3
Opnsense Firewall Regel Verständnis Frage 5 - Bad IPs blocken
Spamhaus Filter bzw. URL Filter um böse IPs zu blocken
habe mir ein alias für die spamhaus.org drop liste erstellt, und die FW Regel dazu.
WAN IP= 192.168.20.1
Habe diese erstmal per NAT, später eventuell mit statischem Routen. Jetzt aber bitte per NAT, danke
Da gibt es nun ein kleines Problem. Wenn ich es nun so mache, das die Opnsense als Exposed Host in der FritzBox eingestellt wird, dann erhalte ich am WAN eine RFC1918 Adresse, ok.
D.h. Bogon Netze darf ich dann erst mal nicht blocken. Wenn ich nun die Spamhaus-Liste aktiviere, in dem sich die IPs per Regel blocke, dann sind da ja auch RFC1918 Adressen drin!
Meine WAN IP ist ja auch eine RFC1918 Adresse, d.h. ich müsste zusätzlich eine Regel für jedes Interfaces erstellen, das ich vom z.b. LAN1 zu (z.B.192.168.20.1) erlaube.
Wenn ein Client aus LAN1 nach administrator.de will, dann muss er ja durch das WAN, welches ich aber geblockt habe. Außerdem muss ich ja auch ins LAN2 und ins eigene LAN1
1 PASS ANY TCP/UDP Source: ANY, Port:ANY --> Destination: LAN1_Adress, Port: 443,80
2 PASS ANY TCP/UDP Source: LAN1_net , Port:ANY --> Destination: WAN-IP (und LAN1,2)
3 BLOCK IPv4 TCP/UDP Source: LAN1_net, Port:ANY --> Destination: Spam_edrop: ANY
4 PASS IPv4 TCP/UDP Source: LAN1_net, Port:ANY --> Destination: ANY, Port: ANY
Ist das so Richtig, oder gibt es bessere Vorschläge, ode Sicherheitsbedenken?
habe mir ein alias für die spamhaus.org drop liste erstellt, und die FW Regel dazu.
WAN IP= 192.168.20.1
Habe diese erstmal per NAT, später eventuell mit statischem Routen. Jetzt aber bitte per NAT, danke
Da gibt es nun ein kleines Problem. Wenn ich es nun so mache, das die Opnsense als Exposed Host in der FritzBox eingestellt wird, dann erhalte ich am WAN eine RFC1918 Adresse, ok.
D.h. Bogon Netze darf ich dann erst mal nicht blocken. Wenn ich nun die Spamhaus-Liste aktiviere, in dem sich die IPs per Regel blocke, dann sind da ja auch RFC1918 Adressen drin!
Meine WAN IP ist ja auch eine RFC1918 Adresse, d.h. ich müsste zusätzlich eine Regel für jedes Interfaces erstellen, das ich vom z.b. LAN1 zu (z.B.192.168.20.1) erlaube.
Wenn ein Client aus LAN1 nach administrator.de will, dann muss er ja durch das WAN, welches ich aber geblockt habe. Außerdem muss ich ja auch ins LAN2 und ins eigene LAN1
1 PASS ANY TCP/UDP Source: ANY, Port:ANY --> Destination: LAN1_Adress, Port: 443,80
2 PASS ANY TCP/UDP Source: LAN1_net , Port:ANY --> Destination: WAN-IP (und LAN1,2)
3 BLOCK IPv4 TCP/UDP Source: LAN1_net, Port:ANY --> Destination: Spam_edrop: ANY
4 PASS IPv4 TCP/UDP Source: LAN1_net, Port:ANY --> Destination: ANY, Port: ANY
Ist das so Richtig, oder gibt es bessere Vorschläge, ode Sicherheitsbedenken?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 397483
Url: https://administrator.de/contentid/397483
Printed on: April 25, 2024 at 17:04 o'clock
3 Comments
Latest comment
Ist das so Richtig,
Für WELCHES Interface auf der FW soll denn diese Regel gelten ??? Lokales LAN1 ?So oder so die Regeln sind völlig wirr dort, egal welches Interface. Den Sinn versteht kein Mensch
Hilfreich wäre also mal wenn du die Güte hättest uns mitzuteilen:
- a. welches Interface
- b. die Intention WAS du mit den Regeln 1-4 bewirken willst
Hilfreich wäre also mal wenn du die Güte hättest uns mitzuteilen:
- a. welches Interface
- b. die Intention WAS du mit den Regeln 1-4 bewirken willst
Interface: LAN1
Regel Nr.1 = Anti Aussperregel
Regel Nr.2 = Erlaube den Clients aus LAN1 auf das WAN Interface, wie oben beschrieben. und LAN1 und LAN2 (alles in einem alias)
Regel Nr.3 = Blockeire alle Clients die auf eine IP vom Spamhaus.org - edrop wollen, weil das keine guten IPs sein sollen
Regel Nr.4 = Anonsten Erlaube das Internet
Hoffe das es somit Verständlicher ist
OK, see comments embedded...
