Firewall Regel Verständnis Frage

[jacolani]

zur Firewall Regel habe ich ein paar Verständnis Regeln.

Ich habe hier mal ein Beipiel einer Regel für ein Gastnetz

https://wiki.opnsense.org/_images/guestnet_fwrules.png

Wir haben hier 5 Regeln.
1. Erlaube vom GUESTNET alle Ports – GUESTNET adress port 53

2. Erlaube vom GUESTNET alle Ports – GUESTNET adress port 8000 – 10000

3. Blockiere  vom  GUESTNET alle Ports – zum LAN net alle ports

4.   Blockiere  vom GUESTNET alle Ports – zum  GUESTNET adress alle ports

5. Erlaube vom  GUESTNET alle Ports überall hin.


So das verstehe ich nicht ganz. Am Anfang wird dem Gastnetz der Zugang auf den Port 53 der Adresse
(GUESTNET adress) erlaubt, und dann auch der port 8000-10000. Bis hier ok. Dann wir dem Gastnetz der Zugriff auf das LAN net verboten, auch noch klar.

Danach wird dem Gastnetz der Zugang zu allen Ports der Adresse
(GUESTNET adress) verboten. Hebt das nicht die ersten zwei Regeln weider auf? Oder liest man das dann so: Erst was erlauben (port 53,8000-10000) und dann den Rest verbieten?

Und dann wird wieder alles erlaubt (5)? Das ist ein Widerspruch? Verstehe die Logik bzw. Leseart nicht. Bitte um Erklärung, danke.

[chemlud]

Die Regeln werden von OBEN nach UNTEN abgearbeitet, bis die ERSTE zutrifft, also erlaubt oder verbietet. Ende der Übung. Nächstes Paket. Wenn eine Regel weiter unten etwas erlaubt, was weiter oben verboten ist, kommt nur die Regel weiter oben zum Zug.

[jacolani]

habe ich verstanden danke. Dazu die nächst Frage bitte.

Ich wollte testen ob ich nur eine Webseite ansurfen kann, was nicht funtkioniert hat, nur Port80,443 ging. Hier mal die 3 Regeln.

Interface:LAN1

                       Protokoll              Quelle     Port                  Ziel                              Port
------------------------------------------------------------------------------------------------------------------
1. Erlaube       IP4-TCP/UDP        LAN1       any                  opnsense.org                80,443,53

2. Blockiere    IP4 *                     LAN1       any                  any                                any

3. Blockiere    IP6 *                     LAN1       any                  any                                any
------------------------------------------------------------------------------------------------------------------

was jetzt so nicht geht, also ich komme nicht zur Webseite. Ich denke mir wohl der wird sich mit irgend einem DNS Server der ja blockiert ist? versuchen zu verbinden?
Die zweite Frage ist auch welchen DNS Server denn angefragt wird, wo ist den der genau Eintrag für das LAN netzwerk, osre kann ich einen extra für das LAN Inteface eintragen, und wie müsste ich dann die Regel ergänzen?

[Mks]

Hi,

du benötigst eine Regel für den DNS Server damit du den Namen auflösen kannst. Das ist idR deine Opnsense Interface.

                       Protokoll              Quelle     Port                  Ziel                              Port
------------------------------------------------------------------------------------------------------------------
1. Erlaube      IPv4/UDP              LAN1       any                  LAN address                 53
2. Erlaube      IPv4/TCP               LAN1      any                   <Webserver>                80,443

2. Blockiere    IP4 *                     LAN1       any                  any                                any

3. Blockiere    IP6 *                     LAN1       any                  any                                any
------------------------------------------------------------------------------------------------------------------

Deine Clients müssen dann aber auch die korrekten IPs (DNS, Gateway, etc) via DHCP bekommen.
Die Block rule benötigtst du nicht, da schlägt die "Default deny rule" zu.

lg

[jacolani]

DHCP für das LAN1 habe ich aktiviert, sonst hätte ich ja keine IP und könnte auch nicht surfen(ohne die Regel mit dem Webserver)

Code: [Select]

1. Erlaube      IPv4/UDP              LAN1       any                  LAN address                 53Die IP der opnsense aus LAN1 (Webgui IP), sollte ich dann hier eintrgaen? als alias oder direkt.
werde ich mal testen, danke

[Mks]

Hi,

vorausgesetzt dein Interface ist LAN1, dann wäre korrekt folgendes korrekt um DNS Anfragen an den DNS Server der Firewall zu senden und einen bestimmten Webserver mit Port 80 und 443 zu erreichen.

