3
OPNsense Outbound NAT bzw Firewall Frage
Hi zusammen,
ich habe eine Frage bzgl. Outbound NAT bzw. bzgl. einer Firewallkonfiguration, in dem Fall einer OPNsense.
Undzwar habe ich in einer VM eine OPNsense Firewall installiert, welche WAN-seitig (192.168.10.0/24) als Netzwerkbrücke und LAN-seitig (192.168.25.0/24) mit einem privaten Netzwerk konfiguriert ist (also ein vSwitch, der nur für den Hypervisor sichtbar ist). Das LAN ist normal rauszugs genatted.
Innerhalb des LANs habe ich eine Windows VM, in der ich über den LAN-Port per DHCP eine IP bekomme. Die OPNsense ist nicht speziell konfigurioert, Es funktioniert alles wie gewünscht (surfen).
Lange Rede, vermutlich kurzer Sinn. Wenn ich in der Windows VM ein "tracert google.de" eingebe, sehe ich den Routenverlauf - unter anderem eben auch das Gateway (.10.254) meiner Netzwerkbrücke (also mein "eigenes" Netzwerk). Ich habe dann mit einem Netzwerkscanner dieses Subnetz durchsucht und sehe alle meine internen Maschinen, kann mir als potentieller User also ein Bild des internen Netzwerkes machen. Ich kann sogar normal per HTTP auf eine Switch-GUI zugreifen.
Meine Frage: Ist das ein gewolltest Verhalten von NAT? Kann ich das kluger Admin unterbinden?
Wenn die OPNsense unkonfiguriert bleibt, gibt es eine "Default allow LAN to any rule", die vom LAN net zu * alles erlaubt. Ich vermute, dass diese Regel den Zugriff auf das WAN net zulässt, korekt?
Wie kann ich bei einer OPNsense das "Internet" als Zone angeben? Sodass das private 10.0er Netz nicht erreichbar ist, sondern nur das 10.254er Gateway? Oder gibt es eine andere Lösung? Recherchen sagen, dass man das "interne" Netz dann per Invert-config definieren solle.
Die einzige andere, die mir noch einfällt, ist generell halt mit 2 Netzwerken arbeiten, sodass zwischen den Netzwerken ordentlich getrennt werden kann.
Ich denke in meinem Beispiel aber z.B. an Gäste-WLANs oder ähnliches, die man ohne großen Aufwand einfach ins vorhandene Netzwerk mit einem Router reinhängen kann. Der "interne" Netz soll natürlich nicht erreichbar sein?
Jemand eine bessere Idee?
Danke!
MfG
ich habe eine Frage bzgl. Outbound NAT bzw. bzgl. einer Firewallkonfiguration, in dem Fall einer OPNsense.
Undzwar habe ich in einer VM eine OPNsense Firewall installiert, welche WAN-seitig (192.168.10.0/24) als Netzwerkbrücke und LAN-seitig (192.168.25.0/24) mit einem privaten Netzwerk konfiguriert ist (also ein vSwitch, der nur für den Hypervisor sichtbar ist). Das LAN ist normal rauszugs genatted.
Innerhalb des LANs habe ich eine Windows VM, in der ich über den LAN-Port per DHCP eine IP bekomme. Die OPNsense ist nicht speziell konfigurioert, Es funktioniert alles wie gewünscht (surfen).
Lange Rede, vermutlich kurzer Sinn. Wenn ich in der Windows VM ein "tracert google.de" eingebe, sehe ich den Routenverlauf - unter anderem eben auch das Gateway (.10.254) meiner Netzwerkbrücke (also mein "eigenes" Netzwerk). Ich habe dann mit einem Netzwerkscanner dieses Subnetz durchsucht und sehe alle meine internen Maschinen, kann mir als potentieller User also ein Bild des internen Netzwerkes machen. Ich kann sogar normal per HTTP auf eine Switch-GUI zugreifen.
Meine Frage: Ist das ein gewolltest Verhalten von NAT? Kann ich das kluger Admin unterbinden?
Wenn die OPNsense unkonfiguriert bleibt, gibt es eine "Default allow LAN to any rule", die vom LAN net zu * alles erlaubt. Ich vermute, dass diese Regel den Zugriff auf das WAN net zulässt, korekt?
Wie kann ich bei einer OPNsense das "Internet" als Zone angeben? Sodass das private 10.0er Netz nicht erreichbar ist, sondern nur das 10.254er Gateway? Oder gibt es eine andere Lösung? Recherchen sagen, dass man das "interne" Netz dann per Invert-config definieren solle.
Die einzige andere, die mir noch einfällt, ist generell halt mit 2 Netzwerken arbeiten, sodass zwischen den Netzwerken ordentlich getrennt werden kann.
Ich denke in meinem Beispiel aber z.B. an Gäste-WLANs oder ähnliches, die man ohne großen Aufwand einfach ins vorhandene Netzwerk mit einem Router reinhängen kann. Der "interne" Netz soll natürlich nicht erreichbar sein?
Jemand eine bessere Idee?
Danke!
MfG
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 658847
Url: https://administrator.de/contentid/658847
Printed on: April 16, 2024 at 09:04 o'clock
3 Comments
Latest comment
Hallo,
Ja, NAT ist ja kein Sicherheitsfeature sondern nur dazu da die viel zu wenigen öffentlichen IPv4-Adressen optimal zu nutzen.
Als Nebeneffekt kann man auch, in der Regel, aus dem WAN nicht auf das LAN zugreifen.
Also kann ich vom LAN auf alles auf der anderen Seite zugreifen.
Warum auch nicht, ist ja WAN/Draußen.
Das was Du das hast ist eine halbe DMZ, denn Du hast ja LAN, WAN (ganz draußen) und halb-WAN (dazwischen).
Oder auch besser doppeltes NAT genannt.
Dann gehen Pakete ins WAN noch raus, aber ein Zugriff auf das Zwischen-NAT funktioniert nicht mehr.
Stefan
Ja, NAT ist ja kein Sicherheitsfeature sondern nur dazu da die viel zu wenigen öffentlichen IPv4-Adressen optimal zu nutzen.
Als Nebeneffekt kann man auch, in der Regel, aus dem WAN nicht auf das LAN zugreifen.
Also kann ich vom LAN auf alles auf der anderen Seite zugreifen.
Warum auch nicht, ist ja WAN/Draußen.
Das was Du das hast ist eine halbe DMZ, denn Du hast ja LAN, WAN (ganz draußen) und halb-WAN (dazwischen).
Oder auch besser doppeltes NAT genannt.
Kann ich das kluger Admin unterbinden?
Du erstellst eine Regel die Alle Pakete an 192.168.0.0/24 verwirft.Dann gehen Pakete ins WAN noch raus, aber ein Zugriff auf das Zwischen-NAT funktioniert nicht mehr.
Stefan
1
BLOCK, Prot: IP, Source: lan_net, Port:any - Destination: 192.168.10.0 /24, Port:any
VOR der Default allow LAN_net to any rule rule setzt dem Spuk ein Ende.
Reihenfolge zählt, da immer "First match wins" gilt !! Simples Firewall Regelwerk !
VOR der Default allow LAN_net to any rule rule setzt dem Spuk ein Ende.
Reihenfolge zählt, da immer "First match wins" gilt !! Simples Firewall Regelwerk !
1
Vielen Dank euch beiden,
wieder etwas gelernt
Danke!
MfG
wieder etwas gelernt
Danke!
MfG