Genau. Den DNS trägst du bei OPNsense hier ein:System > Settings > General
Hierzu vielleicht auch noch mal mein Nachtrag im Post davor. Der Größte Unterschied ist die Frage der Privatsphäre.Am Ende bist du aber besser bedient, wenn du keinen Google DNS nimmst,egal für was du dich schlussendlich entscheidest.
Ja, Privatsphäre war schon lange ein Thema, aber wenn man da dann mal tatsächlich ran geht, merkt man erst, was da alles mit rein spielt. Ich werde mal beides testen. OpenNIC scheint ja auch alle TLDs aufzulösen. Frage zu OpenDNS, das Du nutzt: Das Anlegen eines Accounts dort ist eher zu Marketingzwecken für Cisco, richtig? Zur Nutzung bedarf es dessen ja nicht und ich kann einfach frei deren DNS IPs eintragen?
Könntest Du noch mal in meinen Beitrag schauen, in den letzten Absatz? Den hatte ich hinzugefügt bezüglich meiner Firewall Logs. Ich glaube, das ist untergegangen.
Was du hier halt miteinander vergleichst ist "Privatsphäre" und "Blacklists durch OpenDNS".Je nachdem was du da für ein "Profil" dir aussuchsthast du dann wohl noch die Möglichkeit diese Blacklist für dich zu verfeinern.Ob das funktioniert und wie sich das bemerkbar macht in der Konfiguration bei OPNsense? Keine Ahnung.Ich nutze selber nur die beiden "frei verfügbaren" DNS IPs, wofür man sich nicht registrieren muss.
Hatte ich gesehen, aber welche Frage hast du bezüglich der Logs?Was ich komisch fand war der Port 5222, der bei dir erlaubt wurde.Ich glaube mich zu erinnern, dass der für Whatsapp oder Google Push war.Falls du das also brauchst ist alles gut.
Und letztlich noch etwas zu meinem Firewall Log. Ich hänge euch einen Screenshot an von heute Morgen. Darauf zu sehen ist ein kleiner Asuzug meines Logs.Für mich eindeutig sind die Einträge, wenn sich mein Rechner (der hat da die 192.168.1.101) aus dem WLAN heraus zur Firewall (192.168.1.1) verbindet.Dann gibt es da aber die ganzen Einträge, mit der Source 192.168.192.65 (das ist die statische IP, die ich der Firewall Appliance am WAN Interface zugewiesen habe von meinem Kabelmodem aus, ich habe am Kabelmodem DHCP deaktiviert und die Firewall ist das einzige Gerät am WAN Port).Source 192.168.192.65 bedeutet ja, Datenverkehr geht von meiner WAN Schnittstelle raus an die jeweilige Destination IP (ich habe mal alle IPs entfernt, die nicht DNS bzw, meine Firewall intern sind). Soweit klar. Darunter sind auch IPs, die zu irgendwelchen Servern in Taiwan gehören. Ich vermute stark (und darum habe ich mir die Firewall ja auch zugelegt), dass da z.B. mein Smart TV fleißig kommuniziert in Richtung Asien. Es findet sich aber auch eine IP, die zu einem Server eines Messengers gehört, usw.Müsste ich denn, meinem Verständnis nach, im Log nun nicht im Feld "Source" die IP des jeweiligen Gerätes sehen, anstatt der IP, die das WAN Interface hat? Denn so, ist das doch ein wenig witzlos. Ich will doch wissen, welches Gerät da wohin telefoniert. Und spätestens, wenn ich zwei Geräte habe, die beide z.B. den gleichen Messenger nutzen, dann sehe ich nur, dass am WAN Interface Datenpakete raus gehen, aber von welchem Gerät, weiß ich spätestens dann doch nicht mehr? Oder habe ich hier gerade einen kompletten Denkfehler drin?Und was genau sagt mir der ankilckbare, orangene Pfeil in der Spalte "Act"? Wenn ich mit der Maus darüber gehe, dann erscheint in der Hover Anzeige der Text "Pass" (Ich habe auch schon ein orangenes Kreuz dort gesehen, mit dem Text "Dismiss" glaube ich). Ich möchte nicht wild rumklicken und mir die Firewall kaputt konfigurieren, darum habe ich das auch nicht getestet. Könnt ihr mich bitte erleuchten? ^^
Zusätzlich sollte man noch Port 445 und 135-139 unter Kontrolle bringen.Hierfür: https://www.grc.com/port_445.htmIm Anhang meine beiden Regeln dazu aus dem WLAN Subnetz.
