Hey,
ich habe eine Verstädnis frage.
ich habe auf wan mehrere geoblocks und blocklisten, dazu eine port forward regel für einen dienst. Diese regel ist angelegt , dass auf wan die entsprechend eregel mit angelegt wird.
greifen deswegen die blocks auf wan ? oder umgeht trotzdem das nat die regel? wie sollte man dann die blocklisten anlegen?
Liebe grüße
Leg Blocklisten als Floating Rule an, dann werden sie vor den NAT Regeln auf einem Interface bearbeitet. Das ist wichtig, wenn man in einer NAT Port Forward Regel die Association auf "Pass" gestellt hat.
So wie du es hast, hast du aber eine explizite Firewall-Regel für das Port Forwarding angelegt. Das geht auch. Dann guck einfach in die Firewall Regeln auf WAN - stehen die Blocks weiter oben als die Regel für das NAT, dann greifen sie. Sonst eben nicht. First Match gewinnt. (bei "quick")
HTH,
Patrick
Hallo Patrick!
Danke!!
dann verstehe ich es jetzt!
1. Regel Nat mit option pass = greift vor allen
2. Regel Nat mit gebundenen wan/lan regel , regel auf dem interface vorab greifen ( also blocklisten darüber) , aktuell nutze ich es so
3. Floating regel für blocklisten, greifen zuerst auch vor nat.
Danke dir!
Quote from: wirehire on October 27, 2025, 02:31:43 PM3. Floating regel für blocklisten, greifen zuerst auch vor nat.
Nope. NAT-Regeln greifen vor allen anderen. Mehr dazu hier (https://docs.opnsense.org/manual/firewall.html#processing-order) und hier (https://docs.netgate.com/pfsense/en/latest/nat/process-order.html#).
QuoteWarning
NAT rules are always processed before filter rules! So for example, if you define a NAT : port forwarding rules without a associated rule, i.e. Filter rule association set to Pass, this has the consequence, that no other rules will apply!
Floating vor Interface Groups vor Interfaces.
Innerhalb der einzelnen Ebenen dann NAT vor Filter.