Was ist das Ziel für das "Internet"? - gelöst

Started by srgn, February 17, 2022, 04:28:39 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
February 17, 2022, 04:28:39 PM Last Edit: February 17, 2022, 06:38:31 PM by srgn
Hallo,

Ich habe eine Schnittstelle als DMZ eingerichtet. Möchte ich z.B. Pingen (z.B. auf 8.8.8.8 ) oder DNS erlauben (also von DMZ ins Internet) funktioniert das mit "WAN-Netzwerk" als Ziel nicht, mit "jeglich" als Ziel schon.
Ist eine beliebige Adresse im Internet nicht das WAN-Netzwerk?

Grüße
Sven
February 17, 2022, 05:28:14 PM #1
Das WAN-Netzwerk sind genau die Adressen auf deiner WAN-Schnittstelle plus ggf. der Provider-Router und sonst nichts. Das Internet ist immer "*".

Hatten wir doch gerade erst in einem anderen Faden ...
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
February 17, 2022, 05:31:51 PM #2
February 17, 2022, 06:39:15 PM #3
Danke für eure Antwort. Kann mir nicht erklären, warum ich den anderen Beitrag beim Suchen nicht gefunden habe.
February 18, 2022, 08:42:22 AM #4
Bisschen bin ich über die "Defintion" von WAN bei der OPN auch gestolpert.
Machen andere FW tw. anders.
Ansonsten baust du dir einfach ein Alias mit all deinen Internen Netzen negierst das ganze.
February 20, 2022, 11:24:19 AM #5 Last Edit: February 21, 2022, 02:36:48 PM by superwinni2
Noch besser wäre einfach ein Alias mit dem IP Bereichen der RFC1918. Da ist dann immer alles private Eingeschlossen. Das dann entsprechend in der Firewallregel negieren.


IP Bereiche von RFC1918:
10.0.0.0        -   10.255.255.255  (10/8 prefix)
172.16.0.0      -   172.31.255.255  (172.16/12 prefix)
192.168.0.0     -   192.168.255.255 (192.168/16 prefix)


Theoretisch kann man auch die Bereiche im Alias negieren.. das hat bei mir aber nie wirklich funktioniert...
Proxmox VE
i3-4030U | 16 GB RAM | 512 GB SSD | 500 GB HDD
i3-2350M | 16 GB RAM | 120 GB SSD | 500 GB HDD

FW VMs:
2 Cores | 1 GB RAM | 20 GB SSD
February 21, 2022, 02:12:29 PM #6
Schön wäre natürlich, wenn man vernünftig Ziel Interfaces filtern könnte (wie z.B. fortinet oder linux) - was man nicht kann ohne in eine merkwürdige Doppel Filter Situation zu kommen.
February 21, 2022, 02:34:33 PM #7
Ich mache mir gerade Gedanken, ob das nicht einer der Anwendungsfälle für "out" Regeln sein könnte statt "in".

Situation:

RZ-Firewall mit N von uns betreuten Kunden, jeder Kunde mit seinem eigenen Netz in seinem eigenen VLAN.

Idee:
VLAN X in: permit from Kunde X to any
VLAN X out: deny from Gruppe "alle Kunden" to any

Hab ich noch nicht umgesetzt, kommt aber vielleicht. Jemand mit Bedenken oder Ergänzungen?
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
February 22, 2022, 02:29:26 PM #8
So oder so ähnlich kann man das sicher lösen.

Es ist aber nicht schön.

Ich würde da lieber

VLAN X in: permit from Kunde X to ! Gruppe "alle Kunden"

machen.
February 22, 2022, 02:37:22 PM #9
Ich will aber "von Kunde X zu alle anderen Kunden nach deren Policy, was sie als 'öffentlich' betrachten".

Das ist ja "Internet" und das sollte so aussehen als habe jeder Kunde seine eigene Firewall. Natürlich muss ich auch von einem gehosteten Server aus "www.spiegel.de" auf Port 80 und Port 443 erreichen können - steht ja öffentlich im Netz. Dasselbe gilt für alle Kunden untereinander ...

Firewalls, bei denen man bei Regeln Interfaces (oder "Zonen" in Sidewinder-Terminologie) angeben kann, haben es da einfacher.

Von <any> nach <Kundenzone> permit <Kunde public services>
Von <Kundenzone> nach <External/Internet> permit all (oder Einschränkung, wenn gewünscht)

Ich bin trotzdem sehr glücklich mit dem Wechsel zu 100% Open Source. Wir haben 5 Deciso-Appliances gekauft und unterstützden das Projekt dadurch. Ein Consulting-Kunde hat nochmal zwei für sich gekauft.

Gruß
Patrick
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
Print
Go Up Pages1
User actions