CARP default Floating rule in Firewall

[learningNetworking]

Hallo liebe Community,
ich hätte eine kurze Frage zu CARP (Common Address Redundancy Protocol) und der jeweiligen automatisch, vordefinierten Firewall Regel in Floating Rules (siehe Bild).
Wenn ich das richtig verstehe ist 224.0.0.18 sowieso eine reservierte Multicast Adresse und nicht routbar. Die <bogons> Rule auf dem WAN Interface würde 224.0.0.0/4 ausschließen, aber Floating Rules werden ja vor spezifischen Interface Rules angewandt.
Ich habe etwas recherchiert und das hier gefunden (in Zeile 3428):
https://github.com/opnsense/core/bl...d3a424e846/src/etc/inc/filter.inc#L3428-L3431

Wenn ich das richtig verstehe, wird wenn keine CARP rules definiert sind (habe ich nicht), die Funktion einfach returned.
Da ich anfänger bin, würde ich gerne nachfragen ob das so seine Richtigkeit hat, da ich dennoch leicht verunsichert bin.

Ich gehe davon aus, dass dies seine Richtigkeit hat, denn sonst würde dies ja bedeuten, dass die Tür offen stehen würde by default. Gerne würde ich aber auch verstehen, weshalb dies korrekt ist, a) um zu lernen und b) um auch ein ruhiges Gewissen zu haben

Vielen lieben Dank und einen schönen Abend.

 

[the other]

Moinsen,
Deine Regeln erscheinen etwas durcheinander...
Wenn alles von oben nach unten abgearbeitet wird, du in der ersten Regel zb IPv6 komplett verbietest...warum dan später allow Regeln für IPv6?...Die werden dann eh ignoriert.

Warum CARP? Nutzt du das?

 

[Barungar]

Das (z.B. CARP) sind automatische Regeln, die die OPNsense per default erzeugt. Steht übrigens auch oben rechts in der obersten Zeile.
Und die "block all IPv6" dürfte vermutlich kommen, wenn auf keinem Interface IPv6 aktiviert ist; dann wäre ja jedwedes IPv6 "unerwünscht" und ein Blocking korrekt.

 

[the other]

Moinsen,
alles klar, komplett andere Ansicht als bei pfsense (automatische default Regeln werden in der GUI da so nicht angezeigt)...mir ging es auch eher um den Sinn der Reihenfolge, das war mir als merkwürdig aufgefallen, da hier dann im weiteren Verlauf weitere IPv6-bezogene Regeln auftauchen, die ja in Zeile 1 bereits beinhaltet sind und daher überflüssig erscheinen...wenn das aber die Art der Darstellung ist, einfach den ersten Post gepflegt ignorieren.

 

[learningNetworking]

Ja mir erschien das auch etwas durcheinander. Ich hatte ja vorher auch schonmal in die pfsense vorbeigeschaut, wo es diese auto-Regeln tatsächlich nicht gibt. Und musste ersteinmal durch die autorules in Opnsense durchsteigen.
Also alle Regeln die dort aufgelistet sind, sind automatisch erstellte Regeln, also keine der Regeln habe ich selbst erstellt.
Natürlich wollte ich erst weitermachen, wenn ich auch alle auto Regeln verstanden habe - das einzige wo ich mir halt noch unsicher war, waren die Carps Regeln