Best practices/Standards für Heimnetzwerk

[guest15032]

Genau. Den DNS trägst du bei OPNsense hier ein:
System > Settings > General

Wird gemacht. ;)

Hierzu vielleicht auch noch mal mein Nachtrag im Post davor. :)
Der Größte Unterschied ist die Frage der Privatsphäre.
Am Ende bist du aber besser bedient, wenn du keinen Google DNS nimmst,
egal für was du dich schlussendlich entscheidest.

Ja, Privatsphäre war schon lange ein Thema, aber wenn man da dann mal tatsächlich ran geht, merkt man erst, was da alles mit rein spielt. ;) Ich werde mal beides testen.  OpenNIC scheint ja auch alle TLDs aufzulösen.

Frage zu OpenDNS, das Du nutzt: Das Anlegen eines Accounts dort ist eher zu Marketingzwecken für Cisco, richtig? ;) Zur Nutzung bedarf es dessen ja nicht und ich kann einfach frei deren DNS IPs eintragen?

Könntest Du noch mal in meinen Beitrag schauen, in den letzten Absatz? Den hatte ich hinzugefügt bezüglich meiner Firewall Logs. Ich glaube, das ist untergegangen. ;) Danke!

Gruß
Chris

[Oxygen61]

Ja, Privatsphäre war schon lange ein Thema, aber wenn man da dann mal tatsächlich ran geht, merkt man erst, was da alles mit rein spielt. ;) Ich werde mal beides testen.  OpenNIC scheint ja auch alle TLDs aufzulösen.

Frage zu OpenDNS, das Du nutzt: Das Anlegen eines Accounts dort ist eher zu Marketingzwecken für Cisco, richtig? ;) Zur Nutzung bedarf es dessen ja nicht und ich kann einfach frei deren DNS IPs eintragen?

Was du hier halt miteinander vergleichst ist "Privatsphäre" und "Blacklists durch OpenDNS".
Je nachdem was du da für ein "Profil" dir aussuchst
hast du dann wohl noch die Möglichkeit diese Blacklist für dich zu verfeinern.
Ob das funktioniert und wie sich das bemerkbar macht in der Konfiguration bei OPNsense? Keine Ahnung.
Ich nutze selber nur die beiden "frei verfügbaren" DNS IPs, wofür man sich nicht registrieren muss.

Könntest Du noch mal in meinen Beitrag schauen, in den letzten Absatz? Den hatte ich hinzugefügt bezüglich meiner Firewall Logs. Ich glaube, das ist untergegangen.

Hatte ich gesehen, aber welche Frage hast du bezüglich der Logs?
Was ich komisch fand war der Port 5222, der bei dir erlaubt wurde.
Ich glaube mich zu erinnern, dass der für Whatsapp oder Google Push war.
Falls du das also brauchst ist alles gut. :)

Bei mir sind noch zusätzlich immer viele NTP Verbindungen und die Zugriffe vom WAN Interface auf den Public DNS Server.
Aber dein Netz is ja auch komplett anders. Wichtig sind die Regeln.
Mit dem Log is es immer schwierig was mit anzufangen.
Da sieht man nur immer ob irgendwelche "merkwürdigen" Ports durchkommen.
Für dich jetzt die Regeln zu formulieren is natürlich schwierig. Die Basics hatte monstermania gepostet.
Zusätzlich sollte man noch Port 445 und 135-139 unter Kontrolle bringen.
Hierfür: https://www.grc.com/port_445.htm
Im Anhang meine beiden Regeln dazu aus dem WLAN Subnetz.

EDIT:
Anmerkung vielleicht noch zur allgemeinen Formulierung von Regeln.
Ganz oben stehen immer die speziellsten Regeln, also zum Beispiel:
Client IP -> Destination IP -> Port 80

Umso ungenauer die Regeln werden, umso weiter unten sollten sie stehen.
Weiterhin versucht man stets erst soviel zu blocken wie möglich ist, bevor man anfängt große Netz und Portbereiche freizuschalten. Das liegt daran, dass  nach dem ersten Match mit einer Regel nicht weiter geschaut wird. Erlaubst du also einen großen Netzbereich und verbietest eine Regel danach innerhalb dieses Bereiches 2 IPs wird diese Regel niemals angewendet, diese beiden IPs also nicht geblockt.

Um das zu verdeutlichen. Meine HTTP und HTTPS Freischaltungen, weil diese als Destination "any" haben, liegen bei mir als letzte Regeln vor.

[guest15032]

Was du hier halt miteinander vergleichst ist "Privatsphäre" und "Blacklists durch OpenDNS".
Je nachdem was du da für ein "Profil" dir aussuchst
hast du dann wohl noch die Möglichkeit diese Blacklist für dich zu verfeinern.
Ob das funktioniert und wie sich das bemerkbar macht in der Konfiguration bei OPNsense? Keine Ahnung.
Ich nutze selber nur die beiden "frei verfügbaren" DNS IPs, wofür man sich nicht registrieren muss.

Ok, glaube das kam falsch rüber, was ich meinte. ;) Mir ging es ausschliesslich um einen alternativen DNS zu Google (das war mein Punkt hinsichtlich Privatsphäre). Die ganzen Blacklist Profile dort wollte ich nicht nutzen.

Hatte ich gesehen, aber welche Frage hast du bezüglich der Logs?
Was ich komisch fand war der Port 5222, der bei dir erlaubt wurde.
Ich glaube mich zu erinnern, dass der für Whatsapp oder Google Push war.
Falls du das also brauchst ist alles gut. :)

Das war dann doch untergegangen. :D Ich hatte in meinem ersten Beitrag von heute Morgen noch mal editiert und einen Absatz hinzugefügt. ;) Ich poste den hier jetzt nochmal dazu, dann siehst Du meine Fragen zu meinem Log:

----
Kopiert von der Vorseite:

Und letztlich noch etwas zu meinem Firewall Log. Ich hänge euch einen Screenshot an von heute Morgen.  Darauf zu sehen ist ein kleiner Asuzug meines Logs.

