Firewall Regel: LAN to Internet (nicht any)

[OPNFox]

Hallo zusammen.

Wie bekomme ich es hin, dass ich eine "Lan -> Internet" Regel erstellen kann.
"Any" bedeutet, dass es auch in andere Netze, die die OPNsense kennt, erlaubt ist. Das ist jedoch definitiv nicht gewünscht. z.B. LAN -> LAN_unsecure oder LAN -> VPN_Tunnel sollte ja nicht erlaubt sein, was es durch "any" jedoch ist.
Ich habe "WAN Net" probiert, was jedoch nicht funktioniert, da er WAN Net natürlich ernst nimmt und wirklich nur das WAN Netz erlaubt. Ebenso habe ich ein Alias mit "External" erstellt. Das brachte jedoch auch nichts - was External als Alias bewirkt weiß ich auch nicht, jedenfalls nicht das, was ich wollte.

Ich habe die Netzwerk Konfiguration folgend: WAN <-> Router <-> Firewall <-> LAN. NAT erfolgt sowohl bei der LAN -> Firewall -> Firewall_WAN_INT als auch Firewall -> Router -> Router_WAN_Int.

Ich hoffe jemand kann hier schnell helfen. Von anderen Firewalls kenne ich es so, dass es neben dem "any" auch ein "Internet" gibt, in dem alle Netze drin sind (wie any) nur ohne alle selbst bekannten Netze).

[chemlud]

Hi!
Vielleicht gibt es elegantere Lösungen, aber ich mache es immer so:

- Ganz oben die BLOCK rules, wo dieses Netz nicht hinkommen soll (also z.B. die Gäste nicht in's LAN, etc.), MS-Telemetrie etc.

- ALLOW rules für NTP (meine Lieblingsserver) und DNS (nur die Adresse der Sense in dem Subnetz)

- ALLOW rules für HTTP, HTTPS, IMAP/S, SMTP/S für die Clients, die rauskommen sollen, als ZIEL dann ANY (es sei denn, du willst nur Zugriff auf ganz spezielle Websites, eMailserver erlauben).

- Zusätzliche Dienste nur für einzelne Clients und bei Bedarf.

Recht restriktiv. Im Gästenetz ggf großzügiger...

PS: Wenn es nur ein Netz, das intern geblockt werden soll geht auch z.B. ALLOW LANnet HTTP (NOT GAST)

[OPNFox]

Moin.

Das mit der Block Regel ganz oben für alle anderen "internen" und auch "VPN-Netze" etc. habe ich mir ebenfalls bereits alt Notlösung gedacht. Allerdings muss man diese liste auch sehr gewissenhaft bei neuen Netzen führen und für jedes Interface separat führen. Dazu müssen alle Regeln, die den Traffic in diese anderen Netze erlauben, vor dieser Block Regel sein.

Da muss es doch elegantere Lösungen geben?

Ich finde es bei OPNsense schon sehr schade, dass man in eine Regel nicht direkt mehrere Ports und auch Quellen oder Ziele gleichzeitig hinterlegen kann, ohne direkt jedes Mal ein Alias als Gruppe erstellen zu müssen.
Wirkt einfach echt uralt.

[Mks]

Hi,

Am besten du legst einen Alias an mit RFC1918 an und hinterlegst dort die privaten IP-Adressen, sowie einen Alias mit Port 80/443. Eine allow Internet Regel würde dann so aussehen:

Source (Netz was du freigeben möchtest) Port * Destination !RFC1918 (wichtig ist das Invert==Rufzeichen daher alle NICHT privaten Adressen) Port 80/443.

Ruleset:
-BLOCK rule für Malicious Internet IPs
-ALLOW rule DNS (LAN_address falls die Firewall die Dienste anbietet)
-ALLOW Destination !RFC1918 Port 80,443

Dann kannst du Internet surfen, "böse" Ips werden aber geblockt. Sonst kommst du nirgends hin. Alles andere dann selektiv freischalten.

fg

[Mks]

Sorry Doppelpost

[chemlud]

Aber wenn man Tunnel hat, liegen an deren Enden ja auch RFC1918 Netze, und die sollen ja auch nur aus bestimmten Subnetzten erreichbar sein. Dann funktioniert das mit dem Alias für RFC1918 nicht so einfach. Aber so wie ich es mache schon.

Ich finde es gut (v.a. auch für die Übersichtlichkeit), dass man mit einer Regel ein Netz / einen Port schaltet und nicht gleich rudelweise (wenn man das braucht, macht man sich einen sinnvollen Alias). Man muss halt vorher etwas planen und immer das Gehirn angeschaltet lassen. Wie meistens im Leben... :-D

[OPNFox]

Aber wenn man Tunnel hat, liegen an deren Enden ja auch RFC1918 Netze, und die sollen ja auch nur aus bestimmten Subnetzten erreichbar sein. Dann funktioniert das mit dem Alias für RFC1918 nicht so einfach. Aber so wie ich es mache schon.

Ob die Netze intern oder über Tunnel angeschlossen sind macht doch keinen Unterschied. Ein über Tunnel angeschlossenes Netz ist doch in etwa wie ein langes Lan Kabel - sehr vereinfacht.
Statt, dass ich (lan) to (any) erlaube, erlaube ich ja mit der Regel von Mks eben (lan) to (alles außer "lan-netze") was sozusagen dann ja (Internet) ist. Alle anderen Pakete werden geblockt, also alle Pakete von (lan) zu anderen Lan-Netzen also auch zu anderen VPNs. Für die VPN Verbindung gibt man natürlich weitere allow Regeln an. Dann klappt das doch alles und ist eleganter, finde ich.
Im Prinzip erreicht man ja genau was ich meinte mit "zu Internet".
Ich wusste nur nicht, dass man eben bei OPNsense auch verneinen kann.

Ich finde es gut (v.a. auch für die Übersichtlichkeit), dass man mit einer Regel ein Netz / einen Port schaltet und nicht gleich rudelweise (wenn man das braucht, macht man sich einen sinnvollen Alias). Man muss halt vorher etwas planen und immer das Gehirn angeschaltet lassen. Wie meistens im Leben... :-D

Naja ich finde es eben unnötig und unübersichtlicher Aliase anlegen zu müssen oder mehrere Regeln, nur weil ich in einer Regel z.B. 3 Ports freigeben möchte oder 3 Hosts die aber ansonsten nie zusammen als Gruppe in anderen Regeln vorkommen sondern wirklich nur in einer Regel. In dem Fall muss ich eben für alle diese Situationen 3 Regeln anlegen oder eben Aliase einrichten und habe auf lang oder kurz einen Wildwuchs in der Alias-Liste. Ich finde, in beiden Möglichen Szenarien muss man sein Gehirn einschalten - denn auch wenn man mehrere Hosts oder Ports zusammen in einer Regel unterbringen kann, muss man die Übersicht behalten und überlegen ob das in diesem Fall auch sinnvoll ist und ggf. doch Aliase anlegen. Man hat aber eben die Freiheit ob oder ob nicht. Da hat wohl jeder seine eigenen Vorlieben. Komplett ohne Aliase würde ich selbst auch niemals leben wollen. Ich unterscheide jedoch eben gerne, wann ich einen nutzen will oder nicht. Bei OPNsense bin ich hier leider dazu gezwungen, wenn ich keine tausenden Regeln anlegen will - was wohl noch schlimmer wäre.