Zapory ogniowe

Instalacja i konfiguracja PFSense 2.4.4 Router zapory ogniowej

Instalacja i konfiguracja PFSense 2.4.4 Router zapory ogniowej

Internet jest obecnie przerażającym miejscem. Niemal codziennie pojawia się nowy dzień zerowy, naruszenie bezpieczeństwa lub ransomware, pozostawiając wielu ludzi zastanawiając się, czy możliwe jest zabezpieczenie ich systemów.

Wiele organizacji wydaje setki tysięcy, jeśli nie milionów dolarów, próbując zainstalować najnowsze i największe rozwiązania bezpieczeństwa w celu ochrony infrastruktury i danych. Użytkownicy domu są jednak w niekorzystnej sytuacji pieniężnej. Inwestowanie nawet sto dolarów w dedykowaną zaporę jest często wykraczającym poza zakres większości sieci domowych.

Na szczęście w społeczności open source znajdują się dedykowane projekty, które wykonują świetne postępy na arenie roztworów bezpieczeństwa użytkowników. Projekty takie jak ipfire, prycie, kalmarskie i Pfsense Wszystkie zapewniają bezpieczeństwo na poziomie przedsiębiorstw po cenach towarowych!

Pfsense to rozwiązanie zapory typu open source oparte na FreeBSD. Dystrybucja jest bezpłatna do instalacji we własnym sprzęcie lub firmy za PFSense, NetGate, sprzedaje wstępnie skonfigurowane urządzenia zapory.

Wymagany sprzęt do PFSense jest bardzo minimalny i zazwyczaj starsza wieża domowa można łatwo ponownie wprowadzić do dedykowanej zapory PFSense. Dla tych, którzy chcą zbudować lub kupić bardziej zdolny system do uruchomienia większej liczby zaawansowanych funkcji PFSense, istnieje kilka sugerowanych minimów sprzętu:

Minimum sprzętu

  • Procesor 500 MHz
  • 1 GB pamięci RAM
  • 4 GB pamięci
  • 2 karty interfejsu sieciowego

Sugerowany sprzęt

  • 1 GHz CPU
  • 1 GB pamięci RAM
  • 4 GB pamięci
  • 2 lub więcej kart interfejsów sieciowych PCI-E.

Poważne sugestie dotyczące sprzętu użytkownika domowego (i przedsiębiorstwa)

W przypadku, gdy użytkownik domowy chciałby włączyć wiele dodatkowych funkcji i funkcji PFSense, takich jak Parsknięcie, Antywirus Skanowanie, czarna liście DNS, filtrowanie treści internetowych itp. Zalecany sprzęt staje się nieco bardziej zaangażowany.

Aby wesprzeć dodatkowe pakiety oprogramowania w zaporze PFSense, zaleca się, aby PFSense dostarcza następujący sprzęt:

  • Nowoczesny wielordzeniowy procesor z co najmniej 2.0 GHz
  • 4GB+ RAM
  • 10 GB+ przestrzeni HD
  • 2 lub więcej karty interfejsu sieciowego Intel PCI-E

Instalacja PFSense 2.4.4

W tej sekcji zobaczymy instalację PFSense 2.4.4 (najnowsza wersja w momencie pisania tego artykułu).

Konfiguracja laboratoryjna

PFSense jest często frustrujący dla użytkowników nowych w zaporach ogniowych. Domyślnym zachowaniem wielu zapór jest blokowanie wszystkiego, dobrego lub złego. Jest to świetne z punktu widzenia bezpieczeństwa, ale nie z punktu widzenia użyteczności. Przed rozpoczęciem instalacji ważne jest, aby konceptualizować cel końcowy przed rozpoczęciem konfiguracji.

Schemat sieci PFSense

Pobieranie PFSense

Niezależnie od tego, który sprzęt jest wybrany, instalacja PFSense na sprzęt jest prostym procesem, ale wymaga od użytkownika zwracania szczególnej uwagi, które porty interfejsu sieciowego będą używane do tego celu (LAN, WAN, Wireless itp.).

Część procesu instalacji będzie wymagać monitowania użytkownika do rozpoczęcia konfiguracji interfejsów LAN i WAN. Autor sugeruje tylko podłączenie interfejsu WAN, dopóki PFSense nie zostanie skonfigurowane, a następnie przejść do zakończenia instalacji, podłączając interfejs LAN.

