Home
Help
Search
Login
Register
OPNsense Forum
»
International Forums
»
German - Deutsch
»
VLANs / Regeln
« previous
next »
Print
Pages: [
1
]
Author
Topic: VLANs / Regeln (Read 1355 times)
djwest
Newbie
Posts: 5
Karma: 0
VLANs / Regeln
«
on:
February 23, 2024, 01:54:35 pm »
Hallöchen,
ich bin ein wenig verwirrt. Ich habe eine OPNsense mit einem WAN Interface und 3 VLANs.
Bis jetzt dachte ich wenn ich Regeln für die VLAN Interfaces erstelle und nur bestimmten Traffic eingehend erlaube, dann wird auch nur dieser Traffic zu gelassen. Allerdings verhält es sich genau anders rum, ich muss Regeln für Outbound setzen damit alles andere geblockt wird, warum ist das so?
Was verstehe ich hier falsch?
Grüße
Logged
Patrick M. Hausen
Hero Member
Posts: 6807
Karma: 572
Re: VLANs / Regeln
«
Reply #1 on:
February 23, 2024, 02:00:27 pm »
Zeig doch mal mindestens eine Regel und erklär, was du damit erreichen willst. So wie im Moment formuliert ist es Kaffeesatzleserei.
Logged
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do.
(Isaac Asimov)
Saarbremer
Sr. Member
Posts: 353
Karma: 14
Re: VLANs / Regeln
«
Reply #2 on:
February 23, 2024, 06:35:38 pm »
Hallo,
dieser Umstand erfordert zunächst einmal eine Einsicht in die Situation, was wohl "eingehend" und "ausgehend" bedeuten. Während bei "ausgehend" die Sache klar scheint, ist es bei "eingehend" schon schwieriger.
Die Pflanze auf meiner Fensterbank könnte zum Beispiel auch "eingehend" sein und dann weiß man aber nicht, ob sie jetzt Traffic sperrt oder erlaubt, geschweige denn, welche Schnittstelle an der Gieskanne davon betroffen ist. Der Griff vielleicht? Man weiß es nicht.
Jedenfalls ist eine wichtige Erkenntnis: Eingehende Regeln sperren keinen eingehenden Verkehr, wenn er nicht auf der gleichen Schnittstelle eingeht. Sonst geht die Regel halt mangels traffic ein.
Was vielleicht verwirrend klingt, lässt sich leicht am Beispiel erkennen.
Wenn du bestimmten Traffic provozierst, dann kommt der Traffic aus deinem Router-Interface ins Netzwerksegment und ist damit nicht eingehend, sondern ausgehend. Aus dem Router.
Und damit es erst gar nicht soweit kommt, blockierst du Datenverkehr, der am Router eingeht und in die weite Welt oder nur ins Nachbar VLAN will, damit die Regeln nicht eingehen.
Um also jeglichen Traffic aus einem VLAN X zu 1.1.1.1 zu unterbinden, schreibt man VLAN X src=any, dest=1.1.1.1 direction=IN
Viel Glück.
Logged
djwest
Newbie
Posts: 5
Karma: 0
Re: VLANs / Regeln
«
Reply #3 on:
February 26, 2024, 07:54:43 am »
Guten Morgen,
danke schon mal für eure Antworten und sry das ich es etwas schwammig formuliert habe.
Mit eingehendem Traffic meine ich ich habe einen Apache Proxy, der leitet an die einzelnen Server in einzelnen VLANs Traffic weiter.
Es kommt Traffic an der WAN Schnittstelle an und wird direkt weitergeleitet an den Proxy und dieser leitet nun den Traffic verteilt an die VLANs weiter zu den Servern innerhalb der VLANs.
Jetzt sollten die Server in den jeweiligen VLANs nicht kommunizieren dürfen untereinander also Inter-VLAN Routing ist absolut nicht gewünscht.
Logged
Patrick M. Hausen
Hero Member
Posts: 6807
Karma: 572
Re: VLANs / Regeln
«
Reply #4 on:
February 26, 2024, 08:37:24 am »
Dann brauchst du Regeln, die das verbieten ... auf jedem VLAN.
Oder du legst eine Interface-Gruppe an, packst da alle VLANs rein, und nennst die z.B. "Servers" oder "Restricted" und machst dann sowas wie im Anhang.
Logged
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do.
(Isaac Asimov)
djwest
Newbie
Posts: 5
Karma: 0
Re: VLANs / Regeln
«
Reply #5 on:
February 26, 2024, 09:35:49 am »
Danke dir. Allerdings dachte ich, dass Traffic bei angelegten VLANs standardmäßig verboten ist.
Logged
Patrick M. Hausen
Hero Member
Posts: 6807
Karma: 572
Re: VLANs / Regeln
«
Reply #6 on:
February 26, 2024, 09:49:32 am »
Ist er ja auch. Wenn auf dem VLAN keine eingehende Regel liegt, kommt ein Server aus diesem VLAN nirgendwo hin.
Regeln in/out ist definiert aus der Sicht der Firewall. Die weiß ja nicht, was aus deiner Sicht "innen" und "außen" sein soll. "WAN" ist nur ein Name.
Also "in" ist, was zum Interface rein kommt. Wenn ein Server eine Verbindung aus dem VLAN ins Internet aufmacht, ist das "in" zu dem VLAN-Interface.
Man braucht praktisch nur "in" Regeln.
Logged
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do.
(Isaac Asimov)
djwest
Newbie
Posts: 5
Karma: 0
Re: VLANs / Regeln
«
Reply #7 on:
February 26, 2024, 09:52:56 am »
Okay für mich gerade etwas verwirrend. Bsp: VLAN100 in bedeutet für mich, das alles was rein kommt an VLAN100 ist in alles was aus VLAN100 raus geht ist out für mich.
Ich muss z.B. out Regeln setzen, damit VLAN110 nicht mit VLAN100 kommunizieren darf.
Das habe ich so getestet und verwirrt mich etwas.
Vielleicht bin ich einfach zu hohl gerade...
Logged
Patrick M. Hausen
Hero Member
Posts: 6807
Karma: 572
Re: VLANs / Regeln
«
Reply #8 on:
February 26, 2024, 09:57:06 am »
VLAN100 in ist alles was
von
Servern im VLAN100
zum Interface rein
kommt.
Firewall-Regeln sind aus Interface-Sicht. Ist bei jeder Firewall so.
Logged
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do.
(Isaac Asimov)
djwest
Newbie
Posts: 5
Karma: 0
Re: VLANs / Regeln
«
Reply #9 on:
February 26, 2024, 10:01:17 am »
Danke, logisch.
Logged
Print
Pages: [
1
]
« previous
next »
OPNsense Forum
»
International Forums
»
German - Deutsch
»
VLANs / Regeln