Frage zur Reihenfolge von FW-Regeln?

[Snoopy]

Hallo Profis,

mich beschäftigt gerade eine Frage bzgl. der Reihenfolge bzw. Positionierung von Firewall-Regeln.

Ich habe ein paar Blocklisten ( Firehole, Crowdsec, blocklist.de, Mailtrail) als Aliase eingerichtet und diese als Floating-Regeln definiert. Jetzt habe ich mal gelesen, dass die Positionierung der Regeln einen Einfluss auf das Abarbeiten bzw. Wirksamkeit der Regeln hat. (Stimmt das überhaupt?)

Die Frage, die sich mir stellt, nach welcher Logik ordnet man die Regeln an, damit diese am "besten" eingesetzt werden.
Was ist hierzu empfehlen? Ich würde vermuten, die Regel mit den meisten Einträgen als Erstes. Oder doch ganz anders?

Liebe Grüße
Snoopy

[Patrick M. Hausen]

https://docs.opnsense.org/manual/firewall.html#processing-order

[Snoopy]

Danke @pmhausen für den Link.
Aber entweder ich bin blind, oder es gibt keine Infos bzgl. der ,,optimalen" Reihenfolge der Regeln.
Es wird doch nur beschrieben, wie die Regeln abgearbeitet werden oder?

[Patrick M. Hausen]

Naja, alles andere ist dir überlassen. Was willst du erreichen? Schreib das doch mal auf ...

[Snoopy]

Ich möchte, dass meine DMZ und mein LAN bestmöglich von Angriffen und bösartigen IPs von außen geschützt sind. Deswegen ja auch die Blocklists.

[Patrick M. Hausen]

Ich meine, schreib deiner Policies hier mal runter, dann kann man evtl. beim Optimieren der Reihenfolge helfen. Ansonsten: ist das bei deiner Hardware relevant, wenn die pro Paket durch ein paar Regeln mehr durchstiefelt als unbedingt nötig?

[Snoopy]

Vielen Dank für deine Mühe. 👍
Hier mal meine FW-Regeln: https://pic.metaversum.wtf/aKOw71pb/a2bvDVFw.png
Aktuelle Sortierung: Die ersten drei Regeln sind die, mit den meisten Einträge in der Blockliste.
Hardware läuft bis jetzt geschmeidig.  :-D