Die geplante Regel der OPNSense-Firewall funktioniert nicht

tag-icon tag-icon firewall opnsense
Die geplante Regel der OPNSense-Firewall funktioniert nicht

Ich habe einen Zeitplan für den Internetzugang für eine VM (10.0.64.43/27) erstellt. Die Regel ist auf einer WAN-Schnittstelle implementiert, scheint aber nicht zu funktionieren. Der Internetzugang soll jeden Montag, Donnerstag und Sonntag zwischen 21:30 und 21:45 Uhr erlaubt sein, obwohl die VM die ganze Zeit Internetzugang hat.

Zeitplan -https://i.ibb.co/qm5FCMF/Schedules.png

WAN-Regel -https://i.ibb.co/TgxLTY7/WAN-Rules.png

Regel unwirksam -https://i.ibb.co/QcBzVpD/Schedule-Failure.png

Könnte es sein, dass NAT auf das Netzwerk 10.0.64.0/27 angewendet wird, bevor Pakete das WAN erreichen und die Regel daher unwirksam ist?

Irgendwelche Ideen, was in diesem Fall falsch sein könnte?

AKTUALISIEREN

Es fiel mir schwer, den Ein- und Ausgang der Firewall im Verhältnis zu Quelle und Ziel zu verstehen.

Was auch immer ich verstanden habe, ich habe es umgesetzt, aber nur ein Teil der geplanten Regel ist wirksam. Das Netzwerk 192.168.28.0 hat einen geplanten Internetzugriff und funktioniert einwandfrei.Das Netzwerk 10.0.64.0 scheint nicht effektiv zu sein.

Das gesamte Netzwerk mit Internetroute für Client-VM -https://i.ibb.co/9gHG3y3/Dell-Network.png

Tracert vom Client (192.168.1.21 ist die 1_dell-SchnittstelleUnd192.168.47.2 ist das NAT-Netzwerk in VMware Workstation) -https://i.ibb.co/PG8YKs5/W10-Tracert-Internet.png

Zeitplan -https://i.ibb.co/JFqL03v/Schedule.png

Server ohne Internet wie geplant -https://i.ibb.co/HVbMPcv/Server-No-Internet.png

Alias ​​für RFC1918-Netzwerke -https://i.ibb.co/9HXZ7t0/RFC1918.png

Internetregel für 10.0.64.32 /27 -https://i.ibb.co/9Wn5RQv/firewallwm-RFC1918.png

Internet weiterhin erreichbar -https://i.ibb.co/TB7jRhd/W10-Internet.png

WAN-Regel -https://i.ibb.co/YN28rzs/firewallwm-WAN-Rule.png

Ich bin nicht sicher, ob meine Regel falsch ist oder ob es sich um einen Fehler handelt und ich nicht verstehe, wie ich sie umsetzen soll.

Antwort1

Es gibt eine Standardregel für"alles vom Firewall-Host selbst rauslassen"Sie können überprüfen beiSchwimmendFirewall-Regeln.

Ihre Regel besagt lediglich, dass Datenverkehr in einem bestimmten Zeitintervall zugelassen werden soll. Außerdem haben Sie es als „erste Übereinstimmung“ konfiguriert. Die Firewall funktioniert mit Ihrer Regel folgendermaßen:

  1. Überprüft Ihre Bedingungen zum Anwenden der Regel (in Ihrem Fall Zeitplan, Quelle, Ziel und Gateway)
  2. Wenn die Bedingung erfüllt ist, lassen Sie den Datenverkehr zu und stoppen Sie die Verarbeitung der Regeln
  3. Wenn die Bedingung nicht erfüllt ist, fahren Sie mit der Verarbeitung der Regeln fort
  4. Schließlich wird der Vorgang „Alles vom Firewall-Host selbst rauslassen“ ausgeführt, wodurch Datenverkehr zugelassen wird.

Ihre Firewall wird den Datenverkehr also niemals blockieren, sondern nur „erneut“ zulassen.

Um dieses Problem zu beheben, ändern Sie den Zeitplan so, dass er zwei Intervalle hat: 00:00 to 21:29und 21:46 to 23:59. Ändern Sie außerdem die Firewall-Regelaktion in blockoder reject.

Auf diese Weise entsteht eine Regel zur Blockierung des Datenverkehrs.

Antwort2

Daher füge ich keine Antwort hinzu, um mit Eduardo zu konkurrieren, der diese Frage gut beantwortet hat, sondern um die Optionen mit der richtigen Formatierung zu erläutern.

Wie wir besprochen haben, ist eine Regel mit Zeitplan nur dann aktiv, wenn die aktuelle Zeit in die im Zeitplan definierte Zeit fällt. Zeitpläne kümmern sich nicht um Sperren oder Zulassen.

Beachten Sie auch, dass Sie eine Standard-Zulassungsregel haben, die den gesamten Datenverkehr zulässt ( ALLOW From Any To Any on Any Port using Any Protocol at Any Time). Wenn Sie die Art und Weise ändern möchten, wie der Datenverkehr verarbeitet wird, können Sie dies nur mithilfe einer Blockierungsregel tun, und diese muss vor der Standardregel aufgeführt werden. Keine Zulassungsregel kann die Art und Weise ändern, wie der Datenverkehr verarbeitet wird, da alles zulässig ist. Das Endergebnis ist identisch, unabhängig davon, welche Regel den Datenverkehr verarbeitet hat.

Es gibt zwei Möglichkeiten, das zu tun, was Sie möchten.

Das ist, was Eduardo vorgeschlagen hat. Es ist ein toller Ansatz, wenn Sie zwei Zeitspannen in einen einzigen Zeitplan packen können. Schön und sauber.

Block From <VMSubnet> To Any on Any Port using Any Protocol at 00:00:00 - 21:29:59 or 21:45:00 - 23:59:59
ALLOW From Any To Any on Any Port using Any Protocol at Any Time
  • Wenn der Datenverkehr von einer Nicht-VM-IP kommt, ist er zulässig (Standardregel).
  • Wenn der Datenverkehr um 22:50 Uhr von einer VM-IP kommt, wird er blockiert (Zeitplanregel)
  • WENN der Datenverkehr um 21:35 von einer VM-IP kommt, ist er zulässig (Standardregel)

Der andere Ansatz besteht darin, eine Blockregel hinzuzufügen, die den gesamten Datenverkehr von den VMs ständig blockiert, und eine Zulassungsregel, die ihn während des geplanten Zeitfensters zulässt. In diesem Fall wäre Ihr Zeitplan nur 21:30-21:45.

Allow From <VMSubnet> To Any on Any Port using Any Protocol at 21:30:00 - 21:45:00    
Block From <VMSubnet> To Any on Any Port using Any Protocol at Any Time
ALLOW From Any To Any on Any Port using Any Protocol at Any Time
  • Wenn der Datenverkehr von einer Nicht-VM-IP kommt, ist er zulässig (Standardregel).
  • WENN der Datenverkehr um 21:31 von einer VM-IP kommt, ist er zulässig (geplante Regel)
  • WENN der Datenverkehr um 22:15 Uhr von einer VM-IP kommt, wird er blockiert (Blockierungsregel)

Hoffe, das hilft zur Aufklärung.

verwandte Informationen