support-m
Goto Top

OPNsense Outbound NAT bzw Firewall Frage

Hi zusammen,
ich habe eine Frage bzgl. Outbound NAT bzw. bzgl. einer Firewallkonfiguration, in dem Fall einer OPNsense.

Undzwar habe ich in einer VM eine OPNsense Firewall installiert, welche WAN-seitig (192.168.10.0/24) als Netzwerkbrücke und LAN-seitig (192.168.25.0/24) mit einem privaten Netzwerk konfiguriert ist (also ein vSwitch, der nur für den Hypervisor sichtbar ist). Das LAN ist normal rauszugs genatted.
Innerhalb des LANs habe ich eine Windows VM, in der ich über den LAN-Port per DHCP eine IP bekomme. Die OPNsense ist nicht speziell konfigurioert, Es funktioniert alles wie gewünscht (surfen).

Lange Rede, vermutlich kurzer Sinn. Wenn ich in der Windows VM ein "tracert google.de" eingebe, sehe ich den Routenverlauf - unter anderem eben auch das Gateway (.10.254) meiner Netzwerkbrücke (also mein "eigenes" Netzwerk). Ich habe dann mit einem Netzwerkscanner dieses Subnetz durchsucht und sehe alle meine internen Maschinen, kann mir als potentieller User also ein Bild des internen Netzwerkes machen. Ich kann sogar normal per HTTP auf eine Switch-GUI zugreifen.

Meine Frage: Ist das ein gewolltest Verhalten von NAT? Kann ich das kluger Admin unterbinden?

Wenn die OPNsense unkonfiguriert bleibt, gibt es eine "Default allow LAN to any rule", die vom LAN net zu * alles erlaubt. Ich vermute, dass diese Regel den Zugriff auf das WAN net zulässt, korekt?
Wie kann ich bei einer OPNsense das "Internet" als Zone angeben? Sodass das private 10.0er Netz nicht erreichbar ist, sondern nur das 10.254er Gateway? Oder gibt es eine andere Lösung? Recherchen sagen, dass man das "interne" Netz dann per Invert-config definieren solle.
Die einzige andere, die mir noch einfällt, ist generell halt mit 2 Netzwerken arbeiten, sodass zwischen den Netzwerken ordentlich getrennt werden kann.

Ich denke in meinem Beispiel aber z.B. an Gäste-WLANs oder ähnliches, die man ohne großen Aufwand einfach ins vorhandene Netzwerk mit einem Router reinhängen kann. Der "interne" Netz soll natürlich nicht erreichbar sein?
Jemand eine bessere Idee?

Danke!

MfG

Content-ID: 658847

Url: https://administrator.de/contentid/658847

Ausgedruckt am: 21.11.2024 um 21:11 Uhr

StefanKittel
Lösung StefanKittel 05.03.2021 aktualisiert um 01:44:10 Uhr
Goto Top
Hallo,

Zitat von @support-m:
Meine Frage: Ist das ein gewolltest Verhalten von NAT?
Ja, NAT ist ja kein Sicherheitsfeature sondern nur dazu da die viel zu wenigen öffentlichen IPv4-Adressen optimal zu nutzen.
Als Nebeneffekt kann man auch, in der Regel, aus dem WAN nicht auf das LAN zugreifen.

Also kann ich vom LAN auf alles auf der anderen Seite zugreifen.
Warum auch nicht, ist ja WAN/Draußen.

Das was Du das hast ist eine halbe DMZ, denn Du hast ja LAN, WAN (ganz draußen) und halb-WAN (dazwischen).
Oder auch besser doppeltes NAT genannt.

Kann ich das kluger Admin unterbinden?
Du erstellst eine Regel die Alle Pakete an 192.168.0.0/24 verwirft.
Dann gehen Pakete ins WAN noch raus, aber ein Zugriff auf das Zwischen-NAT funktioniert nicht mehr.

Stefan
aqui
Lösung aqui 05.03.2021, aktualisiert am 09.03.2021 um 10:01:32 Uhr
Goto Top
BLOCK, Prot: IP, Source: lan_net, Port:any - Destination: 192.168.10.0 /24, Port:any
VOR der Default allow LAN_net to any rule rule setzt dem Spuk ein Ende.
Reihenfolge zählt, da immer "First match wins" gilt !! Simples Firewall Regelwerk ! face-wink
support-m
support-m 08.03.2021 um 21:42:43 Uhr
Goto Top
Vielen Dank euch beiden,
wieder etwas gelernt face-smile

Danke!

MfG