Hallo mal ne ganz dumme Frage von nem Newbie - rein theoretisch nur aus InteresseWas ist denn euerer Meinung nach die beste Konfiguration für die Firewall-Regeln aufs WAN-Interface?Hab natürlich schon mal bisschen gegoogelt, da kam überall am besten Default-Deny, aber was ist wenn jetzt zum Beispiel die User hinter der Firewall ins Internet dürfen sollen und man noch zwei verschiedene VPN-Arten bzw. VoIP etc?
Du solltest auch mal nach "stateful firewall" suchen. Mit deinem Wissen ist die Anwendung von Firewalls (bzw. selbst erstellten Regeln, insbesondere für das WAN Interface) potentiell sehr gefährlich.
Quote from: kenobits on December 18, 2020, 09:43:00 amHallo mal ne ganz dumme Frage von nem Newbie - rein theoretisch nur aus InteresseWas ist denn euerer Meinung nach die beste Konfiguration für die Firewall-Regeln aufs WAN-Interface?Hab natürlich schon mal bisschen gegoogelt, da kam überall am besten Default-Deny, aber was ist wenn jetzt zum Beispiel die User hinter der Firewall ins Internet dürfen sollen und man noch zwei verschiedene VPN-Arten bzw. VoIP etc?User, die ins Internet wollen, bekommen Regeln auf dem WAN Interface. Die Regel sollte immer auf dem Interface angelegt werden, an dem sie die OPNsense zuerst erreichen. Es handelt sich um eine stateful Firewall, Antwortpakete dürfen also vom WAN ohne gesonderte Regel zum Empfänger passieren.Auf dem WAN musst Du nur erlauben, was von draußen Verbindungen initiieren darf. Beispiel wäre ein OpenVPN Server auf der OPNsense oder ein Webserver bei Dir im LAN (sowas sollte aber auf ein eigenes Interface, was man dann DMZ nennt) per Port-Forward.Beim Betrieb als reinen Internet-Router brauchst Du keine Regeln auf dem WAN (default ist deny). Auf dem LAN hast Du per default eine allow any/any Regel. Die sollte man mal auf den Prüfstand stellen. Will man, dass alle Geräte aus dem LAN überall ins Internet telefonieren dürfen?
