Standard-LAN Regel

Started by ziegler, August 17, 2022, 06:15:37 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
August 17, 2022, 06:15:37 PM
Hallo,

bin leider noch Anfänger was Firewall und Regelwerk angeht.

In der FW ist unter LAN eine Standard-Regel die im LAN alles erlaubt.

IPv4 *    LAN net    *    *    *    *    *    Default allow LAN to any rule

Macht es sicherheitstechnisch Sinn diese Regel zu löschen und geziehlt einzelne Ports zu öffen.
Also z.B. Port 80 und Port 443 für den Webbrowser usw?

Oder ist das OK so wenn ich das so lasse?

Ich habe 3 Regeln unter LAN insgesamt:
1.) IPv4 TCP    192.168.1.10/24    *    192.168.2.16/24    445 (MS DS)    *    *    Sambafreigabe auf WLAN-Gerät
2.) IPv4 *    LAN net    *    WLAN net    *    *    *    Kein Zugriff vom LAN auf WLAN
3.) IPv4 *    LAN net    *    *    *    *    *    Default allow LAN to any rule

Regel 1 ist für eine Sambafreigabe auf einem Gerät im WLAN. So kann ich vom LAN auf ein WLAN-Gerät zugreifen per SMB
Regel 2, damit blockiere ich sämtlichen weiteren Zugriff vom LAN auf das WLAN
Regel 3 ist die Standardregel die alles im LAN erlaubt.

Auf dem WLAN Interface habe ich diese Regel erstellt:

1.)     IPv4 *    WLAN net    *    LAN net    *    *    *    Kein Zugriff vom WLAN auf LAN

Damit blockiere ich den Zugriff vom WLAN auf das LAN.

Sind diese Regeln soweit ok?
Macht es Sinn die Standard-Regel zu löschen?

Vielen Dank
August 18, 2022, 12:46:33 PM #1
Was sinn macht und was nicht richtet sich immer ganz nach Anwendungsfall.


Sicherheitstechnisch ist es natürlich besser nur 2 (80 und 443) statt alle 64taused Ports zu öffnen.
Bedenke jedoch, dass es noch einige mehr relevante Ports gibt die evtl. offen sein sollten. (DNS, NTP, IMAPS/POPS, SMTP etc.)


Regeln klingen soweit in Ordnung wenn in Regel 2 auch wirklich ein "Block oder Reject" gesetzt ist.


Mithilfe der Standard-Regel stellt OPNsense für den Anfang sicher, dass alles was vom LAN kommt zugelassen wird.
Proxmox VE
i3-4030U | 16 GB RAM | 512 GB SSD | 500 GB HDD
i3-2350M | 16 GB RAM | 120 GB SSD | 500 GB HDD

FW VMs:
2 Cores | 1 GB RAM | 20 GB SSD
August 18, 2022, 07:37:29 PM #2
In Regel 2 habe ich ein "Block" eingestellt.

Ja, es werden dann mehrere Ports sein die aufgemacht werden müssen, http, https, imap, caldav, dns usw.....
und bestimmt noch welche die ich jetzt noch gar nicht kenne das ich diese brauche.

Ich denke ich belasse es erst einmal so.
Das wichtige ist ja erst einmal das vom WAN die opnsense den Zugriff auf das interne Netz blockt.

Vielen Dank für die Erklärung.
Print
Go Up Pages1
User actions