# OPNsense Floating Rules: Globale Policies & Egress-Filtering
TL;DR / Management Summary Während normale Interface-Regeln (Artikel 553) immer am Eingang (Inbound) prüfen, sind Floating Rules die Allrounder. Sie können auf mehrere Interfaces gleichzeitig wirken und sowohl den Eingang (Ingress) als auch den Ausgang (Egress) filtern. Ein Senior Admin nutzt Floating Rules primär für globale Sperrlisten (Geo-IP), zur Priorisierung von Traffic (QoS) und um sicherzustellen, dass kein unverschlüsselter Traffic die Firewall Richtung Internet verlässt.
# 1. Einführung & Logik
Die Ausnahme von der Regel.
Normalerweise gilt: Interface Rule Match = Stop. OPNsense prüft Floating Rules vor den Interface-Regeln, es sei denn, die Option “Quick” ist nicht gesetzt.
# Schlüssel-Optionen
- Quick: Wenn aktiviert, bricht die Firewall-Prüfung beim ersten Treffer ab (wie normale Regeln). Wenn deaktiviert, wird die Regel nur gemerkt, und die Prüfung geht weiter (Last Match Wins).
- Direction:
- In: Paket kommt vom Kabel in die Firewall.
- Out: Paket verlässt die Firewall Richtung Kabel.
- Interfaces: Sie können Strg+Klick nutzen, um z.B. WAN1, WAN2 und alle VPN-Tunnel gleichzeitig auszuwählen.
# 2. Anwendungsfälle für Floating Rules
Wann man sie wirklich braucht.
# 1. Globales Blocken (Malware/Geo-IP)
Anstatt auf jedem Interface (WAN, LAN, GUEST) die gleiche Sperrliste zu pflegen:
- Aktion: Eine Floating Rule, Direction
In, InterfacesAny, SourceMalware_Alias->Block.
# 2. Egress Filtering (Ausgangsschutz)
Verhindern Sie, dass interne Server über inoffizielle Wege nach draußen sprechen.
- Beispiel: Nur der DNS-Server darf Port 53 Outbound nutzen.
- Regel: Floating Rule, Direction
Out, InterfaceWAN, ProtoUDP, Port53, Source!DNS_SERVER_ALIAS->Reject.
# 3. Traffic Shaping (QoS)
Für die Zuweisung von Paketen in Shaper-Queues (Artikel 552) sind Floating Rules oft zwingend, da nur hier die Direction: Out zuverlässig gefiltert werden kann.
# 3. Deep Dive: ‘Quick’ vs. ‘Non-Quick’
Die Verarbeitungs-Reihenfolge.
Dies ist der häufigste Fehler bei der Nutzung von Floating Rules.
- Floating Rule (Quick): Wird als Allererstes geprüft. Match = Ende.
- Interface Rule: Wird danach geprüft.
- Floating Rule (Non-Quick): Wird am Ende geprüft, falls keine Quick-Regel gematcht hat.
# 4. Day-2 Operations: ICMP Härtung
Ping sinnvoll einschränken.
Nutzen Sie Floating Rules, um ICMP (Ping) global über alle Netze hinweg konsistent zu erlauben oder zu drosseln.
- Empfehlung: Erlauben Sie
Echo RequestundDestination Unreachableglobal, aber limitieren Sie die Rate via Pipe (Artikel 552).
# 5. Troubleshooting & “War Stories”
Wenn die globale Regel alles sperrt.
# Top 3 Fehlerbilder
-
Symptom: Das Internet ist für alle weg, obwohl die LAN-Regeln auf “Allow Any” stehen.
- Ursache: Eine Floating Rule mit
QuickOption blockiert den Traffic global. - Lösung:
Firewall -> Diagnostics -> Live View. Filtern Sie nach “Label”, um den Namen der Floating Rule zu finden.
- Ursache: Eine Floating Rule mit
-
Symptom:
Direction: OutRegeln am WAN-Port blockieren den Zugriff auf die Firewall selbst.- Lösung: Nutzen Sie
Source: WAN addressstattSource: Anyfür Egress-Regeln am WAN.
- Lösung: Nutzen Sie
-
Symptom: Regeln für IPsec-Tunnel funktionieren nicht.
- Lösung: IPsec-Traffic wird oft erst nach der Interface-Prüfung entschlüsselt. Floating Rules sind oft der einzige Weg, diesen Traffic sauber zu erfassen.
# “War Story”: Der “Auto-Kill” für das Home Office
Ein Admin wollte verhindern, dass User via VPN den privaten Drucker im LAN nutzen können. Er erstellte eine Floating Rule Direction: Out, Source: VPN_NET, Dest: LAN_NET -> Block.
Das Ergebnis: Die User konnten sich einwählen, bekamen aber keine GPOs und kein DNS mehr.
Die Ursache: Da der DC im LAN-Netz stand, blockierte die Out-Regel auch die Antworten der Domänencontroller an die VPN-Clients.
Lehre: Out Regeln sind extrem mächtig, aber gefährlich, da sie oft den “Rückweg” von Paketen blockieren, an den man im ersten Moment nicht denkt. Nutzen Sie für 90% der Aufgaben lieber In Regeln am Interface.
# 6. Monitoring & Reporting
Transparenz für globale Regeln.
# Custom Log Labels
Geben Sie jeder Floating Rule ein eindeutiges Label (z.B. GLOBAL_GEO_BLOCK).
- Vorteil: In der Live-Ansicht und im Export sehen Sie sofort, dass eine globale Policy gegriffen hat und nicht eine lokale Interface-Regel.
# 7. Fazit & Empfehlung
Floating Rules sind das “Skalpell” im Werkzeugkasten.
- Empfehlung: Nutzen Sie Floating Rules nur mit dem ‘Quick’ Flag, um die Logik einfach zu halten.
- Wahl: Verwenden Sie sie für Geo-IP Sperren und QoS. Für alles andere (Routing zwischen VLANs) bleiben Sie bei Interface-Regeln (Artikel 553).
# Anhang: Cheatsheet
| Feld | Einstellung | Wirkung |
|---|---|---|
| Interface | WAN, LAN, … | Gilt für alle markierten Netze |
| Direction | In | Bevor das Paket die FW betritt |
| Direction | Out | Bevor das Paket die FW verlässt |
| Quick | Yes | Sofortiger Abbruch bei Match |
| Quick | No | Prüfung geht weiter |
