Ich lerne Firewall-Regeln ...

Started by thorba, November 01, 2025, 07:53:09 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
November 01, 2025, 07:53:09 PM
Hallo zusammen,

wie ich diese Woche schon einem Beitrag zu NTP-Servern geschrieben habe, bin ich ein totaler Anfänger, was OPNsense angeht und gerad erst dabei mich in die Thematik Firewall/Netzwerke/Netzwerksicherheit im Rahmen meines "Schüler-Wissens" einzuarbeiten. Zum Glück hatte ich eine Woche Herbstferien und konnte mich richtig intensiv damit beschäftigen :-)
Aber je länger ich mich damit beschäftige, um so mehr merke ich, wie wenig ich eigentlich weiß/kann ... :-(


Im Moment bin ich gerade dabei, das Thema mit den Firewall-Regeln zu durchdringen.

So wie ich es verstanden habe, beruht die Sicherheit einer Firewall ja auf den Regeln, die ich definieren kann. Hier bin ich gerade dabei, mit meinem Testsystem etwas "herumzuspielen" -  verstehe aber etwas nicht!?

Ich bin mal bei "Firewall --> Regeln --> LAN" reingegangen und habe die im angehängten Bild gezeigten Einträge vorgefunden.
Wenn ich es richtig interpretiere, gibt es automatisch erstellte Regeln, die die OPNsense für einen korrekten Betrieb benötigt und die ich auch nicht ändern/deaktivieren kann - oder???
Warum gibt es bei mir 26 Stück? Das ist eine ganze Menge. In irgendwelchen Video-Tutorials oder Beschreibungen im Internet sind es viel weniger (z.B. 4 Stück). Stimmt da etwas nicht???

Dann gab es noch zwei zusätzliche Regeln. So wie ich es verstehe, erlauben diese (jeweils für IPV4 und IPV6) allen Geräten aus dem LAN-Netz den Zugriff auf's Internet für alle Ports und alle Protokolle (TCP, UDP, ...). Das heißt, meine Firewall wäre komplett offen. Im Umkehrschluss dürfte doch kein Zugriff mehr auf's/aus dem Internet möglich sein, wenn ich diese Regeln deaktiviere.

Also habe ich sie mal deaktiviert. Trotzdem sind alle Internetseiten (z.B. web.de / heise.de / ...) noch erreichbar.
Weil ich gelesen habe, dass es bei der OPNsense etwas dauert, bis getätigte Änderungen wirksam werden, habe ich unter "Diagnose --> Zustände --> Aktionen" auch mal auf "Zustandstabelle zurücksetzen" geklickt. Das Ergebnis ist jedoch das gleiche - Internetseiten sind nach wie vor erreichbar.

Mache ich hier einen Denkfehler, oder habe ich etwas falsch eingestellt???

Dann noch eine Frage: Beim Definieren von Internet-Regeln gibt es ja das Feld "Quelle": Hier gibt es ja den Eintrag "LAN Netz". Das müssten also alle Geräte aus meinem Netz sein. Des weiteren kann ich ja auch einzelne Hosts einstellen (z.B. bei mir für meinen Laptop 192.168.22.151). Was ist dann aber der Eintrag "LAN Adresse"??? Ist das ein einzelner Client? Wäre das also der gleiche Eintrag wie "Host"?


Vielleicht kann mir hier jemand weiterhelfen.

Vielen Dank
Sebastian
November 01, 2025, 08:09:27 PM #1 Last Edit: November 01, 2025, 08:30:57 PM by meyergru
Zu "automatischen Regeln", siehe https://forum.opnsense.org/index.php?topic=42985.0, #24.

Die "Allow All" Regeln für das (erste) LAN sind da, um Anfängern wie Dir zunächst den Einstieg zu erleichtern - ohne sie ging praktisch gar nichts und wir hätten hier 10x so viele Fragen in der Gegenrichtung: "Warum geht mit OpnSense nichts?" (die gibt es trotzdem oft genug, weil jemand meint, "ich mache das mal zu"). Übrigens: Jede Fritzbox macht das per Default auch so.

