Brandväggsregler
Hantering av brandväggsregler återfinns under Firewall och menyalternativ Rules.
Brandväggsregler består av två delar:
Vilka kriterier måste vara uppfyllda för att regeln ska appliceras?
Hur behandlas ett IP-paket som matchar?
Behandling av paket
I Pfsense kommer en av tre saker hända med ett paket som matchar en regel:
Pass - paketet accepteras för normal behandling
Block - paketet slängs tyst bort, för trafik som träffar denna regel är det som om mottagaren inte existerar
Reject - paket slängs bort, paketets avsändare meddelas om att denna tjänst inte är tillgänglig
Standardregel för WAN-sidan är Block och för LAN-sidan Pass. Om ingen regel matchar ett paket används standardregeln.
Paketmatchning
Det finns ganska många parametrar, så det kan vara lite snårigt att navigera detta. Det som alltid måste anges är vilken nätverksport regeln berör, för systemet i artikeln är detta endera WAN-porten eller LAN-porten.
Regeln kan appliceras på IP version 4 (IPv4), det som normalt används på internet idag. På IP version 6 (IPv6), det som på sikt ska ta över, appliceras den på båda versionerna. Varje regel berör ett specifikt högre lager protokoll. De vanligaste valen här är TCP och UDP.
Slutligen finns valbar matchning på avsändare och/eller mottagare. Standardregel här är att alla IP-adresser matchar. Detta går att smalna av till att gälla ett IP-nätverk, det vill säga en delmängd av de höga bitarna i IP-adressen måste matcha medan de låga bitarna ignoreras. Det går också att matcha specifika IP-adresser.
Exempelregel
Pfsense kommer i normalfallet inte att svara på "ping" (ICMP Echo Request paket).
Detta kan lösas med en ny brandväggsregel där Action sätts till Pass, för IPv4 på WAN-porten med Protocol satt till ICMP.
Destinationsadressen kan begränsas till WAN address så bara paket specifikt skickade till Pfsense-enheten matchar.
Spara regeln och tryck på Apply Changes-knappen, efter det ska det gå att "pinga" IP-adressen på WAN-porten.
TCP/UDP
För TDP- och UDP-protokollen tillkommer avsändarport och mottagarport som matchningskriterier.
Den som vill mäta nätverksprestanda mot WAN-porten vill därför kanske öppna upp porten som Iperf2 normalt lyssnar på. Iperf2 (port 5001) och Iperf3 (port 5201) finns båda som tillägg till Pfsense och går att installera på Windows, Linux och OSX.
En regel där Pfsense-maskinen kör Iperf i serverläge kan se ut på följande sätt:
Detta behövs alltså om Pfsense-maskinen ska vara Iperf-server och behövs för alla typ av servertjänster som ska exporteras ut mot WAN. Om Pfsense-noden agerar klient initieras trafiken från insidan, något som dynamiskt lägger till en brandväggsregel för den specifika sessionen.
