Home
Help
Search
Login
Register
OPNsense Forum
»
International Forums
»
German - Deutsch
»
Traffic zwischen internen Netzwerken ablehnen/blockieren
« previous
next »
Print
Pages: [
1
]
Author
Topic: Traffic zwischen internen Netzwerken ablehnen/blockieren (Read 2857 times)
Cordial
Jr. Member
Posts: 66
Karma: 0
Traffic zwischen internen Netzwerken ablehnen/blockieren
«
on:
October 21, 2020, 01:06:15 pm »
Moin,
Habe in meiner Config das "Lan1 - 192.168.166.0" und eine "Bridge (Lanports 2+3) - 192.168.168.0" eingerichtet. Wie kann ich, ausser mit Vlans, den Traffic per Firewall zwischen den beiden Netzen komplett untersagen? Bin nach dieser Doku (
https://docs.opnsense.org/manual/firewall.html
) gegangen und habe diese Einstellungen in der Bridge Firewall eingestellt, aber kann immer noch zwischen beiden Netzen problemlos anpingen/zugreifen etc.
Was mach ich hier falsch? Wäre über Tipps dankbar.
Gruss
Peter
Logged
Gauss23
Hero Member
Posts: 766
Karma: 39
Re: Traffic zwischen internen Netzwerken ablehnen/blockieren
«
Reply #1 on:
October 21, 2020, 02:37:22 pm »
Ohne Deine Config und einen ordentlichen Netzwerkplan wird man Dir nur schwer helfen können.
Eigentlich ist grundsätzlich alles verboten, außer es gibt eine Regel, die etwas erlaubt. Nach der Installation hat man eine LAN-to-any Regel, damit man erstmal mit den Clients ins Netz kommt. Deine Bridge sollte aber eigentlich keine solche Regel automatisch erhalten haben.
Mach doch mal Screenshots von den Regeln der Interfaces und vor allem auch von Floating, das wird gerne übersehen.
Logged
„The S in IoT stands for Security!“
Cordial
Jr. Member
Posts: 66
Karma: 0
Re: Traffic zwischen internen Netzwerken ablehnen/blockieren
«
Reply #2 on:
October 21, 2020, 04:42:31 pm »
Firewall:Regeln:Fließend (Floating)
https://prnt.sc/v3wl8h
Firewall:Lan1
https://prnt.sc/v3wmfa
Firewall:Brcke (Bridge)
https://prnt.sc/v3wna0
Die obigen Einstellungen sind die Einstellungen vor meinen Block/Reject Versuchen...
Logged
Gauss23
Hero Member
Posts: 766
Karma: 39
Re: Traffic zwischen internen Netzwerken ablehnen/blockieren
«
Reply #3 on:
October 21, 2020, 04:55:49 pm »
Ja gut, also das ist ja relativ klar.
Denkweise sollte immer sein: alles ist verboten, was will ich erlauben?
Und die Regeln sollten eingehend definiert werden auf dem Interface, wo das Paket zuerst auf die OPNsense trifft.
Bei Deinen Regeln steht auf beiden Interfaces (Lan und Brücke) eingehend alles annehmen und daher kannst Du machen was Du willst, die Regeln werden zuerst angewandt und du blockst nichts mehr.
Wenn Du z.B. die Regeln auf dem Brückeninterface änderst und als Ziel z.B. "Destination invert" und dann das LAN1 Netzwerk einträgst passiert folgendes: wenn ein Paket von der Brücke an der OPNsense ankommt, was ins LAN1 möchte, wird es nicht durchkommen. Ein Paket, welches Richtung Internet hingegen raus möchte, wird erlaubt. Netze getrennt, Internet aber für beide erlaubt.
So erstellst Du einfach Regeln für Deine Quell-Netze und definierst zu welchen Zielen und Ports das erlaubt sein soll.
Logged
„The S in IoT stands for Security!“
Cordial
Jr. Member
Posts: 66
Karma: 0
Re: Traffic zwischen internen Netzwerken ablehnen/blockieren
«
Reply #4 on:
October 24, 2020, 01:21:25 pm »
Hi,
Danke erstmal. Sry, dass ich mich erst jetzt melde.
