Firewall rules - Verständnis Probleme nach Pfsense Umzug

D0bby · April 28, 2021, 02:15:36 PM

Moin

bin jetzt zwar schon etwas länger auf der Opnsense unterwegs - allerdings finde ich die Regeln immer noch sehr verwirrend und schwerer als bei der Pf / k.a warum

Nun mal zu meinen zwei Versuchen die noch nicht ganz klappen oder ich mir nicht sicher bin.

Szenario A:
Im Lan Netzwerk hängen ein paar Kameras. Diese sind als Alias zusammen gefasst.
Nun möchte ich nur aus dem LAN auf diese zugreifen und das Internet nur über den NTP Port zulassen.

Code Select

IPv4 TCP/UDP Kameras 123 (NTP) * * * * funktioniert nicht.

Szenario B:
Guest VLAN / Wlan

Hier möchte ich den gesamten Traffic über ein VPN Leiten (da Netzwerk offen)
Außer auf das Internet soll dieses Netzwerk auf nicht zugreifen dürfen.
Idee war Alias RFC1918 = Block

Schon mal Danke für jeglichen Tipp :)

chemlud · April 28, 2021, 02:34:34 PM

Die Logik ist identisch zu pfSense. In deiner NTP-Regel lässt du (wahrscheinlich) Port 123 als SOURCE Port zu, das ist falsch, korrekt ist DESTINATION Port. Der Source Port ist eigentlich fast immer random...

In deinem 2. Szenario erscheint mir die 1. Regel fragwürdig, die würde jeglichen Zugriff auf das Interface der opnsense erlauben. Auch das webinterface, ssh whatever. Würde ich in einem offenen Netz alles eher blockieren als erlauben. DNS wird ja auch über deinen Tunnel laufen, oder gibt DHCP die Sense als DNS-server aus?

JeGr · April 28, 2021, 02:39:19 PM

> bin jetzt zwar schon etwas länger auf der Opnsense unterwegs - allerdings finde ich die Regeln immer noch sehr verwirrend und schwerer als bei der Pf / k.a warum

Als bei Pf? Also pfSense? Filter und Logik sind _exakt_ die selben, da gibt es keinen Unterschied. Also komplizierter kann es somit erstmal nicht sein :)

> IPv4 TCP/UDP Kameras 123 (NTP) * * * *

Ja weils falsch ist. Was soll das NTP im Source? Du willst AUF NTP Server zugreifen also ist dein ZIEL Port die 123. Und nicht die Quelle. Richtig: Quelle-IP Kameras, Port any, Ziel egal was, Port 123. UDP. NTP läuft 99% über UDP.

> Hier möchte ich den gesamten Traffic über ein VPN Leiten (da Netzwerk offen)

Hat zwar mit Netz offen nichts zu tun ob man da ein VPN haben will oder nicht - offen und unverschlüsselt ist es over the air trotzdem. Schlechter Stil.

> Außer auf das Internet soll dieses Netzwerk auf nicht zugreifen dürfen.
> Idee war Alias RFC1918 = Block

Regel 1: Warum darf das GÄSTE(!) Netz unverschlüsselt bitte auf die OPNsense zugreifen? Wäre ein großes "NOPE" bei mir. Allerhöchstens UDP 53 und 123 wären da erlaubt für NTP und DNS.
Regel 3: Es macht keinen Sinn den RFC Bereich ERST dann zu blocken, wenn du obendrüber bereits "ALLES" rauslässt. Das ist quark. Erst kommt der RFC1918 Block der interne IPs blockt, DANN kommt ein ANY (was dann nur noch der Rest ist der eben nicht RFC1918 ist), den du übers Internet bzw. VPN schickst.
2/3 sind also verkehrt herum.

Dann klappts hoffentlich auch besser ;)
Dein VPN muss natürlich auch aufgebaut sein, stehen und ausgehend genattet werden, sonst wird da kein Traffic fließen, aber davon gehe ich mal aus :)

Cheers

Edit: fast zeitgleich mit chemlud aber im Kern genau die gleichen Punkte. Volle Zustimmung.

D0bby · April 28, 2021, 02:55:01 PM

Es wird ein wenig verständlicher. Danke schon mal dafür!

Aber wie ist das mit der Reihenfolge?
Was oben steht wird als erstes "verarbeitet" und die darunter liegenden können ausnahmen bilden?

grüße

Edit:
ohne die erste Regel im Guest Net habe ich kein Zugriff aufs Internet. Was mach ich da falsch?

chemlud · April 28, 2021, 03:00:26 PM

Quote from: D0bby on April 28, 2021, 02:55:01 PM
Es wird ein wenig verständlicher. Danke schon mal dafür!

Aber wie ist das mit der Reihenfolge?
Was oben steht wird als erstes "verarbeitet" und die darunter liegenden können ausnahmen bilden?

grüße

Edit:
ohne die erste Regel im Guest Net habe ich kein Zugriff aufs Internet. Was mach ich da falsch?

Wie bei pfsense: die regeln werden von oben nach unten abgearbeitet, die erste die zutrifft (block oder pass) entscheidet. Daher muss der rfc1914 BLOCK ganz oben stehen. "Kein Internet" bedeutet vermutlich kein DNS. Deinen DNS-server auf der sense solltest du zulassen, also port 53 als DESTINATION in deine erste Regel einfügen.

kleinschreibung kann auch. Schwierig sein. Manmanman...

D0bby · April 28, 2021, 03:10:17 PM

Für mein Verständnis da ich das verstehen möchte :)

Was war an der ersten Regel so "falsch" das die zugriff auf die opnsense hätten?

Das Ziel GuestVlan address?

Edit:
So sieht jetzt das GuestVlan aus

chemlud · April 28, 2021, 05:04:26 PM

In die erste Regel würde ich noch als TARGET ADRESS ein "GUESTVLANadress" setzen, sonst lässt du alle beliebigen DNS (auch über dein normales WAN) zu.

Mal in die Logik einer statefull firewall einlesen, mal sagen... ;-)

Firewall rules - Verständnis Probleme nach Pfsense Umzug

D0bby

April 28, 2021, 02:15:36 PM

chemlud

April 28, 2021, 02:34:34 PM #1 Last Edit: April 28, 2021, 02:37:41 PM by chemlud

JeGr

April 28, 2021, 02:39:19 PM #2

D0bby

April 28, 2021, 02:55:01 PM #3 Last Edit: April 28, 2021, 02:56:41 PM by D0bby

chemlud

April 28, 2021, 03:00:26 PM #4 Last Edit: April 28, 2021, 03:02:02 PM by chemlud

D0bby

April 28, 2021, 03:10:17 PM #5 Last Edit: April 28, 2021, 03:17:03 PM by D0bby

chemlud

April 28, 2021, 05:04:26 PM #6