Internet only Subnet

[Wayne Train]

Hallo,
ich möchte den Zugriff für ein bestimmtes Netz so einschränken, dass dieses nur ins Netz zugreifen darf, nicht aber in andere VLANs oder Subnets. Hat jemand eine Idee wie ich das am schlanksten umsetze ?
Meine Idee wäre sonst, einen Alias anzulegen, der alle VLANs und Subnets enthält die ich blocken möchte und diese dann in die jeweilige Policy zu laden. Das scheint mir aber ein wenig umständlich bzw. von hinten durch den Kopf ins Auge...
Grüße
CS

[Oxygen61]

Hey hey,

ich hoffe ich hab dich da richtig verstanden, also....
was mir spontan einfällt wäre das Sperren des "RFC1918", also das sperren aller privaten IP Adressen (ergo deine privaten Subnetze).
Ergo hast du zwei Rules die folgendes Aussagen (Achtung: spezielle Regeln zuerst):

Block - Regel 1
Source: Dein Subnetz was nur ins Internet darf
Src-Port: Any
Destination: RFC1918 Alias
Dest-Port: Any
--> Erklärung: Sämtliche Verbindungen deines Subnetzes auf private IPs auf egal welchem Port werden geblockt.

Permit - Regel 2
Source: Dein Subnetz was nur ins Internet darf
Src-Port: Any
Destination: Any
Dest-Port: Port 80/443
--> Erklärung: Falls die Dest.-IP keine private IP ist und schon von Regel 1 weggefangen wird, darf die Verbindung ins Internet aufgebaut werden.

Wie der RFC1918 Alias aussehen muss siehst du am Bild im Anhang.
Hoffe das hilft, ansonsten pew pew ;-)

Schöne Grüße
Oxy

[fabian]

es geht auch noch einfacher: einfach beim Ziel "invers" anhaken und dann den Alias RFC1918 angeben.

[monstermania]

Moin,
dazu habe ich auch mal eine Frage, die in die gleiche Richtung zielt.
Grundsätzlich ist mir die Vorgehensweise klar und ich habe das auch per Block-Regel mit RFC1918-Alias gelöst.
Nur habe ich zuhause mein LAN und WLAN 'gebridget'. Die Default 'Anti-Lockout' Rules der OPNsense sind ja nicht auf der Bridge vorhanden. Zum Glück habe vor der Einrichtung der RFC1918 Block-Regel so weit mitgedacht, dass ich die entsprechenden 'Anti-Lockout'-Regeln manuell auf der Bridge hinzugefügt habe.
So weit also Alles klar!

Ich habe auch noch Regeln für die Bridge eingerichtet, so dass DNS und NTP ausschließlich Netzintern laufen. Insgesamt also 5 Regeln allein, damit bestimmter Traffic Netzintern laufen kann (SSH, HTTP, HTTPS, DNS, NTP).
Da stellt sich mir die Frage, ob es nicht einfacher wäre einfach jeglichen Traffic Netzintern zu erlauben! Wie handhabt Ihr das in der Praxis bzw. gibt es eine Empfehlung dafür?

Gruß
Dirk

PS: Ich hoffe, ich habe mich Verständlich ausgedrückt

[Oxygen61]

Kannst du machen, wenn die "erlaube internen Traffic nach internen Traffic" vor der "umgekehrten RFC1918" Regel steht. --> grade nochmal drüber geschaut wär sogar egal wo die steht, weil nur 2 Regeln dann da stehen.

Die Fragen die dadurch aber entstehen sind folgende:
1.) Soll wirklich jedes Gerät mit jedem reden? Also Die NAS darf auf den Toaster zugreifen? eh?
2.) VLANs sind dann obsolet, weil sie auf der OPNsense durch die Regeln auf Layer 3 wieder aufgelöst werden.
3.) Wie unterscheidest du gewollten Traffic von gespooften Paketen?
4.) Wo ist der Unterschied zu einer Fritzbox?

Würd ich nur ungern machen. Für Zuhause bestimmt machbar wenn man wirklich keine Lust hat sich um ein Regelset zu kümmern und alles funktionieren soll. Wenn man so will ist eine Bridge ja auch schon ein Eingeständnis.  

