Port Forward zieht nicht - wird vorher von default deny rule abgefangen

Started by Sylvan86, September 25, 2024, 10:06:21 AM

Previous topic - Next topic
Print
Go Down Pages1
User actions
September 25, 2024, 10:06:21 AM
Ich versuche eine HTTP/HTTPS-Weiterleitung auf meinen Server im LAN bei Zugriffen von außen einzurichten.
Hierzu habe ich ein alias für den Server angelegt (siehe alias.png).
Danach habe ich die Forward-Regel erzeugt (siehe pfrule.png) - sowie analog für HTTP.
Nun habe ich das ganze getestet und ich habe das Problem das der Request von der Regel Default deny / state violation rule abgefangen wird (siehe block_event.png).

Entweder meine Regel zieht nicht - dann sehe ich bislang nicht den Grund was ich falsch eingestellt habe.
Oder die Reihenfolge der Regeln ist so, dass mein Port-Forward nachher kommt - dann weiß ich aber nicht wie ich die Reihenfolge der default-rules ändern kann.

Das Interface der opnsense läuft auf einem ganz anderen Port (800), so dass dies nicht in die Quere kommen sollte.

Für Tipps hierzu bin ich sehr dankbar.
September 25, 2024, 10:42:12 AM #1
Stell die "Filter Regel Zuordnung" mal auf "pass".
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
September 25, 2024, 11:05:42 AM #2
Danke für den Tipp.
Hat leider keine Änderung gebracht.
In den Logs sehe ich weiterhin, dass die Anfragen von der default rule geblockt werden.
September 25, 2024, 11:15:49 AM #3 Last Edit: September 25, 2024, 11:23:08 AM by meyergru
Die Quelle in Deiner NAT-Regel darf nicht das WAN-Netzwerk sein, sondern "any".

Firewalls sind blöderweise so unbestechlich - zumindest, bis Franco endlich den Feature-Request für ein ChatGPT-Frontend realisiert, das "ungefähr", "sollte" und "manchmal" versteht.
Intel N100, 4 x I226-V, 16 GByte, 256 GByte NVME, ZTE F6005

1100 down / 770 up, Bufferbloat A
September 25, 2024, 11:29:11 AM #4
Danke, @meyergru. Zur Erläuterung: "WAN net" ist nur das direkt an WAN angeschlossene Netzwerk. "Das Internet" ist immer "any".
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
September 25, 2024, 11:32:04 AM #5
Guck an - das war es!
Vielen Dank.

Eventuell zum Verständnis:
Ich möchte ja eigentlich, dass die Regel nur für Verkehr gilt, welcher von der WAN-Seite herkommt.
Ich hatte ja nun als Quelle "WAN-Netzwerk".
Das Problem hierbei ist, dass damit nur das unmittelbare WAN-Netz gemeint ist und nicht dahinter liegende - oder?
In meinem Fall ist mein WAN-Netz ein /32er sodass überhaupt keine anderen IP-Adressen hiervon gemeint wären.

Edit: Genau wie Patrick sagte
September 25, 2024, 11:33:43 AM #6
Die Regel liegt doch auf dem WAN Interface - damit hast du das "woher kommt's" abgefangen. Und "das Internet" sind nunmal "alle Adressen, die es gibt" (mit sehr wenigen Ausnahmen). Also "any".
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
Print
Go Up Pages1
User actions