zur Firewall Regel habe ich ein paar Verständnis Regeln.
Ich habe hier mal ein Beipiel einer Regel für ein Gastnetz
https://wiki.opnsense.org/_images/guestnet_fwrules.png (https://wiki.opnsense.org/_images/guestnet_fwrules.png)
Wir haben hier 5 Regeln.
1. Erlaube vom GUESTNET alle Ports – GUESTNET adress port 53
2. Erlaube vom GUESTNET alle Ports – GUESTNET adress port 8000 – 10000
3. Blockiere vom GUESTNET alle Ports – zum LAN net alle ports
4. Blockiere vom GUESTNET alle Ports – zum GUESTNET adress alle ports
5. Erlaube vom GUESTNET alle Ports überall hin.
So das verstehe ich nicht ganz. Am Anfang wird dem Gastnetz der Zugang auf den Port 53 der Adresse
(GUESTNET adress) erlaubt, und dann auch der port 8000-10000. Bis hier ok. Dann wir dem Gastnetz der Zugriff auf das LAN net verboten, auch noch klar.
Danach wird dem Gastnetz der Zugang zu allen Ports der Adresse
(GUESTNET adress) verboten. Hebt das nicht die ersten zwei Regeln weider auf? Oder liest man das dann so: Erst was erlauben (port 53,8000-10000) und dann den Rest verbieten?
Und dann wird wieder alles erlaubt (5)? Das ist ein Widerspruch? Verstehe die Logik bzw. Leseart nicht. Bitte um Erklärung, danke.
Die Regeln werden von OBEN nach UNTEN abgearbeitet, bis die ERSTE zutrifft, also erlaubt oder verbietet. Ende der Übung. Nächstes Paket. Wenn eine Regel weiter unten etwas erlaubt, was weiter oben verboten ist, kommt nur die Regel weiter oben zum Zug.
habe ich verstanden danke. Dazu die nächst Frage bitte.
Ich wollte testen ob ich nur eine Webseite ansurfen kann, was nicht funtkioniert hat, nur Port80,443 ging. Hier mal die 3 Regeln.
Interface:LAN1
Protokoll Quelle Port Ziel Port
------------------------------------------------------------------------------------------------------------------
1. Erlaube IP4-TCP/UDP LAN1 any opnsense.org 80,443,53
2. Blockiere IP4 * LAN1 any any any
3. Blockiere IP6 * LAN1 any any any
------------------------------------------------------------------------------------------------------------------
was jetzt so nicht geht, also ich komme nicht zur Webseite. Ich denke mir wohl der wird sich mit irgend einem DNS Server der ja blockiert ist? versuchen zu verbinden?
Die zweite Frage ist auch welchen DNS Server denn angefragt wird, wo ist den der genau Eintrag für das LAN netzwerk, osre kann ich einen extra für das LAN Inteface eintragen, und wie müsste ich dann die Regel ergänzen?
Hi,
du benötigst eine Regel für den DNS Server damit du den Namen auflösen kannst. Das ist idR deine Opnsense Interface.
Protokoll Quelle Port Ziel Port
------------------------------------------------------------------------------------------------------------------
1. Erlaube IPv4/UDP LAN1 any LAN address 53
2. Erlaube IPv4/TCP LAN1 any <Webserver> 80,443
2. Blockiere IP4 * LAN1 any any any
3. Blockiere IP6 * LAN1 any any any
------------------------------------------------------------------------------------------------------------------
Deine Clients müssen dann aber auch die korrekten IPs (DNS, Gateway, etc) via DHCP bekommen.
Die Block rule benötigtst du nicht, da schlägt die "Default deny rule" zu.
lg
DHCP für das LAN1 habe ich aktiviert, sonst hätte ich ja keine IP und könnte auch nicht surfen(ohne die Regel mit dem Webserver)
1. Erlaube IPv4/UDP LAN1 any LAN address 53
Die IP der opnsense aus LAN1 (Webgui IP), sollte ich dann hier eintrgaen? als alias oder direkt.
werde ich mal testen, danke
Hi,
vorausgesetzt dein Interface ist LAN1, dann wäre korrekt folgendes korrekt um DNS Anfragen an den DNS Server der Firewall zu senden und einen bestimmten Webserver mit Port 80 und 443 zu erreichen.
Protokoll Quelle Port Ziel Port
------------------------------------------------------------------------------------------------------------------
1. Erlaube IPv4/UDP LAN1 net any LAN1 address 53
2. Erlaube IPv4/TCP LAN1 net any <Webserver IP> 80,443
"LAN1 address" wir dir in der Dropdown Auswahl im GUI vorgeschlagen und ist die IP des Interface der Firewall (opnsense) die idR dort auch DNS Anfragen entgegen nimmt.
lg
ja danke. Das Problem liegt nun glaube ich nicht an der Regel direkt, sondern daran, das der Aufruf einer Webseite alleine so nicht geht, weil dazu zig andere IPs mit involviert sind.
