Text only | Text with Images

OPNsense Forum

International Forums => German - Deutsch => Topic started by: xenon2008 on April 02, 2024, 06:33:56 PM

Title: Einsteiger Fragen zu OPNSense
Post by: xenon2008 on April 02, 2024, 06:33:56 PM
Nabend zusammen,

ich bräuchte bitte nochmals eure Hilfe...
Bin in der OPNSense noch ganz neu, aber wurschtl mich Step by Step durch.
Da ich von einer Sophus UTM aktuell umsteige, fallen mir immer wieder Sachen auf die hier einfach anders sind.

Aktuell stolpere ich bei folgendem:

Ich wollte eine Alias Gruppe für Ports machen, in der ich alle Ports für E-Mail Messaging hinterlege.
Meine Frage dazu wäre, kann man dort nicht auch irgendwie "POP3" , "SMTP" usw. auswählen?
Bei den Firewall Regeln geht das doch auch, sprich die sind ja irgendwo hinterlegt in der OPNSense.


Eine zweite Frage hätte ich dann auch noch, und zwar zu den Firewall Regeln.

Wenn ich sagen wir HTTP & HTTPS freigeben möchte, geht das nicht in einer Regel?
Ich kann beim Zielport zwar angeben "von" "to" aber dann macht er mir 80-443.
Und ich denke es wird hier dann die Portrange 80-443 freigegeben, wenn ich es richtig verstanden habe?

Danke & LG
Xenon
Title: Re: Einsteiger Fragen zu OPNSense
Post by: Patrick M. Hausen on April 02, 2024, 07:37:17 PM
Es gibt keine Gruppen für Ports. Nur für Objekte, die in irgendeiner Form Hosts, Netzwerke, FQDNs ... sind.

Du kannst aber natürlich alle Mailprotokolle und alle Webprotokolle in jeweils einer Regel verwenden.
Leg neue Aliase an:

Name: Port_Web, Typ: Port(s), Inhalt: 80, 443
Name: Port_Mail, Typ: Port(s), Inhalt: 25, 587, 110, 143, ...

Ich benutze bei allen Aliasen semantische Namen wie: Port_Foo, Net4_Bar, Host6_Baz, ...

Gruß
Patrick
Title: Re: Einsteiger Fragen zu OPNSense
Post by: Maurice on April 03, 2024, 01:48:49 PM
Quote from: xenon2008 on April 02, 2024, 06:33:56 PM
Ich wollte eine Alias Gruppe für Ports machen, in der ich alle Ports für E-Mail Messaging hinterlege.
Meine Frage dazu wäre, kann man dort nicht auch irgendwie "POP3" , "SMTP" usw. auswählen?

Nein, bei einem Port-Alias musst Du die Port-Nummern manuell eingeben.

Quote from: xenon2008 on April 02, 2024, 06:33:56 PM
Bei den Firewall Regeln geht das doch auch, sprich die sind ja irgendwo hinterlegt in der OPNSense.

Ja, die sind aber nur im Regel-Editor auswählbar, nicht im Alias-Editor.

Quote from: xenon2008 on April 02, 2024, 06:33:56 PM
Wenn ich sagen wir HTTP & HTTPS freigeben möchte, geht das nicht in einer Regel?

Doch, indem Du vorher einen Alias für Port 80 & 443 anlegst und diesen dann in der Firewall-Regel auswählst.

Quote from: xenon2008 on April 02, 2024, 06:33:56 PM
Ich kann beim Zielport zwar angeben "von" "to" aber dann macht er mir 80-443.
Und ich denke es wird hier dann die Portrange 80-443 freigegeben, wenn ich es richtig verstanden habe?

Richtig, ein Port Range ist nur in Ausnahmefällen sinnvoll.

