Wer sein System permanent überwacht, hat den Grundstein dafür gelegt Engpässe zu vermeiden und Fehler frühzeitig zu erkennen. Neben dem Platzhirsch Nagios ... (mehr)

Personalabteilung

Bevor die Benutzer des LANs ins Internet gehen, müssen sie sich auf einer speziellen Seite mit einem Benutzernamen und einem Passwort authentifizieren. Damit das klappt, sind diese beiden Informationen erst einmal in pfSense zu hinterlegen. Der Einfachheit halber soll das in unserem Beispiel über die in pfSense eingebaute Benutzerverwaltung erfolgen, die unter »System | User Manager« zu finden ist. In diesem Fall fügt man im User-Manager für jeden Benutzer über das Plus-Symbol ein neues Benutzerkonto hinzu. Im Formular muss man lediglich einen Benutzernamen und ein Passwort eintragen (Abbildung 14). Beim praktischen Einsatz in einem Firmennetz bietet sich statt des eingebauten User-Managers die Authentifizierung per RADIUS an.

Abbildung 14: Unter

Die Seite für die eigentliche Anmeldung stellt das Captive Portal bereit. Um es einzuschalten, setzt man hinter »Services | Captive Portal« ein Häkchen vor »Enable captive portal« . Die Anmeldeseite soll erscheinen, wenn ein Benutzer aus dem LAN ins Internet gehen möchte, folglich markiert man noch »LAN« unter »Interfaces« . Wenn der Benutzer eine Weile untätig ist, meldet pfSense ihn automatisch wieder ab. Nach wie vielen Minuten dies passieren soll, bestimmt »Idle Timeout« . Bei einem leeren Feld gibt es kein Zeitlimit. Etwas strenger ist »Hard Timeout« : Nach den dort eingetragenen Minuten setzt pfSense den Benutzer gnadenlos vor die Tür – egal, ob er untätig war oder nicht.

Nach erfolgreicher Anmeldung leitet pfSense den Benutzer automatisch zur URL weiter, die unter »After authentication Redirection URL« vorgegeben ist. Die Benutzernamen und Passwörter liegen im Beispiel in der pfSense-eigenen Benutzerverwaltung, weshalb man noch »Authentication» auf »Local User Manager / Vouchers« stellt. Wie der Name bereits andeutet, kann man über das Register »Vouchers« auch Gutscheine erstellen, mit denen dann ein Benutzer für eine Weile Zugang zum Internet erhält. Das ist beispielsweise in Hotels interessant, wo Gäste einen solchen Gutschein erwerben können.

Greift man nach dem Speichern mit »Save« von einem Client-PC aus dem LAN auf das Internet zu, landet man automatisch beim Anmeldebildschirm aus Abbildung 15. Erst wenn man hier die vorhin in der Benutzerverwaltung hinterlassenen Daten eintippt, erhält man Zugriff auf das Internet.

Abbildung 15: Hier muss ein Benutzer des LANs erst seinen Benutzernamen und das zugehörige Passwort hinterlassen, um Zugang zum Internet zu erhalten. Das Aussehen der Seite lässt sich selbstverständlich anpassen.

Zum Abschluss noch einmal die Erinnerung: In der Weboberfläche sollte man vor dem Aufruf eines neuen Menüpunkts immer daran denken, alle Änderungen zu speichern, weil sie sonst verloren gehen. In einigen Fällen, wie etwa bei den Einstellungen zum DHCP-Server, muss man die neuen Einstellungen anschließend noch einmal explizit anwenden. Bei einer Einrichtung von pfSense auf einem produktiven System sollte man zudem einmal den Einrichtungsassistenten hinter »System | Setup Wizard« anwerfen. Er fragt alle wichtigen Informationen ab, darunter etwa den Rechnernamen, der ansonsten einfach »pfsense.localdomain« lautet.

Fazit

Dieser Artikel konnte nur die grundlegenen Features von pfSense vorstellen, der Funktionsumfang der Firewall-Distribution ist einfach riesig. Leider besteht die Dokumentation derzeit nur aus einem ziemlich lückenhaften und spärlich bestückten Wiki [6]. Dessen Artikel stützen sich, ähnlich wie die im Handel erhältlichen Bücher, größtenteils noch auf die ältere Version 1.2.x. Immerhin lässt sich vieles übertragen und wer sich mit den Diensten einigermaßen auskennt, sollte sich schnell zurechtfinden. Übrigens produzieren mittlerweile verschiedene Firmen Hardware beziehungsweise Appliances mit vorinstalliertem pfSense, eine Liste der von den Entwicklern empfohlenen Unternehmen findet sich unter [7]. (ofr/cth)

Informationstheorie

pfSense protokolliert seine Aktionen in mehreren Logs, die sich hinter »Status | System Logs« einsehen lassen. Auf dem »Firewall« -Register kann man sogar mit einem Klick auf eines der Symbole schnell eine neue Ausnahmeregel erzeugen. Die derzeit von der Firewall beobachteten Verbindungen zeigt ein eigener Bildschirm unter »Diagnostics | States« an.

Ergänzend erhebt pfSense weitere statistische Daten wie die Anzahl der inspizierten Pakete. Sie landen in einer Round-Robin-Datenbank (RRD), aus der ältere Informationen herausfliegen, wenn neue hinzukommen. Auf Basis dieser Daten generiert pfSense ein paar interessante Statistiken und Diagramme. Einige findet man auf dem Dashboard, den Rest im Menü »Status | RRD Graphs« . Hier erfährt man nicht nur, wieviel »Traffic« und Pakete in den letzten Stunden und Tagen über die einzelnen Netzwerkschnittstellen gelaufen sind (wie in Abbildung 11), sondern auch, wie es um die Verbindungsqualität zum WAN steht (Register »Quality« ).

Abbildung 11: pfSense protokolliert eine Menge Daten und bereitet für den Administrator daraus Statistiken und Diagramme auf: Hier hat ein Client mit Ubuntu Linux eine Menge Updates geladen, anschließend erfolgten nur noch ein paar kleinere Seitenabrufe.

Welche Dienste laufen, verrät schließlich noch der Menüpunkt »Status | Services« . Dort lassen sie sich auch anhalten und wieder starten.

Der Autor

Tim Schürmann ist selbstständiger Diplom-Informatiker und derzeit hauptsächlich als freier Autor unterwegs. Zu seinen Büchern gesellen sich zahlreiche Artikel, die in Zeitschriften und auf Internetseiten in mehreren Ländern veröffentlicht wurden.

Ähnliche Artikel

comments powered by Disqus
Mehr zum Thema

Bugfix-Release für pfSense-Firewall

Version 2.0.1 der Firewall-Distribution pfSense behebt einige, zum Teil sicherheitsrelevante Fehler. Die Entwickler empfehlen ein Update.

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Google+

Ausgabe /2019