Frage zu Firewall Regel

[bobbis]

Hallo,

ich habe eine Regel unter LAN angelegt:

Code Select Expand

IPv4 TCP LAN Netzwerk * * 80 (HTTP) * * Allow LAN to HTTP
damit sollten alle klients vom LAN's in "Internet" auf Port 80 HTTP zugreifen können.
Wenn ich in der "Liveansicht" nachschaue sehe ich folgendes zu dieser Regel:

Code Select Expand

> wan    Feb 13 20:50:15 192.168.200.10:49959 144.76.154.165:80    tcp let out anything from firewall host itself [i]
> lan    Feb 13 20:50:15 192.168.3.33:45220 144.76.154.165:80    tcp Allow LAN to HTTP [i]
> lan    Feb 13 20:50:15 192.168.3.33:36687 192.168.3.1:53       udp Allow DNS, LAN to FW [i]


Wenn ich es ganz genau gezielt Regeln möchte, den Zugriff, dann sollte man doch eigentlich 2 Regeln benötigen für das obige Prinzip.  Weil zu sehen ist erste Anfrage DNS, dann Zugriff von "LAN" Interface auf das "Internet" und dann das "WAN" Interface Zugriff auf das "Internet" (alle Port 80)

Also eine Regel die den Zugriff vom "LAN" Interface auf das "WAN" Interface zulässt und eine 2te Regel die dann vom "WAN" auf das "Internet" zulässt ... !?!?!?!

192.168.200.10 = WAN Interface
192.168.3.1 = OPNsense
192.168.3.33 = Klient-PC

Wobei ich aber auch nicht verstehe warum erst das "LAN" Interface korrekter Weise auf das "Internet" zugreift und dann das "WAN" Interface übernimmt ... ist mir ein Rätsel diese Ablauffolge... vielleicht kann mich mal jemand aufklären was ich nicht so ganz verstehe im zusammen hang von der Liveansicht und den Regeln ...
Danke

[superwinni2]

Glückwunsch

Jetzt fehlt nur noch deine Frage ;)

Gesendet von meinem LG-H815 mit Tapatalk

[ArminF]

Ich versuchs mal.

Die Firewall übernimmt die Anfrage scannt und bearbeitet diese und sendet sie.
Die Antwort ist dann statefull also findet Ihren weg wieder zurück.

LAN -> LAN interface (übergabe) WAN Interface -> WAN
Mit den scannern wie IDS, IPS, AntiVirus oder Proxy kann die Firewall die Anfrage genauer untersuchen.
Diese Module sitzen zwischen den Interfaces sozusagen.

Aber leg mal Aliase an damit kannst Du dann Ports gruppieren. Wie als Beispiel alle Internet Ports
(80, 443) falls Du mobile Geräte hast nimm grad noch 5222, 5223 und 5228 dazu.

Hoffe das hilft Dir weiter.
Armin

[bobbis]

Ich versuchs mal.

Die Firewall übernimmt die Anfrage scannt und bearbeitet diese und sendet sie.
Die Antwort ist dann statefull also findet Ihren weg wieder zurück.

LAN -> LAN interface (übergabe) WAN Interface -> WAN
Mit den scannern wie IDS, IPS, AntiVirus oder Proxy kann die Firewall die Anfrage genauer untersuchen.
Diese Module sitzen zwischen den Interfaces sozusagen.

Aber leg mal Aliase an damit kannst Du dann Ports gruppieren. Wie als Beispiel alle Internet Ports
(80, 443) falls Du mobile Geräte hast nimm grad noch 5222, 5223 und 5228 dazu.

Hoffe das hilft Dir weiter.
Armin

Hallo Armin,

danke für deine Antwort aber das hilft mir so nicht weiter oder ich verstehe es nicht, ...warum der dritte Eintrag aus der Liveansicht, dann die Verbindung vom "WAN" Interface initiert wird und nicht wie zuvor, die Verbindung vom klienten,hinter dem "LAN" Interface initiert bzw. fortgesetzt wird !... Und zum anderen würde dann die Regel (Port 80), nach meinem jetzigen Verständnis nur das "LAN" Interface treffen aber nicht das "WAN" Interface, ... dann bräuchte es doch eigentlich, für exakte Genauigkeit, noch eine zweite Regel die dann die Verbindung vom "WAN" Interface machted ...oder nicht ?
Danke

[lfirewall1243]

Hi,

nein das passt alle schon so wie die OPNsense das macht. Schaue dir mal das Grundprinzip vpn Statefull und Stateless beim Thema Firewall an :)