Bestimmte Hosts/Ports nur von/ins Internet lassen

[zeropage]

Hallo,

ich habe ein VLAN für "nicht vertrauenswürdige Hosts" eingerichtet. Dort sollen hosts nur ausnahmsweise untereinander kommunizieren dürfen. Bestimmte Services wie HTTP/S sollen in das Internet erlaubt sein. Letzteres habe ich durch folgende Regel unter Angabe des PPPOE-Gateway bewerkstelligt:

Action: Pass
Quick: Checked
Interface: VLAN20
Direction: in
Protocol: IPv4 TCP/UDP
Source: VLAN20 net
Port: *
Destination: *
Port: 443 (HTTPS)
Gateway: WAN_PPPOE

Ich frage mich nun aber, ob das der richtige Weg ist. Was meint ihr? Auch allgemein interessiert mich, wie man ein solches Subnetz mit opnSense konfiguriert. Gibt es ein Beispiel für ein solches Ruleset hier im Forum oder anderswo?

Anhang: Auszug VLAN20 Rules.

[zeropage]

Schade, keine Antwort. 

War meine Frage zu doof? Wahrscheinlich gibt es für mein Problem Lösungen im Netz. Ich habe mehrmals gesucht, aber nichts passendes gefunden. Falls das von mir gezeigte Beispiel grundsätzlich falsch ist, interessiert mich das natürlich auch.

[Patrick M. Hausen]

Du kannst das mit dem expliziten Gateway lösen oder mit einer Deny-Regel vor der Allow-Regel, die den Zugriff auf alle lokal verbunden Netze unterbindet, abschließend dann eben "allow all".

Also ist schon richtig und eine der beiden Möglichkeiten.

[zeropage]

Danke. Ich glaube verstanden zu haben, was du meinst.

In welcher Reihenfolge würdest du Regeln für ein solches Subnetz (mit wenig vertrauenswürdigen Geräten) anordnen? Erst alle speziellen und dann alle allgemeinen oder umgekehrt? Erst Deny, dann allow. Oder umgekehrt? Mir fehlt irgendwie ein vollständiges, praktisches Beispiel. Im Netz finde ich nur Lösungen zu einzelnen bestimmten Fragestellungen. Selten das ganze Bild.

[Patrick M. Hausen]

Die Regeln werden von oben nach unten abgearbeitet, die erste passende Regel greift, die Regelverarbeitung endet.
Das gilt für alle Regeln, die das "quick" oder "first match" Attribut gesetzt haben, das ist diese kleine gelbe Blitz.

Als Beispiel:

Quelle: alle - Ziel: alle meine anderen privaten Netze - verbieten
Quelle: privilegierter PC in dem Netz - Ziel: alles, alle Ports - erlauben
Quelle: alle in dem Netz - Ziel: alles, Ports 80 und 443 - erlauben
Quelle: alle - Ziel: alle - verbieten

Damit kommt

- kein Rechner aus dem Netz an Rechner in anderen privaten Netzen, die erste Regel greift
- ein einzelner Rechner in dem Netz an alles im Internet
- alle anderen Rechner in dem Netz an Webserver im Internet
- sonst keiner in dem Netz an irgendwas

Was genau du da konfigurieren musst, musst du dann schon selbst wissen. Eine Firewall ist ein "Policy Enforcement Device". Dazu braucht es eine Policy. Diese legst du fest und niemand sonst.

HTH,
Patrick

[zeropage]

Quelle: alle - Ziel: alle meine anderen privaten Netze - verbieten

Wie kann ich das Konfigurieren, ohne "meine anderen privaten Netze" angeben zu müssen? Ich denke, "nicht dieses Netzwerk" würde auch das Internet ausschließen. Hintergrund ist, dass ich nicht für jedes Netz einen Alias mit Ausschlussliste erstellen möchte.

Quelle: alle in dem Netz - Ziel: alles, Ports 80 und 443 - erlauben
Quelle: alle - Ziel: alle - verbieten

Macht es eine Unterschied, ob ich als Quelle das Subnetz (z.B. VLAN20) angeben oder "any"?

Was genau du da konfigurieren musst, musst du dann schon selbst wissen. Eine Firewall ist ein "Policy Enforcement Device". Dazu braucht es eine Policy. Diese legst du fest und niemand sonst.

Meine Policy habe ich sehr genau im Kopf. Was ich dazu auf der OPNsense vernünftigerweise konfigurieren muss/sollte aber nicht immer.

[Patrick M. Hausen]

Wie kann ich das Konfigurieren, ohne "meine anderen privaten Netze" angeben zu müssen? Ich denke, "nicht dieses Netzwerk" würde auch das Internet ausschließen. Hintergrund ist, dass ich nicht für jedes Netz einen Alias mit Ausschlussliste erstellen möchte.

Kannst du nicht. Du musst Ausschlusslisten komplett konfigurieren. Im allgemeinen Fall reicht aber auch eine, die einfach alle privaten Netze enthält, auch das Quell-Netz selbst.

Quelle: Netz um das es geht - Ziel: IP der Firewall selbst - erlauben (hier evtl. nur einzelne Ports - DNS, DHCP, ...)
Quelle: Netz im das es geht oder "any" - Ziel: private Netze - verbieten
... dann weitermachen

Verbindungen innerhalb eines Netzes laufen ja nicht durch die Firewall durch.

[zeropage]

Verbindungen innerhalb eines Netzes laufen ja nicht durch die Firewall durch.

Das war mir peinlicher Weise gar nicht so bewusst.  Ich hätte sowieso gerne ein Tool, mit dem ich den Weg von IP-Paketen ausgehend von einem Host durch mein Netzwerk und den Interfaces der OPNsense tracen kann.

