In OPNsense ausgehende Ports für einzelne PCs sperren

Es kann vorkommen, dass Sie einem PC den Zugang ins Internet reduzieren/sperren möchten. Zum Beispiel dann, wenn sich der PC in einem Demo-Raum befindet und keine Webseite im Internet ansprechen darf.

Dies können Sie mit einer LAN Rule in OPNsense einrichten.
Gehen Sie dabei wie folgt vor.

  • Gehen Sie zu Firewall, Aliases und klicken Sie dann auf das Plus, um einen neuen Eintrag zu erstellen.
  • Geben Sie bei Name einen selbstsprechenden Namen ein. Wir nehmen als Beispiel PC_Demo_Raum
  • Bei Content tippen Sie die IP-Adresse des entsprechenden PCs ein.
  • Bei Description können Sie bei Bedarf eine Beschreibung eingeben.
  • Klicken Sie nun auf Save und danach in der Übersicht auf Apply.
  • Wechseln Sie jetzt in der Menüsteuerung zu Firewall, Rules und LAN.
  • Klicken Sie auf das Plus, um eine neue LAN-Regel zu erstellen.
  • Bei Action wählen Sie Block aus
  • Quick aktivieren Sie
  • Interface belassen Sie auf LAN, bei Direction nehmen Sie in und die TCP-Version ist IPv4
  • Je nach gewünschtem Port und Funktion, wählen Sie das entsprechende Protokoll. In unserem Fall, bei dem wir http und https sperren möchten, ist es es bei Protocol TCP
  • Bei Source wählen Sie den erstellten Alias aus, bei uns ist dies PC_Demo_Raum
  • Destination / Invert müssen Sie zwingend aktivieren.
  • Bei Destination wählen Sie any
  • Bei Destination port range wählen wir als Erstes http aus
  • Klicken Sie auf Save, um diese Rule zu sichern
  • Verschieben Sie in der Übersicht diese Rule an den Anfang. Rules werden in der aufgelisteten Reihenfolge abgearbeitet. Wenn als erste Rule die vollständige Erlaubnis für den Zugriff ins Internet erfüllt ist, nützt die soeben erstellte Rule nichts.
  • Wiederholen Sie das Ganze mit dem Destination port range https, sichern diese Rule ebenfalls mit Save und klicken Sie danach in der Übersicht auf Apply changes
  • Nun müsste der Zugang zu "öffentlichen" Webseiten für den PC im Demo-Raum gesperrt sein
  • Wenn Sie mehrere PCs oder weitere Ports einschränken müssen, gehen Sie auf dieselbe Art und Weise vor, wie in unserem Beispiel beim PC im Demo-Raum