[gelöst]DMZ über "let out anything from firewall host itself" erreichbar

[jinn]

Hallo zusammen,

ich bin gerade dabei die OPNsense um eine DMZ zu erweitern.

LAN: 172.16.0.0/21
DMZ: 172.16.18.0/23

Bei den Regeln hatte ich das Problem, dass der Server aus der DMZ nicht auf den DNS im LAN zugreifen konnte.
Regel hatte ich folgendermaßen erstellt:
Interface: DMZ
Prot: UDP
Source: DMZ_Net
Dest: DNS_Server (Alias Gruppe)
Dest_Port: DNS

Interface: LAN
Prot: UDP
Source: DMZ_Net
Dest: DNS_Server (Alias Gruppe)
Dest_Port: DNS

Über eine Floating Rule funktionierte es dann:
Interface: DMZ, LAN
Prot: UDP
Source: DMZ_Net
Dest: DNS_Server (Alias Gruppe)
Dest_Port: DNS

Was mich aber mehr überrascht ist die Tatsache, dass ich auf Port 8080 in der DMZ zugreifen kann ohne dafür eine Regel erstellt zu haben.
IP: 172.16.2.123
DMZ: 172.16.19.5

Log:
action: pass
dir: out
dst: 172.16.19.5
dstport:8080
interface: lagg1 (DMZ LAGG)
label: let out anything from firewall host itself
protoname: tcp
reason: match
src: 172.16.2.123

Woran kann das liegen? Das sollte so ja auf keinen Fall funktionieren

[chemlud]

Um dazu etwas zu sagen müsste man alle Regeln auf deinem LAN kennen. Eine any-any Regel reicht und die Verbindung zwischen deinen Interfaces/Netzen steht offen....

[jinn]

danke, tatsächlich ist noch eine any-to-any vom lan in die DMZ regel aktiv -.-*

müsste es nicht dennoch eine income regel für die DMZ geben?

[chemlud]

Nein, Paket werden EINMAL evaluiert, an Hand der Firewallregeln für das ERSTE Interface, auf das sie treffen...

[jinn]

super, vielen dank! dann kann ich mir die "doppelten regeln" ja sparen >_<