Zapory ogniowe

Jak zainstalować i skonfigurować podstawową zaporę ogniową Opnsense

Jak zainstalować i skonfigurować podstawową zaporę ogniową Opnsense

W poprzednim artykule omówiono rozwiązanie zapory zwane PFSense. Na początku 2015 r. Podjęto decyzję o rozwidleniu Pfsense i nowe rozwiązanie zapory o nazwie Opnsense został wydany.

Opnsense zaczął swoje życie jako prosty widelc Pfsense ale przekształciło się w całkowicie niezależne rozwiązanie zapory. W tym artykule obejmie instalację i podstawową początkową konfigurację nowego Opnsense instalacja.

Opnsense Firewall

Tak jak Pfsense, Opnsense to rozwiązanie open source oparte na FreeBSD. Dystrybucja jest bezpłatna do instalacji we własnym sprzęcie lub decyzjach firmy, sprzedaje wstępnie skonfigurowane urządzenia zapory.

Opnsense ma minimalny zestaw wymagań i można łatwo ustawić typową starszą wieżę domową Opnsense Zapora. Sugerowane minimalne specyfikacje są następujące:

Minimum sprzętu

  • Procesor 500 MHz
  • 1 GB pamięci RAM
  • 4 GB pamięci
  • 2 karty interfejsu sieciowego

Sugerowany sprzęt

  • 1 GHz CPU
  • 1 GB pamięci RAM
  • 4 GB pamięci
  • 2 lub więcej kart interfejsów sieciowych PCI-E.

Jeśli czytelnik chce wykorzystać niektóre z bardziej zaawansowanych funkcji Opnsense (Suricata, CLAMAV, VPN Server itp.) System powinien otrzymać lepszy sprzęt.

Im więcej modułów chce włączyć użytkownik, tym więcej RAM/CPU/Drive Przestrzeń powinna być uwzględniona. Sugeruje się, aby spełnić następujące minimum, jeśli istnieją plany umożliwiające zaawansowane moduły w Opnsense.

  • Nowoczesny wielordzeniowy procesor z co najmniej 2.0 GHz
  • 4GB+ RAM
  • 10 GB+ przestrzeni HD
  • 2 lub więcej karty interfejsu sieciowego Intel PCI-E

Instalacja i konfiguracja zapory ogniowej Opnsense

Niezależnie od tego, który sprzęt jest wybrany, instalowanie Opnsense jest prostym procesem, ale wymaga od użytkownika szczególnej uwagi, na które porty interfejsu sieciowego będą używane do tego celu (LAN, WAN, Wireless itp.).

Część procesu instalacji będzie wymagać monitowania użytkownika do rozpoczęcia konfiguracji interfejsów LAN i WAN. Autor sugeruje tylko podłączenie interfejsu WAN, dopóki Opnsense nie zostanie skonfigurowane, a następnie zakończyć instalację poprzez podłączenie interfejsu LAN.

Pobieranie zapory opnsense

Pierwszym krokiem jest uzyskanie oprogramowania OpnSense i dostępnych jest kilka różnych opcji w zależności od urządzenia i metody instalacji, ale ten przewodnik wykorzystuje 'Opnsense-18.7-OPENSSL-DVD-AMD64.ISO.BZ2'.

ISO uzyskano za pomocą następującego polecenia:

$ wget -c http: // lustra.Nycbug.org/pub/opnsense/uwalnianie/lustro/opnsense-18.7-OPENSSL-DVD-AMD64.ISO.BZ2

Po pobraniu pliku należy go zdekompresować za pomocą Bunzip narzędzie w następujący sposób:

$ Bunzip2 Opnsense-18.7-OPENSSL-DVD-AMD64.ISO.BZ2

Po pobraniu i dekompresji instalatora można go spalić płyta CD lub można go skopiować do USB jeździć z narzędzie „DD” zawarte w większości dystrybucji Linux.

Następnym procesem jest napisanie ISO do USB napęd do uruchomienia instalatora. Aby to osiągnąć, użyj narzędzie „DD” W Linux.

Po pierwsze, nazwa dysku musi być zlokalizowana z 'lsblk' chociaż.

$ lsblk
Znajdź nazwy urządzeń dysku

Z nazwą USB dysk określony jako „/dev/sdc”, Opnsense ISO można zapisać na dysku z narzędzie „DD”.

$ sudo dd if = ~/pobrań/opnsense-18.7-OPENSSL-DVD-AMD64.ISO =/dev/sdc

Notatka: Powyższe polecenie wymaga w ten sposób uprawnień korzeniowych „sudo” lub zaloguj się jako użytkownik root, aby uruchomić polecenie. To polecenie będzie Usuń wszystko na USB prowadzić. Pamiętaj, aby utworzyć kopię zapasową potrzebnych danych.

