Hallo mal ne ganz dumme Frage von nem Newbie - rein theoretisch nur aus Interesse
Was ist denn euerer Meinung nach die beste Konfiguration für die Firewall-Regeln aufs WAN-Interface?
Hab natürlich schon mal bisschen gegoogelt, da kam überall am besten Default-Deny, aber was ist wenn jetzt zum Beispiel die User hinter der Firewall ins Internet dürfen sollen und man noch zwei verschiedene VPN-Arten bzw. VoIP etc?
Du solltest auch mal nach "stateful firewall" suchen. Mit deinem Wissen ist die Anwendung von Firewalls (bzw. selbst erstellten Regeln, insbesondere für das WAN Interface) potentiell sehr gefährlich.
Quote from: kenobits on December 18, 2020, 09:43:00 AM
Hallo mal ne ganz dumme Frage von nem Newbie - rein theoretisch nur aus Interesse
Was ist denn euerer Meinung nach die beste Konfiguration für die Firewall-Regeln aufs WAN-Interface?
Hab natürlich schon mal bisschen gegoogelt, da kam überall am besten Default-Deny, aber was ist wenn jetzt zum Beispiel die User hinter der Firewall ins Internet dürfen sollen und man noch zwei verschiedene VPN-Arten bzw. VoIP etc?
User, die ins Internet wollen, bekommen Regeln auf dem LAN Interface. Die Regel sollte immer auf dem Interface angelegt werden, an dem sie die OPNsense zuerst erreichen. Es handelt sich um eine stateful Firewall, Antwortpakete dürfen also vom WAN ohne gesonderte Regel zum Empfänger passieren.
Auf dem WAN musst Du nur erlauben, was von draußen Verbindungen initiieren darf. Beispiel wäre ein OpenVPN Server auf der OPNsense oder ein Webserver bei Dir im LAN (sowas sollte aber auf ein eigenes Interface, was man dann DMZ nennt) per Port-Forward.
Beim Betrieb als reinen Internet-Router brauchst Du keine Regeln auf dem WAN (default ist deny). Auf dem LAN hast Du per default eine allow any/any Regel. Die sollte man mal auf den Prüfstand stellen. Will man, dass alle Geräte aus dem LAN überall ins Internet telefonieren dürfen?
Quote from: chemlud on December 18, 2020, 10:00:01 AM
Du solltest auch mal nach "stateful firewall" suchen. Mit deinem Wissen ist die Anwendung von Firewalls (bzw. selbst erstellten Regeln, insbesondere für das WAN Interface) potentiell sehr gefährlich.
keine Angst, ich bastel da gar nichts rum - wollte mich dem Thema einfach mal annähern bzw. Fragen stellen die mir so gekommen sind
Quote from: Gauss23 on December 18, 2020, 10:30:57 AM
Quote from: kenobits on December 18, 2020, 09:43:00 AM
Hallo mal ne ganz dumme Frage von nem Newbie - rein theoretisch nur aus Interesse
Was ist denn euerer Meinung nach die beste Konfiguration für die Firewall-Regeln aufs WAN-Interface?
Hab natürlich schon mal bisschen gegoogelt, da kam überall am besten Default-Deny, aber was ist wenn jetzt zum Beispiel die User hinter der Firewall ins Internet dürfen sollen und man noch zwei verschiedene VPN-Arten bzw. VoIP etc?
User, die ins Internet wollen, bekommen Regeln auf dem WAN Interface. Die Regel sollte immer auf dem Interface angelegt werden, an dem sie die OPNsense zuerst erreichen. Es handelt sich um eine stateful Firewall, Antwortpakete dürfen also vom WAN ohne gesonderte Regel zum Empfänger passieren.
Auf dem WAN musst Du nur erlauben, was von draußen Verbindungen initiieren darf. Beispiel wäre ein OpenVPN Server auf der OPNsense oder ein Webserver bei Dir im LAN (sowas sollte aber auf ein eigenes Interface, was man dann DMZ nennt) per Port-Forward.
Beim Betrieb als reinen Internet-Router brauchst Du keine Regeln auf dem WAN (default ist deny). Auf dem LAN hast Du per default eine allow any/any Regel. Die sollte man mal auf den Prüfstand stellen. Will man, dass alle Geräte aus dem LAN überall ins Internet telefonieren dürfen?
Danke für die Antwort :) also müsste man auf dem WAN-IF keine Regel direkt erstellen? Wenn ich das bei OpenSense richtig gesehen und verstanden habe, kann man ja für die einzelnen VPN-Anwendungen in einem extra Tab pro Anwendung Regeln erstellen, die dann aufs WAN-IF "automatisiert" angewandt werden
Entschuldige in meinem ersten Entwurf meines Beitrages habe ich WAN statt LAN geschrieben. Ich habe meinen Post aktualisiert, im Zitat von mir steht es aber noch falsch.
Du musst die VPN Pakete schon manuell zulassen am WAN. Keine Ahnung, ob es einen Automatismus gibt, ich lege mir meine Regeln ganz gerne per Hand an.
sieht so aus als würde er die Regeln temporär tatsächlich erstellen und wenn man die Verbindung stoppt wieder rausnehmen - wie gesagt bastel bei uns da nichts rum, mich hatte das einfach mal interessiert (Berufsschule ist schon wieder bisschen her und seit dem nicht mehr vor firewalls gesessen)