Pierwszym krokiem jest uzyskanie oprogramowania PFSense z https: // www.Pfsense.org/pobierz/. Dostępnych jest kilka różnych opcji w zależności od urządzenia i metody instalacji, ale ten przewodnik będzie wykorzystywał „Instalator CD (ISO) AMD64'.

Korzystając z menu rozwijanego w podanym wcześniej linku, wybierz odpowiednie lustro, aby pobrać plik.

Po pobraniu instalatora można go spalić na płycie CD, albo można go skopiować na dysk USB z 'Dd„Narzędzie zawarte w większości dystrybucji Linux.

Następnym procesem jest napisanie ISO na dysk USB, aby uruchomić instalator. Aby to osiągnąć, użyj 'Dd„Narzędzie w Linux. Po pierwsze, nazwa dysku musi być zlokalizowana z „lsblk”.

$ lsblk
Znajdź nazwę urządzenia w Linux

Z nazwą napędu USB określonego jako '/dev/sdc', PFSense ISO można zapisać na dysk z'Dd' narzędzie.

$ gunzip ~/pobrań/pfSense-Cce-2.4.4-Rellease-P1-AMD64.ISO.gz $ dd if = ~/pobrań/pfSense-Cce-2.4.4-Rellease-P1-AMD64.ISO =/dev/sdc

Ważny: Powyższe polecenie wymaga uprawnień korzeniowych, więc wykorzystaj 'sudo'lub zaloguj się jako użytkownik root, aby uruchomić polecenie. Również to polecenie będzie Usuń wszystko Na dysku USB. Pamiętaj, aby uzyskać kopię zapasową potrzebnych danych.

Instalacja PFSense

Raz 'Dd„zakończył pisanie na dysku USB lub CD został spalony, umieść multimedia w komputerze, który zostanie skonfigurowany jako zapora PFSense. Uruchom ten komputer do tego nośnika i następujący ekran zostanie przedstawiony.

Menu rozruchowe PFSense

Na tym ekranie albo pozwól, aby licznik czasu się skończył, albo wybrać 1 Aby przejść do uruchamiania do środowiska instalatora. Gdy instalator zakończy uruchamianie, system będzie monitorował wszelkie zmiany pożądane w układzie klawiatury. Jeśli wszystko pokazuje się w języku ojczystym, po prostu kliknijZaakceptuj te ustawienia'.

PFSense konfiguruj konsolę

Następny ekran zapewni użytkownikowi opcję 'Szybka/łatwa instalacja„lub bardziej zaawansowane opcje instalacji. Do celów tego przewodnika sugeruje się po prostu użycie 'Szybka/łatwa instalacja' opcja.

Opcja instalacji PFSense

Następny ekran po prostu potwierdzi, że użytkownik chce korzystać z tegoSzybka/łatwa instalacja„Metoda, która nie zadaje tylu pytań podczas instalacji.

Pierwsze pytanie, które prawdopodobnie zostanie przedstawione, będzie zapytało, które jądro zainstalować. Ponownie sugeruje się, że 'Standardowe jądro„być zainstalowane dla większości użytkowników.

Standardowe jądro PFSense

Kiedy instalator zakończy ten etap, będzie monitował o ponowne uruchomienie. Usuń również nośnik instalacyjny, aby urządzenie nie uruchamiało się z powrotem do instalatora.

Kompletna instalacja PFSense

Konfiguracja PFSense

Po ponowne uruchomienie, a usunięcie nośnika CD/USB, PFSense ponownie uruchomi się w nowo zainstalowanym systemie operacyjnym. Domyślnie PFSense wybierze interfejs do konfiguracji jako interfejs WAN z DHCP i pozostawi interfejs LAN bez konfiguracji.

Konfiguracja interfejsu PFSense

Podczas gdy PFSense ma internetowy system konfiguracji graficznej, działa tylko po stronie LAN w zaporze, ale w tej chwili strona LAN będzie nieskonfigurowana. Pierwszą rzeczą do zrobienia byłoby ustawienie adresu IP na interfejsie LAN.

