Hallo zusammen,
akuell bin ich auf der Suche nach einer Firewalllösung für unsere Zweigstellen Büros. Bisher hatte ich ein selbstgebautes iptables Script im Einsatz. Dieses funktionierte bisher auch tadellos aber es war auch sehr rudimentär. Sprich so nette Features wie Load Balancing auf WAN Seite usw. konnte das Script nicht. Nun habe ich die ersten Erfahrungen mit pfsense gemacht und war eigentlich angenehm überrascht. Nur bei einer Sache tue ich mich aktuell schwer. Eventuell liegt es aber auch daran, das ich jahrelang mit iptables gearbeitet habe. Ich kann bei pfSense bei der Erstellung eines Regel nur das Incoming Interface auswählen. Sprich wenn ich mehrere Netze an der Firewall angeschlossen haben und ich erlaube zum Beispiel das die Arbeitsplätze über HTTP ins Internet dürfen , würde die Regel ca. wie folgt aussehen.
Source (Lan_Workstation) -> Destination (Any) -> Source Port (Any) -> Destination Port (HTTP) -> Accept.
Damit dürfen die Arbeitsplätze zwar nun ins Internet aber auch theoretisch auf Webauftritte in den anderen Netzwerksegmenten.
Bei iptables konnte ich immer ein incoming und ein outgoing Interface angeben. Sprich die Regel genauer definieren. Nun könnte ich zwar bei pfSense eine Regel definieren, die den Zugriff auf die anderen Netze explizit verbietet, aber das macht das Ganze ja unnötig kompliziert.
Ist das denn wirklich so gewollt oder übersehe ich einfach irgendetwas? Wie sieht es bei kommerziellen Firewalls wie Checkpoint, Cisco usw. aus? Kann ich dort auch nur Filterregeln an dem incoming Interface definieren?
Viele Grüße
akuell bin ich auf der Suche nach einer Firewalllösung für unsere Zweigstellen Büros. Bisher hatte ich ein selbstgebautes iptables Script im Einsatz. Dieses funktionierte bisher auch tadellos aber es war auch sehr rudimentär. Sprich so nette Features wie Load Balancing auf WAN Seite usw. konnte das Script nicht. Nun habe ich die ersten Erfahrungen mit pfsense gemacht und war eigentlich angenehm überrascht. Nur bei einer Sache tue ich mich aktuell schwer. Eventuell liegt es aber auch daran, das ich jahrelang mit iptables gearbeitet habe. Ich kann bei pfSense bei der Erstellung eines Regel nur das Incoming Interface auswählen. Sprich wenn ich mehrere Netze an der Firewall angeschlossen haben und ich erlaube zum Beispiel das die Arbeitsplätze über HTTP ins Internet dürfen , würde die Regel ca. wie folgt aussehen.
Source (Lan_Workstation) -> Destination (Any) -> Source Port (Any) -> Destination Port (HTTP) -> Accept.
Damit dürfen die Arbeitsplätze zwar nun ins Internet aber auch theoretisch auf Webauftritte in den anderen Netzwerksegmenten.
Bei iptables konnte ich immer ein incoming und ein outgoing Interface angeben. Sprich die Regel genauer definieren. Nun könnte ich zwar bei pfSense eine Regel definieren, die den Zugriff auf die anderen Netze explizit verbietet, aber das macht das Ganze ja unnötig kompliziert.
Ist das denn wirklich so gewollt oder übersehe ich einfach irgendetwas? Wie sieht es bei kommerziellen Firewalls wie Checkpoint, Cisco usw. aus? Kann ich dort auch nur Filterregeln an dem incoming Interface definieren?
Viele Grüße