Instalacja zapory ogniowej Opnsense

Raz Dd zakończył pisanie na dysku USB, umieść multimedia w komputerze, który zostanie skonfigurowany jako Opnsense Zapora. Uruchom ten komputer do tego nośnika i następujący ekran zostanie przedstawiony.

Menu rozruchowe OpnSense

Aby kontynuować instalator, po prostu naciśnij 'Wchodzić' klucz. To się uruchomi Opnsense do Tryb na żywo Ale do zainstalowania istnieje specjalny użytkownik Opnsense Zamiast tego do lokalnych mediów.

Gdy system uruchamia się do monitora logowania, użyj nazwy użytkownika „Instalator” z hasłem „Opnsense”.

Tryb na żywo Opnsense

Media instalacyjne zalogują się i uruchamiają rzeczywiste Opnsense instalator. Uwaga: Kontynuacja następujących kroków spowoduje wszystkie dane dotyczące dysku twardego w systemie! Kontynuuj ostrożność lub wyjdź z instalatora.

Instalator OpnSense

Uderzenie 'Wchodzić' Klucz rozpocznie proces instalacji. Pierwszym krokiem jest wybranie Keymap. Instalator prawdopodobnie domyślnie wykryje odpowiednią keyMap. Przejrzyj wybraną keymap i popraw to w razie potrzeby.

Ustawienia Keymap Opnsense

Następny ekran zapewni kilka opcji instalacji. Jeśli użytkownik chce wykonać zaawansowane partycjonowanie lub zaimportować konfigurację z innego pudełka OpnSense, można to osiągnąć na tym kroku. Ten przewodnik zakłada nową instalację i wybierze „Instalacja z przewodnikiem' opcja.

Typ instalacji OpnSense

Poniższy ekran wyświetli rozpoznane urządzenia pamięci do instalacji.

Urządzenie instalacyjne Opnsense

Po wybraniu urządzenia pamięci użytkownik będzie musiał zdecydować, który schemat partycjonowania jest używany przez instalator (Mbr Lub GPT/EFI).

Większość współczesnych systemów będzie obsługiwać GPT/EFI Ale jeśli użytkownik ponownie wykorzystuje starszy komputer, Mbr może być jedyną obsługiwaną opcją. Sprawdź w ramach BIOS Ustawienia systemu, aby sprawdzić, czy obsługuje on EFI/GPT.

Tryb instalacji OpnSense

Po wybraniu schematu partycjonowania instalator rozpocznie kroki instalacji. Proces ten nie zajmuje szczególnie dużo czasu i okresowo zachęci użytkownika do informacji, takich jak hasło użytkownika root.

Proces instalacji OpnSense Hasło roota OPNSense

Po ustawieniu hasła użytkownika root, instalacja zostanie zakończona, a system będzie musiał ponownie uruchomić, aby skonfigurować instalację. Gdy system się ponownie uruchamia, powinien automatycznie uruchomić się w Opnsense Zainstaluj (pamiętaj, aby usunąć medium instalacyjne podczas ponownego uruchomienia maszyny).

Gdy system się ponownie uruchomi, zatrzyma się na montorze logowania konsoli i czeka na logowanie użytkownika.

Opnsense Login Montus

Teraz, gdyby użytkownik zwracał uwagę podczas instalacji, mógł zauważyć, że mogliby wstępnie skonfigurować interfejsy podczas instalacji. Załóżmy jednak w tym artykule, że interfejsy nie zostały przypisane podczas instalacji.

Po zalogowaniu się za pomocą użytkownika głównego i hasła skonfigurowanego podczas instalacji, można zauważyć, że Opnsense wykorzystał tylko jedną z karty interfejsu sieciowego (NIC) na tym komputerze. Na poniższym obrazku jest nazwany „LAN (EM0)”.

Interfejsy sieciowe OpnSense

Opnsense Domyślnie standard „192.168.1.1/24 ” Sieć dla LAN. Jednak na powyższym obrazie brakuje interfejsu WAN! Można to łatwo poprawić poprzez pisanie „1” na podpowiedzi i uderzeniu Enter.

Pozwoli to na ponowne przypisanie NICS w systemie. Zauważ na następnym obrazie, że dostępne są dwa interfejsy: „EM0” I „EM1”.

OpnSense konfiguruj interfejs sieciowy

Kreator konfiguracji pozwoli również na bardzo złożone konfiguracje z VLAN, ale na razie ten przewodnik zakłada podstawową konfigurację dwóch sieci; (tj WAN/ISP strona i strona LAN).

Wchodzić 'N' Aby nie konfigurować w tej chwili żadnych VLAN. W przypadku tej konkretnej konfiguracji interfejs WAN jest „EM0” A interfejs LAN to „EM1” Jak widać poniżej.

