Mühsames Subnet aussperren

Started by MarroniJohny, September 22, 2025, 12:37:03 PM

Previous topic - Next topic
Print
Go Down Pages 1 2
User actions
September 22, 2025, 09:50:05 PM #15 Last Edit: September 22, 2025, 09:53:07 PM by MarroniJohny
Quote from: meyergru on September 22, 2025, 09:15:47 PMMal eine dumme Frage: Was sind eigentlich die Plesk_TCP_Ports? Doch nicht etwa 80 und 443?

Doch schon, ja. Wieso?

OPNsense model O.P. Frankenstein: Supermicro X10SLH-LN6TF > 3x X540, 1x Intel Quad NIC, E3-1281 v3, 32 GB ECC UDIMM 1333
September 22, 2025, 10:19:47 PM #16 Last Edit: September 22, 2025, 10:24:07 PM by meyergru
Naja. Dann ist es ziemlich klar. Die Anti-Lockout-Regel, die eigentlich für die UI der OpnSense gedacht ist, erlaubt den Zugriff für jedermann. Die der NAT-Regel zugeordnete Firewall-Regel greift dann nicht mehr, es sind ja die selben Ports.

Also solltest Du vorzugsweise den Port für die OpnSense von 443 auf einen alternativen Port verlegen und die Weiterleitung von Port 80 auf 443 für das UI abschalten oder unter Firewall: Settings: Advanced -> Disable anti-lockout einschalten (aber dann musst Du natürlich vorher selbst für den möglichen UI-Zugriff aus dem LAN sorgen).

 
Intel N100, 4* I226-V, 2* 82559, 16 GByte, 500 GByte NVME, ZTE F6005

1100 down / 800 up, Bufferbloat A+
September 23, 2025, 11:33:12 AM #17
hmm, okay. Kann ich die Regel nicht einfach dahingehend umgestalten, dass ich da nur vom LAN (Pilot Network) aus zugreifen kann? Das würde mir eigentlich reichen. Vom WAN aus will ich gar nicht, dass die Sense erreichbar ist.
OPNsense model O.P. Frankenstein: Supermicro X10SLH-LN6TF > 3x X540, 1x Intel Quad NIC, E3-1281 v3, 32 GB ECC UDIMM 1333
September 23, 2025, 12:37:47 PM #18
Genau das habe ich doch gesagt:

Quote from: meyergru on September 22, 2025, 10:19:47 PMAlso solltest Du vorzugsweise den Port für die OpnSense von 443 auf einen alternativen Port verlegen und die Weiterleitung von Port 80 auf 443 für das UI abschalten oder unter Firewall: Settings: Advanced -> Disable anti-lockout einschalten (aber dann musst Du natürlich vorher selbst für den möglichen UI-Zugriff aus dem LAN sorgen).

P.S.: Die Regel selbst kannst Du nicht "umgestalten", drück mal auf den Edit-Button und schau selbst, wohin Dich das führt...
Intel N100, 4* I226-V, 2* 82559, 16 GByte, 500 GByte NVME, ZTE F6005

1100 down / 800 up, Bufferbloat A+
September 25, 2025, 04:15:15 AM #19 Last Edit: September 25, 2025, 04:18:08 AM by MarroniJohny
Okay, musste da ellenlang mit der KI hin und her diskutieren, wieso da meine NAT Regel nicht zieht, und was das mit meiner Anti_Lockout_Rule zu tun hat. Habe das aber mittlerweile verstanden denk ich.

Aber kann ich jetzt mal bevor ich den Port zur Sense ändern muss (wtf?) wenigstens mal monitoren, auf welchen Dienst es die netten Ukrainer abgesehen haben? Die sind da weiterhin fleissig am Werk...



OPNsense model O.P. Frankenstein: Supermicro X10SLH-LN6TF > 3x X540, 1x Intel Quad NIC, E3-1281 v3, 32 GB ECC UDIMM 1333
September 25, 2025, 10:21:25 AM #20
Den Web GUI Port auf einen zu ändern, der nicht anderweitig genutzt wird, ist grundsätzlich zu empfehlen.

Warum die Anti-Lockout Regel am LAN irgendetwas vom WAN öffnet, ist mir aber nicht klar. Eine solche Erfahrung hatte ich auch noch nicht gemacht. Ich hätte angenommen, dass sich diese ausschließlich auf eingehende Verbindungen am LAN Interface auswirkt.

Für die Problemanalyse mit Verbindungen und Datenverkehr ist Firewall > Diagnostic > Packet Capture geeignet.
Print
Go Up Pages 1 2
User actions