Text only | Text with Images

OPNsense Forum

International Forums => German - Deutsch => Topic started by: ziegler on August 17, 2022, 06:15:37 PM

Title: Standard-LAN Regel
Post by: ziegler on August 17, 2022, 06:15:37 PM
Hallo,

bin leider noch Anfänger was Firewall und Regelwerk angeht.

In der FW ist unter LAN eine Standard-Regel die im LAN alles erlaubt.

IPv4 *    LAN net    *    *    *    *    *    Default allow LAN to any rule

Macht es sicherheitstechnisch Sinn diese Regel zu löschen und geziehlt einzelne Ports zu öffen.
Also z.B. Port 80 und Port 443 für den Webbrowser usw?

Oder ist das OK so wenn ich das so lasse?

Ich habe 3 Regeln unter LAN insgesamt:
1.) IPv4 TCP    192.168.1.10/24    *    192.168.2.16/24    445 (MS DS)    *    *    Sambafreigabe auf WLAN-Gerät
2.) IPv4 *    LAN net    *    WLAN net    *    *    *    Kein Zugriff vom LAN auf WLAN
3.) IPv4 *    LAN net    *    *    *    *    *    Default allow LAN to any rule

Regel 1 ist für eine Sambafreigabe auf einem Gerät im WLAN. So kann ich vom LAN auf ein WLAN-Gerät zugreifen per SMB
Regel 2, damit blockiere ich sämtlichen weiteren Zugriff vom LAN auf das WLAN
Regel 3 ist die Standardregel die alles im LAN erlaubt.

Auf dem WLAN Interface habe ich diese Regel erstellt:

1.)     IPv4 *    WLAN net    *    LAN net    *    *    *    Kein Zugriff vom WLAN auf LAN

Damit blockiere ich den Zugriff vom WLAN auf das LAN.

Sind diese Regeln soweit ok?
Macht es Sinn die Standard-Regel zu löschen?

Vielen Dank
Title: Re: Standard-LAN Regel
Post by: superwinni2 on August 18, 2022, 12:46:33 PM
Was sinn macht und was nicht richtet sich immer ganz nach Anwendungsfall.


Sicherheitstechnisch ist es natürlich besser nur 2 (80 und 443) statt alle 64taused Ports zu öffnen.
Bedenke jedoch, dass es noch einige mehr relevante Ports gibt die evtl. offen sein sollten. (DNS, NTP, IMAPS/POPS, SMTP etc.)


Regeln klingen soweit in Ordnung wenn in Regel 2 auch wirklich ein "Block oder Reject" gesetzt ist.


Mithilfe der Standard-Regel stellt OPNsense für den Anfang sicher, dass alles was vom LAN kommt zugelassen wird.
Title: Re: Standard-LAN Regel
Post by: ziegler on August 18, 2022, 07:37:29 PM
In Regel 2 habe ich ein "Block" eingestellt.

Ja, es werden dann mehrere Ports sein die aufgemacht werden müssen, http, https, imap, caldav, dns usw.....
und bestimmt noch welche die ich jetzt noch gar nicht kenne das ich diese brauche.

Ich denke ich belasse es erst einmal so.
Das wichtige ist ja erst einmal das vom WAN die opnsense den Zugriff auf das interne Netz blockt.

Vielen Dank für die Erklärung.
Text only | Text with Images