pfsense: wie man das internet für einen client blockiert

8

Ich habe zu Hause ein Netzwerk mit einer PFSense-Software-Firewall. Es gibt ungefähr 2 PCs und 3 Laptops, die über diese Firewall eine Verbindung zum Internet herstellen.

Ich möchte die Firewall-Regeln verwenden, um den Internetzugang für eines dieser Geräte im Netzwerk zu blockieren. Demjenigen, den ich blockieren möchte, ist eine statische IP-Adresse zugewiesen, und ich kenne auch die MAC-Adresse.

Ich kann einfach nicht herausfinden, wie man eine Regel erstellt, die den Internetzugang für dieses eine Gerät effektiv blockiert. Ich möchte jedoch weiterhin, dass dieses Gerät intern auf das Netzwerk zugreifen kann, z. B. freigegebene Laufwerke von Netzwerkdruckern usw.

firewall  pfsense 
7wp
quelle
Können Sie uns eine Beispielregelvorlage zur Verfügung stellen?

Antworten:

10

Fügen Sie eine LAN-Firewall-Regel hinzu, um die IP des Mannes zu blockieren, indem Sie zu Firewall -> Regeln -> LAN gehen:

Alt-Text

HINWEIS: Originalbildquelle

Stellen Sie sicher, dass Ihre Regel vor der Standardregel "Alle zulassen" liegt. da Regeln von oben nach unten verarbeitet werden, bis eine übereinstimmende gefunden wird.

Ian Boyd
quelle
3

Ich weiß, dass dies eine alte Frage ist, aber sie gilt immer noch für pfSense 2.4

Ich empfehle die Verwendung von Aliasnamen zum Anwenden von Regeln auf mehrere Hosts.

Geben Sie hier die Bildbeschreibung ein

Geben Sie hier die Bildbeschreibung ein

HarlemSquirrel
quelle
2

Keine Pfsense-Person, aber die tatsächlichen PF-Regeln, die Sie benötigen, lauten wie folgt.

block in on <internal interface> from <static ip> to any
pass in on <internal interface> from <static ip> to <internal network>
pass out on <internal interface> from <static ip> to <internal network>
Cian
quelle
1

Gehen Sie zur Seite Firewall-> Regeln und klicken Sie auf die Registerkarte LAN. Fügen Sie oben eine neue Regel mit den folgenden Einstellungen hinzu:

Action: Block
Protocol: Any
Source: Single Host or Alias | <IP-Adress>

Bitte beachten Sie, dass dadurch eine einzelne IP-Adresse blockiert wird. Wenn also die IP des Hosts geändert wird, kann er wieder auf das Internet zugreifen.

binco
quelle
Hallo Bico. Ich habe es versucht, aber aus irgendeinem Grund kann der Host immer noch auf das Internet zugreifen. Ich habe überprüft, ob sich die IP nicht geändert hat, da sie von der Mac-Adresse zugewiesen wurde, sodass sie sich nie ändert. Aus diesem Grund habe ich diese Frage hier gestellt.
7wp
0

Ich habe eine Vielzahl von Ansätzen ausprobiert, von denen keiner funktioniert hat. Aber einer hat es getan

(a) Ich habe zuerst eine Regel eingerichtet, die es (in diesem Fall 192.168.1.7) ermöglicht, eine Verbindung zu einer beliebigen Stelle in meinem 192.168.1.0 / 24-LAN herzustellen. Das heißt also Firewall -> Regeln -> Bearbeiten

  1. Aktion -> Bestehen
  2. Schnittstelle -> LAN-Adresse
  3. Familie -> (Sie wählen)
  4. Protokoll -> Beliebig
  5. SOURCE Single Host ---> 192.168.1.7
  6. Ziel ---> Netzwerk 192.168.1.0 / 24

(b) Als nächstes habe ich eine Blockregel unter dieser in der Hierarchie von Firewall -> Regeln -> Bearbeiten erstellt

  1. Aktion -> Blockieren
  2. Schnittstelle ---> LAN
  3. Adressfamilie ---> (Benutzerauswahl)
  4. Protokoll -> Beliebig
  5. Source Single Host oder Alias ​​---> 192.168.1.7
  6. Ziel -> beliebig

Das hat funktioniert

Was wirklich verwirrend ist, ist die Terminologie. Vielleicht kann jemand das erklären

(a) Wenn ich eine IP-Adresse in meinem internen LAN habe, warum sollte ich dann nicht blockieren, um auf das WAN zuzugreifen (das sich außerhalb meines Routers befindet und ich würde denken, dass dies als Internet betrachtet wird), um zu verhindern, dass diese IP-Adresse auf das Internet zugreift

(b) Warum verhindert das Blockieren des Zugriffs dieser IP-Adresse auf das LAN (ich nehme an, dass sich eine IP-Adresse hinter dem NAT im LAN befindet und jede IP in diesem Netzwerk hinter dem LAN das Internet erreichen kann, sofern sie nicht blockiert ist)? IP vom Zugriff auf das Internet. Ich habe wohl gerade meine eigene Frage beantwortet, weil ich als nächstes dieser IP-Adresse den Zugriff auf das lokale Netzwerk 192.168.1.0 / 24 (im CIDR-Format) gestattet habe.

Ich werde sagen, dass die Begriffe LAN, WAN-Netzwerk usw. für Noobs, die pfSense verwenden, eine kleine Klarstellung benötigen. Was ist das WAN wirklich? Warum kann ich nicht einfach verhindern, dass meine LAN-IP-Adresse auf das WAN zugreift? Warum funktioniert das nicht? Ich denke, jeder, der diese Frage beantworten kann, würde mir und vielen anderen helfen, würde ich vermuten

Danke, parieren

parryj
quelle
Ich schlage vor, dafür eine neue Frage zu erstellen. Das Stellen einer Frage innerhalb einer Antwort auf eine andere Frage wird in Stack Overflow nicht sehr gut unterstützt. Weil wir keinen guten Ort haben, um Ihnen zu antworten, außer Kommentaren wie dem, den ich gerade schreibe. Kommentare sind jedoch nicht zur Beantwortung von Fragen gedacht.
7wp
0

Auch könnte man einfach machen,

Aktion -> Schnittstelle übergeben -> LAN-Adressfamilie -> (Sie wählen) Protokoll -> Beliebiger SOURCE Single Host ---> 192.168.1.7 Ziel (Invertieren) ---> WAN

Tony
quelle
Kannst du das erklären?
RalfFriedl
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.