Mijn vraag
Wat ik gewend ben is dat firewalls alleen vereisen om rules aan te maken op basis van waar de connectie wordt geinitieerd. Dus als je VLAN A met Server A hebt en VLAN B met Server B, en je wilt dat server A via http:80 een txt bestandje van een webserver op server B kan downloaden, dan voeg je een regel toe die toestaat dat server A een connectie mag maken naar server B over tcp protocol op poort 80. Dat vervolgens de data van het txt bestandje van server B terug gaat naar Server A hoef je niet te configureren.
Nu heb je in opnsense meerdere interfaces, o.a. voor elk VLAN een. Je moet dan bij het maken van de rules ook nadenken over de direction.
Ik heb in VLAN A een desktop staan, in VLAN B een pihole. Ik heb op de interface van VLAN A de volgende rule aangemaakt:
* interface: vlan A
* direction: in
* protocol: tcp/udp
* source: vlan a net
* destination: pihole (dit is een alias)
* destination port range: dns-dns
Dit werkt, ik kan van de desktop nu een nslookup doen op de pihole.
In de logs zie ik ook netjes dat deze rule gebruikt wordt. Ik zie echter ook direct daarna in de logs dat op interface van VLAN B een outbound pass plaatsvind met als source mijn desktop en als destination de pihole.
Daaruit begrijp ik dat het inbound/outbound plaatje vanuit de documentatie iets complexer is:
inbound -> firewall interface A -> outbound -> inbound -> firewall interface B -> outbound
En dat de outbound standaard toegestaan wordt, maar de inbound niet.
Waarom moet ik dan niet om dit mogelijk te maken ook een pass rule aanmaken voor de inbound van interface B?
Relevante software en hardware die ik gebruik
Opnsense
Wat ik al gevonden of geprobeerd heb
Documentatie gelezen en gezien dat het zo werkt, nu nog begrijpen waarom.. (of erachter komen dat ik iets helemaal verkeerd doe)
Wat ik gewend ben is dat firewalls alleen vereisen om rules aan te maken op basis van waar de connectie wordt geinitieerd. Dus als je VLAN A met Server A hebt en VLAN B met Server B, en je wilt dat server A via http:80 een txt bestandje van een webserver op server B kan downloaden, dan voeg je een regel toe die toestaat dat server A een connectie mag maken naar server B over tcp protocol op poort 80. Dat vervolgens de data van het txt bestandje van server B terug gaat naar Server A hoef je niet te configureren.
Nu heb je in opnsense meerdere interfaces, o.a. voor elk VLAN een. Je moet dan bij het maken van de rules ook nadenken over de direction.
Ik heb in VLAN A een desktop staan, in VLAN B een pihole. Ik heb op de interface van VLAN A de volgende rule aangemaakt:
* interface: vlan A
* direction: in
* protocol: tcp/udp
* source: vlan a net
* destination: pihole (dit is een alias)
* destination port range: dns-dns
Dit werkt, ik kan van de desktop nu een nslookup doen op de pihole.
In de logs zie ik ook netjes dat deze rule gebruikt wordt. Ik zie echter ook direct daarna in de logs dat op interface van VLAN B een outbound pass plaatsvind met als source mijn desktop en als destination de pihole.
Daaruit begrijp ik dat het inbound/outbound plaatje vanuit de documentatie iets complexer is:
inbound -> firewall interface A -> outbound -> inbound -> firewall interface B -> outbound
En dat de outbound standaard toegestaan wordt, maar de inbound niet.
Waarom moet ik dan niet om dit mogelijk te maken ook een pass rule aanmaken voor de inbound van interface B?
Relevante software en hardware die ik gebruik
Opnsense
Wat ik al gevonden of geprobeerd heb
Documentatie gelezen en gezien dat het zo werkt, nu nog begrijpen waarom.. (of erachter komen dat ik iets helemaal verkeerd doe)
:strip_icc():strip_exif()/u/506130/keitjes.jpg?f=community)
:strip_icc():strip_exif()/u/146731/crop562615a0aa64c.jpeg?f=community)