Home
Help
Search
Login
Register
OPNsense Forum
»
International Forums
»
German - Deutsch
»
[gelöst] Firewall Frage bezüglich Reihenfolge
« previous
next »
Print
Pages: [
1
]
Author
Topic: [gelöst] Firewall Frage bezüglich Reihenfolge (Read 4660 times)
theq86
Sr. Member
Posts: 272
Karma: 37
[gelöst] Firewall Frage bezüglich Reihenfolge
«
on:
January 03, 2018, 09:38:17 pm »
Hallo, ich habe folgende Regeln:
LAN: IPv4+6 | Quelle:LAN-Netzwerk | Ziel: * | erlauben
WAN: IPv4+6 | Quelle:* | Ziel: * | blockieren
Von der Reihenfolge liegen beide Regeln ganz oben in ihrem jeweiligen Tab.
Meine Frage: Warum greift die Block-Regel in WAN nicht? Ich kann von allen Clients aus ins Internet.
Normalerweise kommt ein Paket von meinem Client ja über LAN rein. LAN sagt ich darf überall hin und lässt das Paket durch. Jetzt muss das Paket ja über die WAN Schnittstelle, weil es ins Internet will. WAN müsste jetzt eigentlich sagen: Mir alles egal, hier kommt nix durch! Tut es aber nicht.
Darum die Frage: Sorgt der Positivtreffer auf LAN automatisch auch für ein Durchlassen auf WAN
«
Last Edit: January 03, 2018, 10:17:14 pm by nasq
»
Logged
fabian
Hero Member
Posts: 2769
Karma: 200
OPNsense Contributor (Language, VPN, Proxy, etc.)
Re: Firewall Frage bezüglich Reihenfolge
«
Reply #1 on:
January 03, 2018, 09:42:10 pm »
die Regeln filtern eingehend und nicht ausgehend - zusätzlich ist pf stateful. Das heißt wenn das Paket durch ist, werden auch die folgenden erlaubt.
Logged
theq86
Sr. Member
Posts: 272
Karma: 37
Re: Firewall Frage bezüglich Reihenfolge
«
Reply #2 on:
January 03, 2018, 09:45:30 pm »
Gut zu wissen. Ich dachte bisher, ich kann je nachdem wie ich Source und Dest wähle entscheiden, ob es eine in oder out Regel ist. Und dass Pakete beim Eingehen und beim Ausgehen vom Interface behandelt werden.
Daher macht ja dann eine Regel wie die "Default allow LAN to any rule" (das ist die erste Regel aus meinem Vorpost) gar keinen Sinn ?!?
Edit: Einen Moment nachdenken ... denk ...denk ... denk ...
Für die FW ist ja meine ausgehende Clientverbindung eine auf LAN eingehende. Also macht sie schon Sinn.
«
Last Edit: January 03, 2018, 09:50:12 pm by nasq
»
Logged
chemlud
Hero Member
Posts: 2488
Karma: 112
Re: [gelöst] Firewall Frage bezüglich Reihenfolge
«
Reply #3 on:
January 04, 2018, 12:26:20 am »
Ohne die "allow any" Regel auf LAN geht gar nichts raus. MIT der Regel, darf ALLES raus. Keine gute Wahl. Eine "allow any" Regel sollte man (wenn überhaupt) höchstens zum Testen kurz einrichten, dann seine allow Regeln für spezielle Clients im LAN/Ports definieren.
Stateful bedeutet: Wenn du eine allow Regel im LAN hast und damit eine Adresse im WAN kontaktierst werden auch die Pakete am WAN Interface durchgelassen (da beim verlassen der Pakte durch das WAN Interface ein State in die entsprechende Tabelle eingetragen wurde. Daher kann z.B. bei Regeln mit Schedule auch nach dem block im Schedule noch Datenverkehr fließen (da bereits ein State besteht). Nur wenn du auch die States zu dem betreffenden Client killst wird SICHER nach dem erreichen der Sperrzeit im Schedule auch der Datenaustausch unterbunden...
Logged
kind regards
chemlud
____
"The price of reliability is the pursuit of the utmost simplicity."
C.A.R. Hoare
felix eichhorns premium katzenfutter mit der extraportion energie
A router is not a switch - A router is not a switch - A router is not a switch - A rou....
Print
Pages: [
1
]
« previous
next »
OPNsense Forum
»
International Forums
»
German - Deutsch
»
[gelöst] Firewall Frage bezüglich Reihenfolge