Einsteigerfrage zu NAT

Started by Bubber, Today at 08:05:56 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
Today at 08:05:56 PM
Hallo,
ich bin neu hier und daher unerfahren.

Setup:
Ich nutze meine opnsense virtualisiert unter proxmox. Sie hängt hinter einem ISP-Router der im Bridge-Modus läuft. Sie hat neben WAN noch LAN und eine DMZ. In der DMZ habe ich einen Server laufen, den ich aus dem Internet erreichbar machen will.
Dazu habe ich ein vollständige Portweiterleitung gemacht. Das funktioniert auch tadellos.
Problem:
Nun möchte ich aber, Port 22 aus dem Internet komplett blockieren. Eine entsprechende Regel habe ich für das WAN-Interface angelegt und sie vor die (autom. generierte) NAT-Regel platziert. Leider greift sie aber nicht. Es wird einfach alles an den in der Portweiterleitung festgelegten Host weitergeleitet.
Das selbe Problem habe ich auch, wenn ich eine Wireguard-Instanz auf der Firewall laufen lassen möchte. Egal was ich eingestellt habe; Anfragen auf Port 51820 werden auch an den Host weitergeleitet statt von der Firewall/Wireguard behandelt zu werden.
Ich habe irgendwo gelesen (leider kann ich die Quelle auf die Schnelle nicht finden), dass bei NAT vor den "normalen" Regeln bearbeitet wird. Aber trotzdem muss es doch eine Möglichkeit geben, dass ich Wireguard nutzen oder ssh auf WAN blockieren kann?!?

Über Feedback oder Hinweise die mir bei der Lösung bzw. für das bessere Verständnis meines Problems helfen, wäre ich sehr dankbar!
BG
bubber
Today at 08:57:06 PM #1
Hallo,

Quote from: Bubber on Today at 08:05:56 PMIn der DMZ habe ich einen Server laufen, den ich aus dem Internet erreichbar machen will.
Dazu habe ich ein vollständige Portweiterleitung gemacht. Das funktioniert auch tadellos.
Es wäre doch weitaus sicherer, nur die benötigten Ports auf den Server weiter zu leiten. Warum leitest du alles weiter?

In der NAT-Regel kannst du unten auch die automatische Erstellung von Firewall-Regeln deaktivieren. Dann musst du eben selbst Regeln für die benötigten Protolle erstellen.

Quote from: Bubber on Today at 08:05:56 PMNun möchte ich aber, Port 22 aus dem Internet komplett blockieren. Eine entsprechende Regel habe ich für das WAN-Interface angelegt und sie vor die (autom. generierte) NAT-Regel platziert. Leider greift sie aber nicht.
Ist da eventuell schon ein Verbindung aktiv?
Das kannst du in Firewall: Diagnostics: States überprüfen, und den State auch gleich löschen.

Ein neu hinzugefügte Block-Regel hat keinen Einfluss auch schon existierende Verbindungen. Die bleiben bestehen, bis sie die beteiligten Geräte beenden oder bis sie in den Timeout laufen.

Quote from: Bubber on Today at 08:05:56 PMIch habe irgendwo gelesen (leider kann ich die Quelle auf die Schnelle nicht finden), dass bei NAT vor den "normalen" Regeln bearbeitet wird.
Meines Wissens ist die Sache hier lediglich, dass NAT-Regeln vor Firewall Regeln abgehandelt werden.
D.h. du hast bspw. alle Ports am WAN auf 10.0.0.10 weitergeleitet. Möchtest du nun einen Blocken, musst du beachten, dass nun 10.0.0.10 die Ziel-IP ist. Wenn du also als Ziel WAN IP setzt, ist die Regel wirkungslos.

Grüße
Today at 09:10:28 PM #2
1. NAT greift immer von Firewall-Regeln.
2. Wenn du die NAT-Regel (eingehend) bei "Firewall rule association" auf "Pass" gestellt hast, greift auch das "Pass" vor allen anderen Firewall-Regeln.
3. Du musst also bei der NAT-Regel explizit auf eine Firewall-Regel verweisen statt "Pass" zu benutzen.
4. Die Block-Regel muss dann vor dieser in der Liste sein.
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
Print
Go Up Pages1
User actions