Was ist eine pfsense Firewall?
Pfsense ist eine Opensource Firewall-Software. D.h. die Software wird von vielen Entwicklern weltweit „kostenlos“ programmiert und kann von jedem (sowohl Einzelpersonen als auch Firmen) genutzt werden. Pfsense basiert auf FreeBDS – einem Linux Derivat. Im Gegensatz zu den meisten Linux-Systemen auf denen das Programm „iptables“ für Firewall-Regel zum Einsatz kommt, nutzt FreeBSD zur Steuerung von Netzwerk-Verkehr einen Paket-Filter. Das „pf“ von PFsense steht für Paket-Filter. In diesem Tutorial beschreibe ich Schritt für Schritt wie Sie eine pfsense installieren und die Firewall anschließend selbst konfigurieren.
PFsense kann unter https://www.pfsense.org/download/ herunter geladen werden. Auf der Website von pfsense.org kann auch direkt Firewall-Hardware gekauft werden. Für unsere Zwecke reicht aber bereits ein älterer PC. Dazu gleich mehr.
Neben pfsense gibt es noch eine Anzahl weiterer Firewalls die auf Opensource basieren.
– IPCOP (mittlerweile veraltet), http://www.ipcop.org/
– M0n0wall: http://m0n0.ch
– Endian http://www.endian.com/de/
– OPNsense: https://opnsense.org/about/about-opnsense/ (Fork von pfsense)
Pfsense ist unter den Opensource Firewalls das zur Zeit (Stand 2017) bekannteste Projekt und hat dabei die größte aktive Anzahl an Entwickler bzw. Supportern.
PfSense Hardware: Virtuelle Maschine anlegen / PC vorbereiten
Um eine PfSense zu installieren benötigen Sie meistens wenig echte Hardware-Ressourcen. Wichtig sind 2 Netzwerk-Karten. Ohne zweite Netzwerk-Karte macht die Firewall wenig Sinn, da Sie ja nun mal zwei Netze (das interne und das externe) voneinander trennt.
Wenn die PfSense physisch installiert werden soll: 2- Kerne, 2 GB RAM, 10 -15 GB HDD. Oft genügt ein alter PC (auf Celeron Basis), in den eine zweite Netzwerkkarte eingebaut wird. Wichtiger als die Leistung des Geräts ist die Zuverlässigkeit und Stabilität der Firewall. Schließlich soll die PfSense Firewall ja viele Monate bzw. Jahre zuverlässig ihren Dienst tun.
Für die PfSense gibt es fertige Distributionen für so genannte Appliances. Das sind fertige Geräte (meist auf Basis einer kleineren CPU – Atom bspw.) bei denen neben wenig RAM eine Flash-Speicherkarte eingebaut ist. Diese sind oft sehr genügsam was den Stromverbrauch angeht und reichen für kleine Firmen oder Home-Offices meistens aus.
Ebenso genügsam sind die Anforderungen wenn die PfSense z.B. unter VMWare virtualisiert wird. Hierbei wieder wichtig: 2 NICs mit je einem Bein im LAN und einem Bein im WAN.
PfSense installieren
Zur Installation einer pfsense legen Sie die CD ins Laufwerk, booten und folgen anschließend dem Assistenten (engl. Wizard). Auf Geräten, die von USB booten können, reicht oft auch ein bootbarer USB-Stick auf dem Sie vorher das ISO-Image von pfsense entpackt haben.
Download: https://www.pfsense.org/download/
Bei der Installation wird die Harddisk formatiert – also Vorsicht – vorher die Daten sichern!
Der Vorgang ist je nach Geschwindigkeit der Hardware – insbesondere Der Festplatte – nach einigen, wenigen Minuten fertig. Danach werden Sie aufgefordert die neu installierte Firewall neu zu starten.
Konfiguration
Nach dem Reboot meldet sich die pfsense Firewall mit dem Einrichtungs-Bildschirm. Hier müssen Sie zunächst die Zuweisung der Netzwerk-Interfaces durchführen.
Tipp: Sofern Sie eine virtuelle pfsense einrichten: Schauen Sie unter VMWare nach den MAC-Adressen und notieren sich diese (meist reichen die letzten 3-4 Stellen um die Anschlüsse ausei-nander zu halten). Bei physischen Maschinen schauen Sie vorher auf die Interface-Karten oder notieren sich die MAC-Adresse im Bios.
Bei der Installation wird die Harddisk formatiert – also Vorsicht – vorher die Daten sichern!
Wählen Sie im obigen Screen (1) um die Zuordnung des externen (WAN) und internen (LAN) Inter-faces durchzuführen. Mit (2) ändern Sie direkt danach mindestens die LAN-Adresse der Firewall auf ihr Netzwerk ab.
Direkt danach müssen Sie von einem PC/Server im internen LAN die IP-Adresse der Firewall pin-gen können (hier im Beispiel 192.168.1.254). Sofern der Ping auf das LAN-Interface der pfsense erfolgreich isrt, wechseln Sie für alle weiteren Arbeiten auf einen PC/Notebook/Server im internen LAN.
Melden Sie sich dort mit einem Browser an der LAN-Adresse des Firewalls an. URL: https://192.168.1.254
Das initiale Passwort für die erste Anmeldung lautet „pfsense“. Der Username ist „admin“.
Wizard starten
Starten Sie im Web-Browser anschließend den Wizard, mit dem Sie DNS, Zeitzone und die Zeit-Server einrichten:
Die Einstellungen sind an sich fast selbst erklärend:
Die PfSense Firewall muss der korrekten Zeitzone zugeordnet werden.
Nun sollten wir zum Schluss noch ein sichere Passwort für die Firewall wählen.
Die PfSense Firewall muss der korrekten Zeitzone zugeordnet werden.
Damit ist der Wizard abgeschlossen und die Firewall fast betriebsbereit.