Grüße
Maurice
Title: Re: Einsteiger Fragen zu OPNSense
Post by: xenon2008 on April 03, 2024, 07:37:42 PM
Hallo Patrick,

vielen lieben Dank für deine Antwort.
Verstehe, dann gibt es das in OPNSense wirklich nicht, ich dachte einfach ich hab falsch gesucht.

War es bisher von der Sophos UTM gewohnt, dass man die vordefinierten Dienste an allen Stellen im System verwenden kann.

Das "geile" ist, man kann bei den Port Alias Gruppen sehr wohl "FTP" "http" "https" usw. eingeben & die Firewall Regeln funktionieren damit lustigerweise auch.
Selbiges bei "IMAP"  & "SMTP" aber wenn man "IMAP/S" oder "SMTP/S" eingiebt, bekommt man einen Fehler :D
Aber das nur so als funfact am Rande.

hab mir meine Gruppe schon erstellt, und funktioniert soweit auch schon.

Dann konfiguriere ich mal weiter... hoffentlich steh ich nicht bald wieder vor dem nächsten Problem  :-[

LG
Title: Re: Einsteiger Fragen zu OPNSense
Post by: xenon2008 on April 03, 2024, 07:39:37 PM
Quote from: Maurice on April 03, 2024, 01:48:49 PM
Quote from: xenon2008 on April 02, 2024, 06:33:56 PM
Ich wollte eine Alias Gruppe für Ports machen, in der ich alle Ports für E-Mail Messaging hinterlege.
Meine Frage dazu wäre, kann man dort nicht auch irgendwie "POP3" , "SMTP" usw. auswählen?

Nein, bei einem Port-Alias musst Du die Port-Nummern manuell eingeben.

Quote from: xenon2008 on April 02, 2024, 06:33:56 PM
Bei den Firewall Regeln geht das doch auch, sprich die sind ja irgendwo hinterlegt in der OPNSense.

Ja, die sind aber nur im Regel-Editor auswählbar, nicht im Alias-Editor.

Quote from: xenon2008 on April 02, 2024, 06:33:56 PM
Wenn ich sagen wir HTTP & HTTPS freigeben möchte, geht das nicht in einer Regel?

Doch, indem Du vorher einen Alias für Port 80 & 443 anlegst und diesen dann in der Firewall-Regel auswählst.

Quote from: xenon2008 on April 02, 2024, 06:33:56 PM
Ich kann beim Zielport zwar angeben "von" "to" aber dann macht er mir 80-443.
Und ich denke es wird hier dann die Portrange 80-443 freigegeben, wenn ich es richtig verstanden habe?

Richtig, ein Port Range ist nur in Ausnahmefällen sinnvoll.

Grüße
Maurice

Hallo Maurice,

unsere beiden Posts haben sich gerade überschnitten, daher wollte ich dir auch nur nochmal kurz danke sagen.

Bzgl. der Portrange bei den Firewallregeln war ich mir einfach unsicher, weil in einem Video gezeigt wurde...
wällst du "http" & "https" aus, werden diese beiden Sachen freigegeben.
Tatsächlich wird dann aber die Portrange 80-443 freigegeben ^^

LG
Title: Re: Einsteiger Fragen zu OPNSense
Post by: Patrick M. Hausen on April 03, 2024, 07:48:08 PM
Was mal wieder zeigt, dass "beliebiges Video, das Google ausspuckt" sehr häufig ein schlechter Ratgeber ist. Haltet euch doch an die Dokumentation, Leute! Da sollte alles drin stehen, was man braucht:

https://docs.opnsense.org/manual/aliases.html
Title: Re: Einsteiger Fragen zu OPNSense
Post by: mooh on April 04, 2024, 05:22:23 PM
Möglicherweise helfen Dir die Firewall -> Gruppen weiter, wenn es das Ziel ist gleiche Regeln für mehrere Interfaces anzulegen. Das kann praktischer sein als für mehrere Interfaces die gleichen Regeln aus Aliases zusammenzubauen.
Text only | Text with Images