Home
Help
Search
Login
Register
OPNsense Forum
»
International Forums
»
German - Deutsch
»
Was ist das Ziel für das "Internet"? - gelöst
« previous
next »
Print
Pages: [
1
]
Author
Topic: Was ist das Ziel für das "Internet"? - gelöst (Read 2312 times)
srgn
Newbie
Posts: 2
Karma: 0
Was ist das Ziel für das "Internet"? - gelöst
«
on:
February 17, 2022, 04:28:39 pm »
Hallo,
Ich habe eine Schnittstelle als DMZ eingerichtet. Möchte ich z.B. Pingen (z.B. auf 8.8.8.8 ) oder DNS erlauben (also von DMZ ins Internet) funktioniert das mit "WAN-Netzwerk" als Ziel nicht, mit "jeglich" als Ziel schon.
Ist eine beliebige Adresse im Internet nicht das WAN-Netzwerk?
Grüße
Sven
«
Last Edit: February 17, 2022, 06:38:31 pm by srgn
»
Logged
Patrick M. Hausen
Hero Member
Posts: 6825
Karma: 573
Re: Was ist das Ziel für das "Internet"?
«
Reply #1 on:
February 17, 2022, 05:28:14 pm »
Das WAN-Netzwerk sind genau die Adressen auf deiner WAN-Schnittstelle plus ggf. der Provider-Router und sonst nichts. Das Internet ist immer "*".
Hatten wir doch gerade erst in einem anderen Faden ...
Logged
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do.
(Isaac Asimov)
LHBL2003
Jr. Member
Posts: 76
Karma: 2
Re: Was ist das Ziel für das "Internet"?
«
Reply #2 on:
February 17, 2022, 05:31:51 pm »
Jap in diesen:
https://forum.opnsense.org/index.php?topic=26996.0
Logged
srgn
Newbie
Posts: 2
Karma: 0
Re: Was ist das Ziel für das "Internet"? - gelöst
«
Reply #3 on:
February 17, 2022, 06:39:15 pm »
Danke für eure Antwort. Kann mir nicht erklären, warum ich den anderen Beitrag beim Suchen nicht gefunden habe.
Logged
lenny
Full Member
Posts: 239
Karma: 5
Re: Was ist das Ziel für das "Internet"? - gelöst
«
Reply #4 on:
February 18, 2022, 08:42:22 am »
Bisschen bin ich über die "Defintion" von WAN bei der OPN auch gestolpert.
Machen andere FW tw. anders.
Ansonsten baust du dir einfach ein Alias mit all deinen Internen Netzen negierst das ganze.
Logged
superwinni2
Hero Member
Posts: 546
Karma: 24
Netzwerk der Kindheit? - Draussen
Re: Was ist das Ziel für das "Internet"? - gelöst
«
Reply #5 on:
February 20, 2022, 11:24:19 am »
Noch besser wäre einfach ein Alias mit dem IP Bereichen der RFC1918. Da ist dann immer alles private Eingeschlossen. Das dann entsprechend in der Firewallregel negieren.
IP Bereiche von
RFC1918
:
10.0.0.0 - 10.255.255.255 (10/8 prefix)
172.16.0.0 - 172.31.255.255 (172.16/12 prefix)
192.168.0.0 - 192.168.255.255 (192.168/16 prefix)
Theoretisch kann man auch die Bereiche im Alias negieren.. das hat bei mir aber nie wirklich funktioniert...
«
Last Edit: February 21, 2022, 02:36:48 pm by superwinni2
»
Logged
Proxmox VE
i3-4030U | 16 GB RAM | 512 GB SSD | 500 GB HDD
i3-2350M | 16 GB RAM | 120 GB SSD | 500 GB HDD
FW VMs:
2 Cores | 1 GB RAM | 20 GB SSD
bimbar
Sr. Member
Posts: 435
Karma: 25
Re: Was ist das Ziel für das "Internet"? - gelöst
«
Reply #6 on:
February 21, 2022, 02:12:29 pm »
Schön wäre natürlich, wenn man vernünftig Ziel Interfaces filtern könnte (wie z.B. fortinet oder linux) - was man nicht kann ohne in eine merkwürdige Doppel Filter Situation zu kommen.
Logged
Patrick M. Hausen
Hero Member
Posts: 6825
Karma: 573
Re: Was ist das Ziel für das "Internet"? - gelöst
«
Reply #7 on:
February 21, 2022, 02:34:33 pm »
Ich mache mir gerade Gedanken, ob das nicht einer der Anwendungsfälle für "out" Regeln sein könnte statt "in".
Situation:
RZ-Firewall mit N von uns betreuten Kunden, jeder Kunde mit seinem eigenen Netz in seinem eigenen VLAN.
Idee:
VLAN X in: permit from Kunde X to any
VLAN X out: deny from Gruppe "alle Kunden" to any
Hab ich noch nicht umgesetzt, kommt aber vielleicht. Jemand mit Bedenken oder Ergänzungen?
Logged
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do.
(Isaac Asimov)
bimbar
Sr. Member
Posts: 435
Karma: 25
Re: Was ist das Ziel für das "Internet"? - gelöst
«
Reply #8 on:
February 22, 2022, 02:29:26 pm »
So oder so ähnlich kann man das sicher lösen.
Es ist aber nicht schön.
Ich würde da lieber
VLAN X in: permit from Kunde X to ! Gruppe "alle Kunden"
machen.
Logged
Patrick M. Hausen
Hero Member
Posts: 6825
Karma: 573
Re: Was ist das Ziel für das "Internet"? - gelöst
«
Reply #9 on:
February 22, 2022, 02:37:22 pm »
Ich will aber "von Kunde X zu alle anderen Kunden nach deren Policy, was sie als 'öffentlich' betrachten".
Das ist ja "Internet" und das sollte so aussehen als habe jeder Kunde seine eigene Firewall. Natürlich muss ich auch von einem gehosteten Server aus "
www.spiegel.de
" auf Port 80 und Port 443 erreichen können - steht ja öffentlich im Netz. Dasselbe gilt für alle Kunden untereinander ...
Firewalls, bei denen man bei Regeln Interfaces (oder "Zonen" in Sidewinder-Terminologie) angeben kann, haben es da einfacher.
Von <any> nach <Kundenzone> permit <Kunde public services>
Von <Kundenzone> nach <External/Internet> permit all (oder Einschränkung, wenn gewünscht)
Ich bin trotzdem sehr glücklich mit dem Wechsel zu 100% Open Source. Wir haben 5 Deciso-Appliances gekauft und unterstützden das Projekt dadurch. Ein Consulting-Kunde hat nochmal zwei für sich gekauft.
Gruß
Patrick
Logged
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do.
(Isaac Asimov)
Print
Pages: [
1
]
« previous
next »
OPNsense Forum
»
International Forums
»
German - Deutsch
»
Was ist das Ziel für das "Internet"? - gelöst