OPNsense Forum
International Forums => German - Deutsch => Topic started by: Kruemel on April 07, 2018, 02:47:42 pm
-
Moin,
meine OPNSense steht hinter einem Telekom Speedport Hybrid Router und hat als WAN Adresse die 192.168.0.2. Das LAN ist 192.168.1.0/24, daneben gibt es mehrere Netze für WLAN, Gäste WLAN und IoT Netz.
Wenn ich nun z.B. aus dem Gäste oder IoT Netz Zugang für Port 80 und 443 fürs Internet aufmache, muss ich bei Destination "any" angehen, denn das WAN Interface ist für die opnsense in meinem Fall ja nicht "das Internet".
Somit stehen aber auch interne Dienste den potenziellen Angreifern in diesem Netz, z.B. der Reverse Proxy der opnsense oder auch andere HTTP Dienste im LAN.
Wie kann ich also Zugriff ins Internet gewähren, ohne gleichzeitig meine anderen Netze zu öffnen?
Danke und VG
Krümel
-
Hi ohne jetzt dein Setup im Detail zu kennen.
Am besten du legst einen Alias an mit RFC1918 an und hinterlegst dort die privaten IP-Adressen, sowie einen Alias mit Port 80/443. Eine allow Internet Regel würde dann so aussehen.
Source (Netz was du freigeben möchtest) Port *
Destination !RFC1918 (wichtig ist das invert daher alle NICHT privaten Adressen) Port 80/443
Somit ist mit dieser Regel nur der Traffic zu nicht privaten Adressen (Internet) erlaubt, alles andere wird per Default gedroppt.
Mach dich auch noch mit OpnSense vertraut wie die Rules behandelt werden, findest im Netz einiges dazu.
lg
-
Super, vielen Dank - funktioniert.
Auf die Idee wär ich selber wohl nie gekommen....
VG
Krümel
-
Hab doch nochmal ne Frage:
Wie verhält es sich bei folgenden zwei Regeln:
1. Erlaube Port 1234/TCP für alles !RFC1918 (=> Internet außer private IPs)
2. Erlaube Port 1234/TCP für IP 192.168.1.2
Regel 2 wird ja eigentlich durch Regel 1 verboten?!?
-
nein wird sie nicht, in dem fall sind alle öffentlichen IP-Adressen und der reservierte Bereich (Multicast, Testnetze etc.) und die IP 192.168.1.2 auf Port TCP/1234 erlaubt.
Vermutlich nachwievor verboten sind alle anderen RFC 1918 IPs.