10
Opnsense Firewall Regel Verständnis Frage 2
Da ich mehrere Fragen habe kommt jetzt die zweite 
Das mit dem First Match ist nun klar. D.h. dann auch alles was nicht matcht wird geblockt.
Wenn ich nun einem Netzt (LAN2), nur das surfen im Internet auf Port 80,443 erlauben will, dann sollte doch folgendes funktionieren,
1. (PASS) IP4 TCP LAN2 * WAN 80,443
2. (BLOCK) IP4 TCP LAN2 * WAN *
Laut dem Prinzip müsste das doch gehen, oder muss ich unbedingt noch DNS elrauben?
Das mit dem First Match ist nun klar. D.h. dann auch alles was nicht matcht wird geblockt.
Wenn ich nun einem Netzt (LAN2), nur das surfen im Internet auf Port 80,443 erlauben will, dann sollte doch folgendes funktionieren,
1. (PASS) IP4 TCP LAN2 * WAN 80,443
2. (BLOCK) IP4 TCP LAN2 * WAN *
Laut dem Prinzip müsste das doch gehen, oder muss ich unbedingt noch DNS elrauben?
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 396993
Url: https://administrator.de/contentid/396993
Ausgedruckt am: 23.11.2024 um 01:11 Uhr
10 Kommentare
Neuester Kommentar
grundsätzlich sollte das gehen, ausser deine Clients holen sich ihr DNS von extern. Aber idR steht ja intern ein DNS Server.
Zitat von @SeaStorm:
grundsätzlich sollte das gehen, ausser deine Clients holen sich ihr DNS von extern. Aber idR steht ja intern ein DNS Server.
grundsätzlich sollte das gehen, ausser deine Clients holen sich ihr DNS von extern. Aber idR steht ja intern ein DNS Server.
Das geht nur wenn entsprechende Regeln für den Zugriff auf irgend einen DNS Server existieren.
Hier einmal ein PfSense Beispiel:
Die letzte all alow Regel kannst du gegen deine spezifischen ersetzen.
Bezüglich DNS macht dies aber nur Sinn, wenn die FW eben auch DNS Server spielt.
Ansonsten muss die DNS Regel auf den spezifischen Server als destination angepasst werden.
Hi,
wie du schon angemerkt hast, es fehlt ein " erlaube DNS", wenn der DNS Server auf der Firewall oder extern ist.
Die Regeln sollten dann so aussehen ( siehe auch Antwort von @Spirit-of-Eli )
1. (PASS) IP4 UDP LAN2 * LAN2_Address_of_Firewall 53 [DNS]
2. (PASS) IP4 TCP LAN2 * WAN 80,443
-
3. (BLOCK) IP4 TCP LAN2 * WAN * [macht keinen Sinn, da: was nicht erlaubt ist, ist verboten, Regel ist also überflüssig]
Man kann sie aber einsetzen, dann sollte sie aber so aussehen:
3. (BLOCK) IP4+IP6 any * any * log
CH
wie du schon angemerkt hast, es fehlt ein " erlaube DNS", wenn der DNS Server auf der Firewall oder extern ist.
Die Regeln sollten dann so aussehen ( siehe auch Antwort von @Spirit-of-Eli )
1. (PASS) IP4 UDP LAN2 * LAN2_Address_of_Firewall 53 [DNS]
2. (PASS) IP4 TCP LAN2 * WAN 80,443
-
3. (BLOCK) IP4 TCP LAN2 * WAN * [macht keinen Sinn, da: was nicht erlaubt ist, ist verboten, Regel ist also überflüssig]
Man kann sie aber einsetzen, dann sollte sie aber so aussehen:
3. (BLOCK) IP4+IP6 any * any * log
CH
oder muss ich unbedingt noch DNS elrauben?
Vielleicht solltest du dir doch erstmal einen Wireshark nehmen um dir mal die wichtigsten Grundlagen der IP Kommunikation live in deinem Netz anzusehen ?!Das hilft ungemein beim Verstehen von Filterregeln.
Soweit ist deine Regel OK und du kannst surfen wenn du immer die nackte IP Adresse deines Zieles eingibst:
Also http://82.149.225.19 bringt dich dann zu administrator.de.
Fazit: Die Regel ist grundsätzlich richtig sieht man mal vom überflüssigen Block Kommando ab.