Für mich eindeutig sind die Einträge, wenn sich mein Rechner (der hat da die 192.168.1.101) aus dem WLAN heraus zur Firewall (192.168.1.1) verbindet.

Dann gibt es da aber die ganzen Einträge, mit der Source 192.168.192.65 (das ist die statische IP, die ich der Firewall Appliance am WAN Interface zugewiesen habe von meinem Kabelmodem aus, ich habe am Kabelmodem DHCP deaktiviert und die Firewall ist das einzige Gerät am WAN Port).

Source 192.168.192.65 bedeutet ja, Datenverkehr geht von meiner WAN Schnittstelle raus an die jeweilige Destination IP (ich habe mal alle IPs entfernt, die nicht DNS bzw, meine Firewall intern sind). Soweit klar. Darunter sind auch IPs, die zu irgendwelchen Servern in Taiwan gehören. Ich vermute stark (und darum habe ich mir die Firewall ja auch zugelegt), dass da z.B. mein Smart TV fleißig kommuniziert in Richtung Asien. Es findet sich aber auch eine IP, die zu einem Server eines Messengers gehört, usw.

Müsste ich denn, meinem Verständnis nach, im Log nun nicht im Feld "Source" die IP des jeweiligen Gerätes sehen, anstatt der IP, die das WAN Interface hat?  Denn so, ist das doch ein wenig witzlos. Ich will doch wissen, welches Gerät da wohin telefoniert. Und spätestens, wenn ich zwei Geräte habe, die beide z.B. den gleichen Messenger nutzen, dann sehe ich nur, dass am WAN Interface Datenpakete raus gehen, aber von welchem Gerät, weiß ich spätestens dann doch nicht mehr? Oder habe ich hier gerade einen kompletten Denkfehler drin?

Und was genau sagt mir der ankilckbare, orangene Pfeil in der Spalte "Act"? Wenn ich mit der Maus darüber gehe, dann erscheint in der Hover Anzeige der Text "Pass" (Ich habe  auch schon ein orangenes Kreuz dort gesehen, mit dem Text "Dismiss" glaube ich). Ich möchte nicht wild rumklicken und mir die Firewall kaputt konfigurieren, darum habe ich das auch nicht getestet. Könnt ihr mich bitte erleuchten? ^^

----

Port 5222 ist ein Messenger, ja. :) Aber ich habe ja auch nocht nicht alles geblockt, ich beginne damit erst, darum geht das alles noch durch.

Zusätzlich sollte man noch Port 445 und 135-139 unter Kontrolle bringen.
Hierfür: https://www.grc.com/port_445.htm
Im Anhang meine beiden Regeln dazu aus dem WLAN Subnetz.

Die werde ich hinzufügen, Danke.

Gruß
Chris

[guest15032]

Anmerkung vielleicht noch zur allgemeinen Formulierung von Regeln.
Ganz oben stehen immer die speziellsten Regeln, also zum Beispiel:
Client IP -> Destination IP -> Port 80

Umso ungenauer die Regeln werden, umso weiter unten sollten sie stehen.
Weiterhin versucht man stets erst soviel zu blocken wie möglich ist, bevor man anfängt große Netz und Portbereiche freizuschalten. Das liegt daran, dass  nach dem ersten Match mit einer Regel nicht weiter geschaut wird. Erlaubst du also einen großen Netzbereich und verbietest eine Regel danach innerhalb dieses Bereiches 2 IPs wird diese Regel niemals angewendet, diese beiden IPs also nicht geblockt.

Um das zu verdeutlichen. Meine HTTP und HTTPS Freischaltungen, weil diese als Destination "any" haben, liegen bei mir als letzte Regeln vor.

Jau, das hatte ich zuletzt auch so gelesen und verstanden, diese "First Match" Auswertung der Firewall. Danke.

[Oxygen61]

So ganz hinter gestiegen bin ich bei den Logs auch noch nich.
Bei mir sind auch zwei Phänomene die sich nicht erklären lassen.
Wenn ich mit meinem Handy Reddit öffne, sehe ich die Regel für die Verbindung zu den Reddit Servern nich,
sondern nur die Regelanwendung für einen Amazon Server.
Weiterhin erlaube ich vom WLAN Netz den http und https Traffic ins Internet.
laut Log werden die Verbindungen mit der Source "WLAN Netz" zu "öffentliches Netz" alle blockiert.
Ich kann aber trotzdem surfen. Entferne ich die HTTP und/oder HTTPS Regel aber in meinem Regelwerk, is die Verbindung ins Internet nicht mehr möglich.

Weiterhin habe ich keine Pass Regel formuliert auf der WAN Seite (Alles müsste daher geblockt werden, auch der Zugriff auf den DNS oder NTP Server). Outbound Traffic wird aber dennoch immer erlaubt aus dem WAN Interface.

So ganz logisch erscheint mir das Firewall Log auch nich, bist da also nicht allein. :P
Bei Firewall > Diagnostics > pfTop kannst du zumindestens die aufgebauten Verbindungen sehen.
Das sagt zwar nur bedingt etwas über dein Regelwerk aus. Dort kannst du aber sehen, welches Gerät(IP) eine Verbindung mit welchem Server establishen konnte.

