OPNSense: FW-Regeln für eine DMZ -- so funktioniert's

Hallo.
Mal wieder eine Frage zur Konfiguration der OPNSense-FW:
Wir nutzen Subnetting/VLANs und haben unter Version 6.x durch das import_workstations automatisch im IPFire sämtliche Subnetze im grünen Netz eingetragen bekommen. Unter Firewall --> Firewallgruppen --> Netzwerke sind alle grünen Subnetze vorhanden und für Firewall-Regeln nutzbar.
vgl auch: https://wiki.linuxmuster.net/archiv/dokumentation:handbuch:installation:ipfire.defaultconfig
Das ist unter v7 mit OPNSense imho bisher nicht der Fall … und ich frage mich, ob man das (manuell) nachtragen muss oder nicht? Wenn ich das richtig sehe, gibt es einen entsprechenden Punkt „Netzwerke“ unter OPNSense nicht, oder? (Man kann aber bei den Alias-Definitinen Netzwerke eintragen – falls das damit geht?!)

Ok, ich habe es so hinbekommen, wie ich mir das vorgestellt habe: Die DMZ ist mit diesen Einstellungen völlig isoliert von allen anderen Netzen und kann nur raus ins Internet. Der Zugriff auf sämtliche andere Netze ist unterbunden. Umgekehrt dürfen aber andere Netze/Hosts gezielt auf die DMZ zugreifen (hier ohne Screenshot)

Die Einträge „Alle_Netze_ausser_DMZ“ und „Standard_Ports“ habe ich bei den „Aliases“ festgelegt. Die Namen sagen ja bereits, was da hineingehört…
Als Aktion sollte man übrigens nicht „Blockieren“ sondern „Ablehnen“ wählen, wenn man nicht lange auf Timeouts warten will!

(Ob die letzte Regel notwendig ist, ist vermutlich eher Geschmackssache…)
Vielleicht kann’s ja jemand gebrauchen …

Schöne Grüße,
Michael

1 Like

Gerade habe ich (zufällig) gesehen, was noch mit den Aliases alles möglich ist – schick, schick!

https://docs.opnsense.org/manual/aliases.html