Transparent Filtering Bridge

Warnung

Die Transparent Filtering Bridge ist nicht mit Traffic Shaping kompatibel. Aktivieren Sie den Traffic Shaper nicht, wenn Sie die Filtering Bridge verwenden.

Abstrakt

Eine transparente Firewall kann verwendet werden, um den Datenverkehr zu filtern, ohne verschiedene Subnetze zu erstellen. Diese Anwendung wird als Filtering Bridge bezeichnet, da sie als Brückenverbindung zwischen zwei Schnittstellen fungiert und darauf Filterregeln anwendet.

Weitere Informationen zu Filtering Bridged unter FreeBSD finden Sie unter filtering-bridges

Anforderungen

• Für dieses Howto benötigen wir eine Grundinstallation des Schulrouter Plus mit Werkseinstellungen als Ausgangspunkt.

• Und eine Appliance mit 2 physikalischen Schnittstellen.

Konfiguration in 10 einfachen Schritten

• 1. Deaktivieren Sie die Generierung ausgehender NAT-Regeln

• 2. Systemeinstellungen ändern

• 3. Erstellen Sie die Brücke

• 4. Zuweisen einer Management-IP/Schnittstelle

• 5. Deaktivieren Private Netzwerke blockieren & bogon

• 6. Deaktivieren Sie den DHCP-Server im LAN

• 7. Regeln für Zulassen hinzufügen

• 8. Standardmäßige Anti-Lockout-Regel deaktivieren

• 9. Stellen Sie den LAN- und WAN-Schnittstellentyp auf ‚keine‘.

• 10. Übernehmen Sie nun die Änderungen

Während der Konfiguration werden Sie mehrmals aufgefordert, Ihre Änderungen „anzuwenden“, dies kann jedoch die aktuelle Verbindung beeinflussen. Wenden Sie also nichts an, bevor Sie nicht vollständig fertig sind! Sie müssen Ihre Änderungen für jeden Schritt speichern.

1. Deaktivieren Sie die Generierung ausgehender NAT-Regeln

Um ausgehendes NAT zu deaktivieren, gehen Sie auf Firewall ‣ NAT ‣ Ausgehend und wählen Sie „Disable Outbound NAT rule generation“.

2. Systemeinstellungen ändern

Aktivieren Sie die filternde Brücke, indem Sie net.link.bridge.pfil_bridge in System ‣ Einstellungen ‣ System Tuneables von Standard auf 1 ändern.

Und deaktivieren Sie die Filterung auf Mitgliedsschnittstellen, indem Sie net.link.bridge.pfil_member in System ‣ Einstellungen ‣ System Tuneables von Standard auf 0 ändern.

3. Erstellen Sie die Brücke

Erstellen Sie eine Brücke von LAN und WAN, gehen Sie auf Schnittstellen ‣ Andere Typen ‣ Brücke. Hinzufügen Wählen Sie LAN und WAN.

4. Zuweisen einer Management-IP/Schnittstelle

Um die Filtering Bridge (Schulrouter Plus) anschließend konfigurieren und verwalten zu können, müssen wir der Bridge eine neue Schnittstelle zuweisen und eine IP-Adresse einrichten.

Gehen Sie auf Schnittstellen ‣ Assign ‣ Available network port, wählen Sie die Brücke aus der Liste und drücken Sie +.

Fügen Sie nun eine IP-Adresse zu der Schnittstelle hinzu, die Sie zur Verwaltung der Bridge verwenden möchten. Gehen Sie auf Schnittstellen ‣ [OPT1], aktivieren Sie die Schnittstelle und geben Sie die IP/Netzmaske ein.

5. Deaktivieren Private Netzwerke blockieren & bogon

Für die WAN-Schnittstelle müssen wir die Sperrung von privaten Netzwerken und gefälschten IPs deaktivieren.

Gehen Sie auf Schnittstellen ‣ [WAN] und deaktivieren Sie Private Netzwerke blockieren und Bogon-Netzwerke blockieren.

6. Deaktivieren Sie den DHCP-Server im LAN

Um den DHCP-Server im LAN zu deaktivieren, gehen Sie zu Dienste ‣ DHCPv4 ‣ [LAN] und heben Sie die Auswahl von „enable“ auf.

7. Regeln für Zulassen hinzufügen

Nach dem Konfigurieren der Bridge werden die Regeln auf den Mitgliedsschnittstellen (WAN/LAN) ignoriert. Sie können diesen Schritt also überspringen.

Fügen Sie die Erlaubnisregeln für den gesamten Datenverkehr auf jeder der drei Schnittstellen (WAN/LAN/OPT1) hinzu.

Mit diesem Schritt wird sichergestellt, dass wir eine vollständig transparente Bridge haben, ohne dass eine Filterung stattfindet. Sie können die richtigen Regeln einrichten, wenn Sie bestätigt haben, dass die Bridge richtig funktioniert.

Gehen Sie zu Firewall ‣ Regeln und fügen Sie eine Regel pro Schnittstelle hinzu, um jeglichen Datenverkehr zuzulassen.

8. Standardmäßige Anti-Lockout-Regel deaktivieren

Nach dem Konfigurieren der Bridge werden die Regeln auf den Mitgliedsschnittstellen (WAN/LAN) ignoriert. Sie können diesen Schritt also überspringen.

Da wir nun Erlaubnisregeln für jede Schnittstelle eingerichtet haben, können wir die Anti-Lockout-Regel für das LAN sicher entfernen

Gehen Sie zu Firewall ‣ Einstellungen ‣ Admin Access: Anti-Lockout und wählen Sie diese Option, um sie zu deaktivieren

9. Stellen Sie den LAN- und WAN-Schnittstellentyp auf ‚keine‘.

Entfernen Sie nun die verwendeten IP-Subnetze für LAN und WAN, indem Sie den Schnittstellentyp auf none ändern. Gehen Sie dazu auf Schnittstellen ‣ [LAN] und Schnittstellen ‣ [WAN].

10. Übernehmen Sie nun die Änderungen

Wenn Sie jeden Schritt befolgt haben, können Sie die Änderungen nun anwenden. Die Firewall wird nun in eine Filtering Bridge umgewandelt.

Fertig… bereit, Ihre eigenen Filterregeln festzulegen

Nun können Sie die richtigen Firewall-/Filterregeln erstellen und anwenden. Für den Zugriff auf die Firewall müssen Sie die IP-Adresse verwenden, die Sie für die OPT1-Schnittstelle konfiguriert haben.

Die Regeln müssen auf der Bridge konfiguriert werden. Regeln auf Teilnehmerschnittstellen werden ignoriert!

Achten Sie darauf, dass Ihr PC/Laptop mit einer IP-Adresse konfiguriert ist, die im IP-Bereich des OPT1-Subnetzes liegt!