Anfängerfragen zur Konfiguration der Firewall



  • Hallo zusammen,

    nutze die pfSense schon ber 6 Monaten und bin mit der Performance mehr als zufrieden.
    Habe bisher das pfBlockerNG Plugin mit einer IPv4 Liste und ca. 30 DNSBL Feed listen betrieben.

    Also anders gesagt fast kein Sicherheitskonzept :). Dies möchte ich nun ändern und habe mir dazu ein
    paar Gedanken gemacht. Leider sind mehr Fragen als Lösungsansätze aufgetaucht,
    deshalb dachte ich mir wende ich mich mal ans Forum.

    Vorab mein Heimnetzwerk im groben:

    • pfSense auf APU.2D4 mit 120GB mSata

    WAN / Internet
    :
    : Kabel Vodafone
    :
    .-----+-----.
    | Gateway | (Hitron Modem im Bridge-Modus)
    '-----+-----'
    |
    WAN
    |
    .-----+-----.
    | pfSense |
    '-----+-----'
    |
    LAN | 192.168.1.1/24
    |
    .-----+------.
    | LAN-Switch | VLan-fähig
    '-----+------'
    |
    ...-----+------... FritzBox (fürs FritzFon)/
    Synology NAS DS218+ (Quickconnect zugriff temporär, C2 Backup)
    in ca. 2 Wochen Dell T140 mit Fernwartung (soll nur im LAN aus erreichbar sein)
    |
    .-----+------.
    | LAN-Switch | FritzAP
    '-----+------'
    |
    .-----+------.
    | LAN-Switch | Fritz AP, Netzwerkdrucker HP
    '-----+------'

    so nun zu meinen Fragen:

    Firewall Regeln WAN:

    • Regeln: Block RFC 1918, Block Bogon, wäre es hier nicht schlauer die Regeln zu Löschen? Denn wenn ich es richtig Verstanden
      habe ist alles was nicht erlaubt ist eh Verboten oder? Prüft die Firewall dann nicht zusätzlich?

    • Wie reagiert der WAN Port wenn eine anfrage kommt? Wird Blockiert oder Abgewiesen?
      Gab es hierfür nicht eine Einstellung in der pfSense oder irre ich mich?

    Firewall Regeln LAN (aktuell noch auf den Default regeln, meine Überlegung für die Regeln)

    • erlauben Schnittstelle: LAN, IPv4, alle Protokolle, Quelle (LAN-Net?) Ziel LAN-NET oder LAN-Adress oder Netzwerk mit 192.168.1.1/24 (was wählt man hier, das Intern alles erlaubt ist?)

    • erlauben Schnittstelle: LAN, IPv4, TCP, Quelle(LAN-NET?), Ziel: WAN-NET oder WAN Adress Zielports: Alias mit (80, 443, 465, 993, 995

    • brauche ich noch eine Regeln für Port 53 und 123 ?

    • als letztes dann Abweisen Schnittstelle: LAN, IPv4/ IPv6, alle Protokolle, Quelle LAN-Adress, Ziel WAN und diese Regel dann protokollieren

    Zum pfBlockerNG:

    • Gibt es Listen IPv4 als auch DNSBL die ihr empfehlen könnt? Manche IPv4 Listen scheinen sehr Aggressiv zu sein?

    Benachrichtung:

    • Ist es möglich eine Email zu bekommen wenn das WAN-Gateway eine Zeit lang nicht funktioniert hat ?

    Gibt es weitere Empfehlungen?

    Vielen dank für eure Antworten


  • Rebel Alliance

    @peter91 said in Anfängerfragen zur Konfiguration der Firewall:

    Firewall Regeln WAN:

    Regeln: Block RFC 1918, Block Bogon, wäre es hier nicht schlauer die Regeln zu Löschen? Denn wenn ich es richtig Verstanden
    habe ist alles was nicht erlaubt ist eh Verboten oder? Prüft die Firewall dann nicht zusätzlich?

    Wie reagiert der WAN Port wenn eine anfrage kommt? Wird Blockiert oder Abgewiesen?
    Gab es hierfür nicht eine Einstellung in der pfSense oder irre ich mich?

    Die beiden Regeln verhindern, dass Anfragen vom Heimnetz nach draussen gehen. wenn die Sense sich einwählt, die Haken lassen.

