OPNsense Forum
International Forums => German - Deutsch => Topic started by: jinn on December 28, 2018, 12:39:30 pm
-
Hallo zusammen,
ich bin gerade dabei die OPNsense um eine DMZ zu erweitern.
LAN: 172.16.0.0/21
DMZ: 172.16.18.0/23
Bei den Regeln hatte ich das Problem, dass der Server aus der DMZ nicht auf den DNS im LAN zugreifen konnte.
Regel hatte ich folgendermaßen erstellt:
Interface: DMZ
Prot: UDP
Source: DMZ_Net
Dest: DNS_Server (Alias Gruppe)
Dest_Port: DNS
Interface: LAN
Prot: UDP
Source: DMZ_Net
Dest: DNS_Server (Alias Gruppe)
Dest_Port: DNS
Über eine Floating Rule funktionierte es dann:
Interface: DMZ, LAN
Prot: UDP
Source: DMZ_Net
Dest: DNS_Server (Alias Gruppe)
Dest_Port: DNS
Was mich aber mehr überrascht ist die Tatsache, dass ich auf Port 8080 in der DMZ zugreifen kann ohne dafür eine Regel erstellt zu haben.
IP: 172.16.2.123
DMZ: 172.16.19.5
Log:
action: pass
dir: out
dst: 172.16.19.5
dstport:8080
interface: lagg1 (DMZ LAGG)
label: let out anything from firewall host itself
protoname: tcp
reason: match
src: 172.16.2.123
Woran kann das liegen? Das sollte so ja auf keinen Fall funktionieren
-
Um dazu etwas zu sagen müsste man alle Regeln auf deinem LAN kennen. Eine any-any Regel reicht und die Verbindung zwischen deinen Interfaces/Netzen steht offen....
-
danke, tatsächlich ist noch eine any-to-any vom lan in die DMZ regel aktiv -.-*
müsste es nicht dennoch eine income regel für die DMZ geben?
-
Nein, Paket werden EINMAL evaluiert, an Hand der Firewallregeln für das ERSTE Interface, auf das sie treffen...
-
super, vielen dank! dann kann ich mir die "doppelten regeln" ja sparen >_<