Firewall-Regeln, Paketzustand new,established, etc.

[Bytechanger]

Hallo,

ich steige gerade von Unifi USG auf OPNsense um.
Bei den Firewallregeln suche ich die Filter zum Zustand der Pakete, also:
  neu, hergestellt, ungültig, zugehörig
(NEW, ESTABLISHED, RELATED, INVALID)

(iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT)

wo finde ich die?

Greets

Byte

[superwinni2]

Erstelle eine Firewallregel und schau mal ganz unten... da gibts nen Knopf der klappt die erweiterten Einstellungen auf...


Ich denk da wirst du das finden was du suchst

[JeGr]

Andere Frage:

> Bei den Firewallregeln suche ich die Filter zum Zustand der Pakete, also:  neu, hergestellt, ungültig, zugehörig

wofür brauchst du die? Prinzipiell ist es toll das zu haben, aber was willst du abbilden, dass du zusätzlich IP States bräuchtest? TCP Flags könnte ich noch verstehen...

[fabian]

@JeGr: in iptables sind das die TCP-Zustände.

@Bytechanger: Musst du hier nicht explizit eintragen (und du kannst auch nicht drauf matchen). Du kannst aber pro Regel setzen wie du dein State-Tracking machen willst (keep state entspricht in etwa der Regel die du angegeben hast), daneben gibt's noch andere bzw. auch die Möglichkeit das zu deaktivieren wenn du das ernsthaft vor hättest.

Die Regel schaut übrigens in nftables so aus (falls du mal auf das neuere Linux-Firewall-System migrieren möchtest):

Code: [Select]

ct state {established, related} accept


[JeGr]

> @JeGr: in iptables sind das die TCP-Zustände.

Was ja nichts an meiner Frage ändert, warum man die Zustände haben/filtern möchte? Flags wie gesagt kann ich nachvollziehen. Was will ich mit einer Regel zu einer bereits aufgebauten Verbindung machen? Der Corner-Case erschließt sich mir nicht ganz. Die Sensen sind ja gerade so gebaut, dass man nicht noch komplex mit States Regeln bauen muss/sollte. Daher die Rückfrage wofür überhaupt gewünscht, da vielleicht einfach falsche Annahme, dass man hier Regeln bauen muss, die überhaupt nicht notwendig sind?

[fabian]

Was ja nichts an meiner Frage ändert, warum man die Zustände haben/filtern möchte? Flags wie gesagt kann ich nachvollziehen.

In den Netfilter basierten Firewalls (nftables, iptables) brauchst du das, weil es per default nicht stateful ist. Die Regel erlaubt alles was unter PF keep state ist, sowie manche dinge die per DPI funktionieren (z. B. FTP Datenverbindungen).

Die Regel ist bei OPNsense NICHT notwending, da keep state der Standard ist (ESTABLISHED) und RELATED nicht unterstützt wird (braucht Anker und Helper wie zum Beispiel ftp-proxy).

[JeGr]

@fabian Verstehe ich ja was du meinst Ich fragte ja genau deshalb den OP was er damit umsetzen möchte, eben _weil_ ich davon ausgehe (wie so oft), dass "Neulinge" mit PF und OPN/pfsense immer etwas Probleme mit der Sichtweise haben, wie man die Regeln umsetzt und konfiguriert. Gerade dann wenn man von anderen Filtern kommt. Darum auch die Nachfrage und nicht schon "ja das kannst du da und da machen", denn das ist meistens genau _nicht_ das, was die meisten brauchen/wollen, sondern sie versuchen krampfhaft was nachzubauen, was gar nicht nötig ist

[Bytechanger]

Hallo und danke für die Antworten,

ich hattte als newbie zunächst vor, die Firewallregeln meines USG dort 1:1 abzubilden und war irriger Weise davon ausgegangen, dass das USG auch eine "statfull Firewall" hat.
Hätte man sich mehr mit dem Thema beschäftigt, hätte man schnell bemerkt, dass dem wohl nicht so ist :-(

Ich habe alles so hinbekommen wie gewollt.

Danke nochmal,

Greets

Byte

[JeGr]

Gerne, ansonsten bei Umsetzungsfragen und -problemen einfach ein konkretes Beispiel und dann bekommt man das einfacher hin