ComputerBase Menü
Aktuelles

OPNsense - Gerät blockieren - aber wie zum Teufel?

  • Gefällt mir
Reaktionen: Helge01
Das heißt, deine OpnSense läuft auf einer ESXi als VM, und du versuchst, die IP der ESXi in der VM zu sperren? Ich dachte, du wolltest eine konkrete VM sperren, und nicht den Host? Wo hängt denn der WAN Port der OpnSense dran, und welches Subnetz wird da verwendet?
 
  • Gefällt mir
Reaktionen: Pilatesjünger und Bob.Dig
Also hat die pfsense ein eigene öffentliche ip oder wo ist der router dran?
 
riversource schrieb:
Das heißt, deine OpnSense läuft auf einer ESXi als VM, und du versuchst, die IP der ESXi in der VM zu sperren? Ich dachte, du wolltest eine konkrete VM sperren, und nicht den Host? Wo hängt denn der WAN Port der OpnSense dran, und welches Subnetz wird da verwendet?
Zum Vergrößern anklicken....

Oh mann oh mann. Klar will nicht den ganzen ESXi blocken 🤦‍♂️ sondern 192.168.2.111 und NICHT 192.168.2.90


Nichts desto trotz.....

1688236036636.png


1688235993259.png


Traffic wird nicht geblockt.


riversource schrieb:
Wo hängt denn der WAN Port der OpnSense dran, und welches Subnetz wird da verwendet?
Zum Vergrößern anklicken....

WAN hängt am vmnic3. Alles /24
1688236109349.png


Pilatesjünger schrieb:
Also hat die pfsense ein eigene öffentliche ip oder wo ist der router dran?
Zum Vergrößern anklicken....
Ja. Die die vom Kabelmodem kommt und direkt am WAN hängt.

1688236220171.png
 
Ja dann ein Transfernetz erstellen. Zwischen intern und WAN.
Also intern->trans->wan net
 
Da der Traffic bei der allgemeinen Regel fuer deine VM nicht geblockt wird: deutet dies nicht darauf hin, dass die src-Adresse wohl nicht mit derjenigen aus der Regel uebereinstimmt? Oder aus einem anderen Netzbereich zu stammen scheint? Kannst du auf deiner opnsense ein capture file erstellen und dir dieses ggf. mit Wireshark mal anschauen?

Viele Gruesse
 
paokara schrieb:
Kannst du auf deiner opnsense ein capture file erstellen und dir dieses ggf. mit Wireshark mal anschauen?
Zum Vergrößern anklicken....

Das weiss ich nicht wies geht. Muss schauen ob ich da ein Tutorial o.ä. finde wenn ich zuhause bin.
 
Die Lösung:

Alias erstellen
Type: Network(s)
Add Networks: 10.0.0.0/8, 172.12.0.0/12, 192.168.0.0/16, 100.64.0.0/10, 127.0.0/8 aka rfc1918

Firewall Rules -> LAN
Action: Block
Interface: LAN
Direction: in
TCP/IP: IPv4+IPv6
Protocol: any
Source: Single Host or Network -> "IP des Hosts"
Destianation / Invert: Yes
Destination: Alias von oben
Destination port range: from any to any
Gateway: default

Regel an oberste Stelle verschieben.

Funktion: Regel blockt allen Traffic zu den nicht privaten (rfc1918) Netzen - ergo au www.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

D
IPv6 Gerät blockieren ohne Firewall?
2
Antworten
22
Aufrufe
3.483
hildefeuer
H
Scheinweltname
[HowTo]Firewall im Whitelist-Modus --> Ungewollten Traffic automatisch blockieren
8 9 10
Antworten
194
Aufrufe
95.030
malbe007
M
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz