Einführung in die Verwendung des pfSense Firewall Image

Auf dieser Seite erhalten Sie grundlegende Informationen über das Erstellen einer Firewall mit pfSense und erfahren, wie Sie Ihre Firewall innerhalb der VDC-Plattform konfigurieren.

Firewall installieren

Die pfSense Firewall sollte zunächst so wie ein normales Image einer virtuellen Maschine installiert werden. Wie sie dabei vorgehen müssen, erfahren Sie in dem „HowTo“-Video „Virtuelle Maschine hinzufügen“. Wenn Sie soweit sind, dass Sie Ihre Netzwerkschnittstellen hinzufügen, muss sichergestellt sein, dass der Netzwerkschnittstelle NIC 0 (Ethernet-Schnittstelle 0) die öffentliche IP-Adresse (oder, wenn es mehrere öffentliche IP-Adressen gibt, die erste öffentliche IP-Adresse) zugewiesen und dass NIC 1 als die private oder externe Schnittstelle festgelegt wird. Beim Vorkonfigurieren des pfSense Basis-Image wurde von dieser Reihenfolge der genannten Schnittstellen ausgegangen.

firewall-security_de.PNG

Ausführliche Informationen darüber, wie Sie hierbei vorgehen müssen, finden Sie auf der Seite „Virtuelle Maschine konfigurieren“ im Abschnitt „Netzwerkressourcen konfigurieren“.

Die Firewall konfigurieren

Sie müssen die Firewall so konfigurieren, dass eingehender und ausgehender Datenverkehr sowie der Datenverkehr von innen nach außen zugelassen und außerdem der Port 80 (HTTP zum Webserver) freigeschaltet wird.

Öffnen Sie zuerst einen Internetbrowser und geben Sie die IP-Adresse der öffentlichen Schnittstelle der Firewall ein, die Sie oben zugewiesen haben.

HINWEIS: Sie müssen eine sichere http-Verbindung verwenden, zum Beispiel: https://195.157.12.255

Ignorieren Sie die Zertifikatsfehlermeldung, indem Sie auf „Continue to web site“ klicken. Daraufhin erscheint auf dem Bildschirm die folgende Anzeige:

pfsense login

Den Standard-Benutzernamen und das Standard-Passwort finden Sie in den Vorlagen für virtuelle Maschinen auf der Seite „VM Templates – Zugangsdaten für Claranet Images“. Nach dem Einloggen gelangen Sie zur Hauptseite der Firewall-Website.

Zuerst müssen wir das Standard-Passwort für den Admin-Benutzer ändern. Bewegen Sie den Mauszeiger über den Menüpunkt „System“ oben links auf der Seite, bis ein Drop-Down-Menü erscheint. Wählen Sie aus diesem Drop-Down-Menü die Option „User Manager“.

pfsense usermanager

Daraufhin erscheint auf dem Bildschirm die folgende Anzeige:

pfsense usermanager

Um die Einstellungen für den Admin-Benutzer zu bearbeiten, bewegen Sie den Mauszeiger über das Bearbeiten-Symbol pfsense editbutton rechts neben der Zeile für den Admin-Benutzer.

Daraufhin erscheint auf dem Bildschirm die folgende Anzeige:

pfsense passwordedit

Geben Sie in die dafür vorgesehenen Eingabefelder ein neues Passwort ein (zweimal). Scrollen Sie nach unten und klicken Sie auf „Save“.

Im nächsten Schritt müssen wir den SSH-Port verlegen, damit Sie per SSH auf den Webserver zugreifen können. Wählen Sie aus dem Menü „System“ die Option „Advanced“. Daraufhin erscheint auf dem Bildschirm die folgende Anzeige:

6-pfsense-adminaccess.jpg

Scrollen Sie nach unten in den SSH-Bereich:

7-pfsense-adminssh.jpg

Aktivieren Sie das Kontrollkästchen neben der Option „Enable Secure Shell“, und geben Sie in das Eingabefeld für den SSH-Port „8022“ ein. Scrollen Sie nach unten und klicken Sie auf „Save“.

Jetzt müssen wir die Firewall konfigurieren und dabei die folgenden Regeln festlegen:

SSH-Zugang zur Firewall auf Port 8022 freischalten

Wählen Sie aus dem Menü „Firewall“ die Option „Rules"

8-pfsense-firewallrules.jpg

Wählen Sie „WAN“ und klicken Sie anschließend auf 9-pfsense-addrulebutton.jpg, um eine neue Regel hinzuzufügen:

10-pfsense-editrule.jpg

Geben Sie Folgendes ein:

Action: Pass
Disabled: not selected
Interface: WAN
Protocol: TCP
Source: any
Destination: Wan Address
Destination Port Range – From: 8022
Description: SSH to Firewall on Port 8022

Klicken Sie auf „Save“ und „Apply Changes“. Jetzt können Sie SSH mit dem Tool Ihrer Wahl auf Port 8022 nutzen.

Beispiele für NAT-Regeln

In diesem Abschnitt zeigen wir Ihnen einige Beispiele für mögliche NAT-Konfigurationen.

Beispiel: NAT-Regel „SSH-Zugang zum Webserver auf Port 22 freischalten“

Wählen Sie aus dem Menü „Firewall“ die Option „NAT“ aus und klicken Sie anschließend auf die Registerkarte „Port Forward“:

11-pfsense-addnatwindow.jpg

Klicken Sie auf die Schaltfläche „Add NAT Rule“.

