[SOLVED] Anfänger-Verständnisfragen zu Regeln und Aliasen

[juschi]

Hallo Leute,

ich bin recht neu in der Materie und habe 3 Fragen die ich, obwohl ich online gesucht und die Doku gelesen habe, weiterhin nicht verstehe.

1) Wenn ich eine Regel in einem Vlan erstelle, und ich z.B. eine Source IP für ein "Single Host or Network" angebe, gebe ich dann z.B. 10.10.10.5/24, an? Sprich die IP .5 im Netz 10.10.10.0 und gebe somit die Subnet Mask des VLANs an? Oder gebe ich dann immer 10.10.10.10/32 an, um zu sagen das es ein Single Host ist, da ich ja die Regel im entsprechenden VLAN mache, bei der das Subnet ja sowieso schon definiert ist? Ich schätze eher ersteres, weil ansonsten würde diese Logik ja bei einer Destination IP kein Sinn machen, oder? Ich muss ja z.B. sagen können das es sich um eine IP aus einem anderen VLANs mit bspw. anderem Subnet handelt, korrekt?

2) Mit dieser Annahme, verstehe ich allerdings nicht wie die Aliase bzw. genauer gesagt Host-Aliase funktionieren. Denn ich kann ja hier nur eine IP ohne ein Subnet angeben. Woher weiß die Firewall dann das es sich um ein anderes Vlan/Subnet handelt? Ich möchte z.B. einer Datenbank einen Alias geben, diese Datenbank ist in einem anderen VLAN mit anderem Subnet. Als Beispiel, es gibt: VLAN10 = 10.10.10.0/24 und VLAN20 = 10.10.20.0/28

Wenn ich ein Host-Alias erstelle kann ich ja weder VLAN noch Subnet angeben, also z.B: 10.10.10.5/24 um zu sagen das ich die IP .5 im VLAN10 meine, sondern nur 10.10.10.5. Wenn ich also nun dieses Alias im VLAN20 verwende, um die Destination IP anzugeben, weiß diese Regel doch damit eigtl. nicht das ich auf ein anderes Netz möchte, oder doch? Weil wenn doch wäre meine Annahme aus Frage 1 ja auch so, das ich doch bei der Destination /32 verwenden könnte. Weil diese Logiken beißen sich ja gegenseitig. Am Ende einfach die Frage, wie mach ich es korrekt bei Aliasen und wenn ich ein Single-Host (mit Subnet) angebe?

3) Wofür gibt es die Portangabe in Regeln bei der Source? Wenn ich z.B. Port 80 freigeben möchte, klappt das ja nur bei Portangabe auf der Destination. Warum klappt es bspw. nicht an beiden Stelle, also beim Source- und dem Destination-Port? Zumindest bei mir hat das bisher noch nie funktioniert. Wofür benötigt man das wenn man sowie immer auf any stellt?

[Bob.Dig]

Zu 1. Warum nicht einfach mal ausprobieren, statt irgendwelche Gedanken zu verschwenden?
zu 3. Mit dieser Einstellung wirst Du nicht weit kommen, das hier ist kein Consumer-Router.

[juschi]

weil ich es richtig machen will, gerade weil ich Anfänger bin, und nur weil ich was konfiguriere und es womöglich geht, heißt es nicht gleich das es richtig war. Hier gehts immerhin um Security....

Außerdem gehts mir ums Verständnis, vorallem geht's mir hauptsächlich um das Verständnis im Zusammenhang mit Frage zwei und das sich da (zumindest in meinem Kopf) die Logik beißt.

Das ist mir bewusst das es kein Consumer Router ist, aber ich habe eine Frage gestellt, die du mir mit deiner Antwort leider auch nicht beantworten konntest.

[Patrick M. Hausen]

Hi Juschi,

die Netzmasken in der Interface-Konfiguration und die in den Regeln haben nur eingeschränkt etwas miteinander zu tun.

Denk dir mal den Firewall-Teil weg, dann ist das Teil ein Router. Also ein Gerät, das Pakete auf Layer 3 weiterleitet und auf dieser Ebene Routing-Entscheidungen trifft.

Wenn du ein Interface 192.168.1.1/24 hast, bedeutet das: "alles, was mit 192.168.1. anfängt, hängt hier lokal an diesem Interface". Würdest du z.B. ein Interface für eine DMZ mit 217.29.35.145/29 konfigurieren, dann heißt das .144 bis .151 hängen an diesem Interface. .144 und .151 kann man nicht benutzen ("Netzwerk" und "Broadcast"), .145 hat die OPNsense, .146-.150 kann man für Server benutzen.

Das mit den AND-Verknüpfungen der Netzmaske ist so weit klar?

OK, alles, was zur eigenen Adresse AND Netzmaske auf einem Interface passt muss an diesem Interface hängen. Wenn es nicht dort ist, dann halt nicht - sind ja nicht immer alle Adressen belegt.

