Toggle sidebar

Empfehlung für sichere Einstellung der Firewall für VPN Zugang

Status
Für weitere Antworten geschlossen.
the other schrieb:
Bei der pfsense/opensense FW ist es zB so, dass im default erstmal ALLES verboten ist.
Zum Vergrößern anklicken....

Ich sag mal... "naja", je nachdem wie man "alles verboten" definiert... Hier mal ein kleiner Überblick...

Also erstmal die NAT-Regeln....

Anti-Lockout (unter Portweiterleitung)
1614264850129.png
Dann noch die LAN -> WAN (unter Ausgehend)
1614264924055.png

Dann die FW-Regeln....

Floating
1614264974928.png

LAN

1614265006028.png

WAN

1614265032475.png
Loopback lass ich jetzt mal weg...

Ist zwar einiges verboten, aber auch einiges erlaubt (ansonsten wäre es auch ziemlich doof ;))

Aber das nur mal so als kleine Randnotiz :)
 
  • Like
Reaktionen: the other
spatzimatzi schrieb:
Wenn keine Regeln in "Alle Schnittstellen" zutreffen, werden Regeln in jeder Schnittstelle angepasst.
Und zu dem Hinweis hätte ich gerne die Erklärung.
Zum Vergrößern anklicken....
Du kannst einzelne Regeln pro Schnittstelle anpassen/erstellen, oder halt für alle. Der Bobbel sagt halt nur:

Wenn keine Regel zutrifft (also nix aus der Chain / Regelliste greift), dann mach das, was der Bobbel sagt (alles verweigern, oder alles erlauben). Alles erlauben wäre nur sinnvoll, wenn in Deinen Listen dann "nur" Verbote stehen würden :)
 
Früher konnte man sich aussperren. Wenn man den aktuellen Vorschlägen bei der Einrichtung von opnsense folgt eigentlich nicht mehr.
Denke das wurde etwas in Richtung 'Erwartung bei soho Routern' angepasst als Kompromiss.
Sprich, jemand der keine Zeit investiert kann zumindest normal im Web surfen etc.
Verkehr von außen muss man immer selbst öffnen, Verkehr von innen kann man weiter einschränken.
Ich finde den Kompromiss OK, aber da lässt sich sicher länglich drüber diskutieren (aber nicht hier).
 
  • Like
Reaktionen: the other
Moinsen @blurrrr,
danke für die Info. Führt hier jetzt auch ins OT, aber hier isses so, dass du in den generellen Einstellungen eine Anti-Lock-out Regel im default auf "off" setzen musst, per se ist also der Zugriff auf die GUI erlaubt.
Wenn du dann dran gehst für die Interfaces: der Zugriff von innen aufs WAN ist immer erstmal erlaubt, stimmt, das war sehr blöde formuliert. :(
Ansonsten ist es aber i.d.T. so, dass zwischen den eigenen Segmenten alles verboten ist im default.
Wie gesagt, unglücklich formuliert...daher dies zur Richtigstellung, nicht dass das jemanden verwirrt...
 
Aaaaaaaaaaaaalles gut, wollte es nur richtig stellen (von wegen "alles verboten"), also "alles gut" ?
Der TO ist sowieso schon versorgt und läuft auch alles (inkl. Verständnis warum was gemacht wird).
 
  • Like
Reaktionen: the other
Moinsen @blurrrr,
hab ich auch so verstanden und geb dir auch völlig recht. Hier auch alles verboten, äh, alles gut, mein ich natürlich...
?
Und von dir nehme ich doch solche Richtigstellungen immer gerne an, wie du ja weißt... :)
 
  • Haha
Reaktionen: blurrrr
Huch, grade gesehen.. unter den WAN-Regeln... die mit dem "443 (https)" muss natürlich raus, die war noch von mir *husthust* :ROFLMAO:
 
  • Haha
Reaktionen: the other
Status
Für weitere Antworten geschlossen.
NAS-Central - Ihr Partner für NAS Lösungen
NAS-Central - The Home of NAS
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup
IT Lösungen mit NAS Servern
IT Firma Trier
Fotograf Trier
   
Oben Unten