Opnsense Transparent Filtering Bridge
Transparent Filtering Bridge
Warnung
Die Transparent Filtering Bridge ist nicht kompatibel mit Traffic Shaping. Aktivieren Sie den Traffic Shaper nicht, wenn Sie die Filtering Bridge verwenden.
Zusammenfassung
Eine transparente Firewall kann verwendet werden, um Datenverkehr zu filtern, ohne unterschiedliche Subnetze zu erstellen. Diese Anwendung wird als Filtering Bridge bezeichnet, da sie als Brücke zwischen zwei Schnittstellen fungiert und darauf Filterregeln anwendet.
Weitere Informationen zu Filtering Bridged auf FreeBSD finden Sie unter filtering-bridges.
Anforderungen
Für dieses Howto benötigen wir eine Grundinstallation von OPNsense mit Werkseinstellungen als Ausgangspunkt.
Und ein Gerät mit 2 physischen Schnittstellen.
Überlegungen
Für die Erstellung dieses Howtos wurde die Version OPNsense 15.7.11 verwendet. Einige Screenshots können veraltet sein, aber die Einstellungen sollten bis mindestens 17.1.6 zutreffen. Wenn Sie eine andere Version verwenden, können einige Optionen unterschiedlich sein.
Hinweis:
Das Menüs des Benutzeroberflächensystems wurde mit Unterelementen aktualisiert. Wo in den Screenshots Registerkarten angezeigt werden, sind diese jetzt wahrscheinlich als Untermenü sichtbar.
Deaktivieren der automatischen NAT-Regelerstellung
Um das Outbound NAT zu deaktivieren, gehen Sie zu Firewall ‣ NAT ‣ Outbound und wählen Sie „Disable Outbound NAT rule generation“.
Ändern der Systemeinstellungen
Aktivieren Sie die Filtering Bridge, indem Sie net.link.bridge.pfil_bridge von standardmäßig auf 1 in System ‣ Einstellungen ‣ System Tunables ändern.
Und deaktivieren Sie das Filtern auf Mitgliedsschnittstellen, indem Sie net.link.bridge.pfil_member von standardmäßig auf 0 in System ‣ Einstellungen ‣ System Tunables ändern.
Erstellen der Bridge
Erstellen Sie eine Bridge zwischen LAN und WAN, gehen Sie zu Schnittstellen ‣ Andere Typen ‣ Bridge. Fügen Sie LAN und WAN hinzu.
Zuweisen einer Verwaltungs-IP/Schnittstelle
Um die Filtering Bridge (OPNsense) danach konfigurieren und verwalten zu können, müssen wir der Bridge eine neue Schnittstelle zuweisen und eine IP-Adresse einrichten.
Gehen Sie zu Schnittstellen ‣ Zuweisen ‣ Verfügbarer Netzwerkport, wählen Sie die Bridge aus der Liste und klicken Sie auf +.
Fügen Sie nun der Schnittstelle, die Sie zur Verwaltung der Bridge verwenden möchten, eine IP-Adresse hinzu. Gehen Sie zu Schnittstellen ‣ [OPT1], aktivieren Sie die Schnittstelle und geben Sie IP/Netzmaske ein.
Deaktivieren von Block private networks & bogon
Für die WAN-Schnittstelle müssen wir die Blockierung privater Netzwerke und falscher IPs deaktivieren.
Gehen Sie zu Schnittstellen ‣ [WAN] und deaktivieren Sie „Block private networks“ und „Block bogon networks“.
Deaktivieren des DHCP-Servers auf LAN
Um den DHCP-Server auf LAN zu deaktivieren, gehen Sie zu Dienste ‣ DHCPv4 ‣ [LAN] und deaktivieren Sie die Option „enable“.
Hinzufügen von Erlaubnisregeln
Nach der Konfiguration der Bridge werden die Regeln auf den Mitgliedsschnittstellen (WAN/LAN) ignoriert. Sie können diesen Schritt überspringen.
Fügen Sie die Erlaubnisregeln für den gesamten Datenverkehr auf jeder der drei Schnittstellen (WAN/LAN/OPT1) hinzu.
Dieser Schritt stellt sicher, dass wir eine vollständig transparente Bridge ohne Filterung haben. Sie können die korrekten Regeln einrichten, wenn Sie bestätigt haben, dass die Bridge ordnungsgemäß funktioniert.
Gehen Sie zu Firewall ‣ Regeln und fügen Sie pro Schnittstelle eine Regel hinzu, um den gesamten Datenverkehr jeglicher Art zu erlauben.
Deaktivieren der Standard-Anti-Lockout-Regel
Nach der Konfiguration der Bridge werden die Regeln auf den Mitgliedsschnittstellen (WAN/LAN) ignoriert. Sie können diesen Schritt überspringen.
Da wir nun Erlaubnisregeln für jede Schnittstelle eingerichtet haben, können wir die Anti-Lockout-Regel auf LAN sicher entfernen.
Gehen Sie zu Firewall ‣ Einstellungen ‣ Admin-Zugriff: Anti-lockout und wählen Sie diese Option, um sie zu deaktivieren.
Setzen des LAN- und WAN-Schnittstellentyps auf „none“
Entfernen Sie nun die verwendeten IP-Subnetze für LAN und WAN, indem Sie den Schnittstellentyp auf „none“ ändern. Gehen Sie dazu zu Schnittstellen ‣ [LAN] und Schnittstellen ‣ [WAN].
Anwenden der Änderungen
Wenn Sie jeden Schritt befolgt haben, können Sie nun die Änderungen anwenden. Die Firewall ist nun in eine Filtering Bridge umgewandelt.
Fertig... bereit, Ihre eigenen Filterregeln zu erstellen.
Nun können Sie die richtigen Firewall-/Filterregeln erstellen und anwenden. Um auf die Firewall zuzugreifen, müssen Sie die IP-Adresse verwenden, die Sie für die OPT1-Schnittstelle konfiguriert haben.
Warnung:
Regeln müssen auf der Bridge konfiguriert werden. Regeln auf Mitgliedsschnittstellen werden ignoriert!
Tipp:
Vergessen Sie nicht, sicherzustellen, dass Ihr PC/Laptop mit einer IP-Adresse konfiguriert ist, die in den IP-Bereich des OPT1-Subnetzes fällt!