Anfänger - Nur Internet

[keebie]

Hallo liebe Gemeinde und bereits ein Entschuldigung für die Frage,

ich versuche mich seit einigen Stunden über die grundlegenden Regeln bei opnsense zu informieren, komme aber ohne DAU-Bilderanleitung nicht so richtig weiter 

Ich möchte meinen LAN-Geräten nur den Zugang zum Internet erlauben und habe die Ports 53,80 & 443 als TCP/UPD für IPv4 eingerichtet.

Funktioniert auch, ich möchte nur einfach wissen ob meine Konfig wirklich  alles weitere aussperrt oder ob ich hier einen Fehler drin habe, weil mich die ganzen Einstellmöglichkeiten und Begrifflichkeiten überfordern 

Deswegen im Anhang mal ein Screenshot:

[lfirewall1243]

Sieht ganz gut aus.

Du gibst damit aber dem LAN Netzwerk auch Zugriff auf deine anderen angeschlossenen Netzwerke (DMZ z.B.)
Aber ist es nur das eine LAN und WAN siehts schonmal ganz gut aus

[lidynia.sven]

Hallo und Willkommen,

Grundsätzlich brauchst du für dein Vorhaben nichts zu machen.

Die sense erlaubt von innen nach außen alles und die Antworten automatisch von außen nach innen. WAN ist grundsätzlich gesperrt.

Wenn du allerdings von innen nach außen sperren möchtest ist LAN das Interface an dem du die regeln setzen musst.

Dabei aber drauf achten das essentielle Dienste wie DNS nicht geblockt werden.

Gesendet mit Tapatalk pro

[keebie]

Vielen Dank für die Antworten!

@lidynia.sven
Bedeutet, ich hätte eigentlich die Einstellungen auch auf Default belassen können?

@lfirewall1243
Hmm, im nächsten Schritt würde mich tatsächlich intressieren, ob ich das LAN (192.168.1.1/24) was auch Zugriff auf den Adressbereich 192.168.0.1/24 hat, dahingehend isolieren kann. Also Geräte mit IP 192.168.1.1/24 in diesen Subnetz zu isolieren!

[lfirewall1243]

Dazu musst du vor deinen ALLOW Regeln eine Block Regel setzen

Quelle: LAN Netzwerk / ANY
ZIEL: 192.168.0.1/24

[lidynia.sven]

Vielen Dank für die Antworten!

@lidynia.sven
Bedeutet, ich hätte eigentlich die Einstellungen auch auf Default belassen können?

@lfirewall1243
Hmm, im nächsten Schritt würde mich tatsächlich intressieren, ob ich das LAN (192.168.1.1/24) was auch Zugriff auf den Adressbereich 192.168.0.1/24 hat, dahingehend isolieren kann. Also Geräte mit IP 192.168.1.1/24 in diesen Subnetz zu isloieren!

Ja korrekt. Das hättest du auf default lassen können.


Gesendet mit Tapatalk pro

[keebie]

So hier?

[lfirewall1243]

Vielen Dank für die Antworten!

@lidynia.sven
Bedeutet, ich hätte eigentlich die Einstellungen auch auf Default belassen können?

@lfirewall1243
Hmm, im nächsten Schritt würde mich tatsächlich intressieren, ob ich das LAN (192.168.1.1/24) was auch Zugriff auf den Adressbereich 192.168.0.1/24 hat, dahingehend isolieren kann. Also Geräte mit IP 192.168.1.1/24 in diesen Subnetz zu isloieren!

Ja korrekt. Das hättest du auf default lassen können.


Gesendet mit Tapatalk pro

Wäre nur unsicherer.
Die default Regel dient eigentlich nur für den Anfang damit erstmal alles Funktioniert.
Wie bei jeder anderen Firewall sollte man aber nur das erlaube was auch benötigt wird (beim Websurfen eben Port 80 und 443) d.h. der Rest kann ruhig zu bleiben

[lfirewall1243]

So hier?

Genau!
Wenn du mehrere Netze hast kannst du auch ein Alias anlegen.
Aber so passt es auf jeden Fall!

[keebie]

Danke dir!

Allerdings kann ich die Geräte mit dem Advanced IP Scanner noch anpingen bzw. sehen. Soll das so sein?
Der direkte Ping per CMD geht nicht.

[lfirewall1243]

Danke dir!

Allerdings kann ich die Geräte mit dem Advanced IP Scanner noch anpingen bzw. sehen. Soll das so sein?
Der direkte Ping per CMD geht nicht.

Sind die vielleicht noch im Cache oder so ?
Starte Mal den Rechner neu.

Wenn du jetzt aber auf dem 192.168.0.xxx eine Allow Regel hast darf das Netz in dein LAN. - Nur so als Hinweis

[keebie]

Wenn du jetzt aber auf dem 192.168.0.xxx eine Allow Regel hast darf das Netz in dein LAN. - Nur so als Hinweis

Ist das aktuell konfiguriert?

[lfirewall1243]

Wenn du jetzt aber auf dem 192.168.0.xxx eine Allow Regel hast darf das Netz in dein LAN. - Nur so als Hinweis

Ist das aktuell konfiguriert?

Mach Mal einen Netzwerkplan und Screenshots von der Regelübersicht der ganzen Schnittstellen

[keebie]

Achso, verstanden. Nee hab ich nicht, jetzt haut alles hin

Vielen Dank!