Home
Help
Search
Login
Register
OPNsense Forum
»
International Forums
»
German - Deutsch
»
Hilfe bei Firewallregeln erbeten
« previous
next »
Print
Pages: [
1
]
Author
Topic: Hilfe bei Firewallregeln erbeten (Read 1453 times)
TSc
Newbie
Posts: 3
Karma: 0
Hilfe bei Firewallregeln erbeten
«
on:
March 02, 2022, 05:43:55 pm »
Guten Tag,
ich bin als aktiver User neu hier im Forum. Ich habe zwar schon viel hier im Forum und auf anderen Plattformen recherchiert, aber war noch nicht als User aktiv. Auch die docs von OPNSense und eBooks von Dritten habe ich gelesen. Ich bin zwar seit gut 30 Jahren in der IT tätig, allerdings habe ich mit dem Bereich Netzwerk nur am Rande zu tun. Ich habe zuhause ein kleines Netzwerk, an dem ich mein Wissen auch abseits des Berufs weiter ausbaue.
übergeordnetes Ziel: Netzwerksicherheit erhöhen
Trigger: die Security-Lage verschlechtert sich kontinuierlich - Täter gehen immer ausgefeilter vor – auch an breitere Ziele (IoT, private Rechner, kleine Unternehmen etc.) – hybride Angriffe (physical Security und IT-Security müssen zusammenarbeiten)
Maßnahme: paralleler Aufbau einer Infrastruktur mit Netzwerksegmentierung (Server_neu) – spätere Datenmigration mit genauer Überprüfung aus dem vorhandenen Netzwerk (Server_alt) und dann nach Übergangsphase abschalten
später: Erweiterung um externe Services (z.B. Intrusion Detection, ET Pro Rulese, Zenarmor)
aktuelles Problem: Firewallregeln in OPNSense
meine Bitte an das Forum: Hilfe beim Finden der Fehlerursache
Um den Rahmen der Darstellung nicht zu sprengen, habe ich die Detailbeschreibung in ein separates pdf-Dokumente gepackt und angehängt. Ich bin unsicher bzgl. der Syntax bei Source & Destination & in/out bei OPNSense-Regelwerken --> bitte kritisch betrachten.
Danke
Tom
Struktur des Anhangs:
• Problembeschreibung
• Beschreibung Umgebung
• Visualisierung Umgebung
• Ziel: Regelwerke
• aktuelle Konfiguration
• Erkenntnisse (was geht / was geht nicht)
Problembeschreibung:
• ich bekomme keine saubere Netzwerktrennung zwischen den drei Netzen aufgebaut
• es ist ein ping in andere Netze möglich
• Firewallregeln mit DENY-ANY und expliziten ALLOW-Ausnahmen bekomme ich nicht nachvollziehbar aufgebaut
Fragen:
• wie muß ich die Firewallregeln anpassen, damit
o die Verbindung zu den anderen Netzwerken nicht funktioniert?
o SMTP funktioniert?
o die GUI OPNSense nur aus dem Management-Netzwerk erreicht wird?
• gibt es Empfehlungen zu Tools, mit denen ich das Regelwerk auf Funktion prüfen kann?
• gibt es Empfehlungen, die Regeln hinsichtlich der Security-Qualität zu verbessern?
Visualisierung Umgebung
WAN / Internet
:
: VDSL-Provider
: (WAN / 203.0.113.123)
:
.-----+-----.
| Router | LANCOM 1906VA
'-----+-----' (192.168.190.10)
|
| .-----+------.
IP-Transfernetz +--------| Test-PC D |
(192.168.190.0/24) | '-----+------'
| (192.168.190.100)
|
| WAN OPNSense
| (192.168.190.66)
.-----+------.
.------------| OPNSense+-------------.
| '-----+------' |
| | |
| 41_Server_alt | 3_Server_neu | 0_Management
| (192.168.241.10) | (192.168.203.10) | (192.168.200.10)
| (Subnet 24) | (Subnet 24) | (Subnet 24)
| | |
| | |
.-----+------. .-----+------. .-----+------.
| Test-PC C | | Test-PC B | | Test-PC A |
'-----+------' '-----+------' '-----+------'
(192.168.241.100) (192.168.203.100) (192.168.200.100)
Logged
ar
Newbie
Posts: 29
Karma: 2
Re: Hilfe bei Firewallregeln erbeten
«
Reply #1 on:
March 02, 2022, 10:15:59 pm »
Nur relativ überflogen, aber es scheint als wenn dein OPNsense als Gateway zwischen den Subnets agiert.
