Alias Internet

Started by ralus, September 24, 2024, 08:41:23 AM

Previous topic - Next topic
Print
Go Down Pages1
User actions
September 24, 2024, 08:41:23 AM
Hallo Community

Ich bin am evaluieren von OpnSense und bin somit "Anfänger"

Nun wollte ich mir das NAT genauer anschauen und wollte eine Test NAT herstellen

Ausgangslage: alles aus dem Internet welches an die additional IP Adresse gelangt welche am public interface gebunden ist, soll mit Portokoll HTTPS an das interne Gerät SRV07 mit der IP 192.168.88.15 genattet werden.

Gibt es Video Tutorials welche mir sowas aufzeigen?

Kann man in Internet Alias 0.0.0.0 erstellen und mach das Sinn? Wie würdet Ihr das "Internet" bei  External network (Target) bekanntgeben?
September 24, 2024, 09:26:46 AM #1
Moinsen,

zum Alias für Internet mache ich das immer so. Alias vom Typ Netzwerke anlegen mit dem Inhalt der privaten Bereichen:
10.0.0.0/8
192.168.0.0/16
172.16.0.0/12

Und in den Regeln oder wo auch immer den Alias "umkehren" bzw. negieren.

Viel Glück  8)
September 24, 2024, 09:38:19 AM #2
"Internet" ist für die meisten Anwendungen "any".
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
September 24, 2024, 02:12:51 PM #3
Hi Patrick

Wobei Any wircklich für any gedacht ist. Das wären dann Internet, DMZ, LAN und weitere Netzwerke, Somit finde ich "any" nicht wirklich geeignet.
September 24, 2024, 02:33:48 PM #4
Wenn du von außen kommst, weißt du nicht, was die Absender-Adresse ist. Für Regeln auf WAN für eingehende, öffentlich erreichbare Dienste, ist "any" nun mal das einzig Sinnvolle.

Für "IoT Netz darf ins Internet aber nicht ins LAN" gibt es Destination Invert oder man baut zwei Regeln - erst deny in Richtung LAN gefolgt von allow nach "any".
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
September 24, 2024, 03:01:01 PM #5
Es wäre schön, wenn es, wie in der alten Astaro, ein echtes Alias "Internet" gäbe, oder die Möglichkeit, in einer Regel das destination interface anzugeben. Gibt es halt nicht.
September 24, 2024, 03:07:03 PM #6
Ja, "von <interface> nach <interface>" wäre schön. Konnte die Sidewinder auch. Haben wir hier aber nun mal nicht, also müssen wir mit Adressen arbeiten. Und dann ist Internet eben 0.0.0.0/0 bzw. ::/0.
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
September 24, 2024, 04:42:44 PM #7
Normalerweise blackhole route ich die RFC1918 Netze. Damit wäre dann wirklich default das internet.
September 24, 2024, 05:03:18 PM #8
Quote from: bimbar on September 24, 2024, 04:42:44 PM
Normalerweise blackhole route ich die RFC1918 Netze. Damit wäre dann wirklich default das internet.
Der Witz ist ja, dass "intern" also "nicht Internet" nicht zwangsläufig RFC 1918 bedeuten muss. Ich sitze hier im Büro im Netz 217.29.44.0/24 - das wird aus- und eingehend komplett geNATed.
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
September 26, 2024, 03:32:29 PM #9
Quote from: Patrick M. Hausen on September 24, 2024, 05:03:18 PM
Quote from: bimbar on September 24, 2024, 04:42:44 PM
Normalerweise blackhole route ich die RFC1918 Netze. Damit wäre dann wirklich default das internet.
Der Witz ist ja, dass "intern" also "nicht Internet" nicht zwangsläufig RFC 1918 bedeuten muss. Ich sitze hier im Büro im Netz 217.29.44.0/24 - das wird aus- und eingehend komplett geNATed.

ok ... :D
September 26, 2024, 03:35:49 PM #10
Quote from: Patrick M. Hausen on September 24, 2024, 05:03:18 PM
Quote from: bimbar on September 24, 2024, 04:42:44 PM
Normalerweise blackhole route ich die RFC1918 Netze. Damit wäre dann wirklich default das internet.
Der Witz ist ja, dass "intern" also "nicht Internet" nicht zwangsläufig RFC 1918 bedeuten muss. Ich sitze hier im Büro im Netz 217.29.44.0/24 - das wird aus- und eingehend komplett geNATed.

Supernerd! :-p
kind regards
chemlud
____
"The price of reliability is the pursuit of the utmost simplicity."
C.A.R. Hoare

felix eichhorns premium katzenfutter mit der extraportion energie

A router is not a switch - A router is not a switch - A router is not a switch - A rou....
Print
Go Up Pages1
User actions