4
OPNsense Alias für Ports
Hallochen Gemeinde!
Bei OPNsense können Aliase vom Typ Port erstellt werden, wobei die Angabe von mehreren Portnummern innerhalb eines Alias möglich ist. Indes ist es in der Web-GUI-Eingabemaske nicht möglich, bei der Angabe von mehreren Portnummern zwischen den Protokollen TCP und UDP zu unterscheiden.
Würde ich beispielsweise einen Alias für die beiden TCP-Port 1720 und UDP-Port 1719 erstellen wollen, so kann ich nur die blanken Portnummern 1720 und 1719 ohne eine Differenzierung des Protokolls eintragen. In einer entsprechenden Firewall-Regel würde der Alias dazu führen, dass bei der Auswahl des Protokolltyps TCP/UDP eben auch der TCP-Port 1719 und der UDP-Port 1720 von der Regel erfasst werden. Soll das vermieden werden, müssten zunächst getrennte Aliase für TCP und UDP sowie ebenso getrennte Regeln für die Protokolle TCP und UDP erstellt werden. Das erscheint unnötig aufwendig.
Gibt es vielleicht doch eine Möglichkeit, in einem Alias die Portnummern mit einer Protokollzuweisung anzugeben?
Vielen Dank für Eure Antworten im Voraus und viele Grüße
HansDampf06
Bei OPNsense können Aliase vom Typ Port erstellt werden, wobei die Angabe von mehreren Portnummern innerhalb eines Alias möglich ist. Indes ist es in der Web-GUI-Eingabemaske nicht möglich, bei der Angabe von mehreren Portnummern zwischen den Protokollen TCP und UDP zu unterscheiden.
Würde ich beispielsweise einen Alias für die beiden TCP-Port 1720 und UDP-Port 1719 erstellen wollen, so kann ich nur die blanken Portnummern 1720 und 1719 ohne eine Differenzierung des Protokolls eintragen. In einer entsprechenden Firewall-Regel würde der Alias dazu führen, dass bei der Auswahl des Protokolltyps TCP/UDP eben auch der TCP-Port 1719 und der UDP-Port 1720 von der Regel erfasst werden. Soll das vermieden werden, müssten zunächst getrennte Aliase für TCP und UDP sowie ebenso getrennte Regeln für die Protokolle TCP und UDP erstellt werden. Das erscheint unnötig aufwendig.
Gibt es vielleicht doch eine Möglichkeit, in einem Alias die Portnummern mit einer Protokollzuweisung anzugeben?
Vielen Dank für Eure Antworten im Voraus und viele Grüße
HansDampf06
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 8157088157
Url: https://administrator.de/forum/opnsense-alias-fuer-ports-8157088157.html
Ausgedruckt am: 21.12.2024 um 17:12 Uhr
4 Kommentare
Neuester Kommentar
Hallöle. 👋
https://github.com/opnsense/core/blob/master/src/opnsense/mvc/app/models ...
https://github.com/opnsense/core/blob/master/src/opnsense/mvc/app/models ...
Ergo geht nicht.
https://docs.opnsense.org/manual/aliases.html
Gruß siddius
Gibt es vielleicht doch eine Möglichkeit, in einem Alias die Portnummern mit einer Protokollzuweisung anzugeben?
Gibt die API nicht her, Ports sind reine integer Werte bzw. Ranges getrennt mit Doppelpunkt, es gibt kein Feld für das Protokoll, siehehttps://github.com/opnsense/core/blob/master/src/opnsense/mvc/app/models ...
private function validatePort($data)
Und das Model hat dafür auch kein Feld parathttps://github.com/opnsense/core/blob/master/src/opnsense/mvc/app/models ...
Ergo geht nicht.
https://docs.opnsense.org/manual/aliases.html
Gruß siddius
1
@7907292512 besten Dank für Deine Bestätigung. Dennoch hatte ich die stille Hoffnung, dass es vielleicht etwas "Verstecktes" gibt, was ich übersehen haben könnte.
Dann muss ich mir überlegen, wie die ursprünglichen Alias-Konfigurationen nach OPNsense übertragen werden können. Hier spielt ja auch eine Rolle, dass es bei OPNsense im Gegensatz zur FortiGate nicht möglich ist, einzeln angelegte Port-Aliase (= Service bei FortiGate) in einem Nested-Port-Alias (= Service-Group bei FortiGate) zu bündeln.
Viele Grüße
HansDampf06
Dann muss ich mir überlegen, wie die ursprünglichen Alias-Konfigurationen nach OPNsense übertragen werden können. Hier spielt ja auch eine Rolle, dass es bei OPNsense im Gegensatz zur FortiGate nicht möglich ist, einzeln angelegte Port-Aliase (= Service bei FortiGate) in einem Nested-Port-Alias (= Service-Group bei FortiGate) zu bündeln.
Viele Grüße
HansDampf06
Zitat von @HansDampf06:
Hier spielt ja auch eine Rolle, dass es bei OPNsense im Gegensatz zur FortiGate nicht möglich ist, einzeln angelegte Port-Aliase (= Service bei FortiGate) in einem Nested-Port-Alias (= Service-Group bei FortiGate) zu bündeln.
Doch das geht sehr wohl !Hier spielt ja auch eine Rolle, dass es bei OPNsense im Gegensatz zur FortiGate nicht möglich ist, einzeln angelegte Port-Aliase (= Service bei FortiGate) in einem Nested-Port-Alias (= Service-Group bei FortiGate) zu bündeln.
Aliase können auch weitere verschachtelte Aliase enthalten!
Zitat von @7907292512:
Doch das geht sehr wohl !
Aliase können auch weitere verschachtelte Aliase enthalten!
Doch das geht sehr wohl !
Aliase können auch weitere verschachtelte Aliase enthalten!
Irgendwie hatte das gestern bei den Ports nicht funktioniert. Wer weiß, vielleicht habe ich mich nur "zu dusselig" angestellt - gewundert hatte ich mich jedenfalls. Nichtsdestotrotz habe ich es soeben nochmals ausprobiert und konnte auch meine Service-Gruppen von der FortiGate erfolgreich nach OPNsense migrieren. Damit ist der Weg frei für die Migration der Firewall-Policies ... Sehr schön! Und besten Dank!
Viele Grüße
HansDampf06
