Opnsense 23 Default allow LAN to any rule
Guten Abend.
auf der opnsense wollte ich für das LAN einige Regeln erstellen. Dies habe ich über einen Aliaseintrag eingestellt.
Diese Regel greift leider nicht. Sobald ich die Regel LAN > Default allow LAN to any rule deaktivere.
Leider konnte ich keine Lösung finden, egal was ich einstelle, sobald diese Default allow LAN to any rule deaktivert ist, geht nichts mehr.
Ich gehe mal davon aus, das die Regel aus dem LAN ins das Internet alles zulässt oder? Oder wird diese Regel dann von meiner überschrieben?
liebe grüsse und ein schönes wochenende
auf der opnsense wollte ich für das LAN einige Regeln erstellen. Dies habe ich über einen Aliaseintrag eingestellt.
Diese Regel greift leider nicht. Sobald ich die Regel LAN > Default allow LAN to any rule deaktivere.
Leider konnte ich keine Lösung finden, egal was ich einstelle, sobald diese Default allow LAN to any rule deaktivert ist, geht nichts mehr.
Ich gehe mal davon aus, das die Regel aus dem LAN ins das Internet alles zulässt oder? Oder wird diese Regel dann von meiner überschrieben?
liebe grüsse und ein schönes wochenende
Please also mark the comments that contributed to the solution of the article
Content-ID: 83481796017
Url: https://administrator.de/contentid/83481796017
Printed on: December 7, 2024 at 09:12 o'clock
4 Comments
Latest comment
sobald diese Default allow LAN to any rule deaktivert ist, geht nichts mehr.
Was für eine Firewall ja auch normal ist, denn sie blockt dann ALLES was man nicht explizit freigegeben hat.Mit anderen Worten: In deinem eigenen Ruleset fehlt also de facto etwas.
Meist wird DNS TCP/UDP 53 vergessen und dann scheitern generell die Namens zu IP Auflösungen was dann oft laienhaft als "das Internet geht nicht" beschrieben wird obwohl ein Ping auf eine nackte Internet IP durchkommt und damit Internet Verbindung besteht.
Die Kardinalsfrage ist also WAS genau dein Regelwerk machen soll und WIE du das umgesetzt hast?!
Nur Surfen sollte also mit deinem Regelwerk gehen wenn du die HTTP Ports auf "TCP" gemappt hast und DNS auch TCP und UDP (DNS nutzt beide Protokolle). DNS und HTTP können dann passieren.
Was scheitern wird ist das Email weil du da maßgebliche Protokollports wie z.B. SMTP (TCP 25) vergessen hast. Port TCP 587 fehlt ebenso. Also ein recht halbherzig und wenig durchdachtes Regelwerk oben...
Beachte auch immer die 2 Grundregeln:
- Regeln gelten nur inbound VOM Netzwerkdraht IN die Firewall
- Es gilt "First match wins" der erste positive Hit im Regelwerk bewirkt das der Rest nicht mehr abgearbeitet wird. Reihenfolge zählt also und ist essentiell.