4
OPNsense - Netze isolieren
Moin,
ich habe eine dämliche Frage:
Ich habe zwei von einander zu isolierende Netze A und B. Beide sollen über eine OPNSense-Firewall ins Internet und die Policies sind "floating" (IP-Basierend). Wegen des Internetzuganges haben sie dann natürlich auch eine http/https/ftp to any - Regel. Um aber den (http-)Zugriff auf das jeweils andere Netz zu verhindern, muss ich das Standardgateway ("WAN-Inteface" der Firewall) in der jeder Policy angeben, um den Weg vorzugeben (Routingpolicy), verstehe ich das richtig? Alternativ natürlich über eine Deny-Regel wieder mit Netzadressen.
Gruß
P.S. Warum gibt es hier keine Firewall-Kategorie?
ich habe eine dämliche Frage:
Ich habe zwei von einander zu isolierende Netze A und B. Beide sollen über eine OPNSense-Firewall ins Internet und die Policies sind "floating" (IP-Basierend). Wegen des Internetzuganges haben sie dann natürlich auch eine http/https/ftp to any - Regel. Um aber den (http-)Zugriff auf das jeweils andere Netz zu verhindern, muss ich das Standardgateway ("WAN-Inteface" der Firewall) in der jeder Policy angeben, um den Weg vorzugeben (Routingpolicy), verstehe ich das richtig? Alternativ natürlich über eine Deny-Regel wieder mit Netzadressen.
Gruß
P.S. Warum gibt es hier keine Firewall-Kategorie?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 607644
Url: https://administrator.de/contentid/607644
Printed on: April 26, 2024 at 21:04 o'clock
4 Comments
Latest comment
Moin,
sind deine beiden Netze VLANs? Dann kannstvdu doch recht einfach die Kommunikation untereinander verbieten?
Oder betreibst du einfach zwei Subnetze in der gleichen L2-Domain, was man eigentlich nicht tun sollte?
VG
sind deine beiden Netze VLANs? Dann kannstvdu doch recht einfach die Kommunikation untereinander verbieten?
Oder betreibst du einfach zwei Subnetze in der gleichen L2-Domain, was man eigentlich nicht tun sollte?
VG
Es sind VLANs, auf den Firewall-Ports kommen Sie aber untagged an (an zwei verschiedenen Ports). Grund: Im Notfall Stecker ziehen können, auch von einem, der keine Ahnung von Netzwerken hat.
VLAN A (192.168.10.1) vs VLAN B (192.168.20.1)? Layer 2 oder Layer 3 Setup? In der Standard-Config in OPNSense/pfSense koennen die beiden sich eh nicht sehen. Das muesstest Du ihnen erst erlauben. Wenn Du einen Layer 2 Switch hast gibst Du in OPNSense nur den Standard-Gateway der OPNSense/pfSense (192.168.0.1) an. Mit "Floating" hat das wenig zu tun. Wenn Du einen Layer 3 Switch hast dann machst Du das im Switch selbst.
Hi,
danke für eure Antworten. Ich bin das Ganze wohl falsch angegangen und schwenke jetzt auf Port-Regeln um. Hier kann man ganz easy entsprechende Block-Regeln für Ports erstellen. Trotzdem danke!
danke für eure Antworten. Ich bin das Ganze wohl falsch angegangen und schwenke jetzt auf Port-Regeln um. Hier kann man ganz easy entsprechende Block-Regeln für Ports erstellen. Trotzdem danke!