Die Regeln für die Firewall-pfSense setzen.

Eingehende Verbindungen

Wir haben die Firewall pfSense installiert und in Betrieb genommen. Standardmäßig sind alle eingehende Ports geschlossen und ausgehende Ports offen. In unserem Fall wollen wir z.B. von unserem Verwaltungsnetz 192.168.2.0/24 den Server 172.16.0.10 in pädagogischem Netz per Port 22 (ssh) erreichen. Um das zu realisieren, müssen 3 Bedingungen erfüllt werden.

  • Eine NAT muss gesetzt werden (pfSense).
  • Eine WAN Regel muss gesetzt werden (pfSense). Beim Standardeinstellungen der pfSense wird automatisch bei NAT Erstellung automatisch WAN Regel gesetzt. Diese Aktion können wir selbstverständlich auch getrennt machen.
  • Eine Route auf dem Verwaltungsgerät bzw. Netz muss gesetzt werden.

Am Anfang haben wir noch keine NAT Regel. Wir erstellen eine.

Punkt
Unser Ziel ist es von einem PC in Verwaltungsnetz z.B. 192.168.2.77 den Linux-Server 172.16.0.10 zu erreichen, und zwar per ssh (Port 22). Hier wird auch automatisch die WAN Regel erstellt.

 

Punkt
Die Übersicht der NAT.

 

Punkt
Die gesetzte NAT können wir noch verfeinern, sicherer machen.

 

Punkt
Die WAN Regel, die automatisch erstellt wurde, sieht so aus.

 

Punkt
Wenn wir aus dem Verwaltungsnetz z.B. vom 192.168.2.77 auf die grafische Oberfläche der Firewall-pfSense zugreifen möchten, dann müssen wir noch NAT setzen, bei der die Ports 80 und 443 geöffnet werden. Ziel wäre dann die 172.16.0.1

 

Punkt
In unserem Fall wurden die WAN Regel bei Erstellung der NAT automatisch angelegt. Wäre das nicht der Fall, dann müssten wir auch hier die WAN Regel erstellen.

 

Erklärung zu den Regeln (vorausgesetzt, die Route ist schon gesetzt)

  • von WAN (192.168.2.0/24) kann man per ssh auf den Server 172.16.0.10 zugreifen
  • von WAN (192.168.2.0/24) kann man per https die Webseite des Server 172.16.0.1 aufrufen, wenn verfügbar
  • von WAN (192.168.2.0/24) kann man per http die Webseite des Servers 172.16.0.1 aufrufen, wenn verfügbar

    Sie definieren selbstverständlich eigene Regeln.

Route setzen

Um auf anderes Subnetz zugreifen zu können, müssen wir noch eine entsprechende Route eintragen. Das müssen wir tun, weil wir mehr als einen Router in einem Subnetz haben, in unserem Fall sind das 2 Router. Wir wollen von einem Verwaltung-PC z.B. 192.168.2.77 auf den Server 172.16.0.10 zugreifen.
Standardmäßig auf dem 192.168.2.77 ist das Standardgateway, die 192.168.2.1 definiert. Jetzt müssen wir dem Betriebssystem klarmachen, dass alle Pakete, die zu dem Netz 172.16.0.0 mask 255.255.252.0 geschickt werden sollen, nicht an 192.168.2.1 gehen sollen, sondern an 192.168.2.199.
Sehe die Information im Artikel Netzwerkdaten unter pfSense (Router, Firewall).

Punkt
Auf einem Windows-PC können wie folgt die Route eintragen. Zu diesem Zweck starten wir cmd Fenster als Administrator und machen folgenden Eintrag.

 

C:\> route -p add 172.16.0.0 mask 255.255.252.0 192.168.2.199

 

Punkt
Die Route kann man selbstverständlich wieder löschen

 

C:\> route delete 172.16.0.0 mask 255.255.252.0

 

Punkt
Alle Routen kann man auch auflisten.

 

C:\> route print

 

Auf diese Weise eingetragene Route ermöglicht den Zugriff auf das Subnetz 172.16.0.0/22 nur von diesem Gerät 192.168.2.77. Wollen wir auch von anderen zugreifen, dann müssen wir die Route auf jedem Gerät eintragen. 

Wir haben auch die Möglichkeit die Route auf dem Standard Router einzutragen, dann haben alle Geräte aus dem Netz 192.168.2.0/24 die Möglichkeit auf das Subnetz 172.16.0.02/22 zuzugreifen. 


Ausgehende Verbindungen

Wir können hier z.B. nur bestimmte Ports öffnen und den Rest der Ports schließen. Hier ein kleines Beispiel.

Erklärung zu den Regeln (vorausgesetzt, die Route ist schon gesetzt)

  • der Server 172.16.0.10 darf per Port 53 (DNS) auf DNS-Server anderen Netzen zugreifen. 
  • der Server 172.16.0.5 darf per Port 80 (HTTP) auf die Web-Seiten anderen Server zugreifen.
  • der Server 172.16.0.5 darf per Port 443 (HTTPS) auf die Web-Seiten anderen Server zugreifen.
  • alle Geräte im LAN Netz dürfen auf bestimmte WEB-Seiten zugreifen. Die WEB-Seiten sind in einem Alias definiert.
    Es ist sehr nützlich, wenn z.B. der Proxy für die definierte Seiten nicht genutzt werden soll. 
  • der Server 172.16.0.10 darf andere Geräte außerhalb von LAN Netz anpingen. 
  • alle andere Geräte des LAN Netzes dürfen nicht Geräte außerhalb des Netzes anpingen.
  • ALLE andere Ports sind nach außen geschlossen.

    Wird die letzten zwei Regeln deaktiviert, dann sind alle Ports nach außen offen.
    Sie definieren selbstverständlich eigene Regeln.