Netzwerk Frage

Started by snorri, February 12, 2019, 11:42:03 AM

Previous topic - Next topic
Print
Go Down Pages1
User actions
February 12, 2019, 11:42:03 AM
Hallo

habe jetzt am We mein OPNsense in Betrieb genommen., sowei so gut...

Ich habe da noch ein Problem das ich nicht gelöst bekomme. Ich habe 4 x Lan, WAN, LAN, WLAN, DMZ.
wenn ich nun im WLAN bin kann ich auf das Lan zugreifen und umgekehrt. (z.B. Drucker) Wie kann ich verhindern das die Geräte ohne Spezielle freigaben untereinander sich sehen??? Ich hatte vorher IPFIRE und dort war der Zugriff untereinander standesmäßig geblockt.

MfG Franko
February 12, 2019, 11:55:56 AM #1
Hast du "allow any any" Regeln auf z.B. WLAN? Dann oberhalb (!) "block WLAN LAN" und "block WLAN DMZ" Regeln auf diesem Interface einfügen.

Sinngemäß für die übrigen Interface den Verkehr zu unerwünschten Interfaces ausschließen.
kind regards
chemlud
____
"The price of reliability is the pursuit of the utmost simplicity."
C.A.R. Hoare

felix eichhorns premium katzenfutter mit der extraportion energie

A router is not a switch - A router is not a switch - A router is not a switch - A rou....
February 12, 2019, 12:14:09 PM #2
ich glaub ich stehe grade auf dem schlauch .....  ???

ich habe IPV4+6 gesperrt und dann die wichtigsten Ports freigegeben  WEB+Mail+DNS
sollte aber auf "allow any any" stehen ? wo trage ich dann >block WLAN DMZ< ein?

MfG Franko

February 12, 2019, 01:47:41 PM #3
Nein, wenn du OBERHALB deiner allow rules für spezifische Ports eine Regel einfügst, die den Zugriff AUS dem spezifischen Subnetz (z.B. WLANnet) IN das unerwünschte Netz (z.B. LANnet) verbietet, hast du erreichst, was du wolltest. WAN kommt nicht mehr in's LAN Netz.

Screenshot deiner FW-rules wäre sicher sinnvoll ;-)
kind regards
chemlud
____
"The price of reliability is the pursuit of the utmost simplicity."
C.A.R. Hoare

felix eichhorns premium katzenfutter mit der extraportion energie

A router is not a switch - A router is not a switch - A router is not a switch - A rou....
February 12, 2019, 04:44:48 PM #4
Hi.

Unabhängig von deiner Frage würde ich ich über LAN, WLAN eine Bridge erstellen.
Dann ersparst du dir doppelte Rules.

Fg
February 12, 2019, 08:26:12 PM #5
Also mein Firewall im Wlan sieht so aus

     Protokoll    Quelle    Port    Ziel    Port    Gateway    Zeitplan    Beschreibung    
      
      IPv4 TCP/UDP    *    *    *    53 (DNS)    *          
      IPv4 TCP/UDP    *    *    *    80 (HTTP)    *          
      IPv4 TCP/UDP    *    *    *    443 (HTTPS)    *          
      IPv4 TCP/UDP    *    *    *    465 (SMTP/S)    *          
      IPv4 TCP/UDP    *    *    *    993 (IMAP/S)    *          
      IPv4 TCP/UDP    *    *    *    995 (POP3/S)    *          
      IPv4 TCP/UDP    *    *    *    587 (SUBMISSION)    *
alle auf erlaubt

wenn ich jetzt an 1. Stelle die DMZ sperre passiert nichts oder bin ich auf dem Holzweg?

Protokoll    Quelle    Port    Ziel    Port    Gateway    Zeitplan    Beschreibung    
   x   IPv4+6 *    Wlan Adresse    *    DMZ Netzwerk    *    *

MfG Franko
February 13, 2019, 02:16:54 PM #6
so habe noch was gefunden und steige nun langsam dahinter .... ::)

>FreeBSD filtert auf OSI Layer 3 den Traffic innerhalb einer Bridge<

das benötige ich aber in meinen Heimnetzwerk nicht....

net.link.bridge.pfil_member = 0
net.link.bridge.pfil_bridge = 0

>Anschließend behandelt das System Bridges ganz normal auf OSI Layer 2. Sprich man hat einen virtuellen Switch, der Traffic wird nicht gefiltert.<

macht das sinn ?

MfG Franko
Print
Go Up Pages1
User actions