Messages

1

German - Deutsch / Re: Firewall 'default deny' auf WAN

« on: July 07, 2020, 10:43:32 pm »

Vielen Dank für eure Antworten!
Ich habe mit meinen Kollegen darüber gesprochen - noch bevor ich eure letzten Antworten gelesen habe- und deren Einschätzung war genau die selbe.

Mich freut es zu sehen, dass einer der Gründe, wieso ich mir das so gebaut habe, wie ich es betreibe, auch den Sinn erzielt, der mir dabei vorschwebte - zu sehen, was so alles bei mir ankommt. Das ist mit normalen Consumer Geräten schlichtweg nicht möglich.

Damit mache ich mir hierüber erst einmal weniger Gedanken. Vielen Dank.

2

German - Deutsch / Re: Firewall 'default deny' auf WAN

« on: July 05, 2020, 02:27:27 pm »

Kannst du mir zufällig sagen, was genau du da getan hast?
So wären bei mir schon mal weniger Einträge vorhanden, was mich beruhigen würde.

3

German - Deutsch / Re: Firewall 'default deny' auf WAN

« on: July 05, 2020, 09:32:08 am »

Sowohl als auch, was intern auf die Schnittstelle geht, sind, wie du bereits sagtest, hauptsächlich Broadcasts.
Da ich hier einen Dual Stack Anschluss habe, gehen entsprechend auch Anfragen diesbezüglich raus.
Sorgen mache ich mir aber um die, die rein kommen, obwohl ich die nicht erwarte.
Bei mir finden sich keinerlei Smart Home Gerät und Services biete ich auch nicht an (Webserver etc.).
Anfragen bei Suchmaschinen mit Inhalt einer der externen IP-Adressen resultieren in Webseiten, die diese Adressen Botnetzen und sowas zuordnen.

Zudem fällt mir nun auch auf, dass viele Anfragen über die WAN Schnittstelle nach außen gehen. Verschiedene Ports und verschiedene IP-Adressen (was normal ist), aber die Ports, von denen gesendet wird, stimmen nicht mit den Ports, auf denen es ankommen soll, überein. Das Label dazu ist 'let out anything from firewall host itself (force gw)'.
Das geht hauptsächlich an die Ports 80, 443 und 53, was ja normal ist, aber es kommt mir komisch vor, dass das bspw. von Port 36098 an 53 geht.

4

German - Deutsch / Firewall 'default deny' auf WAN

« on: July 05, 2020, 01:27:42 am »

Hallo alle miteinander.

Nachdem ich Anfang der Woche von Vodafone zur Telekom gewechselt bin, habe ich mich auch - rein aus Interesse und nicht aus Notwendigkeit - mit der Einrichtung von OPNsense befasst.
Ich bin derzeit als Systemadmin in Ausbildung tätig und möchte mir daher auch Alternativsysteme ansehen.

Meine OPNsense ist noch mehr oder weniger im 'Auslieferungszustand', weil ich ehrlich gesagt gerade keine wirkliche Verwendung, außer einer gewissen Transparenz meiner Verbindungen, habe.
Bei diesem Thema ist mir in den Live Firewall Logs jedoch aufgefallen, dass ich ziemlich viele eingehende Verbindungen auf meinem WAN-Interface habe, die von der 'default deny rule' behandelt werden.

Folgender Aufbau kommt bei mir zum Tragen:

Code: [Select]

WAN / Internet (Telekom BNG)
            :
            : TAE-Dose
            :
      .-----+-----.
      |  Gateway  |  Vigor 165 (Bridge Mode)
      '-----+-----'
            |
        WAN | PPPoE durchgereicht an OPNSense
            |
   .------------------.
   |  Hyper-V Host    |   192.168.254.3 (Host)
   |   .-----+------. |        virtueller Switch für 1x LAN & 1x WAN
   |   | OPNsense   | |
   |   '-----+------' |  192.168.254.1 (OPNsense VM)
   '------+----------'
            |
        LAN | 192.168.254.0/24
            |
      .-----+------.
      | LAN-Switch |
      '-----+------'
            |
    ...-----+------... (Clients/Servers)


Maschinen-Info:
OPNsense 20.1.8-amd64
FreeBSD 11.2-RELEASE-p20-HBSD
4 vCores
4GB RAM
VM mit PPPoE Einwahl
DHCP und DNS werden vom Host getragen

Ich hoffe mit der Darstellung wird ersichtlich, was ich hier mache.

Da ich mich auch auf Arbeit ein wenig mit der Thematik UTM auseinander gesetzt habe, irritiert mich diese 'default deny rule' - liege ich richtig in der Annahme, dass da scheinbar jemand versucht an meinem WAN offene Ports zu scannen um sich so einen Weg ins LAN zu suchen?
Bei der von uns (firmentechnisch) eingesetzten Lösung sieht das alles anders aus und auch ein solches Aufkommen bin ich nicht gewöhnt und habe nun ehrlich gesagt ein wenig Angst, dass sich schon innerhalb der ersten Woche jemand an meinem Netz vergreift. Das würde ich natürlich gerne verhindern.

Kann mir jemand diese Umstände womöglich passend erklären?