Home
Help
Search
Login
Register
OPNsense Forum
»
International Forums
»
German - Deutsch
»
Verständnisproblem Floating Firewall Rules?
« previous
next »
Print
Pages: [
1
]
Author
Topic: Verständnisproblem Floating Firewall Rules? (Read 4931 times)
andre2000
Newbie
Posts: 31
Karma: 2
Verständnisproblem Floating Firewall Rules?
«
on:
October 08, 2020, 10:00:05 pm »
Hallo zusammen,
ich bin zwar schon lange mit OPNSense aktiv, hatte aber bislang noch nie einen Grund mich eingehender mit der Firewall zu beschäftigen. Aktuell probiere ich, für einen Webserver einen vorgeschalteten HAProxy zu aktivieren, dafür muss ich die Firewall natürlich anpassen. Ich habe im Wiki gelesen und verstanden dass die Floating Rules vor allen anderen angewendet werden. Dort gibt es als erstes die "Default deny rule".
Nun lege ich auf dem WAN Interface jeweils eine Regel an, die eingehenden Traffic für HTTP / HTTPS auf die Firewall erlaubt. Was nun passiert, erscheint völlig korrekt: die von mir erstellte Regel ist wirkungslos, weil vorher die "Default deny rule" greift. Da stellen sich mir ein paar Fragen:
1. Nun diese anscheinend grundlegende Floating Rule zu entfernen damit "meine" Regel wirkt erscheint mir... dumm?
2. Es ist doch bestimmt sinnvoll die Regel unter Rules:WAN anzulegen, schliesslich soll sie nur dort gelten, nur wie sorge ich dafür dass sie auch angewendet wird?
Ich habe jetzt eine Weile rumgesucht, aber scheinbar brauche ich jemanden der mir das wie einem Fünfjährigen erklärt
Ich verwende die OPNsense 20.7.3
Danke schonmal!
Logged
JeGr
Hero Member
Posts: 1945
Karma: 227
old man standing
Re: Verständnisproblem Floating Firewall Rules?
«
Reply #1 on:
October 08, 2020, 10:22:01 pm »
Hi,
wenn du mit "Default deny Rule" unter Floating die Regel meinst, die EINgeklappt sind, weil es Defaults sind, ja die ist dort aktiv und gilt. ABER: Wie man sehr leicht sehen kann, fehlt da der Blitz. Die Regel ist keine Quick Regel, wird also NUR angewendet, wenn KEINE andere Regel sie im Anschluß überschreibt (bei non-quick rules) ODER es keine Quick Rule gibt, die ansonsten greift.
Quick: beendet sofort die Regelbearbeitung und führt die Regel aus. Ohne Quick daher: Es ist zwar dann alles erstmal denied, wenn DANACH aber eine weitere Regel matcht, wird diese ausgeführt.
Alle Regeln auf Interfaces sind - normalerweise per default - quick Regeln mit dem Blitz AN. Somit stimmt deine Konklusio, dass es "deshalb" nicht funktioniert nicht. Entweder war deine WAN Regel falsch oder du hast das quick ausgeschaltet und eine spätere Regel hat das Paket dann doch geblockt.
Egal was - ohne ordentliche Screenshots der Regeln wird man das ohne weiteres nicht sagen können, aber dein Schluß von 1) ist daher grundlegend falsch - denn hier muss nichts abgeschaltet werden, das wäre wirklich dumm. Zudem geht es IMHO auch überhaupt nicht
Zu 2) Ja, wenn sich die Regel auf das WAN bezieht, sollte man sie auch dort anlegen. Ich "predige" das gerne, dass man nur Floating Regeln anlegen sollte, wenn man GENAU weiß was man tut und warum. Ansonsten hat man meist a) zu wenig Wissen/Erfahrung und weiß nicht was man tut - und macht gern mehr kaputt als ganz oder b) versucht Dinge, die so einfach oft falsch gedacht sind und funktionieren würden, wenn man sie an der richtigen Stelle ansetzt
Daher vielleicht einfach nochmal generell in die Regelverarbeitung von pf bzw. der Sense einlesen. Aber ja, dein Instinkt, dass man eine Regel für Pakete, die auf WAN reinkommen auch dort anlegen sollte (HAproxy erreichbar von Internet -> kommt via WAN rein) ist völlig korrekt. Nur dein Trugschluß mit der default deny rule war - durch das Quick Flag - falsch
Cheers
\jens
Logged
"It doesn't work!" is no valid error description!
- Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense as no(n)sense!
If you're interested in german-speaking business support, feel free to reach out via PM.
andre2000
Newbie
Posts: 31
Karma: 2
Re: Verständnisproblem Floating Firewall Rules?
«
Reply #2 on:
October 09, 2020, 05:54:51 pm »
Hallo Jens,
Vielen Dank für die ausführliche Erläuterung! Das hilft mir sehr weiter.
Logged
Print
Pages: [
1
]
« previous
next »
OPNsense Forum
»
International Forums
»
German - Deutsch
»
Verständnisproblem Floating Firewall Rules?