04.01.2019

4083

Opnsense Firewall Regel Verständnis Frage 4

Ich habe zwei LANs. LAN1 darf ins Internet und auch ins LAN2. Da ich bei Destination ANY habe,
dürfte ich ja überall hin kommen und brauche ja deswegen nicht extra LAN2 angeben, denke ich mal.

LAN2 da befindet sich ein Netzwerkdrucker und zwei weitere PCs.
Die PCs sollen nur ins Internet dürfen, aber nicht ins LAN1. Der Drucker soll nirgends wo hin
dürfen. Alle Nutzer aus LAN1 und LAN2 dürfen aber drucken.
LAN1 darf auf LAN2 zugreifen, um sich per RDP auf einen Rechner(PC1) zu verbinden, und auf den Drucker.

Und dazu noch folgende Fragen:
Aus dem LAN2 will ich ja ins Internet, da gebe ich als Destination WAN an?
Da ich ja alle Ports erlaube ins WAN, muss dann noch extra DNS im eigenen LAN2 erlauben?
Oder muss ich diese Regel noch einbauen:
PASS Source: LAN2_net, Port:ANY --> Destination: LAN2_net, Port: 53?

Stimmen die folgenden Regelen dazu?

LAN1
1. PASS Source: LAN1_net, Port:ANY --> Destination: ANY, Port: ANY
2. PASS Source: LAN1_net, Port:ANY --> Destination: ANY, Port: ANY

LAN2

3. BLOCK Source: Drcker, Port:ANY --> Destination: ANY, Port: ANY
4. BLOCK Source: LAN2_net, Port:ANY --> Destination: LAN1_net, Port:ANY
5. PASS Source: LAN2_net, Port:ANY --> Destination: WAN, Port: ANY

Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben

Content-ID: 397194

Url: https://administrator.de/contentid/397194

Ausgedruckt am: 23.11.2024 um 01:11 Uhr

14 Kommentare

Neuester Kommentar

Ließ noch mal deine anderen Fragen durch.
Die Antwort haben wir dir doch schon gegeben.

Erst Zugriff von LAN2 auf LAN1 blocken und danach zu Any freigeben.

WAN ist nicht das gesamt Internet, sondern nur die Provider Seite. Somit ist Any erforderlich.

Aber das ganze ist schon in deinen anderen Fragen geklärt worden.

Langsam kostet das aber extra hier mit den ganzen Regelfragen...

Dein Glück das heute Freitag und damit Hausaufgaben Tag hier bei Administrator.de ist.
Zur Frage:

Da ich bei (LAN1) Destination ANY habe, dürfte ich ja überall hin kommen

Ja, dem ist so !

Die PCs sollen nur ins Internet dürfen, aber nicht ins LAN1. Der Drucker soll nirgends wo hin

Ist ja gelogen !
Im darauf folgenden Satz sagst du doch der Drucker in LAN2 darf auch ins LAN1 !! Wie sollten denn sonst User aus LAN1 auf ihm drucken können ?!
Die Regel dafür ist kinderleicht:
LAN-1:
PASS, Source: LAN1_net, Port: ANY --> Destination: ANY, Port: ANY

LAN-2:
PASS, Source: Host<Drucker_IP>, Port: ANY --> Destination: LAN1, Port: ANY ACK Bit
BLOCK Source: LAN2_net, Port: ANY --> Destination: LAN1, Port: ANY
PASS, Source: LAN2_net, Port: ANY --> Destination: ANY, Port: ANY

Fertisch !
Aus dem LAN2 Netz kommen nur noch Drucker Pakete ins LAN1 die das ACK Bit gesetzt haben. Das können dann nur Clients aus dem LAN 1 sein die den Drucker angesprochen haben, der setzt dann das ACK Bit und antwortet. (Sofern seine Gateway IP auf die LAN2 IP der pfSense gesetzt ist !) Antwort Pakete vom Drucker (und nur die Antworten) haben dann also immer ein gesetztes ACK Bit und dürfen passieren.
LAN 2 Clients und Drucker die ihrerseits eine Session irgendwohin aufbauen haben das ACK Bit NICHT gesetzt und bleiben in der Regel hängen wenn sie ins LAN1 wollen.
Nicht aber wenn sie in die weite Welt gehen !

