DMZ Netz Zugriff nur ins Internet aber nicht ins LAN

Started by Mathias, January 31, 2023, 11:17:50 AM

Previous topic - Next topic
Print
Go Down Pages1
User actions
January 31, 2023, 11:17:50 AM
Hallo,

ich habe an meiner Opnsense 3 Interface. WAN, LAN und DMZ. Ich möchte dass das LAN Netz ins Internet kommt und ins DMZ Netz. Ich möchte auch dass das DMZ Netz ins Internet kommt, aber keinen Zugriff ins LAN Netz hat. Ich habe jetzt die Regeln angelegt, doch leider kommt das DMZ Netz auch ins LAN Netz, was habe ich denn falsch gemacht?
January 31, 2023, 11:21:28 AM #1
FW-Regel für DMZ: allow any any. Und "any" schließt halt auch das LAN ein. Das ist keine FW-Regel, dass ist eine Katastrophe... ;-)
kind regards
chemlud
____
"The price of reliability is the pursuit of the utmost simplicity."
C.A.R. Hoare

felix eichhorns premium katzenfutter mit der extraportion energie

A router is not a switch - A router is not a switch - A router is not a switch - A rou....
January 31, 2023, 11:25:32 AM #2
Wie sollte Regel aussehen, dass die DMZ nur ins Internet darf und nicht ins LAN? Warum darf die DMZ ins LAN, wenn es auf dem LAN Interface keine Regel für eingehend gibt? Ist es nicht so, dass wenn es keine Regel für Eingehend gibt, dass der Tarffic dann geblockt wird?
January 31, 2023, 12:06:14 PM #3
Ohje, da fehlen alle Grundlagen einer stateful firewall...

"Das Internet" sind deine gewünschten Ports (443/80 und ggf. andere, z.B. 53, wenn du nicht mit der Sense dein DNS machst) AUßER den privaten IP-Bereichen (also z.B. dein LAN oder genereller alle privaten IP-.Bereiche, 192.168.... 172.16... 10....).
kind regards
chemlud
____
"The price of reliability is the pursuit of the utmost simplicity."
C.A.R. Hoare

felix eichhorns premium katzenfutter mit der extraportion energie

A router is not a switch - A router is not a switch - A router is not a switch - A rou....
January 31, 2023, 12:13:18 PM #4
Wenn ich eine Regel anlege DNZ NETZ > ICMP > WAN Netzwerk, dann sollte doch der Ping nur ins Internet erlaubt sein oder?
January 31, 2023, 12:15:11 PM #5
WAN-Netz ist wieder was anderes. Das ist das Netz, das an deinem WAN-Interface anliegt, nicht "das Internet"
kind regards
chemlud
____
"The price of reliability is the pursuit of the utmost simplicity."
C.A.R. Hoare

felix eichhorns premium katzenfutter mit der extraportion energie

A router is not a switch - A router is not a switch - A router is not a switch - A rou....
January 31, 2023, 12:30:06 PM #6
welche Netz muss ich dann als Ziel auswählen? Wähle ich Any aus, kann ich auch ins LAN Netz pingen.
January 31, 2023, 01:34:11 PM #7
LAN und "destination invert". Das bedeutet alles außer LAN.

Oder du machst erst eine deny Regel mit Ziel LAN und danach eine allow Regel mit Ziel any.
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
January 31, 2023, 03:28:20 PM #8
Hi, danke für die Hilfe, damit hat es funktioniert.
January 31, 2023, 03:31:53 PM #9
Quote from: pmhausen on January 31, 2023, 01:34:11 PM
LAN und "destination invert". Das bedeutet alles außer LAN.


Obacht! Wenn später noch ein OPT1 etc dazukommt, steht das dann in der DMZ. Lieber ein Alias mit allen lokalen Netzen und dann diesen mit invert für die FW-Regel verwenden.
kind regards
chemlud
____
"The price of reliability is the pursuit of the utmost simplicity."
C.A.R. Hoare

felix eichhorns premium katzenfutter mit der extraportion energie

A router is not a switch - A router is not a switch - A router is not a switch - A rou....
February 01, 2023, 08:28:58 AM #10
Du kannst auch GeoIP einrichten und dann dort einen Alias anlegen. Hat auch den Vorteil, dass man den "Rest" auch ein wenig eingrenzt. Ich wüsste z.B. nicht wieso meine DMZ nach Nordkorea & Co telefonieren sollte.
Print
Go Up Pages1
User actions