Verständnisfrage Webserver hinter OPNSense

[nufan]

Hallo Zusammen

Binn neu hier im Forum und auch neu mit OPNsense unterwegs. Ich habe eine Verständisfrage, respektive möchte mir keine Lücke in der FW öffnen.

Ziel schlussendlich wäre, das ich in der DMZ einen Webserver laufen habe der von extern via http/https erreichbar ist. Von intern möchte ich vom LAN ebenfalls auf den Webserver in der DMZ zugreifen können. Was aber nicht sein darf, ist dass ich von der DMZ ins LAN komme.

Um mich mit der OPNsense etwas vertraut zu machen, abe ich den Webserver einfachheitshalber mal ins LAN gestellt.
Ich habe nun folgendes konfiguriert um mal via http zugriff zu erhalten. Das geht auch, aber ich verstehe gewisse Punkte nicht so ganz, respektive bin mir nicht sicher, ob das so wirklich security technisch korrekt ist

NAT Rule
1. Firewall -> NAT -> Port forward -> Neue Rule
Source Interface: WAN
Source Proto: TCP
Soucre Address: *
Source Ports: *
Destination Address: WAN net
Destination Ports: 80
NAT IP: 192.168.1.xx
NAT Ports: 80

Frage: Warum muss ich hier unter Destination "WAN net" nehmen? Der Server steht ja im LAN, ich dachte ich müsse da LAN net nehmen, wäre für mich logischer?

Firewall Rule
1. Firewall  -> Rules -> WAN -> neue Rule
Protocol: IPv4 TCP
Soucre: *
Port: *
Destination: LAN net
Port: 80 HTTP

Unter LAN muss ich keine Rule erstellen. Warum aber? Aus meiner Sicht will ich ja von WAN ins LAN, da müsste ich doch unter LAN die Rule erstellen.

Besten Dank für euer Feedback, das ihr mich erhellen möget

Gruss


 

[Gauss23]

Firewallregeln sollten in der Regel auf dem Interface angelegt werden, wo sie an der OPNsense ankommen.

Ein Paket von außen kommt am WAN Interface an. Daher auch die Firewallregel auf dem WAN.

Beim Port Forward stellst Du ein auf welchem Interface ein Paket ankommen, muss damit es weitergeleitet werden soll. Das ist eben das WAN Interface mit Destination WAN net/WAN address. Das Ziel des Paketes wird dann auf die interne IP umgeschrieben.

[nufan]

Danke für dein promptes Feedback und die Erläuterungen. Ich glaube langsam beginne ich zu verstehen.
Würde also heissen, wenn ich den Server in die DMZ stelle und ich vom LAN her zugreifen will, müsste ich die benötigten Regeln auf dem LAN Interface machen, nicht auf dem DMZ Interface, da die Anfrage ja vom LAN her kommt, korrekt?

[Gauss23]

Genau, wenn Du Clients aus dem LAN Zugriff auf Clients in der DMZ geben willst, erstellst Du entsprechende Regeln auf dem LAN Interface.

Wenn Dein DMZ Client keinerlei eigenständige Verbindung nach außen haben soll, lässt Du die Regeln auf dem DMZ Interface einfach leer. Das ist für Updates und co aber möglicherweise unpraktisch, daher kannst Du auf dem DMZ eine Regel erstellen, die ankommende Pakete am DMZ Interface zulässt, die NICHT für deine lokalen Netze gedacht sind, also ins WAN gehen sollen. Dazu gibt es "source invert" und "destination invert". Ich erstelle mir dafür einen Alias, der alle lokalen Netze enthält.

Zugriffe von außen (per Port Forward) und aus dem LAN werden ja bereits durch andere Regeln erlaubt.
Du musst nur mit den Floating Regeln aufpassen, hier darf man keinesfalls zu groß gefasste Regeln erstellen.

[nufan]

Besten Dank. Das mit dem Zugriff von der DMZ ins Internet muss ich mir dann noch genau anschauen. Wie du sagst, gerade den Webzugriff http/https von der DMZ ins Internet dürfte aus meiner sicht offen sein, für Updates etc. Ich werde mich hier nochmals melden