Die Regeln für die Firewall-pfSense setzen.
Eingehende Verbindungen
Wir haben die Firewall pfSense installiert und in Betrieb genommen. Standardmäßig sind alle eingehende Ports geschlossen und ausgehende Ports offen. In unserem Fall wollen wir z.B. von unserem Verwaltungsnetz 192.168.2.0/24 den Server 172.16.0.10 in pädagogischem Netz per Port 22 (ssh) erreichen. Um das zu realisieren, müssen 3 Bedingungen erfüllt werden.
- Eine NAT muss gesetzt werden (pfSense).
- Eine WAN Regel muss gesetzt werden (pfSense). Beim Standardeinstellungen der pfSense wird automatisch bei NAT Erstellung automatisch WAN Regel gesetzt. Diese Aktion können wir selbstverständlich auch getrennt machen.
- Eine Route auf dem Verwaltungsgerät bzw. Netz muss gesetzt werden.
Am Anfang haben wir noch keine NAT Regel. Wir erstellen eine.













Erklärung zu den Regeln (vorausgesetzt, die Route ist schon gesetzt)
- von WAN (192.168.2.0/24) kann man per ssh auf den Server 172.16.0.10 zugreifen
- von WAN (192.168.2.0/24) kann man per https die Webseite des Server 172.16.0.1 aufrufen, wenn verfügbar
- von WAN (192.168.2.0/24) kann man per http die Webseite des Servers 172.16.0.1 aufrufen, wenn verfügbar
Sie definieren selbstverständlich eigene Regeln.
Route setzen
Um auf anderes Subnetz zugreifen zu können, müssen wir noch eine entsprechende Route eintragen. Das müssen wir tun, weil wir mehr als einen Router in einem Subnetz haben, in unserem Fall sind das 2 Router. Wir wollen von einem Verwaltung-PC z.B. 192.168.2.77 auf den Server 172.16.0.10 zugreifen.
Standardmäßig auf dem 192.168.2.77 ist das Standardgateway, die 192.168.2.1 definiert. Jetzt müssen wir dem Betriebssystem klarmachen, dass alle Pakete, die zu dem Netz 172.16.0.0 mask 255.255.252.0 geschickt werden sollen, nicht an 192.168.2.1 gehen sollen, sondern an 192.168.2.199.
Sehe die Information im Artikel Netzwerkdaten unter pfSense (Router, Firewall).



Auf diese Weise eingetragene Route ermöglicht den Zugriff auf das Subnetz 172.16.0.0/22 nur von diesem Gerät 192.168.2.77. Wollen wir auch von anderen zugreifen, dann müssen wir die Route auf jedem Gerät eintragen.
Wir haben auch die Möglichkeit die Route auf dem Standard Router einzutragen, dann haben alle Geräte aus dem Netz 192.168.2.0/24 die Möglichkeit auf das Subnetz 172.16.0.02/22 zuzugreifen.
Ausgehende Verbindungen
Wir können hier z.B. nur bestimmte Ports öffnen und den Rest der Ports schließen. Hier ein kleines Beispiel.

Erklärung zu den Regeln (vorausgesetzt, die Route ist schon gesetzt)
- der Server 172.16.0.10 darf per Port 53 (DNS) auf DNS-Server anderen Netzen zugreifen.
- der Server 172.16.0.5 darf per Port 80 (HTTP) auf die Web-Seiten anderen Server zugreifen.
- der Server 172.16.0.5 darf per Port 443 (HTTPS) auf die Web-Seiten anderen Server zugreifen.
- alle Geräte im LAN Netz dürfen auf bestimmte WEB-Seiten zugreifen. Die WEB-Seiten sind in einem Alias definiert.
Es ist sehr nützlich, wenn z.B. der Proxy für die definierte Seiten nicht genutzt werden soll. - der Server 172.16.0.10 darf andere Geräte außerhalb von LAN Netz anpingen.
- alle andere Geräte des LAN Netzes dürfen nicht Geräte außerhalb des Netzes anpingen.
- ALLE andere Ports sind nach außen geschlossen.
Wird die letzten zwei Regeln deaktiviert, dann sind alle Ports nach außen offen.
Sie definieren selbstverständlich eigene Regeln.