Moin, moin,
Ich habe zwei Ubuntu Server, die jeweils ihre Zeit per NTP von ntp.ubuntu.com holen wollen.
So als Übung für Geräte die ich nicht konfigurieren kann, habe ich jeweils eine Portweiterleitung eingestellt (die letzten beiden Zeilen in ersten Bild).
Für beide Regeln habe ich zu Testzwecken das Logging aktiviert.
Mich wundert jetzt die Beschriftung im Log:
Die Pakete am DMZ Interface sehen fast gut aus: Anstatt "Redirect central services to router" wird "rdr rule" angezeigt.
Die Pakete am LAN Interface sehen doof aus: Anstatt "Redirect central services to router" wird "Default deny rule" angezeigt.
Dementsprechend bin ich verwirrt. Habe ich die Umleitung auf meinen Router richtig eingestellt und nur die Anzeige im Live-Log "spinnt"? Funktioniert das jetzt?
Im dritten Bild sind die Details eine Umleitung zu sehen.
Versionen:
OPNsense 21.1.8_1-amd64
FreeBSD 12.1-RELEASE-p19-HBSD
OpenSSL 1.1.1k 25 Mar 2021
Soll ich dafür eine Ticket aufmachen?
Gruß
Thomas
Moin,
1. Das beim DMZ Interface im Log die "rdr rule" angezeigt passt schon.
2. Bezüglich der LAN-Regel, man(n) sieht leider nicht deine LAN-Regeln, ich gehe davon aus das dort etwas geblockt wird.
Ich blocke die externen DNS-Server und nutze dafür auch eine NAT-Regel, allerdings verbiete ich zeitgleich auch den Zugriff auf Port 53 als Ziel nach extern.
LAN IPv4+6 TCP/UDP * * * 53 (DNS) * * Block DNS Queries
Meine NAT-Regel schaut dann wie folgt aus:
LAN TCP/UDP LAN net * ! LAN address 53 (DNS) 192.168.2.254 53 (DNS) Redirect
Gruß Meditux
Hallo Meditux,
Ich habe die Regeln nach Deinem Vorbild angepasst (siehe Anlage). Zusätzlich habe ich meine Filterregeln für die DMZ und das LAN beigefügt.
Im LAN ist quasi alles erlaubt.
In der DMZ wird DNS und NTP (Alias Central_Port_Service = 53, 123) nur zum Router zugelassen. Alle anderen Ziele werden geblockt.
Gruß
Thomas
Mach mal das NAT reflection auf deiner Nat-Regel für LAN aus (Disable)
Filter rule association geht bei mir auf die eigene NAT-Regel (Redirect)