Und was genau sagt mir der ankilckbare, orangene Pfeil in der Spalte "Act"? Wenn ich mit der Maus darüber gehe, dann erscheint in der Hover Anzeige der Text "Pass" (Ich habe  auch schon ein orangenes Kreuz dort gesehen, mit dem Text "Dismiss" glaube ich). Ich möchte nicht wild rumklicken und mir die Firewall kaputt konfigurieren, darum habe ich das auch nicht getestet. Könnt ihr mich bitte erleuchten? ^^

Du bekommst dann ne Meldung von der Webseite welche Regel angewendet wird.
Die Ausgabe ist aber konfus, sodass man damit nichts anfangen kann.
Bei mir kommt zum Beispiel ganz oft dann die Meldung "Default Deny Rule IPv4". ::)
Was mir das nun sagen soll. Wer weiß..  ;)

Schöne Grüße
Oxy

[guest15032]

Wenn ich mit meinem Handy Reddit öffne, sehe ich die Regel für die Verbindung zu den Reddit Servern nich,
sondern nur die Regelanwendung für einen Amazon Server.

Das liegt dann aber wahrscheinlich daran, dass Reddit da teils hostet bei AWS (http://www.redditstatus.com/  -> AWS ec2-us-east-1 ) ?

Weiterhin erlaube ich vom WLAN Netz den http und https Traffic ins Internet.
laut Log werden die Verbindungen mit der Source "WLAN Netz" zu "öffentliches Netz" alle blockiert.
Ich kann aber trotzdem surfen. Entferne ich die HTTP und/oder HTTPS Regel aber in meinem Regelwerk, is die Verbindung ins Internet nicht mehr möglich.

??? Ich hatte da diesen "Invert Rule" Haken gesehen, den man setzen kann. Vielleicht ist das zufällig aktiv?

Weiterhin habe ich keine Pass Regel formuliert auf der WAN Seite (Alles müsste daher geblockt werden, auch der Zugriff auf den DNS oder NTP Server). Outbound Traffic wird aber dennoch immer erlaubt aus dem WAN Interface.

Hmmm, da muss ich gestehen, dass ich das nicht verstehe. Sagtest Du nicht, dass Outbound Traffic erstmal immer erlaubt ist, bis man ihn selbst aktiv blockt (also mit der letzten DENY ANY ANY Regel) ?

So ganz logisch erscheint mir das Firewall Log auch nich, bist da also nicht allein. :P

Sehr gut.  ;D

Bei Firewall > Diagnostics > pfTop kannst du zumindestens die aufgebauten Verbindungen sehen.
Das sagt zwar nur bedingt etwas über dein Regelwerk aus. Dort kannst du aber sehen, welches Gerät(IP) eine Verbindung mit welchem Server establishen konnte.

Ok, das ist zumindest ein Anfang. Aber wenn ich Dich richtig verstanden habe, dann ist das "normal", dass die Logs die IP das WAN Interface anzeigen statt die IP des internen Netz Clients?

Gruß

[Oxygen61]

Das liegt dann aber wahrscheinlich daran, dass Reddit da teils hostet bei AWS (http://www.redditstatus.com/  -> AWS ec2-us-east-1 ) ?

Ich krieg dann einmal "ec2-35-161-10-61.us-west-2.compute.amazonaws.com" und "fra15s09-in-f10.1e100.net", welche beide blockiert werden vom WLAN ins Internet.
Erlaubt wird dann outbound Traffic vom WAN auf "fra15s09-in-f3.1e100.net"

??? Ich hatte da diesen "Invert Rule" Haken gesehen, den man setzen kann. Vielleicht ist das zufällig aktiv?

Nein den hab ich nich gesetzt. Den kannst du zum Beispiel nehmen, wenn du innerhalb eines Subnetzes 2 IPs blockieren willst, den rest aber erlauben möchtest. Normalerweise würde man dann zwei Regeln schreiben. Mit der invert Funktion erlaubst du diese beiden IPs und invertierst dann und bekommst das gleiche Ergebniss mit einer Regel weniger.

Hmmm, da muss ich gestehen, dass ich das nicht verstehe. Sagtest Du nicht, dass Outbound Traffic erstmal immer erlaubt ist, bis man ihn selbst aktiv blockt (also mit der letzten DENY ANY ANY Regel) ?

Nein. Es müsste genau andersherum sein. Default mäßig wird von der OPNsense immer erst einmal alles blockiert.
Schreibst du keine Pass Regeln wird ALLES blockiert, egal ob inbound oder outbound. Das steht innerhalb der Rules auch ganz unten in der kleinen Schrift:
"Rules are evaluated on a first-match basis (i.e. the action of the first rule to match a packet will be executed). This means that if you use block rules, you'll have to pay attention to the rule order. Everything that isn't explicitly passed is blocked by default."
Das ist die DENY ANY ANY Regel die immer automatisch am Ende ausgeführt wird, falls keine andere Regel greift.

Ok, das ist zumindest ein Anfang. Aber wenn ich Dich richtig verstanden habe, dann ist das "normal", dass die Logs die IP das WAN Interface anzeigen statt die IP des internen Netz Clients?

Das ist meine Vermutung, weil meine Logs sonst nicht mit meinen Rules übereinstimmen.
Bestätigen kann ich das aber leider nicht.

[Oxygen61]

Okay also es is wie ich schon vermutet hatte.
Ich versteh zwar nich warum das Firewall Log dann so unnötig undurchsichtig wird, aber ich hatte grade etwas versucht.
Mein Handy verschickt die ganze Zeit SIP-TLS (Port 5061) Anfragen nach draußen.
Die werden laut Log vom WLAN ins Internet blockiert, genauso wie bei HTTP und HTTPS.
Der Unterschied ist, dass es für den Outbound Traffic aus dem WAN Interface auf den Port 5061 im Gegensatz zu HTTP/HTTPS keine Einträge gibt.
Nun hab ich mir mal den Spaß gemacht und Port 5061 freigeschalten.
Siehe da, plötzlich gab es WAN outbound Traffic als "erlaubt" regel für 5061.
Warum im Log für WLAN also erst mal alles blockiert wird und dann auf der WAN Seite alles erlaubt wird,
was ursprünglich im WLAN freigeschaltet wurde.... Mystery.

