Anfänger - Nur Internet

Started by keebie, March 05, 2021, 10:39:24 AM

Previous topic - Next topic
Print
Go Down Pages1
User actions
March 05, 2021, 10:39:24 AM
Hallo liebe Gemeinde und bereits ein Entschuldigung für die Frage,

ich versuche mich seit einigen Stunden über die grundlegenden Regeln bei opnsense zu informieren, komme aber ohne DAU-Bilderanleitung nicht so richtig weiter  :-\

Ich möchte meinen LAN-Geräten nur den Zugang zum Internet erlauben und habe die Ports 53,80 & 443 als TCP/UPD für IPv4 eingerichtet.

Funktioniert auch, ich möchte nur einfach wissen ob meine Konfig wirklich  alles weitere aussperrt oder ob ich hier einen Fehler drin habe, weil mich die ganzen Einstellmöglichkeiten und Begrifflichkeiten überfordern  :-[

Deswegen im Anhang mal ein Screenshot:
March 05, 2021, 11:00:59 AM #1
Sieht ganz gut aus.

Du gibst damit aber dem LAN Netzwerk auch Zugriff auf deine anderen angeschlossenen Netzwerke (DMZ z.B.)
Aber ist es nur das eine LAN und WAN siehts schonmal ganz gut aus :)
(Unoffial Community) OPNsense Telegram Group: https://t.me/joinchat/0o9JuLUXRFpiNmJk

PM for paid support
March 05, 2021, 11:02:28 AM #2
Hallo und Willkommen,

Grundsätzlich brauchst du für dein Vorhaben nichts zu machen.

Die sense erlaubt von innen nach außen alles und die Antworten automatisch von außen nach innen. WAN ist grundsätzlich gesperrt.

Wenn du allerdings von innen nach außen sperren möchtest ist LAN das Interface an dem du die regeln setzen musst.

Dabei aber drauf achten das essentielle Dienste wie DNS nicht geblockt werden.

Gesendet mit Tapatalk pro

March 05, 2021, 11:16:03 AM #3 Last Edit: March 05, 2021, 12:48:41 PM by keebie
Vielen Dank für die Antworten!

@lidynia.sven
Bedeutet, ich hätte eigentlich die Einstellungen auch auf Default belassen können?

@lfirewall1243
Hmm, im nächsten Schritt würde mich tatsächlich intressieren, ob ich das LAN (192.168.1.1/24) was auch Zugriff auf den Adressbereich 192.168.0.1/24 hat, dahingehend isolieren kann. Also Geräte mit IP 192.168.1.1/24 in diesen Subnetz zu isolieren!
March 05, 2021, 11:30:59 AM #4
Dazu musst du vor deinen ALLOW Regeln eine Block Regel setzen

Quelle: LAN Netzwerk / ANY
ZIEL: 192.168.0.1/24
(Unoffial Community) OPNsense Telegram Group: https://t.me/joinchat/0o9JuLUXRFpiNmJk

PM for paid support
March 05, 2021, 11:47:29 AM #5
Quote from: keebie on March 05, 2021, 11:16:03 AM
Vielen Dank für die Antworten!

@lidynia.sven
Bedeutet, ich hätte eigentlich die Einstellungen auch auf Default belassen können?

@lfirewall1243
Hmm, im nächsten Schritt würde mich tatsächlich intressieren, ob ich das LAN (192.168.1.1/24) was auch Zugriff auf den Adressbereich 192.168.0.1/24 hat, dahingehend isolieren kann. Also Geräte mit IP 192.168.1.1/24 in diesen Subnetz zu isloieren!
Ja korrekt. Das hättest du auf default lassen können.


Gesendet mit Tapatalk pro

March 05, 2021, 11:48:06 AM #6
So hier?

March 05, 2021, 11:49:14 AM #7
Quote from: lidynia.sven on March 05, 2021, 11:47:29 AM
Quote from: keebie on March 05, 2021, 11:16:03 AM
Vielen Dank für die Antworten!

@lidynia.sven
Bedeutet, ich hätte eigentlich die Einstellungen auch auf Default belassen können?

@lfirewall1243
Hmm, im nächsten Schritt würde mich tatsächlich intressieren, ob ich das LAN (192.168.1.1/24) was auch Zugriff auf den Adressbereich 192.168.0.1/24 hat, dahingehend isolieren kann. Also Geräte mit IP 192.168.1.1/24 in diesen Subnetz zu isloieren!
Ja korrekt. Das hättest du auf default lassen können.


Gesendet mit Tapatalk pro
Wäre nur unsicherer.
Die default Regel dient eigentlich nur für den Anfang damit erstmal alles Funktioniert.
Wie bei jeder anderen Firewall sollte man aber nur das erlaube was auch benötigt wird (beim Websurfen eben Port 80 und 443) d.h. der Rest kann ruhig zu bleiben
(Unoffial Community) OPNsense Telegram Group: https://t.me/joinchat/0o9JuLUXRFpiNmJk

PM for paid support
March 05, 2021, 11:49:41 AM #8
Quote from: keebie on March 05, 2021, 11:48:06 AM
So hier?

Genau!
Wenn du mehrere Netze hast kannst du auch ein Alias anlegen.
Aber so passt es auf jeden Fall!
(Unoffial Community) OPNsense Telegram Group: https://t.me/joinchat/0o9JuLUXRFpiNmJk

PM for paid support
March 05, 2021, 12:44:54 PM #9
Danke dir!

Allerdings kann ich die Geräte mit dem Advanced IP Scanner noch anpingen bzw. sehen. Soll das so sein?
Der direkte Ping per CMD geht nicht.
March 05, 2021, 01:46:00 PM #10
Quote from: keebie on March 05, 2021, 12:44:54 PM
Danke dir!

Allerdings kann ich die Geräte mit dem Advanced IP Scanner noch anpingen bzw. sehen. Soll das so sein?
Der direkte Ping per CMD geht nicht.
Sind die vielleicht noch im Cache oder so ?
Starte Mal den Rechner neu.

Wenn du jetzt aber auf dem 192.168.0.xxx eine Allow Regel hast darf das Netz in dein LAN. - Nur so als Hinweis
(Unoffial Community) OPNsense Telegram Group: https://t.me/joinchat/0o9JuLUXRFpiNmJk

PM for paid support
March 05, 2021, 01:51:24 PM #11
Quote from: lfirewall1243 on March 05, 2021, 01:46:00 PM
Wenn du jetzt aber auf dem 192.168.0.xxx eine Allow Regel hast darf das Netz in dein LAN. - Nur so als Hinweis

Ist das aktuell konfiguriert?
March 05, 2021, 01:53:21 PM #12
Quote from: keebie on March 05, 2021, 01:51:24 PM
Quote from: lfirewall1243 on March 05, 2021, 01:46:00 PM
Wenn du jetzt aber auf dem 192.168.0.xxx eine Allow Regel hast darf das Netz in dein LAN. - Nur so als Hinweis

Ist das aktuell konfiguriert?
Mach Mal einen Netzwerkplan und Screenshots von der Regelübersicht der ganzen Schnittstellen
(Unoffial Community) OPNsense Telegram Group: https://t.me/joinchat/0o9JuLUXRFpiNmJk

PM for paid support
March 05, 2021, 02:15:30 PM #13
Achso, verstanden. Nee hab ich nicht, jetzt haut alles hin :)

Vielen Dank!
Print
Go Up Pages1
User actions