Konfiguracje sieciowe OpnSense

Potwierdź zmiany w interfejsach, wpisując „Y” w podpowiedzi. Spowoduje to, że OpnSense ponownie załaduje wiele swoich usług odzwierciedlenie zmian w przypisaniu interfejsu.

Po zakończeniu podłącz komputer z przeglądarką internetową do interfejsu bocznego LAN. Interfejs LAN ma słuchanie serwera DHCP na interfejsie dla klientów, dzięki czemu komputer będzie mógł uzyskać niezbędne informacje adresowe do połączenia ze stroną konfiguracji Web OpnSense.

Po podłączeniu komputera do interfejsu LAN otwórz przeglądarkę internetową i przejdź do następującego adresu URL: http: // 192.168.1.1.

Interfejs logowania OpnSense

Zalogować się do konsoli internetowej; Użyj nazwy użytkownika 'źródło' i hasło skonfigurowane podczas procesu instalacji. Po zalogowaniu ostateczna część instalacji zostanie zakończona.

Pierwszy krok instalatora służy do po prostu zebrania więcej informacji, takich jak nazwa hosta, nazwa domeny i serwery DNS. Większość użytkowników może opuścić 'Zastąp DN„Wybrano opcję.

Umożliwi to zaporę OPNSense uzyskanie informacji DNS z ISP przez interfejs WAN.

Informacje o systemie OpnSense

Następny ekran będzie wypowiedział NTP serwery. Jeśli użytkownik nie ma własnych systemów NTP, OpnSense zapewni domyślny zestaw pul serwerów NTP.

Serwery Opnsense NTP

Następnym ekranem jest BLADY Ustawienia interfejsu. Większość dostawców usług internetowych dla użytkowników domowych będzie korzystać z DHCP, aby zapewnić swoim klientom niezbędne informacje o konfiguracji sieci. Po prostu pozostawienie wybranego typu jako „DHCP” Poinstruuje Opnsense, aby próbowała zebrać konfigurację boczną WAN z ISP.

Ustawienia DHCP OpnSense

Przewiń w dół do dolnej części ekranu konfiguracji WAN, aby kontynuować. ***Notatka*** Na dole tego ekranu znajdują się dwie domyślne reguły blokujące zakresy sieciowe, których ogólnie nie powinny być widoczne wchodzące w interfejs WAN. Zaleca się pozostawienie tych sprawdzonych, chyba że istnieje znany powód, aby zezwolić na te sieci za pośrednictwem interfejsu WAN!

Następnym ekranem jest ekran konfiguracji LAN. Większość użytkowników może po prostu pozostawić domyślne. Zdaj sobie sprawę, że należy tu używać specjalnych zakresów sieciowych, powszechnie określanych RFC 1918. Upewnij się, że zostawić domyślnie lub wybrać zakres sieciowy od wewnątrz RFC1918 zasięg, aby uniknąć konfliktów/problemów!

Opnsense Skonfiguruj interfejs LAN

Ostateczny ekran instalacji zapyta, czy użytkownik chciałby zaktualizować hasło root. Jest to opcjonalne, ale jeśli podczas instalacji nie zostało utworzone silne hasło, teraz byłby dobry moment na rozwiązanie problemu!

Po opcji zmiany hasła OpnSense poprosi użytkownika o ponowne załadowanie ustawień konfiguracji. Po prostu kliknij 'Przeładować' przycisk i daj OpnSense sekundę, aby odświeżyć konfigurację i bieżącą stronę.

Kiedy wszystko się skończy, Opnsense powita użytkownika. Aby wrócić do głównego pulpitu nawigacyjnego, po prostu kliknijPanel' w lewym górnym rogu okna przeglądarki internetowej.

Pulpit nawigacyjny Opnsense

W tym momencie użytkownik zostanie przeniesiony do głównej pulpitu nawigacyjnego i może kontynuować instalację/konfigurowanie dowolnej z przydatnych wtyczek lub funkcji OpnSense! Autor zaleca sprawdzenie i aktualizację systemu, jeśli dostępne są aktualizacje. Po prostu kliknijKliknij, aby sprawdzić aktualizacje„Przycisk na głównym pulpicie nawigacyjnym.

Opcje konfiguracji OpnSense

Następnie na następnym ekranie ”Sprawdź aktualizacje„Można użyć do zobaczenia listy aktualizacji lub”Aktualizuj teraz„Można użyć do po prostu zastosowania dowolnych dostępnych aktualizacji.

Aktualizacje OpnSense

W tym momencie powinna być uruchomiona podstawowa instalacja OpnSense, a także w pełni zaktualizowana! W przyszłych artykułach agregacja linków i routing między vlan zostaną omówione, aby pokazać więcej zaawansowanych możliwości Opnsense!