Wie konfiguriert man eine transparente Filterbrücke auf OPNsense?

Veröffentlicht am: 11 Dezember 2024

.

12 Minuten Lesezeit

.

Für die Englische Version

Eine transparente Firewall filtert den Datenverkehr, ohne separate Subnetze erstellen zu müssen. Diese Firewall wird als Filterbrücke bezeichnet, weil sie als Brücke zwischen zwei Schnittstellen fungiert und darüber hinaus Filterregeln implementiert. In diesem Tutorial erklären wir Ihnen, wie Sie Ihre OPNsense Firewall als transparente Filterbrücke konfigurieren.

warnung

Es gibt eine Inkompatibilität zwischen der Transparenten Filterbrücke und dem Traffic Shaping. Beim Einsatz der Filterbrücke aktivieren Sie nicht den Traffic Shaper.

Als Ausgangspunkt für dieses Tutorial benötigen wir eine grundlegende Installation von OPNsense mit 3 Schnittstellen:

• WAN-Schnittstelle

• LAN-Schnittstelle

• LAN-Verwaltungsoberfläche

Wir werden die LAN-Management-Schnittstelle verwenden, um auf den OPNsense-Knoten zuzugreifen, zu Verwaltungszwecken. WAN- und LAN-Schnittstellen werden als Mitglieder der Bridge-Schnittstelle konfiguriert.

Abbildung 1. OPNsense Transparent Filtering Bridge Topologie

Best Practice

Das Zenarmor NGFW-Plugin für OPNsense ist eines der beliebtesten OPNsense-Plugins und ermöglicht es Ihnen, Ihre Firewall in Sekundenschnelle auf eine Next-Generation-Firewall aufzurüsten. NG Firewalls ermöglichen es Ihnen, modernen Cyberangriffen entgegenzuwirken, die jeden Tag raffinierter werden.

Einige der Funktionen sind Layer-7-Anwendungs-/Benutzer-erkennendes Blockieren, granulare Filterrichtlinien, kommerzielles Webfiltering mit cloudbasierter, KI-gestützter Bedrohungsintelligenz, Kindersicherungen und die besten Netzwerk-Analysen und -Berichte der Branche.

Zenarmor Free Edition ist kostenlos für alle OPNsense-Nutzer verfügbar.

Sie können die transparente Filterbrücke auf der OPNsense-Firewall ganz einfach konfigurieren, indem Sie die folgenden 10 Schritte befolgen:

1. Deaktivieren Sie die Generierung von Outbound-NAT-Regeln
2. Ändern Sie die Systemanpassungen
3. Erstellen Sie die Brücke
4. Schnittstellenzuweisung
5. Blockieren Sie private und Bogon-Netzwerke deaktivieren
6. Deaktivieren Sie den DHCP-Server im LAN
7. Firewall-Regelkonfiguration zur Erlaubung allen Verkehrs
8. Deaktivieren Sie die Standard-Anti-Sperrregel
9. Setzen Sie den Typ der LAN- und WAN-Schnittstelle auf keine
10. Hinzufügen von Firewall-Regeln

1. Deaktivieren der Erstellung von Outbound-NAT-Regeln

Um das ausgehende NAT zu deaktivieren, können Sie die folgenden Schritte ausführen:

1. Navigieren Sie zu Firewall → NAT → Outbound in Ihrer OPNsense-Benutzeroberfläche.

2. Wählen Sie "Outbound NAT-Regelgenerierung deaktivieren".

3. Klicken Sie auf Save.

4. Klicken Sie auf Apply Changes, um die Konfiguration zu aktivieren.

   

   Abbildung 2. Outbound NAT auf der OPNsense-Firewall deaktivieren

2. Ändern der Systemtuneables

Um das Filtern von Brücken zu aktivieren, müssen Sie net.link.bridge.pfil_bridge von der Standardeinstellung auf 1 und net.link.bridge.pfil_member von der Standardeinstellung auf 0 ändern. Um zu setzen Um diese Systemanpassungen zu ändern, können Sie die folgenden Schritte befolgen:

1. Navigieren Sie zu System → Settings → Tuneables im OPNsense UI.

2. Verwenden Sie CTRL+F in Ihrem Browser, um net.link.bridge.pfil_bridge in der Liste zu finden.

   

   Abbildung 3. Bearbeiten von net.link.bridge.pfil_bridge

3. Klicken Sie auf die Schaltfläche Bearbeiten mit dem Stiftsymbol, um den einstellbaren Wert net.link.bridge.pfil_bridge festzulegen.

4. Setzen Sie die Value-Option auf 1 und klicken Sie auf Save, um die Filterung auf der Bridge-Schnittstelle zu aktivieren.

