Text only | Text with Images

OPNsense Forum

International Forums => German - Deutsch => Topic started by: Snoopy on April 23, 2022, 01:22:39 PM

Title: [Gelöst] Unterstützung FW-Regeln WAN --> DMZ --> Ziel
Post by: Snoopy on April 23, 2022, 01:22:39 PM
Hallo Profis,

ich stelle gerade fest, dass bei OPNsense doch einiges anders ist wie bei IPFire.....

Ich versuche gerade FW-Regeln für die Server in der DMZ zu erstellen.

Beispiel HTTP(S) Regel auf einen Server in der DMZ (192.168.102.241):
Mein Gedankengang ist der, dass alle Port 80/443 Anfragen vom WAN in die DMZ (192.168.102.1) auf die ZIEL-IP (192.168.102.241) weitergeleitet werden. In der Oberfläche schaut das folgendermaßen aus:

WAN:
(https://pic.metaversum.wtf/y6fU9az7/a5CrWPj9.png)

DMZ:
(https://pic.metaversum.wtf/uYDnyB5V/crdEMo97.png)

Meiner Meinung nach sollte das doch funktionieren? Tut es aber nicht.
Könnt und mögt ihr mir bitte wieder helfen, wieso das nicht funktioniert und wie ich es richtig machen muss?

Vielen Dank....   :-)

Liebe Grüße
snoopy
Title: Re: Unterstützung FW-Regeln WAN --> DMZ --> Ziel
Post by: Snoopy on April 24, 2022, 09:47:58 AM
Hab die Regeln jetzt etwas angepasst:

WAN
(https://pic.metaversum.wtf/xICW5QvT/F17pHerz.png)

DMZ
(https://pic.metaversum.wtf/2aqBRqNl/zVtgx6UA.png)

Im Log sieht das so aus:
(https://pic.metaversum.wtf/ieJc4J44/qcFcIOVP.png)

Wenn ich das Log richtig lese, dann greift schonmal die WAN-Regel nicht, dass die Anfragen vom WAN in die DMZ geleitet werden sollen?
Title: Re: Unterstützung FW-Regeln WAN --> DMZ --> Ziel
Post by: zerwes on April 24, 2022, 10:09:54 AM
Ich vermute mal du suchst DNAT ...
Firewall: NAT: Port Forward
https://docs.opnsense.org/manual/nat.html ist ein guter Anfang.
Die Suchmaschine deines Vertrauens spuckt dir bei den Stichwörtern "opnsense port forwarding" sicherlich unzälige Howtos aus.
Title: Re: Unterstützung FW-Regeln WAN --> DMZ --> Ziel
Post by: Snoopy on April 24, 2022, 12:08:58 PM
Danke @zerwes für den Hinweis mit der DNAT-Regel.

Ich habe jetzt unter Firewall --> NAT --> Portweiterleitung folgendes eingerichtet:
(https://pic.metaversum.wtf/gVY3xNIq/c4jIupN9.png)

Der Webserver ist damit aus dem Internet erreichbar.

Meine Frage ist, da ich mir nicht zu 100 Prozent sicher bin: Habe ich so alles richtig gemacht, ohne damit eine Sicherheitslücke aufgerissen zu haben?

Ich Frage deswegen, weil hier etwas von "WAN Adresse" steht die 192.168.102.241 auf die weitergeleitet wird aber in der DMZ ist. Das verwundert mich etwas....
Title: Re: Unterstützung FW-Regeln WAN --> DMZ --> Ziel
Post by: zerwes on April 24, 2022, 01:10:38 PM
QuoteHabe ich so alles richtig gemacht ...
Da wir hier nur Ausschnitte sehen, kann das so keiner beurteilen.
Jeder fängt mal an und aus Fehlern lernt man. Aber idealer weise sollte man die ersten Gehversuche nicht mit einem produktiven System machen, ein Konzept des zu Erreichenden haben und wissen wie man die eingesetzten Tools zum Erreichen des Ziels einsetzen kann (und ob sie dafür geeignet sind).
Also im Zweifelsfall immer wieder alles abreißen und mit den gewonnen Erkenntnissen neu aufsetzen ... jedes mal etwas besser ...
Title: Re: Unterstützung FW-Regeln WAN --> DMZ --> Ziel
Post by: lfirewall1243 on April 25, 2022, 07:47:45 PM
Quote

Ich Frage deswegen, weil hier etwas von "WAN Adresse" steht die 192.168.102.241 auf die weitergeleitet wird aber in der DMZ ist. Das verwundert mich etwas....

Die Pakete gehen ja erstmal an deine öffentlich erreichbare IP Adresse, eben die WAN Adresse deiner OPNsense (außer du hast da noch ein extra Router vor).

Die Regel besagt also, dass die Pakete, welche als Ziel deine WAN Adresse (öffentlich erreichbare IP Adresse) haben auf deinen Server in der DMZ weitergeleitet werden.

Somit ist die Portweiterleitung richtig eingestellt.




Gesendet von meinem M2012K11AG mit Tapatalk
Text only | Text with Images