0#
Som standard bør du tillade alt udgående trafik med mindre du af en eller anden mystisk årsag har lyst til at ændre på dette.
--
IDGAF!
Du skal kun åbne de porte ud, der skal bruges. Så ingen grund til at åbne 80, 8080 med mindre du har en webserver indenfor
--
Alt indadgående skal blocked, det mener jeg også er standard. Hvis udstyr på LAN siden etablerer trafik mod WAN, lukker firewallen midlertidig op for de indadgående porte der er brug for.
Hvis du har webservere eller andet udstyr der skal kunne nåes fra WAN siden (og det ikke er nok med VPN), åbner du kun for de porte der er brug for mod det specifikke udstyr på LAN siden. Hvis du ved hvilke IP adresser trafikken kommer fra, bør du kun tillade trafik fra disse.
--
2#
Ehh - But why?
Sikker på du ikke tænker indgående og ikke udgående trafik?
--
IDGAF!
Det kommer an på hvor meget sikkerhed du ønsker og hvor meget arbejde du efterfølgende vil kaste i det - for du vil opleve underlige fejl hvor du skal fejlsøge. Normalt ville de fleste hjemmebrugere blokere alt ind og have åbent for alt udgående trafik.
Men du kan f.eks. blokere og f.eks tvinge trafikken igennem en proxy der lige scanner for malware etc.
Overvej iøvrigt at tage et kig på Opnsense fremfor Pfsense. Det er en fork af Pfsense som jeg personligt foretrækker.
--
5#
Nu skriver du godt nok hjemmebrugere :-) Men kender du til virksomheder som rent faktisk på deres "Administrationsnetværk" (ikke MGMT) filtrere på udgående trafik?
Jeg gør ikke - og dog - måske lige et enkelt hvis jeg tænker mig rigtigt godt om.
+1 til OPNsense
--
IDGAF!
--
Sidst redigeret 18-07-2022 16:23
#6: Jada.. Mine 3 sidste arbejdsgivere gør det.
--
7#
Vildt nok alligevel hvis de blokere på portniveau - Det må da give et administrationshelvede.
Lige før jeg ville sammenligne det med at køre DHCP-less.
--
IDGAF!
#8: Det tror jeg egentligt ikke. De har et nogenlunde overblik over hvad en forretningspc skal kunne, da de også styrer alle programmerne som er installeret. Alle private programmer og spil er bandlyst.
Web sider m.m. kører igennem en proxy. De åbner man for hvad de præ-installerede programmer har af behov og alt andet er lukket. Hvis noget skal åbnes, så åbner man en "ticket" i support systemet og de vurderer så om ens behov er legitimt.
--
Vi kører på mit arbejde også med åbne porte og ip efter behov, port 80 er til webbrowsing og 8080 bruger Speedtest hvis du skal teste din hastighed osv
jeg vil også helst åbne det hele men skal port 137-139 netbios til wan som det mindste ikke blockes og der må da være mere gammelt skrammelt der skal lukkes for.
--
Det med at blokere udgående virker også fint for at holde styr på dem som ikke er vant til IT.
For os andre ændre det dog ikke noget.
--
5950X|Crosshair VIII Formula|64GB RAM
ASUS3090STRIX-OC|PG279Q
980 PRO 2TB|970 EVO+ 2TB|Samsung 860 PRO 2TB
2xSamsung860 QVO 2TB|Corsair AX1600i