OPNSense Regel Verständnis (alles blockiern)
Hallo,
ich beschäftige mich gerade etwas mit OPNSense und verstehe einen kleinen Zusammenhang nicht.
Ich dachte erstmal... alles was nicht Explizit erlaubt ist, ist blockiert. Wenn ich mir jetzt einige Konfigurationen anschaue dann gibt es zum Beispiel eine Regel im Gast_WLan die den Traffic zum LAN blockiert.
Wurde hier bei einer DMZ gemacht, aber dann wieder als unnötig deklariert?
DMZ mit OPNsense, Firewallregeln?
https://docs.opnsense.org/manual/how-tos/guestnet.html
Hier wird der Zugang zu den Netzen auch Blockiert, jedes einzeln.
https://homenetworkguy.com/how-to/create-basic-dmz-network-opnsense/
Auch hier aber über den Privaten Adressbereich. Die Variante macht es, wenn ich es richtig verstanden habe einfacher wenn Interfaces ergänzt werden. Dann müssen die nicht einzeln nach gepflegt werden?
Soweit okay und verständlich, aber wenn doch alles Blockiert ist, außer ich Erlaube es explizit, wofür diese Regel?
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
"Nicht vergessen: Ist KEINE Regel an einem Port definiert, blockt die Firewall im Default ALLES wie es für eine gute Firewall üblich ist !"
Also dachte ich mir -> Ist auch nur eine Regel definiert, muss ich dafür sorgen das wieder alles Blockiert wird?
Vielleicht kann da jemand Licht ins dunkle bringen...
ich beschäftige mich gerade etwas mit OPNSense und verstehe einen kleinen Zusammenhang nicht.
Ich dachte erstmal... alles was nicht Explizit erlaubt ist, ist blockiert. Wenn ich mir jetzt einige Konfigurationen anschaue dann gibt es zum Beispiel eine Regel im Gast_WLan die den Traffic zum LAN blockiert.
Wurde hier bei einer DMZ gemacht, aber dann wieder als unnötig deklariert?
DMZ mit OPNsense, Firewallregeln?
https://docs.opnsense.org/manual/how-tos/guestnet.html
Hier wird der Zugang zu den Netzen auch Blockiert, jedes einzeln.
https://homenetworkguy.com/how-to/create-basic-dmz-network-opnsense/
Auch hier aber über den Privaten Adressbereich. Die Variante macht es, wenn ich es richtig verstanden habe einfacher wenn Interfaces ergänzt werden. Dann müssen die nicht einzeln nach gepflegt werden?
Soweit okay und verständlich, aber wenn doch alles Blockiert ist, außer ich Erlaube es explizit, wofür diese Regel?
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
"Nicht vergessen: Ist KEINE Regel an einem Port definiert, blockt die Firewall im Default ALLES wie es für eine gute Firewall üblich ist !"
Also dachte ich mir -> Ist auch nur eine Regel definiert, muss ich dafür sorgen das wieder alles Blockiert wird?
Vielleicht kann da jemand Licht ins dunkle bringen...
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 5147053275
Url: https://administrator.de/forum/opnsense-regel-verstaendnis-alles-blockiern-5147053275.html
Ausgedruckt am: 22.12.2024 um 06:12 Uhr
4 Kommentare
Neuester Kommentar
aber wenn doch alles Blockiert ist, außer ich Erlaube es explizit, wofür diese Regel?
Du hast hier Recht. Diese Regeln sind dann auch überflüssig. Am Ende des Regelwerkes gilt immer eine explizite Deny Any Any Regel. Diese muss man dann auch nicht noch extra definieren, das ist in der Tat überflüssig. Das Grundprinzip ist immer ein Whitelisting.Am Beispiel des DMZ Netzes oben kannst du es sehen. Das spezifische Blocken dort von TCP/UDP Port 53 (DNS) Any Any ist vollkommen sinnfrei ebenso wie das Blocken DMZ_net nach Any am Ende.
Hi,
@aqui hat es eigentlich schon beantwortet.
Ich selber setze immer eine deny any to any no log Regel ans Ende eines Regelsatzes.
Macht der Gewohnheit und ganz wichtig: Bei Bedarf kann ich Logging enablen, wird hin und wieder zur Fehlersuche verwendet.
Gruß
CH
@aqui hat es eigentlich schon beantwortet.
Ich selber setze immer eine deny any to any no log Regel ans Ende eines Regelsatzes.
Macht der Gewohnheit und ganz wichtig: Bei Bedarf kann ich Logging enablen, wird hin und wieder zur Fehlersuche verwendet.
Gruß
CH
das es an sehr vielen stellen gemacht wurde.
Was genau meinst du hier mit "Stellen" ??Wenns das denn war bitte nicht vergessen deinen Thread dann auch als erledigt zu schliessen!