Hab mal nach deiner Vorgabe angefangen. Im Lan1 ist ein Gerät mit einer Nic, aber zwei IP's -> 192.168.166.11 + 12)
Die 192.168.166.11 ist ein DHCP Release und die 192.168.166.12 ist einfach hinzugefügt zum Testen (
https://prnt.sc/v5waaq
)
1. Einstellung:
https://prnt.sc/v5w4sl
Mit dieser Einstellung kann die Brücke Surfen und innerhalb Brücke alle Geräte und im Lan1 nur die IP 192.168.166.11 komplett erreichen. Die .12 im Lan1 ist nicht anpingbar.
2. Einstellung:
https://prnt.sc/v5w68z
Kann ich Gerät 192.168.166.11 anpingen, aber sonst nichts. Gerät 192.168.166.12 ist nicht anpingbar.
3. Einstellung:
Kann Geräte 192.168.166.11 + 12 komplett erreichen inkl. Ping
Warum kann ich mit 2. Einstellung die IP 192.168.166.11 noch anpingen? Weil die noch im DHCP Leases steht?
Grundsätzlich ist aber mein Firewallansatz OK oder mache ich hier noch etwas falsch?
Gruss
Peter
Logged
Gauss23
Hero Member
Posts: 766
Karma: 39
Re: Traffic zwischen internen Netzwerken ablehnen/blockieren
«
Reply #5 on:
October 24, 2020, 01:45:29 pm »
Also grundsätzlich brauchst Du keine Block Regeln. Es ist alles geblockt, was nicht erlaubt wird. Du musst also nur die Löcher einbauen, die Du haben möchtest. Daher macht Dein Regelwerk für mich keinen echten Sinn.
https://prnt.sc/v5w4sl
Bedeutet: es wird alles geblockt, was nicht ins LAN1_Netzwerk will. Aber auch nicht explizit geöffnet. WAN sollte damit auch nicht gehen für die Brücke.
Die 2. aktive Regel erlaubt dann den Zugriff nur auf die .11.
https://prnt.sc/v5w68z
besagt wie bereits obiges nur eben ohne Erlaubnis auf die .11 oder .12 zu kommen.
Ich glaube Du hast immer noch Floating-Regeln drin, die zu viel erlauben. Die Block Regel brauchst Du nicht. Die macht nur Sinn wenn Du z.B. alles was IPv6 ist abschalten willst.
Logged
„The S in IoT stands for Security!“
Cordial
Jr. Member
Posts: 66
Karma: 0
Re: Traffic zwischen internen Netzwerken ablehnen/blockieren
«
Reply #6 on:
October 24, 2020, 02:37:21 pm »
OK. Du hast recht. Die Block macht keinen Sinn. Im Endeffekt reicht diese Regel erstmal aus um Brücke Richtung Inet komplett zu erlauben, aber Lan1 nicht erlauben ->
https://prnt.sc/v5xd5t
Getestet und funktioniert so.
Hab mich mal nach deinen Vorgaben nach einer kompletten Deny Firewall für Brücke rangetraut ->
https://prnt.sc/v5xejj
ICMP komplett erlaubt / Nur interner DNS erlaubt / Externe DNS nicht erlaubt / Standardports offen (80/443) / RDP ins LAN1 offen, sonst nichts
Hier ggf. noch Verbesserungsvorschläge?
Gruss
Peter
Logged
Gauss23
Hero Member
Posts: 766
Karma: 39
Re: Traffic zwischen internen Netzwerken ablehnen/blockieren
«
Reply #7 on:
October 24, 2020, 03:38:24 pm »
Die beiden Regeln im Anhang könntest Du m.E. kombinieren.
Block Regeln sind wie gesagt unnötig. In Standardports wird der Port 53 ja nicht drin sein.
Daher würde ich die Block Regel löschen.
Dann würde ich einen Alias anlegen, der alle lokalen Netze enthält.
Die Regel darunter würde ich dann um Destination mit diesem Alias und "Destination invert" versehen.
Logged
„The S in IoT stands for Security!“
Print
Pages: [
1
]
« previous
next »
OPNsense Forum
»
International Forums
»
German - Deutsch
»
Traffic zwischen internen Netzwerken ablehnen/blockieren