Firewall-Regeln in OPNsense

Das Herzstück jeder Firewall sind die Regeln. OPNsense verarbeitet Regeln von oben nach unten - die erste passende Regel gewinnt. Das Verstaendnis dieses Prinzips ist fundamental.

Grundprinzip: Default Deny

OPNsense blockiert standardmaessig allen eingehenden Traffic auf dem WAN-Interface. Auf dem LAN-Interface existiert eine Default-Regel, die ausgehenden Traffic erlaubt.

Best Practice: Arbeite nach dem Prinzip "Alles verboten, was nicht explizit erlaubt ist" (Whitelist-Ansatz).

Regelaufbau

Jede Firewall-Regel besteht aus folgenden Elementen:

Wichtige Regeln fuer den Einstieg

DNS erlauben

Damit Geraete im LAN DNS-Anfragen stellen koennen:

• Action: Pass
• Interface: LAN
• Protocol: TCP/UDP
• Source: LAN net
• Destination: Firewall-Adresse oder DNS-Server
• Port: 53

HTTP/HTTPS erlauben

• Action: Pass
• Interface: LAN
• Protocol: TCP
• Source: LAN net
• Destination: Any
• Port: 80, 443

ICMP (Ping) erlauben

• Action: Pass
• Interface: LAN
• Protocol: ICMP
• Source: LAN net
• Destination: Any

Aliases verwenden

Aliases sind benannte Gruppen von IPs, Netzwerken oder Ports. Statt einzelne IPs in Regeln einzutragen, erstelle Aliases:

• Server_LAN: 192.168.1.10, 192.168.1.11, 192.168.1.12
• WebPorts: 80, 443, 8080
• Blockliste: Externe URL-Tabelle mit bekannten Angreifer-IPs

Aliases machen Regeln uebersichtlich und einfacher zu pflegen.

Reihenfolge beachten

1. Anti-Lockout-Regel (ganz oben, nicht loeschen!)
2. Spezifische Block-Regeln
3. Spezifische Allow-Regeln
4. Default Deny (implizit)

Logging

Aktiviere Logging fuer wichtige Regeln, besonders fuer Block-Regeln. Die Logs findest du unter Firewall > Log Files > Live View.

Fazit

Gute Firewall-Regeln sind die Basis fuer ein sicheres Netzwerk. Starte mit wenigen, klaren Regeln und erweitere schrittweise. Nutze Aliases und dokumentiere deine Regelaenderungen.