Was aus dem Diagram nicht hervorgeht ist die tatsächliche Anzahl der Interfaces am OPNsense und wie du die drei Subnetze physisch trennst (z.B. über drei unterschiedliche Ethernet-Ports), solltest du das nicht machen und einfach nur drei IP-Adressen auf einem Interface vergeben haben, könntest du eventuell schauen ob VLAN eher die Lösung ist die du suchst, so könntest du die Netze recht sicher trennen auf einem Interface.
Die Idee dahinter ist das du pro Interface/Subnet in/out-Regeln definieren möchtest, aber anscheinend aktuell nicht kannst.
«
Last Edit: March 02, 2022, 10:20:42 pm by ar
»
Logged
TSc
Newbie
Posts: 3
Karma: 0
Re: Hilfe bei Firewallregeln erbeten
«
Reply #2 on:
March 03, 2022, 07:59:43 am »
Guten Morgen,
danke für Deine Antwort. Die technischen Details habe ich in ein einzelnes pdf-Dokument gepackt. Und an die ersten Anfrage angehängt. Damit die Anfrage nicht unübersichtlich wird.
> Was aus dem Diagram nicht hervorgeht ist die
> tatsächliche Anzahl der Interfaces am OPNsense
> und wie du die drei Subnetze physisch trennst
Es handelt sich um 6 produktive NICs (2 + 4 + iLO). Die Netze hängen an vier separaten NICs.
em0 WAN
em1 0_Management
bge0 41_Server_alt
bge1 nicht benutzt
bge2 nicht benutzt
bge3 3_Server_neu
> es scheint als wenn dein OPNsense als
> Gateway zwischen den Subnets agiert
ja - diese Funktion würde es erklären. Oder ein NIC-Teaming. Aber ich habe beides (zumindest bewußt) nicht aktiviert.
Ich habe nur einen Eintrag (default) bei Gateway
System: Gateways: Einzeln
WAN_GW (active) WAN IPv4 255 (upstream) 192.168.190.10 ~ ~ ~ Online Interface WAN Gateway
Hast Du Ideen, wie ich die Verbindung kappen kann?
Tom
Logged
TSc
Newbie
Posts: 3
Karma: 0
Re: Hilfe bei Firewallregeln erbeten
«
Reply #3 on:
March 03, 2022, 07:33:11 pm »
Guten Abend,
kurzer Zwischenstatus:
zwei von drei Fragen konnte ich durch weitere Recherche im englischsprachigen Forum und durch Mitlesen von "Firewall: Protokolldateien: Liveansicht" lösen.
GELÖST
> wie muß ich die Firewallregeln anpassen,
> damit SMTP funktioniert?
Es lag am vorgelagerten LANCOM-Router. Ich hatte in dessen Firewall den Port 587 unter ALLOW-SECUREMAIL nicht freigegeben. Es wurde also vorher geblockt - nicht in OPNsense.
GELÖST
> wie muß ich die Firewallregeln anpassen,
> damit die GUI von OPNsense nur aus dem
> Management-Netzwerk erreicht wird?
System: Einstellungen: Verwaltung
Hörende Schnittstellen von "alle" --> "0_Management"
OFFEN
> wie muß ich die Firewallregeln anpassen, damit
> die Verbindung zu den anderen Netzwerken nicht funktioniert?
Hat hier noch jemand eine Idee für mich? Firewall, Gateway, Bridge, Teaming?
Soll ich ein Gateway pro Netz einrichten?
Oder gibt es irgendwo eine Bridge-Funktion, die ich nicht wahrgenommen habe?
Danke für ein Feedback
Tom
Logged
ar
Newbie
Posts: 29
Karma: 2
Re: Hilfe bei Firewallregeln erbeten
«
Reply #4 on:
March 04, 2022, 05:09:38 pm »
Hast du Regeln auf z.B. bge3 IN, die Source aus bge0 NET verhindert oder ist aktuell alles erlaubt im Sinne von "allow LAN to any"
Logged
Print
Pages: [
1
]
« previous
next »
OPNsense Forum
»
International Forums
»
German - Deutsch
»
Hilfe bei Firewallregeln erbeten