Hilfe bei Firewall Rule-Planung

[kosta]

Hallo,
ich habe meine VLANs erstellt, Switches konfiguriert und aktuell ist überall Any -> Any. Das wird jetzt geändert und ich plane gerade wie ich das anstelle. Daher wollte ich mir hier vorher paar Tipps von euch holen, wie ihr das macht.
Also grundsätzlich habe ich allgemeine Rules, zB. HTTP/S, DNS usw out. Das gehört für die meisten. Also wird es wohl ein (bzw. mehrere) Floating rules.
Aber, zB dort stört mich was: ich könnte entweder INT-Gruppierung machen oder auswählen. Geht, aber stört mich massiv dass ich in der Überblick nicht sehen kann, welche Intf oder Gruppen ausgewählt sind.
Alternative ist ich mache rules für jedes Intf, was aber ziemlich blöd ist, da man die nicht kopieren/hinzufügen kann, sondern nur als neu erstellen kann.
Grundsätzlich praktiziere ich alles Deny und dann erlauben schrittweise. Das gilt aber runter bis zum letzten Port.
Ich tät mich einfach um paar Tipps freuen.

[Gauss23]

Ich habe unter Floating möglichst keine Regeln. Oder nur Regeln, die spezielle Dinge ermöglichen, z.B. Pakete auf ein bestimmtes Tag untersuchen und daran hindern über die normale WAN Schnittstelle rauszugehen.

Normale Regeln habe ich immer auf dem Interface, wo das Paket zuerst auf die OPNsense trifft. Also nur IN Regeln und keine OUT.
Man kann Regeln doch prima klonen. Auf einem Interface eine Regel anlegen dann auf klonen klicken und das nächste Interface auswählen, speichern und siehe da die Regel ist auf dem nächsten Interface angekommen. Ich finde das sauber und übersichtlich.

[kosta]

Man kann Regeln doch prima klonen. Auf einem Interface eine Regel anlegen dann auf klonen klicken und das nächste Interface auswählen, speichern und siehe da die Regel ist auf dem nächsten Interface angekommen. Ich finde das sauber und übersichtlich.

Stimmt! Daran habe ich nicht gedacht. Ja, so kann ich es tun, danke!

Gut. Und eine andere Sache an der ich hänge:
Ich würde gerne wissen, wofür die offenen Ports genutzt werden. zB. ich habe ausgehend Port 1900 auf meinem Rechner. Ich kenne nur TCPview. Gibt's was was mehr anzeigt?

Und praktiziert ihr Standardports zu gruppieren? Also bspw. HTTP und HTTPS via Aliases gruppieren? Irgendwie denke ich wenn ich sie einzeln habe, nicht jetzt nur auf HTTP bezogen, oft ist es so dass es nicht immer TCP und UDP ist, sondern bei einem das eine, und dann wieder das andere Protokoll.

[Gauss23]

Die Gruppierung von Ports kann man schon machen. Habe jeweils einen Alias für TCP-Ports, einen für UDP-Ports und einen für beide (z.B. ist HTTPS inzwischen TCP&UDP wegen Quic).

Was man durch die Gruppierung allerdings verliert, sind die Counter in den Regeln. Man sieht dann nur wie oft die Regel angewandt wurde, aber nicht, welcher Port das war. Wenn man die Regeln einzeln anlegt, sieht man sehr schön welche Regel schon länger nicht mehr benutzt wurde und ggf. entsorgt werden kann. Praktischer und aufgeräumter ist es natürlich sie zu gruppieren. Gerade wenn es um einen Dienst geht, der mehrere Ports braucht, ist das sehr praktisch. Bei Sophos XG kann man sogar ganze Servicegruppen bauen, wo mehrere man Quell- und Zielports sowie Protokolle in einer Gruppe zusammenfassen kann. Das vermisse ich schon manchmal.

