Home
Help
Search
Login
Register
OPNsense Forum
»
International Forums
»
German - Deutsch
»
Verständnisfrage Webserver hinter OPNSense
« previous
next »
Print
Pages: [
1
]
Author
Topic: Verständnisfrage Webserver hinter OPNSense (Read 2520 times)
nufan
Newbie
Posts: 19
Karma: 0
Verständnisfrage Webserver hinter OPNSense
«
on:
October 24, 2020, 09:45:16 am »
Hallo Zusammen
Binn neu hier im Forum und auch neu mit OPNsense unterwegs. Ich habe eine Verständisfrage, respektive möchte mir keine Lücke in der FW öffnen.
Ziel schlussendlich wäre, das ich in der DMZ einen Webserver laufen habe der von extern via http/https erreichbar ist. Von intern möchte ich vom LAN ebenfalls auf den Webserver in der DMZ zugreifen können. Was aber nicht sein darf, ist dass ich von der DMZ ins LAN komme.
Um mich mit der OPNsense etwas vertraut zu machen, abe ich den Webserver einfachheitshalber mal ins LAN gestellt.
Ich habe nun folgendes konfiguriert um mal via http zugriff zu erhalten. Das geht auch, aber ich verstehe gewisse Punkte nicht so ganz, respektive bin mir nicht sicher, ob das so wirklich security technisch korrekt ist
NAT Rule
1. Firewall -> NAT -> Port forward -> Neue Rule
Source Interface: WAN
Source Proto: TCP
Soucre Address: *
Source Ports: *
Destination Address: WAN net
Destination Ports: 80
NAT IP: 192.168.1.xx
NAT Ports: 80
Frage: Warum muss ich hier unter Destination "WAN net" nehmen? Der Server steht ja im LAN, ich dachte ich müsse da LAN net nehmen, wäre für mich logischer?
Firewall Rule
1. Firewall -> Rules -> WAN -> neue Rule
Protocol: IPv4 TCP
Soucre: *
Port: *
Destination: LAN net
Port: 80 HTTP
Unter LAN muss ich keine Rule erstellen. Warum aber? Aus meiner Sicht will ich ja von WAN ins LAN, da müsste ich doch unter LAN die Rule erstellen.
Besten Dank für euer Feedback, das ihr mich erhellen möget
Gruss
Logged
Gauss23
Hero Member
Posts: 766
Karma: 39
Re: Verständnisfrage Webserver hinter OPNSense
«
Reply #1 on:
October 24, 2020, 09:51:44 am »
Firewallregeln sollten in der Regel auf dem Interface angelegt werden, wo sie an der OPNsense ankommen.
Ein Paket von außen kommt am WAN Interface an. Daher auch die Firewallregel auf dem WAN.
Beim Port Forward stellst Du ein auf welchem Interface ein Paket ankommen, muss damit es weitergeleitet werden soll. Das ist eben das WAN Interface mit Destination WAN net/WAN address. Das Ziel des Paketes wird dann auf die interne IP umgeschrieben.
Logged
„The S in IoT stands for Security!“
nufan
Newbie
Posts: 19
Karma: 0
Re: Verständnisfrage Webserver hinter OPNSense
«
Reply #2 on:
October 24, 2020, 10:24:01 am »
Danke für dein promptes Feedback und die Erläuterungen. Ich glaube langsam beginne ich zu verstehen.
Würde also heissen, wenn ich den Server in die DMZ stelle und ich vom LAN her zugreifen will, müsste ich die benötigten Regeln auf dem LAN Interface machen, nicht auf dem DMZ Interface, da die Anfrage ja vom LAN her kommt, korrekt?
Logged
Gauss23
Hero Member
Posts: 766
Karma: 39
Re: Verständnisfrage Webserver hinter OPNSense
«
Reply #3 on:
October 24, 2020, 10:36:43 am »
Genau, wenn Du Clients aus dem LAN Zugriff auf Clients in der DMZ geben willst, erstellst Du entsprechende Regeln auf dem LAN Interface.
Wenn Dein DMZ Client keinerlei eigenständige Verbindung nach außen haben soll, lässt Du die Regeln auf dem DMZ Interface einfach leer. Das ist für Updates und co aber möglicherweise unpraktisch, daher kannst Du auf dem DMZ eine Regel erstellen, die ankommende Pakete am DMZ Interface zulässt, die NICHT für deine lokalen Netze gedacht sind, also ins WAN gehen sollen. Dazu gibt es "source invert" und "destination invert". Ich erstelle mir dafür einen Alias, der alle lokalen Netze enthält.
Zugriffe von außen (per Port Forward) und aus dem LAN werden ja bereits durch andere Regeln erlaubt.
Du musst nur mit den Floating Regeln aufpassen, hier darf man keinesfalls zu groß gefasste Regeln erstellen.
«
Last Edit: October 24, 2020, 10:58:10 am by Gauss23
»
Logged
„The S in IoT stands for Security!“
nufan
Newbie
Posts: 19
Karma: 0
Re: Verständnisfrage Webserver hinter OPNSense
«
Reply #4 on:
October 24, 2020, 10:45:39 am »
Besten Dank. Das mit dem Zugriff von der DMZ ins Internet muss ich mir dann noch genau anschauen. Wie du sagst, gerade den Webzugriff http/https von der DMZ ins Internet dürfte aus meiner sicht offen sein, für Updates etc. Ich werde mich hier nochmals melden
Logged
Print
Pages: [
1
]
« previous
next »
OPNsense Forum
»
International Forums
»
German - Deutsch
»
Verständnisfrage Webserver hinter OPNSense