151
German - Deutsch / Re: Probleme mit DMZ bzw. anderen Subnetze
« on: June 04, 2018, 09:25:25 pm »
Du hast auf dem LAN Interface eine Regel, die der Source "LAN_net" alle Services zu allen Destinations erlaubt.
Die Regel matcht sobald Du von einem LAN Client z.B. einen Host in der DMZ anpingst. Danach wird die Regelverarbeitung abgebrochen, d.h. die Deny-Regel auf dem Interface "DMZ" kommt gar nicht mehr zum Einsatz.
Generell blockt man den Traffic da wo er entsteht. Wenn Du mit der Deny-Regel arbeiten willst, müsste die also auf dem LAN-Interface liegen. Und dann auch vor der Allow-Regel.
Aber eigentlich ist das gar nicht notwendig, denn die Default-Deny-Regel blockt den Verkehr zwischen den verschiedenen Subnetzen wenn dieser nicht durch eine vorherige Regel erlaubt wird.
Um den LAN Clients den Zugriff auf das Internet zu erlauben, und den Zugriff auf die DMZ zu verbieten müsste die Regel auf dem LAN Interface m. E. wie folgt aussehen:
Interface: LAN
Action: Allow
Source: LAN_net
Destination: !Local_Subnets
Weitere Regeln sind auf dem LAN Interface nicht notwendig. Deny-Regeln für Kommunikation vom LAN_net zur DMZ auf dem DMZ Interface kannst Du löschen.
EDIT: Ich hatte vorher auch die Sophos UTM, und das man bei der OPNsense Regel pro Interface anlegen kann war für mich auch gewöhnungsbedürftig. Ist aber eine coole Sache wenn man es einmal verstanden hat
Die Regel matcht sobald Du von einem LAN Client z.B. einen Host in der DMZ anpingst. Danach wird die Regelverarbeitung abgebrochen, d.h. die Deny-Regel auf dem Interface "DMZ" kommt gar nicht mehr zum Einsatz.
Generell blockt man den Traffic da wo er entsteht. Wenn Du mit der Deny-Regel arbeiten willst, müsste die also auf dem LAN-Interface liegen. Und dann auch vor der Allow-Regel.
Aber eigentlich ist das gar nicht notwendig, denn die Default-Deny-Regel blockt den Verkehr zwischen den verschiedenen Subnetzen wenn dieser nicht durch eine vorherige Regel erlaubt wird.
Um den LAN Clients den Zugriff auf das Internet zu erlauben, und den Zugriff auf die DMZ zu verbieten müsste die Regel auf dem LAN Interface m. E. wie folgt aussehen:
Interface: LAN
Action: Allow
Source: LAN_net
Destination: !Local_Subnets
Weitere Regeln sind auf dem LAN Interface nicht notwendig. Deny-Regeln für Kommunikation vom LAN_net zur DMZ auf dem DMZ Interface kannst Du löschen.
EDIT: Ich hatte vorher auch die Sophos UTM, und das man bei der OPNsense Regel pro Interface anlegen kann war für mich auch gewöhnungsbedürftig. Ist aber eine coole Sache wenn man es einmal verstanden hat