OPNsense Outbound NAT bzw Firewall Frage

Mitglied: support-it

support-it (Level 1) - Jetzt verbinden

04.03.2021 um 22:56 Uhr, 471 Aufrufe, 3 Kommentare, 2 Danke

Hi zusammen,
ich habe eine Frage bzgl. Outbound NAT bzw. bzgl. einer Firewallkonfiguration, in dem Fall einer OPNsense.

Undzwar habe ich in einer VM eine OPNsense Firewall installiert, welche WAN-seitig (192.168.10.0/24) als Netzwerkbrücke und LAN-seitig (192.168.25.0/24) mit einem privaten Netzwerk konfiguriert ist (also ein vSwitch, der nur für den Hypervisor sichtbar ist). Das LAN ist normal rauszugs genatted.
Innerhalb des LANs habe ich eine Windows VM, in der ich über den LAN-Port per DHCP eine IP bekomme. Die OPNsense ist nicht speziell konfigurioert, Es funktioniert alles wie gewünscht (surfen).

Lange Rede, vermutlich kurzer Sinn. Wenn ich in der Windows VM ein "tracert google.de" eingebe, sehe ich den Routenverlauf - unter anderem eben auch das Gateway (.10.254) meiner Netzwerkbrücke (also mein "eigenes" Netzwerk). Ich habe dann mit einem Netzwerkscanner dieses Subnetz durchsucht und sehe alle meine internen Maschinen, kann mir als potentieller User also ein Bild des internen Netzwerkes machen. Ich kann sogar normal per HTTP auf eine Switch-GUI zugreifen.

Meine Frage: Ist das ein gewolltest Verhalten von NAT? Kann ich das kluger Admin unterbinden?

Wenn die OPNsense unkonfiguriert bleibt, gibt es eine "Default allow LAN to any rule", die vom LAN net zu * alles erlaubt. Ich vermute, dass diese Regel den Zugriff auf das WAN net zulässt, korekt?
Wie kann ich bei einer OPNsense das "Internet" als Zone angeben? Sodass das private 10.0er Netz nicht erreichbar ist, sondern nur das 10.254er Gateway? Oder gibt es eine andere Lösung? Recherchen sagen, dass man das "interne" Netz dann per Invert-config definieren solle.
Die einzige andere, die mir noch einfällt, ist generell halt mit 2 Netzwerken arbeiten, sodass zwischen den Netzwerken ordentlich getrennt werden kann.

Ich denke in meinem Beispiel aber z.B. an Gäste-WLANs oder ähnliches, die man ohne großen Aufwand einfach ins vorhandene Netzwerk mit einem Router reinhängen kann. Der "interne" Netz soll natürlich nicht erreichbar sein?
Jemand eine bessere Idee?

Danke!

MfG
Mitglied: StefanKittel
LÖSUNG 05.03.2021, aktualisiert um 01:44 Uhr
Hallo,

Zitat von @support-it:
Meine Frage: Ist das ein gewolltest Verhalten von NAT?
Ja, NAT ist ja kein Sicherheitsfeature sondern nur dazu da die viel zu wenigen öffentlichen IPv4-Adressen optimal zu nutzen.
Als Nebeneffekt kann man auch, in der Regel, aus dem WAN nicht auf das LAN zugreifen.

Also kann ich vom LAN auf alles auf der anderen Seite zugreifen.
Warum auch nicht, ist ja WAN/Draußen.

Das was Du das hast ist eine halbe DMZ, denn Du hast ja LAN, WAN (ganz draußen) und halb-WAN (dazwischen).
Oder auch besser doppeltes NAT genannt.

Kann ich das kluger Admin unterbinden?
Du erstellst eine Regel die Alle Pakete an 192.168.0.0/24 verwirft.
Dann gehen Pakete ins WAN noch raus, aber ein Zugriff auf das Zwischen-NAT funktioniert nicht mehr.

Stefan
Bitte warten ..
Mitglied: aqui
LÖSUNG 05.03.2021, aktualisiert 09.03.2021
BLOCK, Prot: IP, Source: lan_net, Port:any - Destination: 192.168.10.0 /24, Port:any
VOR der Default allow LAN_net to any rule rule setzt dem Spuk ein Ende.
Reihenfolge zählt, da immer "First match wins" gilt !! Simples Firewall Regelwerk ! ;-) face-wink
Bitte warten ..
Mitglied: support-it
08.03.2021 um 21:42 Uhr
Vielen Dank euch beiden,
wieder etwas gelernt :) face-smile

Danke!

MfG
Bitte warten ..
Heiß diskutierte Inhalte
Festplatten, SSD, Raid
Festplatte aus defekten Notebook ausgebaut - wird nicht erkannt - Wie gelange ich an meine Daten?
gelöst 1nCoreVor 1 TagFrageFestplatten, SSD, Raid15 Kommentare

Hallo liebe Community, nach 7 Jahren hat mein XMG Notebook seinen Geist aufgegeben In dem Notebook waren zwei Festplatten verbaut (eine für System und ...

Erkennung und -Abwehr
Wie geschickt sich Malware verstecken kann - Ein Beispiel aus der Praxis eines Security Experts
colinardoVor 20 StundenTippErkennung und -Abwehr4 Kommentare

Servus Kollegen und Mitstreiter, da ja in letzter Zeit die Exchange-Lücken die Admin-Landschaft ziemlich aufgewirbelt haben und dabei auch immer mal wieder "sogenannte" Admins ...

Internet
Woher holt sich Android die Kontaktdaten von unbekannten Rufnummern?
gelöst anteNopeVor 1 TagFrageInternet8 Kommentare

Hallo zusammen, seit einiger Zeit merke ich, dass mir mein Android Gerät Namen und Informationen zu mir unbekannten Teilnehmern präsentiert. Soll heißen eine nicht ...

Windows Netzwerk
MS Lizenzierung - externe Scandienstleistung
monstermaniaVor 1 TagFrageWindows Netzwerk9 Kommentare

Hallo Allerseits, ich habe da mal eine Frage an die MS Lizenzspeziallisten. Eine externe Firma soll Scandienstleistungen für uns erledigen. Dazu ist angedacht, dass ...

Exchange Server
Exchange Update CU19 auf CU20 Fehler - Eine weitere Version dieses Produkts ist bereits installiert
gelöst StefanKittelVor 1 TagFrageExchange Server6 Kommentare

Hallo, ich habe hier einen Exchange 2016 mit CU19 (15.1.2176.2). Darauf wollte ich nun CU20 installiert. Download Es erscheint Eine weitere Version dieses Produkts ...

Windows Server
Hat Microsoft die WindowsServerSicherung oder diskpart zerpatcht?
anteNopeVor 15 StundenFrageWindows Server3 Kommentare

Hallo, kann es eventuell sein, dass Microsoft mit seinen letzten Updates die WindowsServerSicherung bzw. diskpart zerschossen hat? Es häufen sich bei mir seit gestern ...

Drucker und Scanner
Epson WF-6590 druckt nur cyan und gelb
gelöst ITCrowdSupporterVor 1 TagFrageDrucker und Scanner15 Kommentare

Guten Tag :-) Es geht um einen Epson Workforce Pro WF-6590. Er druckt nur cyan und gelb obwohl neue Originalpatronen für schwarz und magenta ...

Windows 10
Windows 10 Updates im Abgesicherten Modus nicht möglich!
gelöst Yuuto.LucasVor 1 TagFrageWindows 1016 Kommentare

Hallo, ich habe aktuell ein Problem bei einem Kunden Rechner. Bei diesem gibt es Probleme mit dem Soundkarten Treiber hdaudio.inf wegen dem der PC ...