Gruppierung von 'Well-known ports' als Aliases

[guest25630]

Hallo zusammen,

wie in der Doku empfohlen, versuche ich verschiedene Ports als Gruppen in Aliases zusammenzufassen.

Welche Ports bereits vordefiniert sind wird mir unter Firewall:Rules:<Interface> im Pulldown-Menu unter 'Destination port range' angezeigt, vgl. Screenshot 1 'Well-known ports'.

Wenn ich aber unter Firewall:Aliases => Edit Alias einen Alias, d.h. eineGruppe von Ports anlegen möchte, werden mir dort im Pulldown-Menu nur zuvor von mir definierte hosts(!) angezeigt, vgl. Screenshot 2.

Versuche ich einen der 'Well-known ports' (aus Screenshot 1) dort manuell via Tastatur einzutragen, erhalte ich beim Speichern eine Fehlermeldung, vgl. Screenshot 3, ggf. nach rechts scrollen.

Redefiniere ich die Ports, die ich unter einem Alias in einer Gruppe zusammenzufassen möchte, zuvor als neue Alias-Ports, dann kann ich diese neuen Alias-Ports anschließend in 'Edit Alias' unter 'content' auch auswählen.

Aber: damit muss ich alle 'Well-known ports' nochmal neu definieren, wenn ich sie in einem Alias gruppieren möchte.

Ist das nun ein Bug, ein Feature oder mache ich etwas falsch, d.h. verstehe die dahinter liegende Logik nicht?

Danke schon mal für eure Antworten!

Grüße

moose   

[lfirewall1243]

Zeig mal die Config von deinem Alias "DNS" oder "HBCI".

Vermutlich liegt da ein Fehler

[ArminF]

Hm... Soviel kann man da nicht falsch machen.

Firewall -> Alias -> hinzufügen und Ports auswählen.
Dort die Ports eintragen. Am besten TCP Gruppieren und dann UDP.
Bild 1

Danach in der Firewall Regel unter Destination Port das Menü auf den Alias setzen.
Da muss man scrollen. Nach oben oder unten bis der Alias erscheint.
Bild 2

[guest25630]

Zunächst einmal vielen Dank an @lfirewall1243 und @ArminF für eure Antworten!

Ich glaube, es ist besser, ich zeige mal ein praktisches Beispiel. Vielleicht wird daran klar(er), was mich wundert bzw. mir fehlt:

Nehmen wir mal an ich möchte hosts aus Netz A Zugriff auf verschiedene TerminalApps (SSH,VNS,MS RDP) in Netz B gestatten.

Dann könnte ich dafür für jedes Protokol unter Firewall:Rules:<Netz> eine eigene Regel erstellen. In diesem Fall würden mir dort unter "Destination Port Range" die in OPNsense bereits vordefinierten Ports (Well-known ports) zur Auswahl angeboten (siehe #1). Allerdings kann ich davon immer nur einen aufwählen, d.h. für 3 Ports brauche ich drei Regeln.

Daher meine Idee mit einem Alias. Was mich nun wundert ist, dass ich dort, wenn ich drei Ports in einem Alias gruppieren möchte, nicht auf die bereits vorderfinierten, Well-known ports (s.o.), auf die ich beim Erstellen von Firewall Rules ja zugreifen kann, nun eben nicht zugreifen kann (siehe #2), sondern sie zunächst als Alias nochnmal neu definieren muss.

Diese neu definierten Ports tauchen später dann aber, wenn ich Firewall-Regeln erstelle, in der Auswahlliste (siehe #1) doppelt auf: einmal unter "Well-known ports" und einmal unter "Aliases".

Daher meine Meine Frage:

Ist es wirklich richtig und so gewollt, dass ich bereits vordefinierte Ports unter Aliases nochmal neu definieren muss, wenn ich sie nachfolgend in einem anderen Alias (z.B. zum Gruppieren) verwenden möchte?

Ich kann mir kaum vorstellen, dass dies einem so gut durchdachten System wie der OPNsense der Fall ist. Daher dachte ich (zunächst), dass ich irgend etwas falsch gemacht habe und wollte nachfragen, wie ihr das macht oder ob es wirklich so (gewollt) ist, wie ich es oben beschrieben habe.

Grüße,

moose

[ArminF]

Aloha,

Die vordefinierten Ports sind denke ich fast überall vorhanden. Wenn Du Regeln mit "nur" einem Port erstellst wie HTTPS oder SSH sicher praktisch.
Sobald es zu Gruppierungen kommt werden die Aliase wichtig. Und JA da hab ich die vordefinierten neu eingetragen um die Gruppe zu vervollständigen. Entweder frei nach Port oder nach Namen.

Diese Gruppe oder Alias kann ich danach in der Firewall Regel nutzen. Auch wenn es um Netze geht.
Etwas anderes hab ich bisher nicht gefunden.

In der Firewall Rule unter Destination kann man anscheinend nur einen Port, Port Range oder einen vordefinierten Port eintragen. Bei Gruppen dann nur Aliase.

ich weiss was Du meinst und kann Dir denke ich folgen. Ich hatte aber von Anfang an den Ansatz die Aliase zu nutzen. Schau mal bei Youtube da gibts ein gutes Video von Krenn. Das nutze ich zum einsteigen.

[guest25630]

Danke @ArminF für deine Antwort!

Dann decken sich unsere Erfahrungen mit der Nichtverwendbarkeit der im System bereits vordefinierten Ports bei den Aliases ja. Schade, dass dies so ist. Aber wenn du die gleichen Erfahrungen gemacht hast wie ich, dann stehe ich damit ja zumindest nicht allein da oder stelle mich zu dumm an.

Wäre vielleicht mal ein Topic für einen Verbesserungsvorschlag. Aber vielleicht gibt es ja auch einen Sinn dahinter (sprich: Design), der sich mir bisher leider nur noch nicht erschlossen hat. Wer weiss ...

Grüße,

moose