primeon
Goto Top

Opnsense 23 Default allow LAN to any rule

Guten Abend.

auf der opnsense wollte ich für das LAN einige Regeln erstellen. Dies habe ich über einen Aliaseintrag eingestellt.
Diese Regel greift leider nicht. Sobald ich die Regel LAN > Default allow LAN to any rule deaktivere.

Leider konnte ich keine Lösung finden, egal was ich einstelle, sobald diese Default allow LAN to any rule deaktivert ist, geht nichts mehr.

Ich gehe mal davon aus, das die Regel aus dem LAN ins das Internet alles zulässt oder? Oder wird diese Regel dann von meiner überschrieben?

liebe grüsse und ein schönes wochenende
opn1
opn2
opn3

Content-ID: 83481796017

Url: https://administrator.de/forum/opnsense-23-default-allow-lan-to-any-rule-83481796017.html

Ausgedruckt am: 22.12.2024 um 11:12 Uhr

aqui
Lösung aqui 24.11.2023 aktualisiert um 19:38:12 Uhr
Goto Top
sobald diese Default allow LAN to any rule deaktivert ist, geht nichts mehr.
Was für eine Firewall ja auch normal ist, denn sie blockt dann ALLES was man nicht explizit freigegeben hat.
Mit anderen Worten: In deinem eigenen Ruleset fehlt also de facto etwas.
Meist wird DNS TCP/UDP 53 vergessen und dann scheitern generell die Namens zu IP Auflösungen was dann oft laienhaft als "das Internet geht nicht" beschrieben wird obwohl ein Ping auf eine nackte Internet IP durchkommt und damit Internet Verbindung besteht.
Die Kardinalsfrage ist also WAS genau dein Regelwerk machen soll und WIE du das umgesetzt hast?!
Nur Surfen sollte also mit deinem Regelwerk gehen wenn du die HTTP Ports auf "TCP" gemappt hast und DNS auch TCP und UDP (DNS nutzt beide Protokolle). DNS und HTTP können dann passieren.
Was scheitern wird ist das Email weil du da maßgebliche Protokollports wie z.B. SMTP (TCP 25) vergessen hast. Port TCP 587 fehlt ebenso. Also ein recht halbherzig und wenig durchdachtes Regelwerk oben... face-sad
Beachte auch immer die 2 Grundregeln:
  • Regeln gelten nur inbound VOM Netzwerkdraht IN die Firewall
  • Es gilt "First match wins" der erste positive Hit im Regelwerk bewirkt das der Rest nicht mehr abgearbeitet wird. Reihenfolge zählt also und ist essentiell.
Chris1986D
Lösung Chris1986D 24.11.2023 um 20:50:04 Uhr
Goto Top
Hi, trage beim Quellportbereich mal „jeglich“ ein. Dann sollte es funktionieren.
primeon
primeon 25.11.2023 um 13:43:23 Uhr
Goto Top
Hallo Chris1986D, das wars ! lieben dank.
primeon
primeon 25.11.2023 um 14:16:37 Uhr
Goto Top
Hallo aqui, danke für deine Antwort.

Ich wollte nur das Internet und das Mailen freigeben. "Den SMTP (TCP 25) vergessen hast".
Nein, den habe ich nicht vergessen, da der SMTP auf einem andern Port lauscht. Siehe Bild vom Alias.

"Nur Surfen sollte also mit deinem Regelwerk gehen wenn du die HTTP Ports auf "TCP" gemappt hast und DNS auch TCP und UDP (DNS nutzt beide Protokolle). DNS und HTTP können dann passieren."

Ja habe ich, siehe das Bild "Alias".

"recht halbherzig und wenig durchdachtes Regelwerk", finde ich nicht , darf ich Fragen weshalb?

schönes Wochenende.

lg