   

   Abbildung 4. Filterung auf der Bridge-Schnittstelle aktivieren

5. Verwenden Sie CTRL+F in Ihrem Browser, um net.link.bridge.pfil_member in der Liste zu finden.Abbildung 5. Bearbeiten von net.link.bridge.pfil_member

6. Klicken Sie auf die Schaltfläche Bearbeiten mit dem Stiftsymbol, um die Einstellung net.link.bridge.pfil_member festzulegen.

7. Setzen Sie die Value-Option auf 0 und klicken Sie auf Save, um die Filterung auf den Mitgliedern der Bridge-Schnittstelle zu deaktivieren.

   

   Abbildung 6. Deaktivierung der Filterung auf Bridge-Mitgliedschnittstellen

3. Erstellen Sie die Brücke

Um eine Brücke zwischen LAN und WAN zu erstellen, können Sie die folgenden Schritte befolgen:

1. Navigieren Sie zu Interfaces → Other Types → Bridge im OPNsense UI

2. Klicken Sie auf die Schaltfläche + Hinzufügen, um eine neue Bridge-Schnittstelle zu erstellen.

   

   Abbildung 7. Hinzufügen einer neuen Bridge-Mitgliedsschnittstelle

3. Wählen Sie LAN und WAN im Dropdown-Menü Member Interfaces aus.

   

   Abbildung 8. Auswahl der Mitgliedsschnittstellen für eine neue Brücke

4. Geben Sie einen beschreibenden Namen ein, wie Bridge im Feld Description.

   

   Abbildung 9. Speichern der neuen Bridge-Schnittstelleneinstellungen

5. Sie können die anderen Optionen als Standard belassen und auf Save klicken, um die Bridge-Schnittstelle hinzuzufügen. Dann sollten Sie die neu erstellte Bridge-Schnittstelle, bridge0, auf der Seite der Bridge-Schnittstellen wie unten gezeigt sehen.

   

   Abbildung 10. Anzeigen der Bridge-Schnittstellen

4. Schnittstellenzuweisung

Um die Filterbrücke (OPNsense) später konfigurieren und verwalten zu können, müssen wir der Brücke eine neue Schnittstelle zuweisen und eine IP-Adresse einrichten. Sie können die folgenden Schritte zur Zuweisung der Schnittstelle befolgen:

1. Navigieren Sie zu Interfaces → Assignments im OPNsense UI

2. Geben Sie einen beschreibenden Namen wie Bridge für den neu erstellten Bridge0 Netzwerkport ein und klicken Sie auf die Schaltfläche + Hinzufügen.

   

   Abbildung 11. Schnittstellenzuweisung für den Bridge-Netzwerkport

3. Sie sollten die Schnittstellenzuweisungen wie in der untenstehenden Abbildung sehen. Um die bridge-Schnittstelle zu aktivieren und die IP-Konfiguration festzulegen, klicken Sie auf die Bridge.

   

   Abbildung 12. Bearbeiten der Bridge-Schnittstelle

4. Wählen Sie die Option Enable Interface im Bereich Basic Configuration, um die Bridge-Schnittstelle zu aktivieren.

   

   Abbildung 13. Aktivierung der Bridge-Schnittstelle

5. Sie können im IPv4 Configuration Type-Option entweder Statische IPv4 oder DHCP auswählen.

   

   Abbildung 14. Auswahl des IPv4-Konfigurationstyps als statisches IPv4

6. Wenn Sie die Option Statische IPv4 auswählen, müssen Sie die IPv4-Adresse und die Subnetzmaske im Konfigurationsbereich für Statische IPv4 festlegen. Sie können ein neues Gateway hinzufügen, indem Sie die Option Default gateway auswählen und die IP-Adresse im Feld Gateway IPv4 eingeben, abhängig von Ihrer WAN-Konfiguration.

   

   Abbildung 15. Einstellung der IPv4-Konfiguration

7. Klicken Sie auf Save, um die Konfiguration der Bridge-Schnittstelle zu speichern.

8. Klicken Sie auf Apply Changes, um die Einstellungen zu aktivieren.

   

   Abbildung 16. Anwenden der Bridge-Konfiguration

5. Deaktivieren Sie die Blockierung privater und Bogon-Netzwerke

Auf der WAN-Schnittstelle müssen wir die Blockierung von privaten und Bogon-Netzwerken deaktivieren. Um den Datenverkehr von privaten Netzwerken und Bogon-Netzwerken zu aktivieren, können Sie die folgenden Schritte ausführen:

1. Navigieren Sie zu Interfaces → WAN im OPNsense-Benutzerinterface.

2. Deaktivieren Sie die Optionen Block private networks und Block bogon networks im Bereich Generic Configuration.

   

   Abbildung 17. Aktivieren Sie den Datenverkehr privater Netzwerke und Bogon-Netzwerke auf der WAN-Schnittstelle

