Post by: kosta on February 15, 2021, 01:31:42 am
ich habe meine VLANs erstellt, Switches konfiguriert und aktuell ist überall Any -> Any. Das wird jetzt geändert und ich plane gerade wie ich das anstelle. Daher wollte ich mir hier vorher paar Tipps von euch holen, wie ihr das macht.
Also grundsätzlich habe ich allgemeine Rules, zB. HTTP/S, DNS usw out. Das gehört für die meisten. Also wird es wohl ein (bzw. mehrere) Floating rules.
Aber, zB dort stört mich was: ich könnte entweder INT-Gruppierung machen oder auswählen. Geht, aber stört mich massiv dass ich in der Überblick nicht sehen kann, welche Intf oder Gruppen ausgewählt sind.
Alternative ist ich mache rules für jedes Intf, was aber ziemlich blöd ist, da man die nicht kopieren/hinzufügen kann, sondern nur als neu erstellen kann.
Grundsätzlich praktiziere ich alles Deny und dann erlauben schrittweise. Das gilt aber runter bis zum letzten Port.
Ich tät mich einfach um paar Tipps freuen.
Post by: Gauss23 on February 15, 2021, 06:49:51 am
Normale Regeln habe ich immer auf dem Interface, wo das Paket zuerst auf die OPNsense trifft. Also nur IN Regeln und keine OUT.
Man kann Regeln doch prima klonen. Auf einem Interface eine Regel anlegen dann auf klonen klicken und das nächste Interface auswählen, speichern und siehe da die Regel ist auf dem nächsten Interface angekommen. Ich finde das sauber und übersichtlich.
Post by: kosta on February 15, 2021, 08:25:26 am
Man kann Regeln doch prima klonen. Auf einem Interface eine Regel anlegen dann auf klonen klicken und das nächste Interface auswählen, speichern und siehe da die Regel ist auf dem nächsten Interface angekommen. Ich finde das sauber und übersichtlich.Stimmt! Daran habe ich nicht gedacht. Ja, so kann ich es tun, danke!
Gut. Und eine andere Sache an der ich hänge:
Ich würde gerne wissen, wofür die offenen Ports genutzt werden. zB. ich habe ausgehend Port 1900 auf meinem Rechner. Ich kenne nur TCPview. Gibt's was was mehr anzeigt?
Und praktiziert ihr Standardports zu gruppieren? Also bspw. HTTP und HTTPS via Aliases gruppieren? Irgendwie denke ich wenn ich sie einzeln habe, nicht jetzt nur auf HTTP bezogen, oft ist es so dass es nicht immer TCP und UDP ist, sondern bei einem das eine, und dann wieder das andere Protokoll.
Post by: Gauss23 on February 15, 2021, 08:44:10 am
Was man durch die Gruppierung allerdings verliert, sind die Counter in den Regeln. Man sieht dann nur wie oft die Regel angewandt wurde, aber nicht, welcher Port das war. Wenn man die Regeln einzeln anlegt, sieht man sehr schön welche Regel schon länger nicht mehr benutzt wurde und ggf. entsorgt werden kann. Praktischer und aufgeräumter ist es natürlich sie zu gruppieren. Gerade wenn es um einen Dienst geht, der mehrere Ports braucht, ist das sehr praktisch. Bei Sophos XG kann man sogar ganze Servicegruppen bauen, wo mehrere man Quell- und Zielports sowie Protokolle in einer Gruppe zusammenfassen kann. Das vermisse ich schon manchmal.
Post by: kosta on February 15, 2021, 10:42:12 am
Natürlich könnte ich dafür Floating verwenden, aber trotzdem keine Übersicht wirklich.
Vielleicht ist es nur eine Gewöhnungssache.
Post by: Gauss23 on February 15, 2021, 10:52:52 am
Das ist bei OPNsense durch die Aufteilung auf Interfaces grundsätzlich schon entzerrt. Dadurch sind pro Interface auch deutlich weniger Regeln. Durch die neue Kategorisierung kann man nun auch innerhalb eines Interfaces Ordnung schaffen bzw sich nur Regeln aus bestimmten Kategorien anzeigen lassen. Ich denke sogar, dass bei OPNsense jede Regel, die du in der GUI anlegst auch zu genau einer Regel im BSD pf wird, wobei ich da mit den Aliassen unsicher bin, ob da nicht doch mehrere Regeln draus entstehen.
Bei Sophos werkelt da ja der Linux netfilter und da wird eine Regel in der GUI vermutlich durchaus zu X Regeln im Netfilter aufgeteilt. Kann einem Benutzer prinzipiell egal sein, als Erklärung für manche GUI Entscheidungen funktioniert es aber.
Post by: kosta on February 15, 2021, 11:37:31 am
Gut ist es aber auch hier gelöst, ich könnte den Gruppen Farben vergeben, wäre nur der Platz der Beschreibung und Farb-Punktes getauscht! So sieht es vollkommen unübersichtlich wenn die verschiedenen Punkte links rechts wandern, wenn man viele hat... wo kann man solche Vorschläge reinbringen, wäre echt cool wenn das durch ein Update gemacht werden könnte. Sofern es die anderen auch für sinnvoll halten.