[kosta]

Ich fand persönlich das Firewall-Management in Sophos UTM teilweise besser gelöst. Wobei es sind ja auch zwei völlig verschiedene Konzepte (die Funktionalität ist gleich, aber die Übersicht). Bei der Sophos konnte ich in einer Oberfläche alles wie genau nach Bedarf kombinieren. Und es ist viel schneller zu "sagen" "diese Netze, diese Ports, dorthin" und aus. In der OPNsense muss ich auf verschiedenen Interface-Ebenen rumeiern.
Natürlich könnte ich dafür Floating verwenden, aber trotzdem keine Übersicht wirklich.
Vielleicht ist es nur eine Gewöhnungssache.

[Gauss23]

Ist tatsächlich eine Sache der Gewöhnung. Mittlerweile finde ich es bei OPNsense aufgeräumter. Bei der Sophos XG wird es ziemlich schnell unübersichtlich, wenn man die Regeln nicht selbst in eigene Ordner ablegt. Und da jeder Admin da vielleicht ein eigenes Konzept hat, ist der nächste Admin mit dem Aufbau des vorherigen erstmal damit beschäftigt herauszufinden, wo denn was ist. Das Thema NAT/Port-Forwarding hat Sophos ja auch inzwischen auch in einen eigenen Tab ausgelagert.
Das ist bei OPNsense durch die Aufteilung auf Interfaces grundsätzlich schon entzerrt. Dadurch sind pro Interface auch deutlich weniger Regeln. Durch die neue Kategorisierung kann man nun auch innerhalb eines Interfaces Ordnung schaffen bzw sich nur Regeln aus bestimmten Kategorien anzeigen lassen. Ich denke sogar, dass bei OPNsense jede Regel, die du in der GUI anlegst auch zu genau einer Regel im BSD pf wird, wobei ich da mit den Aliassen unsicher bin, ob da nicht doch mehrere Regeln draus entstehen.

Bei Sophos werkelt da ja der Linux netfilter und da wird eine Regel in der GUI vermutlich durchaus zu X Regeln im Netfilter aufgeteilt. Kann einem Benutzer prinzipiell egal sein, als Erklärung für manche GUI Entscheidungen funktioniert es aber.

[kosta]

Ja, das mit Kategorisieren habe ich bei der Sophos immer ordentlich gemacht. Jeder Rule ist in einer Gruppe.

Gut ist es aber auch hier gelöst, ich könnte den Gruppen Farben vergeben, wäre nur der Platz der Beschreibung und Farb-Punktes getauscht! So sieht es vollkommen unübersichtlich wenn die verschiedenen Punkte links rechts wandern, wenn man viele hat... wo kann man solche Vorschläge reinbringen, wäre echt cool wenn das durch ein Update gemacht werden könnte. Sofern es die anderen auch für sinnvoll halten.

Von den Aliasen habe ich mittlerweile ziemlich beschlossen mich weg von Port-Gruppierungen zu halten, schon alleine aus dem Grund dass man sieht wann die Regel genutzt wurde. Jedoch die Destination Gruppierungen wiederum halte ich für sehr sinnvoll. Für zB. Netzwerke, damit sie nen Namen bekommen.

XG hatte ich übrigens auch in der Sicht, aber die Tests die ich vor 1 Jahr gemacht habe, haben mich von XG wieder weggepusht. Deswegen blieb ich in der Firma bei der UTM, haben sogar heuer die Lizenz für weitere 3 Jahre gekauft. Mal sehen. Sollte ich mit OPNsense mich anfreunden, vielleicht in 3 Jahren auch in der Firma auf OPNsense wechseln.

Eine Sache finde ich jedoch richtig grauslich, gehört zwar nicht zu Firewall jetzt dazu, aber das Thema VPN... was in der Sophos paar Klicks sind, sind in der OPNsense gefühlt 1000... hab gestern für mich persönlich Wireguard konfiguriert. Holy sh... Sogar im Wireguard Docker-Container ist es 100x einfacher. Erstellen, Ports angeben, scannen, fertig. Wo ist das in OPNsense? DAS wäre geil.
OpenVPN habe ich nicht getestet, gibt es dort ein Profil-Download?

