Author Topic: Port Forward zieht nicht - wird vorher von default deny rule abgefangen (Read 385 times)

Sylvan86 · « **on:** September 25, 2024, 10:06:21 am »

Ich versuche eine HTTP/HTTPS-Weiterleitung auf meinen Server im LAN bei Zugriffen von außen einzurichten.
Hierzu habe ich ein alias für den Server angelegt (siehe alias.png).
Danach habe ich die Forward-Regel erzeugt (siehe pfrule.png) - sowie analog für HTTP.
Nun habe ich das ganze getestet und ich habe das Problem das der Request von der Regel Default deny / state violation rule abgefangen wird (siehe block_event.png).

Entweder meine Regel zieht nicht - dann sehe ich bislang nicht den Grund was ich falsch eingestellt habe.
Oder die Reihenfolge der Regeln ist so, dass mein Port-Forward nachher kommt - dann weiß ich aber nicht wie ich die Reihenfolge der default-rules ändern kann.

Das Interface der opnsense läuft auf einem ganz anderen Port (800), so dass dies nicht in die Quere kommen sollte.

Für Tipps hierzu bin ich sehr dankbar.

Patrick M. Hausen · « **Reply #1 on:** September 25, 2024, 10:42:12 am »

Stell die "Filter Regel Zuordnung" mal auf "pass".

Sylvan86 · « **Reply #2 on:** September 25, 2024, 11:05:42 am »

Danke für den Tipp.
Hat leider keine Änderung gebracht.
In den Logs sehe ich weiterhin, dass die Anfragen von der default rule geblockt werden.

meyergru · « **Reply #3 on:** September 25, 2024, 11:15:49 am »

Die Quelle in Deiner NAT-Regel darf nicht das WAN-Netzwerk sein, sondern "any".

Firewalls sind blöderweise so unbestechlich - zumindest, bis Franco endlich den Feature-Request für ein ChatGPT-Frontend realisiert, das "ungefähr", "sollte" und "manchmal" versteht.

Patrick M. Hausen · « **Reply #4 on:** September 25, 2024, 11:29:11 am »

Danke, @meyergru. Zur Erläuterung: "WAN net" ist nur das direkt an WAN angeschlossene Netzwerk. "Das Internet" ist immer "any".

Sylvan86 · « **Reply #5 on:** September 25, 2024, 11:32:04 am »

Guck an - das war es!
Vielen Dank.

Eventuell zum Verständnis:
Ich möchte ja eigentlich, dass die Regel nur für Verkehr gilt, welcher von der WAN-Seite herkommt.
Ich hatte ja nun als Quelle "WAN-Netzwerk".
Das Problem hierbei ist, dass damit nur das unmittelbare WAN-Netz gemeint ist und nicht dahinter liegende - oder?
In meinem Fall ist mein WAN-Netz ein /32er sodass überhaupt keine anderen IP-Adressen hiervon gemeint wären.

Edit: Genau wie Patrick sagte

Patrick M. Hausen · « **Reply #6 on:** September 25, 2024, 11:33:43 am »

Die Regel liegt doch auf dem WAN Interface - damit hast du das "woher kommt's" abgefangen. Und "das Internet" sind nunmal "alle Adressen, die es gibt" (mit sehr wenigen Ausnahmen). Also "any".

Author Topic: Port Forward zieht nicht - wird vorher von default deny rule abgefangen (Read 385 times)

Sylvan86

Port Forward zieht nicht - wird vorher von default deny rule abgefangen

Patrick M. Hausen

Re: Port Forward zieht nicht - wird vorher von default deny rule abgefangen

Sylvan86

Re: Port Forward zieht nicht - wird vorher von default deny rule abgefangen

meyergru

Re: Port Forward zieht nicht - wird vorher von default deny rule abgefangen

Patrick M. Hausen

Re: Port Forward zieht nicht - wird vorher von default deny rule abgefangen

Sylvan86

Re: Port Forward zieht nicht - wird vorher von default deny rule abgefangen

Patrick M. Hausen

Re: Port Forward zieht nicht - wird vorher von default deny rule abgefangen