Bestimmte Hosts/Ports nur von/ins Internet lassen

Started by zeropage, January 13, 2023, 10:38:13 AM

Previous topic - Next topic
Print
Go Down Pages1 2
User actions
January 13, 2023, 10:38:13 AM Last Edit: January 23, 2023, 03:45:22 PM by zeropage
Hallo,

ich habe ein VLAN für "nicht vertrauenswürdige Hosts" eingerichtet. Dort sollen hosts nur ausnahmsweise untereinander kommunizieren dürfen. Bestimmte Services wie HTTP/S sollen in das Internet erlaubt sein. Letzteres habe ich durch folgende Regel unter Angabe des PPPOE-Gateway bewerkstelligt:

Action: Pass
Quick: Checked
Interface: VLAN20
Direction: in
Protocol: IPv4 TCP/UDP
Source: VLAN20 net
Port: *
Destination: *
Port: 443 (HTTPS)
Gateway: WAN_PPPOE

Ich frage mich nun aber, ob das der richtige Weg ist. Was meint ihr? Auch allgemein interessiert mich, wie man ein solches Subnetz mit opnSense konfiguriert. Gibt es ein Beispiel für ein solches Ruleset hier im Forum oder anderswo?

Anhang: Auszug VLAN20 Rules.
January 18, 2023, 09:50:06 AM #1
Schade, keine Antwort.  ::)

War meine Frage zu doof? Wahrscheinlich gibt es für mein Problem Lösungen im Netz. Ich habe mehrmals gesucht, aber nichts passendes gefunden. Falls das von mir gezeigte Beispiel grundsätzlich falsch ist, interessiert mich das natürlich auch.
January 18, 2023, 09:51:44 AM #2
Du kannst das mit dem expliziten Gateway lösen oder mit einer Deny-Regel vor der Allow-Regel, die den Zugriff auf alle lokal verbunden Netze unterbindet, abschließend dann eben "allow all".

Also ist schon richtig und eine der beiden Möglichkeiten.
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
January 18, 2023, 10:18:43 AM #3
Danke. Ich glaube verstanden zu haben, was du meinst.

In welcher Reihenfolge würdest du Regeln für ein solches Subnetz (mit wenig vertrauenswürdigen Geräten) anordnen? Erst alle speziellen und dann alle allgemeinen oder umgekehrt? Erst Deny, dann allow. Oder umgekehrt? Mir fehlt irgendwie ein vollständiges, praktisches Beispiel. Im Netz finde ich nur Lösungen zu einzelnen bestimmten Fragestellungen. Selten das ganze Bild.
January 18, 2023, 01:55:50 PM #4
Die Regeln werden von oben nach unten abgearbeitet, die erste passende Regel greift, die Regelverarbeitung endet.
Das gilt für alle Regeln, die das "quick" oder "first match" Attribut gesetzt haben, das ist diese kleine gelbe Blitz.

Als Beispiel:

Quelle: alle - Ziel: alle meine anderen privaten Netze - verbieten
Quelle: privilegierter PC in dem Netz - Ziel: alles, alle Ports - erlauben
Quelle: alle in dem Netz - Ziel: alles, Ports 80 und 443 - erlauben
Quelle: alle - Ziel: alle - verbieten

Damit kommt

- kein Rechner aus dem Netz an Rechner in anderen privaten Netzen, die erste Regel greift
- ein einzelner Rechner in dem Netz an alles im Internet
- alle anderen Rechner in dem Netz an Webserver im Internet
- sonst keiner in dem Netz an irgendwas

Was genau du da konfigurieren musst, musst du dann schon selbst wissen. Eine Firewall ist ein "Policy Enforcement Device". Dazu braucht es eine Policy. Diese legst du fest und niemand sonst.

HTH,
Patrick

Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
January 19, 2023, 09:00:14 AM #5
Quote from: pmhausen on January 18, 2023, 01:55:50 PM
Quelle: alle - Ziel: alle meine anderen privaten Netze - verbieten

Wie kann ich das Konfigurieren, ohne "meine anderen privaten Netze" angeben zu müssen? Ich denke, "nicht dieses Netzwerk" würde auch das Internet ausschließen. Hintergrund ist, dass ich nicht für jedes Netz einen Alias mit Ausschlussliste erstellen möchte.