Alles, was nicht an lokalen Interfaces hängt, wird über Routen erreicht. Im einfachsten Fall gibt es da eine - die Defaultroute.


Die Netzmasken bei Firewall-Regeln haben damit nichts aber auch gar nichts zu tun.

Die definieren einfach "was ist die Quelle, was ist das Ziel, auf das sich diese Regel bezieht?"

Möchtest du also z.B. 8.8.8.8 und nur diese Adresse verbieten, dann ist das 8.8.8.8/32.

Sagst du z.B. aus deinem LAN darf niemand per SSH raus, dann ist das Source: 192.168.1.0/24, Ziel any, Zielport 22. Darf ein bestimmter Server trotzdem raus, dann ist das z.B. Source 192.168.1.42/32 - nur dieser eine Host.

Was auf irgendwelchen Interfaces konfiguriert ist, ist wurst.

Auf Basis der Interfaces werden Routing-Entscheidungen getroffen.

Auf Basis der Firewall-Regeln wird gefiltert.

Oft überschneidet sich das natürlich. Source: "LAN net" - das ist 192.168.1.0/24, also alle Hosts in deinem LAN. Bequemer Shortcut.

Dein Beispiel: 10.10.10.5/24 - das wäre nicht der Host mit der Adresse 10.10.10.5, sondern das ganze Netz 10.10.10.0/24, denn die /24 sagt ja, alles im letzten Oktett ist wurst. Also für eine Firewall-Regel 10.10.10.5/32. In welchem VLAN der Host liegt, weiß die OPNsense, weil sie selbst in diesem VLAN 10.10.10.1/24 hat.

10.10.10.1 plus /24 = 10.10.10.0
10.10.10.5 plus /24 = 10.10.10.0 (die Maske kommt nicht aus der Firewall-Regel, die hat /32, sondern aus dem eigenen Interface)

==> Aha, passt, dieser Host hängt an dieser lokalen Schnittstelle.

Und zur Frage nach den Source-Ports: NTP zum Beispiel ist Server-Server von Port 123 nach Port 123. Will man vielleicht haben. Oder für SIP, da muss man relativ großzügig mit dem Öffnen sein, damit das funktioniert, aber man kann bei vielen Telefonanlagen dann sagen (zieh ich mir gerade aus dem Hut, keine Lust, das jetzt zu suchen) "benutz Ports 30000-31000" - schon hast du eine Source-Portrange.

Das wars fürs erste, hoffe, das hilft.
Patrick

P.S. nicht mehr top aktuell, speziell in Bezug auf IPv6, aber das beste Buch zum Thema übehaupt ist und bleibt "TCP/IP Illustrated Vol. I" von W. Richard Stevens.

[juschi]

Hallo Patrick, danke für die ausführliche Antwort!

Ok, ja denke ich habe Routing und Firewalling etwas durcheinander geworfen. Aber dann kommen für mich ja aktuell eigtl. nur 2 Optionen bei disem CIDR-Suffix in der Regelkonfiguration in Frage.

Wenn ich eine Firewall-Regel für einen bestimmten Host erstelle, ist das immer /32 und ansonsten wenn ich mich auf das ganze VLAN beziehe nehme ich direkt LAN net als source (oder eben das entsprechende CIDR-Suffix des VLANs).

Um aber nochmal mein Beispiel mit der Datenbank in einem anderen VLAN (mit anderem Subnet) aufzugreifen. Wenn ich also einen Alias mit der IP der Datenbank erstellt habe, ist dieses also immer /32 und es reicht aus diesen Alias als Destination zu hinterlegen und dabei ist egal welche Subnet-Mask dieses andere Netz mit der Datenbank hat. Ist das so korrekt?

[Patrick M. Hausen]

Das ist so korrekt. Das Ziel in der Firewall-Policy ist ein einzelner Host und das ist immer /32. Bei IPv4 
Das Routing ("in welchem VLAN hängt denn diese Kiste nun wieder?") ist eine völlig andere Ebene.

[juschi]

Ok perfekt. Danke für die Klarstellung. Macht alles Sinn und jetzt hat es Klick gemacht. Ich hab hier auch schon einiges im Stillen gelesen und muss sagen, Patrick, du bist eine riesen Bereicherung für dieses Forum!

Und nochmal Gruß an Bob.Dig zum Thema "mach doch einfach mal":
Ich hab auch einfach mal gemacht und zuvor bei der Source und Destination IP immer das jeweilige Interface CIDR-Suffix eingetragen. Die Regeln haben trotzdem irgendwie gegriffen und und ich konnte den Traffic durch die Regel steuern, aber korrekt war das trotzdem nicht!

[Bob.Dig]

Und nochmal Gruß an Bob.Dig zum Thema "mach doch einfach mal":

Ich hab gerade mal in meiner OPNsense nachgeguckt... und muss Dir in dem Punkt Recht geben. Hatte das anders in Erinnerung und mache wohl noch zu wenig mit der OPN.