FW Regel Oktette

Started by ziegler, October 23, 2022, 03:23:13 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
October 23, 2022, 03:23:13 PM
Hallo,

ich habe eine Frage die sich vielleicht nicht direkt auf die opnsense bezieht.
Es geht um FW-Regeln und die Oktette bei den Source und Destination IPs.

Ich habe ein LAN mit dem Client 192.168.1.10 und ein WLAN mit CLients, z.B. 192.168.2.14.
Die beiden Netze sind durch die FW getrennt.

Jetzt möchte ich aber mit dem Client 192.168.1.10 auf eine Sambafreigabe auf 192.168.2.14 zugreifen.
Dafür erstelle ich dann eine Regel auf dem LAN Inferface.
Dazu habe ich eine Frage zu den Oktetten bzw. zu den IPs die man angeben soll, kann.

Source 192.168.1.10/32 --> bedeutet nur die IP 192.168.1.10 ist als Source erlaubt
Destination --> 192.168.2.14/32 --> bedeutet nur die IP 192.168.2.14 ist als  Destination erlaubt
Alle anderen haben kein Zugriff

Wenn ich es so eintrage:
Source 192.168.1.10/32 --> bedeutet nur die IP 192.168.1.10 ist als Source erlaubt
Destination --> 192.168.2.14/24 --> bedeutet alle IPs im 4 Oktett sind erlaubt 192.168.2.x

Dazu meine Frage:
Wenn alle IP's im 4 Oktett so erlaubt sind, dann kann ich doch auch theoretisch dort jede beliebe IP aus dem Oktett eintagen, oder?
Also könnte ich auch 192.168.2.125/24 eintragen und ich hätte trotzdem Zugriff auf 192.168.2.14?
Oder gilt das dann ab Client mit der IP 192.168.2.125?
Oder macht es Sinn 192.168.2.1/24 einzutragen?

In der Doku habe ich dazu nur das hier gefunden:
Inspecting used netmasks is also a good idea, intending to match a host but providing a subnet is a mistake easily made (e.g. 192.168.1.1/32 vs 192.168.1.1/24 is in reality all of 192.168.1.x).

Wie macht Ihr das in diesem Fall?
October 23, 2022, 04:40:25 PM #1
Alles korrekt. x.y.z.0/24 == x.y.z.1/24 == x.y.z.2/24 ... x.y.z.255/24.

Das ist ja eine Und-Verknüpfung, d.h. das letzte Oktett wird immer genullt. In der Regel schreibt man das dann auch so, d.h. man schreibt 0 hin. Und manche UIs oder CLIs erlauben das nicht, da was anderes zu nehmen. Könnte ja verwirren  ;)

Weiß nicht auswendig, was die Sense da tut.

Immer wieder ein netter Test, ob der/die Azubi oder Kolleg*in IP verstanden hat  ;D
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
October 23, 2022, 05:01:20 PM #2
Die opnsense erlaubt da jede IP einzutragen, der Bereich gilt dann aber wohl immer für x.x.x.0 bis x.x.x.255.
Egal was dort dann als letztes Oktett eingetragen wurde.

Ich habe jetzt auch 192.168.2.0/24 eingetragen, das ist dann fürs Verständnis einfacher zu lesen.

Vielen Dank :-)
October 23, 2022, 05:05:41 PM #3
Wenn ich ein ganzes Netz angeben will, dann nehme ich auch immer die Netzadresse (hier .0), alles andere würde mich verwirren.
Afaik sieht es die Sense logisch und da ist es halt egal ob nun x.y.z.0/24 oder x.y.z.20/24 angegeben wird.

Blöd ist es daher, wenn man glaubt, dass man mit x.y.z.20/24 nur den Host mit der .20 anspricht, sieht man ja auch immer wieder...
i am not an expert... just trying to help...
October 23, 2022, 06:50:07 PM #4
Das mit dem nur den Host ansprechen ist mir auch passiert.
Hatte mich gewundert wieso ich einen Client erreiche obwohl das eigentlich gar nicht sein durfte.

Hatte das nämlich auch so x.y.z.20/24 angeben.

Aber jetzt bin ich etwas schlauer :-)

Ist alles nur privat bei mir in einer ganz kleinen Umbebung, nur aus Interesse.
Eine sense, ein AP und 3 Clients inklusive WLAN.
Print
Go Up Pages1
User actions