Firewall Regel zwischen VLANs nur auf bestimmten Ports erlauben

ammar.aljellawi · May 15, 2025, 04:32:35 PM

Hallo zusammen,
ich habe bei mir zu Hause ein OPNsense mit mehreren VLANs im Einsatz.

VLAN20: Terminalserver
VLAN30: SQL-Datenbank-Server

Ich möchte, dass die beiden VLANs nur über bestimmte Ports miteinander kommunizieren dürfen (Port 1433 und 53).

Alle anderen Verbindungen zwischen den beiden VLANs sollen vollständig blockiert werden.

Meine Frage:

Wie lege ich die Firewall-Regeln korrekt an?

Muss ich dafür mit "in" oder "out" Regeln arbeiten?

Oder sollte ich auf beiden VLAN-Schnittstellen jeweils Regeln mit "in" oder "out"-Richtung erstellen?

Was ist die empfohlene Vorgehensweise, um den Verkehr beidseitig nur auf Port 1433 und 53 zu erlauben?

viragomann · May 15, 2025, 05:30:39 PM

Hallo,

Quote from: ammar.aljellawi on May 15, 2025, 04:32:35 PMWie lege ich die Firewall-Regeln korrekt an?

Das ist eine sehr grundsätzliche Frage. Schon mal den entsprechenden Artikel in den Docs gelesen?

Im einfachen Fall sind das zwei Regeln mit Action = pass und dem jeweiligen Port als Ziel.
Ziel-Host sowie Quell-Host IP könntest du auch noch angeben, um den Bereich der erlaubten Hosts einzuschränken.

Alternativ kannst du einen Alias für die beiden Ports anlegen und diesen als Zielport verwenden. Dann ist nur einer Regel je Interface nötig.

Quote from: ammar.aljellawi on May 15, 2025, 04:32:35 PMMuss ich dafür mit "in" oder "out" Regeln arbeiten?

Beides möglich. "in" ist Standard und reicht auch vollkommen. Die Regel ist dann auf dem Interface anzulegen, auf dem der Zugriff reinkommt.

Quote from: ammar.aljellawi on May 15, 2025, 04:32:35 PMWas ist die empfohlene Vorgehensweise, um den Verkehr beidseitig nur auf Port 1433 und 53 zu erlauben?

Du kannst es auch mit einer einzigen Regel bewerkstelligen, wenn du eine Floating anlegst. Da kannst du die Interfaces, an denen sie angewandt wird anhaken.

meyergru · May 15, 2025, 05:34:35 PM

Zunächst einen Firewall-Alias "RFC1918" mit folgenden Netzbereichen anlegen:

192.168.0.0/16
172.16.0.0/12
10.0.0.0/8

Einen "Port" Alias "ALLOWED_PORTS" mit den Ports 53 und 1433 anlegen.

Auf der Regelliste für beide VLANs jeweils folgende Regeln anlegen (in dieser Reihenfolge/Priorität):

1. Pass interface X in IPv4+IPv6 protocol TCP/UDP source any dest "Y net" port ALLOWED_PORTS (lässt Zugriff von X nach Y auf ALLOWED_PORTS zu)
2. Block interface X in IPv4+IPv6 protocol any source any dest RFC1918 (das blockt alle Zugriffe auf andere VLANs)
3. Pass interface X in IPv4+IPv6 protocol any source any dest any (das lässt den Zugriff auf alles andere - z.B. "Internet" - zu)

Vorsicht, weil Du wahrscheinlich so etwas wie Nummer 2 und 3 schon hast - eventuell in den Floating Regeln.

Firewall Regel zwischen VLANs nur auf bestimmten Ports erlauben

ammar.aljellawi

May 15, 2025, 04:32:35 PM

viragomann

May 15, 2025, 05:30:39 PM #1

meyergru

May 15, 2025, 05:34:35 PM #2