← Zurueck zu Enterprise Firewall
📋

Firewall-Regeln einrichten

Firewall-Regeln in OPNsense erstellen, verstehen und verwalten.

⏱️ 30 Minuten 📊 Mittel
🧠 Schritt 1: Wie Firewall-Regeln funktionieren +

Grundprinzipien:

  • First Match Wins: Die erste passende Regel wird angewendet
  • Top-Down: Regeln werden von oben nach unten geprueft
  • Interface-gebunden: Regeln gelten fuer eingehenden Traffic am Interface
  • Implicit Deny: Was nicht erlaubt ist, wird blockiert
⚠️

Wichtig: Eingehend = am Interface ankommend

Regeln auf dem LAN-Interface filtern Traffic, der vom LAN kommt (z.B. Client will ins Internet). Regeln auf dem WAN-Interface filtern Traffic, der aus dem Internet kommt.

Regel-Verarbeitung

1. Paket kommt an Interface an

2. Erste Regel wird geprueft

3. Match? → Aktion ausfuehren (Pass/Block)

4. Kein Match? → Naechste Regel pruefen

5. Keine Regel passt? → Implicit Deny (Block)

📖 Schritt 2: Standard-Regeln verstehen +

Nach der Installation hat OPNsense diese Default-Regeln:

LAN Interface (Standard)

✓ Pass IPv4+IPv6 LAN net → any Alles erlaubt

WAN Interface (Standard)

✗ Block Private Networks RFC1918 → any Spoofing-Schutz
✗ Block Bogon Networks Bogons → any Ungueltige IPs
Implicit Deny (alles andere blockiert)
💡

Default = Offen nach aussen

Die Standard-LAN-Regel erlaubt alles nach aussen. Fuer mehr Sicherheit solltest du diese durch spezifischere Regeln ersetzen.
Schritt 3: Erste Regel erstellen +

Beispiel: HTTP/HTTPS vom LAN erlauben

  1. Firewall → Rules → LAN
  2. Klicke auf „+" (Add)
  3. Fulle die Felder aus:
Action: Pass
Interface: LAN
Direction: in
TCP/IP Version: IPv4
Protocol: TCP
Source: LAN net
Destination: any
Destination Port: HTTP_HTTPS (443, 80)
Description: Allow Web Browsing
  1. Klicke „Save"
  2. Klicke „Apply Changes" (oben)

Regel aktiv

Nach „Apply Changes" ist die Regel sofort aktiv. Keine Neustart noetig.
↕️ Schritt 4: Regel-Reihenfolge +

Die Reihenfolge ist entscheidend!

❌ Falsche Reihenfolge

  1. 1. Pass - LAN net → any (ALLES erlaubt)
  2. 2. Block - LAN net → Malware-IPs

→ Block-Regel wird nie erreicht, weil Regel 1 alles matcht!

✓ Richtige Reihenfolge

  1. 1. Block - LAN net → Malware-IPs
  2. 2. Pass - LAN net → any

→ Erst spezifische Blocks, dann allgemeine Erlaubnis

Regeln verschieben:

  • Drag & Drop in der Regelliste
  • Oder: Regel bearbeiten → Position aendern
  • Nach Aenderung: „Apply Changes" nicht vergessen!
🏷️ Schritt 5: Aliase verwenden +

Aliase machen Regeln uebersichtlicher und wartbarer:

Alias erstellen:

  1. Firewall → Aliases
  2. Klicke auf „+"
  3. Waehle den Typ:

Host(s)

Einzelne IPs oder Hostnamen

Name: WebServers
Type: Host(s)
Content: 10.0.1.10, 10.0.1.11

Network(s)

IP-Bereiche / Subnetze

Name: InternalNets
Type: Network(s)
Content: 10.0.0.0/8, 192.168.0.0/16

Port(s)