Aby to zrobić, wykonaj następujące kroki:

  • Zwróć uwagę, który nazwa interfejsu jest interfejsem WAN (EM0 powyżej).
  • Wchodzić „1” i naciśnij 'Wchodzić' klucz.
  • Typ 'N' i naciśnij 'Wchodzić' Klucz, gdy zapytano o sieci VLAN.
  • Wpisz w nazwie interfejsu zarejestrowanego w kroku pierwszym, gdy jest wyświetlany monit o interfejs WAN lub zmień teraz do odpowiedniego interfejsu. Znowu ten przykład ”EM0„jest interfejsem WAN, ponieważ będzie to interfejs skierowany do Internetu.
  • Następny monit poprosi o interfejs LAN, ponownie wpisz odpowiednią nazwę interfejsu i naciśnij 'Wchodzić' klucz. W tej instalacji, „EM1” to interfejs LAN.
  • PFSense będzie nadal prosić o więcej interfejsów, jeśli są one dostępne, ale jeśli wszystkie interfejsy zostały przypisane, po prostu naciśnij 'Wchodzić' Klucz ponownie.
  • PFSense będzie teraz monitorowany, aby zapewnić prawidłowe przypisanie interfejsów.
Interfejsy sieciowe PFSense
  • Jeśli interfejsy są prawidłowe, wpisz „y” i uderz 'Wchodzić' klucz.


    • Następnym krokiem będzie przypisanie interfejsów odpowiedniej konfiguracji IP. Po powrocie PFSense do ekranu głównego typu typ „2” i uderz 'Wchodzić' klucz. (Pamiętaj, aby śledzić nazwy interfejsu przypisane do interfejsów WAN i LAN).

    *NOTATKA* W tej instalacji interfejs WAN może bez żadnych problemów używać DHCP. Proces konfigurowania interfejsu statycznego na WAN byłby taki sam jak interfejs LAN, który ma zostać skonfigurowany.

    Typ „2” Ponownie, gdy jest wyświetlany, do którego interfejsu do ustawiania informacji IP. Znowu 2 to interfejs LAN na tym spacerze.

    Dostępne interfejsy PFSense

    Po mowie wpisz adres IPv4 pożądany dla tego interfejsu i naciśnij 'Wchodzić' klucz. Ten adres nie powinien być używany nigdzie indziej w sieci i prawdopodobnie stanie się domyślną bramą dla hostów, które zostaną podłączone do tego interfejsu.

    Adres IP PFSense

    Kolejny monit poprosi o maskę podsieci w tak zwanym formacie maski prefiks. Dla tej przykładowej sieci jest prosty /24 Lub 255.255.255.0 będzie użyty. Uderz w 'Wchodzić„Klucz po zakończeniu.

    Maska podsieci sieci PFSense

    Następne pytanie zadaje się o 'Upstream IPv4 Gateway'. Ponieważ interfejs LAN jest obecnie skonfigurowany, po prostu naciśnijWchodzić' klucz.

    PFSENSE Network Gateway

    Następny monit poprosi o skonfigurowanie IPv6 na interfejsie LAN. Ten przewodnik po prostu używa IPv4, ale jeśli środowisko wymaga IPv6, można go teraz skonfigurować. W przeciwnym razie po prostu uderzanie w 'Wchodzić„Klucz będzie kontynuowany.

    Adres PFSense IPv6

    Następne pytanie zadaje się na uruchomienie serwera DHCP w interfejsie LAN. Większość użytkowników domów będzie musiała włączyć tę funkcję. Ponownie może to wymagać dostosowania w zależności od środowiska.

    W tym przewodniku zakłada, że ​​użytkownik będzie chciał, aby zapora świadczyła usługi DHCP i przydzieli 51 adresów dla innych komputerów w celu uzyskania adresu IP z urządzenia PFSense.

    Konfiguracja PFSense DHCP

    Następne pytanie zaproponuje narzędzie internetowe PFSense do protokołu HTTP. Jest to zdecydowanie zachęcane do tego, aby tego nie robić, ponieważ protokół HTTPS zapewni pewien poziom bezpieczeństwa, aby zapobiec ujawnianiu hasła administratora dla narzędzia konfiguracji sieci Web.

    PFSENSE HTTP Protokół

    Gdy użytkownik uderzy ”Wchodzić', PFSense zapisze zmiany interfejsu i uruchomi usługi DHCP na interfejsie LAN.

