P5 - Hướng Dẫn Cấu Hình Firewall Rule pfSense
pfSense – P5 pfSense Firewall Rule Configuration for Beginners
Việc cấu hình firewall rule pfSense là một trong những kỹ năng quan trọng nhất khi quản trị firewall. Nếu tạo rule sai thứ tự hoặc sai interface, hệ thống có thể mất kết nối mạng hoặc tạo lỗ hổng bảo mật.
Trong bài hướng dẫn này, bạn sẽ tìm hiểu:
Cách pfSense xử lý firewall rule
Cách chặn và cho phép truy cập internet
Cách block website
Cách sử dụng Alias (IP, Port, URL)
Cách áp dụng Schedule theo thời gian
Toàn bộ nội dung tập trung vào tình huống thực tế và cách vận hành đúng của firewall.
🔹 1. Overview
Firewall rules trong pfSense được xử lý từ trên xuống dưới.
Ví dụ:
Rule 1
Rule 2
Rule 3
👉 Match the rule first → stop there.
Ngay khi traffic khớp với một rule, pfSense sẽ dừng kiểm tra các rule phía dưới.
📌 Nguyên tắc quan trọng
Firewall rules được xử lý tại interface nơi traffic đi vào.
Ví dụ:
LAN → Internet
Rules must be set at LAN, not WAN.
Nếu traffic xuất phát từ LAN đi ra internet, bạn phải tạo rule tại interface LAN.
Đây là nguyên tắc cực kỳ quan trọng khi thực hiện cấu hình firewall rule pfSense.
🔹 2. Demo
Phần này minh họa các tình huống cấu hình thực tế.
🔹 2.1. Block LAN from the Internet
Để mô phỏng chặn internet từ LAN:
• Disable default rule
• Test for network loss
Sau khi disable rule mặc định, các máy trong LAN sẽ mất kết nối internet.
Điều này cho thấy thứ tự và sự tồn tại của rule ảnh hưởng trực tiếp đến lưu lượng mạng.
🔹 2.2. Allow LAN to access the Internet again
Create rule:
• Interface: LAN
• Source: LAN net
• Destination: any
• Action: Pass
Sau khi tạo rule này:
LAN net được phép truy cập mọi đích
Internet hoạt động trở lại
Đây là rule cơ bản nhất trong quá trình cấu hình firewall rule pfSense.
🔹 2.3. Block Website
Example: Block IP or alias.
Note: pfSense will resolve DNS → to IP → then block that IP.
Khi bạn nhập domain:
pfSense sẽ phân giải DNS
Chuyển thành IP
Sau đó block IP tương ứng
🚨 Practical Issues
Việc block website bằng IP có thể gặp vấn đề:
1️⃣ Websites with multiple IP addresses
2️⃣ Websites using CDNs
3️⃣ IP addresses that change constantly
=> Blocking domains this way may not be 100% effective when blocking websites.
Đối với các website lớn như YouTube, Facebook… sử dụng nhiều IP và CDN phân tán, rule firewall dựa trên IP thường không hiệu quả tuyệt đối.
🔹 2.4. Alias IP (Host/Network)
Alias cho phép nhóm nhiều IP hoặc network thành một đối tượng duy nhất.
Demo:
Group lv1: Allow Full Internet
Group lv2: Block website
Group lv3: Block Internet
Sử dụng Alias giúp:
Quản lý rule dễ dàng hơn
Giảm số lượng rule
Tăng tính rõ ràng
Thay vì tạo nhiều rule cho từng IP, bạn chỉ cần tham chiếu alias trong một rule duy nhất.
🔹 2.5. Alias Port
Create aliases for the Email server port (192.168.16.172):
995
443
25
465
587
993
Việc tạo alias port giúp:
Gom nhóm nhiều port dịch vụ
Áp dụng một rule duy nhất
Quản lý firewall gọn gàng hơn
Alias port rất hữu ích khi cấu hình cho mail server hoặc server đa dịch vụ.
🔹 2.6. Alias URL (IPs)
URL (IPs)
Used for pfSense to download a file containing a list of IP addresses.