                       Protokoll              Quelle           Port                  Ziel                              Port
------------------------------------------------------------------------------------------------------------------
1. Erlaube      IPv4/UDP              LAN1 net      any                  LAN1 address                 53
2. Erlaube      IPv4/TCP               LAN1 net      any                  <Webserver IP>            80,443

"LAN1 address" wir dir in der Dropdown Auswahl im GUI vorgeschlagen und ist die IP des Interface der Firewall (opnsense) die idR dort auch DNS Anfragen entgegen nimmt.

lg

[jacolani]

ja danke. Das Problem liegt nun glaube ich nicht an der Regel direkt, sondern daran, das der Aufruf einer Webseite alleine so nicht geht, weil dazu zig andere IPs mit involviert sind.
Regel ist aber so OK, danke

[Mks]

Hallo,

kommt natürlich darauf an. Webseiten die per CDN ausgeliefert werden oder häufig IPs ändern bekommst du so nicht stabil zum Funktionieren

Im Falle von zB www.opnsense.org und forum.opnsense.org solltest du mit der IP 81.171.2.181 das Forum und die Seite, sowie den Blog erreichen können, wenn nicht passt die Konfig nicht.

lg

[jacolani]

Hier eine weitere Frage, bzw. Regel.

Ich habe zwei LANs. LAN1 darf ins Internet und auch ins LAN2. Da ich bei Destination ANY habe,
dürfte ich ja überall hin kommen und brauche ja deswegen nicht extra LAN2 angeben, denke ich mal.

LAN2 da befindet sich ein Netzwerkdrucker und zwei weitere PCs.
Die PCs sollen nur ins Internet dürfen, aber nicht ins LAN1. Der Drucker soll nirgends wo hin
dürfen. Alle Nutzer aus LAN1 und LAN2 dürfen aber drucken.
LAN1 darf auf LAN2 zugreifen, um sich per RDP auf einen Rechner(PC1) zu verbinden, und auf den Drucker.



Und dazu noch folgende Fragen:
Aus dem LAN2 will ich ja ins Internet, da gebe ich als Destination WAN an?
Da ich ja alle Ports erlaube ins WAN, muss dann noch extra DNS im eigenen LAN2 erlauben?
Oder muss ich diese Regel noch einbauen:
PASS  Source: LAN2_net, Port:ANY --> Destination: LAN2_net, Port: 53?

Stimmen die folgenden Regelen dazu?



LAN1
1. PASS Source: LAN1_net, Port:ANY --> Destination: ANY, Port: ANY
2. PASS Source: LAN1_net, Port:ANY --> Destination: ANY, Port: ANY

LAN2

3. BLOCK Source: Drcker,   Port:ANY --> Destination: ANY, Port: ANY
4. BLOCK Source: LAN2_net, Port:ANY --> Destination: LAN1_net, Port:ANY
5. PASS  Source: LAN2_net, Port:ANY --> Destination: WAN, Port: ANY

[Mks]

Hi,

LAN1 darf ins Internet und auch ins LAN2. Da ich bei Destination ANY habe,
dürfte ich ja überall hin kommen und brauche ja deswegen nicht extra LAN2 angeben, denke ich mal.

Korrekt

Alle Nutzer aus LAN1 und LAN2 dürfen aber drucken.
LAN1 darf auf LAN2 zugreifen, um sich per RDP auf einen Rechner(PC1) zu verbinden, und auf den Drucker.

Da LAN1 überall hinkommt funktioniert auch das Drucken und RDP. Im LAN2 kommen alle Rechner auch auf den Drucker da innerhalb des selben Netzes. Den Traffic im selben Netz kannst du mit der Opnsense auch nicht steuern.

Aus dem LAN2 will ich ja ins Internet, da gebe ich als Destination WAN an?

Destination ist !RFC1918 (falls du den Alias konfiguriert hast) und Achtuing auf "!" invert, daher alle nicht privaten Adressen.

Bezüglich DNS.
PASS (UDP) Source: LAN2_net, Port:ANY --> Destination: LAN2 address, Port: 53


Regel Vorschlag:

Alias:

• RFC1918
• Drucker
• Böse Internet Ports zB 139,445,1900, 53 (wenn du vermeiden willst das externe DNS verwendet werden)

LAN1:
1. BLOCK IPv4 TCP/UDP Source: LAN1_net, Port:ANY --> Destination: !RFC1918, Port: Alias Böse Inet Ports
2. PASS IPv4 TCP/UDP Source: LAN1_net, Port:ANY --> Destination: ANY, Port: ANY //LAN1 überall hin

