OPNsense Forum
International Forums => German - Deutsch => Topic started by: Domi83 on July 17, 2023, 08:08:07 pm
-
Hallo zusammen,
ich hätte da mal eine Verständnisfrage zu den Firewall Rules...
Einiges habe ich hier durch das Forum herausgefunden und bin ziemlich glücklich mit OPNsense. Das Routing meiner VLANs klappt, DNS Auflösungen funktionieren zuverlässig, WAN Anschlüsse und Fall-Back geht auch und nachdem ich hier in einem Topic gesehen habe wie ich IPv6 von einem meiner Anschlüsse auch auf ein VLAN ausweiten kann, geht auch das :)
So, auf meinem "LAN" Interface habe ich die Default Regel für IPv4 behalten die bei einem frisch installierten System vorhanden ist um mich heran zu tasten.
Da ich mir unter "System -> Gateways -> Group" eine WAN_group für meine beiden Anschlüsse (Deutsche Glasfaser + Deutsche Telekom) erstellt habe, musste ich ja nun dieser Regel sagen dass diese meine Geräte über meine Fall-Back Regel durch schickt (wie im Screenshot)
Ich wunderte ich dann erst einmal dass meine DNS Abfragen nicht mehr korrekt funktionieren wenn ich einen "nslookup" auf den Namen eines Clients mache. Im Live-View hab ich dann nach roten Einträgen gesucht, bemerkte dann aber dass da "let out anything from firewall host itself (force gw)" auftaucht.
Und nun die Verständnisfrage, wenn ich bestimmte Regeln habe die z.B. auf die OPNsense zeigen (z.B. DNS Abfragen) muss ich wirklich meine Regeln separat anlegen, richtig?
1x Regel die auf die Firewall zeigt und erlaubt
1x Regel die auf die WAN_group zeigt und erlaubt
Ich hab mir nun nämlich im "Floating" eine Regel erstellt, welche es erlaubt dass mein LAN + VLANs auf "This Firewall" berechtigt sind DNS Abfragen durchzuführen und dann geht es wieder.
Schönen Gruß,
Dominik
-
Ja das wirst du machen müssen, da sonst eben die GW Regel greift, welche ein Gateway vorgibt. So viele Dienste dürften das ja nicht sein (WebUI, DNS, lokaler Datenverkehr zwischen den Subnetzen)?
Mit floating Regeln würde ich tatsächlich nicht arbeiten, macht das ganze für mich immer unübersichtlich und man baut sich gerne mal unbemerkt Lücken.
OPNsense Telegram Group: https://t.me/joinchat/0o9JuLUXRFpiNmJk
PM for paid support
-
Alles klar, vielen Dank für die Information.
Ich hab es mir ja schon fast gedacht als ich die Regeln gebaut hatte und dass sah, aber es hätte ja auch sein können dass ich da etwas übersehen habe.
Was die Floating Regeln angeht, oftmals wird auch in Anleitungen, Dokumentationen und Videos davor gewarnt, weil man damit auch (wie du ebenfalls sagtest) Lücken aufmachen könnte die man gar nicht haben will :-)
Und ja, so viele Regeln sind es auch nicht... meine OPNsense nutze ich zuhause. Ich ziehe die Regeln step-by-step an, experimentiere aktuell nur in meinen VLANs, kann aber auch die paar Regeln die ich habe direkt für die Interfaces erstellen. Mit "Clone" kann man sie ja auch über die Interfaces kopieren.
Bei so einem kleinen Mini PC, bestehend aus Intel Celeron N5105, 256 GB SSD und 16 GB RAM brauche ich mir ja wohl keine Gedanken machen dass Logs, Protokolle oder Regel hier das System lahm legen, oder?
Gruß, Dominik
-
Nein das sollte vom Platz locker ausreichen.
Tipp:
Mach von Anfang an so viel mit der Alias Funktion wie es geht. So kann man später einfacher die Regeln zentral anpassen :)
OPNsense Telegram Group: https://t.me/joinchat/0o9JuLUXRFpiNmJk
PM for paid support