Beim Erstellen Ihres Regelsatzes können Fehler auftreten. Es ist daher immer gut zu wissen, wo Sie nach Anzeichen für ein Problem suchen müssen. Einer der häufigsten Fehler ist, dass der Datenverkehr nicht mit der Regel übereinstimmt und/oder die Reihenfolge der Regeln aus irgendeinem Grund nicht sinnvoll ist.
Mit der Schaltfläche „Überprüfen“ kann man leicht sehen, ob eine Regel ausgewertet wurde und der Datenverkehr diese Regel passiert hat. Es ist auch möglich, direkt zu den zugehörigen Zuständen zu springen, um zu sehen, ob Ihr Host wie erwartet in der Liste enthalten ist.
Ein weiteres wertvolles Tool ist der Live-Log-Viewer. Um ihn zu verwenden, stellen Sie sicher, dass Sie Ihrer Regel eine leicht lesbare Beschreibung geben und die Option „Protokoll“ aktivieren.
Wenn Sie Source Routing (richtlinienbasiertes Routing) verwenden, kann die Fehlersuche manchmal etwas komplizierter sein. Da die normale System-Routing-Tabelle möglicherweise nicht gilt, ist es hilfreich zu wissen, welchem Fluss der Datenverkehr tatsächlich gefolgt ist. In diesem Fall ist die Paketerfassung ein nützliches Tool.
Häufige Probleme in diesem Bereich sind Rückverkehr, der eine andere Schnittstelle als diejenige verwendet, über die er eingegangen ist, da der Datenverkehr auf seinem Weg nach außen der normalen Routing-Tabelle folgt (Reply-to-Problem), oder Datenverkehr, der aufgrund einer Überauswahl die falsche Schnittstelle verlässt (Übereinstimmung mit internem Datenverkehr und Erzwingen eines Gateways).
Es ist auch ratsam, die verwendeten Netzmasken zu überprüfen, da es leicht zu Fehlern kommen kann, wenn man einen Host abgleichen möchte, aber ein Subnetz angibt (z. B. <tt>192.168.1.1/32</tt> vs. <tt>192.168.1.1/24</tt> entspricht in Wirklichkeit <tt>192.168.1.x</tt>)
Zu guter Letzt sollten Sie daran denken, dass Regeln in der Reihenfolge ihrer Angabe abgeglichen werden und die Standardrichtlinie (für eingehenden Datenverkehr) <tt>block</tt> lautet, sofern nichts anderes angegeben ist. Da wir den Datenverkehr auf <tt>inbound</tt> abgleichen, sollten Sie unbedingt Regeln für den Ursprung des Datenverkehrs hinzufügen (z. B. <tt>lan</tt> für Datenverkehr, der Ihr Netzwerk verlässt; der Rückverkehr sollte normalerweise durch den Status zugelassen werden).
OPNsense enthält einen zustandsorientierten Paketfilter, mit dem Sie den Datenverkehr von und zu bestimmten Netzwerken einschränken oder zulassen sowie die Weiterleitung des Datenverkehrs beeinflussen können (siehe auch „Multi-WAN“ unter „Richtlinienbasiertes Routing“).
Im Abschnitt „Regeln“ werden alle für Ihr Netzwerk geltenden Richtlinien nach Schnittstellen gruppiert angezeigt.
Übersicht
Die Übersicht zeigt alle Regeln, die für die ausgewählte Schnittstelle (Gruppe) oder den Floating-Abschnitt gelten. Zu jeder Regel werden einige Details angezeigt, und Sie können gegebenenfalls Aktionen ausführen, z. B. verschieben, bearbeiten, kopieren, löschen.
Einstellung
Beschreibung
Schnittstellenname
Der Name der Schnittstelle ist Teil der normalen Menü-Breadcrumb-Navigation.
Kategorie
Wenn in den Regeln Kategorien verwendet werden, können Sie hier auswählen, welche angezeigt werden sollen.
Prüfung umschalten
Hier können Sie zwischen der Prüfungs- und der Regelansicht umschalten. Im Prüfungsmodus werden Statistiken zur Regel angezeigt (z. B. Paket-Zähler, Anzahl der aktiven Zustände usw.).
Automatische Regeln ein-/ausblenden
Einige Regeln werden automatisch generiert. Hier können Sie umschalten, um die Details anzuzeigen. Wenn eine Lupe angezeigt wird, können Sie auch zu ihrer Quelle navigieren (der Einstellung, die diese Regel steuert).
