https://wiki.easycow.de/index.php?action=history&feed=atom&title=PfSense_DMZ_Subnetz_mit_public_IPsPfSense DMZ Subnetz mit public IPs - Versionsgeschichte2026-05-13T03:26:14ZVersionsgeschichte dieser Seite in CowwwikiMediaWiki 1.45.1https://wiki.easycow.de/index.php?title=PfSense_DMZ_Subnetz_mit_public_IPs&diff=343&oldid=prevBenjaminfras: Die Seite wurde neu angelegt: „Hier beschreibe ich, wie ein DMZ-Subnetz mit öffentlichen IPs korrekt auf der pfsense eingerichtet wird. Ich bin selbst darauf hereingefallen, dass sämtlicher D…“2013-06-02T14:25:14Z<p>Die Seite wurde neu angelegt: „Hier beschreibe ich, wie ein DMZ-Subnetz mit öffentlichen IPs korrekt auf der pfsense eingerichtet wird. Ich bin selbst darauf hereingefallen, dass sämtlicher D…“</p>
<p><b>Neue Seite</b></p><div>Hier beschreibe ich, wie ein DMZ-Subnetz mit öffentlichen IPs korrekt auf der pfsense eingerichtet wird. Ich bin selbst darauf hereingefallen, dass sämtlicher DMZ-Traffic über das externe Interface geroutet wurde. Das ist unschön, da bei entfernten Hosts dann stets nur die WAN-IP als Quelle auftaucht. Entdeckt habe ich es durch einen Zufall, als ein sehr restriktiver Mailserver meinen HELO-Command bemängelte und die eMail abgewiesen hatte.<br />
<br />
= Konfiguration Netzwerk =<br />
<br />
Ich verwende 3 verschiedene Netzwerke:<br />
<br />
* WAN (öffentliche IPs /27)<br />
* DMZ (öffentliche IPs /28)<br />
* LAN (private IPs /24)<br />
<br />
<br />
== WAN ==<br />
<br />
Die WAN-Schnittstelle ist die Internetverbindung der pfsense. Bei Einrichtung der WAN-Schnittstelle muss i. d. R. auch ein Gateway angegeben werden, den man vom Provider erhält. Die Verwendung des Gateways ist oft an eine bestimmte MAC-Adresse gebunden, u. U. muss diese im Feld MAC-Adresse eingegeben werden. Dieser Gateway ist der Standardgateway (Häkchen setzen).<br />
<br />
<br />
== DMZ ==<br />
<br />
Die DMZ-Schnittstelle wird gemäß der Angaben einfach in der pfsense eingerichtet. Sie benötigt i. d. R. keine Angaben über ein Gateway.<br />
<br />
<br />
== LAN ==<br />
<br />
Analog wird auch das LAN-Subnetz konfiguriert. Für die LAN-IPs ist aber außerdem ein ''Outgoing NAT'' bzw. ''Masquerading'' erforderlich. Die pfsense macht dies unter ''Firewall - NAT - Outbound'' automatisch.<br />
<br />
<br />
== Bridge ==<br />
<br />
Verbindungstechnisch sollte bereits jetzt alles funktionieren. Allerdings wird man feststellen, wenn man sich nun von einem Hosts mit DMZ-IP auf einen externen Hosts verbindet und die IP betrachtet, dass anstelle der DMZ-IP des Hosts die WAN-IP der pfsense angezeigt wird. Das ist nicht der Sinn der öffentlichen IPs und kann mit Hilfe einer Bridge umgangen werden:<br />
<br />
* ''Interfaces - Assign - Bridges''<br />
* Neue Bridge hinzufügen<br />
* WAN und DMZ markieren und speichern<br />
<br />
<br />
Nun muss nur noch das automatische ''Masquerading'' deaktiviert werden, ''Firewall - NAT - Outbound'' und Häkchen bei ''Manual Outbound NAT rule generation'' setzen. Nun alle NAT-Regeln für das DMZ-Subnetz löschen und speichern.<br />
<br />
<span style="color:red">'''Hinweis:'''</span> Nicht vergessen die ''Outgoing'' Regeln im Paketfilter anzulegen, ansonsten kommen die Hosts nicht raus. Diese werden unter ''Firewall - Rules - DMZ'' angelegt. Eingehende Regeln sind unter ''Firewall - Rules - WAN'' zu spezifizieren.<br />
<br />
<br />
= Test =<br />
<br />
Einfach auf einen Hosts in der DMZ verbinden und mit w3m http://wieistmeineip.de aufrufen.<br />
<br />
* Wird die DMZ-IP angezeigt, hat man alles richtig gemacht. <br />
* Wird hingegen die WAN-IP der pfsense angezeigt, ist wahrscheinlich das Outgoing NAT noch für die DMZ aktiv.<br />
* Wird überhaupt nichts angezeigt, fehlt entweder die Outgoing-Rule im Paketfilter bzw. die Bridge wurde nicht richtig konfiguriert.<br />
<br />
<br />
= Quellen =<br />
<br />
http://forum.pfsense.org/index.php/topic,41063.msg212423.html</div>Benjaminfras