Text only | Text with Images

OPNsense Forum

International Forums => German - Deutsch => Topic started by: Syosse on July 24, 2023, 10:54:54 AM

Title: Firewall Regeln Best Practice oder Änderungsbedarf
Post by: Syosse on July 24, 2023, 10:54:54 AM
Hallo Zusammen :)

Ich bin gerade bei den Regeln am verzweifeln.

Ich habe mehrere VLANS : MGMT, VOIP, Client, DC, Guest und DMZ.

MGMT ist bsp. erlaubt in alle VLANs zu kommunizieren.

Ist dies so korrekt oder gibt es noch eine einfachere Regel ?

(https://abload.de/thumb/mgmtrulelgdy3.png) (https://abload.de/image.php?img=mgmtrulelgdy3.png)


Client ist bsp. erlaubt in VOIP, DC und ins Internet zu kommunizieren.

Soll ich hier Regeln erstellen die es erlaubt in beiden VLANS zu kommunizieren und wie mach ich dann noch eine Regel für Internet (WAN), wenn ich dort eine Regel erstelle Allow to Any Rule, dann kann es ja wiederum in alle VLANs kommunizieren ?

(https://abload.de/thumb/clientrulesfeat.png) (https://abload.de/image.php?img=clientrulesfeat.png)

Vielen herzlichen Dank
Gruss Syosse

Title: Re: Firewall Regeln Best Practice oder Änderungsbedarf
Post by: Patrick M. Hausen on July 24, 2023, 10:57:26 AM
Quote from: Syosse on July 24, 2023, 10:54:54 AM
Soll ich hier Regeln erstellen die es erlaubt in beiden VLANS zu kommunizieren und wie mach ich dann noch eine Regel für Internet (WAN), wenn ich dort eine Regel erstelle Allow to Any Rule, dann kann es ja wiederum in alle VLANs kommunizieren ?
Du baust zuerst eine Regel, die verbietet, wohin nicht kommuniziert werden darf, und danach die "allow all" Regel für das Internet.

Oder du machst einen Alias vom Typ Group, der alle Netze enthält, die verboten sind, und benutzt in der "allow" Regel ein "destination invert". Also "alles außer X ist erlaubt".
Title: Re: Firewall Regeln Best Practice oder Änderungsbedarf
Post by: Syosse on July 24, 2023, 11:03:53 AM
Quote from: Patrick M. Hausen on July 24, 2023, 10:57:26 AM
Quote from: Syosse on July 24, 2023, 10:54:54 AM
Soll ich hier Regeln erstellen die es erlaubt in beiden VLANS zu kommunizieren und wie mach ich dann noch eine Regel für Internet (WAN), wenn ich dort eine Regel erstelle Allow to Any Rule, dann kann es ja wiederum in alle VLANs kommunizieren ?
Du baust zuerst eine Regel, die verbietet, wohin nicht kommuniziert werden darf, und danach die "allow all" Regel für das Internet.

Oder du machst einen Alias vom Typ Group, der alle Netze enthält, die verboten sind, und benutzt in der "allow" Regel ein "destination invert". Also "alles außer X ist erlaubt".

Super Vielen Dank, werde es gleich versuchen und hier ein Feedback hinterlassen.
Title: Re: Firewall Regeln Best Practice oder Änderungsbedarf
Post by: Syosse on July 25, 2023, 08:20:37 AM
Quote from: Syosse on July 24, 2023, 11:03:53 AM
Quote from: Patrick M. Hausen on July 24, 2023, 10:57:26 AM
Quote from: Syosse on July 24, 2023, 10:54:54 AM
Soll ich hier Regeln erstellen die es erlaubt in beiden VLANS zu kommunizieren und wie mach ich dann noch eine Regel für Internet (WAN), wenn ich dort eine Regel erstelle Allow to Any Rule, dann kann es ja wiederum in alle VLANs kommunizieren ?
Du baust zuerst eine Regel, die verbietet, wohin nicht kommuniziert werden darf, und danach die "allow all" Regel für das Internet.

Oder du machst einen Alias vom Typ Group, der alle Netze enthält, die verboten sind, und benutzt in der "allow" Regel ein "destination invert". Also "alles außer X ist erlaubt".

Super Vielen Dank, werde es gleich versuchen und hier ein Feedback hinterlassen.

Hatt einweindfrei geklappt. Habe die 2 Variante erstellt mit Alias und Gruppen damit es weniger Regeln gibt und übersichtlicher ist.

Vielen herzlichen Dank

Text only | Text with Images