International Forums > German - Deutsch

Firewall in / out Verwirrung

(1/1)

osJonathan:
Hallo,
mich verwirrt die Opnsense Firewall etwas und ich würde gerne wissen ob ich etwas verkehrt gemacht habe bzw. es verstehen?

Also sagen wir ich möchte Zugriff von einem WireGuard Interface auf das LAN geben, dann wähle ich als Richtung "out", aber warum? Müsste es nicht anders rum sein?

Und warum ist es für das eigene Netzwerk wieder andersrum? Die default Route hat ja (Quelle LAN Netzwerk) "in" ...

Mks:
Hallo.

Schau mal hier, das sollte zum Verständnis weiterhelfen.

https://forum.opnsense.org/index.php?topic=30257.msg146205#msg146205

Lg

bimbar:
Ausser es gibt einen zwingenden Grund, immer "in".

JeGr:
> Also sagen wir ich möchte Zugriff von einem WireGuard Interface auf das LAN geben, dann wähle ich als Richtung "out", aber warum? Müsste es nicht anders rum sein?

Nein, out ist es meistens nicht. In den allermeisten Fällen - wie bimbar sagt - sind Regeln "in(coming)". Nicht ausgehend. Ein- / ausgehend bezieht sich dabei aber nicht auf irgendeine Senderichtung von dir ins Internet oder zurück oder sonstwie, sondern ist immer im Bezug auf die Netzwerkschnittstellen zu sehen. Auch virtuelle wie Wireguard oder VLANs, ganz egal. EINgehend ist damit immer gemeint für Traffic der AN diesem Interface ankommt und woanders wieder aus der Firewall rausgeht. AUSgehend ist aus der Sicht der Firewall/NICs immer Traffic der aus irgendeinem Interface rausgeht irgendwoanders hin.

Beispiel Wireguard zu LAN:

Traffic eingehend übers VPN ist dann EINgehend auf dem Wireguard Interface (die Pakete kommen dort an und gehen in die Firewall rein) und AUSgehend auf dem LAN. Da die Firewall aber stateful und automatisch erlaubten Traffic der reinkam auch wieder raus lässt, musst du im Normalfall NIE etwas anderes als INcoming Regeln erstellen.

An der Stelle kann man sich die Firewall ein wenig wie eine Festung mit Burgtoren vorstellen, an der sich verschiedene Handelsrouten treffen. Die ins Ausland (Internet) und die aus dem eigenen Land (LAN, Servernetz, DMZ, etc.) Alles eigene Straßen mit Händlern die mit ihren Wagen Pakete transportieren. Wenn du jetzt "Handel mit dem Ausland von LANhausen" erlauben willst, dann werden die Händler deine Pakete die Straße zum FirewallFort transportieren und kommen am Tor "LAN" an und wollen rein. Da werden sie von den Wachen (Filter) kontrolliert und bei erlaubter Regel eingelassen. Damit sie nicht unnötig beim Verlassen des Forts nochmal kontrolliert werden müssen, ist ausgehend fast alles erlaubt (darum muss mans nicht extra freigeben). Damit die Händler auch möglichst flott mit ihren Waren aus dem Ausland wieder nach LANhausen zurückkommen und die Antworten bringen (stateful) werden Sie bei der Rückreise nur kurz angeschaut ob man "sich kennt" (match gegen Stateful Tabelle) und ob die hier schonmal durchgekommen sind - und dann dürfen Sie flott wieder zurück nach Hause.

Vielleicht macht es die Analogie etwas ersichtlicher, was eingehend und ausgehend ist. Ausgehend zu filtern lohnt sich bspw. nur dann, wenn man explizit Regeln hat, die sonst zu komplex werden würden, die ich aber ggf. mit einer ausgehenden Regel stark vereinfachen könnte.

Beispiel: mehrere interne Netze, alle 10.x.y.0/24. Firewall auf einem vServer bei einem Hoster. Hoster setzt hart RFC1918 durch und will auf seinem Gateway keinerlei private IPs sehen! Hetzner ist bspw. da recht rigoros.
Jetzt möchte man aber interne Netze nicht blocken, da die internen miteinander reden können sollen, aber trotzdem sollen keine internen Anfragen nach draußen ans WAN Gateway rausgehen. Dann kann ich eine Reject out Regel anlegen mit "Ziel: RFC1918" (Alias anlegen mit allen privaten Netzen) und mir sicher sein, dass kein interner Traffic aus versehen hoch ans WAN Gateway ins Internet geschickt wird.

Hoffe das hilft :)
Cheers

Navigation

[0] Message Index