Das ACK Bit stellst du in den Advanced Settings (Display Advanced) bei Source in der PASS Regel ein !
Guckst du hier:

So einfach ist das !

Tip:
Die o.a. Regel ist sehr strikt. Sie verhindert das der Drucker selber ins Internet kann (was du ja wolltest).
Damit blockiert man dann aber auch ggf. Software Updates des Druckers die er von der Herstellerseite zieht oder wenn man über Drucker Sharing Dienste bei Google usw. arbeitet das Drucken von remote.
Willst du diese Kommunikation des Druckers erlauben, lässt du das Setzen des ACK Bits einfach weg und erlaubst die Drucker IP auf ANY

Zitat von @aqui:

Langsam kostet das aber extra hier mit den ganzen Regelfragen...

Dein Glück das heute Freitag und damit Hausaufgaben Tag hier bei Administrator.de ist.

Dann habe ich ja Glück

Zur Frage:

Die PCs sollen nur ins Internet dürfen, aber nicht ins LAN1. Der Drucker soll nirgends wo hin

Ist ja gelogen !
Im darauf folgenden Satz sagst du doch der Drucker in LAN2 darf auch ins LAN1 !! Wie sollten denn sonst User aus LAN1 auf ihm drucken können ?!

Aber du hast es ja richtig beantwortet unten, das der Drucker von sich aus nicht ins LAN1 darf, sondern nur nach Anfrage von LAN1, genau das hatte ich gemeint. Mit ACK ist das eine Möglichkeit, danke.

Dazu noch ne Frage. Wenn ich nun im Prinzip das selbe wie mit dem Drucker für einen PC22 machen will, so daß er nur in LAN1 darf nachdem er eine Verbindung erhalten hat aus LAN1, dann sollte das hier so gehen?:

LAN2
ASS, Source: Host<PC22_IP>, Port: ANY --> Destination: LAN1, Port: ANY ACK Bit

Hi Aqui,
du hast imho einen Denkfehler.
die opnsense arbeitet per SPI.
1. die Regel <PASS, Source: Host<Drucker_IP>, Port: ANY --> Destination: LAN1, Port: ANY ACK Bit> ist überflüssig.
2. diese Regel verbietet nicht, daß der Drucker ins Internet geht:
Drucker (LAN2) will TCP/80 nach a.b.c.d

PASS, Source: Host<Drucker_IP>, Port: ANY --> Destination: LAN1, Port: ANY ACK Bit

trifft nicht zu, gehe zu nächster Regel

BLOCK Source: LAN2_net, Port: ANY --> Destination: LAN1, Port: ANY

trifft nicht zu: gehe zu nächster Regel:

PASS, Source: LAN2_net, Port: ANY --> Destination: ANY, Port: ANY

Trifft zu, Drucker "ist im Internet".

Die "original" Regeln sind richtig

LAN2
3. BLOCK Source: Drucker, Port:ANY --> Destination: ANY, Port: ANY
4. BLOCK Source: LAN2_net, Port:ANY --> Destination: LAN1_net, Port:ANY
5. PASS Source: LAN2_net, Port:ANY --> Destination: WAN, Port: ANY

Ich habe dir in einem anderen Thread mit einem Screenshot eine Lösung genannt.
Wenn du dich daran hältst kannst du die Geschichte ganz simpel adaptieren.

Ansonsten ist das Basiswissen über ein Firewall Regelwerk noch nicht ganz klar.
Steht allerdings auch in den ganzen Threads beschrieben.

Zitat von @ChriBo:

Hi Aqui,
du hast imho einen Denkfehler.

Die "original" Regeln sind richtig

Genau das hatte ich mir gedacht, außer das nr.5 Destination ANY ist und nicht WAN. Weil ich ging auch davon aus, das wenn ich ins Internet kann, dann kann ja das Paket mit der angefragten IP rein, also sollte es doch auch zwischen LAN1 und LAN2 gehen, aber @aqui meinte es geht nicht?

Wg Nr. 5 : hab ich übersehen, du hast recht: Destination muß ANY und nicht WAN sein.

CH

@ChriBo

du hast imho einen Denkfehler.

