Hi.
Wenn man auf der OPNSense weitere Netze definiert, muss man mit den Firewall-Regeln aufpassen, dass untereinander kein Zugriff z.B. DMZ <-> Grün gewährleistet wird. Das gilt vor allem dann, wenn man eine „Pauschal-FW-Regel“ wie diese zulässt:
IPs in diesem Netz dürfen dann ja nicht nur ins Internet sondern „überall“ hin … daher ist so eine Regel vermutlich viel zu weit gefasst ?!
Häufig will man so einem Netz ja nicht den gesamten Traffic in alle anderen Netze erlauben sondern nur dafür sorgen, dass man Internetzugriff hat. Dazu bietet sich dieser Weg an: Man definiert auf der OPNSense so ein Alias:
Darin sind alle privaten Netzwerke (nach RFC1918) aufgeführt. Diese kann man dann mit einer zusätzlichen Regel blockieren. Da ja das „first match“ Prinzip bei den Firewallregeln gilt, muss also die Block-Regel VOR die andere Allow-Regel.
Es geht auch mit einer einzigen Regel, wenn man als Destination !RFC1918 einträgt (also NICHT-RFC1918)
Vielleicht kann das ja jemand gebrauchen … ich fande es deshalb erwähnenswert, weil es so kurz in einer einzigen Regel zusammenfassbar ist …
(die Idee stammt von hier)
Schöne Grüße,
Michael