balivorinsky
Goto Top

Opnsense Firewall Regel Verständnis Frage 2

Da ich mehrere Fragen habe kommt jetzt die zweite face-smile

Das mit dem First Match ist nun klar. D.h. dann auch alles was nicht matcht wird geblockt.
Wenn ich nun einem Netzt (LAN2), nur das surfen im Internet auf Port 80,443 erlauben will, dann sollte doch folgendes funktionieren,

1. (PASS) IP4 TCP LAN2 * WAN 80,443
2. (BLOCK) IP4 TCP LAN2 * WAN *


Laut dem Prinzip müsste das doch gehen, oder muss ich unbedingt noch DNS elrauben?

Content-ID: 396993

Url: https://administrator.de/forum/opnsense-firewall-regel-verstaendnis-frage-2-396993.html

Ausgedruckt am: 24.12.2024 um 01:12 Uhr

SeaStorm
SeaStorm 31.12.2018 um 14:19:25 Uhr
Goto Top
grundsätzlich sollte das gehen, ausser deine Clients holen sich ihr DNS von extern. Aber idR steht ja intern ein DNS Server.
Spirit-of-Eli
Lösung Spirit-of-Eli 31.12.2018 aktualisiert um 14:40:00 Uhr
Goto Top
Zitat von @SeaStorm:

grundsätzlich sollte das gehen, ausser deine Clients holen sich ihr DNS von extern. Aber idR steht ja intern ein DNS Server.

Das geht nur wenn entsprechende Regeln für den Zugriff auf irgend einen DNS Server existieren.

Hier einmal ein PfSense Beispiel:
temp bla

Die letzte all alow Regel kannst du gegen deine spezifischen ersetzen.

Bezüglich DNS macht dies aber nur Sinn, wenn die FW eben auch DNS Server spielt.
Ansonsten muss die DNS Regel auf den spezifischen Server als destination angepasst werden.
ChriBo
Lösung ChriBo 31.12.2018 um 15:16:01 Uhr
Goto Top
Hi,
wie du schon angemerkt hast, es fehlt ein " erlaube DNS", wenn der DNS Server auf der Firewall oder extern ist.
Die Regeln sollten dann so aussehen ( siehe auch Antwort von @Spirit-of-Eli )
1. (PASS) IP4 UDP LAN2 * LAN2_Address_of_Firewall 53 [DNS]
2. (PASS) IP4 TCP LAN2 * WAN 80,443
-
3. (BLOCK) IP4 TCP LAN2 * WAN * [macht keinen Sinn, da: was nicht erlaubt ist, ist verboten, Regel ist also überflüssig]
Man kann sie aber einsetzen, dann sollte sie aber so aussehen:
3. (BLOCK) IP4+IP6 any * any * log


CH
aqui
Lösung aqui 31.12.2018 aktualisiert um 15:33:59 Uhr
Goto Top
oder muss ich unbedingt noch DNS elrauben?
Vielleicht solltest du dir doch erstmal einen Wireshark nehmen um dir mal die wichtigsten Grundlagen der IP Kommunikation live in deinem Netz anzusehen ?!
Das hilft ungemein beim Verstehen von Filterregeln.

Soweit ist deine Regel OK und du kannst surfen wenn du immer die nackte IP Adresse deines Zieles eingibst:
Also http://82.149.225.19 bringt dich dann zu administrator.de.
Fazit: Die Regel ist grundsätzlich richtig sieht man mal vom überflüssigen Block Kommando ab.
Außerdem ist das Ziel "WAN" ja auch Quatsch sollte damit der WAN Port bzw. das dortige Netz gemeint sein. Deine Internet IP Adressen liegen ja als Ziele wohl kaum im Netzwerk am WAN Port. Hier käme also logischerweise "ANY" hin !
Auf die Dauer aber sicher etwas doof immer erst die IP Adresse herauszufinden, oder ?
In sofern macht es sicher Sinn auch noch TCP/UDP 53 zu erlauben damit du dir das ersparen kannst.
Kommt man eigentlich aber auch mit dem gesunden Netzwerker Verstand drauf... face-wink
Eine sinnvolle Regel sähe dann so aus:
PASS Source: LAN2_net, Port:ANY --> Destination: ANY, Port: UDP/TCP 53
PASS Source: LAN2_net, Port:ANY --> Destination: ANY, Port: TCP 80 und 443

Fertsch.
Kosmetisch könnte man noch in den Firewall --> Alias Settings die Ports TCP/UDP 53 und TCP 80 und 443 in einen Port Alias "NurSurfen" konfigurieren, dann vereinfacht sich deine Regel auf:
PASS Source: LAN2_net, Port:ANY --> Destination: ANY, Port: "NurSurfen"

Kosmetisch ist das etwas übersichtlicher wenn man viele Regeln hat face-wink
Zum Rest ist oben ja schon alles gesagt...
Balivorinsky
Balivorinsky 31.12.2018 um 23:50:41 Uhr
Goto Top
danke für die Antworten. Es folgen bald weitere.
Balivorinsky
Balivorinsky 01.01.2019 um 23:36:13 Uhr
Goto Top
Zitat von @aqui:


Kosmetisch könnte man noch in den Firewall --> Alias Settings die Ports TCP/UDP 53 und TCP 80 und 443 in einen Port Alias "NurSurfen" konfigurieren, dann vereinfacht sich deine Regel auf: PASS Source: LAN2_net, Port:ANY --> Destination: ANY, Port: "NurSurfen"
Kosmetisch ist das etwas übersichtlicher wenn man viele Regeln hat face-wink

Ja das funktioniert auf alle Seiten. Aber nur eine Seite bekomme ich noch nicht hin. Diese Firewall mit Port 53 als erste Regel habe ich schon getestet.
aqui
aqui 02.01.2019 um 17:02:02 Uhr
Goto Top
Seiten ??
Was meinst du mit Seiten ?? Du sprichst in Rätseln face-sad
Balivorinsky
Balivorinsky 02.01.2019 um 19:25:42 Uhr
Goto Top
Zitat von @aqui:

Seiten ??
Was meinst du mit Seiten ?? Du sprichst in Rätseln face-sad

Webseiten im Internet, also alle Webseiten.
aqui
Lösung aqui 03.01.2019 aktualisiert um 10:01:37 Uhr
Goto Top
Ahhh, ok.
Und welche dieser zahllosen Seiten bekommst du denn nicht hin ??
Bedneke dazu immer das einige Webseiten Content wie Bilder, Zählpixel, Client Auswertungen usw. usw. von anderen Webservern nachladen !
Wenn du das nicht freigibst, dann werden diese Webseiten nicht oder nicht richtig dargestellt.
Wie oben schon gesagt... Nimm dir immer den Wireshark Sniffer zur Hand und sieh dir dann genau an WAS an Daten WOHER kommt !
Balivorinsky
Balivorinsky 03.01.2019 um 15:57:57 Uhr
Goto Top
Zitat von @aqui:
Ahhh, ok.
Und welche dieser zahllosen Seiten bekommst du denn nicht hin ??
Bedneke dazu immer das einige Webseiten Content wie Bilder, Zählpixel, Client Auswertungen usw. usw. von anderen Webservern nachladen !
Wenn du das nicht freigibst, dann werden diese Webseiten nicht oder nicht richtig dargestellt.
Wie oben schon gesagt... Nimm dir immer den Wireshark Sniffer zur Hand und sieh dir dann genau an WAS an Daten WOHER kommt !

Ja ich denke das ist das Problem. Lösiung wäre alle IPs zu analysieren und dann zu erlauben, danke.