Rules NEW - Reihenfolge

Started by superwinni2, February 09, 2026, 10:14:18 AM

Previous topic - Next topic
Print
Go Down Pages1
User actions
February 09, 2026, 10:14:18 AM
Hallo

ich beschäftige mich aktuell mit den neune Regeln (Rules [new]).
Wie sinnvoll ist es, hier auf die Reihenfolge zu achten um die Firewall möglichst wenig zu belasten?
Aktuell habe ich "nur" 159 Regeln. Ich vermute, dass meine Hardware dies einfach wegdampft. 

Gibt es eine grobe Abschätzung ab wie vielen Regeln man dort ein Auge drauf werfen sollte? 1000? 10000? gar nicht?
Wie auch in den alten Regeln ist mir bewusst, dass bei Mischung von Actions die Reihenfolge beachtet werden muss. (Erst allgemein blocken und dann zulassen wird halt einfach nicht klappen wenn alles auf "Quick" eingestellt ist.)


Gibt es irgend eine Art von "Best Practice"? Oder einfach nur "hauptsache es klappt"?
February 09, 2026, 10:36:23 AM #1
Ich kenne Installationen mit über 10000 Regeln in der neuen GUI, dort funktioniert noch alles.

Die GUI selber hat also keine Probleme mit sehr vielen Regeln, im Gegensatz zur Legacy GUI wo das ab der Größenordnung schnell unübersichtlich und langsam werden kann.
Hardware:
DEC740
February 09, 2026, 11:07:23 AM #2
Quote from: superwinni2 on February 09, 2026, 10:14:18 AMErst allgemein blocken und dann zulassen wird halt einfach nicht klappen wenn alles auf "Quick" eingestellt ist.
Quick ist doch der Default, hat funktioniert und wird auch weiterhin funktionieren. Entweder Du bist ein sehr fortgeschrittener Benutzer und hast nur deinen Anwendungsfall nicht erklärt oder es gibt ein allgemeines Verständnisproblem mit den Regeln.
Today at 09:40:42 AM #3
Quote from: Bob.Dig on February 09, 2026, 11:07:23 AMDu bist ein sehr fortgeschrittener Benutzer

Ja bei mir ist manches ein bisschen spezieller.
Betreue aktuell über 10 OPNsense Instanzen.
Das mit dem Quick meinte ich nur, um zu verdeutlichen dass es mir bewusst ist, dass die Regeln von "oben nach unten" abgearbeitet werden und dabei noch auf die Quick Einstellung geachtet werden soll.
Und ich meinte auch weniger die GUI (wobei ich daran noch gar nicht gedacht habe) sondern eher die Abarbeitung der Regeln selbst.

Ich habe beispielsweise eine alte CNC Maschine die unbedingt versucht Server X zu erreichen. Den Server gibt's nicht mehr, daher blockiere ich den Mist bevor er den Server quer im Netzwerk sucht mit einer IP die es nicht gibt. Umkonfigurieren der CNC Maschine ist leider nicht möglich.
Daher habe ich eine "Block" Regel hierfür angelegt welche relativ oft getriggert wird. Extra Regel deswegen, damit das auch nicht geloggt wird.
Wäre es nun vorteilhaft
  •  wenn man diese Block Regel eher Quick macht und weiter oben ansetzt? (Somit müssen die Regeln kaum kontrolliert werden)
  •  gar keine Regel anlegt und die Default Deny übernehmen lässt (Es müssten dann ja alle Regeln kontrolliert werden und wird zudem geloggt)
  •  irgendwo mitten rein eine Block Regel ohne Quick anlegt. (Hier lässt sich ein bissel was sparen bis die Default Deny kommt. Je nach Struktur)

Wenn meine Logik her passt dann müsste die Firewall bei erstem Punkt weniger überprüfen ob das Paket auf eine der "Allow und quick" Regeln passen würde und man somit durch die Logische Anordnung der Regeln Rechenkapazität sparen kann.

Bei meinen 159 Regeln auf einer Xeon CPU wird das sicher nicht wirklich ins Gewicht fallen. Aber ich habe auch eine Firewall mit "nur" einer Celeron CPU und dafür etwas mehr Regeln. Hier wäre dies vermutlich schneller zu spüren sein.
Print
Go Up Pages1
User actions