Was ist das Ziel für das "Internet"? - gelöst

[srgn]

Hallo,

Ich habe eine Schnittstelle als DMZ eingerichtet. Möchte ich z.B. Pingen (z.B. auf 8.8.8.8 ) oder DNS erlauben (also von DMZ ins Internet) funktioniert das mit "WAN-Netzwerk" als Ziel nicht, mit "jeglich" als Ziel schon.
Ist eine beliebige Adresse im Internet nicht das WAN-Netzwerk?

Grüße
Sven

[Patrick M. Hausen]

Das WAN-Netzwerk sind genau die Adressen auf deiner WAN-Schnittstelle plus ggf. der Provider-Router und sonst nichts. Das Internet ist immer "*".

Hatten wir doch gerade erst in einem anderen Faden ...

[LHBL2003]

Jap in diesen: https://forum.opnsense.org/index.php?topic=26996.0

[srgn]

Danke für eure Antwort. Kann mir nicht erklären, warum ich den anderen Beitrag beim Suchen nicht gefunden habe.

[lenny]

Bisschen bin ich über die "Defintion" von WAN bei der OPN auch gestolpert.
Machen andere FW tw. anders.
Ansonsten baust du dir einfach ein Alias mit all deinen Internen Netzen negierst das ganze.

[superwinni2]

Noch besser wäre einfach ein Alias mit dem IP Bereichen der RFC1918. Da ist dann immer alles private Eingeschlossen. Das dann entsprechend in der Firewallregel negieren.


IP Bereiche von RFC1918:
10.0.0.0        -   10.255.255.255  (10/8 prefix)
172.16.0.0      -   172.31.255.255  (172.16/12 prefix)
192.168.0.0     -   192.168.255.255 (192.168/16 prefix)


Theoretisch kann man auch die Bereiche im Alias negieren.. das hat bei mir aber nie wirklich funktioniert...

[bimbar]

Schön wäre natürlich, wenn man vernünftig Ziel Interfaces filtern könnte (wie z.B. fortinet oder linux) - was man nicht kann ohne in eine merkwürdige Doppel Filter Situation zu kommen.

[Patrick M. Hausen]

Ich mache mir gerade Gedanken, ob das nicht einer der Anwendungsfälle für "out" Regeln sein könnte statt "in".

Situation:

RZ-Firewall mit N von uns betreuten Kunden, jeder Kunde mit seinem eigenen Netz in seinem eigenen VLAN.

Idee:
VLAN X in: permit from Kunde X to any
VLAN X out: deny from Gruppe "alle Kunden" to any

Hab ich noch nicht umgesetzt, kommt aber vielleicht. Jemand mit Bedenken oder Ergänzungen?

[bimbar]

So oder so ähnlich kann man das sicher lösen.

Es ist aber nicht schön.

Ich würde da lieber

VLAN X in: permit from Kunde X to ! Gruppe "alle Kunden"

machen.

[Patrick M. Hausen]

Ich will aber "von Kunde X zu alle anderen Kunden nach deren Policy, was sie als 'öffentlich' betrachten".

Das ist ja "Internet" und das sollte so aussehen als habe jeder Kunde seine eigene Firewall. Natürlich muss ich auch von einem gehosteten Server aus "www.spiegel.de" auf Port 80 und Port 443 erreichen können - steht ja öffentlich im Netz. Dasselbe gilt für alle Kunden untereinander ...

Firewalls, bei denen man bei Regeln Interfaces (oder "Zonen" in Sidewinder-Terminologie) angeben kann, haben es da einfacher.

Von <any> nach <Kundenzone> permit <Kunde public services>
Von <Kundenzone> nach <External/Internet> permit all (oder Einschränkung, wenn gewünscht)

Ich bin trotzdem sehr glücklich mit dem Wechsel zu 100% Open Source. Wir haben 5 Deciso-Appliances gekauft und unterstützden das Projekt dadurch. Ein Consulting-Kunde hat nochmal zwei für sich gekauft.

Gruß
Patrick