[Gelöst] Firewall Regel Kein Internet für Clients
-
Hallo.
Ich kämpfe mit dem Problem das ich allen Clients das Internet verbieten möchte. Später soll es Ausnahmen geben.Leider gibt es nicht wie bei anderen Firewalls die Regel für Wan Verbindungen. Wan Adress und net beziehen sich ja nicht auf "das Internet"
Ich habe nun eine Regel in der Lan Sektion erstellt. (siehe Bild) Damit verbiete ich alles ausser Lan zu Lan. Funktioniert auch. Allerdings geht dann auch kein Lan zu Opt1 und auch kein Lan zu Ipsec.
Eine Regel davor oder danach welche dies erlauben würde ist ja nicht möglich.Mit welchem Regelset kann ich "nur" die Verbindung ins Wan unterbinden ? So das ipsec und Opt auch weiterhin möglich ist ?
Gruß
Bernd
-
Selbstverständlich ist eine Regel davor möglich, die den Zugriff auf Opt1 erlaubt.
Die Regeln werden von oben nach unten durchgearbeitet bis eine gefunden wird, die zutrifft.
Alles was nicht per Regel erlaubt wird ist verboten.
Wenn du also alle Regeln ausser die voreingestellte Anti-Lockout Rule löschst hast du genau das erreicht was du gerade mit deiner Regel machst.
Die Firewall kann sowieso keine Verbindungen filtern, die das LAN Subnetz nicht verlassen.Eine Möglichkeit "Internet" als Ziel anzugeben gibt es leider nicht.
Was du aber machen kannst ist einen Alias erstellen und diesen in der Firewallregel verwenden.Beispiel: Firewall -> Aliases -> IP
Name: RFC_1918
Description: Private Subnetze
Type: Network(s)
Network or FQDN: 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16In der Firewall Regel gibst du dann als Ziel den Alias an:
Dieser Beitrag wurde editiert, um denen, die das gleiche Problem haben und per Suche auf den Thread stoßen gleich die bessere Antwort zu liefern.
Link zum alten Screenshot, auf den sich die Antwort von jahonix beizeht: ALTER SCREENSHOT -
Das scheint es zu sein.
Bei dieser Firewall sehe ich oft den Wald vor lauter Bäumen nicht.
Es wird eine Weile dauern bis das Verinnerlicht ist.
Vielen Dank. -
Die Version mit einem Alias ist gut, allerdings fördert es nicht gerade die Übersicht, wenn man mit nur einer Regel lokal erlauben und gleichzeitig extern verbieten will.
Ich würde daher immer sowas machen:
1.) erlaube RFC1918 (zB über den Alias)
2.) blockiere den RestDas kann man auch nachts bei einer hektischen Fehlersuche noch sofort nachvollziehen.
-
Danke für den Hinweis jahonix.
Du hast natürlich Recht.
Besser wäre eine Regel, die private IP-Adressbereiche erlaubt.
Ich habe mich beim Erstellen der Regel wahrscheinlich zu stark an dem Screenshot von DasBrot orientiert, in dem mit Invert match gearbeitet wurde.Den Rest blockieren kann man machen um ganz sicher zu gehen. Wenn allerdings nur die RFC1918 Regel existiert wird sowieso alles andere geblockt.
Ich habe meine erste Antwort editiert.
Link zum alten Screenshot, auf den sich die Antwort von jahonix bezieht: ALTER SCREENSHOT