OPNsense
  • Home
  • Help
  • Search
  • Login
  • Register

  • OPNsense Forum »
  • International Forums »
  • German - Deutsch (Moderator: Patrick M. Hausen) »
  • [gelöst] Firewall Frage bezüglich Reihenfolge
« previous next »
  • Print
Pages: [1]

Author Topic: [gelöst] Firewall Frage bezüglich Reihenfolge  (Read 4666 times)

theq86

  • Sr. Member
  • ****
  • Posts: 272
  • Karma: 37
    • View Profile
[gelöst] Firewall Frage bezüglich Reihenfolge
« on: January 03, 2018, 09:38:17 pm »
Hallo, ich habe folgende Regeln:

LAN: IPv4+6 | Quelle:LAN-Netzwerk | Ziel: * | erlauben
WAN: IPv4+6 | Quelle:* | Ziel: * | blockieren

Von der Reihenfolge liegen beide Regeln ganz oben in ihrem jeweiligen Tab.

Meine Frage: Warum greift die Block-Regel in WAN nicht? Ich kann von allen Clients aus ins Internet.
Normalerweise kommt ein Paket von meinem Client ja über LAN rein. LAN sagt ich darf überall hin und lässt das Paket durch. Jetzt muss das Paket ja über die WAN Schnittstelle, weil es ins Internet will. WAN müsste jetzt eigentlich sagen: Mir alles egal, hier kommt nix durch! Tut es aber nicht.

Darum die Frage: Sorgt der Positivtreffer auf LAN automatisch auch für ein Durchlassen auf WAN ???
« Last Edit: January 03, 2018, 10:17:14 pm by nasq »
Logged

fabian

  • Hero Member
  • *****
  • Posts: 2769
  • Karma: 200
  • OPNsense Contributor (Language, VPN, Proxy, etc.)
    • View Profile
    • Personal Homepage
Re: Firewall Frage bezüglich Reihenfolge
« Reply #1 on: January 03, 2018, 09:42:10 pm »
die Regeln filtern eingehend und nicht ausgehend - zusätzlich ist pf stateful. Das heißt wenn das Paket durch ist, werden auch die folgenden erlaubt.
Logged

theq86

  • Sr. Member
  • ****
  • Posts: 272
  • Karma: 37
    • View Profile
Re: Firewall Frage bezüglich Reihenfolge
« Reply #2 on: January 03, 2018, 09:45:30 pm »
Gut zu wissen. Ich dachte bisher, ich kann je nachdem wie ich Source und Dest wähle entscheiden, ob es eine in oder out Regel ist. Und dass Pakete beim Eingehen und beim Ausgehen vom Interface behandelt werden.

Daher macht ja dann eine Regel wie die "Default allow LAN to any rule" (das ist die erste Regel aus meinem Vorpost) gar keinen Sinn ?!?

Edit: Einen Moment nachdenken ... denk ...denk ... denk ...

Für die FW ist ja meine ausgehende Clientverbindung eine auf LAN eingehende. Also macht sie schon Sinn.
« Last Edit: January 03, 2018, 09:50:12 pm by nasq »
Logged

chemlud

  • Hero Member
  • *****
  • Posts: 2488
  • Karma: 112
    • View Profile
Re: [gelöst] Firewall Frage bezüglich Reihenfolge
« Reply #3 on: January 04, 2018, 12:26:20 am »
Ohne die "allow any"  Regel auf LAN geht gar nichts raus. MIT der Regel, darf ALLES raus. Keine gute Wahl. Eine "allow any" Regel sollte man (wenn überhaupt) höchstens zum Testen kurz einrichten, dann seine allow Regeln für spezielle Clients im LAN/Ports definieren.

Stateful bedeutet: Wenn du eine allow Regel im LAN hast und damit eine Adresse im WAN kontaktierst werden auch die Pakete am WAN Interface durchgelassen (da beim verlassen der Pakte durch das WAN Interface ein State in die entsprechende Tabelle eingetragen wurde. Daher kann z.B. bei Regeln mit Schedule auch nach dem block im Schedule noch Datenverkehr fließen (da bereits ein State besteht). Nur wenn du auch die States zu dem betreffenden  Client killst wird SICHER nach dem erreichen der Sperrzeit im Schedule auch der Datenaustausch unterbunden...
Logged
kind regards
chemlud
____
"The price of reliability is the pursuit of the utmost simplicity."
C.A.R. Hoare

felix eichhorns premium katzenfutter mit der extraportion energie

A router is not a switch - A router is not a switch - A router is not a switch - A rou....
  • Print
Pages: [1]
« previous next »
  • OPNsense Forum »
  • International Forums »
  • German - Deutsch (Moderator: Patrick M. Hausen) »
  • [gelöst] Firewall Frage bezüglich Reihenfolge
 

OPNsense is an OSS project © Deciso B.V. 2015 - 2024 All rights reserved
  • SMF 2.0.19 | SMF © 2021, Simple Machines
    Privacy Policy     | XHTML | RSS | WAP2