hinblick u.a. auf die internen Netze). Kleines Beispiel dazu:
LAN -> Überall Zugriff
OPT1 -> (maximal) Internet (und somit nicht ins LAN und nicht in das WAN-Netz der Firewall)
Keine Ahnung, ob man bei der pfSense "Gruppen" erstellen kann, aber die
RFC1918 beschreibt die
privaten Adressbereiche, ich würde mir eine entsprechende Gruppe anlegen. Um das jetzt mal "ganz grob" runterzubrechen, könnten entsprechende Firewall-Regeln wie folgt aussehen:
(Quell-Netz -> Protokoll -> Ziel-Netz -> erlauben/verbieten)
LAN -> alle -> alle -> erlauben
RFC1918 -> alle -> RFC1918 -> verbieten
RFC1918 -> alle -> alle -> erlauben
Wenn wir jetzt mal davon ausgehen, dass Deine IP-Cams an OPT1 hängen und das NAS an OPT2 brauchst Du logischerweise noch eine Regel, welche besagt, dass das NAS von OPT1 auf die Cams in OPT2 zugreifen darf. Das kannst Du entweder sehr granular machen (NAS -> Protokoll/Port -> IP-Cam1 + NAS -> Protokoll/Port -> IP-Cam1), oder Du gibst dem NAS über das gewünschte Protokoll Zugriff auf das gesamte OPT1-Netz (NAS -> Protokoll/Port -> OPT1), oder das gesamte NAS-Netz (OPT2) darf nur über das gewünschte Protokoll in das OPT1-Netz (OPT2 -> Protokoll/Port -> OPT1), oder... (dann sind wir aber auch fertig...
) das OPT2-Netz darf - mit egal was - ins OPT1 Netz (OPT2 -> alles -> OPT1). Grundsätzlich gilt "je feiner/granularer, desto besser/sicherer", wie Du das für Dich intern umsetzen möchtest, bleibt Dir überlassen. So könnte das "neue" Regelset (s.o.) dann z.B. wie folgt aussehen:
LAN -> alle -> alle -> erlauben
NAS -> Protokoll -> Cam1 -> erlauben
NAS -> Protokoll -> Cam2 -> erlauben
RFC1918 -> alle -> RFC1918 -> verbieten
RFC1918 -> alle -> alle -> erlauben
Falls das mit den Gruppen hinhaut, kannst Du die Cams auch einfach in eine Gruppe stecken und den Zugriff auf die Gruppe erlauben, je nachdem.
Ein "schönes" Beispiel wäre übrigens noch folgendes bzgl. der Firewall-Regeln: HomeAssistant. HomeAssistant muss im Normalfall an alles mögliche an Smarthome-Zeugs ran. Das kann man z.B. alles in ein eigenes Netz packen. HomeAssistant muss logischerweise Zugriff auf dieses Netz haben. Zugriff aus dem LAN brauchst Du sicherlich auch auf das Smarthome-Netz (z.B. für die Einbindung/Einrichtung neuer Gerätschaften, wie auch immer).
Nun gibt es aber noch mehr Netze als z.B. das LAN. Vielleicht gibt es ein Netz für die Kinder, die auch Dein smartes Zuhause steuern können sollen. Diese brauchen jetzt aber "keinen" Zugriff auf das Smarthome-Netz, sondern lediglich Zugriff via http/https auf die HomeAssistant-Instanz. Gleiches gilt vermutlich auch für WLAN-Clients, welche eher nichts im Smarthome-Netz zu suchen haben, aber Zugriff via http/https auf die Smarthome-Instanz brauchen (ansonsten wäre die HomeAssistant-App ja auch recht witzlos). Irgendwelche Gäste brauchen sicherlich auch keinen Zugriff auf Deine Wallbox, usw. usw. usw.
Da kommt also schon einiges zusammen, daher auch die Sache bzgl. "Zettel und Stift" - soll bedeuten: erstmal in Ruhe hinsetzen, drüber nachdenken und einen "Plan" machen (das ist auch die "eigentliche" Arbeit dabei).
Wichtig ist die Reihenfolge der Regeln (das erste zutreffende gewinnt!), insofern würde dieses Beispiel hier NICHT funktionieren:
LAN -> alle -> alle -> erlauben
NAS -> Protokoll -> Cam2 -> erlauben
RFC1918 -> alle -> RFC1918 -> verbieten
NAS -> Protokoll -> Cam2 -> erlauben
RFC1918 -> alle -> alle -> erlauben
Regel 4 würde hier nicht mehr greifen, da durch Regel 3 schon der Zugriff von sämtlichen privaten Adressen auf sämtliche private Adressen verboten wurde (und damit ist auch schon Ende bei der Abarbeitung der Firewall-Regeln und die Pakete werden verworfen).
