Запланированное правило брандмауэра OPNSense не работает

Я создал расписание доступа в Интернет для виртуальной машины (10.0.64.43/27), правило реализовано на интерфейсе WAN, но, похоже, не работает. Доступ в Интернет должен быть разрешен с 21:30 до 21:45 каждый понедельник, четверг и воскресенье, но виртуальная машина имеет доступ в Интернет все время.

График — https://i.ibb.co/qm5FCMF/Schedules.png

Правило WAN — https://i.ibb.co/TgxLTY7/WAN-Rules.png

Правило неэффективно — https://i.ibb.co/QcBzVpD/Schedule-Failure.png

Может быть, NAT применяется к сети 10.0.64.0/27 до того, как пакеты достигают WAN, и поэтому правило неэффективно.

Есть мысли, что может быть не так в этом случае.

Спасибо

Есть правило по умолчанию для «выпускать что-либо из самого хоста брандмауэра» вы можете проверить на Плавающий правила брандмауэра.

Ваше правило просто разрешает трафик через определенный интервал времени. Кроме того, вы настроили его как «первое совпадение». Брандмауэр работает с вашим правилом следующим образом:

1. Проверяет ваше условие для применения правила (расписание, источник, место назначения и шлюз в вашем случае)
2. Если условие выполнено, разрешить трафик и прекратить обработку правил
3. Если условие не выполнено, продолжить обработку правил
4. В конце концов, он обработает сообщение «что угодно с самого хоста брандмауэра», разрешив трафик

Таким образом, ваш брандмауэр никогда не будет блокировать трафик, разрешив только «снова».

Чтобы решить эту проблему, измените расписание на 2 интервала:
00:00 to 21:29 и 21:46 to 23:59. Также измените действие правила брандмауэра на block или же reject.

Таким образом, будет правило, блокирующее трафик.

Поэтому я добавляю ответ не для того, чтобы соревноваться с Эдуардо, который хорошо ответил на этот вопрос, а чтобы объяснить варианты с правильным форматированием.

Итак, как мы обсуждали, правило с расписанием будет активно только тогда, когда текущее время выпадает на время, определенное расписанием. Расписания не заботятся о блокировке или разрешении.

Также обратите внимание, что у вас есть правило разрешения по умолчанию, которое разрешает весь трафик (ALLOW From Any To Any on Any Port using Any Protocol at Any Time). Если вы хотите изменить способ обработки трафика, вы можете сделать это только с помощью правила блокировки, и оно должно быть указано перед правилом по умолчанию. Никакое правило разрешения не может изменить способ обработки, поскольку разрешено все. конечный результат будет идентичным, независимо от того, какое правило обрабатывало трафик.

Есть два способа делать то, что вы хотите.

Это то, что предложил Эдуардо. Это отличный подход, если вы можете поместить два промежутка времени в одно расписание. Красиво и чисто.

Block From <VMSubnet> To Any on Any Port using Any Protocol at 00:00:00 - 21:29:59 or 21:45:00 - 23:59:59
ALLOW From Any To Any on Any Port using Any Protocol at Any Time

• ЕСЛИ трафик идет с IP-адреса, отличного от ВМ, он разрешен (правило по умолчанию)
• ЕСЛИ трафик идет с IP-адреса виртуальной машины в 22:50, он заблокирован (правило расписания)
• ЕСЛИ трафик идет с IP-адреса виртуальной машины в 21:35, он разрешен (правило по умолчанию)

Другой подход — добавить правило блокировки, которое постоянно блокирует весь трафик от виртуальных машин, и разрешающее правило, которое разрешает его в течение запланированного окна. В этом случае ваше расписание будет 21: 30-21: 45.

Allow From <VMSubnet> To Any on Any Port using Any Protocol at 21:30:00 - 21:45:00    
Block From <VMSubnet> To Any on Any Port using Any Protocol at Any Time
ALLOW From Any To Any on Any Port using Any Protocol at Any Time

• ЕСЛИ трафик идет с IP-адреса, отличного от ВМ, он разрешен (правило по умолчанию)
• ЕСЛИ трафик идет с IP-адреса виртуальной машины в 21:31, он разрешен (запланированное правило)
• ЕСЛИ трафик идет с IP-адреса виртуальной машины в 22:15, он заблокирован (правило блокировки)

Надеюсь, что это поможет прояснить ситуацию.