Ich will angenommen nur die Basis (53,67,68,80,443) erlauben für LAN1, alles andere was nach draußen will soll geblockt werden. Was rein und raus geht will ich nur durch Regeln erlauben.
Bei Angabe der Firewall als Zielhost müsste es lauten 192.168.1.1 statt 192.168.1.1/24 in dem Fall, oder ?
Hallo,
Quote from: cola247 on June 11, 2026, 10:26:06 PMWarum gibt es die Unterpunkte "Regeln" und "Rules [new]" parallel nebeneinander ? Welches verwendet man besser ?
weil OPNsense das Regel-System gerade umstellt. Regeln / Rules sind die bisherigen. "Rules (new)" die neuen. Aktuell gibt es wegen Rückwärtskompatibilität eine Überschneidung. Wer alte Regeln verwendet, muss sie noch innerhalb der 26.x Version auf neue konvertieren, soweit ich weiß.
Wenn du also neu startest, beginne gleich mit den "Rules (new)".
Quote from: cola247 on June 11, 2026, 10:26:06 PMNehmen wir die PASS Regel als Beispiel - ginge auch:
Eingehend IPv4 LAN1Netzwerk * Firewall DOMAIN(53) * * - quasi das komplette LAN1 Netzwerk sendet DNS an die Firewall ?
Das erlaubt Zugriff auf den lokalen DNS Server.
Betreibt man einen in OPNsense (ist standardmäßig aktiviert), wird auch eine solche Regel automatisch gesetzt. Ist doch vernünftig.
Quote from: cola247 on June 11, 2026, 10:26:06 PMWas bedeuted genau Eingehend und Ausgehend ??
Das ist die Sicht des Interfaces.
Regeln werden auf einem Interface definiert, bspw. LAN. Eingehend bedeutet, die Regel wird auf Traffic angewändt, der von einem LAN-Geräte rein kommt und irgendwo hingehen möchte (wohin, hängt von der Routingtabelle ab).
Ausgehend bedeuter eben, die Regel wird auf Traffic angewandt, der auf dem Interface raus geht.
Typischerweise definert man eingehende Regeln. Ausgehende für spezielle Zwecke.
Quote from: cola247 on June 11, 2026, 10:26:06 PMUnd warum wird das "Internes DNS erlauben" genauso eingestellt wie das "Externes DNS blockieren" ?
Wo ist diese Einstellung im Menü? Das sagt mir jetzt nichts.
Quote from: cola247 on June 11, 2026, 10:33:39 PMch will angenommen nur die Basis (53,67,68,80,443) erlauben für LAN1, alles andere was nach draußen will soll geblockt werden. Was rein und raus geht will ich nur durch Regeln erlauben.
Port 67,68 UDP auf die OPNsene ("This Firewall") wird auch automatisch erlaubt, wenn ein DHCP Server am Interface betrieben wird.
Dann gibt es noch die sog. "Anti-Lockout" Regel, die den Zugriff auf das Web-Interface auf den in
System: Settings: Administration eingestellten Interfaces erlaubt.
Wenn du Port 443 für interne Services nutzt, solltest du auch den Web GUI Port da auf einen anderen ändern.
Wenn du Port 80 nutzt, sollte "HTTP Redirect" deaktiviert werden.
Standardmäßig hat OPNsense am LAN eine Regel gesetzt, die alles erlaubt, damit man erstmal starten kann. Das gilt aber ausschließlich für LAN. Bei weiteren Interfaces ist von Haus aus nichts erlaubt.
Wenn du nur die Ports 80 u. 443 ins Internet erlauben möchtest, setze eine Regel am jeweiligen Interface für eingehenden Verkehr und Protokoll TCP/UDP und den entsprechenden Zielport.
Die Standard Erlaube-alles Regel kannst du dann deaktivieren.
Bei den mehreren Erlauben- u. Block-Regeln bedenke, dass OPNsene den Regelsatz von oben nach unten prüft. Treffen die Bedingungen einer zu, wird sie angewandt. Weiter Regeln kommen dann nicht mehr zum Tragen.
Zu den Bedingungen gehören Interface, Protokoll, Richtung, IP-Version, Quell- u. Ziel-IP u. -Port.
Ein häufiger Anfängerfehler ist auch "WAN net" als das Internet anzusehen. Wenn du Traffic ins Internet erlauben möchtest, muss das Ziel "Alles" sein.
Quote from: cola247 on June 11, 2026, 10:56:42 PMBei Angabe der Firewall als Zielhost müsste es lauten 192.168.1.1 statt 192.168.1.1/24 in dem Fall, oder ?
Wenn deine Firewall dieses Ziel hat, ja.
Ist das eine OPNsense Interface IP?
Wenn du Subnetze als Ziel oder Quelle verwendest, muss eine Netzwerkadresse angeben werden.