Port-Nummern oder Bereiche

Name: WebPorts
Type: Port(s)
Content: 80, 443, 8080

URL Table

Externe Blocklisten

Name: MalwareIPs
Type: URL Table
URL: https://blocklist.example/ips.txt
💡

Aliase in Regeln

In Firewall-Regeln kannst du dann einfach „WebServers" als Source/Destination waehlen statt jede IP einzeln einzutragen.
📝 Schritt 6: Logging aktivieren +

Logs sind essentiell fuer Troubleshooting und Sicherheit:

Pro Regel:

  • Regel bearbeiten → „Log packets" aktivieren
  • Empfohlen fuer: Block-Regeln, wichtige Pass-Regeln

Logs anzeigen:

  • Firewall → Log Files → Live View
  • Oder: Firewall → Diagnostics → pfTop (Live-Traffic)
Jan 15 10:23:45 opnsense filterlog: 5,,,block,em0,match,in,4,
  TCP,192.168.1.100:54321,8.8.8.8:53,S,...
⚠️

Performance

Logging auf stark frequentierten Regeln kann Performance kosten. Aktiviere es gezielt, nicht pauschal auf allen Regeln.
Schritt 7: Best Practices +

1. Deny-by-Default

Loesche die Default „Allow All" Regel auf LAN. Erlaube nur was noetig ist.

2. Beschreibungen nutzen

Jede Regel braucht eine aussagekraeftige Description. In 6 Monaten weisst du sonst nicht mehr warum.

3. Aliase verwenden

Statt IPs in Regeln: Aliase. Aenderungen dann nur an einer Stelle.

4. Regeln gruppieren

Separators nutzen um Regeln zu strukturieren (z.B. „--- Management ---", „--- User Traffic ---").

5. Outbound einschraenken

Auch ausgehenden Traffic filtern. Malware kann sonst ungehindert nach Hause telefonieren.

🚨

Nicht aussperren!

Bevor du restriktive Regeln auf dem Management-Interface aktivierst: Stelle sicher, dass du dich nicht selbst aussperrst. Im Zweifel Konsolen-Zugang bereithalten.
🔒 Schritt 8: Beispiel: Sicheres Regelwerk +

Ein Beispiel fuer ein restriktiveres LAN-Regelwerk:

LAN Rules (von oben nach unten)

Action Source Dest Port Beschreibung
Pass LAN net LAN address 443 Zugriff auf Firewall-GUI
Pass LAN net LAN address 53 DNS via Firewall
Block LAN net RFC1918 * Block andere private Netze
Pass LAN net any 80,443 Web-Browsing
Pass LAN net any 993,465 E-Mail (IMAPS, SMTPS)
Block LAN net any * Block alles andere (Logging!)
💡

Anpassen!

Dies ist nur ein Beispiel. Passe die Regeln an deine Anforderungen an. Brauchst du SSH, VPN, Gaming? Fuege entsprechende Regeln hinzu.

Haeufige Fragen

Meine Regel funktioniert nicht - was tun?
1) Ist die Regel ueber der „Default Allow" oder „Block All"? 2) Stimmt Source/Destination? (Denke an die Interface-Richtung!) 3) Ist „Apply Changes" gedrueckt? 4) Aktiviere Logging auf der Regel und pruefe Firewall → Log Files.
Wie erlaube ich Zugriff von aussen (Port Forwarding)?
Das ist NAT, nicht nur eine Firewall-Regel: 1) Firewall → NAT → Port Forward → Add 2) Dann wird automatisch eine passende Firewall-Regel vorgeschlagen
Was ist der Unterschied zwischen Block und Reject?
Block: Paket wird stillschweigend verworfen (empfohlen fuer WAN). Reject: Sendet eine Fehlermeldung zurueck (schnelleres Feedback fuer interne Clients).
Kann ich Regeln zeitlich begrenzen?
Ja! Im Regel-Editor unter „Schedule" kannst du Zeitplaene definieren. Z.B. „Internet nur 8-22 Uhr" fuer Kinder-Geraete.
← Zurueck: OPNsense Basics Weiter: VLANs →