Bevor die Benutzer des LANs ins Internet gehen, müssen sie sich auf einer speziellen Seite mit einem Benutzernamen und einem Passwort authentifizieren. Damit das klappt, sind diese beiden Informationen erst einmal in pfSense zu hinterlegen. Der Einfachheit halber soll das in unserem Beispiel über die in pfSense eingebaute Benutzerverwaltung erfolgen, die unter
»System | User Manager
«
zu finden ist. In diesem Fall fügt man im User-Manager für jeden Benutzer über das Plus-Symbol ein neues Benutzerkonto hinzu. Im Formular muss man lediglich einen Benutzernamen und ein Passwort eintragen (
Abbildung 14
). Beim praktischen Einsatz in einem Firmennetz bietet sich statt des eingebauten User-Managers die Authentifizierung per RADIUS an.
Die Seite für die eigentliche Anmeldung stellt das Captive Portal bereit. Um es einzuschalten, setzt man hinter
»Services | Captive Portal
«
ein Häkchen vor
»Enable captive portal
«
. Die Anmeldeseite soll erscheinen, wenn ein Benutzer aus dem LAN ins Internet gehen möchte, folglich markiert man noch
»LAN
«
unter
»Interfaces
«
. Wenn der Benutzer eine Weile untätig ist, meldet pfSense ihn automatisch wieder ab. Nach wie vielen Minuten dies passieren soll, bestimmt
»Idle Timeout
«
. Bei einem leeren Feld gibt es kein Zeitlimit. Etwas strenger ist
»Hard Timeout
«
: Nach den dort eingetragenen Minuten setzt pfSense den Benutzer gnadenlos vor die Tür – egal, ob er untätig war oder nicht.
Nach erfolgreicher Anmeldung leitet pfSense den Benutzer automatisch zur URL weiter, die unter
»After authentication Redirection URL
«
vorgegeben ist. Die Benutzernamen und Passwörter liegen im Beispiel in der pfSense-eigenen Benutzerverwaltung, weshalb man noch »Authentication» auf
»Local User Manager / Vouchers
«
stellt. Wie der Name bereits andeutet, kann man über das Register
»Vouchers
«
auch Gutscheine erstellen, mit denen dann ein Benutzer für eine Weile Zugang zum Internet erhält. Das ist beispielsweise in Hotels interessant, wo Gäste einen solchen Gutschein erwerben können.
Greift man nach dem Speichern mit
»Save
«
von einem Client-PC aus dem LAN auf das Internet zu, landet man automatisch beim Anmeldebildschirm aus
Abbildung 15
. Erst wenn man hier die vorhin in der Benutzerverwaltung hinterlassenen Daten eintippt, erhält man Zugriff auf das Internet.
Zum Abschluss noch einmal die Erinnerung: In der Weboberfläche sollte man vor dem Aufruf eines neuen Menüpunkts immer daran denken, alle Änderungen zu speichern, weil sie sonst verloren gehen. In einigen Fällen, wie etwa bei den Einstellungen zum DHCP-Server, muss man die neuen Einstellungen anschließend noch einmal explizit anwenden. Bei einer Einrichtung von pfSense auf einem produktiven System sollte man zudem einmal den Einrichtungsassistenten hinter
»System | Setup Wizard
«
anwerfen. Er fragt alle wichtigen Informationen ab, darunter etwa den Rechnernamen, der ansonsten einfach
»pfsense.localdomain
«
lautet.
Dieser Artikel konnte nur die grundlegenen Features von pfSense vorstellen, der Funktionsumfang der Firewall-Distribution ist einfach riesig. Leider besteht die Dokumentation derzeit nur aus einem ziemlich lückenhaften und spärlich bestückten Wiki [6] . Dessen Artikel stützen sich, ähnlich wie die im Handel erhältlichen Bücher, größtenteils noch auf die ältere Version 1.2.x. Immerhin lässt sich vieles übertragen und wer sich mit den Diensten einigermaßen auskennt, sollte sich schnell zurechtfinden. Übrigens produzieren mittlerweile verschiedene Firmen Hardware beziehungsweise Appliances mit vorinstalliertem pfSense, eine Liste der von den Entwicklern empfohlenen Unternehmen findet sich unter [7] . (ofr/cth)
Informationstheorie
pfSense protokolliert seine Aktionen in mehreren Logs, die sich hinter
»Status | System Logs
«
einsehen lassen. Auf dem
»Firewall
«
-Register kann man sogar mit einem Klick auf eines der Symbole schnell eine neue Ausnahmeregel erzeugen. Die derzeit von der Firewall beobachteten Verbindungen zeigt ein eigener Bildschirm unter
»Diagnostics | States
«
an.
Ergänzend erhebt pfSense weitere statistische Daten wie die Anzahl der inspizierten Pakete. Sie landen in einer Round-Robin-Datenbank (RRD), aus der ältere Informationen herausfliegen, wenn neue hinzukommen. Auf Basis dieser Daten generiert pfSense ein paar interessante Statistiken und Diagramme. Einige findet man auf dem Dashboard, den Rest im Menü
»Status | RRD Graphs
«
. Hier erfährt man nicht nur, wieviel
»Traffic
«
und Pakete in den letzten Stunden und Tagen über die einzelnen Netzwerkschnittstellen gelaufen sind (wie in
Abbildung 11
), sondern auch, wie es um die Verbindungsqualität zum WAN steht (Register
»Quality
«
).
Welche Dienste laufen, verrät schließlich noch der Menüpunkt
»Status | Services
«
. Dort lassen sie sich auch anhalten und wieder starten.
Infos
Version 2.0.1 der Firewall-Distribution pfSense behebt einige, zum Teil sicherheitsrelevante Fehler. Die Entwickler empfehlen ein Update.