Firewall Regelbau

Started by Zapad, October 02, 2025, 04:56:47 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
October 02, 2025, 04:56:47 PM
Hallo,

eine frage:

was macht eher Sinn bzw erleichtert Verwaltungs aufwand.

1- Regel mit Quelle (Gruppe) und ziel port (einer)

oder

2- Quelle (Einzeln) und Ziel Ports (Gruppe)

Beispiel:

Quelle pc1 > ziel > jeglich: Ports: (https,http ntp, dns) und so weiter für jeden PC oder Vlan

das heisst für jede Regel pro Client Wiederholen sich die Ports.

oder

Quelle (pc1 pc2 pc3 etc.) > je 1 Port(HTTPS)

das heisst pc1, 2, 3 usw port nur Einer.

macht das was aus?
October 21, 2025, 04:51:32 PM #1
Hi,

auch wenns etwas her ist, würde ich das gern aufgreifen: "Keins von beidem".

Warum? Quelle einzeln oder mit mehreren (alias) heißt in vielen (fast allen) Fällen, dass irgendwas manuell an IPs rumgeraffelt wird. Entweder werden semi-statische IPs verteilt oder händisch statische vergeben, ansonsten bekommt man die Geräte nicht "zusammen" in einen Alias/Gruppe oder überhaupt mit Regel eingesammelt.

Ich werfe da in den Raum, das lieber - contra zum Kommentar in einem anderen Thread von Cedric :) - mit VLANs/Netzen zu machen. Warum nicht weniger weil overhead und komplex etc? Weil es an vielen Stellen das Setup unterminiert. Static IPs kann ich umgehen, vergebe mir einfach selbst ne andere etc. DHCP Reservierungen sind auch nicht sicher, die kann ich mir selbst vergeben, spoofe die MAC Adresse etc. etc.

Klar für zu Hause kann man das alles machen. Aber warum dann statt dessen nicht gleich die Features von OPNsense ausnutzen und sinnvolle Clientgruppen in diverse VLAN/Interfaces klemmen? Alles was bspw. "Media" macht und Streaming braucht, wird Internet brauchen mit diversen Ports etc. Alles was limitiert ist (weil man die Kids vllt. langsam ranlassen möchte) wird limitiert. Und dann zieht man die nicht einzeln manuell raus, sondern packt sie ins entsprechende Netz/VLAN rein. Da gibts dann eben Streamer, Kameras, Drucker, Server, Clients mit Internet, Clients ohne Internet, limitierte Clients, Clients hinter Portal etc. alle in ihrem eigenen Netz.

Hat man das gebaut, sind die Regeln gerade auch in Punkto IPv6 später wesentlich einfacher, weil man keine große "Quellangabe" mehr braucht. Quelle ist dann einfach das "Netz"-Alias (Clients_subnet, Server_subnet) etc. und gut. Kein versehentliches "oh ich hab dem einzelnen Client zu viel Rechte gegeben". Und vor allem kein Gefummel mehr wenn doch v6 dazu kommt. Dann will man kein DHCPv6 o.ä. machen nur um dem Client ne fixe Adresse zuzuweisen um ihn zu beschränken. Da passt dann der ganzen Wumms sofort mit Netz, SLAAC für IPv6 drauf, automatisch vergeben lassen und fertig, go, raus damit. :)

Da das ja durchaus häufiger mal gefragt wird beim Punkt "wie mach ich denn 'sichere' Regeln", wollte ich das an der Stelle mal aufgreifen!

Cheers :)
"It doesn't work!" is no valid error description! - Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense than no(n)sense at all! ;)

If you're interested in german-speaking business support, feel free to reach out via PM.
Today at 08:57:25 AM #2
leider ist meine Frage unbeantwortet.


Natürlich habe ich mein Netzwerk schön strukturiert, mit Vlan/Alias und kategorien etc.

Die Frage war eigentlch:_ für jeden Vlan/Alias eigene Port regeln erstellen oder
für "jeden" Port was man freigibt Vlan/Alias zuordnen.

was ist einfacher und auf veränderungen besser verwaltbar.

 wenn ein Neues Vlan dazu kommt, VlanX der Portregel HTTPS allow zuordnen
oder eigene Regel mit Alias VlanX erstellen und den Port HTTPS zuordnen.
Today at 09:34:23 AM #3
Verstehe die Anforderung nicht. Das sind die Regeln, die per Interface Group für alle meine VLANs außer LAN gelten:

Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
Print
Go Up Pages1
User actions