OPNSense 방화벽 예약 규칙이 작동하지 않습니다.

tag-icon tag-icon firewall opnsense
OPNSense 방화벽 예약 규칙이 작동하지 않습니다.

VM(10.0.64.43/27)에 대한 인터넷 액세스 일정을 만들었으나 규칙이 WAN 인터페이스에서 구현되었지만 작동하지 않는 것 같습니다. 인터넷 접속은 매주 월요일, 목, 일요일 21:30 - 21:45 사이에 허용되지만 VM은 항상 인터넷에 접속할 수 있습니다.

일정 -https://i.ibb.co/qm5FCMF/Schedules.png

WAN 규칙 -https://i.ibb.co/TgxLTY7/WAN-Rules.png

규칙 무효 -https://i.ibb.co/QcBzVpD/Schedule-Failure.png

패킷이 WAN에 도달하기 전에 NAT가 10.0.64.0/27 네트워크에 적용되어 규칙이 효과적이지 않을 수 있습니다.

이 경우 무엇이 잘못되었을지 생각해 보세요.

업데이트

소스 및 대상과 관련하여 방화벽 내부 및 외부를 이해하는 데 어려움을 겪었습니다.

내가 이해한 것은 무엇이든 구현했지만 예약된 규칙의 일부만 유효하며 네트워크 192.168.28.0에는 예약된 인터넷 액세스가 있으며 제대로 작동합니다.네트워크 10.0.64.0이 효과적이지 않은 것 같습니다..

클라이언트 VM에 대한 인터넷 경로가 있는 전체 네트워크 -https://i.ibb.co/9gHG3y3/Dell-Network.png

클라이언트의 Tracecert(192.168.1.21은 1_dell 인터페이스입니다.그리고192.168.47.2는 VMware Workstation의 NAT 네트워크입니다.) -https://i.ibb.co/PG8YKs5/W10-Tracert-Internet.png

일정 -https://i.ibb.co/JFqL03v/Schedule.png

일정대로 인터넷이 없는 서버 -https://i.ibb.co/HVbMPcv/Server-No-Internet.png

RFC1918 네트워크의 별칭 -https://i.ibb.co/9HXZ7t0/RFC1918.png

10.0.64.32 /27에 대한 인터넷 규칙 -https://i.ibb.co/9Wn5RQv/firewallwm-RFC1918.png

여전히 인터넷에 접속 가능 -https://i.ibb.co/TB7jRhd/W10-Internet.png

WAN 규칙 -https://i.ibb.co/YN28rzs/firewallwm-WAN-Rule.png

내 규칙이 잘못된 것인지 아니면 결함인지 확실하지 않습니다. 구현 방법을 이해하지 못하고 있습니다.

답변1

기본 규칙이 있습니다."방화벽 호스트 자체에서 모든 것을 내보내십시오"당신은에서 확인할 수 있습니다떠 있는방화벽 규칙.

귀하의 규칙은 특정 시간 간격으로 트래픽을 허용하도록 지시합니다. 또한 이를 "첫 번째 일치"로 구성했습니다. 방화벽은 규칙에 따라 다음과 같이 작동합니다.

  1. 규칙을 적용하기 위한 조건(귀하의 경우 일정, 소스, 대상 및 게이트웨이)을 확인합니다.
  2. 조건이 충족되면 트래픽을 허용하고 처리 중지 규칙
  3. 조건이 충족되지 않으면 규칙 처리를 계속합니다.
  4. 결국 트래픽을 허용하는 "방화벽 호스트 자체의 모든 항목 제거"를 처리합니다.

따라서 방화벽은 트래픽을 차단하지 않고 "다시"만 허용합니다.

00:00 to 21:29이 문제를 해결하려면 일정을 2개의 간격( 및 ) 으로 변경하세요 21:46 to 23:59. 또한 방화벽 규칙 작업을 block또는 로 변경합니다 reject.

이렇게 하면 트래픽을 차단하는 규칙이 생깁니다.

답변2

그래서 이 질문에 훌륭하게 답변해준 Eduardo와 경쟁하기보다는 적절한 형식으로 옵션을 설명하기 위해 답변을 추가합니다.

논의한 대로 일정이 있는 규칙은 현재 시간이 일정이 정의한 시간 내에 있을 때만 활성화됩니다. 일정은 차단이나 허용에 관심이 없습니다.

또한 모든 트래픽을 허용하는 기본 허용 규칙( )이 있습니다 ALLOW From Any To Any on Any Port using Any Protocol at Any Time. 트래픽 처리 방식을 변경하려면 차단 규칙을 통해서만 변경할 수 있으며 기본 규칙 앞에 나열되어야 합니다. 모든 것이 허용되므로 어떤 종류의 허용 규칙도 처리 방식을 변경할 수 없습니다. 트래픽을 처리한 규칙에 관계없이 최종 결과는 동일합니다.

원하는 작업을 수행하는 방법에는 두 가지가 있습니다.

이것이 Eduardo가 제안한 것입니다. 단일 일정에 두 가지 기간을 포함할 수 있다면 이는 훌륭한 접근 방식입니다. 좋고 깨끗합니다.

Block From <VMSubnet> To Any on Any Port using Any Protocol at 00:00:00 - 21:29:59 or 21:45:00 - 23:59:59
ALLOW From Any To Any on Any Port using Any Protocol at Any Time
  • 트래픽이 VM이 아닌 IP에서 들어오는 경우 허용됩니다(기본 규칙).
  • 트래픽이 22시 50분에 VM IP에서 들어오는 경우 차단됩니다(일정 규칙).
  • 트래픽이 21시 35분에 VM IP에서 들어오는 경우 허용됩니다(기본 규칙).

다른 접근 방식은 항상 VM의 모든 트래픽을 차단하는 차단 규칙과 예약된 기간 동안 이를 허용하는 허용 규칙을 추가하는 것입니다. 이 경우 일정은 21:30~21:45가 됩니다.

Allow From <VMSubnet> To Any on Any Port using Any Protocol at 21:30:00 - 21:45:00    
Block From <VMSubnet> To Any on Any Port using Any Protocol at Any Time
ALLOW From Any To Any on Any Port using Any Protocol at Any Time
  • 트래픽이 VM이 아닌 IP에서 들어오는 경우 허용됩니다(기본 규칙).
  • 트래픽이 21시 31분에 VM IP에서 들어오는 경우 허용됩니다(예약 규칙).
  • 트래픽이 22:15에 VM IP에서 들어오는 경우 차단됩니다(차단 규칙).

문제를 해결하는 데 도움이 되기를 바랍니다.

관련 정보