Hallo zusammen,
ich bin gerade dabei die OPNsense um eine DMZ zu erweitern.
LAN: 172.16.0.0/21
DMZ: 172.16.18.0/23
Bei den Regeln hatte ich das Problem, dass der Server aus der DMZ nicht auf den DNS im LAN zugreifen konnte.
Regel hatte ich folgendermaßen erstellt:
Interface: DMZ
Prot: UDP
Source: DMZ_Net
Dest: DNS_Server (Alias Gruppe)
Dest_Port: DNS
Interface: LAN
Prot: UDP
Source: DMZ_Net
Dest: DNS_Server (Alias Gruppe)
Dest_Port: DNS
Über eine Floating Rule funktionierte es dann:
Interface: DMZ, LAN
Prot: UDP
Source: DMZ_Net
Dest: DNS_Server (Alias Gruppe)
Dest_Port: DNS
Was mich aber mehr überrascht ist die Tatsache, dass ich auf Port 8080 in der DMZ zugreifen kann ohne dafür eine Regel erstellt zu haben.
IP: 172.16.2.123
DMZ: 172.16.19.5
Log:
action: pass
dir: out
dst: 172.16.19.5
dstport:8080
interface: lagg1 (DMZ LAGG)
label: let out anything from firewall host itself
protoname: tcp
reason: match
src: 172.16.2.123
Woran kann das liegen? Das sollte so ja auf keinen Fall funktionieren
Um dazu etwas zu sagen müsste man alle Regeln auf deinem LAN kennen. Eine any-any Regel reicht und die Verbindung zwischen deinen Interfaces/Netzen steht offen....
danke, tatsächlich ist noch eine any-to-any vom lan in die DMZ regel aktiv -.-*
müsste es nicht dennoch eine income regel für die DMZ geben?
Nein, Paket werden EINMAL evaluiert, an Hand der Firewallregeln für das ERSTE Interface, auf das sie treffen...
super, vielen dank! dann kann ich mir die "doppelten regeln" ja sparen >_<