4
OPNsense Alias für Ports
Hallochen Gemeinde!
Bei OPNsense können Aliase vom Typ Port erstellt werden, wobei die Angabe von mehreren Portnummern innerhalb eines Alias möglich ist. Indes ist es in der Web-GUI-Eingabemaske nicht möglich, bei der Angabe von mehreren Portnummern zwischen den Protokollen TCP und UDP zu unterscheiden.
Würde ich beispielsweise einen Alias für die beiden TCP-Port 1720 und UDP-Port 1719 erstellen wollen, so kann ich nur die blanken Portnummern 1720 und 1719 ohne eine Differenzierung des Protokolls eintragen. In einer entsprechenden Firewall-Regel würde der Alias dazu führen, dass bei der Auswahl des Protokolltyps TCP/UDP eben auch der TCP-Port 1719 und der UDP-Port 1720 von der Regel erfasst werden. Soll das vermieden werden, müssten zunächst getrennte Aliase für TCP und UDP sowie ebenso getrennte Regeln für die Protokolle TCP und UDP erstellt werden. Das erscheint unnötig aufwendig.
Gibt es vielleicht doch eine Möglichkeit, in einem Alias die Portnummern mit einer Protokollzuweisung anzugeben?
Vielen Dank für Eure Antworten im Voraus und viele Grüße
HansDampf06
Bei OPNsense können Aliase vom Typ Port erstellt werden, wobei die Angabe von mehreren Portnummern innerhalb eines Alias möglich ist. Indes ist es in der Web-GUI-Eingabemaske nicht möglich, bei der Angabe von mehreren Portnummern zwischen den Protokollen TCP und UDP zu unterscheiden.
Würde ich beispielsweise einen Alias für die beiden TCP-Port 1720 und UDP-Port 1719 erstellen wollen, so kann ich nur die blanken Portnummern 1720 und 1719 ohne eine Differenzierung des Protokolls eintragen. In einer entsprechenden Firewall-Regel würde der Alias dazu führen, dass bei der Auswahl des Protokolltyps TCP/UDP eben auch der TCP-Port 1719 und der UDP-Port 1720 von der Regel erfasst werden. Soll das vermieden werden, müssten zunächst getrennte Aliase für TCP und UDP sowie ebenso getrennte Regeln für die Protokolle TCP und UDP erstellt werden. Das erscheint unnötig aufwendig.
Gibt es vielleicht doch eine Möglichkeit, in einem Alias die Portnummern mit einer Protokollzuweisung anzugeben?
Vielen Dank für Eure Antworten im Voraus und viele Grüße
HansDampf06
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 8157088157
Url: https://administrator.de/contentid/8157088157
Printed on: April 27, 2024 at 22:04 o'clock
4 Comments
Latest comment
Hallöle. 👋
https://github.com/opnsense/core/blob/master/src/opnsense/mvc/app/models ...
https://github.com/opnsense/core/blob/master/src/opnsense/mvc/app/models ...
Ergo geht nicht.
https://docs.opnsense.org/manual/aliases.html
Gruß siddius
Gibt es vielleicht doch eine Möglichkeit, in einem Alias die Portnummern mit einer Protokollzuweisung anzugeben?
Gibt die API nicht her, Ports sind reine integer Werte bzw. Ranges getrennt mit Doppelpunkt, es gibt kein Feld für das Protokoll, siehehttps://github.com/opnsense/core/blob/master/src/opnsense/mvc/app/models ...
private function validatePort($data)
Und das Model hat dafür auch kein Feld parathttps://github.com/opnsense/core/blob/master/src/opnsense/mvc/app/models ...
Ergo geht nicht.
https://docs.opnsense.org/manual/aliases.html
Gruß siddius
1
@7907292512 besten Dank für Deine Bestätigung. Dennoch hatte ich die stille Hoffnung, dass es vielleicht etwas "Verstecktes" gibt, was ich übersehen haben könnte.
Dann muss ich mir überlegen, wie die ursprünglichen Alias-Konfigurationen nach OPNsense übertragen werden können. Hier spielt ja auch eine Rolle, dass es bei OPNsense im Gegensatz zur FortiGate nicht möglich ist, einzeln angelegte Port-Aliase (= Service bei FortiGate) in einem Nested-Port-Alias (= Service-Group bei FortiGate) zu bündeln.
Viele Grüße
HansDampf06
Dann muss ich mir überlegen, wie die ursprünglichen Alias-Konfigurationen nach OPNsense übertragen werden können. Hier spielt ja auch eine Rolle, dass es bei OPNsense im Gegensatz zur FortiGate nicht möglich ist, einzeln angelegte Port-Aliase (= Service bei FortiGate) in einem Nested-Port-Alias (= Service-Group bei FortiGate) zu bündeln.
Viele Grüße
HansDampf06
Zitat von @HansDampf06:
Hier spielt ja auch eine Rolle, dass es bei OPNsense im Gegensatz zur FortiGate nicht möglich ist, einzeln angelegte Port-Aliase (= Service bei FortiGate) in einem Nested-Port-Alias (= Service-Group bei FortiGate) zu bündeln.
Doch das geht sehr wohl !Hier spielt ja auch eine Rolle, dass es bei OPNsense im Gegensatz zur FortiGate nicht möglich ist, einzeln angelegte Port-Aliase (= Service bei FortiGate) in einem Nested-Port-Alias (= Service-Group bei FortiGate) zu bündeln.
Aliase können auch weitere verschachtelte Aliase enthalten!
Zitat von @7907292512:
Doch das geht sehr wohl !
Aliase können auch weitere verschachtelte Aliase enthalten!
Doch das geht sehr wohl !
Aliase können auch weitere verschachtelte Aliase enthalten!
Irgendwie hatte das gestern bei den Ports nicht funktioniert. Wer weiß, vielleicht habe ich mich nur "zu dusselig" angestellt - gewundert hatte ich mich jedenfalls. Nichtsdestotrotz habe ich es soeben nochmals ausprobiert und konnte auch meine Service-Gruppen von der FortiGate erfolgreich nach OPNsense migrieren. Damit ist der Weg frei für die Migration der Firewall-Policies ... Sehr schön! Und besten Dank!
Viele Grüße
HansDampf06
