4
OPNsense - Netze isolieren
Moin,
ich habe eine dämliche Frage:
Ich habe zwei von einander zu isolierende Netze A und B. Beide sollen über eine OPNSense-Firewall ins Internet und die Policies sind "floating" (IP-Basierend). Wegen des Internetzuganges haben sie dann natürlich auch eine http/https/ftp to any - Regel. Um aber den (http-)Zugriff auf das jeweils andere Netz zu verhindern, muss ich das Standardgateway ("WAN-Inteface" der Firewall) in der jeder Policy angeben, um den Weg vorzugeben (Routingpolicy), verstehe ich das richtig? Alternativ natürlich über eine Deny-Regel wieder mit Netzadressen.
Gruß
P.S. Warum gibt es hier keine Firewall-Kategorie?
ich habe eine dämliche Frage:
Ich habe zwei von einander zu isolierende Netze A und B. Beide sollen über eine OPNSense-Firewall ins Internet und die Policies sind "floating" (IP-Basierend). Wegen des Internetzuganges haben sie dann natürlich auch eine http/https/ftp to any - Regel. Um aber den (http-)Zugriff auf das jeweils andere Netz zu verhindern, muss ich das Standardgateway ("WAN-Inteface" der Firewall) in der jeder Policy angeben, um den Weg vorzugeben (Routingpolicy), verstehe ich das richtig? Alternativ natürlich über eine Deny-Regel wieder mit Netzadressen.
Gruß
P.S. Warum gibt es hier keine Firewall-Kategorie?
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 607644
Url: https://administrator.de/contentid/607644
Ausgedruckt am: 22.11.2024 um 12:11 Uhr
4 Kommentare
Neuester Kommentar
Moin,
sind deine beiden Netze VLANs? Dann kannstvdu doch recht einfach die Kommunikation untereinander verbieten?
Oder betreibst du einfach zwei Subnetze in der gleichen L2-Domain, was man eigentlich nicht tun sollte?
VG
sind deine beiden Netze VLANs? Dann kannstvdu doch recht einfach die Kommunikation untereinander verbieten?
Oder betreibst du einfach zwei Subnetze in der gleichen L2-Domain, was man eigentlich nicht tun sollte?
VG
Es sind VLANs, auf den Firewall-Ports kommen Sie aber untagged an (an zwei verschiedenen Ports). Grund: Im Notfall Stecker ziehen können, auch von einem, der keine Ahnung von Netzwerken hat.
VLAN A (192.168.10.1) vs VLAN B (192.168.20.1)? Layer 2 oder Layer 3 Setup? In der Standard-Config in OPNSense/pfSense koennen die beiden sich eh nicht sehen. Das muesstest Du ihnen erst erlauben. Wenn Du einen Layer 2 Switch hast gibst Du in OPNSense nur den Standard-Gateway der OPNSense/pfSense (192.168.0.1) an. Mit "Floating" hat das wenig zu tun. Wenn Du einen Layer 3 Switch hast dann machst Du das im Switch selbst.
Hi,
danke für eure Antworten. Ich bin das Ganze wohl falsch angegangen und schwenke jetzt auf Port-Regeln um. Hier kann man ganz easy entsprechende Block-Regeln für Ports erstellen. Trotzdem danke!
danke für eure Antworten. Ich bin das Ganze wohl falsch angegangen und schwenke jetzt auf Port-Regeln um. Hier kann man ganz easy entsprechende Block-Regeln für Ports erstellen. Trotzdem danke!
