Setup + Regeln so i.O.? + kleines ntp Problem

Started by Rocker, October 20, 2018, 09:36:19 AM

Previous topic - Next topic
Print
Go Down Pages1
User actions
October 20, 2018, 09:36:19 AM Last Edit: October 20, 2018, 11:40:12 AM by Rocker
Hallo,

ich würde mich sehr freuen, wenn ihr über mein angelegtes Regelwerk blicken könntet und mir sagen könntet ob ihr da irgendwo Probleme seht.

So sieht mein Setup aus (meine OPN sense hat 3 Schnittstellen WAN LAN DMZ)

      WAN / Internet
            :
            : Telekom VDSL
            :
      .-----+-----.
      |  Gateway  |  (Fritzbox 7590--> kein Exposed Host/ Wlan off nur Einwahl und Telefon)
      '-----+-----'
            |
     IP   192.168.0.0 inklusive zweier Port forwards für die DMZ
            |
      .-----+------.   private DMZ   .------------.
      |  OPNsense  +-----------------+ DMZ-Server
      '-----+------'   10.0.50.1/24  '------------'
            |
        LAN | 10.0.40.1/24
            |
      .-----+------.
      | LAN-Switch |
      '-----+------'
            |
    ...-----+------... (Clients/Servers/Wlan)  (es gibt kein Gäste Wlan -- UNIFI (Controller und AP´s)


Die Regeln die ich erstellt habe, sind als Bilder angefügt.

Ich habe einen Gaming PC und wollte Fragen wie ihr das mit den Port-Freigaben händelt, denn auch wenn ich  z.B. die Ports von Steam freigebe laufen die meisten Games eben nicht :( da immer wieder und immer wieder Ports fehlen...
aktuell kann eben dieser eine PC komplett nach draußen, aber das missfällt mir irgendwie...

Zudem habe ich versucht die NTP Abfragen automatisch an meine Opnsense per NAT Regel zu leiten, das funktioniert aber nicht so wie ich mir das vorstelle, ist es hier besser den NTP Port nach draußen zuzulassen damit sich die Clientes und Server ihre Uhrzeit selbst aus dem Inet beziehen?
z.B: aktuell habe ich einen Raspberry in Betrieb genommen, dieser bekommt einfach keine Uhrzeit zugeteilt. Die OPNsense selbst, verbindet sich aber ordnungsgemäß mit den zugewiesenen NTP Servern im Netz

Vielen lieben Dank

Gruß Rocker
October 26, 2018, 12:29:47 PM #1
Natürlich kann man Regeln auf dem LAN machen. Aber ganz ehrlich für einen Gaming PC (oder generell Arbeitsrechner), der halbwegs mit Sinn und Verstand aktuell gehalten wird - warum soll der nicht nach draußen alles machen dürfen? Dafür ist er im LAN und LAN sollte - zumindest halbwegs und nicht in Hochsicherheitsumgebungen - trusted sein. Dass man diverse Ports blockt oder auch gewisse Ziele - völlig OK.

Aber persönlich/privat halte ich das für totalen Overkill für den recht geringen Sicherheitsgewinn.

Gruß
"It doesn't work!" is no valid error description! - Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense as no(n)sense! ;)

If you're interested in german-speaking business support, feel free to reach out via PM.
October 29, 2018, 01:23:36 PM #2
Hallo,

vielen Dank für die Antwort, ich habe das Ganze so eingerichtet, da in dem Netzwerk eben noch PI´s Receiver usw sind, und die "telefonieren" schon viel...

Das könnte ich dann über ein gesondertes VLAN lösen in dem ich die "Trash" Sachen unterbringe oder?

Somit könnte ich das LAN regeltechnisch ausdünnen.

Gruß Rocker
November 05, 2018, 05:03:47 PM #3
Genau, dafür kann man sich diverse VLANs oder Zonen basteln, die man so reglementiert. Bei einem Gaming Rechner wo Mensch davor sitzt und seinen Kopf benutzt muss man ja schon ein wenig davon ausgehen, dass der halbwegs weiß was er tut ;)
Andere Automatismen oder Blackboxen wie Receiver und Co einfangen und begrenzen lässt sich dann damit recht gut lösen. :)
"It doesn't work!" is no valid error description! - Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense as no(n)sense! ;)

If you're interested in german-speaking business support, feel free to reach out via PM.
November 06, 2018, 06:20:31 PM #4
Ok,

dan werde ich das so umbauen, Danke für die Info.

Gruß Rocker
Print
Go Up Pages1
User actions