Regel ist aber so OK, danke
Hallo,
kommt natürlich darauf an. Webseiten die per CDN ausgeliefert werden oder häufig IPs ändern bekommst du so nicht stabil zum Funktionieren
Im Falle von zB www.opnsense.org und forum.opnsense.org solltest du mit der IP 81.171.2.181 das Forum und die Seite, sowie den Blog erreichen können, wenn nicht passt die Konfig nicht.
lg
Hier eine weitere Frage, bzw. Regel.
Ich habe zwei LANs. LAN1 darf ins Internet und auch ins LAN2. Da ich bei Destination ANY habe,
dürfte ich ja überall hin kommen und brauche ja deswegen nicht extra LAN2 angeben, denke ich mal.
LAN2 da befindet sich ein Netzwerkdrucker und zwei weitere PCs.
Die PCs sollen nur ins Internet dürfen, aber nicht ins LAN1. Der Drucker soll nirgends wo hin
dürfen. Alle Nutzer aus LAN1 und LAN2 dürfen aber drucken.
LAN1 darf auf LAN2 zugreifen, um sich per RDP auf einen Rechner(PC1) zu verbinden, und auf den Drucker.
Und dazu noch folgende Fragen:
Aus dem LAN2 will ich ja ins Internet, da gebe ich als Destination WAN an?
Da ich ja alle Ports erlaube ins WAN, muss dann noch extra DNS im eigenen LAN2 erlauben?
Oder muss ich diese Regel noch einbauen:
PASS Source: LAN2_net, Port:ANY --> Destination: LAN2_net, Port: 53?
Stimmen die folgenden Regelen dazu?
LAN1
1. PASS Source: LAN1_net, Port:ANY --> Destination: ANY, Port: ANY
2. PASS Source: LAN1_net, Port:ANY --> Destination: ANY, Port: ANY
LAN2
3. BLOCK Source: Drcker, Port:ANY --> Destination: ANY, Port: ANY
4. BLOCK Source: LAN2_net, Port:ANY --> Destination: LAN1_net, Port:ANY
5. PASS Source: LAN2_net, Port:ANY --> Destination: WAN, Port: ANY
Hi,
QuoteLAN1 darf ins Internet und auch ins LAN2. Da ich bei Destination ANY habe,
dürfte ich ja überall hin kommen und brauche ja deswegen nicht extra LAN2 angeben, denke ich mal.
Korrekt
QuoteAlle Nutzer aus LAN1 und LAN2 dürfen aber drucken.
LAN1 darf auf LAN2 zugreifen, um sich per RDP auf einen Rechner(PC1) zu verbinden, und auf den Drucker.
Da LAN1 überall hinkommt funktioniert auch das Drucken und RDP. Im LAN2 kommen alle Rechner auch auf den Drucker da innerhalb des selben Netzes. Den Traffic im selben Netz kannst du mit der Opnsense auch nicht steuern.
QuoteAus dem LAN2 will ich ja ins Internet, da gebe ich als Destination WAN an?
Destination ist !RFC1918 (falls du den Alias konfiguriert hast) und Achtuing auf "!" invert, daher alle nicht privaten Adressen.
Bezüglich DNS.
PASS (UDP) Source: LAN2_net, Port:ANY --> Destination: LAN2 address, Port: 53
Regel Vorschlag:
Alias:
- RFC1918
- Drucker
- Böse Internet Ports zB 139,445,1900, 53 (wenn du vermeiden willst das externe DNS verwendet werden)
LAN1:
1. BLOCK IPv4 TCP/UDP Source: LAN1_net, Port:ANY --> Destination: !RFC1918, Port: Alias Böse Inet Ports
2. PASS IPv4 TCP/UDP Source: LAN1_net, Port:ANY --> Destination: ANY, Port: ANY //LAN1 überall hin
LAN2:
1. BLOCK IPv4 TCP/UDP Source: LAN2_net, Port:ANY --> Destination: !RFC1918, Port: Alias Böse Inet Ports
2. Pass IPv4 UDP Source: LAN2_net, Port:ANY --> Destination: LAN2_address, Port: 53 //DNS
3. BLOCK IPv4 TCP/UDP Source: Drucker Port:ANY --> Destination: ANY, Port: ANY //Drucker können nirgends hin außer DNS falls benötigt
3. PASS IPv4 TCP/UDP Source: LAN2_net, Port:ANY --> Destination: !RFC1918, Port: ANY //LAN2 ins Internet
Anmerkung:
Man kann das natürlich alles noch weit restriktiver machen, Drucker zB in eigenes Drucker VLAN, per Blacklists blocken etc, aber mal ein Anfang.
lg
Hört sich schon mal gut an. Zu dem RFC1918, da lege ich ein Alias an mit folgenden Netzen:
10.0.0.0/8
172.16.0.0/16
192.168.0.0/24
169.254.0.0/24?
ist das so OK?
Jop kannst du so machen
Jetzt will ich zum LAN2 noch ein WLAN hinzufügen. Ich habe mir ein kleinen TP Link WLAN Router gekauft. Jetzt schließe ich den ans LAN2 an, und bekomme zwar noch mal NAT weil es ja ein Router ist, bzw. ich weiß nicht ob ich diesen auch als reinen AP nutzen kann. (Ist es ein Probelm Vor/Nachteile zum reinen AP?)
