firewalla-mcp-server

Ein schreibgeschützter Model Context Protocol (MCP)-Server, mit dem Claude Ihre Firewalla-Konfiguration und Netzwerksicherheit über die Firewalla MSP API prüfen kann.

Konzeptbedingt schreibgeschützt. Dieser Server kann keine Geräte blockieren/freigeben, Regeln erstellen oder ändern, Dienste pausieren oder sonstige Änderungen an Ihrer Firewalla vornehmen. Er dient ausschließlich der Beobachtung.

Funktionsweise

Stellt 8 Tools bereit, mit denen Claude Ihre Firewalla untersuchen kann — Geräte in Ihrem Netzwerk, aktive Regeln, Sicherheitsalarme, Netzwerkflüsse sowie Blockier-/Zulassungslisten.

Beispiel-Prompts

Sicherheitsüberprüfungen

Diese Prompts behandeln Claude als Netzwerksicherheitsexperten, der eine strukturierte Überprüfung Ihrer Firewalla-Konfiguration durchführt. Sie funktionieren am besten in Claude Desktop oder Claude Code, wo die Firewalla-MCP-Tools verfügbar sind.

Vollständige Netzwerksicherheitsprüfung:

Du bist ein leitender Netzwerksicherheitsingenieur, der eine umfassende Prüfung meines Heimnetzwerks durchführt. Führe mithilfe der Firewalla-MCP-Tools die folgende Überprüfung durch und präsentiere deine Ergebnisse in einem strukturierten Bericht mit Schweregraden (Kritisch / Hoch / Mittel / Niedrig / Informativ):

1. Geräteinventar — Rufe die vollständige Geräteliste ab. Markiere alle Geräte mit unbekannten MAC-Herstellern, Geräte, die nicht überwacht werden, oder unerwartete Router-Geräte, die auf einen unbefugten Access Point hinweisen könnten.

2. Regelprüfung — Überprüfe alle Blockier-/Zulassungsregeln. Identifiziere Zulassungsregeln, die zu freizügig sind (breiter Geltungsbereich, eingehende Richtung, keine Gerätebeschränkung). Markiere Regeln mit null Treffern, die möglicherweise veraltet sind.

3. Alarmüberprüfung — Suche nach aktuellen Alarmen, gruppiert nach Typ und Schweregrad. Identifiziere Muster (wiederholte Alarme von demselben Gerät, Alarme aus unerwarteten Ländern, Alarme, die auf Geräte abzielen, die keinen externen Zugriff haben sollten).

4. Abdeckung der Ziel-Listen — Überprüfe, welche Blockierlisten aktiv sind. Bewerte, ob die aktuelle Konfiguration der Listen eine angemessene Abdeckung gegen gängige Bedrohungskategorien bietet (Malware, C2, Phishing, Cryptomining, neu registrierte Domains).

Schließe mit einer priorisierten Liste empfohlener Maßnahmen ab, die ich ergreifen sollte, um meine Netzwerksicherheit zu verbessern.

Analyse von Lücken in Firewall-Regeln:

Agiere als Analyst für Firewall-Richtlinien. Rufe alle meine Firewalla-Regeln und die vollständige Geräteliste ab und vergleiche sie. Ich benötige eine Identifizierung von: (1) Geräten, für die überhaupt keine Regeln gelten — verlassen sie sich vollständig auf globale Regeln und ist das beabsichtigt? (2) Zulassungsregeln, die eingehenden Zugriff gewähren — welche Geräte sind das Ziel und ist der Geltungsbereich angemessen eingeschränkt? (3) Blockierregeln, die noch nie ausgelöst wurden (Trefferanzahl = 0) — sind sie veraltet oder ist die Bedrohung, vor der sie schützen sollen, einfach nicht vorhanden? Präsentiere deine Ergebnisse als Tabelle für jede Kategorie mit deiner Bewertung und der empfohlenen Maßnahme.

Untersuchung von verdächtigem Datenverkehr:

Ich möchte untersuchen, ob Geräte in meinem Netzwerk mit unerwarteten externen Zielen kommunizieren. Durchsuche meine aktuellen Netzwerkflüsse nach Datenverkehr in Regionen außerhalb der USA, der NICHT von Firewalla blockiert wurde. Gruppiere die Ergebnisse nach Gerät und Zielland. Für jedes Gerät, das nicht blockierten Datenverkehr in ungewöhnliche Regionen zeigt, vergleiche es mit meiner Geräteliste, um das Gerät zu identifizieren, und prüfe dann, ob Alarme damit verknüpft sind. Fasse deine Ergebnisse mit einer Risikobewertung für jedes markierte Gerät zusammen.

