OPNsense
  • Home
  • Help
  • Search
  • Login
  • Register

  • OPNsense Forum »
  • International Forums »
  • German - Deutsch (Moderator: JeGr) »
  • [gelöst]DMZ über "let out anything from firewall host itself" erreichbar
« previous next »
  • Print
Pages: [1]

Author Topic: [gelöst]DMZ über "let out anything from firewall host itself" erreichbar  (Read 1154 times)

jinn

  • Newbie
  • *
  • Posts: 40
  • Karma: 5
    • View Profile
[gelöst]DMZ über "let out anything from firewall host itself" erreichbar
« on: December 28, 2018, 12:39:30 pm »
Hallo zusammen,

ich bin gerade dabei die OPNsense um eine DMZ zu erweitern.

LAN: 172.16.0.0/21
DMZ: 172.16.18.0/23

Bei den Regeln hatte ich das Problem, dass der Server aus der DMZ nicht auf den DNS im LAN zugreifen konnte.
Regel hatte ich folgendermaßen erstellt:
Interface: DMZ
Prot: UDP
Source: DMZ_Net
Dest: DNS_Server (Alias Gruppe)
Dest_Port: DNS

Interface: LAN
Prot: UDP
Source: DMZ_Net
Dest: DNS_Server (Alias Gruppe)
Dest_Port: DNS

Über eine Floating Rule funktionierte es dann:
Interface: DMZ, LAN
Prot: UDP
Source: DMZ_Net
Dest: DNS_Server (Alias Gruppe)
Dest_Port: DNS

Was mich aber mehr überrascht ist die Tatsache, dass ich auf Port 8080 in der DMZ zugreifen kann ohne dafür eine Regel erstellt zu haben.
IP: 172.16.2.123
DMZ: 172.16.19.5

Log:
action: pass
dir: out
dst: 172.16.19.5
dstport:8080
interface: lagg1 (DMZ LAGG)
label: let out anything from firewall host itself
protoname: tcp
reason: match
src: 172.16.2.123

Woran kann das liegen? Das sollte so ja auf keinen Fall funktionieren
« Last Edit: January 03, 2019, 09:29:45 am by jinn »
Logged

chemlud

  • Hero Member
  • *****
  • Posts: 956
  • Karma: 45
    • View Profile
Re: DMZ über "let out anything from firewall host itself" erreichbar
« Reply #1 on: December 29, 2018, 02:29:53 pm »
Um dazu etwas zu sagen müsste man alle Regeln auf deinem LAN kennen. Eine any-any Regel reicht und die Verbindung zwischen deinen Interfaces/Netzen steht offen....
Logged
kind regards
chemlud
____
"The price of reliability is the pursuit of the utmost simplicity."
C.A.R. Hoare

jinn

  • Newbie
  • *
  • Posts: 40
  • Karma: 5
    • View Profile
Re: DMZ über "let out anything from firewall host itself" erreichbar
« Reply #2 on: January 02, 2019, 09:27:42 am »
danke, tatsächlich ist noch eine any-to-any vom lan in die DMZ regel aktiv -.-*

müsste es nicht dennoch eine income regel für die DMZ geben?
« Last Edit: January 02, 2019, 10:25:01 am by jinn »
Logged

chemlud

  • Hero Member
  • *****
  • Posts: 956
  • Karma: 45
    • View Profile
Re: DMZ über "let out anything from firewall host itself" erreichbar
« Reply #3 on: January 02, 2019, 04:59:30 pm »
Nein, Paket werden EINMAL evaluiert, an Hand der Firewallregeln für das ERSTE Interface, auf das sie treffen...
Logged
kind regards
chemlud
____
"The price of reliability is the pursuit of the utmost simplicity."
C.A.R. Hoare

jinn

  • Newbie
  • *
  • Posts: 40
  • Karma: 5
    • View Profile
Re: DMZ über "let out anything from firewall host itself" erreichbar
« Reply #4 on: January 03, 2019, 09:29:22 am »
super, vielen dank! dann kann ich mir die "doppelten regeln" ja sparen >_<
Logged
  • Print
Pages: [1]
« previous next »
  • OPNsense Forum »
  • International Forums »
  • German - Deutsch (Moderator: JeGr) »
  • [gelöst]DMZ über "let out anything from firewall host itself" erreichbar
 

OPNsense is an OSS project © Deciso B.V. 2015 - 2020 All rights reserved
  • SMF 2.0.17 | SMF © 2019, Simple Machines
    Privacy Policy     | XHTML | RSS | WAP2