DMZ IPv6

Started by tim mt, March 28, 2022, 03:34:16 PM

Previous topic - Next topic
Hallo,

ich würde gerne wissen, wie man eine DMZ mit OPNsense möglichst ordentlich aufsetzt. Für das DMZ gibt es aktuell ein eigenes Interface am Router und die DMZ wird mittels einer Regel realisiert, die vom DMZ Anschluss jeden Traffic erlaubt, der nicht an IPv4 192.168.0.0/16 oder 10.0.0.0/8 geht. Dies erscheint mir jedoch unsauber. Gerade bei dem Wechsel auf IPv6 gestalltet sich die Sache schwierig. Denn dann ändern sich ja die Adressen und die Präfixe in den lokalen Netzen. Der OPNsense Router hängt aktuell hinter einer Fritz!Box, mit dynamischen IP Adressen. Später soll er durchaus direkt an einem Glasfaseranschluss hängen.

Gesucht wäre daher eine Regel oder Möglichkeit um Verbindungen vom DMZ ins Internet zu erlauben, aber keine Verbindungen von der DMZ ins normale lokale LAN.

Bei IPCop konnte man die Quell- und Zielinterface in den Regeln angeben. Gibt es eine ähnliche Möglichkeit auch bei OPNsense?

Viele Grüße
Tim

Ziel-Interfaces gibt es bei OPNsense leider nicht. Du brauchst also auf dem DMZ-Interface so etwas wie

- block from any to "LAN net" in
- pass from "DMZ net" to any in

Da die Regeln der Reihe nach abgearbeitet werden, kommen die Systeme in der DMZ damit ibs Internet aber nicht ins LAN.
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)

Ich hatte irgendwie gehofft so etwas zu vermeiden. Wenn jetzt ein neues Netz hinzukommt, und man vergisst eine passende block Regel anzulegen, hat die DMZ automatisch Zugriff auf dieses Netz. Und so eine Regel ist schnell vergessen.

Würde denn eine Regel
- pass from "DMZ net" to "WAN net"
funktionieren oder geht sowas nicht ?
Würde sie ohne Fritz!Box NAT dazwischen funktionieren?


WAN net ist nicht das Internet sondern das Subnetz an deinem WAN Interface und sonst nichts. Weder OPNsense noch pfSense können Destination Interfaces.

Wenn es sich bei allen internen und DMZ Netzen um RFC 1918 handelt, kann man das natürlich pauschal blocken.

Ansonsten hatte ich neulich folgende Idee, die ich aber noch nicht umgesetzt habe:

- definiere eine Gruppe die alle internen Netze enthält
- füge auf jedem Interface hinzu: block from "Gruppe" to any out

Dass dabei auch jedes Netz selbst enthalten ist, stört normalerweise nicht, da der erlaubte Traffic immer "in" ist.
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)