    Anfage von wo? Von draussen ist alles zu, bist du was öffnest, zB Portfreigaben. Von drinnen lässt WAN alles durch, dafür setzt du auch Rules für LAN, OPT1 etc... Wenn keine Rules vorhanden sind, geht nichts raus.

    Firewall Regeln LAN (aktuell noch auf den Default regeln, meine Überlegung für die Regeln)

    • erlauben Schnittstelle: LAN, IPv4, alle Protokolle, Quelle (LAN-Net?) Ziel LAN-NET oder LAN-Adress oder Netzwerk mit 192.168.1.1/24 (was wählt man hier, das Intern alles erlaubt ist?)

    Also mit der Default Rule kommst du überall hin, damit ist alles erlaubt. Damit kommst du auch raus in die böse Welt
    Ohne LAN Rules kannst Du im LAN Netz machen was du willst, kommst nur am Router nicht vorbei. Die LAN Rules sind dafür da, um den Traffic zu den anderen Interfaces (WAN, OPT1, OPT2 etc..) zu regeln.

    erlauben Schnittstelle: LAN, IPv4, TCP, Quelle(LAN-NET?), Ziel: WAN-NET oder WAN Adress Zielports: Alias mit (80, 443, 465, 993, 995

    WANnet oder WANaddress wird nicht funktionieren, probiere es ruhig aus. Nimm als Ziel "any", und dann 2 Rules ala "allow IPv4 TCP LANnet, any, any, Alias_mit_Ports,", Das gleiche mit UDP.

    brauche ich noch eine Regeln für Port 53 und 123 ?

    Siehe oben,UDP Regel. Das macht sowieso die pfSense, da gibst Du als Ziel "This Firewall" oder "LANaddress" ein.

    Was versprichst Du dir von diesem Regelwerk?

    als letztes dann Abweisen Schnittstelle: LAN, IPv4/ IPv6, alle Protokolle, Quelle LAN-Adress, Ziel WAN und diese Regel dann protokollieren

    Nicht nötig, wird alles geblockt was nicht explizit freigegeben ist.

    Zum pfBlockerNG:

    • Gibt es Listen IPv4 als auch DNSBL die ihr empfehlen könnt? Manche IPv4 Listen scheinen sehr Aggressiv zu sein?

    pfBlockerNG devel bringt schon viel mit von Hause aus. Ansonsten die Kandidaten für piHole, einfach mal suchen im Netz.

    Benachrichtung:

    • Ist es möglich eine Email zu bekommen wenn das WAN-Gateway eine Zeit lang nicht funktioniert hat ?

    Wenn das WAN-Gateway nicht funktioniert, kommst du gar nicht raus, ergo kannst keine Mails verschicken.
    Wenn die die Meldungen im Log meinst, manche Gateways ignorieren Pings und werden als nicht erreichbar deklariert. Ignorieren oder unter Routing/Gateways das Monitoring deaktivieren bzw. eine Monitor IP eintragen, die Pings beantwortet (Googles 8.8.8.8).


  • LAYER 8 Moderator

    @mike69 said in Anfängerfragen zur Konfiguration der Firewall:

    Regeln: Block RFC 1918, Block Bogon, wäre es hier nicht schlauer die Regeln zu Löschen? Denn wenn ich es richtig Verstanden
    habe ist alles was nicht erlaubt ist eh Verboten oder? Prüft die Firewall dann nicht zusätzlich?
    Wie reagiert der WAN Port wenn eine anfrage kommt? Wird Blockiert oder Abgewiesen?
    Gab es hierfür nicht eine Einstellung in der pfSense oder irre ich mich?

    Die beiden Regeln verhindern, dass Anfragen vom Heimnetz nach draussen gehen. wenn die Sense sich einwählt, die Haken lassen.
    Anfage von wo? Von draussen ist alles zu, bist du was öffnest, zB Portfreigaben. Von drinnen lässt WAN alles durch, dafür setzt du auch Rules für LAN, OPT1 etc... Wenn keine Rules vorhanden sind, geht nichts raus.

    Das stimmt leider nicht ganz, was Mike schreibt.