12-pfsense-editnatwindow.jpg

Geben Sie folgende Konfigurationsdaten ein:

Disabled: Not selected
No RDR (NOT): Not selected
Interface: WAN
Protocol: TCP
Source: Ignore
Destination: Wan Address
Destination Port Range – SSH
Redirect Target IP Address: 192.168.2.2 (or your webserver IP)
Redirect Target Port: SSH
Description: SSH to Web Server
NAT Reflection: leave as default
Filter Rule Association: Pass

Klicken Sie auf „Save“ und „Apply Rule“. Jetzt haben Sie einen SSH-Zugang zum Webserver (IP-Adresse als öffentliche IP auf Firewall mit Port 22) – mit den Zugangsdaten (Benutzername und Passwort) des Webservers.

Beispiel: NAT-Regel „HTTP-Zugang zum Webserver auf Port 80 freischalten“

Wählen Sie aus dem Menü „Firewall“ die Option „NAT“ aus und klicken Sie anschließend auf die Registerkarte „Port Forward“:

11-pfsense-addnatwindow.jpg

Klicken Sie auf die Schaltfläche „Add NAT Rule“.

12-pfsense-editnatwindow.jpg

Geben Sie folgende Konfigurationsdaten ein:


Disabled: Not selected
No RDR (NOT): Not selected
Interface: WAN
Protocol: TCP
Source: Ignore
Destination: Wan Address
Destination Port Range – HTTP
Redirect Target IP Address: 192.168.2.2 (or your  webserver IP)
Redirect Target Port: HTTP
Description: HTTP to Web Server
NAT Reflection: leave as default
Filter Rule Association: Pass

Klicken Sie auf „Save“ und auf „Apply Rule“. Jetzt müssten Sie eine Webseite von Ihrem Webserver aufrufen können, indem Sie die http://#public IP Ihrer Firewall anwählen.

1:1-NAT-Mapping

In diesem Abschnitt zeigen wir Ihnen, wie Sie ein 1:1-NAT-Mapping mit mehreren öffentlichen IP-Adressen konfigurieren.

Im vorliegenden Beispiel sollte eine öffentliche IP-Adresse 195.157.13.200 per NAT auf eine private Adresse 192.168.0.3 umgesetzt werden.

Hierzu müssen Sie die folgenden Schritte ausführen:

  • Sie benötigen für jede öffentliche IP-Adresse, die Sie per NAT umsetzen möchten, eine öffentliche IP-Schnittstelle.
  • Sie müssen sicherstellen, dass weitere öffentliche IP-Adressen mit der Nummer NIC 2 oder einer höheren Nummer versehen werden (wie oben beschrieben, bleibt die erste öffentliche IP auf NIC 0 und die erste private/externe IP auf NIC 1).
  • Sie müssen für diese IP eine 1:1-NAT-Umsetzung einrichten.
  • Sie müssen eine Regel aufstellen, die für die Freischaltung des Ports sorgt, den Sie für diese IP wünschen.

Zusätzliche Schnittstelle zuweisen

Entsprechend den obigen Konfigurationsanweisungen für die Firewall wird Ihre erste WAN-Schnittstelle dem Netzwerkport em0 und Ihr LAN dem Netzwerkport em1 zugewiesen:

13-pfsense-assign-net1.jpg

Klicken Sie auf die Schaltfläche 9-pfsense-addrulebutton.jpg, um eine neue Schnittstelle zuzuweisen. In der angezeigten Liste wird OPT1 automatisch dem Netzwerkport em2 zugeordnet:

14-pfsense-assign-net-closeup.jpg

Wählen Sie aus dem Schnittstellenmenü die Option „OPT1“.

Wählen Sie oben die Option „Enable“ und legen Sie als Typ „DHCP“ fest. Speichern Sie die vorgenommenen Änderungen und klicken Sie auf „Apply changes“.

15-pfsense-assign-net-apply.jpg

1:1-NAT-Umsetzung konfigurieren

Klicken Sie auf „Firewall“ und anschließend auf „NAT“. Wählen Sie die Registerkarte „1:1“ aus.

Klicken Sie auf die Schaltfläche 9-pfsense-addrulebutton.jpg, um eine neue Regel hinzuzufügen. Wählen Sie als Schnittstelle OPT1 aus und geben Sie als „External subnet IP“ die öffentliche IP-Adresse ein (das Subnetz sollte 32 sein, wenn Sie nur eine einzige IP-Adresse per NAT umsetzen möchten).

16-pfsense-1-1natrule.jpg

Geben Sie als „Internal IP“ die private IP-Adresse des Hosts ein, den Sie erreichen möchten.

Geben Sie eine Beschreibung für die NAT-Regel ein und klicken Sie auf „Save“. Übernehmen Sie die Änderungen für das System.

Eine Firewall-Regel übernehmen

Wählen Sie aus dem Menü „Firewall“ die Option „Rules“ aus.

Wählen Sie die Registerkarte „OPT1“. Klicken Sie auf 9-pfsense-addrulebutton.jpg , um eine neue Regel anzulegen.

17-pfsense-1-1firewalledit.jpg

Vergewissern Sie sich, dass als Schnittstelle „OPT1“ oder der Schnittstellenname erscheint, den Sie für diese öffentliche IP-Adresse verwenden.
Wählen Sie als Destinationsart (Destination type) „Single address“ und geben Sie die private IP-Adresse des Hosts ein, den Sie erreichen möchten – in diesem Fall „192.168.0.3“.

Legen Sie den Zielportbereich (Destination port range) fest – in diesem Fall „SSH“. Geben Sie eine Beschreibung für diese Regel ein.

Speichern Sie die vorgenommenen Änderungen und übernehmen Sie sie.

Jetzt dürften Sie in der Lage sein, eine SSH-Verbindung zu der öffentlichen IP-Adresse 195.157.13.200 herzustellen, die zu 192.168.0.3 umgeleitet wird.