Text only | Text with Images

OPNsense Forum

International Forums => German - Deutsch => Topic started by: Mathias on January 31, 2023, 11:17:50 AM

Title: DMZ Netz Zugriff nur ins Internet aber nicht ins LAN
Post by: Mathias on January 31, 2023, 11:17:50 AM
Hallo,

ich habe an meiner Opnsense 3 Interface. WAN, LAN und DMZ. Ich möchte dass das LAN Netz ins Internet kommt und ins DMZ Netz. Ich möchte auch dass das DMZ Netz ins Internet kommt, aber keinen Zugriff ins LAN Netz hat. Ich habe jetzt die Regeln angelegt, doch leider kommt das DMZ Netz auch ins LAN Netz, was habe ich denn falsch gemacht?
Title: Re: DMZ Netz Zugriff nur ins Internet aber nicht ins LAN
Post by: chemlud on January 31, 2023, 11:21:28 AM
FW-Regel für DMZ: allow any any. Und "any" schließt halt auch das LAN ein. Das ist keine FW-Regel, dass ist eine Katastrophe... ;-)
Title: Re: DMZ Netz Zugriff nur ins Internet aber nicht ins LAN
Post by: Mathias on January 31, 2023, 11:25:32 AM
Wie sollte Regel aussehen, dass die DMZ nur ins Internet darf und nicht ins LAN? Warum darf die DMZ ins LAN, wenn es auf dem LAN Interface keine Regel für eingehend gibt? Ist es nicht so, dass wenn es keine Regel für Eingehend gibt, dass der Tarffic dann geblockt wird?
Title: Re: DMZ Netz Zugriff nur ins Internet aber nicht ins LAN
Post by: chemlud on January 31, 2023, 12:06:14 PM
Ohje, da fehlen alle Grundlagen einer stateful firewall...

"Das Internet" sind deine gewünschten Ports (443/80 und ggf. andere, z.B. 53, wenn du nicht mit der Sense dein DNS machst) AUßER den privaten IP-Bereichen (also z.B. dein LAN oder genereller alle privaten IP-.Bereiche, 192.168.... 172.16... 10....).
Title: Re: DMZ Netz Zugriff nur ins Internet aber nicht ins LAN
Post by: Mathias on January 31, 2023, 12:13:18 PM
Wenn ich eine Regel anlege DNZ NETZ > ICMP > WAN Netzwerk, dann sollte doch der Ping nur ins Internet erlaubt sein oder?
Title: Re: DMZ Netz Zugriff nur ins Internet aber nicht ins LAN
Post by: chemlud on January 31, 2023, 12:15:11 PM
WAN-Netz ist wieder was anderes. Das ist das Netz, das an deinem WAN-Interface anliegt, nicht "das Internet"
Title: Re: DMZ Netz Zugriff nur ins Internet aber nicht ins LAN
Post by: Mathias on January 31, 2023, 12:30:06 PM
welche Netz muss ich dann als Ziel auswählen? Wähle ich Any aus, kann ich auch ins LAN Netz pingen.
Title: Re: DMZ Netz Zugriff nur ins Internet aber nicht ins LAN
Post by: Patrick M. Hausen on January 31, 2023, 01:34:11 PM
LAN und "destination invert". Das bedeutet alles außer LAN.

Oder du machst erst eine deny Regel mit Ziel LAN und danach eine allow Regel mit Ziel any.
Title: Re: DMZ Netz Zugriff nur ins Internet aber nicht ins LAN
Post by: Mathias on January 31, 2023, 03:28:20 PM
Hi, danke für die Hilfe, damit hat es funktioniert.
Title: Re: DMZ Netz Zugriff nur ins Internet aber nicht ins LAN
Post by: chemlud on January 31, 2023, 03:31:53 PM
Quote from: pmhausen on January 31, 2023, 01:34:11 PM
LAN und "destination invert". Das bedeutet alles außer LAN.


Obacht! Wenn später noch ein OPT1 etc dazukommt, steht das dann in der DMZ. Lieber ein Alias mit allen lokalen Netzen und dann diesen mit invert für die FW-Regel verwenden.
Title: Re: DMZ Netz Zugriff nur ins Internet aber nicht ins LAN
Post by: misery on February 01, 2023, 08:28:58 AM
Du kannst auch GeoIP einrichten und dann dort einen Alias anlegen. Hat auch den Vorteil, dass man den "Rest" auch ein wenig eingrenzt. Ich wüsste z.B. nicht wieso meine DMZ nach Nordkorea & Co telefonieren sollte.
Text only | Text with Images