Schwierigkeit: Mittel · Dauer: 45–75 Min · Ziel: OPNsense-Regeln konsistent aufbauen, damit Netzwerkzugriffe nachvollziehbar und sicher bleiben.
Kurzproblem und Zielbild
Viele OPNsense-Setups wachsen mit Einzelregeln und verlieren schnell die Übersicht. Ziel ist ein klarer, wiederholbarer Regelaufbau mit Segmentierung, nachvollziehbarem NAT und sauberen Checks.
Voraussetzungen
- OPNsense mit administrativem Zugriff
- Definierte Netze/VLANs
- Wartungsfenster und Backup vor Regeländerungen
Schnellstart (funktionierende Basis)
cp /conf/config.xml /conf/config.xml.bak.$(date +%F-%H%M)
pfctl -sr
configctl filter status
Schritt-für-Schritt Umsetzung
1) Regelmodell festlegen
# Prinzip: erst erlaubte Flows definieren, dann default deny
# Beispielzonen: LAN, SERVER, IOT, MGMT2) Aliases für Dienste/Netze
# in OPNsense GUI: Firewall > Aliases
# z.B. RFC1918_INTERNAL, DNS_SERVERS, MGMT_HOSTS3) NAT konsistent halten
# Outbound NAT auf Hybrid/Manual nur wenn nötig
# Portforwards nur mit zugehöriger Filterregel4) Logging für kritische Regeln
# Block-/Allow-Regeln für sensible Segmente mit Logging aktivieren
Validierung / Checks
pfctl -sr
pfctl -sn
configctl filter status
clog -f /var/log/filter/filter.log
Troubleshooting
Traffic bricht nach Regeländerung
pfctl -sr | less
# Reihenfolge prüfen, pass/quick beachtenPortforward greift nicht
pfctl -sn
# zugehörige Filterregel und Zielhost prüfen
Fazit
Mit Alias-basiertem Regelwerk und klarer Segmentierung bleibt OPNsense langfristig wartbar. Nächster Schritt: monatlicher Regel-Review mit Cleanup veralteter Ausnahmen.





