OPNsense Forum
International Forums => German - Deutsch => Topic started by: guest22082 on September 23, 2019, 12:43:14 pm
-
Hallo Opnsense-Gemeinde,
Ich habe ein Netzwerk mit mehreren einzelnen Netzwerken zuhause.
|
| VDSL
|
+-----+-----+
| Router |
+-----+-----+
.1 |
| Transfernetz 192.168.1.0/24 -> x.x.1.0
.2 |
+-----+-----+ x.x.2.1 /24 +----------+ +-----------+ +---------+
| +---------------+ DMZ +-------+ V-LAN +-------| 2 Srv |
| OPNSENSE | +----------+ | | +---------+
| | | konfig. |
| | x.x.3.1 /24 +----------+ | | +---------+
| +---------------+ WLAN +-------+ Switch +-------| WLAN-AP |
| | +----------+ | | +---------+
| | | |
| | x.x.4.1 /24 +----------+ | | +---------+
| +---------------+ GARTEN +-------+ +-------| 2 PRN |
| | +----------+ | | +---------+
| | | |
| | x.x.5.1 /24 +----------+ | | +---------+
| +---------------+ DRUCKER +-------+ +-------| 2 PC |
| | +----------+ | | +---------+
| | | |
| | x.x.6.1 /24 +----------+ | | +-------------+
| +---------------+ LAN +-------+ +-------| Wetterstat. |
| | +----------+ +-----------+ +-------------+
| |
| | x.x.7.1 /24 +----------+
| +---------------+ OPENVPN |
+-----------+ +----------+
Bis dato läuft auch alles, aber ich möchte die Teilnetze gerne mit der OPNsense separieren und gegenseitig abschotten.
Ich stelle mir da nur die Frage, wie ich die automatischen Regeln deaktivieren kann.
Vielleicht kann mir da einer ein Tip geben. Gesehen habe ich dafür auf anhieb keine Option.
MFG Uwe
Tante Edit
---> Es sind ungefähr 20 diverse Endgeräte im Gesamtnetzwerk
---> OPNSense ist natürlich auf dem aktuellen Stand
-
> Ich stelle mir da nur die Frage, wie ich die automatischen Regeln deaktivieren kann.
Welche automatischen Regeln? Es gibt per default nur eine any any Regel und zwar auf dem LAN. Und die kannst du problemlos löschen. Was ist also das Problem?
Der Firewall Default ist "block any" - da gibts keine "automatischen Regeln" die irgendwas zwischen den Netzen erlauben. Außer du hast deine VLANs auf Switch oder Sense nicht richtig aufgelegt. Ansonsten ist da standardmäßig gar nix erlaubt. (Verstehe auch den Router vornedran nicht so ganz aber ggf. ist der eben nötig, wir kennen ja alle manche Schmerzen).
-
Anbei die Autoregeln
-
@JeGr
In den neusten Versionen stehen bei den Rules die default rules mit oben bei (ausklappbar), aber nicht editierbar. Wobei die im Weg sind, weiss ich aber nicht ;-)
-
> In den neusten Versionen stehen bei den Rules die default rules mit oben bei (ausklappbar), aber nicht editierbar. Wobei die im Weg sind, weiss ich aber nicht ;-)
Ah danke, stimmt da kam was dazu, richtig. Aber genau. Wobei die stören weiß ich ebenfalls nicht. Vorher waren Sie da und man sah sie nicht, jetzt sind sie da und mal will sie ohne Grund loswerden... nuuun ;)
-
Naja ich wollte z.b. alles Blocken was mit IPV6 zutun hat.
Das ist bei mir nicht aktiviert / von relevanz.
Und somit hätte ich gerne die IPV6 Einträgt gelöscht.
Ich gehe immer hin und verfolge den Weg, alles was nicht expliziet nötig ist soll verboten sein.
Das heißt zum Beispiel Zugriff auf den Drucker brauch nur der Printserver, aber kein anderes
Endgerät. Wenn ein Endgerät drucken soll, soll er den Printserver anfragen ... und so weiter.
MFG Uwe
-
Hallo Uwe,
Ich gehe davon aus wenn IPv6 tatsächlich komplett deaktiviert ist auch keine IPv6 Regeln mehr auftauchen. Für die meisten Automatik-Regeln gibt es die Lupe ganz rechts die dich zur Option führt in der die Regel auch abgestellt werden kann.
Ansonsten müsste man über eine konkrete Regel sprechen bei der die oben genannten Dinge scheinbar versagen.
Grüsse
Franco
-
> Naja ich wollte z.b. alles Blocken was mit IPV6 zutun hat.
> Das ist bei mir nicht aktiviert / von relevanz.
Sorry wir haben 2019. IPv6 ist für jeden relevant, ob er es wahrhaben möchte oder nicht. Ein wenig wie Klima vs. Trump. Kann man drüber Twittern dass man den Mist nicht braucht - ändert nur am Ergebnis nichts.
