TEST

Mini-PC als Router für Fortgeschrittene

Umfangreiche Möglichkeiten mit OPNsense analysiert - Firewall-Regeln: Tipps zur Erstellung

Portrait des Authors


Werbung

Bei der Erstellung einer Firewall-Regel sieht man, wie komplex das Ganze sein kann. Und dies ist es gerade am Anfang für Einsteiger auch. Ganz oben unter Aktion muss ausgewählt werden, ob diese Verbindung erlaubt oder verweigert werden soll. Dabei sind natürlich Angaben, wie die Schnittstelle, die Richtung (eingehend oder ausgehend aus Sicht des LAN-Ports betrachtet), ob IPv4, IPv6 oder beides, dazu und dann das zu filternde Protokoll. Natürlich braucht die Firewall auch die Angaben zur Quelle und zum Ziel im Netzwerk. Mit angegeben werden kann der Zielportbereich, ein Zeitplan zu der Firewall-Regel und auch das Gateway.

Ist die Firewall-Regel fertig erstellt, wird unten auf "Speichern" geklickt und anschließend in der Übersicht der Firewall-Regeln oben rechts auf "Änderungen übernehmen".

Um noch einmal auf das Thema Richtung zu kommen. Bei der Einteilung zwischen eingehend und ausgehend bei einer Firewall-Regel, muss stets die Sichtweise des LAN-Ports berücksichtigt werden. Wenn man beispielsweise denkt, dass man für gewisse PCs im LAN-Netzwerk den Internetzugriff lediglich auf die drei Ports, 80 (HTTP), 443 (HTTPS) und 53 (DNS), für das reine Surfen im Internet, zu beschränken, dann ist die Richtung ausgehend schlicht falsch. Die Anfragen gehen über den LAN-Port hinein in die Firewall, also ist eingehend die korrekte Wahl.

Netze voneinander trennen

Da die OPNsense als Knotenpunkt entsprechend der Router-Funktion (Schicht 3 des OSI-Modells) der gesamten internen Netzwerke dient, sind alle angeschlossenen Netzwerke ohne vorgenommene Einstellungen gegenseitig erreichbar, auch wenn diese eigentlich mittels VLAN getrennt sind. WLAN-Geräte können so zum Beispiel auch auf die Web-GUI der OPNsense am LAN-Interface zugreifen. Um dies zu verhindern, müssen für jedes Interface entsprechende Firewall-Regeln erstellt werden. Am Beispiel vom WLAN- ins LAN-Netzwerk:

  • Aktion: Blockieren
  • Schnittstelle: WLAN
  • Richtung: in (eingehend)
  • TCP/IP-Version: IPv4+IPv6
  • Protokoll: any
  • Quelle: WLAN Netzwerk
  • Ziel: LAN Netzwerk
  • Zielportbereich: jeglich

Abspeichern, die Firewall-Regel nach oben versetzen, auf "Änderungen übernehmen" klicken. Fertig!

Um eine Firewall-Regel nach oben zu versetzen, muss die Regel links zunächst markiert werden. Auf der rechten Seite hingegen befindet sich hinter jeder Firewall-Regel ein nach links zeigender Pfeil. Um die Firewall-Regel beispielsweise ganz nach oben zu versetzen, muss der oberste Pfeil angeklickt werden. Anschließend oben rechts noch auf "Änderungen übernehmen" klicken.

Auf diese Weise lassen sich bei Bedarf alle Netzwerke mit jeweils erstellten Firewall-Regeln im jeweiligen Interface absichern und die Netzwerke sind sauber voneinander getrennt. Zumindest auf der OPNsense-Seite.

Beim (Smart-)Managed-Netzwerk-Switch und auch bei dem/den WLAN-Access-Point(s) müssen dieselben VLANs (außer der PPPoE-VLAN-Tag versteht sich) natürlich ebenfalls erstellt und je nach Anwendungsgebiet auf den entsprechenden LAN-Ports als untagged oder tagged eingerichtet werden. Da das physische WLAN-Interface auf der OPNsense keinem VLAN zugeordnet werden muss, muss das VLAN auf dem Switch für diesen einen LAN-Port auf untagged gesetzt werden. Soll auf demselben WLAN-Interface auch ein Gäste-WLAN eingerichtet werden, muss dieses VLAN der OPNsense und den anderen beiden Netzwerk-Geräten bekannt und entsprechend konfiguriert sein.

Ein Beispiel dazu wäre:

  • Auf der OPNsense das VLAN 60 (für Gäste-WLAN) erstellen und dem WLAN-Parent-Interface (in unserem Fall igc2) zuordnen
  • WLAN-Interface der OPNsense zum Netzwerk-Switch: untagged VLAN 50 (für das Haupt-WLAN), tagged VLAN 60 (für das Gäste-WLAN) auf dem Netzwerk-Switch konfigurieren
  • LAN-Port des Netzwerk-Switches zum WLAN-Access-Point: untagged VLAN für LAN (für den WLAN-Access-Point selbst), tagged VLAN 50 (für das Haupt-WLAN), tagged VLAN 60 (für das Gäste-WLAN) auf dem Netzwerk-Switch konfigurieren

Aus Sicherheitsgründen sollte der WLAN-Access-Point selbst ins LAN-Interface (als untagged VLAN auf dem Netzwerk-Switch) eingebunden werden. Über die beiden tagged VLANs 50 und 60 arbeiten die beiden WLAN-Netze dann sauber getrennt. Zusätzlich sollten die VLANs mittels ACLs (Access Control List) sowohl auf dem Netzwerk-Switch als auch auf dem WLAN-Access-Point ebenfalls noch isoliert und auch das Haupt-LAN-Netzwerk geschützt werden.