Kurze Abfragen

Dies sind kürzere Prompts für die tägliche Überwachung und Stichproben:

• "Liste alle Geräte in meinem Netzwerk auf und markiere alle, die einen unbekannten MAC-Hersteller haben oder nicht von Firewalla überwacht werden."

• "Zeige mir alle Zulassungsregeln auf meiner Firewalla. Sind einige davon zu breit gefasst?"

• "Was sind die häufigsten Alarmtypen, die derzeit in meinem Netzwerk ausgelöst werden? Gruppiere sie nach Typ und gib mir eine Anzahl."

• "Prüfe, welche Firewalla-Blockierlisten ich aktiv habe und wie viele Einträge jede hat. Fehlen mir wichtige Kategorien?"

• "Suche nach blockierten Flüssen in den letzten 24 Stunden und gruppiere sie nach Zielland. Welche Länder tauchen am häufigsten auf?"

• "Rufe meine Firewalla-Box-Informationen ab — ist sie online, welche Firmware-Version läuft und wie viele aktive Alarme gibt es derzeit?"

Tools

Alle Tools unterstützen response_format: "json" | "markdown" und sind mit readOnlyHint: true annotiert.

Voraussetzungen

1. Eine Firewalla-Box, die mit einem MSP-Konto verknüpft ist. Auch eigenständige (Nicht-Flotten-)Boxen verwenden die MSP-API — dies ist die einzige unterstützte öffentliche API.

2. Ein persönliches MSP-Zugriffstoken. Generieren Sie eines unter:

   • Melden Sie sich in Ihrem MSP-Portal unter https://<ihre-subdomain>.firewalla.net an

   • Gehen Sie zu Account Settings → Personal Access Tokens

   • Erstellen Sie ein neues Token und speichern Sie es an einem sicheren Ort

   Detaillierte Einrichtungsanweisungen finden Sie unter Getting Started with the Firewalla MSP API.

3. Node.js 18+

Installation

git clone https://github.com/productengineered/firewalla-mcp.git
cd firewalla-mcp
npm install
npm run build

Konfiguration

Der Server liest zwei Umgebungsvariablen:

Kopieren Sie für die lokale Entwicklung .env.example nach .env und tragen Sie Ihre Werte ein:

cp .env.example .env
# edit .env with your real values

Verwendung mit Claude Desktop

Fügen Sie dies zu Ihrer claude_desktop_config.json hinzu (normalerweise unter ~/Library/Application Support/Claude/claude_desktop_config.json auf macOS):

{
  "mcpServers": {
    "firewalla": {
      "command": "node",
      "args": ["/absolute/path/to/firewalla-mcp/dist/index.js"],
      "env": {
        "FIREWALLA_MSP_DOMAIN": "yourname.firewalla.net",
        "FIREWALLA_MSP_TOKEN": "your-token-here"
      }
    }
  }
}

Hinweis: Claude Desktop startet mit einem minimalen PATH. Wenn node nicht gefunden wird, verwenden Sie den absoluten Pfad zu Ihrer Node.js-Binärdatei (z. B. die Ausgabe von which node).

Starten Sie Claude Desktop nach dem Bearbeiten der Konfiguration neu.

Verwendung mit Claude Code

claude mcp add-json --scope user firewalla '{
  "type": "stdio",
  "command": "node",
  "args": ["/absolute/path/to/firewalla-mcp/dist/index.js"],
  "env": {
    "FIREWALLA_MSP_DOMAIN": "yourname.firewalla.net",
    "FIREWALLA_MSP_TOKEN": "your-token-here"
  }
}'

Überprüfen Sie dies mit:

claude mcp list
# firewalla: ... - ✓ Connected

Neue Claude Code-Sitzungen haben automatisch Zugriff auf die firewalla_*-Tools.

Entwicklung

# Source env for local dev
set -a; source .env; set +a

# Run with auto-reload
npm run dev

# Build
npm run build

# Test with MCP Inspector
npx @modelcontextprotocol/inspector --cli node dist/index.js --method tools/list

Firewalla API-Dokumentation

• Firewalla MSP API-Referenz

• MSP API-Beispiele (GitHub)

• Erste Schritte mit der MSP-API

Lizenz

MIT