Ich habe zu Hause ein Netzwerk mit einer PFSense-Software-Firewall. Es gibt ungefähr 2 PCs und 3 Laptops, die über diese Firewall eine Verbindung zum Internet herstellen.
Ich möchte die Firewall-Regeln verwenden, um den Internetzugang für eines dieser Geräte im Netzwerk zu blockieren. Demjenigen, den ich blockieren möchte, ist eine statische IP-Adresse zugewiesen, und ich kenne auch die MAC-Adresse.
Ich kann einfach nicht herausfinden, wie man eine Regel erstellt, die den Internetzugang für dieses eine Gerät effektiv blockiert. Ich möchte jedoch weiterhin, dass dieses Gerät intern auf das Netzwerk zugreifen kann, z. B. freigegebene Laufwerke von Netzwerkdruckern usw.
Antworten:
Fügen Sie eine LAN-Firewall-Regel hinzu, um die IP des Mannes zu blockieren, indem Sie zu Firewall -> Regeln -> LAN gehen:
HINWEIS: Originalbildquelle
Stellen Sie sicher, dass Ihre Regel vor der Standardregel "Alle zulassen" liegt. da Regeln von oben nach unten verarbeitet werden, bis eine übereinstimmende gefunden wird.
quelle
Ich weiß, dass dies eine alte Frage ist, aber sie gilt immer noch für pfSense 2.4
Ich empfehle die Verwendung von Aliasnamen zum Anwenden von Regeln auf mehrere Hosts.
quelle
Keine Pfsense-Person, aber die tatsächlichen PF-Regeln, die Sie benötigen, lauten wie folgt.
quelle
Gehen Sie zur Seite Firewall-> Regeln und klicken Sie auf die Registerkarte LAN. Fügen Sie oben eine neue Regel mit den folgenden Einstellungen hinzu:
Bitte beachten Sie, dass dadurch eine einzelne IP-Adresse blockiert wird. Wenn also die IP des Hosts geändert wird, kann er wieder auf das Internet zugreifen.
quelle
Ich habe eine Vielzahl von Ansätzen ausprobiert, von denen keiner funktioniert hat. Aber einer hat es getan
(a) Ich habe zuerst eine Regel eingerichtet, die es (in diesem Fall 192.168.1.7) ermöglicht, eine Verbindung zu einer beliebigen Stelle in meinem 192.168.1.0 / 24-LAN herzustellen. Das heißt also Firewall -> Regeln -> Bearbeiten
(b) Als nächstes habe ich eine Blockregel unter dieser in der Hierarchie von Firewall -> Regeln -> Bearbeiten erstellt
Das hat funktioniert
Was wirklich verwirrend ist, ist die Terminologie. Vielleicht kann jemand das erklären
(a) Wenn ich eine IP-Adresse in meinem internen LAN habe, warum sollte ich dann nicht blockieren, um auf das WAN zuzugreifen (das sich außerhalb meines Routers befindet und ich würde denken, dass dies als Internet betrachtet wird), um zu verhindern, dass diese IP-Adresse auf das Internet zugreift
(b) Warum verhindert das Blockieren des Zugriffs dieser IP-Adresse auf das LAN (ich nehme an, dass sich eine IP-Adresse hinter dem NAT im LAN befindet und jede IP in diesem Netzwerk hinter dem LAN das Internet erreichen kann, sofern sie nicht blockiert ist)? IP vom Zugriff auf das Internet. Ich habe wohl gerade meine eigene Frage beantwortet, weil ich als nächstes dieser IP-Adresse den Zugriff auf das lokale Netzwerk 192.168.1.0 / 24 (im CIDR-Format) gestattet habe.
Ich werde sagen, dass die Begriffe LAN, WAN-Netzwerk usw. für Noobs, die pfSense verwenden, eine kleine Klarstellung benötigen. Was ist das WAN wirklich? Warum kann ich nicht einfach verhindern, dass meine LAN-IP-Adresse auf das WAN zugreift? Warum funktioniert das nicht? Ich denke, jeder, der diese Frage beantworten kann, würde mir und vielen anderen helfen, würde ich vermuten
Danke, parieren
quelle
Auch könnte man einfach machen,
Aktion -> Schnittstelle übergeben -> LAN-Adressfamilie -> (Sie wählen) Protokoll -> Beliebiger SOURCE Single Host ---> 192.168.1.7 Ziel (Invertieren) ---> WAN
quelle