Anfänger - Nur Internet

keebie · March 05, 2021, 10:39:24 AM

Hallo liebe Gemeinde und bereits ein Entschuldigung für die Frage,

ich versuche mich seit einigen Stunden über die grundlegenden Regeln bei opnsense zu informieren, komme aber ohne DAU-Bilderanleitung nicht so richtig weiter :-\

Ich möchte meinen LAN-Geräten nur den Zugang zum Internet erlauben und habe die Ports 53,80 & 443 als TCP/UPD für IPv4 eingerichtet.

Funktioniert auch, ich möchte nur einfach wissen ob meine Konfig wirklich alles weitere aussperrt oder ob ich hier einen Fehler drin habe, weil mich die ganzen Einstellmöglichkeiten und Begrifflichkeiten überfordern :-[

Deswegen im Anhang mal ein Screenshot:

lfirewall1243 · March 05, 2021, 11:00:59 AM

Sieht ganz gut aus.

Du gibst damit aber dem LAN Netzwerk auch Zugriff auf deine anderen angeschlossenen Netzwerke (DMZ z.B.)
Aber ist es nur das eine LAN und WAN siehts schonmal ganz gut aus :)

lidynia.sven · March 05, 2021, 11:02:28 AM

Hallo und Willkommen,

Grundsätzlich brauchst du für dein Vorhaben nichts zu machen.

Die sense erlaubt von innen nach außen alles und die Antworten automatisch von außen nach innen. WAN ist grundsätzlich gesperrt.

Wenn du allerdings von innen nach außen sperren möchtest ist LAN das Interface an dem du die regeln setzen musst.

Dabei aber drauf achten das essentielle Dienste wie DNS nicht geblockt werden.

Gesendet mit Tapatalk pro

keebie · March 05, 2021, 11:16:03 AM

Vielen Dank für die Antworten!

@lidynia.sven
Bedeutet, ich hätte eigentlich die Einstellungen auch auf Default belassen können?

@lfirewall1243
Hmm, im nächsten Schritt würde mich tatsächlich intressieren, ob ich das LAN (192.168.1.1/24) was auch Zugriff auf den Adressbereich 192.168.0.1/24 hat, dahingehend isolieren kann. Also Geräte mit IP 192.168.1.1/24 in diesen Subnetz zu isolieren!

lfirewall1243 · March 05, 2021, 11:30:59 AM

Dazu musst du vor deinen ALLOW Regeln eine Block Regel setzen

Quelle: LAN Netzwerk / ANY
ZIEL: 192.168.0.1/24

lidynia.sven · March 05, 2021, 11:47:29 AM

Quote from: keebie on March 05, 2021, 11:16:03 AM
Vielen Dank für die Antworten!

@lidynia.sven
Bedeutet, ich hätte eigentlich die Einstellungen auch auf Default belassen können?

@lfirewall1243
Hmm, im nächsten Schritt würde mich tatsächlich intressieren, ob ich das LAN (192.168.1.1/24) was auch Zugriff auf den Adressbereich 192.168.0.1/24 hat, dahingehend isolieren kann. Also Geräte mit IP 192.168.1.1/24 in diesen Subnetz zu isloieren!

Ja korrekt. Das hättest du auf default lassen können.

Gesendet mit Tapatalk pro

keebie · March 05, 2021, 11:48:06 AM

So hier?

lfirewall1243 · March 05, 2021, 11:49:14 AM

Quote from: lidynia.sven on March 05, 2021, 11:47:29 AM
Quote from: keebie on March 05, 2021, 11:16:03 AM
Vielen Dank für die Antworten!

@lidynia.sven
Bedeutet, ich hätte eigentlich die Einstellungen auch auf Default belassen können?

@lfirewall1243
Hmm, im nächsten Schritt würde mich tatsächlich intressieren, ob ich das LAN (192.168.1.1/24) was auch Zugriff auf den Adressbereich 192.168.0.1/24 hat, dahingehend isolieren kann. Also Geräte mit IP 192.168.1.1/24 in diesen Subnetz zu isloieren!
Ja korrekt. Das hättest du auf default lassen können.

Gesendet mit Tapatalk pro

Wäre nur unsicherer.
Die default Regel dient eigentlich nur für den Anfang damit erstmal alles Funktioniert.
Wie bei jeder anderen Firewall sollte man aber nur das erlaube was auch benötigt wird (beim Websurfen eben Port 80 und 443) d.h. der Rest kann ruhig zu bleiben

lfirewall1243 · March 05, 2021, 11:49:41 AM

Quote from: keebie on March 05, 2021, 11:48:06 AM
So hier?

Genau!
Wenn du mehrere Netze hast kannst du auch ein Alias anlegen.
Aber so passt es auf jeden Fall!

keebie · March 05, 2021, 12:44:54 PM

Danke dir!

Allerdings kann ich die Geräte mit dem Advanced IP Scanner noch anpingen bzw. sehen. Soll das so sein?
Der direkte Ping per CMD geht nicht.

lfirewall1243 · March 05, 2021, 01:46:00 PM

Quote from: keebie on March 05, 2021, 12:44:54 PM
Danke dir!

Allerdings kann ich die Geräte mit dem Advanced IP Scanner noch anpingen bzw. sehen. Soll das so sein?
Der direkte Ping per CMD geht nicht.

Sind die vielleicht noch im Cache oder so ?
Starte Mal den Rechner neu.

Wenn du jetzt aber auf dem 192.168.0.xxx eine Allow Regel hast darf das Netz in dein LAN. - Nur so als Hinweis

keebie · March 05, 2021, 01:51:24 PM

Quote from: lfirewall1243 on March 05, 2021, 01:46:00 PM
Wenn du jetzt aber auf dem 192.168.0.xxx eine Allow Regel hast darf das Netz in dein LAN. - Nur so als Hinweis

Ist das aktuell konfiguriert?

lfirewall1243 · March 05, 2021, 01:53:21 PM

Quote from: keebie on March 05, 2021, 01:51:24 PM
Quote from: lfirewall1243 on March 05, 2021, 01:46:00 PM
Wenn du jetzt aber auf dem 192.168.0.xxx eine Allow Regel hast darf das Netz in dein LAN. - Nur so als Hinweis

Ist das aktuell konfiguriert?

Mach Mal einen Netzwerkplan und Screenshots von der Regelübersicht der ganzen Schnittstellen

keebie · March 05, 2021, 02:15:30 PM

Achso, verstanden. Nee hab ich nicht, jetzt haut alles hin :)

Vielen Dank!

Anfänger - Nur Internet

keebie

March 05, 2021, 10:39:24 AM

lfirewall1243

March 05, 2021, 11:00:59 AM #1

lidynia.sven

March 05, 2021, 11:02:28 AM #2

keebie

March 05, 2021, 11:16:03 AM #3 Last Edit: March 05, 2021, 12:48:41 PM by keebie

lfirewall1243

March 05, 2021, 11:30:59 AM #4

lidynia.sven

March 05, 2021, 11:47:29 AM #5

keebie

March 05, 2021, 11:48:06 AM #6

lfirewall1243

March 05, 2021, 11:49:14 AM #7

lfirewall1243

March 05, 2021, 11:49:41 AM #8

keebie

March 05, 2021, 12:44:54 PM #9

lfirewall1243

March 05, 2021, 01:46:00 PM #10

keebie

March 05, 2021, 01:51:24 PM #11

lfirewall1243

March 05, 2021, 01:53:21 PM #12

keebie

March 05, 2021, 02:15:30 PM #13