Regelwerk wird nicht berücksichtigt.

Started by bademeister, May 18, 2020, 07:05:01 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
May 18, 2020, 07:05:01 PM Last Edit: May 19, 2020, 08:45:58 AM by bademeister
Hallo zusammen,

ich arbeite mich gerade in das Regelwerk ein. Habe Erfahrungen mit pfSense und verzweifel gerade.

Meine OPNsense-Installation bezieht sich auf die Version 20.1.

Die Grundkonfiguration hat für das LAN-Interface zwei Regeln erstellt. Jeweils für IPv4 und IPv6 nach dem Motto "Alles kann durch". Ein eigenes Regelwerk soll den Datenverkehr im Beispiel nur für einen Rechner im LAN erlauben. Um quasi in letzter Instanz alles zu blocken, was durch vorherige Regeln nicht geregelt werden konnte habe ich ebenfalls berücksichtigt. Ich weiß, dass dies automatisch berücksichtigt wird, ich möchte allerdings den geblockten Verkehr loggen. Folgende Zeilen sollen die Reihenfolge und vereinfacht die Logik veranschaulichen:

Allow IPv4 TCP/IP     Host 192.168.230.10/24     Port 443, 53
Block IPv4 TCP/IP     LAN net
Allow IPv4 TCP/IP     LAN net
Allow IPv6 TCP/IP     LAN net

Mein Kenntnisstand sagt, dass alle Regeln von oben nach unten abgearbeitet werden.
Deaktiviere ich die vorinstallierten letzten beiden Regeln, die alles erlauben, geht nichts mehr, obwohl die oberste Regel den Verkehr erlaubt. Es greift aber eine automatisch generierte Block-Regel aus den "Floating Rules". Mir ist das noch zu schwammig, was die floating rules und insbesondere die automatisch generierten Regeln betrifft. Was steckt genau dahinter und wie habe ich Einfluss auf diese automatischen Regeln?

Zur besseren Veranschaulichung hier ein Blockbild:

Internet
            :
            : Cable-Provider (Unitymedia/Vodafone)
            :
      .-----+-----.
      |  Gateway  |  (Fritzbox)
      '-----+-----'   LAN: 10.110.180.10
            |
            |
            |
      .-----+------.  WAN: 10.110.180.110 (Gateway: 10.110.180.10)
      |  OPNsense |
      '-----+------'  LAN: 192.168.230.10
            |
            |
            PC (192.168.230.210)

Vielen Dank im Voraus
May 20, 2020, 07:11:41 PM #1
Hey,

Kannst du mal einen Screenshot deiner Regeln posten?
Das wäre einfach als deine Auflistung. Aus der Auflistung gehen Src und Dst nicht wirklich hervor.

Liebe Grüße


Gesendet von iPhone mit Tapatalk Pro
May 20, 2020, 07:58:00 PM #2 Last Edit: May 20, 2020, 08:01:01 PM by Maurice
Abarbeitung von oben nach unten ist korrekt. Es werden aber zuerst die Floating-Regeln abgearbeitet und danach erst die Interface-Regeln. Außerdem kommt es darauf an, ob eine Regel "quick" ist. Es gewinnt immer die erste matchende Quick-Regel. Falls keine Quick-Regel matcht, dann gewinnt die letzte matchende Regel.

Die Default-Deny-Regel ist floating, aber nicht quick. Die matcht immer, es werden aber anschließend noch weitere Regeln abgearbeitet. Nur falls es keine andere matchende Regel gibt greift die Default Deny wirklich.

Falls bei dir also die Default Deny greift, dann matcht deine Pass-Regel nicht.
OPNsense virtual machine images
OPNsense aarch64 firmware repository

Commercial support & engineering available. PM for details (en / de).
Print
Go Up Pages1
User actions