primeon
Goto Top

Opnsense 23 Default allow LAN to any rule

Guten Abend.

auf der opnsense wollte ich für das LAN einige Regeln erstellen. Dies habe ich über einen Aliaseintrag eingestellt.
Diese Regel greift leider nicht. Sobald ich die Regel LAN > Default allow LAN to any rule deaktivere.

Leider konnte ich keine Lösung finden, egal was ich einstelle, sobald diese Default allow LAN to any rule deaktivert ist, geht nichts mehr.

Ich gehe mal davon aus, das die Regel aus dem LAN ins das Internet alles zulässt oder? Oder wird diese Regel dann von meiner überschrieben?

liebe grüsse und ein schönes wochenende
opn1
opn2
opn3

Content-ID: 83481796017

Url: https://administrator.de/contentid/83481796017

Printed on: December 7, 2024 at 09:12 o'clock

aqui
Solution aqui Nov 24, 2023 updated at 18:38:12 (UTC)
Goto Top
sobald diese Default allow LAN to any rule deaktivert ist, geht nichts mehr.
Was für eine Firewall ja auch normal ist, denn sie blockt dann ALLES was man nicht explizit freigegeben hat.
Mit anderen Worten: In deinem eigenen Ruleset fehlt also de facto etwas.
Meist wird DNS TCP/UDP 53 vergessen und dann scheitern generell die Namens zu IP Auflösungen was dann oft laienhaft als "das Internet geht nicht" beschrieben wird obwohl ein Ping auf eine nackte Internet IP durchkommt und damit Internet Verbindung besteht.
Die Kardinalsfrage ist also WAS genau dein Regelwerk machen soll und WIE du das umgesetzt hast?!
Nur Surfen sollte also mit deinem Regelwerk gehen wenn du die HTTP Ports auf "TCP" gemappt hast und DNS auch TCP und UDP (DNS nutzt beide Protokolle). DNS und HTTP können dann passieren.
Was scheitern wird ist das Email weil du da maßgebliche Protokollports wie z.B. SMTP (TCP 25) vergessen hast. Port TCP 587 fehlt ebenso. Also ein recht halbherzig und wenig durchdachtes Regelwerk oben... face-sad
Beachte auch immer die 2 Grundregeln:
  • Regeln gelten nur inbound VOM Netzwerkdraht IN die Firewall
  • Es gilt "First match wins" der erste positive Hit im Regelwerk bewirkt das der Rest nicht mehr abgearbeitet wird. Reihenfolge zählt also und ist essentiell.
Chris1986D
Solution Chris1986D Nov 24, 2023 at 19:50:04 (UTC)
Goto Top
Hi, trage beim Quellportbereich mal „jeglich“ ein. Dann sollte es funktionieren.
primeon
primeon Nov 25, 2023 at 12:43:23 (UTC)
Goto Top
Hallo Chris1986D, das wars ! lieben dank.
primeon
primeon Nov 25, 2023 at 13:16:37 (UTC)
Goto Top
Hallo aqui, danke für deine Antwort.

Ich wollte nur das Internet und das Mailen freigeben. "Den SMTP (TCP 25) vergessen hast".
Nein, den habe ich nicht vergessen, da der SMTP auf einem andern Port lauscht. Siehe Bild vom Alias.

"Nur Surfen sollte also mit deinem Regelwerk gehen wenn du die HTTP Ports auf "TCP" gemappt hast und DNS auch TCP und UDP (DNS nutzt beide Protokolle). DNS und HTTP können dann passieren."

Ja habe ich, siehe das Bild "Alias".

"recht halbherzig und wenig durchdachtes Regelwerk", finde ich nicht , darf ich Fragen weshalb?

schönes Wochenende.

lg