Empfehlung für sichere Einstellung der Firewall für VPN Zugang

[blurrrr]

Bei der pfsense/opensense FW ist es zB so, dass im default erstmal ALLES verboten ist.

Ich sag mal... "naja", je nachdem wie man "alles verboten" definiert... Hier mal ein kleiner Überblick...

Also erstmal die NAT-Regeln....

Anti-Lockout (unter Portweiterleitung)

Dann noch die LAN -> WAN (unter Ausgehend)


Dann die FW-Regeln....

Floating


LAN



WAN


Loopback lass ich jetzt mal weg...

Ist zwar einiges verboten, aber auch einiges erlaubt (ansonsten wäre es auch ziemlich doof )

Aber das nur mal so als kleine Randnotiz

 

[blurrrr]

Wenn keine Regeln in "Alle Schnittstellen" zutreffen, werden Regeln in jeder Schnittstelle angepasst.
Und zu dem Hinweis hätte ich gerne die Erklärung.

Du kannst einzelne Regeln pro Schnittstelle anpassen/erstellen, oder halt für alle. Der Bobbel sagt halt nur:

Wenn keine Regel zutrifft (also nix aus der Chain / Regelliste greift), dann mach das, was der Bobbel sagt (alles verweigern, oder alles erlauben). Alles erlauben wäre nur sinnvoll, wenn in Deinen Listen dann "nur" Verbote stehen würden

 

[Fusion]

Früher konnte man sich aussperren. Wenn man den aktuellen Vorschlägen bei der Einrichtung von opnsense folgt eigentlich nicht mehr.
Denke das wurde etwas in Richtung 'Erwartung bei soho Routern' angepasst als Kompromiss.
Sprich, jemand der keine Zeit investiert kann zumindest normal im Web surfen etc.
Verkehr von außen muss man immer selbst öffnen, Verkehr von innen kann man weiter einschränken.
Ich finde den Kompromiss OK, aber da lässt sich sicher länglich drüber diskutieren (aber nicht hier).

 

[the other]

Moinsen @blurrrr,
danke für die Info. Führt hier jetzt auch ins OT, aber hier isses so, dass du in den generellen Einstellungen eine Anti-Lock-out Regel im default auf "off" setzen musst, per se ist also der Zugriff auf die GUI erlaubt.
Wenn du dann dran gehst für die Interfaces: der Zugriff von innen aufs WAN ist immer erstmal erlaubt, stimmt, das war sehr blöde formuliert.
Ansonsten ist es aber i.d.T. so, dass zwischen den eigenen Segmenten alles verboten ist im default.
Wie gesagt, unglücklich formuliert...daher dies zur Richtigstellung, nicht dass das jemanden verwirrt...

 

[blurrrr]

Aaaaaaaaaaaaalles gut, wollte es nur richtig stellen (von wegen "alles verboten"), also "alles gut" ?
Der TO ist sowieso schon versorgt und läuft auch alles (inkl. Verständnis warum was gemacht wird).

 

[the other]

Moinsen @blurrrr,
hab ich auch so verstanden und geb dir auch völlig recht. Hier auch alles verboten, äh, alles gut, mein ich natürlich...
?
Und von dir nehme ich doch solche Richtigstellungen immer gerne an, wie du ja weißt...

 

[blurrrr]

Huch, grade gesehen.. unter den WAN-Regeln... die mit dem "443 (https)" muss natürlich raus, die war noch von mir *husthust*