6. Deaktivieren Sie den DHCP-Server im LAN

Um den DHCP Server im LAN zu deaktivieren, folgen Sie bitte den nachstehenden Schritten:

1. Navigieren Sie zu Services → DHCPv4 → [LAN] im OPNsense-Benutzerinterface.

2. Deaktivieren Sie Enable DHCP server on LAN interface.

   

   Abbildung 18. Deaktivierung des DHCP-Servers auf der LAN-Schnittstelle

7. Konfiguration der Firewall-Regeln zur Erlaubnis aller Datenströme

Dieser Schritt stellt sicher, dass die Brücke vollständig transparent ist und keine Filterung stattfindet. Nachdem Sie die Funktionalität der Brücke überprüft haben, können Sie die entsprechenden Regeln festlegen.

Um eine Regel pro Schnittstelle hinzuzufügen, die allen Verkehr jeglicher Art erlaubt, können Sie die folgenden Schritte ausführen:

1. Gehen Sie zu Firewall → Rules im OPNsense UI.

2. Wählen Sie die Bridge-Schnittstelle und klicken Sie auf die Schaltfläche + Hinzufügen, um eine Regel hinzuzufügen.

   

   Abbildung 19. Hinzufügen einer Firewall-Regel auf der Bridge-Schnittstelle

3. Wählen Sie Pass für die Action-Option.

4. Wählen Sie in für die Direction-Option.

5. Wählen Sie any für die Protocol-Option.

6. Wählen Sie any für die Source-Option.

   

   Abbildung 20. Erstellen einer Firewall-Regel auf der Bridge-Schnittstelle, um allen eingehenden Verkehr zuzulassen-1

7. Wählen Sie any für die Destination-Option.

8. Aktivieren Sie Log packets that are handled by this rule für die Log-Option.

9. Geben Sie Allow All für die Description-Option ein.

   

   Abbildung 21. Erstellen einer Firewall-Regel auf der Bridge-Schnittstelle, um allen eingehenden Verkehr zuzulassen-2

10. Klicken Sie auf Save und dann auf Apply Changes, um die Konfiguration zu aktivieren.

11. Definieren Sie eine Firewall-Regel auf der LAN-Schnittstelle, wie in den Schritten 7.2-7.9 erklärt.

    

    Abbildung 22. Erstellen einer Firewall-Regel auf der LAN-Schnittstelle, um allen eingehenden Verkehr zuzulassen

12. Definieren Sie eine Firewall-Regel auf der WAN-Schnittstelle wie in den Schritten 7.2-7.9 beschrieben.

    

    Abbildung 23. Erstellen einer Firewall-Regel auf der WAN-Schnittstelle, um allen eingehenden Datenverkehr zuzulassen

8. Deaktivieren Sie die Standard-Anti-Sperrregel

Nach der Konfiguration der Brücke werden die Regeln für die Mitgliederschnittstellen (WAN/LAN) ignoriert. Daher können Sie diesen Schritt überspringen. Da jede Schnittstelle jetzt Genehmigungsregeln hat, können wir die Anti-Lockout-Regel sicher aus dem LAN entfernen, indem wir die nächsten Schritte befolgen.

1. Navigieren Sie zu Firewall → Settings → Advanced in der OPNsense-Benutzeroberfläche.

2. Deaktivieren Sie die Option Disable anti-lockout.

   

   Abbildung 24. Anti-Sperrregel deaktivieren

9. Setzen Sie die IPv4-Konfiguration der LAN- und WAN-Schnittstelle auf keine

Um die verwendete IP-Adresse für LAN und WAN zu entfernen, folgen Sie bitte den nächsten Schritten:

1. Gehen Sie zu Interfaces → [LAN] im OPNsense-Benutzerinterface.

2. Wählen Sie None für den IPv4 Configuration Type.

3. Klicken Sie auf Save.

   

   Abbildung 25. Einstellung des IPv4-Konfigurationstyps auf Keine für LAN

4. Gehen Sie zu Interfaces → [WAN] im OPNsense-Benutzerinterface.

5. Wählen Sie None für den IPv4 Configuration Type.

6. Klicken Sie auf Save.

   

   Abbildung 26. Einstellung des IPv4-Konfigurationstyps auf Keine für WAN

7. Klicken Sie auf Apply Changes, um die Konfiguration zu aktivieren.

10. Hinzufügen von Firewall-Regeln

Jetzt haben Sie eine Filterbrücke und können Ihre Firewall-Regeln auf der Brücken-Schnittstelle konfigurieren.

tipp

Regeln für die Mitgliedsschnittstellen des Bridges werden ignoriert.Sie sollten Filterregeln für die neu erstellte Bridge-Schnittstelle Bridge0 definieren.