Von den Aliasen habe ich mittlerweile ziemlich beschlossen mich weg von Port-Gruppierungen zu halten, schon alleine aus dem Grund dass man sieht wann die Regel genutzt wurde. Jedoch die Destination Gruppierungen wiederum halte ich für sehr sinnvoll. Für zB. Netzwerke, damit sie nen Namen bekommen.
XG hatte ich übrigens auch in der Sicht, aber die Tests die ich vor 1 Jahr gemacht habe, haben mich von XG wieder weggepusht. Deswegen blieb ich in der Firma bei der UTM, haben sogar heuer die Lizenz für weitere 3 Jahre gekauft. Mal sehen. Sollte ich mit OPNsense mich anfreunden, vielleicht in 3 Jahren auch in der Firma auf OPNsense wechseln.
Eine Sache finde ich jedoch richtig grauslich, gehört zwar nicht zu Firewall jetzt dazu, aber das Thema VPN... was in der Sophos paar Klicks sind, sind in der OPNsense gefühlt 1000... hab gestern für mich persönlich Wireguard konfiguriert. Holy sh... Sogar im Wireguard Docker-Container ist es 100x einfacher. Erstellen, Ports angeben, scannen, fertig. Wo ist das in OPNsense? DAS wäre geil.
OpenVPN habe ich nicht getestet, gibt es dort ein Profil-Download?
Post by: Gauss23 on February 15, 2021, 01:15:52 pm
OpenVPN finde ich gut gelöst in OPNsense. Es gibt die Möglichkeit die Client-Configs für jeden Client zu exportieren. Allerdings kann der User das nicht selbst. Der Admin exportiert die Configs.
Post by: kosta on February 15, 2021, 01:28:40 pm
Den Vergleich mit WireGuard finde ich unfair.Da gebe ich dir Recht. Schneller getippt als nachgedacht wohl.
Aber es steht schon, dass die Konfiguration von WG nicht die benutzerfreundlichste ist. Ich "muss" die Keys per Mail senden... nicht wirklich sonderlich sicher, auch wenn verschlüsselt.
Openvpn: nicht fertig konfiguriert. Ist aber an meiner To-Do Liste. Sofern man die .ovpn Dateien herunterladen kann, geht OK. Danke für die Info.
Post by: kosta on February 15, 2021, 01:33:51 pm
Mein Mobil_WLAN hat eigentlich nur ein Rule aktuell: IPv4* *alles überallhin*.
Jedoch kommt immer wieder:
Feb 15 13:28:47 192.168.130.3:49965 172.217.22.202:443 tcp Default deny rule
Warum? Das ist doch was vom Google, warum würde HTTPS ausgehend zum internen Interface blockieren?
Post by: JeGr on February 15, 2021, 02:42:13 pm
Post by: lfirewall1243 on February 15, 2021, 03:07:37 pm
Bei der Firewall Rule-Erstellung fällt mir was ein:
Mein Mobil_WLAN hat eigentlich nur ein Rule aktuell: IPv4* *alles überallhin*.
Jedoch kommt immer wieder:
Feb 15 13:28:47 192.168.130.3:49965 172.217.22.202:443 tcp Default deny rule
Warum? Das ist doch was vom Google, warum würde HTTPS ausgehend zum internen Interface blockieren?
Nur mal so als Idee:
Hatte es bei manchen WLAN Geräten mal, dass ich eine Regel für Stateless anlegen musste, danach ging es
Post by: JeGr on February 15, 2021, 06:59:38 pm
Dann hast du aber sehr Besondere Probleme. Wenn das initiale "Syn" Paket nicht im Filter erkannt wird, ist aber ganz schön was schief?
Post by: lfirewall1243 on February 15, 2021, 07:13:52 pm
> Hatte es bei manchen WLAN Geräten mal, dass ich eine Regel für Stateless anlegen musste, danach ging esJa sind ein paar übernommene Netzwerke dich ich übernommen/bekommen habe
Dann hast du aber sehr Besondere Probleme. Wenn das initiale "Syn" Paket nicht im Filter erkannt wird, ist aber ganz schön was schief?
Habe die Fehlersuche irgendwann Mal aufgegeben
Aber gebe dir Recht, dort ist was nicht in Ordnung - aber nicht meine Baustelle
Post by: kosta on February 15, 2021, 07:17:28 pm
Das kann niemand ohne Einblick in dein Netz, deinen Netzaufbau, dein WLAN Setup und deine Firewall Regeln jetzt einfach so beantworten. Offensichtlich wird die "pass any" rule die du hast nicht genutzt, also kommt das Paket entweder übers falsche Interface, am falschen VLAN an, matcht nicht auf die Regel etc. etc. - gibt viel zu viele Möglichkeiten warum die Regeln nicht greift, als das man das durch einen Satz erkennen könnte :)
Uh. Seit der Erstellung der VLANs, wird die Sache etwas komplizierter zu erklären, aber ich versuche es mal. Plan kann ich auch liefern wenn notwendig.