LAN2:
1. BLOCK IPv4 TCP/UDP Source: LAN2_net, Port:ANY --> Destination: !RFC1918, Port: Alias Böse Inet Ports
2. Pass IPv4 UDP Source: LAN2_net, Port:ANY --> Destination: LAN2_address, Port: 53 //DNS
3. BLOCK IPv4 TCP/UDP Source: Drucker Port:ANY --> Destination: ANY, Port: ANY //Drucker können nirgends hin außer DNS falls benötigt
3. PASS IPv4 TCP/UDP Source: LAN2_net, Port:ANY --> Destination: !RFC1918, Port: ANY //LAN2 ins Internet

Anmerkung:
Man kann das natürlich alles noch weit restriktiver machen, Drucker zB in eigenes Drucker VLAN, per Blacklists blocken etc, aber mal ein Anfang.

lg

[jacolani]

Hört sich schon mal gut an. Zu dem RFC1918, da lege ich ein Alias an mit folgenden Netzen:

10.0.0.0/8
172.16.0.0/16
192.168.0.0/24
169.254.0.0/24?

ist das so OK?

[Mks]

Jop kannst du so machen

[jacolani]

Jetzt will ich zum LAN2 noch ein WLAN hinzufügen. Ich habe mir ein kleinen TP Link WLAN Router gekauft. Jetzt schließe ich den ans LAN2 an, und bekomme zwar noch mal NAT weil es ja ein Router ist, bzw. ich weiß nicht ob ich diesen auch als reinen AP nutzen kann. (Ist es ein Probelm Vor/Nachteile zum reinen AP?)

Dann geht es aber Hauptsächlich um die Regeln. Alos erst mal den WLAN Router anschließen und Konfigurieren.
Das sollte doch nun mit den vorhandenen Regeln funktionieren?
Da ja die WLAN Clients ein eigenes Netz haben (192.168.33.0/24) ist nun auch die Frage ob diese den Drucker ansprechen können oder benötige ich dazu eine extra Regel?

LAN1:
1. BLOCK IPv4 TCP/UDP Source: LAN1_net, Port:ANY --> Destination: !RFC1918, Port: Alias Böse Inet Ports
2. PASS IPv4 TCP/UDP Source: LAN1_net, Port:ANY --> Destination: ANY, Port: ANY //LAN1 überall hin

LAN2:
1. BLOCK IPv4 TCP/UDP Source: LAN2_net, Port:ANY --> Destination: !RFC1918, Port: Alias Böse Inet Ports
2. Pass IPv4 UDP Source: LAN2_net, Port:ANY --> Destination: LAN2_address, Port: 53 //DNS
3. BLOCK IPv4 TCP/UDP Source: Drucker Port:ANY --> Destination: ANY, Port: ANY //Drucker können nirgends hin außer DNS falls benötigt
3. PASS IPv4 TCP/UDP Source: LAN2_net, Port:ANY --> Destination: !RFC1918, Port: ANY //LAN2 ins Internet

[chemlud]

Ich nutze WLAN-Router ohne NAT/DHCP. Also: Dem WLAN Router eine fixe IP AUSSERHALB des IP-Bereichs im LAN zuweisen. DHCP abschalten. Einen LAN (! nicht den WAN) Port des WLAN Routers mit dem LAN verbinden. Fertig.

DHCP kommt von deiner opnsense, WLAN ist Teil deines LANs.

[monstermania]

Jetzt will ich zum LAN2 noch ein WLAN hinzufügen. Ich habe mir ein kleinen TP Link WLAN Router gekauft. Jetzt schließe ich den ans LAN2 an, und bekomme zwar noch mal NAT weil es ja ein Router ist, bzw. ich weiß nicht ob ich diesen auch als reinen AP nutzen kann. (Ist es ein Probelm Vor/Nachteile zum reinen AP?)

Moin,
sehr viele WLAN-Router lassen sich auch als reiner AP nutzen. Einfach mal im Handbuch schauen.
Ich würde den einen AP bzw. den AP-Modes gegenüber einem Router bevorzugen. Problem hast Du ja bereits genannt (NAT). 
Die meisten halbwegs aktuellen AP unterstützen auch VLAN und MultiSSD. So kannst Du mit nur einem AP verschiedene WLAN für Dein Netz bereitstellen (z.B. intern, Gast, IoT, usw.).

Sehr gute Erfahrungen habe ich mit den AP von Ubiquiti (Unifi AC Pro) gemacht. Gerade wenn man mehr als 1-2 AP hat/benötigt, lernt man die Features schnell zu schätzen. Dazu laufen die Teile extrem stabil und unterstützen sowohl 2,4 als auch 5 Ghz.

Gruß
Dirk