themuck
Goto Top

OPNSense Regel Verständnis (alles blockiern)

Hallo,
ich beschäftige mich gerade etwas mit OPNSense und verstehe einen kleinen Zusammenhang nicht.

Ich dachte erstmal... alles was nicht Explizit erlaubt ist, ist blockiert. Wenn ich mir jetzt einige Konfigurationen anschaue dann gibt es zum Beispiel eine Regel im Gast_WLan die den Traffic zum LAN blockiert.

Wurde hier bei einer DMZ gemacht, aber dann wieder als unnötig deklariert?
DMZ mit OPNsense, Firewallregeln?

https://docs.opnsense.org/manual/how-tos/guestnet.html
Hier wird der Zugang zu den Netzen auch Blockiert, jedes einzeln.

https://homenetworkguy.com/how-to/create-basic-dmz-network-opnsense/
Auch hier aber über den Privaten Adressbereich. Die Variante macht es, wenn ich es richtig verstanden habe einfacher wenn Interfaces ergänzt werden. Dann müssen die nicht einzeln nach gepflegt werden?

Soweit okay und verständlich, aber wenn doch alles Blockiert ist, außer ich Erlaube es explizit, wofür diese Regel?

WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)

"Nicht vergessen: Ist KEINE Regel an einem Port definiert, blockt die Firewall im Default ALLES wie es für eine gute Firewall üblich ist !"

Also dachte ich mir -> Ist auch nur eine Regel definiert, muss ich dafür sorgen das wieder alles Blockiert wird?

Vielleicht kann da jemand Licht ins dunkle bringen...

Content-Key: 5147053275

Url: https://administrator.de/contentid/5147053275

Printed on: April 25, 2024 at 15:04 o'clock

Member: aqui
Solution aqui Dec 30, 2022 updated at 09:22:16 (UTC)
Goto Top
aber wenn doch alles Blockiert ist, außer ich Erlaube es explizit, wofür diese Regel?
Du hast hier Recht. Diese Regeln sind dann auch überflüssig. Am Ende des Regelwerkes gilt immer eine explizite Deny Any Any Regel. Diese muss man dann auch nicht noch extra definieren, das ist in der Tat überflüssig. Das Grundprinzip ist immer ein Whitelisting.
Am Beispiel des DMZ Netzes oben kannst du es sehen. Das spezifische Blocken dort von TCP/UDP Port 53 (DNS) Any Any ist vollkommen sinnfrei ebenso wie das Blocken DMZ_net nach Any am Ende.
Member: ChriBo
ChriBo Dec 30, 2022 at 10:47:24 (UTC)
Goto Top
Hi,
@aqui hat es eigentlich schon beantwortet.
Ich selber setze immer eine deny any to any no log Regel ans Ende eines Regelsatzes.
Macht der Gewohnheit und ganz wichtig: Bei Bedarf kann ich Logging enablen, wird hin und wieder zur Fehlersuche verwendet.

Gruß
CH
Member: themuck
themuck Jan 02, 2023 at 07:15:09 (UTC)
Goto Top
Danke für die Aufklärung! Mich verwunderte es nur das es an sehr vielen stellen gemacht wurde. Mein Gedanke ging auch dahin das man es eventuell aus Kosmetischen gründen macht damit klar ist das diese Regel existiert.
Member: aqui
aqui Jan 02, 2023 at 09:33:14 (UTC)
Goto Top
das es an sehr vielen stellen gemacht wurde.
Was genau meinst du hier mit "Stellen" ??

Wenns das denn war bitte nicht vergessen deinen Thread dann auch als erledigt zu schliessen!