1 PASS ANY TCP/UDP Source: ANY, Port:ANY --> Destination: LAN1_Adress, Port: 443,80
Irgendwie Unsinn, denn als Source ANY ist eigentlich falsch. Wie sollten hier andere Pakete ankommen die KEINE Source Adressen aus dem LAN1_net haben ?? OK, kosmetisch...
2 PASS ANY TCP/UDP Source: LAN1_net , Port:ANY --> Destination: WAN-IP (und LAN1,2)
Warum sollte irgendein Endgerät im LAN1 Netz die WAN IP der pfSense erreichen müssen ??
Den Grund musst du der Community hier mal erklären ??
LAN1 zu erreichen ist Blödsinn, denn lokale Kommunikation landet ja gar nicht auf der Firewall oder meinst du das aller lokaler Traffic auch durch die FW läuft. Fataler Irrglaube.
LAN2 passt wenn LAN1 und LAN2 kommunizieren dürfen.
3 BLOCK IPv4 TCP/UDP Source: LAN1_net, Port:ANY --> Destination: Spam_edrop: ANY
OK, macht Sinn, blockt allen Traffic zu den IPs der (vermutlich) Alias IP Liste vom Spamhouse.
4 PASS IPv4 TCP/UDP Source: LAN1_net, Port:ANY --> Destination: ANY, Port: ANY
Auch OK, lässt den ganzen Rest durch. Dann ist oben aber die PASS Regel für das LAN2 überflüssig, denn die wird hiermit auch abgefackelt.
1 PASS ANY TCP/UDP Source: ANY, Port:ANY --> Destination: LAN1_Adress, Port: 443,80
Irgendwie Unsinn, denn als Source ANY ist eigentlich falsch. Wie sollten hier andere Pakete ankommen die KEINE Source Adressen aus dem LAN1_net haben ?? OK, kosmetisch...
2 PASS ANY TCP/UDP Source: LAN1_net , Port:ANY --> Destination: WAN-IP (und LAN1,2)
Warum sollte irgendein Endgerät im LAN1 Netz die WAN IP der pfSense erreichen müssen ??
Den Grund musst du der Community hier mal erklären ??
LAN1 zu erreichen ist Blödsinn, denn lokale Kommunikation landet ja gar nicht auf der Firewall oder meinst du das aller lokaler Traffic auch durch die FW läuft. Fataler Irrglaube.
LAN2 passt wenn LAN1 und LAN2 kommunizieren dürfen.
3 BLOCK IPv4 TCP/UDP Source: LAN1_net, Port:ANY --> Destination: Spam_edrop: ANY
OK, macht Sinn, blockt allen Traffic zu den IPs der (vermutlich) Alias IP Liste vom Spamhouse.
4 PASS IPv4 TCP/UDP Source: LAN1_net, Port:ANY --> Destination: ANY, Port: ANY
Auch OK, lässt den ganzen Rest durch. Dann ist oben aber die PASS Regel für das LAN2 überflüssig, denn die wird hiermit auch abgefackelt.
