OPNsense
  • Home
  • Help
  • Search
  • Login
  • Register

  • OPNsense Forum »
  • International Forums »
  • German - Deutsch »
  • Regelwerk wird nicht berücksichtigt.
« previous next »
  • Print
Pages: [1]

Author Topic: Regelwerk wird nicht berücksichtigt.  (Read 1508 times)

bademeister

  • Newbie
  • *
  • Posts: 3
  • Karma: 0
    • View Profile
Regelwerk wird nicht berücksichtigt.
« on: May 18, 2020, 07:05:01 pm »
Hallo zusammen,

ich arbeite mich gerade in das Regelwerk ein. Habe Erfahrungen mit pfSense und verzweifel gerade.

Meine OPNsense-Installation bezieht sich auf die Version 20.1.

Die Grundkonfiguration hat für das LAN-Interface zwei Regeln erstellt. Jeweils für IPv4 und IPv6 nach dem Motto "Alles kann durch". Ein eigenes Regelwerk soll den Datenverkehr im Beispiel nur für einen Rechner im LAN erlauben. Um quasi in letzter Instanz alles zu blocken, was durch vorherige Regeln nicht geregelt werden konnte habe ich ebenfalls berücksichtigt. Ich weiß, dass dies automatisch berücksichtigt wird, ich möchte allerdings den geblockten Verkehr loggen. Folgende Zeilen sollen die Reihenfolge und vereinfacht die Logik veranschaulichen:

Allow IPv4 TCP/IP     Host 192.168.230.10/24     Port 443, 53
Block IPv4 TCP/IP     LAN net
Allow IPv4 TCP/IP     LAN net
Allow IPv6 TCP/IP     LAN net

Mein Kenntnisstand sagt, dass alle Regeln von oben nach unten abgearbeitet werden.
Deaktiviere ich die vorinstallierten letzten beiden Regeln, die alles erlauben, geht nichts mehr, obwohl die oberste Regel den Verkehr erlaubt. Es greift aber eine automatisch generierte Block-Regel aus den "Floating Rules". Mir ist das noch zu schwammig, was die floating rules und insbesondere die automatisch generierten Regeln betrifft. Was steckt genau dahinter und wie habe ich Einfluss auf diese automatischen Regeln?

Zur besseren Veranschaulichung hier ein Blockbild:

Internet
            :
            : Cable-Provider (Unitymedia/Vodafone)
            :
      .-----+-----.
      |  Gateway  |  (Fritzbox)
      '-----+-----'   LAN: 10.110.180.10
            |
            |
            |
      .-----+------.  WAN: 10.110.180.110 (Gateway: 10.110.180.10)
      |  OPNsense |
      '-----+------'  LAN: 192.168.230.10
            |
            |
            PC (192.168.230.210)

Vielen Dank im Voraus
« Last Edit: May 19, 2020, 08:45:58 am by bademeister »
Logged

Domi741

  • Full Member
  • ***
  • Posts: 113
  • Karma: 7
    • View Profile
Re: Regelwerk wird nicht berücksichtigt.
« Reply #1 on: May 20, 2020, 07:11:41 pm »
Hey,

Kannst du mal einen Screenshot deiner Regeln posten?
Das wäre einfach als deine Auflistung. Aus der Auflistung gehen Src und Dst nicht wirklich hervor.

Liebe Grüße


Gesendet von iPhone mit Tapatalk Pro
Logged

Maurice

  • Hero Member
  • *****
  • Posts: 1213
  • Karma: 158
    • View Profile
    • GitHub
Re: Regelwerk wird nicht berücksichtigt.
« Reply #2 on: May 20, 2020, 07:58:00 pm »
Abarbeitung von oben nach unten ist korrekt. Es werden aber zuerst die Floating-Regeln abgearbeitet und danach erst die Interface-Regeln. Außerdem kommt es darauf an, ob eine Regel "quick" ist. Es gewinnt immer die erste matchende Quick-Regel. Falls keine Quick-Regel matcht, dann gewinnt die letzte matchende Regel.

Die Default-Deny-Regel ist floating, aber nicht quick. Die matcht immer, es werden aber anschließend noch weitere Regeln abgearbeitet. Nur falls es keine andere matchende Regel gibt greift die Default Deny wirklich.

Falls bei dir also die Default Deny greift, dann matcht deine Pass-Regel nicht.
« Last Edit: May 20, 2020, 08:01:01 pm by Maurice »
Logged
OPNsense virtual machine images
OPNsense aarch64 firmware repository

Commercial support & engineering available. PM for details (en / de).
  • Print
Pages: [1]
« previous next »
  • OPNsense Forum »
  • International Forums »
  • German - Deutsch »
  • Regelwerk wird nicht berücksichtigt.
 

OPNsense is an OSS project © Deciso B.V. 2015 - 2024 All rights reserved
  • SMF 2.0.19 | SMF © 2021, Simple Machines
    Privacy Policy     | XHTML | RSS | WAP2