Home
Help
Search
Login
Register
OPNsense Forum
»
International Forums
»
German - Deutsch
»
Automatische Regeln entfernen
« previous
next »
Print
Pages: [
1
]
Author
Topic: Automatische Regeln entfernen (Read 4430 times)
guest22082
Guest
Automatische Regeln entfernen
«
on:
September 23, 2019, 12:43:14 pm »
Hallo Opnsense-Gemeinde,
Ich habe ein Netzwerk mit mehreren einzelnen Netzwerken zuhause.
|
| VDSL
|
+-----+-----+
| Router |
+-----+-----+
.1 |
| Transfernetz 192.168.1.0/24 -> x.x.1.0
.2 |
+-----+-----+ x.x.2.1 /24 +----------+ +-----------+ +---------+
| +---------------+ DMZ +-------+ V-LAN +-------| 2 Srv |
| OPNSENSE | +----------+ | | +---------+
| | | konfig. |
| | x.x.3.1 /24 +----------+ | | +---------+
| +---------------+ WLAN +-------+ Switch +-------| WLAN-AP |
| | +----------+ | | +---------+
| | | |
| | x.x.4.1 /24 +----------+ | | +---------+
| +---------------+ GARTEN +-------+ +-------| 2 PRN |
| | +----------+ | | +---------+
| | | |
| | x.x.5.1 /24 +----------+ | | +---------+
| +---------------+ DRUCKER +-------+ +-------| 2 PC |
| | +----------+ | | +---------+
| | | |
| | x.x.6.1 /24 +----------+ | | +-------------+
| +---------------+ LAN +-------+ +-------| Wetterstat. |
| | +----------+ +-----------+ +-------------+
| |
| | x.x.7.1 /24 +----------+
| +---------------+ OPENVPN |
+-----------+ +----------+
Bis dato läuft auch alles, aber ich möchte die Teilnetze gerne mit der OPNsense separieren und gegenseitig abschotten.
Ich stelle mir da nur die Frage, wie ich die automatischen Regeln deaktivieren kann.
Vielleicht kann mir da einer ein Tip geben. Gesehen habe ich dafür auf anhieb keine Option.
MFG Uwe
Tante Edit
---> Es sind ungefähr 20 diverse Endgeräte im Gesamtnetzwerk
---> OPNSense ist natürlich auf dem aktuellen Stand
Logged
JeGr
Hero Member
Posts: 1945
Karma: 227
old man standing
Re: Automatische Regeln entfernen
«
Reply #1 on:
September 23, 2019, 04:01:43 pm »
> Ich stelle mir da nur die Frage, wie ich die automatischen Regeln deaktivieren kann.
Welche automatischen Regeln? Es gibt per default nur eine any any Regel und zwar auf dem LAN. Und die kannst du problemlos löschen. Was ist also das Problem?
Der Firewall Default ist "block any" - da gibts keine "automatischen Regeln" die irgendwas zwischen den Netzen erlauben. Außer du hast deine VLANs auf Switch oder Sense nicht richtig aufgelegt. Ansonsten ist da standardmäßig gar nix erlaubt. (Verstehe auch den Router vornedran nicht so ganz aber ggf. ist der eben nötig, wir kennen ja alle manche Schmerzen).
Logged
"It doesn't work!" is no valid error description!
- Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense as no(n)sense!
If you're interested in german-speaking business support, feel free to reach out via PM.
guest22082
Guest
Re: Automatische Regeln entfernen
«
Reply #2 on:
September 23, 2019, 04:20:10 pm »
Anbei die Autoregeln
Logged
chemlud
Hero Member
Posts: 2485
Karma: 112
Re: Automatische Regeln entfernen
«
Reply #3 on:
September 23, 2019, 04:37:30 pm »
@JeGr
In den neusten Versionen stehen bei den Rules die default rules mit oben bei (ausklappbar), aber nicht editierbar. Wobei die im Weg sind, weiss ich aber nicht ;-)
Logged
kind regards
chemlud
____
"The price of reliability is the pursuit of the utmost simplicity."
C.A.R. Hoare
felix eichhorns premium katzenfutter mit der extraportion energie
A router is not a switch - A router is not a switch - A router is not a switch - A rou....
