Author Topic: DMZ Netz Zugriff nur ins Internet aber nicht ins LAN (Read 1410 times)

Mathias · « **on:** January 31, 2023, 11:17:50 am »

Hallo,

ich habe an meiner Opnsense 3 Interface. WAN, LAN und DMZ. Ich möchte dass das LAN Netz ins Internet kommt und ins DMZ Netz. Ich möchte auch dass das DMZ Netz ins Internet kommt, aber keinen Zugriff ins LAN Netz hat. Ich habe jetzt die Regeln angelegt, doch leider kommt das DMZ Netz auch ins LAN Netz, was habe ich denn falsch gemacht?

chemlud · « **Reply #1 on:** January 31, 2023, 11:21:28 am »

FW-Regel für DMZ: allow any any. Und "any" schließt halt auch das LAN ein. Das ist keine FW-Regel, dass ist eine Katastrophe... ;-)

Mathias · « **Reply #2 on:** January 31, 2023, 11:25:32 am »

Wie sollte Regel aussehen, dass die DMZ nur ins Internet darf und nicht ins LAN? Warum darf die DMZ ins LAN, wenn es auf dem LAN Interface keine Regel für eingehend gibt? Ist es nicht so, dass wenn es keine Regel für Eingehend gibt, dass der Tarffic dann geblockt wird?

chemlud · « **Reply #3 on:** January 31, 2023, 12:06:14 pm »

Ohje, da fehlen alle Grundlagen einer stateful firewall...

"Das Internet" sind deine gewünschten Ports (443/80 und ggf. andere, z.B. 53, wenn du nicht mit der Sense dein DNS machst) AUßER den privaten IP-Bereichen (also z.B. dein LAN oder genereller alle privaten IP-.Bereiche, 192.168.... 172.16... 10....).

Mathias · « **Reply #4 on:** January 31, 2023, 12:13:18 pm »

Wenn ich eine Regel anlege DNZ NETZ > ICMP > WAN Netzwerk, dann sollte doch der Ping nur ins Internet erlaubt sein oder?

chemlud · « **Reply #5 on:** January 31, 2023, 12:15:11 pm »

WAN-Netz ist wieder was anderes. Das ist das Netz, das an deinem WAN-Interface anliegt, nicht "das Internet"

Mathias · « **Reply #6 on:** January 31, 2023, 12:30:06 pm »

welche Netz muss ich dann als Ziel auswählen? Wähle ich Any aus, kann ich auch ins LAN Netz pingen.

Patrick M. Hausen · « **Reply #7 on:** January 31, 2023, 01:34:11 pm »

LAN und "destination invert". Das bedeutet alles außer LAN.

Oder du machst erst eine deny Regel mit Ziel LAN und danach eine allow Regel mit Ziel any.

Mathias · « **Reply #8 on:** January 31, 2023, 03:28:20 pm »

Hi, danke für die Hilfe, damit hat es funktioniert.

chemlud · « **Reply #9 on:** January 31, 2023, 03:31:53 pm »

Quote from: pmhausen on January 31, 2023, 01:34:11 pm

LAN und "destination invert". Das bedeutet alles außer LAN.

Obacht! Wenn später noch ein OPT1 etc dazukommt, steht das dann in der DMZ. Lieber ein Alias mit allen lokalen Netzen und dann diesen mit invert für die FW-Regel verwenden.

misery · « **Reply #10 on:** February 01, 2023, 08:28:58 am »

Du kannst auch GeoIP einrichten und dann dort einen Alias anlegen. Hat auch den Vorteil, dass man den "Rest" auch ein wenig eingrenzt. Ich wüsste z.B. nicht wieso meine DMZ nach Nordkorea & Co telefonieren sollte.

Author Topic: DMZ Netz Zugriff nur ins Internet aber nicht ins LAN (Read 1410 times)

Mathias

DMZ Netz Zugriff nur ins Internet aber nicht ins LAN

chemlud

Re: DMZ Netz Zugriff nur ins Internet aber nicht ins LAN

Mathias

Re: DMZ Netz Zugriff nur ins Internet aber nicht ins LAN

chemlud

Re: DMZ Netz Zugriff nur ins Internet aber nicht ins LAN

Mathias

Re: DMZ Netz Zugriff nur ins Internet aber nicht ins LAN

chemlud

Re: DMZ Netz Zugriff nur ins Internet aber nicht ins LAN

Mathias

Re: DMZ Netz Zugriff nur ins Internet aber nicht ins LAN

Patrick M. Hausen

Re: DMZ Netz Zugriff nur ins Internet aber nicht ins LAN

Mathias

Re: DMZ Netz Zugriff nur ins Internet aber nicht ins LAN

chemlud

Re: DMZ Netz Zugriff nur ins Internet aber nicht ins LAN

misery

Re: DMZ Netz Zugriff nur ins Internet aber nicht ins LAN