Firewall – OPNsense Proxy neu einrichten

26. Sep 2022

Dieser Beitrag richtet sich an Fachverantwortliche in IT-Einsatzgebieten und zeigt die Einrichtung einer Firewall mittels OPNsense auf. Das dazu passende Master-Set (Master 2022/23) muss existieren.

Sollten Sie in einer gymnasialen Bildungseinrichtung arbeiten, verwenden Sie bitte die Anleitung Firewall – OPNsense

Wenn ein Prüfungsszenario vorsieht, das Internet zu sperren oder nur gezielte Webseiten zuzulassen, werden diese Regeln am einfachsten in der Firewall als Proxy-Rules abgebildet. Auf der OPNsense Firewall läuft der Prozess etwas einfacher ab. Es braucht dazu nur die URL der Webseite, welche freigeben werden soll.

In diesem Beispiel wird das Internet gesperrt und die Webseite smartlearn.ch und freigegeben.

Umgebung konfigurieren

Es werden folgende Maschinen zum Set hinzugefügt:

  • os221-vmLF
  • wiv11-vmWP

Konfiguration

Nach dem Starten der beiden Maschinen werden folgende Konfigurationen auf der Windows-Maschine vorgenommen:

Netzwerk-Einstellungen:
  • Gateway und DNS auf 192.168.110.2 umstellen
  • Proxyserver verwenden aktivieren
    • Automatisch erkennen: deaktivieren
    • Proxy-IP: 192.168.110.2
    • Port: 3128
    • Proxyserver nicht für Adressen verwenden: 192.168.110.2
Firewall
  1. Einloggen auf http://192.168.110.2 (Benutzername: vmadmin)
  2. System → Trust → Authorities
    1. Neues Zertifikat erstellen
      1. Name: smartlearn
      2. Method: internal CA
      3. Distinguished name:
        1. Country: CH
        2. State: Bern
        3. City: Bern
        4. Organization: smartlearn
        5. E-Mail: system@smartlearn.local
        6. Common Name: smartlearn
    2. Export CA-Cert bestätigen und das heruntergeladene Zertifikat installieren (Lokaler Computer, Zertifikatsspeicher: vertrauenswürdige Stammzertifizierungsstellen)
  3. System → Access → Users
    1. Passwörter von root und vmadmin auf zwei zufällig generierte ändern, damit Teilnehmende die Firewall-Änderungen nicht lockern können.
  4. Services → Web-Proxy → Administration
    1. Enable Proxy aktivieren (Apply)
    2. Forward Proxy → Enable SSL inspection aktivieren, CA to use: smartlearn auswählen (Apply)
    3. Forward Proxy → Access Control Lists
      1. Gewünschte Seiten bei Whitelist eintragen (z.B. smartlearn.ch)
      2. Bei Blacklist .* eintragen, um alle weiteren Seiten zu sperren.
  1. Proxy-Service neu starten (oben rechts)
  2. Firewall → Rules → lan0
    1. Neue Firewall-Regel erstellen:
      1. Action: pass
      2. TCP/IP Version: IPv4+IPv6
      3. Source: lan0 net
      4. Destination: This Firewall
    2. Neu erstellte Regel ganz nach oben verschieben
    3. Bestehende Regeln «Default allow LAN to any rule» auf Aktion «Reject» setzen (IPv4 + IPv6)
    4. Mit Apply rules die Anpassungen bestätigen

0 Kommentare