Firewall Regel mit eingehendem und ausgehenden Interface

[Thomas_L]

Hallo zusammen,

ich kenne aus der ZyXEL Firewall Welt folgende Regel:

Eingehendes Interface: LAN
Ausgehendes Interface: WAN

Quell- und Ziel IP egal.

Ich würde das gerne bei der OPNsense nachbilden.

Hintergrund: Ich habe einige VLANs und möchte bei jedem VLAN eine Regel erstellen, damit es nur in das Internet darf aber nicht in die anderen VLANs. Ich kann aber beim Ziel nicht "das Internet" angeben.

So wie ich es bisher verstehe müsste ich bei jedem VLAN Block Regeln für jedes andere VLAN einrichten.

Was ist hier der eleganteste Weg das zu erreichen?

Vielen Dank für Eure Hilfe!

Thomas.

[franco]

Hallo Thomas,

Geht nur per advanced "set local tag" und "match local tag" in 2 separaten Regeln. Direction ist dann jeweils "in" und "out".


Grüsse
Franco

[Patrick M. Hausen]

Outgoing Interface Regeln habe ich auch schon vermisst. Komme von der Sidewinder.

Mein Take zu dem VLAN-Problem:
https://forum.opnsense.org/index.php?topic=28447.msg138309#msg138309

Gruß
Patrick

[Thomas_L]

Hallo Patrick,

das klingt sehr vielversprechend.

Ich werde es gleich einmal versuchen.

Vielen Dank für deine Hilfe!

Thomas

[Raketenmeyer]

Hallo Thomas,

ich lege mir für diesen Zweck immer den Alias 'internal_networks' an - mit sämtlichen lokalen Netzwerken (RFC1918). Eine Regel mit dem Ziel "!internal_networks" (Checkbox Destination / Invert anhaken) erlaubt dann nur den Zugriff nach außen. Setze ich immer als letzte Regel.

LG Olli

[Patrick M. Hausen]

@Raketenmeyer, das geht so lange gut wie

- deine internen Netze für IPv4 nur RFC1918 verwenden
- du kein IPv6 hast

Keine Kritik, das passt für viele kleinere Installationen. An IPv6 führt allerdings über kurz oder lang kein Weg vorbei.