Zu mindestens wäre das jetzt geklärt :)
Es ist also "normal" ::)

[guest15032]

Nein. Es müsste genau andersherum sein. Default mäßig wird von der OPNsense immer erst einmal alles blockiert.
Schreibst du keine Pass Regeln wird ALLES blockiert, egal ob inbound oder outbound. Das steht innerhalb der Rules auch ganz unten in der kleinen Schrift:
"Rules are evaluated on a first-match basis (i.e. the action of the first rule to match a packet will be executed). This means that if you use block rules, you'll have to pay attention to the rule order. Everything that isn't explicitly passed is blocked by default."
Das ist die DENY ANY ANY Regel die immer automatisch am Ende ausgeführt wird, falls keine andere Regel greift.

Ok, aber dann bin ich nun doch wieder verwirrter als vorher., bezüglich deiner Aussage mit den Log Meldungen. ^^

Du hattest zu meinen ganzen Fragen der Vortage ja auf den vorherigen Seiten was geschrieben, betreffend der Regeln für die Interfaces. Ich hatte da gefragt, ob ich die Regeln für das WAN Interface schreiben muss oder nur für das LAN und WLAN interface. Erinnerst Du Dich?

Da hattest Du u.A. geschrieben:

Quote

    No interfaces rules are currently defined. All incoming connections on this interface will be blocked until you add a pass rule.


Das ist die sogenannte "DENY ANY ANY" Regel. Sie sorgt dafür, dass deine Firewall nach der Installation nicht sofort alles durchlässt. Du musst diese also nicht explizit noch hinschreiben, sie ist sozusagen "hart eingetragen vom Werk aus". :)

Beispiel: Du möchtest vom LAN ins Internet, dann schreibst du nur im LAN eine Regel,
die dir diese Kommunikation erlaubt.
Die Firewall erstellt eine "Session" und merkt sich diesen "offenen Kanal" automatisch für dich.
Kommt dann z.B. vom Webserver (Google/Twitter usw...) eine Antwort zurück an den Clienten (Laptop/Rechner) zurück, der die Verbindung gestartet hatte,
dann musst du für diese Rückantwort keine extra Regel mehr auf der WAN Seite erstellen.
Auf der WAN Seite schreibst du solange keine PASS/ERLAUBEN Regel, sofern du nicht willst,
dass ein bestimmter Server in deinem internen Netz aus dem Internet erreichbar sein soll.
(Beispiel: NAS-Server/SSH-Server/Webserver).

Von außen gestartete Verbindungen werden eben nicht durchgelassen, sondern blockiert.
Der Datenverkehr den du da siehst wird ja immer entweder aus deinem LAN oder deinem WLAN Subnetz gestartet.
Da du hier bereits ALLOW Regeln geschrieben hattest, ist die Kommunikation bereits möglich.

Genau so siehts aus. Du schreibst für die internen Netze die allow Regeln,
damit diese dann nach draußen reden dürfen.
Antworten kommen so oder so zurück, aber eine Verbindung starten darf von draußen aus niemand.
Deshalb bleibt bei WAN alles wie es ist. :)

Jetzt hattest Du vorhin aber geschrieben:

Weiterhin habe ich keine Pass Regel formuliert auf der WAN Seite (Alles müsste daher geblockt werden, auch der Zugriff auf den DNS oder NTP Server). Outbound Traffic wird aber dennoch immer erlaubt aus dem WAN Interface.

Vielleicht tue ich mich einfach nur sehr schwer mit den Begrifflichkeiten gerade. ;) Was genau meinst Du mit den Regeln "auf der WAN Seite" ?

Ich versuche das noch mal auf das für mich einfachste Level runter zu brechen (Sorry wenn ich das nochmal fragen muss, aber ich möchte sicher sein, da nichts falsch zu verstehen um es in Zukunft auch richtig anwenden zu können):

Das Netzwerk sieht bei mir doch so aus...

                           
                                         ( Internet )
                                                 |
                                    WAN Interface
                                                 |
                       ------------- Firewall -------------
                       |                                                 |
          LAN Interface                         WLAN Interface


Die Firewall trennt alle Interfaces.

Die Kommunikation zwischen LAN und WLAN lasse ich komplett außen vor.

Also, im Initialzustand (nach der Installation von OPNsene) ist die Firewall an und blockt ALLE eingehenden UND ausgehenden Verbindungen, richtig?

Wenn ich jetzt vom LAN und WLAN ins Internet kommunizieren möchte, dann schreibe ich doch meine Regeln jeweils nur am LAN und WLAN Interface und nicht am WAN Interface.  Vielleicht ist "am" in diesem Fall auch ein blöder Begriff, ich schreibe die Regeln doch eher "für" das jeweilige Interface. Es gibt ja auch nur eine Firewall mitsamt aller Regeln und nicht mehrere (die GUI in der Ansicht der Regeln für die Interfaces trennt das ja pro Interface auf in diese Tabs, das ist vielleicht ein wenig verwirrend).

Kannst Du mir hier bitte noch Mal auf die Sprünge helfen, damit ich Dich nicht missverstehe? Wie meinst Du die Aussage

Weiterhin habe ich keine Pass Regel formuliert auf der WAN Seite

Was ist bei Dir die WAN Seite?

Outbound Traffic wird aber dennoch immer erlaubt aus dem WAN Interface.

Das ist das was ich meinte und bisher so verstanden hatte, da ja dieser kleine Hinweis Text in der Regelansicht des WAN Interface lautet:

    No interfaces rules are currently defined. All incoming connections on this interface will be blocked until you add a pass rule.

