Regeln auf Loopbackinterfaces greifen nicht - was ist zu beachten?

[Layer8]

Hallo zusammen,

wir haben ein öffentliches /24er IPv4-Netz. Als Adresse nehmen wir 192.192.192.0/24 an. Dieser Adressblock wird von Router 1 an unsere OPNsense mit der IP 10.1.0.2 geroutet.

Auf der OPNsense wollen wir nun die public IPs verwalten und je nach Bedarf über HA-Proxy oder Portforwardings an entsprechende Dienste in diversen DMZs/lokalen Netzen weiterleiten.

Um die öffentlichen IPs auf der sense zu verwalten, haben wir ein Loopback-Interface angelegt (lo1), dieses aktiviert und ihm die IP 192.192.192.1/32 als Virtual IP gegeben. Diese IP ist auch aus dem Netz erreichbar, wenn man auf dem Transfernetz eine entsprechende Allow-Regel anlegt.

Weil wir mehrere Tenants haben werden, würden wir jedem Tenant gerne zukünftig ein eigenes Loopback-Interface mit jeweils eigener öffentlicher IP zuweisen, also lo2 = 192.192.192.2/32, lo3 = 192.192.192.3/32 usw.. Die Überlegung dahinter ist, dass es übersichtlicher ist, wenn jedes Tenant sein eigenes Interface hat, weil dann die Regeln nicht alle auf einem Interface erstellt werden.


Hier der Plan dazu:

      WAN / Internet
            :
            :
      .-----+-----.
      |  Router1 |
      '-----+-----'
            |.1
            |
        Transfernetz 10.1.0.0/24
            |
            |.2
      .-----+----------------------------------------------------------------.
      |  OPNsense                                                  |         lo1          | -Virtuelle IP 192.192.192.1
      '-----+----------------------------------------------------------------'
            | .1                                |.1                    |         lo2          | -Virtuelle IP 192.192.192.2
            |                                    |                       -------------------'
            |                                    |
   DMZ1 | 10.2.0.1/24        DMZ1 | 10.3.0.0/24   




Wenn wir wie oben angedeutet auf dem Interface 10.1.0.2 Regeln anlegen, die den Zugriff aus dem Internet zu den Public IPs regeln dann klappt es ohne Probleme, den Zugriff auf die Public IPs zu reglementieren.

Unser Problem ist, dass die Regelwerke, die wir auf den Loobackinterfaces definieren nicht greifen.

Wenn man die Regelwerke auf den Loopback-Interface anlegen will, wie müsste dann die Regeln aussehen, wenn z.B. HTTP/HTTPS-Traffic aus dem Internet erlaubt werden soll?


Vielen Dank für die Hilfestellung.

[franco]

Hi,

Kann es vielleicht sein, dass da ein kleiner Denkfehler im Spiel ist?

Die Regeln auf dem Interface sind im Standard "in" aber hier handelt es sich ja um "out" Traffic der auf dem Interface zu HAproxy "heraus" gelenkt wird?

Für Traffic der "in" im WAN ankommt muss letztlich auch im WAN eine Regel aufgestellt werden mit der Erlaubnis zur Loopback-IP?


Grüsse
Franco

[Layer8]

Ja, das hatten wir auch schon im Sinn. Regeln greifen ja entweder nur wenn Traffic in ein Interface rein fließt oder aus einem Interface raus fließt. Dementsprecht muss man ja In oder Out bei den Regeln wählen.

WAN wäre in dem Fall ja das Interface 10.1.0.2 im Transfernetz. Da greifen die Regeln dann auch, wenn wir eine IN-Regel erstellen. Das heißt, ist der Traffic an der Stelle durch, kommt er bis zu den lo1 Adressen. Ohne eine In-Regel (z.B. erlaube jeglichen Traffic aus dem Internet, der zu 192.192.192.0/24 will) auf diesem Interface, hätte der Traffic auch keine Chance überhaupt zum lo1 zu kommen.

Wir wollten dann versuchen, z.B. Pings aus dem Internet oder Zugriffe auf das Webinterface der sense zu unterbinden. Geht das in dem Fall überhaupt?

Edit: Aktuell haben wir den HA-Proxy oder Portforwardings noch gar nicht konfiguriert. Wir wollten erstmal hinbekommen, dass die öffentlichen Adressen gezielt gepingt bzw. nicht gepingt werden können. Das heißt wir haben noch gar keine Out-Regel vom lo1 zu HA-Proxy oder einem DMZ-Host unterbinden können.