Hallo,
ich bin ein absoluter Opnsense Neuling, aber ich möchte gerne mein USG gegen eine OpnSense tauschen.
Kurzer Hintergrund zum Netz:
1 x WAN
1 x LAN
4 x VLAN
Im LAN befinden sich die "Netzwerkkomponenten" (Switche, Server, NAS etc.) und in den anderen VLANs z.B. IPCam oder Sonos Player ...
Nun möchte ich den Traffic von den VLANs in Richtung LAN erstmal verbieten.
Dann mit einzelnen Regeln entsprechende Geräte freischalten (z.B. IPCam auf NAS Zugriff erlauben, also VLAN10 mit Alias IPCam auf LAN mit Alias NAS).
Mir ist leider nicht ganz klar, wie ich das am besten einrichte ?!
FW Gruppe VLAN_All und entsprechende DROP-Regel auf dem LAN Interface ?
Kommen denn die Clients in VLAN_All überhaupt raus ohne eine ALLOW Regel ?
Dann:
- FW Gruppe erstellen (VLAN10) und eine Regel darauf legen (IN - src: VLAN10 - IPCam - dst: LANnet - NAS)
oder
- FW Regel auf LAN (IN - src: IPCam - dst: NAS)
So wie ich es verstanden habe, ist jeglicher Traffic von einer FW Gruppe erst einmal verboten ?!
Also muss ich dann vorab eine FW Regel erstellen, damit die Clients überhaupt raus kommunizieren können ?
Irgendwie hab ich das Konstrukt noch nicht verstanden ... Sorry !
Gruß Kalle
Hi,
Standard bei opnsense (wie eigentlich allen Firewalls) ist jegliche Kommunikation erstmal verboten. (Von den automatischen Regen abgesehen).
-> keine explizites Erlauben = kein Traffic.
Am einfachsten für im jeweiligen Interface dediziert festlegen, welches Gerät mit welchem anderen Gerät über welchen Port kommunizieren darf.
opnsenuser