Moin,
ich habe eine dämliche Frage:
Ich habe zwei logische und voneinander zu isolierende Netze A und B*. Beide sollen ins Internet und die Policies sind "floating". Wegen des Internetzuganges haben sie dann natürlich auch eine http/https/ftp to any - Regel. Um aber den (http-)Zugriff auf das jeweils andere Netz zu verhindern, muss ich das Standardgateway ("WAN-Inteface" der Firewall) in jeder Policy angeben, um den Weg vorzugeben (Routingpolicy), verstehe ich das richtig? Alternativ natürlich über eine Deny-Regel wieder mit Netzadressen?
* Die beiden Netze sind in eigenen VLANs, auf den Firewall-Ports kommen Sie aber untagged an (an zwei verschiedenen Ports). Grund: Im Notfall Stecker ziehen können, auch von einem, der keine Ahnung von Netzwerken hat.
moin, bitte mal das auch grafisch darstellen in einem netzwerkplan
gerne mit den lokalen id´s oder vlans damit wir genau ansprechen können was zu tun ist.
was ich aber noch nicht verstanden habe (auch ohne zeichnung, und vielleicht hilt mir diese es zu verstehen)
was/warum hast du da eine float regel?
Grüße.
Ich würde das ganze, wie mein Vorredner ohne floating Regeln machen
Auf das LAN A Interface
from LAN A to LAN B deny
from LAN A to * allow
auf das LAN B Interface
from LAN B to LAN A deny
From LAN B to * any
da die Regeln von oben nach unten abgearbeitet werden verwirft er alle Packet von LAN A to LAN B bzw andersrum und kommt gar nicht mehr zur zweiten Regel
Die Ports kannst/musst du natürlich noch mit angeben
durchhalten
Hi, danke für eure Antworten.
Der Aufbau ist ganz banal. Ihr meint also, ich sollte lieber Port-Regeln benutzen? Kann man hier auch mit Port-Groups arbeiten? (hab die Firewall grad nicht vor mir). Hm, das wird etwas Fleißarbeit :'(
1. was meinst du mit Port, soll das z. b. http port 80 gemeint sein?
2. leider verstehe ich nicht was genau dein ziel sein soll.
3. wenn dein ziel ist das vlan a nicht auf vlan b kommen soll aber trotzdem alle ins internet das hat dir @shb256
erklärt.
mach doch eine beschreibung was dein ziel ist z. b.
mein vlan 3 soll keinen zugriff auf das vlan 33 bekommen, der internet zugriff soll für beide vlans möglich sein, wie soll ich die frirewall regeln erstellen. ich habe es probiert so habe ich die regeln angelegt.
so können wir effizient helfen.
Hi,
- 2 logische Netze (LAN und Gast-LAN) sollen über die opnsense ins Internet
- diese Netze dürfen sich gegenseitig nicht sehen
- auf der Switch-Ebene ist das durch tagged VLANs sichergestellt
- die Firewall sieht diese VLANs jedoch nicht, weil sie untagged ankommen und deswegen die 2 physischen Ports (Interfaces). Jedes Netz soll einzeln per Stecker ziehen lahm gelegt werden können. Es ist an dieser Stelle auch nicht notwendig, mit VLANs auf der Firewall zu arbeiten, meiner Meinung nach.
Laut eurer Empfehlung ist dies alles besser über Port (Interface) Regeln zu realisieren.
Was für eine Hardware setzt du denn ein, hat die denn genug Ethernetports?
Bitte mal Bilder deiner Interface Konfiguration.
also einfach so machen wie es @shb256 geschrieben hat.
https://www.thomas-krenn.com/de/produkte/rack-server/1he-server/intel-single-cpu/intel-single-ri1102d.html
Die Interface-Konfiguration kann ich erst am Montag posten. Habe aber 3 LAN Interfaces, 2 "WAN" Interfaces (Uplink zur nächsten Firewall) und ein Gast-LAN-Interface in eigene Interface-Gruppen gepackt. Deswegen meine Frage, ob man auch Interface-Gruppen als Source bzw. Destination in den Regeln benutzen kann.
> Laut eurer Empfehlung ist dies alles besser über Port (Interface) Regeln zu realisieren.
Das sind keine Port Regeln, das mag bei Sophos so sein. Vergiss das schnell. Das sind ganz normale Regeln AUF dem Interface - wie es standard ist. Fertig :) Nicht mehr, nicht weniger.
Ob du das mit zwei physikalischen Interfaces/Ports auf deinem Switch regelst oder nicht - wenn mans so will klar. Ich seh da nicht wirklich den Sinn, 2 Gigabit Ports zu verschwenden wenn es nur um Internet geht. Dann kann man auch die VLANs durchreichen und gut. Stecker ziehen mag ganz witzig sein, aber ist das notwendig? Aber klar, musst du wissen.
> Gast-LAN-Interface in eigene Interface-Gruppen gepackt
Warum in welche Gruppen wie/wo gepackt? Klingt seltsam. Und nein, IF Gruppen können NICHT als Source oder Dest genutzt werden, die tauchen als Pseudo Interface auf und du kannst dann für die Gruppen Regeln definieren, die technisch gesehen auf jedem Interface gelten, musst dann aber Source / Destination entsprechend festlegen, also bspw. ein entsprechendes Netzalias erstellen um sie zu nutzen.
Zudem sollte man WANs nicht in Gruppen packen bzw. Regeln auf WAN Gruppen nutzen, da ansonsten die reply-to Parameter im Paketfilter nicht gesetzt werden.
Cheers
\jens