Anmerkung vielleicht noch zur allgemeinen Formulierung von Regeln.Ganz oben stehen immer die speziellsten Regeln, also zum Beispiel:Client IP -> Destination IP -> Port 80Umso ungenauer die Regeln werden, umso weiter unten sollten sie stehen.Weiterhin versucht man stets erst soviel zu blocken wie möglich ist, bevor man anfängt große Netz und Portbereiche freizuschalten. Das liegt daran, dass nach dem ersten Match mit einer Regel nicht weiter geschaut wird. Erlaubst du also einen großen Netzbereich und verbietest eine Regel danach innerhalb dieses Bereiches 2 IPs wird diese Regel niemals angewendet, diese beiden IPs also nicht geblockt.Um das zu verdeutlichen. Meine HTTP und HTTPS Freischaltungen, weil diese als Destination "any" haben, liegen bei mir als letzte Regeln vor.
Und was genau sagt mir der ankilckbare, orangene Pfeil in der Spalte "Act"? Wenn ich mit der Maus darüber gehe, dann erscheint in der Hover Anzeige der Text "Pass" (Ich habe auch schon ein orangenes Kreuz dort gesehen, mit dem Text "Dismiss" glaube ich). Ich möchte nicht wild rumklicken und mir die Firewall kaputt konfigurieren, darum habe ich das auch nicht getestet. Könnt ihr mich bitte erleuchten? ^^
Wenn ich mit meinem Handy Reddit öffne, sehe ich die Regel für die Verbindung zu den Reddit Servern nich,sondern nur die Regelanwendung für einen Amazon Server.
Weiterhin erlaube ich vom WLAN Netz den http und https Traffic ins Internet.laut Log werden die Verbindungen mit der Source "WLAN Netz" zu "öffentliches Netz" alle blockiert.Ich kann aber trotzdem surfen. Entferne ich die HTTP und/oder HTTPS Regel aber in meinem Regelwerk, is die Verbindung ins Internet nicht mehr möglich.
Weiterhin habe ich keine Pass Regel formuliert auf der WAN Seite (Alles müsste daher geblockt werden, auch der Zugriff auf den DNS oder NTP Server). Outbound Traffic wird aber dennoch immer erlaubt aus dem WAN Interface.
So ganz logisch erscheint mir das Firewall Log auch nich, bist da also nicht allein.
Bei Firewall > Diagnostics > pfTop kannst du zumindestens die aufgebauten Verbindungen sehen.Das sagt zwar nur bedingt etwas über dein Regelwerk aus. Dort kannst du aber sehen, welches Gerät(IP) eine Verbindung mit welchem Server establishen konnte.
Das liegt dann aber wahrscheinlich daran, dass Reddit da teils hostet bei AWS (http://www.redditstatus.com/ -> AWS ec2-us-east-1 ) ?
Ich hatte da diesen "Invert Rule" Haken gesehen, den man setzen kann. Vielleicht ist das zufällig aktiv?
Hmmm, da muss ich gestehen, dass ich das nicht verstehe. Sagtest Du nicht, dass Outbound Traffic erstmal immer erlaubt ist, bis man ihn selbst aktiv blockt (also mit der letzten DENY ANY ANY Regel) ?
Ok, das ist zumindest ein Anfang. Aber wenn ich Dich richtig verstanden habe, dann ist das "normal", dass die Logs die IP das WAN Interface anzeigen statt die IP des internen Netz Clients?
Nein. Es müsste genau andersherum sein. Default mäßig wird von der OPNsense immer erst einmal alles blockiert.Schreibst du keine Pass Regeln wird ALLES blockiert, egal ob inbound oder outbound. Das steht innerhalb der Rules auch ganz unten in der kleinen Schrift:"Rules are evaluated on a first-match basis (i.e. the action of the first rule to match a packet will be executed). This means that if you use block rules, you'll have to pay attention to the rule order. Everything that isn't explicitly passed is blocked by default."Das ist die DENY ANY ANY Regel die immer automatisch am Ende ausgeführt wird, falls keine andere Regel greift.
Quote No interfaces rules are currently defined. All incoming connections on this interface will be blocked until you add a pass rule.Das ist die sogenannte "DENY ANY ANY" Regel. Sie sorgt dafür, dass deine Firewall nach der Installation nicht sofort alles durchlässt. Du musst diese also nicht explizit noch hinschreiben, sie ist sozusagen "hart eingetragen vom Werk aus".
