Firewall Rules

[feofan69]

Hallo zusammen,

irgendwie habe ich ein Problem mit Rules. Wie die funktionieren. Ich habe mehrere VLANs folgendes möchte ich erreichen:

VLAN5 darf nur mit VLAN2 kommunizieren
VLAN2 darf mit VLAN5 und WAN (internet kommunzieren)

Bei WatchGuard Firewall habe ich folgende Regel gemacht

VLAN2 out all ports WAN (Inteface WAN)
VLAN2 in und out all ports VLAN5
VLAN3 in und out all ports VLAN5

So geht leider bei leider bei OPNSense nicht. Nur das geht (see Attachement)

Aber so kommuniziere ich mit alle VLANs.

Wie kann man es anders gestalten?

[Monviech (Cedrik)]

Hallo,

das passiert weil eine Destination "Any" Regel den Verkehr "überallhin" erlaubt.

Entweder setzt du eine Block Regel darüber die den Zugang zu deinen Internen Netzen blockiert.

Oder du veränderst die Internetregel so, dass sie Destination Invertiert und einen RFC1918 Alias benutzt.

[feofan69]

Kann man any löschen und nur erlauben Regeln zu mache VLANs nach und nach einfügen? Und wie lautet Regel die erlaubt VLAN nur ins internet zugehen?

[kruemelmonster]

Hallo zusammen,

irgendwie habe ich ein Problem mit Rules....

Wie kann man es anders gestalten?

Wenn Du vlans anlegst sollten die im Grundzustand sowohl in's Internet als auch in jedes andere vlan Verbindungen aufbauen können. Das Routing macht OpnSense.

Es kommt drauf an, wie weit du den Datenverkehr einschränken willst.

Ich habe ebenfalls einige vlans. Die dürfen bei mir alle ins Internet, also dafür keine extra Regel.
Du kannst bei jedem vlan den ausgehenden Verkehr sperren. Ein-/Ausgehend immer aus Sicht der OpnSense gesehen.
Danach machst du entsprechende Regeln, die gezielt den erwünschten Datenverkehr erlauben. Musst nur auf die Sortierung der Regeln achten. Erlauben muss vor verbieten stehen. Die Regeln werden nacheinander geprüft, bei Treffer wird die betreffende Regel angewendet, restliche Regeln werden nicht mehr betrachtet.