Verständnisfrage Firewall Regeln, VLANs, Routing

Started by Grossi, June 17, 2022, 05:06:39 AM

Previous topic - Next topic
Print
Go Down Pages1
User actions
June 17, 2022, 05:06:39 AM
Hallo Liebe Gemeinde,

ich muss euch leider nochmal belästigen  :P
Mein Verständnis ist noch nicht ganz durchgestiegen.

In meiner Testumgebung habe ich 3 VLAN erstellt:

VLAN 100
VLAN 110
VLAN 120 (nur in OS angelegt (Platzhalter) nicht im Switch)

Im VLAN 100 bin ich mit meinem Rechner verbunden. DHCP Zuweisung von OS funktioniert alles
Im VLAN 110 ist eine TK-Anlage verbunden mit fester IP.

Firewall Regel im VLAN 100 = Allow any any aktiv
Im VLAN 110 keine Regel aktiv

Trotzdem kann ich direkt vom VLAN 100 in das VLAN 110 kommunizieren und die TK-Anlage erreichen.
Eine Blockregel auf Interface VLAN110 / IN / Quelle VLAN110 / Destination VLAN100  bringt auch nichts. Es ist weiterhin erreichbar.
Außer ich sage Richtung OUT dann wird geblockt.

Ich bekomme es nicht so recht in meinen Kopf rein, wie die Logik dahinter ist.
In der Doku von OS steht soviel wie interne Verbindungen sind immer erlaubt, ist das korrekt?
Wie müsste eine Blockregel aussehen, wenn ich VLAN110 aus VLAN100 blocken möchte und nur VLAN120 darf auf VLAN110 Zugriff haben, sonst kein anderes Netz?

Ich hoffe ich habe mich verständlich ausgedrückt?

Danke für Informationen.

VG Tony
June 17, 2022, 12:41:09 PM #1
hi

Ich merk mir das mit in/out immer so:
IN die Firewall auf dem Interface
und
OUT of the firewall in this Interface
Das Bild hier zeigt es eigentlich auch ganz hübsch:
https://docs.opnsense.org/manual/firewall.html


du hast 2 Möglichkeiten:
entweder
du blockst auf dem VLAN 110 das OUT mit source VLAN 100
oder
du blockst im VLAN 100 das IN mit destination VLAN 110

Sobald du in deinem VLAN100 eine Regel mit any/any etc. hast sagst du der firewall, dass von diesem LAN die Verbindung aufgebaut werden darf. Da die Regeln statefull sind, sollte die 100->110 Verbindung aktviert werden. Der Default sollte allerdings hier dann im IN-Regelfall des VLAN110 blockiert werden - daher ein wenig strange.

Regeln für VLAN 120 / 110 sind dann entsprechend zu setzten (und ggf. die Verbindung ins 110er verbieten)
June 17, 2022, 07:40:04 PM #2
Danke für deine Antwort,
Das hat mich wieder etwas weiter gebracht. Aber ganz durch gestiegen bin ich noch nicht.

Ich hab mir mal eine Skizze erstellt (siehe Anhang) zum besseren Verständnis.

Zu deiner Aussage mit der ALLOW any any Regel im vlan 100.
Dies sagt also damit das der Verkehr zu allen anderen Netzen erlaubt ist und ich dann nur mit einer OUT Regel im vlan 110 das Netz Vlan 100 aussperren kann quasi?
June 17, 2022, 07:56:45 PM #3
Nein, du solltest beim VLAN 100 ein IN Regel erstellen, die vor der "Allow any" liegt und den Verkehr mit Ziel "IP Adressen von VLAN 101" ausdrücklich verbietet.

Wenn eine Verbindung mal erlaubt ist, ist sie erlaubt, da ändern dann auch OUT Regeln auf dem anderen Interface nichts. Du sagst ja ausdrücklich "VLAN 100 darf mit ALLLEN reden", so wie du es im Moment hast.

Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
June 17, 2022, 08:25:56 PM #4
Danke pm hausen,

OK leuchtet ein und auch die Reihenfolge der Regeln ist mir bekannt, von oben nach unten.
Jedoch eine Out Regel im vlan 110 zu vlan 100 hatte bei meinem Tests hatte aber den gewünschten Erfolg. Jedoch war mir noch so bekannt, dass bevorzugt IN Regeln verwendet werden sollten.
Print
Go Up Pages1
User actions