Zum Inhalt springen
View in the app

A better way to browse. Learn more.
Fachinformatiker.de

A full-screen app on your home screen with push notifications, badges and more.

To install this app on iOS and iPadOS
  1. Tap the Share icon in Safari
  2. Scroll the menu and tap Add to Home Screen.
  3. Tap Add in the top-right corner.
To install this app on Android
  1. Tap the 3-dot menu (⋮) in the top-right corner of the browser.
  2. Tap Add to Home screen or Install app.
  3. Confirm by tapping Install.

pfSense NATting in einer DMZ

noame
in Systemadministratoren und Netzwerktechniker

Empfohlene Antworten

Veröffentlicht

Guten morgen,

 

Ich möchte auf einer pfsense eine NAT Regel erstellen die es ermöglicht das ein Client (Debian) in der DMZ eine Internetverbindung herstellen kann.

Folgende IP-Adressen:

DMZ-Client: 192.168.2.3/24

pfsense-LAN: 192.168.2.2/24

pfsense-WAN: 180.1.230.100/16

 

Was für eine Regel, bzw Konfiguration müsste ich nun vornehmen damit ich mit dem DMZ-Client, welcher eine Verbindung zum pfsense-LAN-Interface hat, mit der IP-Adresse des WAN-Interfaces ins Internet gehen kann.

Ich hab ein wenig rumprobiert, bin allerdings nicht zu einem Sinnvollen Ergebniss gekommen.

 

Hi,

 

ich verstehe dein Grundgerüst nicht ganz. Natting brauchst Du dafür doch eigentlich nicht. Restriktive Regeln und alleiniger Internetzugriff für den client reichen aus. Wie kann der Client aus der DMZ im selben Netz sein wie die anderen LAN Clients?
Laut deinem Text ist nämlich folgendes der Fall:

Welches Netz ist deine DMZ? -> 192.168.2.0/24, da DMZ Client 192.268.2.3/24

Welches Netz ist dein Lan? -> 192.268.2.0/24, da LAN IP der pfSense 192.268.2.2/24

Welche IP ist deine WAN IP? -> 180.1.230.100/16 -> Warum ein 16er Netz?

Normalerweise z.B. so:

DMZ-Netz 10.10.10.0/24, DMZ-Gateway-10.10.10.1, DMZ-Client 10.10.10.2

LAN 192.168.5.0, LAN-Gateway 192.168.5.1

WAN-IP: Deine oben genannte.

Regeln: Musst Du nun so setzen, dass erstmal nichts in die DMZ gehen darf. Anschließend aber der DMZ oder eine IP aus der DMZ erlauben, über sein Gateway, raus ins Internet zugehen. Dazu halt eine spezifische Regel auf dem WAN Interface bauen und Clientseitig Gateway etc richtig konfigurieren.

Bearbeitet von Nopp

  • Autor

Grundgerüst siehe Anhang.

 

Ich habe auf dem Bild zwei IP-Adressen, aus Gründen des Datenschutz, zensiert.

Das Problem ist gelöst, wenn ihr wollt kann ich euch meine Regel dazu mal hier posten.

Ansonsten könnt ihr gern selbst Vorschläge rein werfen und ich sag euch obs richtig oder falsch ist :P

 

Vielen Dank auf jedenfall für eure Hilfe

Netzwerkübersicht.PNG

Erstelle ein Konto oder melde dich an, um einen Kommentar zu schreiben.

Zur Themenliste gehen

Configure browser push notifications
Chrome (Android)
  1. Tap the lock icon next to the address bar.
  2. Tap Permissions → Notifications.
  3. Adjust your preference.
Chrome (Desktop)
  1. Click the padlock icon in the address bar.
  2. Select Site settings.
  3. Find Notifications and adjust your preference.