Modul 4 von 16 · 📖 6 min Lesezeit · ⏱ 45 min gesamt

FUTO 04 pfSense Firewall-Regeln

Inhaltsverzeichnis (6 Abschnitte)
  1. Konzepte und Hintergrund
  2. Architektur-Diagramm
  3. Praktische Schritte
  4. Häufige Fallstricke
  5. Weiterführende Ressourcen
  6. Wissens-Check

FUTO 04 pfSense Firewall-Regeln

In diesem Modul erlernen Sie die Konfiguration von Firewall-Regeln in pfSense, die Grundlage für den sicheren Datenverkehr in Ihrer Infrastruktur. Sie verstehen, wie Sie Netzwerksegmente wie LAN, WAN und DMZ effektiv voneinander trennen und gezielt Ports für bestimmte Dienste freigeben können.

Die praktische Anwendung von NAT (Network Address Translation) und Port-Forwarding ermöglicht es Ihnen, interne Dienste sicher nach außen zugänglich zu machen, während Sie gleichzeitig die Kontrolle über ein- und ausgehenden Datenverkehr behalten.

Konzepte und Hintergrund

Firewall-Regeln
Filterregeln, die bestimmen, welcher Datenverkehr zwischen Netzwerkschnittstellen erlaubt oder blockiert wird. Jede Regel besteht aus Quell- und Zielnetzwerk, Port, Protokoll und Aktion (allow/deny).
NAT (Network Address Translation)
Technik zur Übersetzung von IP-Adressen, die es ermöglicht, mehrere Geräte in einem internen Netzwerk über eine einzige öffentliche IP-Adresse ins Internet zu kommunizieren.
Port-Forwarding
Spezifische NAT-Regel, die eingehende Verbindungen auf bestimmten Ports an ein internes Gerät weiterleitet, z.B. um einen Webserver im LAN von außen erreichbar zu machen.
WAN/LAN-Setup
Grundlegende Netzwerksegmentierung, bei der WAN (Wide Area Network) die Verbindung zum Internet darstellt, während LAN (Local Area Network) das interne, vertrauenswürdige Netzwerk umfasst.
VLAN
Virtual Local Area Network, das physische Netzwerkgeräte logisch in separate Broadcast-Domänen aufteilt, um Netzwerksegmentierung ohne zusätzliche Hardware zu ermöglichen.

Architektur-Diagramm

flowchart LR
  A[Internet] --> B(pfSense)
  B --> C[LAN]
  B --> D[DMZ]
  B --> E[WiFi]

Praktische Schritte

  1. Loggen Sie sich in das pfSense-Webinterface ein und navigieren Sie zu "Firewall > Rules". Jede Regel wird in der Reihenfolge von oben nach unten ausgewertet.
  2. Erstellen Sie eine neue Regel für das LAN, indem Sie auf "Add" klicken. Setzen Sie die Aktion auf "Pass", Protokoll auf "TCP/UDP" und geben Sie den gewünschten Port im Feld "Destination Port Range" ein.
  3. Konfigurieren Sie das NAT-Port-Forwarding unter "Firewall > NAT > Port Forward". Klicken Sie auf "Add" und wählen Sie die Schnittstelle (WAN), den externen Port und leiten Sie ihn an die interne IP-Adresse und den internen Port weiter.
  4. Erstellen Sie für DMZ-Regeln unter "Firewall > Rules > DMZ" eine separate Regel, die den Zugriff von der DMZ auf das LAN explizit verbietet, um eine einseitige Trennung zu gewährleisten.
  5. Implementieren Sie stateful Firewalling, indem Sie sicherstellen, dass die Option "Stateful" in Ihren Regeln aktiviert ist, um bestehende Verbindungen automatisch zu erlauben.
  6. Testen Sie Ihre Regeln mit dem "Packet Capture"-Tool unter "Diagnostics > Packet Capture", um den Datenverkehr zwischen den Interfaces zu analysieren.
  7. Speichern Sie Ihre Konfiguration und setzen Sie die Firewall mit "Firewall > Apply Changes" in den Produktionsmodus.

Häufige Fallstricke

Weiterführende Ressourcen

Wissens-Check

Vier Fragen zur Selbstkontrolle. Klicken Sie jede Frage an, um die richtige Antwort und Erklärung zu sehen.

Welche Komponente in pfSense ist hauptsächlich dafür verantwortlich, eingehende Verbindungen von außen auf ein internes Gerät weiterzuleiten?
  • A) Firewall-Regeln
  • B) Port-Forwarding
  • C) VLAN-Konfiguration
  • D) DHCP-Server

Richtige Antwort: B. Port-Forwarding ist speziell für die Weiterleitung von externen Verbindungen an interne Geräte konzipiert. Firewall-Regeln filtern nur den Datenfluss, VLANs segmentieren das Netzwerk logisch, und DHCP vergibt IP-Adressen intern.

In welcher Reihenfolge werden Firewall-Regeln in pfSense ausgewertet?
  • A) Von unten nach oben
  • B) Zufällig
  • C) Nach Prioritätsnummern
  • D) Von oben nach unten

Richtige Antwort: D. Firewall-Regeln werden in pfSense sequenziell von oben nach unten ausgewertet, sobald eine passende Regel gefunden wird. Die anderen Optionen entsprechen nicht dem Standardverhalten von pfSense.

Was ist der Hauptzweck von VLANs in einer pfSense-Umgebung?
  • A) Beschleunigung des Datenverkehrs
  • B) Erhöhung der Internetgeschwindigkeit
  • C) Logische Netzwerksegmentierung
  • D) Reduzierung der Hardwarekosten

Richtige Antwort: C. VLANs ermöglichen die logische Aufteilung eines physischen Netzwerks in separate Broadcast-Domänen, was die Sicherheit und Organisation verbessert. Sie beschleunigen nicht den Verkehr, erhöhen nicht die Internetgeschwindigkeit und reduzieren primär nicht die Hardwarekosten.

Welche Aktion in einer Firewall-Regel würde den Datenverkehr erlauben?
  • A) Block
  • B) Deny
  • C) Pass
  • D) Drop

Richtige Antwort: C. In pfSense wird "Pass" als Aktion verwendet, um Datenverkehr explizit zu erlauben. "Block" und "Deny" verhindern den Verkehr, während "Drop" Pakete still verwirft, ohne eine Fehlermeldung zu senden.