[Gauss23]

Den Vergleich mit WireGuard finde ich unfair. Das ist eine neue Software und die Implementierung ist noch weit weg von perfekt aber es ist immerhin da. WireGuard wird es in der aktuellen Form womöglich nie in kommerzielle Produkte schaffen, daher ist das schon toll, dass es überhaupt da ist.

OpenVPN finde ich gut gelöst in OPNsense. Es gibt die Möglichkeit die Client-Configs für jeden Client zu exportieren. Allerdings kann der User das nicht selbst. Der Admin exportiert die Configs.

[kosta]

Den Vergleich mit WireGuard finde ich unfair.

Da gebe ich dir Recht. Schneller getippt als nachgedacht wohl.
Aber es steht schon, dass die Konfiguration von WG nicht die benutzerfreundlichste ist. Ich "muss" die Keys per Mail senden... nicht wirklich sonderlich sicher, auch wenn verschlüsselt.

Openvpn: nicht fertig konfiguriert. Ist aber an meiner To-Do Liste. Sofern man die .ovpn Dateien herunterladen kann, geht OK. Danke für die Info.

[kosta]

Bei der Firewall Rule-Erstellung fällt mir was ein:
Mein Mobil_WLAN hat eigentlich nur ein Rule aktuell: IPv4* *alles überallhin*.

Jedoch kommt immer wieder:
Feb 15 13:28:47   192.168.130.3:49965   172.217.22.202:443   tcp   Default deny rule

Warum? Das ist doch was vom Google, warum würde HTTPS ausgehend zum internen Interface blockieren?

[JeGr]

Das kann niemand ohne Einblick in dein Netz, deinen Netzaufbau, dein WLAN Setup und deine Firewall Regeln jetzt einfach so beantworten. Offensichtlich wird die "pass any" rule die du hast nicht genutzt, also kommt das Paket entweder übers falsche Interface, am falschen VLAN an, matcht nicht auf die Regel etc. etc. - gibt viel zu viele Möglichkeiten warum die Regeln nicht greift, als das man das durch einen Satz erkennen könnte

[lfirewall1243]

Bei der Firewall Rule-Erstellung fällt mir was ein:
Mein Mobil_WLAN hat eigentlich nur ein Rule aktuell: IPv4* *alles überallhin*.

Jedoch kommt immer wieder:
Feb 15 13:28:47   192.168.130.3:49965   172.217.22.202:443   tcp   Default deny rule

Warum? Das ist doch was vom Google, warum würde HTTPS ausgehend zum internen Interface blockieren?

Nur mal so als Idee:

Hatte es bei manchen WLAN Geräten mal, dass ich eine Regel für Stateless anlegen musste, danach ging es

[JeGr]

> Hatte es bei manchen WLAN Geräten mal, dass ich eine Regel für Stateless anlegen musste, danach ging es

Dann hast du aber sehr Besondere Probleme. Wenn das initiale "Syn" Paket nicht im Filter erkannt wird, ist aber ganz schön was schief?

[lfirewall1243]

> Hatte es bei manchen WLAN Geräten mal, dass ich eine Regel für Stateless anlegen musste, danach ging es

Dann hast du aber sehr Besondere Probleme. Wenn das initiale "Syn" Paket nicht im Filter erkannt wird, ist aber ganz schön was schief?

Ja sind ein paar übernommene Netzwerke dich ich übernommen/bekommen habe

Habe die Fehlersuche irgendwann Mal aufgegeben
Aber gebe dir Recht, dort ist was nicht in Ordnung - aber nicht meine Baustelle

[kosta]

Das kann niemand ohne Einblick in dein Netz, deinen Netzaufbau, dein WLAN Setup und deine Firewall Regeln jetzt einfach so beantworten. Offensichtlich wird die "pass any" rule die du hast nicht genutzt, also kommt das Paket entweder übers falsche Interface, am falschen VLAN an, matcht nicht auf die Regel etc. etc. - gibt viel zu viele Möglichkeiten warum die Regeln nicht greift, als das man das durch einen Satz erkennen könnte

