46
German - Deutsch / Re: Firewall "härten"
« on: March 21, 2019, 05:05:24 pm »Quote
wenn du kein Angriffsszenario siehst, in dem ICMP intern bei dir eine Rolle spielt, sehe ich keinen Grund ICMP intern überhaupt zu blocken.Wie gesagt, ich mach das primär aus Lerngründen. Aber spricht aus Deiner Sicht etwas gegen einen generellen Kompromiss zwischen "nur was gebraucht wird" und "alles offen"? Das ist ja auch das Credo in den von uns verlinkten Artikeln.
Quote
Dass man auf dem WAN eingehend filtert, klar warum nicht. Was man hier durchlassen kann und was nicht, steht ja unter anderem bei den Links mit bei.Ja, da scheint mir dein zweiter Link sehr hilfreich, zumindest was IPv6 betrifft. Vielen Dank hierfür.
"Recommendations for ICMPv6 Transit Traffic" ist erst dann ein Thema, wenn Services von aussen her erreichbar sind (z. B. Mailserver) oder generell auch für den Verkehr von Clients ins Internet? Umsetzen kann man das momentan auf der Sense sowieso nicht, da fehlen zu viele ICMP Typen in der Auswahl. Ich frage mich, ob vielleicht gewisse Dinge standardmässig durchgelassen werden. Auf die Schnelle habe ich nichts in die Richtung gefunden.
Und wie verhält es sich bei IPv4 auf dem WAN-Interface? Ist da die Freigabe von gewissen ICMP-Typen wichtig? Das ist mir nach dem Lesen all dieser Artikel noch nicht klar.
Quote
Der "PF" kennt bei icmp "stateful", auch wenn es das Protokoll eigentlich nicht kann und lässt somit automatisch "replys" raus wenn ein "request" eingehend erlaubt wurde.Pure Magie! Danke fürs Bretter entfernen.
Quote
Time Exceeded tritt bei nem normalen Ping ja eigentlich eher selten auf.Ist es nicht so, dass wenn ich ICMP Time Exceeded blocke, ein Traceroute nicht funktionieren dürfte?
Quote
OPNsense unterscheidet hier leider in der Auswahl bei IPv4 und IPv6 überhaupt nicht nach Typen.Oh, huch, man kann sogar unsinnige Kombinationen speichern.
Quote
Das wäre ggf. ein Fall für ein Feature Request bzw. Bugreport, dass hier die Oberfläche überhaupt nicht unterscheidet zwischen 4 und 6, sondern immer alle ihr bekannten Typen (und dazu etwas wenige) anbietet.Unbedingt. Vielleicht wäre es zudem sinnvoll, zusätzlich zu den Bezeichnungen, auch noch (Type x, Code y) anzuzeigen. Und wie wäre es, wenn man mehrere Typen in einer Regel selektieren/zusammenfassen könnte?