*Inhalt gelöscht*
Zuletzt bearbeitet von einem Moderator:
Follow along with the video below to see how to install our site as a web app on your home screen.
Anmerkung: this_feature_currently_requires_accessing_site_using_safari
Die automatischen, ja.Die Outbound NAT Rules erstellt das System doch selbst?
Denke nicht, dass es überhaupt welche gibt oder das nötig wäre.um alle Altlasten los zu werden.
Das war und ist der Weg.das war damals der empfohlene Weg.
Kostenlos gibt es doch quasi nichts besseres.Wenn das so weiter geht, suche ich mir vielleicht doch noch ne Alternative zur OpnSense.

Habe heute blöderweise Updates eingespielt und die neue Version erhalten. Beim Bestätigen des Updates habe ich von diesen ganzen Infos nichts gelesen.
Ich habe auch meine Regeln noch nicht migriert und trotzdem werden sie in den "Rules NEW" angezeigt. Gleichzeitig sind noch ist noch die alte Regel Seite aktiv.
The new rules are populated with old rules read only, they still only exist in the old rules.
Old rules have a distinct command button that opens the legacy rule page, and cannot be deleted/cloned in the new GUI
You still have to migrate eventually.
In 26.7 the old rules will be turned into a plugin, so they will still work. No pressure to migrate yet.
Das ist auch der korrekte Weg.also mit einem Alias der alle IP Ranges der anderen Netzwerke enthält:
👍Ein Alias fuer die internen Netze.
Hab mir schon überlegt, das Management Netzwerk auf einen eigenen physikalischen Port umzulegen.Bevor du damit anfaengst am besten nen seperates Emergency Netz konfigurieren, wo du dich anstoepseln kannst.
Das Management Netz hat bei mir aktuell einen "Emergency Port" auf dem Switch, dort kann ich mich notfalls direkt anstöpseln.Ein Alias fuer die internen Netze. Evtl. brauchst du nen Allow fuer das jeweilige Netz, weil man sich quasi selbst aussperren wuerde wenn das Netz im Alias innerhalb des gleichen Netzes blockiert wird. Muesste man aber in der Doku nachschauen wie sich die PFSense bei so ner Regel verhaelt. (Oder halt einfach das eigene Netz vor dem Block allowen, dann biste safe).
Ehrlich gesagt, keine Ahnung, was Du da treibst.Overkill, oder gute Idee?

Eine Sache kapiere ich immer noch nicht. Wenn ich eine Regel habe die etwas blockieren soll setzte ich die immer auf "Block", trotzdem lese ich immer wieder das man es auf "Pass" + "Invert" setzen soll,
Ein Netzwerk einrichten, das nicht auf die anderen Netzwerke zugreifen darf, sondern nur ins InternetzEhrlich gesagt, keine Ahnung, was Du da treibst.![]()
Ich habe mich nach der Info von @p4n0 gerichtet, der nutzt aber wohl eine pfsense wo wie ich das gerade nochmals gelesen habe.Die OPNsense erstellt automatisch entsprechende Aliase namens ">interface< network"


Ok, das kannte ich bis her noch nicht. Ist natürlich die eleganteste Lösung.Standardmässig ist bei den Firewall Regeln alles geblockt. Die Regel "allow all" Destination !RFC_1918 liest sich "Erlaube alles, ausser in die privaten Netze". Also das ! invertiert das Ziel.
Jain. Es ist so, dass Du am (hoffentlich) "DMZ"-Interface nur regelst, was Hosts aus diesem Interface kommend erreichen dürfen. Aber nicht, was andere Host aus anderen Interfacen dürfen, die dürfen vielleicht durchaus auf dein DMZ-Netz zugreifen.Quasi als wäre es ein eigener Router direkt am Internet.

Ja genau, in den Firewall Regeln vom DMZ Netz stelle ich nur ein was Clients von diesem Netz dürfen bzw. nicht dürfen.Es ist so, dass Du am (hoffentlich) "DMZ"-Interface nur regelst, was Hosts aus diesem Interface kommend erreichen dürfen.
Das stelle ich in den entsprechenden Regeln der anderen Netze ein, ist mir auch klar.Aber nicht, was andere Host aus anderen Interfacen dürfen, die dürfen vielleicht durchaus auf dein DMZ-Netz zugreifen.
Hast du das nicht per offiziellem OpnSense Plugin installiert?Als Community Liste habe ich abuseipdb.com genommen. Aber wie gesagt die funktioniert atm nicht, habe ich irgendwie verkonfiguriert per SSH. Aber der honeypot ist eh viel besser...