Mmhhhh... du meinst Pakets mit einem gesetzten TCP ACK Bit können inbound generell passieren auch wenn es eine generelle BLOCK Regel gibt, also eine die die TCP Bits nicht berücksichtigt ??
Ich meine das mal ausprobiert zu haben und das ging nicht.
Aber ich teste das nochmal genau...

Aber ich teste das nochmal genau...

Das würde mich sehr interessieren was du dazu sagst ...

Hier noch eine weitere Zusatzfrage zum LAN2

Jetzt will ich zum LAN2 noch ein WLAN hinzufügen. Ich habe mir ein kleinen TP Link WLAN Router gekauft. Jetzt schließe ich den ans LAN2 an, und bekomme zwar noch mal NAT weil es ja ein Router ist, bzw. ich weiß nicht ob ich diesen auch als reinen AP nutzen kann. (Ist es ein Probelm Vor/Nachteile zum reinen AP?)

Dann geht es aber Hauptsächlich um die Regeln. Alos erst mal den WLAN Router anschließen und Konfigurieren.
Das sollte doch nun mit den vorhandenen Regeln funktionieren?
Da ja die WLAN Clients ein eigenes Netz haben (192.168.33.0/24) ist nun auch die Frage ob diese den Drucker ansprechen können oder benötige ich dazu eine extra Regel?

LAN2
3. BLOCK Source: Drucker, Port:ANY --> Destination: ANY, Port: ANY
4. BLOCK Source: LAN2_net, Port:ANY --> Destination: LAN1_net, Port:ANY
5. PASS Source: LAN2_net, Port:ANY --> Destination: ANY, Port: ANY

Jetzt will ich zum LAN2 noch ein WLAN hinzufügen.

Über eine Bridge, sprich also WLAN und LAN2 sind im gleichen IP Netz Bereich oder willst du das WLAN separat routen mit getrennter IP Adressierung ?!

Ich habe mir ein kleinen TP Link WLAN Router gekauft.

Den solltest du aber ZUERST mal als reinen WLAN AP konfigurieren und erst DANN anschliessen !!
Guckst du hier:
Kopplung von 2 Routern am DSL Port

und bekomme zwar noch mal NAT weil es ja ein Router ist,

Genau das ist Blödsinn, deshalb konfiguriere ihn bitte als stinknormalen AP !!!
Erst DANN reden wir mal weiter über die Regeln !!

Übrigens:
Sehr viel besser wäre gewesen du hättest einen MSSID fähigen AP gekauft wie diesen hier:
https://varia-store.com/de/produkt/10133-mikrotik-cap-lite-mit-ar9533-65 ...
Damit hättest du mehrere WLANs (z.B. Gastnetz und Privates) über ein und denselben AP bedienen können !!
Guckst du hier:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern

Hallo,
der WLAN Router macht kein echtes Routing, sondern nur NAT; damit meine ich: die IP eines WLAN Clients ist nicht auf der WAN des Routers sichtbar, sondern nur die IP Adresse des WLAN Routers.
Um den WLAN Clients dann etwas zu erlauben oder zu verbieten mußt du die entsprechenden Regeln für die IP des Routers (WAN Seite / angeschlossen an LAN2) konfigurieren.

CH

der WLAN Router macht kein echtes Routing, sondern nur NAT

Jein ! Jedenfalls so pauschal ist diese Aussage falsch.
Zwischen seinem LAN und seinem WAN Port routet der Router schon.
Nicht aber zwischen dem WLAN und dem LAN. Das ist richtig.
Diese beiden Interfaces sind in den allermeisten Billigroutern dieser Kategorie über eine Netzwerk Bridge per Layer 2 (Mac Adress Basis) verbunden. Arbeiten damit (Bridging) also beide in ein und demselben IP Bereich.

Den TP-Link Router sollte man NICHT im Router Mode betreiben wenn man ihn als simplen WLAN Accesspoint benutzen will !
Der WAN Port des Routers bleibt somit immer leer und unbeschaltet !
Man nutzt nur den LAN Port genau so wie im o.a. Tutorial auch beschrieben.
Dann muss man sich um NAT und all den Mist auch nicht kümmern !