    URL interfejsu PFSense

    Zauważ, że PFSense dostarczy adres internetowy, aby uzyskać dostęp do narzędzia konfiguracyjnego za pośrednictwem komputera podłączonego po stronie LAN urządzenia zapory. To kończy podstawowe kroki konfiguracji, aby urządzenie zapory gotowe do dalszych konfiguracji i reguł.

    Do interfejsu internetowego jest dostępny za pośrednictwem przeglądarki internetowej poprzez nawigację na adres IP interfejsu LAN.

    Interfejs logowania PFSense

    Domyślne informacje dla PFSense w momencie tego pisania są następujące:

    Nazwa użytkownika: Hasło administratora: PFSense

    Po pomyślnym zalogowaniu się po raz pierwszy interfejs internetowy PFSense uruchomi początkową konfigurację, aby zresetować hasło administratora.

    Kreator konfiguracji PFSense

    Pierwsza monit to rejestracja subskrypcji złota PFSense, która ma takie korzyści, jak automatyczna kopia zapasowa konfiguracji, dostęp do materiałów szkoleniowych PFSense oraz okresowe wirtualne spotkania z programistami PFSense. Zakup subskrypcji złota nie jest wymagane, a w razie potrzeby można pominąć krok.

    Poniższy krok skłoni użytkownika do dalszych informacji konfiguracyjnych dla zapory, takie jak nazwa hosta, nazwa domeny (jeśli dotyczy) i serwery DNS.

    Informacje ogólne PFSense

    Następnym monitem będzie skonfigurowanie Protokół czasowy sieci, NTP. Domyślne opcje można pozostawić, chyba że pożądane są różne serwery czasu.

    protokół czasowy sieci PFSense

    Po skonfigurowaniu NTP Kreator instalacji PFSense zachęci użytkownika do skonfigurowania interfejsu WAN. PFSense obsługuje wiele metod konfiguracji interfejsu WAN.

    Domyślnie dla większości użytkowników domowych jest użycie DHCP. DHCP od dostawcy usług internetowych użytkownika jest najczęstszą metodą uzyskiwania niezbędnej konfiguracji IP.

    Konfiguracja PFSense WAN

    Następny krok wyświetli monit o konfigurację interfejsu LAN. Jeśli użytkownik jest podłączony do interfejsu internetowego, interfejs LAN prawdopodobnie został już skonfigurowany.

    Jeśli jednak interfejs LAN musi zostać zmieniony, ten krok pozwoliłby na wprowadzenie zmian. Pamiętaj, aby pamiętać, na co jest ustawiony adres IP LAN
    Administrator będzie dostępny do interfejsu internetowego!

    Konfiguracja PFSense LAN

    Podobnie jak w przypadku wszystkich rzeczy w świecie bezpieczeństwa, domyślne hasła stanowią ekstremalne ryzyko bezpieczeństwa. Następna strona skłoni administrator do zmiany domyślnego hasła dla 'Admin„Użytkownik do interfejsu internetowego PFSense.

    Konfiguracja administratora PFSense

    Ostatni krok polega na ponownym uruchomieniu PFSense z nowymi konfiguracją. Po prostu kliknijPrzeładować' przycisk.

    PFSENSE CONFITURACJA ROOLOOD

    Po przeładowaniu PFSense zaprezentuje użytkownika ostateczny ekran przed zalogowaniem się do pełnego interfejsu internetowego. Po prostu kliknij drugą 'Kliknij tutaj„Aby zalogować się do pełnego interfejsu internetowego.

    Kreator PFSense ukończył

    W końcu PFSense jest gotowy i gotowy do skonfigurowania reguł!

    Dashboard PFSense

    Teraz, gdy PFSense jest uruchomiony, administrator będzie musiał przejść i utworzyć reguły, aby umożliwić odpowiedni ruch przez zaporę. Należy zauważyć, że PFSense ma domyślnie Zezwalaj na całą regułę. Ze względu na bezpieczeństwo należy to zmienić, ale znowu jest to decyzja administratora.

    Przeczytaj także : Zainstaluj i skonfiguruj PFBLOCKERNG dla DNS Black Listing w zaporze PFSense

    Dziękuję za przeczytanie tego Tecmint Artykuł na temat instalacji PFSense! Bądź na bieżąco z przyszłymi artykułami na temat konfigurowania niektórych bardziej zaawansowanych opcji dostępnych w PFSense.