Probleme mit OPNsense - Regel wird nicht angewendet

[Kesandal]

Hallo zusammen,

für Testzwecke wollte ich mich mit OPNsense befassen.
Als Test möchte ich den Netzwerkzugriff für eine bestimmte IP komplett sperren.

Umgebung:

Gateway:
192.168.0.1

Opnsense (vm)
WAN: 192.168.0.8
LAN: 192.168.1.1

Test-Client manuell konfiguriert (vm):
IP: 192.168.1.10
Gateway: 192.168.1.1

Mein Problem:
Obwohl ich eine Deny-Rule angelegt habe, kann ich vom Test-Client aus problemlos ping-Pakete senden. Es wird nichts geblockt.

Regel für das Lan-Interface:

Kann mir bitte jemand von Euch sagen, was ich falsch mache?

Vielen Dank im Voraus

 

[TheCadillacMan]

An dem grünen Pfeil vor der Regel siehst du, dass es eine Pass-Rule und keine Deny-Rule (Block oder Reject) ist.

 

[Kesandal]

Hallo @TheCadillacMan,

danke für den Hinweis.
Ich habe es jetzt abgeändert. Dennoch scheint es nicht zu klappen.

 

[xammu]

Ich glaube, da ist noch in und out vertauscht. der Pfeil neben dem "x"

Die zweite Zeile erlaubt Traffic von Lan ins Internet und in dieser Richtung zeigt der Pfeil nach rechts und in die gleiche Richtung willst du den Traffic deines Clienten verbieten.

Der Pfeil zeigt an, aus welcher Richtung eine Regel wirken soll.

In deinem Fall auf dem LAN Port eingehend, also in und auf dem WAN Port ausgehend, also out.

Traffic ins LAN wäre beispielsweise auf dem LAN Port ausgehend, weil er von diesem Port von der Firwall weg nach außen ins LAN zu einem anderen Rechner geht.

Man muss da ein wenig aufpassen.
Wenn man zum Beispiel den kompletten Traffic einen Rechners ins Internet sperren möchte hat man 2 Möglichkeiten.
Den Rechner für alle eingehenden Pakete auf dem LAN Port sperren oder für alle ausgehenden Pakete auf dem WAN Port.
Bei Variante 1 muss man aber aufpassen, alle Pakete meint auch diejenigen die auf die OPnsense direkt gehen, da kann man sich von der Firewall ausperren.

 

[snaxilian]

Du arbeitest mit einer stateful firewall, unter Umständen ist noch der Status allowed hinterlegt. Steht auch so in der Doku als Hinweis, ebenso findet sich dort, wie man die states zurück setzen kann.

Für dein "Problem" hilft ein Blick ins ISO/OSI Modell. ICMP (oder umgangssprachlich Ping) wird zwar IPv4 und Layer 3 zugeordnet, wird aber von Netzwerkgeräten als eigenes Protokoll behandelt, da ICMP unter anderem auch keine Ports verwendet. Es kann daher sein, dass zwar bei Protocol "any" steht aber die Regeln nur für TCP und UDP greifen und ICMP eine eigene Regel erfordert. Ist aber nur eine Vermutung meinerseits, zuerst würde ich auf die ggf nicht korrekten States prüfen.

@xammu Die erste Regel, die ja nur den einzelnen Host gilt, verbietet ausgehenden Traffic, die unteren beiden Regeln erlauben eingehenden Traffic je für IPv4 und IPv6 in das LAN.

 

[Kesandal]

Danke für Deine Erkärung.
Ich glaube es nun verstanden zu haben. Das in/out bzw. die Sichtweise war mir nicht klar.

Dies ist nun der aktuelle Stand (Variante 1),

Demnach müsste doch der Traffic auf 192.168.1.10 gesperrt werden.
Leider ist dies aber immer noch nicht der Fall... Irgendwas muss ich anscheinend übersehen.

Zur Sicherheit nochmal die ganze Rule im Detail:

Bei Variante 1 muss man aber aufpassen, alle Pakete meint auch diejenigen die auf die OPnsense direkt gehen, da kann man sich von der Firewall ausperren.

Ich übernehme die Administration zurzeit aus einem anderen Subnetz über den WAN-Port. Hier habe ich Port 443 für 192.168.0.0 geöffnet

Danke Dir.

 

[xammu]

@xammu Die erste Regel, die ja nur den einzelnen Host gilt, verbietet ausgehenden Traffic, die unteren beiden Regeln erlauben eingehenden Traffic je für IPv4 und IPv6 in das LAN.

Nein
https://docs.opnsense.org/_images/blockdiag-8fa8f9da13994845cc6c78c64c7b8595b365ead9.png

@snaxilian könnte allerdings mit seiner Vermutung recht haben, dass die Firewall den Status erlaubt gespeichert hat. Leider finde ich auf die schnelle nichts, wie man bei Opensense das wieder löscht.

Versuch mal einen Neustart der Opensense VM

 

[snaxilian]

@Kesandal Was hast du alles zur Auswahl wenn du das Feld 'Protocol' gehst? Hast du den 'state' der Regeln aktualisiert nach Anpassung der Regel?

@xammu Danke für den Hinweis, hast natürlich recht. Die Richtung bestimmt von wo Pakete zum jeweiligen Interface der Firewall gehen bzw. kommen.

 

[xammu]

ich habe gerade das gefunden
https://docs.opnsense.org/manual/firewall.html#processing-order

Wenn eine andere Regel den Traffic vorher erlaubt, dann kommt dieses Regel gar nicht mehr zu Anwendung.
Ich würde das versuchsweise mal als Floating Rule anlegen.

Rules can either be set to quick or not set to quick, the default is to use quick.

When quick is not set, last match wins.

If a packet matches a rule specifying quick, the first matching rule wins. When not set to quick the last matching rule wins. When not sure, best use quick rules and interpret the ruleset from top to bottom.

Kannst du mal diese Ansicht einfügen?
https://i.imgur.com/agxHRs1.png

 

[Kesandal]

Hallo nochmal,

tut mir leid wegen der späten Rückmeldung.

Nach einem Neustart der Firewall funktioniert nun alles so wie es soll.

Vielen Dank Euch nochmal :-)