Beispiel: Du möchtest vom LAN ins Internet, dann schreibst du nur im LAN eine Regel,die dir diese Kommunikation erlaubt.Die Firewall erstellt eine "Session" und merkt sich diesen "offenen Kanal" automatisch für dich.Kommt dann z.B. vom Webserver (Google/Twitter usw...) eine Antwort zurück an den Clienten (Laptop/Rechner) zurück, der die Verbindung gestartet hatte,dann musst du für diese Rückantwort keine extra Regel mehr auf der WAN Seite erstellen.Auf der WAN Seite schreibst du solange keine PASS/ERLAUBEN Regel, sofern du nicht willst,dass ein bestimmter Server in deinem internen Netz aus dem Internet erreichbar sein soll.(Beispiel: NAS-Server/SSH-Server/Webserver).
Von außen gestartete Verbindungen werden eben nicht durchgelassen, sondern blockiert.Der Datenverkehr den du da siehst wird ja immer entweder aus deinem LAN oder deinem WLAN Subnetz gestartet.Da du hier bereits ALLOW Regeln geschrieben hattest, ist die Kommunikation bereits möglich.
Genau so siehts aus. Du schreibst für die internen Netze die allow Regeln,damit diese dann nach draußen reden dürfen.Antworten kommen so oder so zurück, aber eine Verbindung starten darf von draußen aus niemand.Deshalb bleibt bei WAN alles wie es ist.
Weiterhin habe ich keine Pass Regel formuliert auf der WAN Seite
Outbound Traffic wird aber dennoch immer erlaubt aus dem WAN Interface.
No interfaces rules are currently defined. All incoming connections on this interface will be blocked until you add a pass rule.
Nun hab ich mir mal den Spaß gemacht und Port 5061 freigeschalten.Siehe da, plötzlich gab es WAN outbound Traffic als "erlaubt" regel für 5061.Warum im Log für WLAN also erst mal alles blockiert wird und dann auf der WAN Seite alles erlaubt wird,was ursprünglich im WLAN freigeschaltet wurde.... Mystery.
QuoteNo interfaces rules are currently defined. All incoming connections on this interface will be blocked until you add a pass rule.Das ist die sogenannte "DENY ANY ANY" Regel. Sie sorgt dafür, dass deine Firewall nach der Installation nicht sofort alles durchlässt. Du musst diese also nicht explizit noch hinschreiben, sie ist sozusagen "hart eingetragen vom Werk aus".
Jetzt hattest Du vorhin aber geschrieben:QuoteWeiterhin habe ich keine Pass Regel formuliert auf der WAN Seite (Alles müsste daher geblockt werden, auch der Zugriff auf den DNS oder NTP Server). Outbound Traffic wird aber dennoch immer erlaubt aus dem WAN Interface.
Die Firewall trennt alle Interfaces. Die Kommunikation zwischen LAN und WLAN lasse ich komplett außen vor.Also, im Initialzustand (nach der Installation von OPNsene) ist die Firewall an und blockt ALLE eingehenden UND ausgehenden Verbindungen, richtig?
QuoteWeiterhin habe ich keine Pass Regel formuliert auf der WAN Seite Was ist bei Dir die WAN Seite?
QuoteOutbound Traffic wird aber dennoch immer erlaubt aus dem WAN Interface.Das ist das was ich meinte und bisher so verstanden hatte.
Das heißt, rein auf das Log bezogen, was im LAN/WLAN Interface erlaubt wird, wird nicht im LAN/WLAN Log sichtbar, sondern im WAN Log?
Diese DENY ANY ANY Regel existiert und ist auch von OPNsense hart eingetragen, muss demnach von dir nicht extra hinzugefügt werden. Sie ist immer die allerletzte Rule.Der Text auf der unteren Seite der Rules Seite verdeutlicht das. In diesem heißt es:Everything that isn't explicitly passed is blocked by default.Der Text den du meinst, also folgenden: No interfaces rules are currently defined. All incoming connections on this interface will be blocked until you add a pass rule. den haben die OPNsense Entwickler noch zusätzlich dazu geschrieben um es dem User offensichtlicher zu machen, dass ohne Firewall Regeln, möglicherweise bestimmte "erhoffte" Kommunikation noch nicht funktioniert.Wichtig ist aber: Die Default Regel am Ende des Regelwerks ist automatisch immer DENY ANY ANY
--> Ich hoffe ich konnte bis hier die Verwirrung erst einmal irgendwie etwas lösen. Sorry dafür!
2.) Traffic der "von der Firewall" kommt wird auch nicht geblockt egal was für Regeln man auch immer selber erstellt. Mit "von der Firewall" ist dabei der Traffic gemeint der von der Firewall selbst kommt.Das ist schwer zu erklären, das muss man selber mal gesehen haben.Die Verbindung zu 37.48.77.141 (mail.opnsense.org) kann man zum Beispiel nicht blockieren, egal was für Regeln man formuliert. Der Traffic entsteht, wenn man nach Updates checked. (Kann man im Firewall Log nachlesen)
Alle Regeln die beim Interface Tab "WAN" formuliert werden.Tut mir leid, dass hatte ich wohl unsauber formuliert.
