Home
Help
Search
Login
Register
OPNsense Forum
»
International Forums
»
German - Deutsch
»
Standard-LAN Regel
« previous
next »
Print
Pages: [
1
]
Author
Topic: Standard-LAN Regel (Read 1205 times)
ziegler
Full Member
Posts: 153
Karma: 0
Standard-LAN Regel
«
on:
August 17, 2022, 06:15:37 pm »
Hallo,
bin leider noch Anfänger was Firewall und Regelwerk angeht.
In der FW ist unter LAN eine Standard-Regel die im LAN alles erlaubt.
IPv4 * LAN net * * * * * Default allow LAN to any rule
Macht es sicherheitstechnisch Sinn diese Regel zu löschen und geziehlt einzelne Ports zu öffen.
Also z.B. Port 80 und Port 443 für den Webbrowser usw?
Oder ist das OK so wenn ich das so lasse?
Ich habe 3 Regeln unter LAN insgesamt:
1.) IPv4 TCP 192.168.1.10/24 * 192.168.2.16/24 445 (MS DS) * * Sambafreigabe auf WLAN-Gerät
2.) IPv4 * LAN net * WLAN net * * * Kein Zugriff vom LAN auf WLAN
3.) IPv4 * LAN net * * * * * Default allow LAN to any rule
Regel 1 ist für eine Sambafreigabe auf einem Gerät im WLAN. So kann ich vom LAN auf ein WLAN-Gerät zugreifen per SMB
Regel 2, damit blockiere ich sämtlichen weiteren Zugriff vom LAN auf das WLAN
Regel 3 ist die Standardregel die alles im LAN erlaubt.
Auf dem WLAN Interface habe ich diese Regel erstellt:
1.) IPv4 * WLAN net * LAN net * * * Kein Zugriff vom WLAN auf LAN
Damit blockiere ich den Zugriff vom WLAN auf das LAN.
Sind diese Regeln soweit ok?
Macht es Sinn die Standard-Regel zu löschen?
Vielen Dank
Logged
superwinni2
Hero Member
Posts: 546
Karma: 24
Netzwerk der Kindheit? - Draussen
Re: Standard-LAN Regel
«
Reply #1 on:
August 18, 2022, 12:46:33 pm »
Was sinn macht und was nicht richtet sich immer ganz nach Anwendungsfall.
Sicherheitstechnisch ist es natürlich besser nur 2 (80 und 443) statt alle 64taused Ports zu öffnen.
Bedenke jedoch, dass es noch einige mehr relevante Ports gibt die evtl. offen sein sollten. (DNS, NTP, IMAPS/POPS, SMTP etc.)
Regeln klingen soweit in Ordnung wenn in Regel 2 auch wirklich ein "Block oder Reject" gesetzt ist.
Mithilfe der Standard-Regel stellt OPNsense für den Anfang sicher, dass alles was vom LAN kommt zugelassen wird.
Logged
Proxmox VE
i3-4030U | 16 GB RAM | 512 GB SSD | 500 GB HDD
i3-2350M | 16 GB RAM | 120 GB SSD | 500 GB HDD
FW VMs:
2 Cores | 1 GB RAM | 20 GB SSD
ziegler
Full Member
Posts: 153
Karma: 0
Re: Standard-LAN Regel
«
Reply #2 on:
August 18, 2022, 07:37:29 pm »
In Regel 2 habe ich ein "Block" eingestellt.
Ja, es werden dann mehrere Ports sein die aufgemacht werden müssen, http, https, imap, caldav, dns usw.....
und bestimmt noch welche die ich jetzt noch gar nicht kenne das ich diese brauche.
Ich denke ich belasse es erst einmal so.
Das wichtige ist ja erst einmal das vom WAN die opnsense den Zugriff auf das interne Netz blockt.
Vielen Dank für die Erklärung.
Logged
Print
Pages: [
1
]
« previous
next »
OPNsense Forum
»
International Forums
»
German - Deutsch
»
Standard-LAN Regel