OPNsense Forum

International Forums => German - Deutsch => Topic started by: theq86 on January 03, 2018, 09:38:17 pm

Title: [gelöst] Firewall Frage bezüglich Reihenfolge
Post by: theq86 on January 03, 2018, 09:38:17 pm

Hallo, ich habe folgende Regeln:

LAN: IPv4+6 | Quelle:LAN-Netzwerk | Ziel: * | erlauben
WAN: IPv4+6 | Quelle:* | Ziel: * | blockieren

Von der Reihenfolge liegen beide Regeln ganz oben in ihrem jeweiligen Tab.

Meine Frage: Warum greift die Block-Regel in WAN nicht? Ich kann von allen Clients aus ins Internet.
Normalerweise kommt ein Paket von meinem Client ja über LAN rein. LAN sagt ich darf überall hin und lässt das Paket durch. Jetzt muss das Paket ja über die WAN Schnittstelle, weil es ins Internet will. WAN müsste jetzt eigentlich sagen: Mir alles egal, hier kommt nix durch! Tut es aber nicht.

Darum die Frage: Sorgt der Positivtreffer auf LAN automatisch auch für ein Durchlassen auf WAN ???

Title: Re: Firewall Frage bezüglich Reihenfolge
Post by: fabian on January 03, 2018, 09:42:10 pm

die Regeln filtern eingehend und nicht ausgehend - zusätzlich ist pf stateful. Das heißt wenn das Paket durch ist, werden auch die folgenden erlaubt.

Title: Re: Firewall Frage bezüglich Reihenfolge
Post by: theq86 on January 03, 2018, 09:45:30 pm

Gut zu wissen. Ich dachte bisher, ich kann je nachdem wie ich Source und Dest wähle entscheiden, ob es eine in oder out Regel ist. Und dass Pakete beim Eingehen und beim Ausgehen vom Interface behandelt werden.

Daher macht ja dann eine Regel wie die "Default allow LAN to any rule" (das ist die erste Regel aus meinem Vorpost) gar keinen Sinn ?!?

Edit: Einen Moment nachdenken ... denk ...denk ... denk ...

Für die FW ist ja meine ausgehende Clientverbindung eine auf LAN eingehende. Also macht sie schon Sinn.

Title: Re: [gelöst] Firewall Frage bezüglich Reihenfolge
Post by: chemlud on January 04, 2018, 12:26:20 am

Ohne die "allow any"  Regel auf LAN geht gar nichts raus. MIT der Regel, darf ALLES raus. Keine gute Wahl. Eine "allow any" Regel sollte man (wenn überhaupt) höchstens zum Testen kurz einrichten, dann seine allow Regeln für spezielle Clients im LAN/Ports definieren.

Stateful bedeutet: Wenn du eine allow Regel im LAN hast und damit eine Adresse im WAN kontaktierst werden auch die Pakete am WAN Interface durchgelassen (da beim verlassen der Pakte durch das WAN Interface ein State in die entsprechende Tabelle eingetragen wurde. Daher kann z.B. bei Regeln mit Schedule auch nach dem block im Schedule noch Datenverkehr fließen (da bereits ein State besteht). Nur wenn du auch die States zu dem betreffenden  Client killst wird SICHER nach dem erreichen der Sperrzeit im Schedule auch der Datenaustausch unterbunden...