Uh. Seit der Erstellung der VLANs, wird die Sache etwas komplizierter zu erklären, aber ich versuche es mal. Plan kann ich auch liefern wenn notwendig.
Diese Einträge fabriziert der Samsung meiner Frau. Ist einer der 4 Handys die sich in diesem Netz befinden - 3x IOS und 1x Android (VLAN130).
Der VLAN130 geht von der OPNsense aus, über einem HP Switch, getrunkt zum Unifi Switch, und dort isoliert im Wifi für Mobile Geräte auch in VLAN 130. Also das sollte eigentlich sauber sein.
Du Rule sollte jedoch gut greifen, da wenn ich die Abschalte, auf den Handys nix mehr geht. Es kommen auch massiv andere :443 Anfragen nicht durch.
Mittlerweile schaut es so aus:
WLAN_Mobile      Feb 15 17:17:41   192.168.130.3:60773   216.58.207.132:443   tcp   Default deny rule   
WLAN_Mobile      Feb 15 17:17:41   192.168.130.3:58010   172.217.20.238:443   tcp   Default deny rule   
WLAN_Mobile      Feb 15 17:17:12   192.168.130.3:60773   216.58.207.132:443   tcp   Default deny rule   
WLAN_Mobile      Feb 15 17:17:12   192.168.130.3:58010   172.217.20.238:443   tcp   Default deny rule   
WLAN_Mobile      Feb 15 17:13:04   192.168.130.3:60773   216.58.207.132:443   tcp   Default deny rule   
WLAN_Mobile      Feb 15 17:13:04   192.168.130.3:58010   172.217.20.238:443   tcp   Default deny rule   
WLAN_Mobile      Feb 15 17:11:36   192.168.130.3:60773   216.58.207.132:443   tcp   Default deny rule   
WLAN_Mobile      Feb 15 17:11:36   192.168.130.3:58010   172.217.20.238:443   tcp   Default deny rule   
WLAN_Mobile      Feb 15 17:10:14   192.168.130.3:60773   216.58.207.132:443   tcp   Default deny rule   
WLAN_Mobile      Feb 15 17:10:14   192.168.130.3:58010   172.217.20.238:443   tcp   Default deny rule   
WLAN_Mobile      Feb 15 17:10:12   192.168.130.3:60773   216.58.207.132:443   tcp   Default deny rule   
WLAN_Mobile      Feb 15 17:10:12   192.168.130.3:58010   172.217.20.238:443   tcp   Default deny rule   
WLAN_Mobile      Feb 15 17:10:11   192.168.130.3:60773   216.58.207.132:443   tcp   Default deny rule   
WLAN_Mobile      Feb 15 17:10:11   192.168.130.3:58010   172.217.20.238:443   tcp   Default deny rule   
WLAN_Mobile      Feb 15 17:10:11   192.168.130.3:60773   216.58.207.132:443   tcp   Default deny rule   
WLAN_Mobile      Feb 15 17:10:11   192.168.130.3:60773   216.58.207.132:443   tcp   Default deny rule   
WLAN_Mobile      Feb 15 17:10:11   192.168.130.3:60773   216.58.207.132:443   tcp   Default deny rule   
WLAN_Mobile      Feb 15 17:10:11   192.168.130.3:58010   172.217.20.238:443   tcp   Default deny rule   
WLAN_Mobile      Feb 15 17:10:11   192.168.130.3:58010   172.217.20.238:443   tcp   Default deny rule   
WLAN_Mobile      Feb 15 17:10:11   192.168.130.3:58010   172.217.20.238:443   tcp   Default deny rule
Was mich so irritiert ist dass es in regelmäßigen Abständen passiert.
Und, dass es nur von einem Handy stammt: nix gegen Android, aber meine iPhones machen das nicht ;-)
Eigentlich kann's mir egal sein, da es eh "blockiert" wird, aber würde nur gerne rausfinden warum, denn lt. Regeln dürfte es nicht sein. Ich möchte nur dass alles sauber ist, mehr nicht.

Was kann ich liefern damit man der Ursache näher kommt?