[zeropage]

Verbindungen innerhalb eines Netzes laufen ja nicht durch die Firewall durch.

Wenn ich es richtig verstehe, würde man die Kommunikation innerhalb eines Netzes auf dem Switch regeln? Weil die IP-Pakete gar nicht durch den Router (in meinem Fall die OPNsense) laufen?

[kruemelmonster]

Wenn ich es richtig verstehe, würde man die Kommunikation innerhalb eines Netzes auf dem Switch regeln? Weil die IP-Pakete gar nicht durch den Router (in meinem Fall die OPNsense) laufen?

Innerhalb eine Netzes kannst du m. W. nichts direkt regeln. Die IP-Pakete gehen von Client zu Client. Ich wüsste auch nicht, wie das mit einen Switch gehen soll, stecke da aber nicht ausreichend tief in der Materie. Aber was du machen kannst, ist den eingehende Netzwerkverkehr mittels Firewall auf dem jeweiligen Client regeln - sprich eingrenzen. Ist allerdings etwas aufwendig, weil du Regeln pro Client (von dem aus eine Verbindung erlaubt sein soll) und ggf. auch noch getrennt nach Port benötigst. Und DHCP mit dynamischen Adressen ist dann ggf. keine gute Idee.

[Patrick M. Hausen]

Wenn ich es richtig verstehe, würde man die Kommunikation innerhalb eines Netzes auf dem Switch regeln? Weil die IP-Pakete gar nicht durch den Router (in meinem Fall die OPNsense) laufen?

Was willst du denn da regeln? Alle Geräte, die man in dasselbe Netz steckt, können miteinander sprechen. Das ist der Sinn der Übung. Wenn du Geräte isolieren möchtest, brauchst du getrennte Netze. Da Ports an Routern und Firewalls meist wenige und eher "teuer" sind, benutzt man dazu gerne einen Switch und VLANs.

Aber im Ernst: ein PC oder Mac, ein paar Telefone, ein Drucker, ein Apple-TV oder Firestick - natürlich quatschen die alle fröhlich miteinander. Sollen sie ja auch. Und da will ich mich auch nicht drum kümmern, was ein iPad jetzt genau macht, wenn ich eine Datei an meinen Mac "airdroppe" oder was der Mac tut, wenn ich einen Film zum Fernseher streame ... funktionieren soll es.

[chemlud]

Wenn ich es richtig verstehe, würde man die Kommunikation innerhalb eines Netzes auf dem Switch regeln? Weil die IP-Pakete gar nicht durch den Router (in meinem Fall die OPNsense) laufen?

Was willst du denn da regeln? Alle Geräte, die man in dasselbe Netz steckt, können miteinander sprechen. Das ist der Sinn der Übung. Wenn du Geräte isolieren möchtest, brauchst du getrennte Netze. Da Ports an Routern und Firewalls meist wenige und eher "teuer" sind, benutzt man dazu gerne einen Switch und VLANs.

Aber im Ernst: ein PC oder Mac, ein paar Telefone, ein Drucker, ein Apple-TV oder Firestick - natürlich quatschen die alle fröhlich miteinander. Sollen sie ja auch. Und da will ich mich auch nicht drum kümmern, was ein iPad jetzt genau macht, wenn ich eine Datei an meinen Mac "airdroppe" oder was der Mac tut, wenn ich einen Film zum Fernseher streame ... funktionieren soll es.

Naja nun, Geschmäcker sind unterschiedlich. Man kann ja z.B. Windows clients in ein Netz packen, und kontrollierbare OS (Linux) in ein anderes. Und Android/Apple (total freidrehenden Müll) in ein drittes Netz. Warum nicht, wenn man's gerne so hat... :-D

[Patrick M. Hausen]

Ich schrieb "Wenn du Geräte isolieren möchtest, brauchst du getrennte Netze. Da Ports an Routern und Firewalls meist wenige und eher "teuer" sind, benutzt man dazu gerne einen Switch und VLANs." 

[zeropage]

... Aber was du machen kannst, ist den eingehende Netzwerkverkehr mittels Firewall auf dem jeweiligen Client regeln - sprich eingrenzen.

Ja, das habe ich auf bestimmten Hosts auch so gemacht. Wenn nun allerdings ein Angreifer Kontrolle über einen Host bekommt, kann er da natürlich auch die Firewall Rules ändern. Es kann deshalb sicherer sein, die von Host(s) ausgehende Kommunikation auf dem Router/Switch zu konfigurieren. Ich denke da an meinen Host dem Smart-Home drauf. Die angeschlossenen, funkenden Geräte sind bekanntlich nicht gut geschützt.

Dieser Host ist zwar in einem entsprechenden VLAN, dort aber auch nicht allein. Nun war die Idee, ihn in diesem VLAN zusätzlich zu isolieren.

[zeropage]

Aber im Ernst: ein PC oder Mac, ein paar Telefone, ein Drucker, ein Apple-TV oder Firestick - natürlich quatschen die alle fröhlich miteinander.

Es mag sein, dass meine Anforderungen für ein Heimnetzwerk übertrieben sind. Es geht mir aber auch um das theoretische Wissen. Außerdem macht mir das Phänomen "Jump Host" Sorgen.

Gewiss habe ich auch schon bemerkt, dass es nervig sein kann, nicht alle Geräte von allen aus erreichbar zu haben. Auf der anderen Seite ist das je genau meine Policy. Der ganze funkende Kram ist in einem eigenen Subnetz. Unter untereinander sollen die auch nur so viel, wie ich zulasse.

PS: ich merke gerade, dass wir von meiner ursprünglichen Frage etwas abschweifen.