[fabian]

Ich habe WLAN und LAN getrennt und WLAN ist bei mir sehr restriktiv. Im LAN sind bei mir viele Ports offen, da ich diese brauche und man kann vom LAN aus in alle anderen Netze (WLAN, DMZ). Vom WLAN aus sind nur HTTP(S) und DNS erlaubt. Man darf auch nicht vom WLAN aus nicht ins LAN kommen, aber in die DMZ. DNS ist generell nur an die FW erlaubt.

[Oxygen61]

Ich habe WLAN und LAN getrennt und WLAN ist bei mir sehr restriktiv. Im LAN sind bei mir viele Ports offen, da ich diese brauche und man kann vom LAN aus in alle anderen Netze (WLAN, DMZ). Vom WLAN aus sind nur HTTP(S) und DNS erlaubt.

Im Grunde seh ich das ähnlich, nur wirds zu zank übers WLAN kommen, wenn viele Apps dann nicht funktionieren (Whatsapp Port 5223/5228 o.ä.), ist von dir aber so gewollt anscheinend.

Man darf auch nicht vom WLAN aus nicht ins LAN kommen, aber in die DMZ

Warum sollte man vom WLAN in die DMZ? Vom LAN ist logisch für die NAS, für TV Streaming und backups und co + SSH aber was will ein Handy in der DMZ? Oder nutzt du auch Laptops?

[monstermania]

4.) Wo ist der Unterschied zu einer Fritzbox?

Würd ich nur ungern machen. Für Zuhause bestimmt machbar wenn man wirklich keine Lust hat sich um ein Regelset zu kümmern und alles funktionieren soll. Wenn man so will ist eine Bridge ja auch schon ein Eingeständnis.

Bitte seid nicht so streng mit mir 
1.) Ja, die OPNsense ersetzt bei mir zu Hause einen 08/15-WLAN-Router
2.) Alle meine Devices zu Hause sind per WLAN angebunden. Das (gebrückte) LAN habe ich eigentlich nur, als Notfallbackup, damit ich im Problemfall auf die OPNsense zugreifen könnte indem ich mein Laptop per LAN-anschließe
3.) Ich habe ein Gäste-WLAN für Bekannte
4.) Natürlich möchte ich auch, dass z.B. mein Tablet auch auf mein Smart-TV zugreifen kann. Ist ja schließlich ungemein praktisch sich z.B. eine Sendung in der Mediathek per Tablet zu suchen anschließend per Fingertip auf dem Smart-TV anzusehen.

Und natürlich habe ich ein Regelset für mein internes LAN/WLAN aufgebaut (Aliase per festen DHCP-Leases).
Über diese Aliase wird individuell geregelt welcher meiner Geräte bzw. Gerätegruppen z.B. WhatsApp, OpenVPN, IPSec, Internet, usw. dürfen. Bei insgesamt 6 Geräten ist das ja überschaubar.

Es geht bei meiner Frage ja eher um die interne Kommunikation im LAN. Wie handhabt Ihr das bei Euch? Erlaubt Ihr bei Eurem LAN jegliche Kommunikation oder beschränkt Ihr Euch Netzintern auch auf wenige Dienste!?

Gruß
Dirk

[fabian]

Es geht bei meiner Frage ja eher um die interne Kommunikation im LAN. Wie handhabt Ihr das bei Euch? Erlaubt Ihr bei Eurem LAN jegliche Kommunikation oder beschränkt Ihr Euch Netzintern auch auf wenige Dienste!?

Ja aber eher auf viele Dienste (dürften an die 30 Regeln sein). Bei mir kommen da halt ein paar Dienste mehr zusammen als in einem "normalen" Netz.

[Oxygen61]

Bitte seid nicht so streng mit mir 

Hehe war nich böse gemeint. 

Das mit den vielen Einzelregeln im LAN, tja... das is das Schicksal des Admins.
Einfach ist da sehr wahrscheinlich auch einfach nicht sicher. (Obwohl man da wieder diskutieren könnte im internen Netz fürs interne Netz) ABER ist wohl eine philosophische Frage.