Quote
Quelle: alle in dem Netz - Ziel: alles, Ports 80 und 443 - erlauben
Quelle: alle - Ziel: alle - verbieten

Macht es eine Unterschied, ob ich als Quelle das Subnetz (z.B. VLAN20) angeben oder "any"?

Quote
Was genau du da konfigurieren musst, musst du dann schon selbst wissen. Eine Firewall ist ein "Policy Enforcement Device". Dazu braucht es eine Policy. Diese legst du fest und niemand sonst.

Meine Policy habe ich sehr genau im Kopf. Was ich dazu auf der OPNsense vernünftigerweise konfigurieren muss/sollte aber nicht immer.
January 19, 2023, 09:26:50 AM #6
Quote from: zeropage on January 19, 2023, 09:00:14 AM
Wie kann ich das Konfigurieren, ohne "meine anderen privaten Netze" angeben zu müssen? Ich denke, "nicht dieses Netzwerk" würde auch das Internet ausschließen. Hintergrund ist, dass ich nicht für jedes Netz einen Alias mit Ausschlussliste erstellen möchte.

Kannst du nicht. Du musst Ausschlusslisten komplett konfigurieren. Im allgemeinen Fall reicht aber auch eine, die einfach alle privaten Netze enthält, auch das Quell-Netz selbst.

Quelle: Netz um das es geht - Ziel: IP der Firewall selbst - erlauben (hier evtl. nur einzelne Ports - DNS, DHCP, ...)
Quelle: Netz im das es geht oder "any" - Ziel: private Netze - verbieten
... dann weitermachen

Verbindungen innerhalb eines Netzes laufen ja nicht durch die Firewall durch.
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
January 19, 2023, 12:20:06 PM #7
Quote from: pmhausen on January 19, 2023, 09:26:50 AM
Verbindungen innerhalb eines Netzes laufen ja nicht durch die Firewall durch.

Das war mir peinlicher Weise gar nicht so bewusst.  :-\ Ich hätte sowieso gerne ein Tool, mit dem ich den Weg von IP-Paketen ausgehend von einem Host durch mein Netzwerk und den Interfaces der OPNsense tracen kann.
January 20, 2023, 10:08:19 AM #8
Quote from: pmhausen on January 19, 2023, 09:26:50 AM
Verbindungen innerhalb eines Netzes laufen ja nicht durch die Firewall durch.

Wenn ich es richtig verstehe, würde man die Kommunikation innerhalb eines Netzes auf dem Switch regeln? Weil die IP-Pakete gar nicht durch den Router (in meinem Fall die OPNsense) laufen?
January 20, 2023, 11:26:18 AM #9
Quote from: zeropage on January 20, 2023, 10:08:19 AM
Wenn ich es richtig verstehe, würde man die Kommunikation innerhalb eines Netzes auf dem Switch regeln? Weil die IP-Pakete gar nicht durch den Router (in meinem Fall die OPNsense) laufen?

Innerhalb eine Netzes kannst du m. W. nichts direkt regeln. Die IP-Pakete gehen von Client zu Client. Ich wüsste auch nicht, wie das mit einen Switch gehen soll, stecke da aber nicht ausreichend tief in der Materie. Aber was du machen kannst, ist den eingehende Netzwerkverkehr mittels Firewall auf dem jeweiligen Client regeln - sprich eingrenzen. Ist allerdings etwas aufwendig, weil du Regeln pro Client (von dem aus eine Verbindung erlaubt sein soll) und ggf. auch noch getrennt nach Port benötigst. Und DHCP mit dynamischen Adressen ist dann ggf. keine gute Idee.
Mini-PC; Celeron N5105; 16GB RAM; 4 x i226
January 20, 2023, 11:46:27 AM #10
Quote from: zeropage on January 20, 2023, 10:08:19 AM
Wenn ich es richtig verstehe, würde man die Kommunikation innerhalb eines Netzes auf dem Switch regeln? Weil die IP-Pakete gar nicht durch den Router (in meinem Fall die OPNsense) laufen?
Was willst du denn da regeln? Alle Geräte, die man in dasselbe Netz steckt, können miteinander sprechen. Das ist der Sinn der Übung. Wenn du Geräte isolieren möchtest, brauchst du getrennte Netze. Da Ports an Routern und Firewalls meist wenige und eher "teuer" sind, benutzt man dazu gerne einen Switch und VLANs.