Das heißt doch, Outbound geht am WAN immer, wenn nicht explizit geblockt?! Und explizit geblockt ist es doch dann, wenn im LAN und WLAN Interface jeweils ein DENY ALL ALL zum Schluss steht?

Ansonsten, sollte ich jetzt mit allem falsch liegen, würde mir deine Aussage folgendes suggerieren:


                                         ( Internet )
                                                 |
                                         Firewall
                                                 |
                                    WAN Interface
                                                 |
                       ------------- Firewall -------------
                       |                                                 |
          LAN Interface                         WLAN Interface


Also zwischen WAN und Internet steht nochmal die Firewall. Das hatte ich so nicht verstanden, weil ich dann doch die von mir angesprochenen zwei Regeln bräucht, je eine für LAN/WLAN und dann nochmal die gleiche Regel für WAN?! Ich verstehe es so, dass das WAN Interface die Verbindungen entgegen nimmt und dann kommt ja erst die Firewall und schaut sich die Datenpakete, auf Basis der Rulesets, an.

Nun hab ich mir mal den Spaß gemacht und Port 5061 freigeschalten.
Siehe da, plötzlich gab es WAN outbound Traffic als "erlaubt" regel für 5061.
Warum im Log für WLAN also erst mal alles blockiert wird und dann auf der WAN Seite alles erlaubt wird,
was ursprünglich im WLAN freigeschaltet wurde.... Mystery.

Das heißt, rein auf das Log bezogen, was im LAN/WLAN Interface erlaubt wird, wird nicht im LAN/WLAN Log sichtbar, sondern im WAN Log?  ???

Gruß
Chris

[Oxygen61]

oha... ich hätte meine Tests die ich gemacht hatte um das Firewall-Log zu verstehen nicht unbedingt aufschreiben sollen.
Das hat ja jetzt mehr Verwirrung erzeugt als gedacht.
Okay... ich versuche nochmal klar zu machen was ich meinte.
Hoffentlich krieg ich das gut erklärt ohne alles zu verkomplizieren. (so schwer ist es "eigentlich" nich).

No interfaces rules are currently defined. All incoming connections on this interface will be blocked until you add a pass rule.

Das ist die sogenannte "DENY ANY ANY" Regel. Sie sorgt dafür, dass deine Firewall nach der Installation nicht sofort alles durchlässt. Du musst diese also nicht explizit noch hinschreiben, sie ist sozusagen "hart eingetragen vom Werk aus". :)

Das war von mir falsch an dieser Stelle. Da hatte ich nur halbherzig gelesen.
Diese DENY ANY ANY Regel existiert und ist auch von OPNsense hart eingetragen, muss demnach von dir nicht extra hinzugefügt werden. Sie ist immer die allerletzte Rule.
Der Text auf der unteren Seite der Rules Seite verdeutlicht das. In diesem heißt es:
Everything that isn't explicitly passed is blocked by default.
Der Text den du meinst, also folgenden: No interfaces rules are currently defined. All incoming connections on this interface will be blocked until you add a pass rule. den haben die OPNsense Entwickler noch zusätzlich dazu geschrieben um es dem User offensichtlicher zu machen, dass ohne Firewall Regeln, möglicherweise bestimmte "erhoffte" Kommunikation noch nicht funktioniert.
Wichtig ist aber: Die Default Regel am Ende des Regelwerks ist automatisch immer DENY ANY ANY

Jetzt hattest Du vorhin aber geschrieben:

Weiterhin habe ich keine Pass Regel formuliert auf der WAN Seite (Alles müsste daher geblockt werden, auch der Zugriff auf den DNS oder NTP Server). Outbound Traffic wird aber dennoch immer erlaubt aus dem WAN Interface.

Das war mein Problem, als ich versuchte die "Logik" hinter dem Firewall Log zu verstehen.
Ich habe jetzt zwar irgendwie verstanden wie anscheinend die Regeln im Log angezeigt werden, aber in Verbindung mit den tatsächlich angelegten Rules verwirrt einen das nur.

--> Ich hoffe ich konnte bis hier die Verwirrung erst einmal irgendwie etwas lösen. Sorry dafür! :)

Die Firewall trennt alle Interfaces.
Die Kommunikation zwischen LAN und WLAN lasse ich komplett außen vor.
Also, im Initialzustand (nach der Installation von OPNsene) ist die Firewall an und blockt ALLE eingehenden UND ausgehenden Verbindungen, richtig?

Ich habe zwar schon länger meine OPNsense nicht von null neu aufbauen müssen, aber ja, sofern keine "erlauben" Regeln von dir in den unterschiedlichen 3 Interface Tabs angelegt wurden, blockt jedes Interface erst einmal alles.
Es existieren jedoch zwei Ausnahmen:
1.) Ausnahme ist hierbei die Anti Lockout Rule auf der LAN Seite.
Diese wird standardmäßig angelegt, damit man überhaupt auf die Weboberfläche kommt.
2.) Traffic der "von der Firewall" kommt wird auch nicht geblockt egal was für Regeln man auch immer selber erstellt. Mit "von der Firewall" ist dabei der Traffic gemeint der von der Firewall selbst kommt.
Das ist schwer zu erklären, das muss man selber mal gesehen haben.
Die Verbindung zu 37.48.77.141 (mail.opnsense.org) kann man zum Beispiel nicht blockieren, egal was für Regeln man formuliert. Der Traffic entsteht, wenn man nach Updates checked. (Kann man im Firewall Log nachlesen)

Weiterhin habe ich keine Pass Regel formuliert auf der WAN Seite

Was ist bei Dir die WAN Seite?