Dann geht es aber Hauptsächlich um die Regeln. Alos erst mal den WLAN Router anschließen und Konfigurieren.
Das sollte doch nun mit den vorhandenen Regeln funktionieren?
Da ja die WLAN Clients ein eigenes Netz haben (192.168.33.0/24) ist nun auch die Frage ob diese den Drucker ansprechen können oder benötige ich dazu eine extra Regel?
LAN1:
1. BLOCK IPv4 TCP/UDP Source: LAN1_net, Port:ANY --> Destination: !RFC1918, Port: Alias Böse Inet Ports
2. PASS IPv4 TCP/UDP Source: LAN1_net, Port:ANY --> Destination: ANY, Port: ANY //LAN1 überall hin
LAN2:
1. BLOCK IPv4 TCP/UDP Source: LAN2_net, Port:ANY --> Destination: !RFC1918, Port: Alias Böse Inet Ports
2. Pass IPv4 UDP Source: LAN2_net, Port:ANY --> Destination: LAN2_address, Port: 53 //DNS
3. BLOCK IPv4 TCP/UDP Source: Drucker Port:ANY --> Destination: ANY, Port: ANY //Drucker können nirgends hin außer DNS falls benötigt
3. PASS IPv4 TCP/UDP Source: LAN2_net, Port:ANY --> Destination: !RFC1918, Port: ANY //LAN2 ins Internet
Ich nutze WLAN-Router ohne NAT/DHCP. Also: Dem WLAN Router eine fixe IP AUSSERHALB des IP-Bereichs im LAN zuweisen. DHCP abschalten. Einen LAN (! nicht den WAN) Port des WLAN Routers mit dem LAN verbinden. Fertig.
DHCP kommt von deiner opnsense, WLAN ist Teil deines LANs.
Quote from: jacolani on January 07, 2019, 10:22:38 AM
Jetzt will ich zum LAN2 noch ein WLAN hinzufügen. Ich habe mir ein kleinen TP Link WLAN Router gekauft. Jetzt schließe ich den ans LAN2 an, und bekomme zwar noch mal NAT weil es ja ein Router ist, bzw. ich weiß nicht ob ich diesen auch als reinen AP nutzen kann. (Ist es ein Probelm Vor/Nachteile zum reinen AP?)
Moin,
sehr viele WLAN-Router lassen sich auch als reiner AP nutzen. Einfach mal im Handbuch schauen.
Ich würde den einen AP bzw. den AP-Modes gegenüber einem Router bevorzugen. Problem hast Du ja bereits genannt (NAT). ;)
Die meisten halbwegs aktuellen AP unterstützen auch VLAN und MultiSSD. So kannst Du mit nur einem AP verschiedene WLAN für Dein Netz bereitstellen (z.B. intern, Gast, IoT, usw.).
Sehr gute Erfahrungen habe ich mit den AP von Ubiquiti (Unifi AC Pro) gemacht. Gerade wenn man mehr als 1-2 AP hat/benötigt, lernt man die Features schnell zu schätzen. Dazu laufen die Teile extrem stabil und unterstützen sowohl 2,4 als auch 5 Ghz.
Gruß
Dirk
Quote from: chemlud on January 07, 2019, 11:58:24 AM
Dem WLAN Router eine fixe IP AUSSERHALB des IP-Bereichs im LAN zuweisen.
Verstehe ich jetzt nicht ganz. Wenn mein LAN1 192.168.100.1/24 ist und LAN2 192.168.200.1/24 ist, dann soll ich dem WLAN Router z.B. 192.168.230.1 geben, also dem WAN Interface des WLAN Routers?
Wozu dienst das dann? Das man keinen Zugriff auf WAN Interface hat?
Die WLAN Clients wären ja dann im 192.168.200.1/24 Netz.
Den WLAN Router als reinen AP werde ich auch testen
Quote from: Mks on January 04, 2019, 06:47:43 PM
Regel Vorschlag:
Alias:
- RFC1918
- Drucker
- Böse Internet Ports zB 139,445,1900, 53 (wenn du vermeiden willst das externe DNS verwendet werden)
Gibt es dazu eine Liste bzw. Vorschlag welche Ports erstmal geblockt werden sollten?
Hi,
Quote
Gibt es dazu eine Liste bzw. Vorschlag welche Ports erstmal geblockt werden sollten?
Das kommt natürlich auf deinen Einsatzzweck an (Unternehmen, privat). Aus Securitysicht wäre eine Whitelist am besten, daher nur mal 80, 443 ausgehend erlauben und dann selektiv freischalten.
Für die private Anwendung würde ich empfehlen eine oder mehrere Blocklisten zu verwenden, siehe https://wiki.opnsense.org/manual/how-tos/edrop.html (https://wiki.opnsense.org/manual/how-tos/edrop.html) und zusätzlich Ports die du ausagehend nicht willst zu blocken. Dafür gibt es keine generische Liste.
Bezgl. WLAN, verwende einfach den AP mode, macht es einfacher. Den AP eine feste IP von LAN2 zuweisen, damit du ihn konfigurieren kannst.
lg