OPNsense Forum

International Forums => German - Deutsch => Topic started by: jho on January 11, 2017, 08:16:26 am

Title: [Gelöst] Anti Lockout Regel deaktivieren?
Post by: jho on January 11, 2017, 08:16:26 am
Moin Moin,

ich habe die aktuellste Version von OPNSense auf einem Zotac Barebone ZBOX RI323 installiert. Die Zbox hat lediglich 2 Netzwerkkarten und ist eigentlich für meine Zwecke vollkommen ausreichend.

Ich benutze sie nur für ein Gast Wlan mit einem Captive Portal und Vocher Server.

Jetzt hab ich aber das Problem das ich auf der LAN Schnittstelle dauerhaft Zugriff auf das Webinterface habe.

Anbei mal meine aktuellen Firewallregeln.

(http://img4host.net/upload/110810595875da83325db.PNG)

Kann man die "Anti Lockout Regel irgendwie deaktivieren? Und wenn ja, sollte ich laut meinen Regeln eigentlich nur über die  2.254 Zugriff auf das Webinterface bekommen oder?

Title: Re: Anti Lockout Regel deaktivieren?
Post by: Oxygen61 on January 11, 2017, 09:12:48 am
Hey hey,

die Anti-lockout Regel kriegt man leicht entfernt.
Siehe Bild :)
Warnung: Du musst dir vorher von deinem Konfigurationsrechner/Konfigurationsnetz Zugang auf die LAN Interface IP der Firewall auf Port 80 (HTTP) und/oder Port 443 (HTTPS) verschaffen.
Ansonsten sperrst du dich selbst aus.


Wegen deinen Regeln. Deine Allow Regel erlaubt der IP 192.168.2.254 aus dem LAN Netz nach draußen (outbound) ALLES(!) Jeder Port und jede IP. Wenn das gewollt war ist alles gut. Möchtest du aber wirklich nur auf die Weboberfläche kommen, reichen Port 443 und Port 80 vollkommen aus. In diesem Fall müsste man auch nicht alle IPs erlauben sondern nur den Zugriff auf die Weboberfläche also die IP des LAN-Interfaces der Firewall.

Generell wird mir ein bisschen mulmig wenn ich sehe, dass du WLAN und LAN miteinander gemischt hast.
Ich denke du siehst selber, dass die Allow Regeln relativ offen und großflächig formuliert wurden. (Jede Allow Regel ist streng genommen ein Loch in der Firewall.)
Das lässt sich wahrscheinlich in deiner Konstellation nicht vermeiden, aber da hätte ich alleine für die Trennung des Gastnetzes und dem LAN Admin Netz lieber 3 Netzwerkkarten genommen.
Aber sei es drum. Solange es funktioniert und du zufrieden bist. :)
(Nur vielleicht ein Denkanstoß falls du mal etwas Geld für eine APU übrig haben solltest. :P
Siehe: https://www.pcengines.ch/apu2.htm)

EDIT: Ich sehe grade, dass deine letzte Regel aus der LAN Seite heraus alles erlaubt was nicht vorher abgewiesen wurde. Tut mir leid, aber das macht ja mal gar keinen Sinn. Welchen Grund hätte man denn dann noch überhaupt eine Firewall zu betreiben wenn sie am Ende eh alles durchlässt?
Hast du dir schon mal einen Netzplan zusammengebastelt wo du dir mal ganz klar aufgeschrieben hattest, welche IPs und Netzbereiche du verwendest?
So sollte es dir viel viel leichter fallen die richtigen Regeln zu finden/definieren.
Welches Netz (Subnetz) darf was? Welcher Client (IP) darf was? Wenn er überhaupt was darf, welche Protokolle will ich überhaupt erlauben? Best Practise ist hierbei immer Port 80 und 443 für den Internetzugang/Weboberflächen Zugriff. Restliche sogenannte Well known Ports dann eben nur freischalten wenn sie denn auch wirklich gebraucht werden. (SSH Port 22 z.B.)

So wie es jetzt aussieht, darf irgendein Rechner der in deinem LAN Netz is sogar auf Port 33423 einen Dienst im Netz ansprechen. Warum sollte er das dürfen? :)
Hier siehst du eine Auflistung von Ports die du dir geöffnet hast: https://en.wikipedia.org/wiki/List_of_TCP_and_UDP_port_numbers
Es ist zwar super anstrengend aber lieber erst einmal alles verweigern und dann durch das versuchen (Trial and Error) und nachschauen im Firewall Log überprüfen welche Freischaltungen denn umgesetzt werden müssen. Wenn etwas nicht geht, kommen die Leute/Familie/Mitarbeiter eh sofort zu dir :P

EDIT2: Die Allow Captive Portal Regel kannst du auch dahingehend einschränken, dass du nur den Port erlaubst, der auch wirklich für das Captive Portal genutzt wird. (Das wird dir ja nach dem Redirect im Webbrowser eh angezeigt oben in der URL.)

Schöne Grüße
Oxy
Title: Re: Anti Lockout Regel deaktivieren?
Post by: jho on January 11, 2017, 09:16:18 am
Danke dir!

Hat super funktioniert.

Die Firewall regeln werde ich entpsrechend nochmal etwas anpassen.

Aber der ganze Aufbau dient wirklich nur dem Gast Wlan. Hardwareseitig ist alles vom normalen Netz getrennt. Es ist sogar ein eigenständiger Internetanschluss.
Title: Re: [Gelöst] Anti Lockout Regel deaktivieren?
Post by: Oxygen61 on January 11, 2017, 09:38:01 am
Hey hey,

achso alles klar. Na du machst das schon. :P
Wenns das Gästenetz ist und vom deinem privaten Netz physisch getrennt ist, würde ich mir auch über die "permit any any" Regel keinen Kopf mehr machen. Gäbe es die Trennung nicht, wär ich da sehr vorsichtig mit so einer Regel :) Am Ende steht immer ein "Deny any any" aotmatisch durch OPNsense und das is auch gut so. :P

Schöne Grüße und viel Spaß
Oxy
Title: Re: [Gelöst] Anti Lockout Regel deaktivieren?
Post by: kinch on January 10, 2018, 06:06:36 am
Hallo bin neu bei Opnsense-Forum und seit ca 5 Jahren mit pfsense unterwegs. Bin kürzlich auf opnsense gekommen und das Projekt gefällt mir ganz gut. Soviel dazu :)


Kann sein das es nicht mehr möglich ist die Anti-Lockout Regel bei 17.7.11 zu deaktivieren?
Finde den Eintrag und System->Settings->Administration nicht, wie es im Bild zu sehen war von Oxygen61.

??
Title: Re: [Gelöst] Anti Lockout Regel deaktivieren?
Post by: franco on January 10, 2018, 08:26:46 am
Hallöchen,

Wurde just verschoben, weil es ein Firewall Feature ist:

https://github.com/opnsense/changelog/blob/master/doc/17.7/17.7.11#L13

Also: Firewall: Settings: Advanced. :)


Grüsse
Franco
Title: Re: [Gelöst] Anti Lockout Regel deaktivieren?
Post by: kinch on January 12, 2018, 05:05:16 pm
Hey, Danke!