Aber im Ernst: ein PC oder Mac, ein paar Telefone, ein Drucker, ein Apple-TV oder Firestick - natürlich quatschen die alle fröhlich miteinander. Sollen sie ja auch. Und da will ich mich auch nicht drum kümmern, was ein iPad jetzt genau macht, wenn ich eine Datei an meinen Mac "airdroppe" oder was der Mac tut, wenn ich einen Film zum Fernseher streame ... funktionieren soll es.
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
January 20, 2023, 11:52:33 AM #11
Quote from: pmhausen on January 20, 2023, 11:46:27 AM
Quote from: zeropage on January 20, 2023, 10:08:19 AM
Wenn ich es richtig verstehe, würde man die Kommunikation innerhalb eines Netzes auf dem Switch regeln? Weil die IP-Pakete gar nicht durch den Router (in meinem Fall die OPNsense) laufen?
Was willst du denn da regeln? Alle Geräte, die man in dasselbe Netz steckt, können miteinander sprechen. Das ist der Sinn der Übung. Wenn du Geräte isolieren möchtest, brauchst du getrennte Netze. Da Ports an Routern und Firewalls meist wenige und eher "teuer" sind, benutzt man dazu gerne einen Switch und VLANs.

Aber im Ernst: ein PC oder Mac, ein paar Telefone, ein Drucker, ein Apple-TV oder Firestick - natürlich quatschen die alle fröhlich miteinander. Sollen sie ja auch. Und da will ich mich auch nicht drum kümmern, was ein iPad jetzt genau macht, wenn ich eine Datei an meinen Mac "airdroppe" oder was der Mac tut, wenn ich einen Film zum Fernseher streame ... funktionieren soll es.

Naja nun, Geschmäcker sind unterschiedlich. Man kann ja z.B. Windows clients in ein Netz packen, und kontrollierbare OS (Linux) in ein anderes. Und Android/Apple (total freidrehenden Müll) in ein drittes Netz. Warum nicht, wenn man's gerne so hat... :-D
kind regards
chemlud
____
"The price of reliability is the pursuit of the utmost simplicity."
C.A.R. Hoare

felix eichhorns premium katzenfutter mit der extraportion energie

A router is not a switch - A router is not a switch - A router is not a switch - A rou....
January 20, 2023, 11:54:03 AM #12
Ich schrieb "Wenn du Geräte isolieren möchtest, brauchst du getrennte Netze. Da Ports an Routern und Firewalls meist wenige und eher "teuer" sind, benutzt man dazu gerne einen Switch und VLANs."  ;)
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
January 20, 2023, 01:03:07 PM #13
Quote from: kruemelmonster on January 20, 2023, 11:26:18 AM
... Aber was du machen kannst, ist den eingehende Netzwerkverkehr mittels Firewall auf dem jeweiligen Client regeln - sprich eingrenzen.

Ja, das habe ich auf bestimmten Hosts auch so gemacht. Wenn nun allerdings ein Angreifer Kontrolle über einen Host bekommt, kann er da natürlich auch die Firewall Rules ändern. Es kann deshalb sicherer sein, die von Host(s) ausgehende Kommunikation auf dem Router/Switch zu konfigurieren. Ich denke da an meinen Host dem Smart-Home drauf. Die angeschlossenen, funkenden Geräte sind bekanntlich nicht gut geschützt.

Dieser Host ist zwar in einem entsprechenden VLAN, dort aber auch nicht allein. Nun war die Idee, ihn in diesem VLAN zusätzlich zu isolieren.

January 20, 2023, 01:07:38 PM #14
Quote from: pmhausen on January 20, 2023, 11:46:27 AM
Aber im Ernst: ein PC oder Mac, ein paar Telefone, ein Drucker, ein Apple-TV oder Firestick - natürlich quatschen die alle fröhlich miteinander.

Es mag sein, dass meine Anforderungen für ein Heimnetzwerk übertrieben sind. Es geht mir aber auch um das theoretische Wissen. Außerdem macht mir das Phänomen "Jump Host" Sorgen.

Gewiss habe ich auch schon bemerkt, dass es nervig sein kann, nicht alle Geräte von allen aus erreichbar zu haben. Auf der anderen Seite ist das je genau meine Policy. Der ganze funkende Kram ist in einem eigenen Subnetz. Unter untereinander sollen die auch nur so viel, wie ich zulasse.

PS: ich merke gerade, dass wir von meiner ursprünglichen Frage etwas abschweifen.
Print
Go Up Pages1 2
User actions