JeGr
Hero Member
Posts: 1945
Karma: 227
old man standing
Re: Automatische Regeln entfernen
«
Reply #4 on:
September 23, 2019, 04:42:25 pm »
> In den neusten Versionen stehen bei den Rules die default rules mit oben bei (ausklappbar), aber nicht editierbar. Wobei die im Weg sind, weiss ich aber nicht ;-)
Ah danke, stimmt da kam was dazu, richtig. Aber genau. Wobei die stören weiß ich ebenfalls nicht. Vorher waren Sie da und man sah sie nicht, jetzt sind sie da und mal will sie ohne Grund loswerden... nuuun
Logged
"It doesn't work!" is no valid error description!
- Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense as no(n)sense!
If you're interested in german-speaking business support, feel free to reach out via PM.
guest22082
Guest
Re: Automatische Regeln entfernen
«
Reply #5 on:
September 23, 2019, 07:21:46 pm »
Naja ich wollte z.b. alles Blocken was mit IPV6 zutun hat.
Das ist bei mir nicht aktiviert / von relevanz.
Und somit hätte ich gerne die IPV6 Einträgt gelöscht.
Ich gehe immer hin und verfolge den Weg, alles was nicht expliziet nötig ist soll verboten sein.
Das heißt zum Beispiel Zugriff auf den Drucker brauch nur der Printserver, aber kein anderes
Endgerät. Wenn ein Endgerät drucken soll, soll er den Printserver anfragen ... und so weiter.
MFG Uwe
Logged
franco
Administrator
Hero Member
Posts: 17661
Karma: 1611
Re: Automatische Regeln entfernen
«
Reply #6 on:
September 24, 2019, 07:45:01 am »
Hallo Uwe,
Ich gehe davon aus wenn IPv6 tatsächlich komplett deaktiviert ist auch keine IPv6 Regeln mehr auftauchen. Für die meisten Automatik-Regeln gibt es die Lupe ganz rechts die dich zur Option führt in der die Regel auch abgestellt werden kann.
Ansonsten müsste man über eine konkrete Regel sprechen bei der die oben genannten Dinge scheinbar versagen.
Grüsse
Franco
Logged
JeGr
Hero Member
Posts: 1945
Karma: 227
old man standing
Re: Automatische Regeln entfernen
«
Reply #7 on:
September 25, 2019, 05:24:39 pm »
> Naja ich wollte z.b. alles Blocken was mit IPV6 zutun hat.
> Das ist bei mir nicht aktiviert / von relevanz.
Sorry wir haben 2019. IPv6 ist für jeden relevant, ob er es wahrhaben möchte oder nicht. Ein wenig wie Klima vs. Trump. Kann man drüber Twittern dass man den Mist nicht braucht - ändert nur am Ergebnis nichts.
Jedes gerade halbwegs aktuelle System hat/kennt IPv6. Also wärs Zeit - wenn man schon ein ordentliches Firewallprodukt einsetzt - sich ggf. auch ein wenig mit dem Ding zu beschäftigen. Und da Default-Block-Any immer noch gilt, ist die Frage an welchen Regeln du dich genau zum Thema v6 störst.
Grüße
Logged
"It doesn't work!" is no valid error description!
- Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense as no(n)sense!
If you're interested in german-speaking business support, feel free to reach out via PM.
guest22082
Guest
Re: Automatische Regeln entfernen
«
Reply #8 on:
September 30, 2019, 11:36:26 am »
>> Sorry wir haben 2019. IPv6 ist für jeden relevant, ob er es wahrhaben möchte oder nicht. Ein wenig wie Klima
>> vs. Trump. Kann man drüber Twittern dass man den Mist nicht braucht - ändert nur am Ergebnis nichts.
Sorry too -> aber intern ist intern und extern ist extern. Das ist wird auch 2021 so sein. Ich bin auf IPV4 angewiesen und warum sollte ich dann noch eine zusätzliche IPV6 Umgebung aufbauen die nicht nötig ist ?
>> Jedes gerade halbwegs aktuelle System hat/kennt IPv6. Also wärs Zeit - wenn man schon ein ordentliches
>> Firewallprodukt einsetzt - sich ggf. auch ein wenig mit dem Ding zu beschäftigen.
Als ich meine Prüfung zum MCITP-SA 2008 gemacht habe, war das Thema IPV6 auch schon Prüfungsrelevant. Daher habe ich mich schon mit beschäftigt. Aber ich würde lieber wieder zum Thema der Regelentfernung zurück gehen.......
>> Und da Default-Block-Any immer noch gilt, ist die Frage an welchen Regeln du dich genau zum Thema v6 störst.
