Alias Internet

[ralus]

Hallo Community

Ich bin am evaluieren von OpnSense und bin somit "Anfänger"

Nun wollte ich mir das NAT genauer anschauen und wollte eine Test NAT herstellen

Ausgangslage: alles aus dem Internet welches an die additional IP Adresse gelangt welche am public interface gebunden ist, soll mit Portokoll HTTPS an das interne Gerät SRV07 mit der IP 192.168.88.15 genattet werden.

Gibt es Video Tutorials welche mir sowas aufzeigen?

Kann man in Internet Alias 0.0.0.0 erstellen und mach das Sinn? Wie würdet Ihr das "Internet" bei  External network (Target) bekanntgeben?

[PeterEduardNis]

Moinsen,

zum Alias für Internet mache ich das immer so. Alias vom Typ Netzwerke anlegen mit dem Inhalt der privaten Bereichen:
10.0.0.0/8
192.168.0.0/16
172.16.0.0/12

Und in den Regeln oder wo auch immer den Alias "umkehren" bzw. negieren.

Viel Glück 

[Patrick M. Hausen]

"Internet" ist für die meisten Anwendungen "any".

[ralus]

Hi Patrick

Wobei Any wircklich für any gedacht ist. Das wären dann Internet, DMZ, LAN und weitere Netzwerke, Somit finde ich "any" nicht wirklich geeignet.

[Patrick M. Hausen]

Wenn du von außen kommst, weißt du nicht, was die Absender-Adresse ist. Für Regeln auf WAN für eingehende, öffentlich erreichbare Dienste, ist "any" nun mal das einzig Sinnvolle.

Für "IoT Netz darf ins Internet aber nicht ins LAN" gibt es Destination Invert oder man baut zwei Regeln - erst deny in Richtung LAN gefolgt von allow nach "any".

[bimbar]

Es wäre schön, wenn es, wie in der alten Astaro, ein echtes Alias "Internet" gäbe, oder die Möglichkeit, in einer Regel das destination interface anzugeben. Gibt es halt nicht.

[Patrick M. Hausen]

Ja, "von <interface> nach <interface>" wäre schön. Konnte die Sidewinder auch. Haben wir hier aber nun mal nicht, also müssen wir mit Adressen arbeiten. Und dann ist Internet eben 0.0.0.0/0 bzw. ::/0.

[bimbar]

Normalerweise blackhole route ich die RFC1918 Netze. Damit wäre dann wirklich default das internet.

[Patrick M. Hausen]

Normalerweise blackhole route ich die RFC1918 Netze. Damit wäre dann wirklich default das internet.

Der Witz ist ja, dass "intern" also "nicht Internet" nicht zwangsläufig RFC 1918 bedeuten muss. Ich sitze hier im Büro im Netz 217.29.44.0/24 - das wird aus- und eingehend komplett geNATed.

[bimbar]

Normalerweise blackhole route ich die RFC1918 Netze. Damit wäre dann wirklich default das internet.

Der Witz ist ja, dass "intern" also "nicht Internet" nicht zwangsläufig RFC 1918 bedeuten muss. Ich sitze hier im Büro im Netz 217.29.44.0/24 - das wird aus- und eingehend komplett geNATed.

ok ...

[chemlud]

Normalerweise blackhole route ich die RFC1918 Netze. Damit wäre dann wirklich default das internet.

Der Witz ist ja, dass "intern" also "nicht Internet" nicht zwangsläufig RFC 1918 bedeuten muss. Ich sitze hier im Büro im Netz 217.29.44.0/24 - das wird aus- und eingehend komplett geNATed.

Supernerd! :-p