Alle Regeln die beim Interface Tab "WAN" formuliert werden.
Tut mir leid, dass hatte ich wohl unsauber formuliert. :(

Outbound Traffic wird aber dennoch immer erlaubt aus dem WAN Interface.

Das ist das was ich meinte und bisher so verstanden hatte.

Die Sache, die einem vielleicht nicht ganz klar sein könnte ist, das theoretisch auch Traffic, am WAN Interface angeschlossen, an der Firewall starten könnte, ähnlich wie bei WLAN und LAN.
In deinem Fall ist die WAN Seite am Modem und das WAN Netz ist sehr klein. Oft hängt am WAN Interface vielleicht auch nur noch ein Router und das wars. Deswegen ist es üblich auf dem WAN Tab in Firewall > Rules > WAN keine Regeln zu formulieren. Man möchte also nicht, dass Das Interface eine Kommunikation startet oder ein Gerät innerhalb des angeschlossenen WAN Netzes eine Kommunikation startet. Ebenfalls möchte man nicht, dass ein potentieller Angreifer vom Internet auf deine WAN Schnittstelle zugreift. Um das alles zu unterbinden, schreibt man gar nichts in das WAN tab rein, denn dort wird nie eine Kommunikation gestartet. Pakete werden nur weitergereicht, denn die Source IP ist ja zum Beispiel die IP von deinem Laptop im LAN Netz gewesen.

--> Ich hoffe ich hab dich bis hier nich schon wieder verwirrt.
Wenn ich mir meinen Text durchlese hab ich bissel Angst dass ichs wieder verkompliziert hab. :D

Ein Paket startet im LAN Netz und die Firewall entscheidet, anhand der im LAN formulierten Regeln, was damit geschehen soll. Wenn es erlaubt wurde, wird das Paket durch das WAN Interface zum Modem weitergeschubst/durchgereicht. Deswegen ist es egal welche Regeln bei  Firewall > Rules > WAN formuliert werden, solange die Pakete im LAN starten.

Ich kann nur hoffen es ist jetzt nicht schlimm geworden mit dem Verständnis. :D

EDIT:

Das heißt, rein auf das Log bezogen, was im LAN/WLAN Interface erlaubt wird, wird nicht im LAN/WLAN Log sichtbar, sondern im WAN Log????

Ich schau mal ob ich was ausm Log heraus nehmen kann. Dann siehst du was ich meine.
Wie gesagt ich find es merkwürdig.

[Oxygen61]

Auszug aus meinem Log.
1.) Ich bin mit meinem Handy mit dem WLAN verbunden.
2.) ich öffne reddit von meinem Handy
3.) Ausgabe siehe Log

WLAN Handy IP = Die lokale IP die mir der DHCP Server auf dem WLAN Interface der OPNsense Firewall vergeben hatte.
WAN Int IP = die statisch vergebene IP, die ich dem WAN Interface der Firewall vergab.

[guest15032]

Diese DENY ANY ANY Regel existiert und ist auch von OPNsense hart eingetragen, muss demnach von dir nicht extra hinzugefügt werden. Sie ist immer die allerletzte Rule.
Der Text auf der unteren Seite der Rules Seite verdeutlicht das. In diesem heißt es:
Everything that isn't explicitly passed is blocked by default.
Der Text den du meinst, also folgenden: No interfaces rules are currently defined. All incoming connections on this interface will be blocked until you add a pass rule. den haben die OPNsense Entwickler noch zusätzlich dazu geschrieben um es dem User offensichtlicher zu machen, dass ohne Firewall Regeln, möglicherweise bestimmte "erhoffte" Kommunikation noch nicht funktioniert.
Wichtig ist aber: Die Default Regel am Ende des Regelwerks ist automatisch immer DENY ANY ANY

Aaahhh... :)

DENY ANY ANY bedeutet dann auf jedem interface:

Blockiere jeden Datenverkehr von jedem Ziel zu jeder Quelle auf jedem Port, also inbound und outbound, nichts geht rein oder raus.

--> Ich hoffe ich konnte bis hier die Verwirrung erst einmal irgendwie etwas lösen. Sorry dafür! :)

Jap. Wenn ich richtig verstanden habe, dann ist jedes Interface komplett dicht im Werkszustand. Wobei ich mich dann in dem Fall frage, warum diese beiden Standard Regeln für das WAN Interface explizit geschrieben sind, die man auf dem Screenshot sieht, den ich mal gepostet habe zuletzt (Beitrag 35, Seite 3). Also die beiden hier:

• Block private networks (Source: RFC 1918 Networks)
• Block bogon networks (Source: Reserved/not assigned by IANA)

Ich denke, bei Punkt 2 geht es ja um fehlerhafte/falche Datenpakete.

Aber das fällt doch auch unter die DENY ANY ANY Regel, die hardcoded in der Firewall steht. Wofür sind die beiden Regeln explizit eingetragen und warum nur im WAN Interface?

2.) Traffic der "von der Firewall" kommt wird auch nicht geblockt egal was für Regeln man auch immer selber erstellt. Mit "von der Firewall" ist dabei der Traffic gemeint der von der Firewall selbst kommt.
Das ist schwer zu erklären, das muss man selber mal gesehen haben.
Die Verbindung zu 37.48.77.141 (mail.opnsense.org) kann man zum Beispiel nicht blockieren, egal was für Regeln man formuliert. Der Traffic entsteht, wenn man nach Updates checked. (Kann man im Firewall Log nachlesen)

Verstehe ich. Da sind dann wahrscheinlich auch irgendwelche Netzwerke/Aliase/etc. hard codiert eingetragen, die immer funktionieren.

