Bedeutung von Source in Regeln

[ole]

Hallo OPNsense Freunde,

aktuell beschäftige ich mich mit VLANS ect. Dabei bin ich zB. auch nach https://nguvu.org/pfsense/pfsense-baseline-setup/ vorgangen. Klingt alles soweit plausibel . Allerdings ist mir generell aufgefallen, dass einige als Source das jeweilige Netz angeben (ingress filtering?), andere als Source nur '*'/any angeben (sollte imo auch ingress filtering sein). Welche Auswirkungen haben diese beiden Ansätze bzw. welche Idee steckt dahinter?

Ich könnte mir 'böse Buben/Mädels' vorstellen, die zB. in das LAN einen ungewollten WiFi AP einbringen, womit auch andere Netzte als gewollt plötzlich 'drinnen' wären. Erster Ansatz würde dieses bei der WLAN Regel (siehe https://nguvu.org/images/170127-080-vl40_guest-rules.png) unterbinden, bei Source=any/'*' dieses dennoch ungewollt erlauben, oder etwa doch nciht? Liege ich mit den Überlegungen richtig?

[micneu]

Nach meinem Verständnis geht das nur wenn du als source dein lan-net nehmen würdest. Bin mir nur nicht sicher ob ich deine Frage richtig verstanden habe und es ist nicht getestet


Gesendet von iPhone mit Tapatalk Pro

[fabian]

Stell dir einfach das hier vor:

Host (192.168.1.2/24) - (192.168.1.1/24) Router (192.168.2.2/24) - (192.168.2.1/24) OPNsense (dynamic)

Im einen Fall kommst du vom Host aus durch, im anderen nicht, wenn der Router kein NAT macht. Das verhindert hauptsächlich Fehlkonfigurationen im Netzwerk und dichtet etwas mehr ab, weil man sich sonst darauf verlässt, dass es eh nicht funktioniert. UDP + IP Spoofing wäre zum Beispiel möglich.

[ole]

erst'mal vielen Dank für die Antworten. Anbei ein Screenshot von meinem WLAN Settings (ohne Guests also). Hier ist als Source eben WiFiLAN angegeben. Paranoid habe ich vom WLAN dennoch den Zugang zu OPNsense gekappt. Insofern folge ich dem Schema #1 aus obiger Beschreibung. Wenn ich fabian richtig verstanden habe, ist es dennoch nicht "wasserdicht", da mit UDP/IP spoofing dennoch zugegriffen werden kann. Um das korrekt zu machen, müsste ich rigide als Source 'any' angeben. Ist es so? IIRC ist es auch als any Source in den Docs zu OPNsense sehr oft (immer*) angegeben.
Als 'Rule of thumb', ist es generell dann generell sinnvoll Source auf 'any' zu setzten? Wann renne ich dabei in Probleme? Ich bin der ahnungslose Familien-Admin mit kleveren Kids ;-)

[fabian]

setze einfach die deny rules auf any. dann bist du sicherer dran auch wenn die management ports vermutlich eh alle TCP sind.

[JeGr]

Was Fabian schreibt.

Bei Deny Regeln: Source Any haut alles weg, egal ob rogue im Netz oder nicht.

Umgekehrt bei Allow Regeln: Da würde ich explizit die Source angeben. Also auf VLAN123 bspw. VLAN123_net. Denn wenn es NICHT das VLAN123_net ist, dann

1) hat jemand Fremdnetze eingebracht die versuchen hier Huckepack zu fahren (was aber dann durch fehlendes outbound NAT zumindest schwierig werden sollte)
2) gibt es noch andere Netze auf dem Strang oder hinter der Sense in dem VLAN, dann müssten die auch bekannt sein und dafür muss dann eben ein Alias oder extra Regeln angelegt werden
3) jemand bastelt an seiner Client Konfiguration rum -> auf die Finger hauen ^^

Der Grund, warum die Anti-Lockout Regel als Source bspw. any hat ist genau der geschilderte oben im Diagramm, es kann ja sein, dass man die Sense an einer Stelle neu einrichtet, wo man selbst in einem VLAN hinter einem Core Switch steckt, der dann via Transfernetz mit der Sense verbunden ist. Damit wäre man aber nicht im VLAN123_net (dem Transfernetz) sondern in einem "Fremden Netz" für dieses VLAN/LAN und würde geblockt werden. Daher sind die Lockouts mit any bestückt was auch absolut Sinn macht - deshalb aber auch anzuraten ist, dieses Interface als "management" o.ä. zu nutzen, was eh nur beschränkten Zugriff erlaubt.

Grüße

[ole]

vielen Dank für die ausführliche Erklärung!