[Gelöst] Deaktivieren einer Firewallregel wird verzögert umgesetzt

Started by JumpySkippy, March 19, 2020, 12:38:00 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
March 19, 2020, 12:38:00 PM Last Edit: April 26, 2020, 08:11:42 PM by JumpySkippy
Ich bin OPNsense-Einsteiger und arbeite mich gerade etwas ein und bin auf ein komisches Verhalten bei der Firewall gestoßen.

Zunächst kurz mein Test-Aufbau: Ich nutze ein ALIX-Board, welches hinter einer FRITZ!Box ein separates Netzwerk aufspannen soll:

Code Select
      WAN / Internet
            :
            : PPPoE-Telekom
            :
      .-----+------.
      |  FRITZ!Box |  192.168.1.0/24
      '-----+------'
            |
        WAN | 192.168.1.200/32
            |
      .-----+----------------.   
      |  OPNsense (alix2d2)  |
      '-----+----------------'   
            |
        LAN | 192.168.10.254/32
            |
      .-----+------.
      | LAN-Switch | 192.168.10.0/24
      '-----+------'
            |
    ...-----+------... (Clients/Servers)


Ich möchte nun Pings vom Netzwerk der FRITZ!Box 192.168.1.0/24 auf die WAN-Schnittstelle der OPNsense zulassen und habe dafür unter Firewall->Rules->WAN folgende Regel erstellt:

Action:  Pass
Interface: WAN
Direction: in
TCP/IP Version: IPv4
Protocol: ICMP
ICMP type: any
Source: WAN net
Destination: This Firewall
Destination port range: any

(Ganz am Ende der Liste habe ich übrigens noch eine Block all-Regel für IPv4+6, Protocol any, Source & Destination any angelegt).

Wenn ich die Ping-Regel aktiviere und mit "Apply changes" übernehme, funktioniert der Ping auch wie gewünscht - soweit ist alles okay und nachvollziehbar.

Deaktiviere ich jedoch die Regel wieder und klicke auf "Apply changes", so werden die Änderungen von der Firewall übernommen, jedoch läuft der Ping trotzdem weiter, bis irgendwann nach unterschiedlicher Zeitspanne (mal 15 Minuten, mal nach ca. 2 Stunden) der Ping dann wie gewünscht nicht mehr durch geht. Nach einem Neustart wird der Ping übrigens sofort abgewiesen.

Wie kann ich mir dieses seltsame Verhalten der Firewall erklären? Ist das so normal? Oder habe ich etwas falsch konfiguriert?


March 19, 2020, 01:16:44 PM #1
Hallöchen,

Da die Regel erhalten bleibt die den Ping durchgelassen hat und dieser als "bestehende Verbindung" erkannt wird ist hier alles normal.

Eigentlich will man auch gar nicht alle Verbindungen wegwerfen wenn man an einer anderen Regel hantiert. Die Kehrseite ist dass auch Verbindungen die vermeintlich nicht mehr funktionieren sollten mit diesem Schutz versehen sind.


Grüsse
Franco
March 19, 2020, 01:47:22 PM #2
Hallo Franco,

danke für die schnelle Antwort.

Ich habe mir jetzt die Regel einfach geklont und bei Action statt "Pass" auf "Block" gestellt und aktiviert (die Pass-Regel natürlich vorher deaktiviert). Trotzdem geht der Ping noch durch.

Müsste hier die Block-Regel nicht sofort greifen? Oder habe ich hier einen Denkfehler?
March 20, 2020, 11:34:17 AM #3
Sie gesagt, nur wenn der Ping neu gestartet wird, ansonsten gilt: Verbindung bekannt, wurde schon durchgelassen, wird weiter durchgelassen.


Grüsse
Franco
March 20, 2020, 11:38:16 AM #4
DU kannst natürlich unter Firewall -> Diagnose -> Status zurücksetzen
Alle offenen Verbindungen schließen, dadurch sollten die Regeln sofort aktiviert werden.
(Unoffial Community) OPNsense Telegram Group: https://t.me/joinchat/0o9JuLUXRFpiNmJk

PM for paid support
March 20, 2020, 08:51:01 PM #5
Vielen Dank für die Tipps. Ich konnte das Verhalten jetzt noch einmal nachvollziehen. Nach Deaktivieren der Regel läuft der Ping von dem einen Client weiter (da Verbindung bekannt), starte ich jedoch auf einem anderen Client den Ping, wird dieser korrekt geblockt.

Also Danke noch einmal, ich war durch das Verhalten etwas verwirrt  :D
Print
Go Up Pages1
User actions