Die V6 Regeln allgemein und dabei auch die ICMP V6 Regeln. Ich benötige Sie nicht und daher könnten Sie auch entfallen. Denn was nicht da ist, kann auch keine Fehler / ungewolltes Verhalten produzieren.
Desweitern möchte ich
nicht
, das irgendeine automatische Regel eine andere Regeln ggf ausser Kraft setzt, da ich die Reihenfolge der automatischen Regeln nicht beinflussen kann. Es ist ja auch egal, ob dieses verhalten sinnfrei oder sinnvoll ist.
Ich nehme dazu mal -- als Beispiel -- die löschbare Notregel herran, die mich schützt, das ich mich selber von der Firewall ausschliessen kann. -> das ist eine äusserst sinnvolle Regel.
Aber diese Regel hat auch den Nachteil, das Sie immer und immer wieder Ihre Anwendung im Log protokoliert.
Das bläht nur unnütz das Logsystem auf. Auch wenn ich nun diese Regel exakt nachbaue, habe ich nichts gewonnen, da die automatische Regel bevorzugt genommen wird. Da ich die Regelreihenfolge nicht ändern kann, muss ich Sie löschen und eine neue mit implementieren....
Mit freundlichem Gruß
Uwe
Logged
franco
Administrator
Hero Member
Posts: 17661
Karma: 1611
Re: Automatische Regeln entfernen
«
Reply #9 on:
September 30, 2019, 05:06:17 pm »
Hallo Uwe,
> Aber diese Regel hat auch den Nachteil, das Sie immer und immer wieder Ihre Anwendung im Log protokoliert.
Warum dann nicht abschalten? System: Settings: Administration.
> Die V6 Regeln allgemein und dabei auch die ICMP V6 Regeln.
Bitte Screenshot oder ganze Zeile kopieren, sonst ist es sprachlich nicht zu finden im Code...
Grüsse
Franco
Logged
guest22082
Guest
Re: Automatische Regeln entfernen
«
Reply #10 on:
September 30, 2019, 05:14:38 pm »
Hallo Franco,
>> Aber diese Regel hat auch den Nachteil, das Sie immer und immer wieder Ihre Anwendung im Log protokoliert.
> Warum dann nicht abschalten? System: Settings: Administration.
Das war nur ein Beispiel um zu zeigen, dass die Autorules sich vordrängeln und warum ich dann die anderen löschen möchte. Das hab ich ja schon gegen eine eigene Regel ausgetauscht.
>> Die V6 Regeln allgemein und dabei auch die ICMP V6 Regeln.
> Bitte Screenshot oder ganze Zeile kopieren, sonst ist es sprachlich nicht zu finden im Code...
anbei der Screenshot
Mit freundlichem Gruß
Uwe
Logged
chemlud
Hero Member
Posts: 2485
Karma: 112
Re: Automatische Regeln entfernen
«
Reply #11 on:
October 15, 2019, 05:25:54 pm »
Deinen rant gegen ipv6 kann ich gut nachvollziehen, zumal wohl kaum ein lebender Mensch den Mist hinsichtlich "privacy and security" wirklich vernünftig konfigurieren kann. Ein feuchter NSA-Traum, imho....
Wäre wirklich schön, wenn bei deaktiviertem ipv6 (es gibt da ja mehrere Stellen in der opnsense...) auch die auto-generated rule wirklich NUR für ipv4 geschaffen werden...
Logged
kind regards
chemlud
____
"The price of reliability is the pursuit of the utmost simplicity."
C.A.R. Hoare
felix eichhorns premium katzenfutter mit der extraportion energie
A router is not a switch - A router is not a switch - A router is not a switch - A rou....
franco
Administrator
Hero Member
Posts: 17661
Karma: 1611
Re: Automatische Regeln entfernen
«
Reply #12 on:
October 29, 2019, 01:53:22 pm »
Die erste IPv6 Regel ist "quick" also wird keine weitere IPv6 Regel treffen.
Die Regeln könnte man verstecken; jemand könnte sogar das einfache Coding dafür übernehmen. Hier ist der Code:
https://github.com/opnsense/core/blob/master/src/etc/inc/filter.lib.inc#L229
Übrigens wird Squid (Webproxy) nicht mehr starten wenn man IPv6 zu viel kürzt.
Cheers,
Franco
«
Last Edit: October 29, 2019, 01:58:39 pm by franco
»
Logged
Print
Pages: [
1
]
« previous
next »
OPNsense Forum
»
International Forums
»
German - Deutsch
»
Automatische Regeln entfernen