Hallo, ich möchte mit PfSense eine DMZ realisieren, leider finde ich dazu keine vernünfitge Anleitung, die meinen Fall abdeckt. PfSense läuft nativ auf einem PC mit drei Netzwerkkarten. Eine für WAN; LAN und DMZ. Abbildung 1 zeig den Plan, wie das ganze aufgebaut werden soll. Die Hubs sind tatsächlich "dumme" Hubs und keine Switche, also ist VLan nicht möglich, durch die einzelnen Karten meines Verständisses nach aber auch nicht nötig. Abb. 2 zeigt eine von mir überlegte Konfig. des WAN Interfaces: alle anfragen am WAN interface, die als Ziel in die DMZ wollen, werden erlaubt. Abb. 3 zeigt eine von mir überlegte Konfig. für das DMZ Interface: Alle Anfragen auf die interne IP bspw. 10.1.1.17 für einen theoretischen Webserver werden erlaubt. Allerdings bin ich mir da nicht sicher und würde ungern durch falsche konfiguration mein LAN nach außen exposen. Danke schon mal für die Hilfe!

Wie richte ich eine DMZ mit PfSense ein?

Hallo,

ich möchte mit PfSense eine DMZ realisieren, leider finde ich dazu keine vernünfitge Anleitung, die meinen Fall abdeckt.

PfSense läuft nativ auf einem PC mit drei Netzwerkkarten. Eine für WAN; LAN und DMZ.

Abbildung 1 zeig den Plan, wie das ganze aufgebaut werden soll. Die Hubs sind tatsächlich "dumme" Hubs und keine Switche, also ist VLan nicht möglich, durch die einzelnen Karten meines Verständisses nach aber auch nicht nötig.

Bild zum Beitrag

Abb. 2 zeigt eine von mir überlegte Konfig. des WAN Interfaces:

alle anfragen am WAN interface, die als Ziel in die DMZ wollen, werden erlaubt.

Bild zum Beitrag

Abb. 3 zeigt eine von mir überlegte Konfig. für das DMZ Interface:

Alle Anfragen auf die interne IP bspw. 10.1.1.17 für einen theoretischen Webserver werden erlaubt.

Bild zum Beitrag

Allerdings bin ich mir da nicht sicher und würde ungern durch falsche konfiguration mein LAN nach außen exposen.

Danke schon mal für die Hilfe!

1 Antwort

franzhartwig

Von gutefrage auf Grund seines Wissens auf einem Fachgebiet ausgezeichneter Nutzer

Computer, Internet, Technik

25.08.2021, 22:38

Hubs zu verwenden, wäre der reinste Hohn. Das will man nicht wirklich. Und nur, weil die Dinger keine VLANs beherrschen, sind es nicht zwangsläufig Hubs. Nicht-managementfähige Switches beherrschen auch keine VLANs.

Zum Regelwerk:
Vom WAN ins LAN benötigst Du keine besonderen Regeln, weil die Firewall alles blockt und nur Antworten durchlässt.

Vom WAN in die DMZ musst Du lediglich das erlauben, was in der DMZ aus dem Internet erreichbar sein soll. Ja, RFC-1918-Adressen und Bogons als Absender in Richtung DMZ-Dienste kann man Blocken. Der Rest ist aufgrund der Default-Regel geblockt.

Ein Drucker hat meines Erachtens in der DMZ nichts zu suchen.

Aus der DMZ nach außen muss kein Webserver kommunizieren. Der beantwortet nur Anfragen. Wenn Du z. B. einen DNS-Server in der DMZ hast, müsste der nach außen kommunizieren können.

Aus dem LAN müssen die LAN-Adressen alles im Internet erreichen können. Auch DMZ-Dienste müssen ggf. erreichbar gemacht werden.

Wenn Du konkret die Geräte der DMZ benennst, kann ich das auch genauer benennen.

Beachte auch, dass die Fritzbox Routen ins LAN und die DMZ haben muss. Das Fritzbox-typische Netz 192.168.178.0/24 ist ja nur noch das Transfer-Netz zwischen WAN-Port der Firewall und LAN-Port der Fritzbox.