Die "LAN Adresse" ist die Interface-Adresse der OpnSense auf dem Interface LAN - sie kann beispielsweise als Ziel in Regeln genutzt werden.

Am wichtigsten aber ist folgendes: Du schreibst es zwar nicht, ich schließe aber aus dem Kontext, dass Du die OpnSense an Dein Netzwerk, wahrscheinlich hinter einer Fritzbox, angeschlossen hast. Und Du hast sie wahrscheinlich nur mit einem Interface (LAN) angeschlossen, richtig? Oder Dein PC hängt zumindest noch direkt an der Fritzbox?

Das wird so nicht funktionieren, weil der LAN-Traffic dann nicht von der OpnSense reguliert wird - dazu muss er sie nämlich passieren. Zumindest würde das erklären, weshalb trotz des Abschaltens der "Allow All"-Regel der Internetzugriff noch funktioniert.

Lies mal https://forum.opnsense.org/index.php?topic=42985.0, #1 und #2.
Intel N100, 4* I226-V, 2* 82559, 16 GByte, 500 GByte NVME, ZTE F6005

1100 down / 800 up, Bufferbloat A+
November 02, 2025, 12:57:47 AM #2
Quote from: thorba on November 01, 2025, 07:53:09 PMAber je länger ich mich damit beschäftige, um so mehr merke ich, wie wenig ich eigentlich weiß/kann ... :-(
Das ist normal und ein Zeichen von Lernfortschritt. Sollte dich nicht entmutigen!

Quote from: thorba on November 01, 2025, 07:53:09 PMWenn ich es richtig interpretiere, gibt es automatisch erstellte Regeln, die die OPNsense für einen korrekten Betrieb benötigt und die ich auch nicht ändern/deaktivieren kann - oder???
Du kannst sie nicht direkt in den Firewall-Einstellungen deaktivieren, aber teilweise durch das Deaktivieren bzw. Umkonfigurieren von Diensten, die diese Regeln benötigen und daher automatisch erstellen - z. B. DHCP-Server, Router Advertisements, Webinterface etc.

Quote from: thorba on November 01, 2025, 07:53:09 PMWarum gibt es bei mir 26 Stück?
Die Anzahl hängt von der Anzahl der aktiven Dienste ab.

Quote from: thorba on November 01, 2025, 07:53:09 PMDann gab es noch zwei zusätzliche Regeln. So wie ich es verstehe, erlauben diese (jeweils für IPV4 und IPV6) allen Geräten aus dem LAN-Netz den Zugriff auf's Internet für alle Ports und alle Protokolle (TCP, UDP, ...).
Richtig. Und nicht nur den Zugriff auf das Internet, sondern z. B. auch auf andere LANs, falls Du mehrere hast.

Quote from: thorba on November 01, 2025, 07:53:09 PMDas heißt, meine Firewall wäre komplett offen.
Nur "von innen nach außen", da diese zwei Regeln nur für Pakete gelten, die aus dem LAN kommen. Auf dem WAN-Interface gibt es diese Regeln nicht, daher greift dort "Deny all" - aus dem Internet eingehende Pakete werden geblockt, sofern sie von der Firewall nicht als Antwort auf vorher gesendete Pakete zugeordnet werden können (das nennt sich "stateful").

Quote from: thorba on November 01, 2025, 07:53:09 PMIm Umkehrschluss dürfte doch kein Zugriff mehr auf's/aus dem Internet möglich sein, wenn ich diese Regeln deaktiviere.
Richtig.

Quote from: thorba on November 01, 2025, 07:53:09 PMAlso habe ich sie mal deaktiviert. Trotzdem sind alle Internetseiten (z.B. web.de / heise.de / ...) noch erreichbar.
Das sollte nicht sein. Hast Du "Apply" geklickt? Erst dann werden Änderungen übernommen.

Quote from: thorba on November 01, 2025, 07:53:09 PMBeim Definieren von Internet-Regeln gibt es ja das Feld "Quelle": Hier gibt es ja den Eintrag "LAN Netz". Das müssten also alle Geräte aus meinem Netz sein.
Richtig, bzw. alle IP-Adressen aus den Netzen, die auf dem Interface konfiguriert sind (Interfaces > LAN). Sind dort z. B. 2001:db8::1/64 und 192.168.1.1/24 konfiguriert, dann greift die Regel bei allen Paketen mit den Quelladressen 2001:db8:: bis 2001:db8::ffff:ffff:ffff:ffff bzw. 192.168.1.1 bis 192.168.1.255.