Alle Regeln die beim Interface Tab "WAN" formuliert werden.
Tut mir leid, dass hatte ich wohl unsauber formuliert. :(

Alles gut, habs ja jetzt verstanden. ;)

Wir haben von der gleichen Sache gesprochen, ich bin nur immer sehr penible bei sowas, weil ich aus eigener Erfahrung weiß, wie schnell ein Wortdreher nachher das Verständnis einer Sache komplett ändern kann. Da musste ich hinterher haken, Sorry. :D

Die Sache, die einem vielleicht nicht ganz klar sein könnte ist, das theoretisch auch Traffic, am WAN Interface angeschlossen, an der Firewall starten könnte, ähnlich wie bei WLAN und LAN.
In deinem Fall ist die WAN Seite am Modem und das WAN Netz ist sehr klein. Oft hängt am WAN Interface vielleicht auch nur noch ein Router und das wars. Deswegen ist es üblich auf dem WAN Tab in Firewall > Rules > WAN keine Regeln zu formulieren. Man möchte also nicht, dass Das Interface eine Kommunikation startet oder ein Gerät innerhalb des angeschlossenen WAN Netzes eine Kommunikation startet. Ebenfalls möchte man nicht, dass ein potentieller Angreifer vom Internet auf deine WAN Schnittstelle zugreift. Um das alles zu unterbinden, schreibt man gar nichts in das WAN tab rein, denn dort wird nie eine Kommunikation gestartet. Pakete werden nur weitergereicht, denn die Source IP ist ja zum Beispiel die IP von deinem Laptop im LAN Netz gewesen.

--> Ich hoffe ich hab dich bis hier nich schon wieder verwirrt.
Wenn ich mir meinen Text durchlese hab ich bissel Angst dass ichs wieder verkompliziert hab. :D

Ein Paket startet im LAN Netz und die Firewall entscheidet, anhand der im LAN formulierten Regeln, was damit geschehen soll. Wenn es erlaubt wurde, wird das Paket durch das WAN Interface zum Modem weitergeschubst/durchgereicht. Deswegen ist es egal welche Regeln bei  Firewall > Rules > WAN formuliert werden, solange die Pakete im LAN starten.

Danke, das ist eine gute Erklärung. Ich hatte es aber auch ausser Acht gelassen, dass am WAN natürlich auch mehr passieren kann, als das "durchreichen" der Datenpakete der anderen Interfaces. Aber das ist ja in meinem Fall dann trotzdem gut gewesen, weil ich somit diesen Teil ausklammern konnte (indem ich am WAN Interface nichts schreiben musste).

Das bedeutet, in deinem WAN Tab in der GUI steht auch keine Regel, ja?

Ich kann nur hoffen es ist jetzt nicht schlimm geworden mit dem Verständnis. :D

Ne, ist deutlich besser geworden. Danke. :D

Nur eins fuchst mich gerade noch etwas, und zwar meine schematische Darstellung. Die passt ja dann doch nicht.

                                         ( Internet )
                                                 |
                                    WAN Interface
                                                 |
                       ------------- Firewall -------------
                       |                                                 |
          LAN Interface                         WLAN Interface

Dann muss ja zwischen WAN und Internet (oder Kabelmodem, ich habs einfach nur Internet genannt)
ja doch nochmal die Firewall sitzen. Also:

                                         ( Internet )
                                                 |
                                          Firewall
                                                 |
                                    WAN Interface
                                                 |
                       ------------- Firewall -------------
                       |                                                 |
          LAN Interface                         WLAN Interface


Wenn nicht, wäre mir nicht ganz klar, wie sonst Regeln für das WAN Interface gelten können? ^^



Zu deinem Log:

Kurz gesagt, im Log landet das, was von LAN/WLAN Interface am WAN Interface ankommt und darum steht dort die WAN IP statt der eigentlichen Client IP aus dem Netz (weil das WAN Interface das dann weiterleitet)? Ich finde es immer noch Konfus... Dann dürfte doch eigentlich nie als Source ein anderes Interface außer dem WAN da auftauchen, weil doch im Endeffekt alles über das WAN läuft.  :o

Ich werde da auch mal bei mir testen, das Log komplett leeren und dann eine einzige Verbindung aufbauen und schauen, was geloggt wird.

Gruß
Chris

[Oxygen61]

DENY ANY ANY bedeutet dann auf jedem interface:
Blockiere jeden Datenverkehr von jedem Ziel zu jeder Quelle auf jedem Port, also inbound und outbound, nichts geht rein oder raus.

Genau so siehts aus :)
blockiere -> IPv4+IPv6: alle Transportprotokolle source: alles Port: alles destination: alles Port: alles

Jap. Wenn ich richtig verstanden habe, dann ist jedes Interface komplett dicht im Werkszustand. Wobei ich mich dann in dem Fall frage, warum diese beiden Standard Regeln für das WAN Interface explizit geschrieben sind, die man auf dem Screenshot sieht, den ich mal gepostet habe zuletzt (Beitrag 35, Seite 3).

Die kann man für jedes Interface festlegen. Block Bogon Networks hab ich zum Beispiel auf jedem Interface aktiviert.
Hier zum einstellen: Interfaces > [WAN] Dort kann man dann Häkchen rein oder raus machen.

Ich hab sie drinne gelassen, falls ich dann doch mal etwas aus meinem internen Netz vom Internet her erreichen möchte. Bevor man da also auf dem WAN Interface (Inbound) einen Port öffnet, damit man auch aus Spanien auf den eigenen internen Webserver zugreifen kann (nur mal als Beispiel), will ich vor der "Erlauben" Regel alles blocken was nicht sicher ist.

