OPNsense Forum

International Forums => German - Deutsch => Topic started by: Bytechanger on May 28, 2019, 11:37:57 pm

Title: Firewall rule vor Port-Forward greift nicht?
Post by: Bytechanger on May 28, 2019, 11:37:57 pm

Hallo,

ich habe ein PortFowarding auf port 80 und 443 eingerichtet.
Ich habe vor die automatische pass Regel eine block Regel gesetz, die nur die Anfragen von Lets Encrypt servern erlauben soll in form eines hosts alias.
Leider greift die Regel nicht.

...]
                 Source                            Destination
IPv4 TCP    ! Lets_Encrypt     *    WAN address    80 (HTTP)    *    *   

(now automatic Rule from Port Forward)
IPv4 TCP    *    *    172.30.90.81    80 (HTTP)    *    *   
IPv4 TCP    *    *    172.30.90.81    443 (HTTPS)    *    *   

Greets

Byte

Title: Re: Firewall rule vor Port-Forward greift nicht?
Post by: JeGr on June 03, 2019, 11:13:01 am

>  die nur die Anfragen von Lets Encrypt servern erlauben soll in form eines hosts alias.

Das wird schwierig, denn selbst LE sagt ganz klar, dass ihre Server ständig neue IPs/Namen haben können und man solche Aliase nicht nutzen soll - das nur vorweg.

> IPv4 TCP    ! Lets_Encrypt     *    WAN address    80 (HTTP)    *    *   

Deine Regel stimmt nicht. Wie du darunter siehst, ist das Target/Ziel deine interne IP. Nicht die WAN Adresse. NAT Regeln gelten VOR Firewallregeln. Da du mittels NAT Regel bereits eingehend _alles_ umschreiben lässt, was auf Port 80 will, wird diese Regel nie erfüllt werden, da die Zieladresse von "WAN address" bereits auf "172..." umgeschrieben wurde.

Gruß