Hallo Zusammen,
ich bin noch am Lernen und einarbeiten in OPNsense.
Ich hab hier im LAN einen Host, dem ich keinen WAN-Zugang gewähren möchte. VLAN ist hier nicht Thema.
Hab jetzt mehrere Möglichkeiten gefunden zu blocken - weis aber nicht, welche die richtige Regel und FW-konform ist.
1. Variante
Action: block oder reject
Interface: LAN
Protocol: any
Source: single host 192.168.2.87
Destination: any
Log: x
Description: Block Internet für 192.168.2.87
2. Variante
Action: block oder reject
Interface: LAN
Protocol: any
Source: single host 192.168.2.87
Destination invert: x
Destination: LAN net
Log: x
Description: Block Internet für 192.168.2.87
3. Variante
Aliase:
Name: aliase_private_ip_netze
Content: 10.0.0.0/8
172.16.0.0/12
192.168.0.0/16
100.64.0.0/10
127.0.0.0/8
169.254.0.0/16
Rule:
Action: block oder reject
Interface: LAN
Protocol: any
Source: single host 192.168.2.87
Destination invert: x
Destination: alias_private_ip_netze
Log: x
Description: Block Internet für 192.168.2.87
Klar ist, egal welche Variante richtig ist, die Rule muss an erster Stelle, im Regelsatz, stehen.
Welche der drei Varianten ist Richtige und enspricht den FW rules?
Variante 4:
Alias mit Mac Adresse von der Maschine erstellen und eine lan pass regel erstellen mit Quelle Ausnahme
dem Alias.
Quote from: Zapad on August 03, 2025, 09:32:04 AMAlias mit Mac Adresse von der Maschine erstellen und eine lan pass regel erstellen mit Quelle Ausnahme
dem Alias.
Hört sich auch nicht schlecht an.
Nach der Installation von OPNSense gibt es eine Regel, "Default allow LAN to any rule" und darin soll die Ausnahme mit hinein definiert werden?
Nur leider finde ich im Regelsatz keine Möglichkeit eine Ausnahme einzutragen.
Möchtest du mir bitte den kompletten Regelsatz hier schreiben? Und gibt es einen Grund meine drei Varianten nicht anzuwenden, wenn ja welchen?
bei Source musst du "quelle umkehren" anhacken und dein Alias mit Inhalt Mac Angeben.
Action: allow
Interface: LAN
Protocol: any
Source: "dein Alias" mit anhaken Quelle umkehren.
Destination: any
Log: x
Description: Alles erlauben ausser "dein Alias".
Danke für die schnelle Rückmeldung.
Source invert: x
Source: Alias "WAN-Ausschluß mit MAC"
Und das in die bestehende Standardregel "Default allow LAN to any rule" einfügen?
Sorry, lieber einmal zu viel gefragt, als dass dieser PC unbemerkt ins WAN geht.
ja so.
der PC soll ja Ausnahme bilden, also alles raus/rein ausser diesem.
(Häkchen setzen bei der Regel>protokol)
Du kannst ja mit einem Anderen testen zb Handy....
Einfach mac vom Handy nehmen alias erstellen und schauen ob du danach Auf dem Handy surfen kannst.
bei Firewall>Protokoll>liveansicht müsstest du einträge dazu finden.
Dann setze ich das mal so um. Und es lässt sich ja über die Aliase auf/mit mehrere MAC Adressen ausweiten.
Danke dir für die schnelle Hilfe.
.
So. Alles mit Quelle <Gerät>, das als Ziel NICHT LAN hat, wird rejected.