Diese Einträge fabriziert der Samsung meiner Frau. Ist einer der 4 Handys die sich in diesem Netz befinden - 3x IOS und 1x Android (VLAN130).
Der VLAN130 geht von der OPNsense aus, über einem HP Switch, getrunkt zum Unifi Switch, und dort isoliert im Wifi für Mobile Geräte auch in VLAN 130. Also das sollte eigentlich sauber sein.
Du Rule sollte jedoch gut greifen, da wenn ich die Abschalte, auf den Handys nix mehr geht. Es kommen auch massiv andere :443 Anfragen nicht durch.
Mittlerweile schaut es so aus:
WLAN_Mobile Feb 15 17:17:41 192.168.130.3:60773 216.58.207.132:443 tcp Default deny rule
WLAN_Mobile Feb 15 17:17:41 192.168.130.3:58010 172.217.20.238:443 tcp Default deny rule
WLAN_Mobile Feb 15 17:17:12 192.168.130.3:60773 216.58.207.132:443 tcp Default deny rule
WLAN_Mobile Feb 15 17:17:12 192.168.130.3:58010 172.217.20.238:443 tcp Default deny rule
WLAN_Mobile Feb 15 17:13:04 192.168.130.3:60773 216.58.207.132:443 tcp Default deny rule
WLAN_Mobile Feb 15 17:13:04 192.168.130.3:58010 172.217.20.238:443 tcp Default deny rule
WLAN_Mobile Feb 15 17:11:36 192.168.130.3:60773 216.58.207.132:443 tcp Default deny rule
WLAN_Mobile Feb 15 17:11:36 192.168.130.3:58010 172.217.20.238:443 tcp Default deny rule
WLAN_Mobile Feb 15 17:10:14 192.168.130.3:60773 216.58.207.132:443 tcp Default deny rule
WLAN_Mobile Feb 15 17:10:14 192.168.130.3:58010 172.217.20.238:443 tcp Default deny rule
WLAN_Mobile Feb 15 17:10:12 192.168.130.3:60773 216.58.207.132:443 tcp Default deny rule
WLAN_Mobile Feb 15 17:10:12 192.168.130.3:58010 172.217.20.238:443 tcp Default deny rule
WLAN_Mobile Feb 15 17:10:11 192.168.130.3:60773 216.58.207.132:443 tcp Default deny rule
WLAN_Mobile Feb 15 17:10:11 192.168.130.3:58010 172.217.20.238:443 tcp Default deny rule
WLAN_Mobile Feb 15 17:10:11 192.168.130.3:60773 216.58.207.132:443 tcp Default deny rule
WLAN_Mobile Feb 15 17:10:11 192.168.130.3:60773 216.58.207.132:443 tcp Default deny rule
WLAN_Mobile Feb 15 17:10:11 192.168.130.3:60773 216.58.207.132:443 tcp Default deny rule
WLAN_Mobile Feb 15 17:10:11 192.168.130.3:58010 172.217.20.238:443 tcp Default deny rule
WLAN_Mobile Feb 15 17:10:11 192.168.130.3:58010 172.217.20.238:443 tcp Default deny rule
WLAN_Mobile Feb 15 17:10:11 192.168.130.3:58010 172.217.20.238:443 tcp Default deny rule
Was mich so irritiert ist dass es in regelmäßigen Abständen passiert.
Und, dass es nur von einem Handy stammt: nix gegen Android, aber meine iPhones machen das nicht ;-)
Eigentlich kann's mir egal sein, da es eh "blockiert" wird, aber würde nur gerne rausfinden warum, denn lt. Regeln dürfte es nicht sein. Ich möchte nur dass alles sauber ist, mehr nicht.
Was kann ich liefern damit man der Ursache näher kommt?
Post by: Gauss23 on February 15, 2021, 07:20:22 pm
Post by: JeGr on February 15, 2021, 07:26:35 pm
Post by: kosta on February 15, 2021, 07:40:25 pm
__timestamp__ Feb 15 19:39:42
ack 3854972061
action [block]
anchorname
datalen 24
dir [in]
dst 17.248.147.206
dstport 443
ecn
id 0
interface igb0_vlan130
interface_name WLAN_Mobile
ipflags DF
label Default deny rule
length 76
offset 0
proto 6
protoname tcp
reason match
rid 02f4bab031b57d1e30553ce08e0ec131
ridentifier 0
rulenr 15
seq 438595397:438595421
src 192.168.130.4
srcport 63184
subrulenr
tcpflags FPA
tcpopts
tos 0x0
ttl 64
urp 1024
version 4
Post by: kosta on February 15, 2021, 07:47:01 pm
Post by: Gauss23 on February 15, 2021, 08:06:11 pm
Mittlerweile sind es auch andere Handys. Aus irgendeinem Grund war vorher nur der eine. Jetzt melden sich auch die iPhones. Flags sind immer DF.
Flag ist FPA (tcpflags).
Dazu:
https://forum.netgate.com/topic/36362/log-shows-tcp-fa-tcp-fpa-blocked-from-lan
Kurz: es handelt sich um out-of-state Traffic.
Post by: kosta on February 15, 2021, 10:36:09 pm