Opnsense Transparent Filtering Bridge

Aus Xinux Wiki
Zur Navigation springen Zur Suche springen

Transparent Filtering Bridge

Opnsense-transparent-1.png

Opnsense-transparent-2.png

Opnsense-transparent-3.png

Opnsense-transparent-4.png

Opnsense-transparent-5.png

Opnsense-transparent-6.png



Warnung

Die Transparent Filtering Bridge ist nicht kompatibel mit Traffic Shaping. Aktivieren Sie den Traffic Shaper nicht, wenn Sie die Filtering Bridge verwenden.

Zusammenfassung

Eine transparente Firewall kann verwendet werden, um Datenverkehr zu filtern, ohne unterschiedliche Subnetze zu erstellen. Diese Anwendung wird als Filtering Bridge bezeichnet, da sie als Brücke zwischen zwei Schnittstellen fungiert und darauf Filterregeln anwendet.

Weitere Informationen zu Filtering Bridged auf FreeBSD finden Sie unter filtering-bridges.

Anforderungen

Für dieses Howto benötigen wir eine Grundinstallation von OPNsense mit Werkseinstellungen als Ausgangspunkt.

Und ein Gerät mit 2 physischen Schnittstellen.

Überlegungen

Für die Erstellung dieses Howtos wurde die Version OPNsense 15.7.11 verwendet. Einige Screenshots können veraltet sein, aber die Einstellungen sollten bis mindestens 17.1.6 zutreffen. Wenn Sie eine andere Version verwenden, können einige Optionen unterschiedlich sein.

Hinweis:

Das Menüs des Benutzeroberflächensystems wurde mit Unterelementen aktualisiert. Wo in den Screenshots Registerkarten angezeigt werden, sind diese jetzt wahrscheinlich als Untermenü sichtbar.

Deaktivieren der automatischen NAT-Regelerstellung

Um das Outbound NAT zu deaktivieren, gehen Sie zu Firewall ‣ NAT ‣ Outbound und wählen Sie „Disable Outbound NAT rule generation“.

Filtering Bridge Step 1

Ändern der Systemeinstellungen

Aktivieren Sie die Filtering Bridge, indem Sie net.link.bridge.pfil_bridge von standardmäßig auf 1 in System ‣ Einstellungen ‣ System Tunables ändern.

Filtering Bridge Step 2

Und deaktivieren Sie das Filtern auf Mitgliedsschnittstellen, indem Sie net.link.bridge.pfil_member von standardmäßig auf 0 in System ‣ Einstellungen ‣ System Tunables ändern.

Filtering Bridge Step 2a

Erstellen der Bridge

Erstellen Sie eine Bridge zwischen LAN und WAN, gehen Sie zu Schnittstellen ‣ Andere Typen ‣ Bridge. Fügen Sie LAN und WAN hinzu.

Filtering Bridge Step 3a

Filtering Bridge Step 3b

Zuweisen einer Verwaltungs-IP/Schnittstelle

Um die Filtering Bridge (OPNsense) danach konfigurieren und verwalten zu können, müssen wir der Bridge eine neue Schnittstelle zuweisen und eine IP-Adresse einrichten.

Gehen Sie zu Schnittstellen ‣ Zuweisen ‣ Verfügbarer Netzwerkport, wählen Sie die Bridge aus der Liste und klicken Sie auf +.

Filtering Bridge Step 4

Fügen Sie nun der Schnittstelle, die Sie zur Verwaltung der Bridge verwenden möchten, eine IP-Adresse hinzu. Gehen Sie zu Schnittstellen ‣ [OPT1], aktivieren Sie die Schnittstelle und geben Sie IP/Netzmaske ein.

Deaktivieren von Block private networks & bogon

Für die WAN-Schnittstelle müssen wir die Blockierung privater Netzwerke und falscher IPs deaktivieren.

Gehen Sie zu Schnittstellen ‣ [WAN] und deaktivieren Sie „Block private networks“ und „Block bogon networks“.

Filtering Bridge Step 5

Deaktivieren des DHCP-Servers auf LAN

Um den DHCP-Server auf LAN zu deaktivieren, gehen Sie zu Dienste ‣ DHCPv4 ‣ [LAN] und deaktivieren Sie die Option „enable“.

Filtering Bridge Step 6

Hinzufügen von Erlaubnisregeln

Nach der Konfiguration der Bridge werden die Regeln auf den Mitgliedsschnittstellen (WAN/LAN) ignoriert. Sie können diesen Schritt überspringen.

Fügen Sie die Erlaubnisregeln für den gesamten Datenverkehr auf jeder der drei Schnittstellen (WAN/LAN/OPT1) hinzu.

Dieser Schritt stellt sicher, dass wir eine vollständig transparente Bridge ohne Filterung haben. Sie können die korrekten Regeln einrichten, wenn Sie bestätigt haben, dass die Bridge ordnungsgemäß funktioniert.

Gehen Sie zu Firewall ‣ Regeln und fügen Sie pro Schnittstelle eine Regel hinzu, um den gesamten Datenverkehr jeglicher Art zu erlauben.

Filtering Bridge Step 7

Deaktivieren der Standard-Anti-Lockout-Regel

Nach der Konfiguration der Bridge werden die Regeln auf den Mitgliedsschnittstellen (WAN/LAN) ignoriert. Sie können diesen Schritt überspringen.

Da wir nun Erlaubnisregeln für jede Schnittstelle eingerichtet haben, können wir die Anti-Lockout-Regel auf LAN sicher entfernen.

Gehen Sie zu Firewall ‣ Einstellungen ‣ Admin-Zugriff: Anti-lockout und wählen Sie diese Option, um sie zu deaktivieren.

Setzen des LAN- und WAN-Schnittstellentyps auf „none“

Entfernen Sie nun die verwendeten IP-Subnetze für LAN und WAN, indem Sie den Schnittstellentyp auf „none“ ändern. Gehen Sie dazu zu Schnittstellen ‣ [LAN] und Schnittstellen ‣ [WAN].

Filtering Bridge Step 9

Anwenden der Änderungen

Wenn Sie jeden Schritt befolgt haben, können Sie nun die Änderungen anwenden. Die Firewall ist nun in eine Filtering Bridge umgewandelt.

Fertig... bereit, Ihre eigenen Filterregeln zu erstellen.

Nun können Sie die richtigen Firewall-/Filterregeln erstellen und anwenden. Um auf die Firewall zuzugreifen, müssen Sie die IP-Adresse verwenden, die Sie für die OPT1-Schnittstelle konfiguriert haben.

Warnung:

Regeln müssen auf der Bridge konfiguriert werden. Regeln auf Mitgliedsschnittstellen werden ignoriert!

Tipp:

Vergessen Sie nicht, sicherzustellen, dass Ihr PC/Laptop mit einer IP-Adresse konfiguriert ist, die in den IP-Bereich des OPT1-Subnetzes fällt!

Quelle

Abgerufen von „http://wiki.ixheim.de/index.php?title=Opnsense_Transparent_Filtering_Bridge&oldid=54274