Example:
That file must contain:
157.240.0.1
157.240.0.2
31.13.72.0/24
👉 pfSense will convert it into an IP list for the firewall to use.
Cách này thường dùng để:
Tự động cập nhật blocklist
Áp dụng threat intelligence
Lọc IP động
pfSense sẽ tự động tải danh sách và áp dụng vào firewall rule.
🔹 2.7. Schedule
Schedule cho phép áp dụng rule theo:
Tháng
Ngày
Giờ
Ví dụ:
Chặn mạng xã hội giờ làm việc
Hạn chế internet ban đêm
Mở quyền truy cập tạm thời
Kết hợp schedule với firewall rule giúp kiểm soát truy cập theo thời gian hiệu quả.
🔎 Vì Sao Cấu Hình Firewall Rule pfSense Quan Trọng?
Cấu hình đúng giúp:
Phân đoạn mạng rõ ràng
Kiểm soát truy cập chính xác
Duy trì bảo mật hệ thống
Quản lý rule chuyên nghiệp
Nếu rule sai thứ tự hoặc sai interface:
Có thể mất kết nối
Rule bị override
Xuất hiện lỗ hổng bảo mật
Luôn kiểm tra thứ tự rule khi troubleshooting.
🚀 Best Practices
Khi thực hiện cấu hình firewall rule pfSense, nên:
Đặt rule cụ thể lên trên rule tổng quát
Sử dụng alias để tối ưu quản lý
Tránh trùng lặp rule
Ghi chú rõ mục đích từng rule
Test sau mỗi thay đổi
Quản lý firewall có cấu trúc giúp dễ bảo trì và nâng cấp.
🏁 Kết Luận
Nắm vững cấu hình firewall rule pfSense là nền tảng để xây dựng hệ thống mạng an toàn và chuyên nghiệp.
Hiểu rõ:
Thứ tự xử lý rule
Interface xử lý traffic
Block và Allow đúng cách
Alias IP, Port, URL
Schedule theo thời gian
Bạn sẽ kiểm soát hoàn toàn lưu lượng mạng nội bộ và internet.
Đây là phần quan trọng trong chuỗi triển khai pfSense, chuẩn bị cho các chủ đề nâng cao như NAT rule, Port Forwarding, VPN và Traffic Shaping.
Tham khảo thêm bài viết cùng chủ đề
P16 – Cấu Hình VLAN pfSense Dễ Hiểu: UniFi Chuẩn Nhất
P16 – Cấu Hình VLAN pfSense Dễ Hiểu: UniFi Chuẩn Nhất https://youtu.be/ep78Pokpvqc 🚀 Cấu Hình VLANs trên pfSense cho UniFi (Hướng Dẫn Cho Người Mới) Việc chia mạng bằng VLAN là một kỹ thuật quan trọng trong hệ thống IT hiện đại. Nó giúp tăng cường bảo mật, tối ưu...
Read MoreP15 – IPPhone pfSense Mượt Hơn: QoS Ưu Tiên Chuẩn
P15 – IPPhone pfSense Mượt Hơn: QoS Ưu Tiên Chuẩn https://youtu.be/ZAok_lCChjU 🚀 Cấu Hình QoS Cho VoIP Trên pfSense (Ưu Tiên IP Phone) Trong môi trường doanh nghiệp hiện đại, các ứng dụng thoại và video như VoIP, Microsoft Teams hay Zoom đóng vai trò cực kỳ quan trọng. Tuy...
Read MoreP14 – Nâng cấp pfSense 2.8 An Toàn Hướng Dẫn Chi Tiết
P14 – Nâng cấp pfSense 2.8 An Toàn Hướng Dẫn Chi Tiết https://youtu.be/r_8iU6MC0Bs 🚀 Nâng Cấp pfSense 2.7 lên pfSense 2.8 – Hướng Dẫn Chi Tiết Cho Người Mới Việc nâng cấp pfSense lên phiên bản mới là bước quan trọng giúp hệ thống của bạn luôn an toàn, ổn...
Read More