Außerdem ist das Ziel "WAN" ja auch Quatsch sollte damit der WAN Port bzw. das dortige Netz gemeint sein. Deine Internet IP Adressen liegen ja als Ziele wohl kaum im Netzwerk am WAN Port. Hier käme also logischerweise "ANY" hin !
Auf die Dauer aber sicher etwas doof immer erst die IP Adresse herauszufinden, oder ?
In sofern macht es sicher Sinn auch noch TCP/UDP 53 zu erlauben damit du dir das ersparen kannst.
Kommt man eigentlich aber auch mit dem gesunden Netzwerker Verstand drauf...
Eine sinnvolle Regel sähe dann so aus:
PASS Source: LAN2_net, Port:ANY --> Destination: ANY, Port: UDP/TCP 53
PASS Source: LAN2_net, Port:ANY --> Destination: ANY, Port: TCP 80 und 443
Fertsch.
Kosmetisch könnte man noch in den Firewall --> Alias Settings die Ports TCP/UDP 53 und TCP 80 und 443 in einen Port Alias "NurSurfen" konfigurieren, dann vereinfacht sich deine Regel auf:
PASS Source: LAN2_net, Port:ANY --> Destination: ANY, Port: "NurSurfen"
Kosmetisch ist das etwas übersichtlicher wenn man viele Regeln hat
Zum Rest ist oben ja schon alles gesagt...
danke für die Antworten. Es folgen bald weitere.
Kosmetisch könnte man noch in den Firewall --> Alias Settings die Ports TCP/UDP 53 und TCP 80 und 443 in einen Port Alias "NurSurfen" konfigurieren, dann vereinfacht sich deine Regel auf: PASS Source: LAN2_net, Port:ANY --> Destination: ANY, Port: "NurSurfen"
Kosmetisch ist das etwas übersichtlicher wenn man viele Regeln hat
Kosmetisch ist das etwas übersichtlicher wenn man viele Regeln hat
Ja das funktioniert auf alle Seiten. Aber nur eine Seite bekomme ich noch nicht hin. Diese Firewall mit Port 53 als erste Regel habe ich schon getestet.
Seiten ??
Was meinst du mit Seiten ?? Du sprichst in Rätseln
Was meinst du mit Seiten ?? Du sprichst in Rätseln
Webseiten im Internet, also alle Webseiten.
Ahhh, ok.
Und welche dieser zahllosen Seiten bekommst du denn nicht hin ??
Bedneke dazu immer das einige Webseiten Content wie Bilder, Zählpixel, Client Auswertungen usw. usw. von anderen Webservern nachladen !
Wenn du das nicht freigibst, dann werden diese Webseiten nicht oder nicht richtig dargestellt.
Wie oben schon gesagt... Nimm dir immer den Wireshark Sniffer zur Hand und sieh dir dann genau an WAS an Daten WOHER kommt !
Und welche dieser zahllosen Seiten bekommst du denn nicht hin ??
Bedneke dazu immer das einige Webseiten Content wie Bilder, Zählpixel, Client Auswertungen usw. usw. von anderen Webservern nachladen !
Wenn du das nicht freigibst, dann werden diese Webseiten nicht oder nicht richtig dargestellt.
Wie oben schon gesagt... Nimm dir immer den Wireshark Sniffer zur Hand und sieh dir dann genau an WAS an Daten WOHER kommt !
1Zitat von @aqui:
Ahhh, ok.
Und welche dieser zahllosen Seiten bekommst du denn nicht hin ??
Bedneke dazu immer das einige Webseiten Content wie Bilder, Zählpixel, Client Auswertungen usw. usw. von anderen Webservern nachladen !
Wenn du das nicht freigibst, dann werden diese Webseiten nicht oder nicht richtig dargestellt.
Wie oben schon gesagt... Nimm dir immer den Wireshark Sniffer zur Hand und sieh dir dann genau an WAS an Daten WOHER kommt !
Ahhh, ok.
Und welche dieser zahllosen Seiten bekommst du denn nicht hin ??
Bedneke dazu immer das einige Webseiten Content wie Bilder, Zählpixel, Client Auswertungen usw. usw. von anderen Webservern nachladen !
Wenn du das nicht freigibst, dann werden diese Webseiten nicht oder nicht richtig dargestellt.
Wie oben schon gesagt... Nimm dir immer den Wireshark Sniffer zur Hand und sieh dir dann genau an WAS an Daten WOHER kommt !
Ja ich denke das ist das Problem. Lösiung wäre alle IPs zu analysieren und dann zu erlauben, danke.
