Messages

Ja, hab ein Alias für die Ports gesetzt (und bei der Gelegenheit gleich mal bisl aufgeräumt). :-)

Und Danke nochmal für die schnelle und wirksame Hilfe! Tolles Forum. Vielleicht liest man sich bei Gelegenheit mal wieder.

Damit ist der Thread für mich gelöst und kann geschlossen werden.

BG
bubber

Vielleicht noch eine Verständnisfrage:

Wenn ich perspektivisch einen Reverse-Proxy nutzen möchte (um Subdomains für andere Hosts zu nutzen) leitet dieser doch nur Port 80 und ggf. 443 weiter. Das heißt doch, dass ich die NAT-Regel trotzdem für die anderen Ports benötige oder?
Und dann muss ich explizit Port 80 und 443 aus meiner NAT-Regel herausnehmen oder?

Moin,
danke für die schnellen und guten Antworten!
Ich habe es nun hinbekommen:
- NAT-Regel in den Ports (von 23-50000) eingeschränkt. (Auf dem Host dahinter laufen mehrere Dienste die zum Teil viele Ports benötigen. Daher wäre mir das zu fummelig für jeden Port einzeln eine NAT-Regel anzulegen.)
- Port 22 kann ich nun sauber auf dem WAN-Interface blockieren
- Wireguard kann ich auf Port 51820 sauber behandeln

Danke für die Hinweise! Die zwei wichtigsten waren: Warum alle Ports weiterleiten?! Und NAT-Regeln greifen vor den FW-Regeln.
Damit ändert sich für die FW-Regeln das Interface/Subnet auf dem sie wirken müssen.

Nochmal danke für die schnelle und tolle Hilfe!
BG
bubber

Hallo,
ich bin neu hier und daher unerfahren.

Setup:
Ich nutze meine opnsense virtualisiert unter proxmox. Sie hängt hinter einem ISP-Router der im Bridge-Modus läuft. Sie hat neben WAN noch LAN und eine DMZ. In der DMZ habe ich einen Server laufen, den ich aus dem Internet erreichbar machen will.
Dazu habe ich ein vollständige Portweiterleitung gemacht. Das funktioniert auch tadellos.
Problem:
Nun möchte ich aber, Port 22 aus dem Internet komplett blockieren. Eine entsprechende Regel habe ich für das WAN-Interface angelegt und sie vor die (autom. generierte) NAT-Regel platziert. Leider greift sie aber nicht. Es wird einfach alles an den in der Portweiterleitung festgelegten Host weitergeleitet.
Das selbe Problem habe ich auch, wenn ich eine Wireguard-Instanz auf der Firewall laufen lassen möchte. Egal was ich eingestellt habe; Anfragen auf Port 51820 werden auch an den Host weitergeleitet statt von der Firewall/Wireguard behandelt zu werden.
Ich habe irgendwo gelesen (leider kann ich die Quelle auf die Schnelle nicht finden), dass bei NAT vor den "normalen" Regeln bearbeitet wird. Aber trotzdem muss es doch eine Möglichkeit geben, dass ich Wireguard nutzen oder ssh auf WAN blockieren kann?!?

Über Feedback oder Hinweise die mir bei der Lösung bzw. für das bessere Verständnis meines Problems helfen, wäre ich sehr dankbar!
BG
bubber