In deinem Fall könntest du aber selbst diese beiden Regeln rausnehmen, da du auf der WAN Seite keine Erlauben Regel geschrieben hast. Das ist von dir abhängig. :)

Zum Thema Bogon Netzwerke: "Bogon ist ein Jargonausdruck für ein IP-Datenpaket im öffentlichen Internet, das vorgibt, von einer gültigen Adresse des Internetprotokolls zu stammen, tatsächlich aber noch nicht durch die Internet Assigned Numbers Authority (IANA) oder eine beauftragte Regional Internet Registry (RIR) zugewiesen wurde. Die Gesamtheit nicht zugewiesener Adressen wird bogon space genannt."
Siehe: https://de.wikipedia.org/wiki/Bogon

Aber das fällt doch auch unter die DENY ANY ANY Regel, die hardcoded in der Firewall steht. Wofür sind die beiden Regeln explizit eingetragen und warum nur im WAN Interface?

Du kannst wenn du Lust hast auch alle privaten Adressbereiche im LAN blockieren. Ob das sinnvoll ist, ist die andere Sache ;-D
Im Grunde sind diese beiden Regeln aber NICHT NUR auf das WAN bezogen.

Das bedeutet, in deinem WAN Tab in der GUI steht auch keine Regel, ja?

Was in meinem WAN steht häng ich dir mal in den Anhang. Wie gesagt, theoretisch kann die leer sein.
Ich will bloß im Falle nichts vergessen haben oder nachtragen müssen, wenn ich dann mal nen Webserver aufbauen möchte und dann unter Firewall > Rules > WAN auf Port 80 freischalten muss.
Hast du nichts davon vor können deine WAN Interface Rules leer sein.

Dann muss ja zwischen WAN und Internet (oder Kabelmodem, ich habs einfach nur Internet genannt)
ja doch nochmal die Firewall sitzen.

Wenn du die Firewall in deinem Gedankengang nicht als Gerät/Server siehst sondern als eine Art Tor, dann ja kann man sich das so gut vorstellen mit der "zweiten Firewall" zwischen Modem und tatsächlicher Firewall.

Kurz gesagt, im Log landet das, was von LAN/WLAN Interface am WAN Interface ankommt und darum steht dort die WAN IP statt der eigentlichen Client IP aus dem Netz (weil das WAN Interface das dann weiterleitet)? Ich finde es immer noch Konfus... Dann dürfte doch eigentlich nie als Source ein anderes Interface außer dem WAN da auftauchen, weil doch im Endeffekt alles über das WAN läuft.  :o

so habe ich das auch verstanden. Die Sache ist halt ja auch, dass da nie "WAN" steht, sondern stets "WAN(out)". Es ist also (laut meiner Auffassung) nie das WAN Interface sondern nur der Traffic gemeint, der aus dem WAN Interface durchgereicht wurde.
Vielleicht kann man sich das so vorstellen? Leider keine Ahnung. :-/

[guest15032]

Was in meinem WAN steht häng ich dir mal in den Anhang. Wie gesagt, theoretisch kann die leer sein.
Ich will bloß im Falle nichts vergessen haben oder nachtragen müssen, wenn ich dann mal nen Webserver aufbauen möchte und dann unter Firewall > Rules > WAN auf Port 80 freischalten muss.
Hast du nichts davon vor können deine WAN Interface Rules leer sein.

Ok, Du hast also die beiden Regeln drin, die ich auch habe und die zwei Regeln für Netzwerke, die Spammern und Hijackern gehören, richtig? Verstehe ich das korrekt, dass Du einfach diese IP Liste gespeichert hast und als Alias darauf verweist und wann immer eine Verbindung outbound zu einer IP aus dieser Liste versucht wird, wird diese "gedropt"?

Wenn du die Firewall in deinem Gedankengang nicht als Gerät/Server siehst sondern als eine Art Tor, dann ja kann man sich das so gut vorstellen mit der "zweiten Firewall" zwischen Modem und tatsächlicher Firewall.

Genau so war das gemeint. Keine physische Firewall, sondern abstrakt dargestellt, dass die Firewall das WAN Interface ebenfalls schützt.

so habe ich das auch verstanden. Die Sache ist halt ja auch, dass da nie "WAN" steht, sondern stets "WAN(out)". Es ist also (laut meiner Auffassung) nie das WAN Interface sondern nur der Traffic gemeint, der aus dem WAN Interface durchgereicht wurde.
Vielleicht kann man sich das so vorstellen? Leider keine Ahnung. :-/

Jap. Ich muss mir das auch mal nachher bei mir anschauen, vielleicht steckt da ja noch ne tiefere Logik hinter, oder das ganze ist evtl. konfigurierbar?


Hab (leider) noch weitere Fragen  ;D

Und zwar zu dem transparenten Proxy: Dieser dient ja dem durchreichen von Datenpaketen und der gleichzeitigen Filterung auf "gefährliche" Inhalte. Habe ich es richtig verstanden, dass ich dieses Feature garnicht nutzen kann, da meine Appliance lediglich mit einer 8GB SD Karte läuft (und es Probleme geben wird mit den Disk writes bei einer SD Karte)?

Oder hab ich das falsch verstanden und das gilt nur für den Caching Proxy?

Gruß
Chris

[monstermania]

Hi Chris,
grundsätzlich sollte man bei einer SD-Installation eines der Nano-Images verwenden (VGA/seriell).
Die Nano-Images sind speziell für CF-, SD-Karten und minimieren die Schreibzugriffe auf die Karten. Man kann natürlich auch eine Vollinstallation auf SD-Karte machen. Wie lange die SD-Karte dann durchhält???

Den Webbroxy kannst Du unabhängig vom verwendeten Installationsimage der OPNSense benutzen. Das Caching des Proxy kannst Du in der Proxykonfiguration aktivieren/deaktivieren. Beim Nano-Image läuft das Caching dann halt im RAM (RAM-Disk). Siehe dazu hier: https://forum.opnsense.org/index.php?topic=4227.0
Standardmäßig ist das Caching beim Proxy deaktiviert (beim Nano-Image).

Gruß
Dirk