Die Sache, die einem vielleicht nicht ganz klar sein könnte ist, das theoretisch auch Traffic, am WAN Interface angeschlossen, an der Firewall starten könnte, ähnlich wie bei WLAN und LAN.In deinem Fall ist die WAN Seite am Modem und das WAN Netz ist sehr klein. Oft hängt am WAN Interface vielleicht auch nur noch ein Router und das wars. Deswegen ist es üblich auf dem WAN Tab in Firewall > Rules > WAN keine Regeln zu formulieren. Man möchte also nicht, dass Das Interface eine Kommunikation startet oder ein Gerät innerhalb des angeschlossenen WAN Netzes eine Kommunikation startet. Ebenfalls möchte man nicht, dass ein potentieller Angreifer vom Internet auf deine WAN Schnittstelle zugreift. Um das alles zu unterbinden, schreibt man gar nichts in das WAN tab rein, denn dort wird nie eine Kommunikation gestartet. Pakete werden nur weitergereicht, denn die Source IP ist ja zum Beispiel die IP von deinem Laptop im LAN Netz gewesen.--> Ich hoffe ich hab dich bis hier nich schon wieder verwirrt.Wenn ich mir meinen Text durchlese hab ich bissel Angst dass ichs wieder verkompliziert hab. Ein Paket startet im LAN Netz und die Firewall entscheidet, anhand der im LAN formulierten Regeln, was damit geschehen soll. Wenn es erlaubt wurde, wird das Paket durch das WAN Interface zum Modem weitergeschubst/durchgereicht. Deswegen ist es egal welche Regeln bei Firewall > Rules > WAN formuliert werden, solange die Pakete im LAN starten.
Ich kann nur hoffen es ist jetzt nicht schlimm geworden mit dem Verständnis.
DENY ANY ANY bedeutet dann auf jedem interface:Blockiere jeden Datenverkehr von jedem Ziel zu jeder Quelle auf jedem Port, also inbound und outbound, nichts geht rein oder raus.
Jap. Wenn ich richtig verstanden habe, dann ist jedes Interface komplett dicht im Werkszustand. Wobei ich mich dann in dem Fall frage, warum diese beiden Standard Regeln für das WAN Interface explizit geschrieben sind, die man auf dem Screenshot sieht, den ich mal gepostet habe zuletzt (Beitrag 35, Seite 3).
Aber das fällt doch auch unter die DENY ANY ANY Regel, die hardcoded in der Firewall steht. Wofür sind die beiden Regeln explizit eingetragen und warum nur im WAN Interface?
Das bedeutet, in deinem WAN Tab in der GUI steht auch keine Regel, ja?
Dann muss ja zwischen WAN und Internet (oder Kabelmodem, ich habs einfach nur Internet genannt) ja doch nochmal die Firewall sitzen.
Kurz gesagt, im Log landet das, was von LAN/WLAN Interface am WAN Interface ankommt und darum steht dort die WAN IP statt der eigentlichen Client IP aus dem Netz (weil das WAN Interface das dann weiterleitet)? Ich finde es immer noch Konfus... Dann dürfte doch eigentlich nie als Source ein anderes Interface außer dem WAN da auftauchen, weil doch im Endeffekt alles über das WAN läuft.
Was in meinem WAN steht häng ich dir mal in den Anhang. Wie gesagt, theoretisch kann die leer sein.Ich will bloß im Falle nichts vergessen haben oder nachtragen müssen, wenn ich dann mal nen Webserver aufbauen möchte und dann unter Firewall > Rules > WAN auf Port 80 freischalten muss.Hast du nichts davon vor können deine WAN Interface Rules leer sein.
Wenn du die Firewall in deinem Gedankengang nicht als Gerät/Server siehst sondern als eine Art Tor, dann ja kann man sich das so gut vorstellen mit der "zweiten Firewall" zwischen Modem und tatsächlicher Firewall.
so habe ich das auch verstanden. Die Sache ist halt ja auch, dass da nie "WAN" steht, sondern stets "WAN(out)". Es ist also (laut meiner Auffassung) nie das WAN Interface sondern nur der Traffic gemeint, der aus dem WAN Interface durchgereicht wurde.Vielleicht kann man sich das so vorstellen? Leider keine Ahnung. :-/