Jedes gerade halbwegs aktuelle System hat/kennt IPv6. Also wärs Zeit - wenn man schon ein ordentliches Firewallprodukt einsetzt - sich ggf. auch ein wenig mit dem Ding zu beschäftigen. Und da Default-Block-Any immer noch gilt, ist die Frage an welchen Regeln du dich genau zum Thema v6 störst.
Grüße :)
-
>> Sorry wir haben 2019. IPv6 ist für jeden relevant, ob er es wahrhaben möchte oder nicht. Ein wenig wie Klima
>> vs. Trump. Kann man drüber Twittern dass man den Mist nicht braucht - ändert nur am Ergebnis nichts.
Sorry too -> aber intern ist intern und extern ist extern. Das ist wird auch 2021 so sein. Ich bin auf IPV4 angewiesen und warum sollte ich dann noch eine zusätzliche IPV6 Umgebung aufbauen die nicht nötig ist ?
>> Jedes gerade halbwegs aktuelle System hat/kennt IPv6. Also wärs Zeit - wenn man schon ein ordentliches
>> Firewallprodukt einsetzt - sich ggf. auch ein wenig mit dem Ding zu beschäftigen.
Als ich meine Prüfung zum MCITP-SA 2008 gemacht habe, war das Thema IPV6 auch schon Prüfungsrelevant. Daher habe ich mich schon mit beschäftigt. Aber ich würde lieber wieder zum Thema der Regelentfernung zurück gehen.......
>> Und da Default-Block-Any immer noch gilt, ist die Frage an welchen Regeln du dich genau zum Thema v6 störst.
Die V6 Regeln allgemein und dabei auch die ICMP V6 Regeln. Ich benötige Sie nicht und daher könnten Sie auch entfallen. Denn was nicht da ist, kann auch keine Fehler / ungewolltes Verhalten produzieren.
Desweitern möchte ich nicht, das irgendeine automatische Regel eine andere Regeln ggf ausser Kraft setzt, da ich die Reihenfolge der automatischen Regeln nicht beinflussen kann. Es ist ja auch egal, ob dieses verhalten sinnfrei oder sinnvoll ist.
Ich nehme dazu mal -- als Beispiel -- die löschbare Notregel herran, die mich schützt, das ich mich selber von der Firewall ausschliessen kann. -> das ist eine äusserst sinnvolle Regel.
Aber diese Regel hat auch den Nachteil, das Sie immer und immer wieder Ihre Anwendung im Log protokoliert.
Das bläht nur unnütz das Logsystem auf. Auch wenn ich nun diese Regel exakt nachbaue, habe ich nichts gewonnen, da die automatische Regel bevorzugt genommen wird. Da ich die Regelreihenfolge nicht ändern kann, muss ich Sie löschen und eine neue mit implementieren....
Mit freundlichem Gruß
Uwe
-
Hallo Uwe,
> Aber diese Regel hat auch den Nachteil, das Sie immer und immer wieder Ihre Anwendung im Log protokoliert.
Warum dann nicht abschalten? System: Settings: Administration.
> Die V6 Regeln allgemein und dabei auch die ICMP V6 Regeln.
Bitte Screenshot oder ganze Zeile kopieren, sonst ist es sprachlich nicht zu finden im Code...
Grüsse
Franco
-
Hallo Franco,
>> Aber diese Regel hat auch den Nachteil, das Sie immer und immer wieder Ihre Anwendung im Log protokoliert.
> Warum dann nicht abschalten? System: Settings: Administration.
Das war nur ein Beispiel um zu zeigen, dass die Autorules sich vordrängeln und warum ich dann die anderen löschen möchte. Das hab ich ja schon gegen eine eigene Regel ausgetauscht.
>> Die V6 Regeln allgemein und dabei auch die ICMP V6 Regeln.
> Bitte Screenshot oder ganze Zeile kopieren, sonst ist es sprachlich nicht zu finden im Code...
anbei der Screenshot
Mit freundlichem Gruß
Uwe
-
Deinen rant gegen ipv6 kann ich gut nachvollziehen, zumal wohl kaum ein lebender Mensch den Mist hinsichtlich "privacy and security" wirklich vernünftig konfigurieren kann. Ein feuchter NSA-Traum, imho....
Wäre wirklich schön, wenn bei deaktiviertem ipv6 (es gibt da ja mehrere Stellen in der opnsense...) auch die auto-generated rule wirklich NUR für ipv4 geschaffen werden...
-
Die erste IPv6 Regel ist "quick" also wird keine weitere IPv6 Regel treffen.
Die Regeln könnte man verstecken; jemand könnte sogar das einfache Coding dafür übernehmen. Hier ist der Code:
https://github.com/opnsense/core/blob/master/src/etc/inc/filter.lib.inc#L229
Übrigens wird Squid (Webproxy) nicht mehr starten wenn man IPv6 zu viel kürzt.
Cheers,
Franco