LAN: 'Default allow LAN to any rule' ok?

Started by MartinSense, October 03, 2024, 04:28:58 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
October 03, 2024, 04:28:58 PM
Hallo,

ich habe eine Anfängerfrage zu den Standardeinstellungen der OPNsense und würde mich über Eure Unterstützung sehr freuen.

Ich nutze OPNsense (Version 24.7.5) auf einem Mini-PC hinter einer Fritzbox 6591 Cable (Version 8.0), die im Bridge Modus betrieben wird und das Internet auf einem Port an OPNsense weiterreicht. D.h. es gibt kein doppeltes NAT und die Fritzbox hat keine Firewall-Funktion mehr. Das ist jetzt Aufgabe der OPNsense.

Hinter der OPNsense hängt mein privates Netz (nur IPv4) mit einem Switch mit allerhand Geräten, die über OPNsense Zugang zum Internet haben. Es gibt keine extra geöffneten Ports und auch keine DMZ, also vermutlich das typische private Netz zuhause. Den ,,Umweg" über OPNsense habe ich gewählt, um Erfahrungen damit zu sammeln und da ich als nächstes ein zweites Failover-WAN einrichten möchte.

Was die Firewall-Regeln betrifft, habe ich die Standardeinstellungen: (a) LAN: ,,Default allow LAN to any rule" und (b) WAN: keine Regeln. Daneben gibt es noch die vom System selbst automatisch generierte Regeln, z.B. ,,let out anything from firewall host itself". Mehr nicht.

Nun zu meiner Frage: Nach meinem Verständnis müsste die Verbindung in das Internet damit genauso sicher sein, wie sie vorher (ohne OPNsense und mit Fritzbox als Firewall) war. Verkehr aus dem WAN wird geblockt und nur das rein gelassen, was über das LAN auch angefordert wird.

Liege ich mit dieser Einschätzung richtig? In einem Tutorial zur OPNsense hieß es mit der LAN-Regel ,,Default allow LAN to any rule" sei OPNsense sperrangelweit offen. Das hat mich etwas verunsichert. Daher die Frage.

Danke für Eure Unterstützung!

Beste Grüße

Martin
October 03, 2024, 04:51:27 PM #1
Quote from: MartinSense on October 03, 2024, 04:28:58 PM
Was die Firewall-Regeln betrifft, habe ich die Standardeinstellungen: (a) LAN: ,,Default allow LAN to any rule" und (b) WAN: keine Regeln. Daneben gibt es noch die vom System selbst automatisch generierte Regeln, z.B. ,,let out anything from firewall host itself". Mehr nicht.

Nun zu meiner Frage: Nach meinem Verständnis müsste die Verbindung in das Internet damit genauso sicher sein, wie sie vorher (ohne OPNsense und mit Fritzbox als Firewall) war. Verkehr aus dem WAN wird geblockt und nur das rein gelassen, was über das LAN auch angefordert wird.

Das ist richtig. Der Default der OPNsense ist genau so sicher oder unsicher wie jeder übliche Consumer-Router mit NAT.

Quote from: MartinSense on October 03, 2024, 04:28:58 PM
Liege ich mit dieser Einschätzung richtig? In einem Tutorial zur OPNsense hieß es mit der LAN-Regel ,,Default allow LAN to any rule" sei OPNsense sperrangelweit offen. Das hat mich etwas verunsichert. Daher die Frage.

Dann wären >95% aller privaten Netze am Internet "sperrangelweit offen". Das Tutorial ist in dem Punkt Quatsch. Begründet die Autor*in das irgendwie?

Gruß
Patrick
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
October 03, 2024, 05:00:12 PM #2
Quote from: MartinSense on October 03, 2024, 04:28:58 PM
In einem Tutorial zur OPNsense hieß es mit der LAN-Regel ,,Default allow LAN to any rule" sei OPNsense sperrangelweit offen. Das hat mich etwas verunsichert. Daher die Frage.

Für die LAN-Seite gilt das dann natürlich. Auf WAN ist aber nichts offen.

Einschränken könntest du bspw. den Zugriff auf die WebGUI der OPNsense auf bestimmte Quell-IPs. Aber sonst kann man mit einem einzigen Subnetz nicht viel machen.
Natürlich könntest du auch ausgehende Verbindungen auf bestimmte Protokolle, Quell- IPs und -Ports, sowie Ziel-IPs und -Ports beschränken, aber dafür müsstest du wissen, was dein Geräte benötigen und dich wohl erst intensiv damit beschäftigen.
Sinn macht vielleicht ein Goe-Blocking, womit Verbindungen in bestimmte geografische Regionen blockieren kannst, oder das Blockieren einiger Blacklisten.
October 03, 2024, 05:16:50 PM #3
als Anfänger nutze mal die Seite: https://www.grc.com/x/ne.dll?bh0bkyd2

einfach um zu sehen ob du nicht aus versehen irgendwas öffnest was nicht sein muss.
October 03, 2024, 07:45:11 PM #4
Hallo,

danke an alle für die schnellen und sehr hilfreichen Antworten. Den Test auf Lücken, den Zapad empfiehlt, habe ich gleich mal durchgeführt - und bestanden :-)

Zur Frage von Patrick M. Hausen: Nein, keine Begründung. Nach Euren Antworten vermute ich, dass es sich nur auf das LAN bezog.

Also nochmal herzlichen Dank - bin jetzt beruhigt und werde tiefer einsteigen (GEO-Blocking etc.)

Beste Grüße

Martin
Print
Go Up Pages1
User actions