Verständnisfrage Internet Access
-
Okay, das heisst wenn ich die NAT-Regeln manuell und richtig anlege, dann kann ich sehr wohl den Clients den Internet Zugriff erlauben in den ich eine Regel erstelle die das OPT1 Subnet auf WAN address erlaubt und dann sollte nur Internet funktionieren für das OPT1 Subnet.
Ich werde das gleich testen!
-
Nein, bei mir funktioniert das nur so wie ich oben beschrieben habe! Zuerst Blocke ich alles was nicht gehen soll und zum Schluss eine Regel die alles erlaubt, eben any. Ich komme sonst nicht ins Internet. Schade, ich finde das unübersichtlich!
-
Okay, das heisst wenn ich die NAT-Regeln manuell und richtig anlege, dann kann ich sehr wohl den Clients den Internet Zugriff erlauben in den ich eine Regel erstelle die das OPT1 Subnet auf WAN address erlaubt und dann sollte nur Internet funktionieren für das OPT1 Subnet.
Ich werde das gleich testen!
nein ein nat ist von interface wan source opt1
-
Kannst du mir mal einen Screenshot von deinen NAT-Rules reinstellen? Ich steh echt total am Schlauch. Ich kann doch bei Destination nur "Any" und "Network" auswählen, aber kein Interface?! ???
-
Hey, mal langsam mit den jungen Pferden!
Die Erstellung Deines Regelwerkes unterliegt immer Deinen Bedürfnissen und kann daher nicht pauschal beantwortet werden.
Bedenke dabei:- top down: Die Regeln immer von oben nach unten betrachten. Die erste die passt wird verwendet.
- Das kann eine 'allow' oder eine 'deny' Regel sein.
- Du kannst Aliasse verwenden!
- Unter allen selbst angelegten Regeln kommt noch eine default 'Deny all' Regel.
Erstelle Dir zB einen Alias, den Du 'lokale-Netze' nennst.
Den benutzt Du in einer 'allow' Regel, in der als Ziel 'lokale-Netze' steht und der NOT Haken aktiviert ist.
Schon kannst Du überall außer zu den im Alias definierten Zielen hin.
Und es ist nur eine (1) Regel! -
Okay, danke für die Antwort. Ich habe das was du schreibst ja wirklich alles gecheckt, top-down usw.. Aber ich checke immer noch nicht wie ich einem
a) Interface wie OPT1 oder OPT2 das Internet freischalte und gleichzeitig nach LAN nur gewisse Ports erlaube. Muss ich da wirklich mit einer "allow all" Regel arbeiten und vor dieser Regel alles andere verbieten??
Oder gibt es wirklich den Weg mit
b) "allow all" und Destination "Wan Adress" via NAT?? An diesem Punkt scheitere ich im Moment.
Punkt a) bring ich hin, aber wäre es nicht mit Punkt B übersichtlicher??
-
Vergiss doch mal NAT! Das ist nur outbound wichtig, intern benutzt Du nur Regeln, es sei denn, Du baust etwas Spezielles. Das ist zumindest am Anfang mit Sicherheit nicht zeitsparend…
Also:
von OPT1 -> LAN: allow [Source] mit [Source Port Range ] nach [Destination/Alias] mit [Destination Port oder Range oder Alias]
[da moderne Betriebssysteme intern bereits ein NAT machen ("Windows Firewall") und der Quellport daher willkürlich sein kann benutzt Du als Source Port Range '' und definierst nur das erlaubte Ziel!]
Diese Regel vor die gestern beschriebene 'allow Internet' Regel. Fertig.Das sind nun zwei Regeln für das OPT1 Interface. Ist doch hübsch übersichtlich, oder?
Die gleichen Regeln (oder natürloich entsprechend angepasste) brauchst Du dann noch für das OPT2 Interface auf dessen eigenen Reiter.Wenn Du eine 'allow All -> WAN address' machst, dann erlaubt diese Regel genau das: Zugang zur WAN IP. Das ist aber NICHT das Internet sondern eben nur die IP eines Interfaces.
-
Okay, ich vergesse NAT, ich dacht ich kann via NAT doch mit der Destination WAN-Address etwas anfangen bezüglich Internet Access.
Für mich wäre es halt logischer, nachdem ein OPT1 Interface ausgehend default mal gar nichts zulässt, einfach mal eine Regel zu machen die einfach nur das Internet erlaubt. So kenne ich das zum Beispiel vom IPCop. Das ich hier den Umweg mit den Aliases machen muss in dem ich in einer Regel alles erlaube aber meine lokalen Netze blocke damit OPT1 Internet hat aber sonst nirgends hin darf finde ich einfach umständlich. Aber wenns nicht anders geht finde ich mich natürlich damit ab ;D
-
Wenn Du nur zwei interne Interfaces (Lan & Opt1) hast, dann reicht eine Regel ganz ohne Aliasse:
IF: Opt1 PCL: * S: OPT SPR: * D: !LAN subnet DPR: * (also all but LAN)
So arbeitet halt der pf, im Gegensatz zu den IPtables vom IPcop. Wenn man sich erst einmal umgewöhnt hat ist es straight forward und macht auch Sinn.
-
Ja, wahrscheinlich ist es reine Gewöhnungssache. Wenn man was jahrelang gewohnt ist wie ich den IPCop, deswegen hinterfrag ich das Ganze vielleicht auch so blöd!
Aber vielen Dank für deine Unterstützung, das war sehr hilfreich für mich!
-
Hallo Chris Vielen Dank für deine Geneile Erklärung wirklich sehr Hilfereich :)