In der WLAN-Access-Point-Konfiguration müssen nun lediglich noch zwei WLAN-Netze erstellt werden: Eines mit VLAN 50 für das Haupt-WLAN und eines mit VLAN 60 für das Gäste-WLAN.

Internetzugriff für Clients verbieten

Aus diversen Gründen kann es auch nötig sein, den Internetzugriff für einzelne Clients zu untersagen. Auch dafür gibt es natürlich eine passende Firewall-Regel. Über die Aliase lassen sich so auch gleich mehrere Clients in eine Gruppe zusammenfassen, die zusammen keine Verbindung zum Internet aufbauen sollen. Am Beispiel für das LAN-Interface muss die Firewall-Regel folgendermaßen erstellt werden:

  • Aktion: Blockieren
  • Schnittstelle: LAN
  • Richtung: in (eingehend)
  • TCP/IP-Version: IPv4+IPv6
  • Protokoll: any
  • Quelle: Client (IP-Adresse oder MAC-Adresse) oder Alias
  • Ziel: jeglich
  • Zielportbereich: jeglich

Man anschließend auch noch eine umgekehrte Firewall-Regel erstellen:

  • Aktion: Blockieren
  • Schnittstelle: LAN
  • Richtung: out (ausgehend)
  • TCP/IP-Version: IPv4+IPv6
  • Protokoll: any
  • Quelle: jeglich
  • Ziel: Client (IP-Adresse oder MAC-Adresse) oder Alias
  • Zielportbereich: jeglich

Clients nur bestimmte Ports erlauben

Das LAN-Interface wird standardmäßig mit zwei erlaubenden Firewall-Regeln vertraut. Nämlich jeweils eine Regel für ausgehenden IPv4- und IPv6-Datenverkehr. Damit werden allerdings auch alle 65.535 Ports erlaubt, was gerade in großen Unternehmen ungern toleriert wird. Doch dies lässt sich natürlich ändern. Für die reine Benutzung des Internet-Browsers reichen bereits drei Ports aus: 80 (HTTP), 443 (HTTPS) und 53 (DNS). Soll auch DNS over TLS mit reingenommen werden, kommt noch der Port 853 hinzu. Diese drei/vier Ports können in einen Alias zusammengefasst werden sowie auch die Clients, die ausschließlich nur über diese drei/vier Ports den Weg ins Internet finden sollen. Die Firewall-Regel dazu lautet:

  • Aktion: Erlauben
  • Schnittstelle: LAN
  • Richtung: in (eingehend)
  • TCP/IP-Version: IPv4+IPv6
  • Protokoll: TCP/UDP
  • Quelle: LAN Netzwerk oder Alias mit den Clients
  • Ziel: jeglich
  • Zielportbereich: Alias mit den Ports 80, 443 und 53 und ggf. 853 (von und an)

Natürlich müssen dann die anderen beiden Firewall-Regeln entweder deaktiviert oder gelöscht werden.

Alles-Erlauben-Firewall-Regel

Gerade für weitere Interface, wie in unserem Fall für das Haupt-WLAN und für das Gäste-WLAN sind keinerlei Firewall-Regeln vordefiniert, was bedeutet, dass die Geräte in diesem Subnetz rein gar nichts dürfen. Um erstmal den ausgehenden Verkehr zu erlauben, können die beiden Firewall-Regeln vom LAN-Interface entweder kopiert und auf das andere Interface hin angepasst werden. Andernfalls kann die Firewall-Regel auch manuell erstellt werden.

Für IPv4:

  • Aktion: Erlauben
  • Schnittstelle: WLAN z.B.
  • Richtung: in (eingehend)
  • TCP/IP-Version: IPv4
  • Protokoll: any
  • Quelle: WLAN z.B.
  • Ziel: jeglich
  • Zielportbereich: jeglich

Für IPv6:

  • Aktion: Erlauben
  • Schnittstelle: WLAN z.B.
  • Richtung: in (eingehend)
  • TCP/IP-Version: IPv6
  • Protokoll: any
  • Quelle: WLAN z.B.
  • Ziel: jeglich
  • Zielportbereich: jeglich

Natürlich kann man IPv4 und IPv6 auch kombinieren:

  • Aktion: Erlauben
  • Schnittstelle: WLAN z.B.
  • Richtung: in (eingehend)
  • TCP/IP-Version: IPv4+IPv6
  • Protokoll: any
  • Quelle: WLAN z.B.
  • Ziel: jeglich
  • Zielportbereich: jeglich

Dies sollen insgesamt die wichtigsten Firewall-Regeln gewesen sein. Sind mehrere Firewall-Regeln präsent, muss stets die Reihenfolge der Regeln beachtet werden. Denn es gilt: First match wins!