    Zuerst mal: Die Bogon und RFC1918 Block Regeln sind sinnvoll hier. Sonst gäbe es die Optionen nicht ;)
    Es geht darum, dass - wenn diese Haken auf dem Interface gesetzt sind - die Block Regeln über allen anderen Regeln auf dem WAN eingefügt werden. Sprich: somit gelten die vor irgendwelchen Freigaben, die man ggf. auf dem WAN einrichtet um bspw. VPN oder ähnliches erreichbar zu machen. Ja, wenn man nichts freigibt sind sie quasi überflüssig aber durchaus sinnvoll, da diese Regeln im Log extra gefiltert und kenntlich gemacht sind. Man sieht somit, dass etwas gegen diese Regeln verstoßen hat und kann sich ansehen warum und weshalb.
    Gibt man dann aber mal tatsächlich etwas frei - bspw. VPN für ein RoadWarrior VPN - wird trotzdem der Zugriff darauf von Bogon und RFC1918 Netzen verboten, denn aus denen sollte auf dem WAN keinerlei Traffic ankommen! Daher sind diese durchaus sinnvoll.

    Die pfSense allgemein reagiert IMMER an jedem Interface - solange nicht anders definiert - mit einem block any. Kein reject, somit also blockieren, nicht abweisen und rückmelden. Eine generelle Einstellung dafür gibt es nicht, man kann selbst bei Regeln natürlich auswählen, was man nutzen möchte. Vom LAN aus wird gern mal reject statt block genutzt.

    erlauben Schnittstelle: LAN, IPv4, alle Protokolle, Quelle (LAN-Net?) Ziel LAN-NET oder LAN-Adress oder Netzwerk mit 192.168.1.1/24 (was wählt man hier, das Intern alles erlaubt ist?)

    Um das was Mike schreibt vielleicht etwas verständlicher zu machen: ein Router (und pfSense ist fürs LAN erstmal primär genau das), bekommt Pakete nur wenn sie nicht im lokalen Netz zugestellt werden. Somit muss gar nichts getan werden um vom einer LAN IP an eine andere zu senden, das bekommt die Sense nämlich nicht mit. Intern wird immer direkt zugestellt.

    erlauben Schnittstelle: LAN, IPv4, TCP, Quelle(LAN-NET?), Ziel: WAN-NET oder WAN Adress Zielports: Alias mit (80, 443, 465, 993, 995

    Nochmals für alle die darüber stolpern sollten: Die Auswahl XY_Net bzw. XY_Address beziehen sich nur auf die IP Adresse oder das Subnetz, was am entsprechenden Netzwerkinterface anliegt. WAN_NET ist NICHT das Internet, sondern nur das Subnetz, welches auf dem WAN Port konfiguriert ist bzw. aufliegt. Das Internet wäre rein technisch gesehen any ohne den RFC1918 und Bogon Bereich -> also alle Public IPs.

    erlauben Schnittstelle: LAN, IPv4, TCP, Quelle(LAN-NET?), Ziel: WAN-NET oder WAN Adress Zielports: Alias mit (80, 443, 465, 993, 995

    Wie gesagt WAN-Net ist nicht das Internet, s.o. Ansonsten wenn dir diese wenigen Zielports genügen, ist das durchaus legit. Ich vermute aber du wirst mehr öffnen müssen ;)

    brauche ich noch eine Regeln für Port 53 und 123 ?

    Je nachdem wer das bedient, natürlich. Soll es die Sense tun, dann bräuchte es einen Filter wie "pass udp from LAN_Net to LAN_Address port 52,123" der das auf dem LAN IF erlaubt.

    Generell werden Regeln da erstellt, wo das Paket zuerst auf der Sense auftrifft. Und nur dort.

    als letztes dann Abweisen Schnittstelle: LAN, IPv4/ IPv6, alle Protokolle, Quelle LAN-Adress, Ziel WAN und diese Regel dann protokollieren

    Für ein striktes Ruleset mit nur definierten/wenigen offenen Ports und wenn du es extra Loggen möchtest richtig, ja. Ansonsten würde die default block rule greifen.

    Ist es möglich eine Email zu bekommen wenn das WAN-Gateway eine Zeit lang nicht funktioniert hat ?

    Jein. "Eine Zeit lang" - nein. Wenn es down ist bzw. wieder up geht, ja.

    Gibt es weitere Empfehlungen?

    Das hängt ganz davon ab, was du eigentlich genau erreichen möchtest!? Davon habe ich nichts gelesen. Auch nicht ob du überhaupt keine Segmentierung o.ä. anstrebst da du einen VLAN fähigen Switch angibst. Oder welche Art Traffic/Verkehr du hast/erwartest.


Log in to reply