Revision 47 vom 2017-08-29 10:14:30

Nachricht löschen

Installationshinweise: pfSense Firewall des Debian Edu / Skolelinux Netzwerks

Download / Installationsmedium erstellen

Zunächst muss pfSense für das gewählte Installationsmedium (CD-ROM, USB-Stick) heruntergeladen werden: https://www.pfsense.org/download/

Hinweis: Das aktuelle amd64-Image ist unter pfSense-2.3.4-Downloads herunterzuladen.

Nach dem Download muss das Boot-Medium erstellt werden. Genauere Hinweise hierzu bitte der pfSense-Dokumentation entnehmen.

Netzwerkkarten identifizieren

Bevor mit der Installation des Firewall-Systems begonnen werden kann, muss für alle Netzwerkkarten die jeweils zugehörige MAC-Adresse ermittelt werden. Eine eindeutige Zuordnung von MAC-Adressen zu Netzwerkports ist für die spätere Konfiguration der Firewall-Software notwendig.

Basisinstallation

Den PC für das Firewall-System vom Installationsmedium starten und im Abfrage-Dialog von pfsense die folgenden Optionen auswählen.

Die Firewall spezifischen Pakete können über den WebKonfigurator installiert und konfiguriert werden. Hierzu zählen zum Beispiel der Proxy (Squid 3) und der Inhaltsfilter (Dansguardian). Auch die Firewall wird einfacher über den Webkonfigurator konfiguriert.

Konfiguration via Webkonfigurator

Über den Webkonfigurator lassen sich die Parameter für das System und die Pakete einstellen. Unter Status > Service kann man die laufenden Dienste anhalten und neu starten. Unter Diagnostics lässt sich das System anhalten und neu starten.

Proxy konfigurieren

Der Proxy lässt konfigurieren unter Service > Proxy ...:

Inhaltsfilter konfigurieren (Dansguardian) RETIERED

Der Inhaltsfilter lässt sich konfigurieren unter Service > Dansguardian:

Performanz des Inhaltsfilters optimieren

  1. Das Konfigurationsmenü gibt Hinweise, welche Werte (abweichend von den Standardeinstellungen) für große Sites verwendet werden können. Diese Werte sind unter dem Reiter "Daemon" einzutragen.
  2. Ferner kann man überlegen, das Verwenden von Phrasenlisten zu deaktivieren und sich nur auf den URL-Filter und den URL-Stichwortfilter von Dansguardian zu verlassen. Wenn nicht jede heruntergeladene Webseite nach malignen Inhalten durchsucht werden muss, ist eine Leistungssteigerung beim Aufrufen von Webseiten auf den angegliederten Clients zu erwarten.

Firewall konfigurieren

Unter Firewall > Rules werden die Firewall-Regeln des pfSense Systems aufgerufen.

WAN Regeln

type

ID

Proto

Source

Port

Destination

Port

Gateway

Queue

Schedule

Description

pass

IPv4 TCP/UDP

172.16.0.88

*

This Firewall

1194 (OpenVPN)

*

none

Incoming OpenVPN from Backup-Server

LAN Regeln

type

ID

Proto

Source

Port

Destination

Port

Gateway

Queue

Schedule

Description

pass

IPv4 TCP/UDP

10.0.2.2

*

*

*

*

none

allow all from Tjener

pass

IPv4 ICMP

*

*

*

*

*

none

always allow ICMP

pass

IPv4 UDP

LAN net

*

ITZkS_VpnSrv

1197

*

none

VPN-Access to ITZkS-VPN-Server (HGG), Port muss an Schule angepasst werden!!!

pass

IPv4 UDP

LAN net

*

ITZkS_VpnSrv

1194

*

none

VPN access to ITZkS-VPN-Server (ADMINS)

reject

IPv4+6 TCP/UDP

*

*

WAN net

*

*

none

block all IPv4/IPv6

OpenVPN Regeln

type

ID

Proto

Source

Port

Destination

Port

Gateway

Queue

Schedule

Description

pass

IPv4 ICMP

*

*

LAN net

*

*

none

always allow ICMP

pass

IPv4 TCP

*

*

LAN net

22

*

none

VPN Clients (e.g. backup-01) may SSH into all machines

Captive Portal

Konzept

Für die Bereitstellung einer WiFi-Umgebung wird die "Captive Portal"-Funktion in pfSense für Schulen eingerichtet. Es werden 4 WiFi-Netze bereitgestellt:

Netzwerk-Layout

Jedes dieser WiFi-Netze wird über eine separate ESSID bereit gestellt. Verbinden sich Clients mit einer der ESSID landen sie (per DHCP) in einem von vier (eigentlich drei) dedizierten Subnetzen:

Alle Access Points werden über einen VLAN Trunk versorgt. Auf diesem VLAN-Trunk liegen die vier oben genannten Subnetze. Die Subnetze im 172er Bereich werden als VLAN-Trunk bis in das "BLUE" Interface der pfSense geführt, das 10er Netz auf der nächstgelegenen managebaren Switch "aussortiert" und im Edu-VLAN der Schule verteilt.

VLAN-Layout

Die VLANs für die 172er Netze werden wie folgt konfiguriert:

In der pfSense werden (via BLUE Netzwerkschnittstelle) obige VLANs voneinander getrennt und drei verschiedenen "Captive Portal Zonen" zugeordnet.

Captive Portal Zonen

Nutzungshinweise für Captive Portal

Nutzungshinweise werden hier gelistet.

Konfigurationen auf Konsolenebene

Um auf der Konsolenebene besser arbeiten zu können sollten einige Programme nachinstalliert und einige Parameter konfiguriert werden. Zum Erreichen der Konsole im Auswahlmenü 8 drücken.

Danach kann man folgende Konfigurationen vornehmen: