virtual143
Apr 16, 2023
view2996
view3
0
Goto Top

Frage zum Aufbau einer Firewall-Regel?

GermansolvedQuestionMonitoringRouters, RoutingFirewallWindows Network
Hallo!

Ich administriere zurzeit u.a. eine OPNSense-Firewall, wo ich eine Frage zu habe.

Es gibt eine Menge Firewall-Regeln für das LAN-Interface, wo definiert ist, was die Clients im LAN dürfen.

Sie müssen z.B. E-Mails über IMAP/S abrufen können, weswegen es dafür eine Regel gibt.

Allerdings wundert mich, dass die Regel als "LAN IN" definiert ist.
Müsste es nicht eigentlich "LAN OUT" sein, weil die Clients ja aus dem LAN raus senden?

Vielen Dank.
comment-contentCommentShareShare
Share on Facebook Share on Twitter Share on Reddit Share on Linkedin

Content-Key: 6794119145

Url: https://administrator.de/contentid/6794119145

Printed on: May 5, 2024 at 21:05 o'clock

3 Comments
Latest comment
Goto Top
Member: Spirit-of-Eli
Solution Spirit-of-Eli Apr 16, 2023 at 13:04:03 (UTC)
Goto Top
Moin,

auf einem Interface kommt der Traffic aus Sicht der Firewall rein. Daher IN.
Es wird standard mäßig auch nur eingehender Traffic behandelt.

Gruß
Spirit
heart2
Member: virtual143
virtual143 Apr 16, 2023 at 13:21:06 (UTC)
Goto Top
Vielen Dank!
Member: aqui
aqui Apr 16, 2023 at 16:23:24 (UTC)
Goto Top
was die Clients im LAN dürfen.
Bedenke auch das was die Clients untereinander im LAN dürfen oder auch nicht hier nicht durch die OPNsense Firewall geregelt ist!!
Deren Traffic ist ja immer Layer 2 basiert (Mac Adressen). Die OPNsense regelt immer nur das was über sie in andere IP Netze geht. Keinen lokalen Traffic. Nur das du das auf dem Radar hast.
Grundregeln die immer gelten:
  • "First match wins!" Sprich nach dem ersten positiven Hit wir der Rest des regelwerkes nicht mehr weiter abgearbeitet. Reihenfolge zählt also!
  • Regeln gelten immer inbound. Also Vom Netzwerk Draht in das Firewall Interface hinein.
GermansolvedQuestionMonitoringRouters, RoutingFirewallWindows Network
Hotly discussed
LinuxeroWireguard with systemd and nftablesLinuxero - 9 Comments