# OPNsense Aliases: Dynamisches Regel-Management & Lesbarkeit

TL;DR / Management Summary Ein Firewall-Regelwerk mit hunderten IP-Adressen ist unwartbar. Aliase erlauben es uns, IPs, Ports, Netzwerke oder URLs unter einem “sprechenden Namen” (z.B. AD_DOMAIN_CONTROLLERS) zusammenzufassen. Ein Senior Admin nutzt Aliase konsequent für jede Regel. Das Highlight sind Dynamic Aliases (External Reports), die automatisch Listen von bekannten Malware-Hosts oder Office-365 Endpunkten aus dem Internet laden und die Firewall ohne Admin-Intervention aktualisieren.

# 1. Einführung & Typen

Gruppieren für Fortgeschrittene.

Unter Firewall -> Aliases definieren wir unsere Bausteine.

# Die wichtigsten Alias-Typen

  1. Host(s): Eine oder mehrere einzelne IP-Adressen (z.B. 10.0.0.5, 10.0.0.6).
  2. Network(s): Ganze Subnetze (z.B. 192.168.50.0/24).
  3. Port(s): Gruppierung von Diensten (z.B. MAIL_PORTS = 25, 465, 587, 993).
  4. URL Tables: Lädt eine Textdatei mit IPs von einem Webserver (z.B. Blockliste von Spamhaus).
  5. GeoIP: Erlaubt das Blockieren oder Erlauben ganzer Länder (erfordert MaxMind API-Key).

# 2. Best Practices für die Benennung

Code-Konventionen für die Firewall.

Vermeiden Sie Namen wie Test. Nutzen Sie ein System:

# 3. Deep Dive: Dynamische URL-Listen (Firehol/Blocklisten)

Automatisierte Verteidigung.

Sie können Aliase nutzen, um sich vor bekannten Bedrohungen zu schützen, ohne jede IP einzeln einzutragen.

  1. Alias erstellen, Typ: URL Table (IPs).
  2. URL angeben: z.B. https://rules.emergingthreats.net/fwrules/emerging-Block-IPs.txt.
  3. Refresh Intervall: 1 Tag.
  4. Regel: Block | Inbound | Source: My_Blocklist_Alias.

# 4. Day-2 Operations: Aliase via API

Integration in die CI/CD.

Wenn Sie einen neuen Container in Proxmox erstellen, kann ein Script diesen automatisch in einen OPNsense-Alias aufnehmen.

# Beispiel API-Call zum Hinzufügen einer IP zu einem Alias
curl -X POST -u "KEY:SECRET" \
    "https://firewall/api/firewall/alias_util/add/MY_APP_ALIAS" \
    -d '{"address": "10.0.0.88"}'

# 5. Troubleshooting & “War Stories”

Wenn der Name ins Leere greift.

# Top 3 Fehlerbilder

  1. Symptom: Regel mit Alias funktioniert nicht.

    • Ursache: Der Alias-Name enthält Sonderzeichen oder Leerzeichen (wird von pf nicht unterstützt).
    • Lösung: Nur A-Z, 0-9 und Unterstriche nutzen.

  2. Symptom: Dynamische Liste wird nicht aktualisiert.

    • Ursache: DNS-Fehler auf der Firewall oder der Quell-Server ist offline.
    • Lösung: Diagnostics -> Network -> Aliases prüfen. Dort sehen Sie den Zeitstempel des letzten erfolgreichen Downloads.

  3. Symptom: Firewall wird extrem langsam nach Hinzufügen einer Liste.

    • Ursache: Die Liste enthält hunderte Subnetze, die einzeln im Kernel evaluiert werden.
    • Lösung: Prüfen Sie das Limit Firewall Maximum Table Entries unter System -> Settings -> Advanced.

# “War Story”: Die “Cloud” Migration

Ein Unternehmen nutzte feste IPs für den Zugriff auf ihre Azure-Instanzen. Als Microsoft den IP-Pool änderte, standen alle Webseiten still. Die Lösung: Wir stellten die Firewall-Regeln auf FQDN-Aliase um. OPNsense löst diese Namen nun alle 5 Minuten im Hintergrund auf und aktualisiert die IP-Tabelle im Kernel automatisch. Lehre: Vertrauen Sie in der Cloud-Ära niemals auf statische IP-Adressen. Nutzen Sie Aliase mit Hostnamen.

# 6. Monitoring & Reporting

In die Tabellen schauen.

# Alias Diagnostics

Unter Firewall -> Diagnostics -> Aliases können Sie für jeden Alias sehen, welche IPs der Kernel aktuell darin gespeichert hat. Dies ist das wichtigste Tool zum Debuggen von FQDN-Aliasen.

# 7. Fazit & Empfehlung

Aliase sind der Schlüssel zu einem skalierbaren Netzwerk.

# Anhang: Cheatsheet

Aufgabe Pfad
Alias anlegen Firewall -> Aliases
IP-Inhalt prüfen Diagnostics -> Network -> Aliases
FQDN Cache TTL Firewall -> Settings -> Advanced
GeoIP Settings Firewall -> Aliases -> GeoIP Settings

# Referenzen