Quote from: thorba on November 01, 2025, 07:53:09 PMWas ist dann aber der Eintrag "LAN Adresse"???
Das ist die Adresse des LAN-Interface selbst, im Beispiel also 2001:db8::1 bzw. 192.168.1.1. Als Quelladresse ergibt das nur in Ausnahmefällen Sinn, als Zieladresse aber häufiger.

Viel Erfolg noch beim Lernen!

Maurice
OPNsense virtual machine images
OPNsense aarch64 firmware repository

Commercial support & engineering available. PM for details (en / de).
November 02, 2025, 01:01:10 PM #3 Last Edit: November 02, 2025, 01:13:18 PM by thorba
Vielen Dank mal für eure Antworten.

Jetzt ist mir schon einiges klarer. Und ich habe wieder viel neues gelesen, was ich noch lernen kann ... :-)

Im Anhang habe ich mal zwei Bilder vom schematischen Aufbau meines Test-Netzwerkes angehängt. Im Moment teste ich nur mit einem Laptop - ich möchte die OPNsense noch nicht "produktiv", d.h. für mein gesamtes Netz verwenden. Dafür fühle ich mich noch zu unsicher bzw. unwissend. Da es für meine FritzBox aber keine Updates mehr gibt, möchte ich die OPNsense bald vielleicht einsetzen. Meint ihr, das ist o.k. - oder würdet ihr mir wegen meines "Anfängerstatus" davon abraten?


Wie man (hoffentlich) erkennen kann, habe ich in der FritzBox eine neue Netzwerkverbindung für die OPNsense erstellt (192.168.178.2). Diese IP wird der WAN-Schnittstelle der OPNsense über eine feste MAC-Adressen-Zuordnung von der FritzBox zur Verfügung gestellt. Die LAN-Schnittstelle der OPNsense hat die IP 192.168.22.1. Des weiteren habe ich hier auch noch DHCP aktiviert.

Mein ganzer Netzwerkverkehr ins Internet läuft also über die OPNsense. Darum dachte ich, dass durch die beiden Default-Regeln der Zugriff auf's Internet auf jeden fall komplett unterbunden werden muss - was es bei mir ja aber nicht macht???

Vielleicht ist es jetzt etwas nachvollziehbarer, woran es bei mir "hakt"??

Vielen Dank und viele Grüße
Sebastian
November 02, 2025, 01:37:44 PM #4
Das passt soweit. Deaktivieren der "Allow LAN to any"-Regeln sollte den Internetzugang für das Laptop unterbinden. Wie gesagt, "Apply" nicht vergessen. Ggfs. mal einen Screenshot der LAN-Firewall-Regeln posten.

Man kann OPNsense durchaus in der Standardkonfiguration produktiv einsetzen. Die Fritzbox wirst Du wahrscheinlich weiterhin als Kabelmodem benötigen, aber vielleicht kannst Du dort einen Bridge-Modus aktivieren. Dann bekommt OPNsense direkt vom DHCP-Server des Providers Adressen zugewiesen.

Grüße
Maurice
OPNsense virtual machine images
OPNsense aarch64 firmware repository

Commercial support & engineering available. PM for details (en / de).
November 02, 2025, 02:23:11 PM #5
Oder auf Deinem Laptop ist das WLAN nicht ausgeschaltet und Du hast zwei Netzverbindungen. Windows schaltet dann automatisch auf die funktionierende um.

Zum Thema "Ersatz von Fritzboxen": https://forum.opnsense.org/index.php?topic=39556 - dort steht auch ein bisschen etwas dazu, an was man noch alles denken muss. Die Fritzbox tut ja mehr als eine reine Firewall.
Intel N100, 4* I226-V, 2* 82559, 16 GByte, 500 GByte NVME, ZTE F6005

1100 down / 800 up, Bufferbloat A+
Print
Go Up Pages1
User actions