Namestitev in konfiguracija usmerjevalnika požarnega zidu pfSense 2.4.4


Internet je danes strašljiv kraj. Skoraj vsak dan se zgodi nov ničelni dan, kršitev varnosti ali izsiljevalska programska oprema, tako da se marsikdo sprašuje, ali je mogoče zaščititi svoje sisteme.

Mnoge organizacije porabijo na stotine tisoč, če ne celo milijone dolarjev, da bi poskušale namestiti najnovejše in največje varnostne rešitve za zaščito svoje infrastrukture in podatkov. Domači uporabniki pa so v denarnem slabšem položaju. Vložitev celo sto dolarjev v namenski požarni zid pogosto presega obseg večine domačih omrežij.

Na srečo obstajajo namenski projekti v odprtokodni skupnosti, ki zelo napredujejo na področju varnostnih rešitev za domače uporabnike. Projekti, kot sta Squid in pfSense, zagotavljajo varnost na ravni podjetja po cenah surovin!

PfSense je odprtokodna rešitev požarnega zidu, ki temelji na FreeBSD. Distribucijo lahko brezplačno namestite na lastno opremo ali podjetje, ki stoji za pfSense, NetGate, prodaja vnaprej konfigurirane naprave za požarni zid.

Potrebna strojna oprema za pfSense je zelo minimalna in običajno je mogoče starejši domači stolp zlahka preurediti v namenski požarni zid pfSense. Za tiste, ki želijo zgraditi ali kupiti zmogljivejši sistem za izvajanje več naprednih funkcij pfSense, obstaja nekaj predlaganih minimalnih strojne opreme:

  • 500 MHz CPU
  • 1 GB RAM-a
  • 4 GB prostora za shranjevanje
  • 2 omrežni vmesniški kartici

  • 1GHz CPU
  • 1 GB RAM-a
  • 4 GB prostora za shranjevanje
  • 2 ali več omrežnih vmesniških kartic PCI-e.

V primeru, da bi domači uporabnik želel omogočiti številne dodatne funkcije in funkcije pfSense, kot so Snort, Anti-Virus scanning, DNS blacklist, filtriranje spletnih vsebin itd., Priporočena strojna oprema postane nekoliko bolj vključena.

Za podporo dodatnih programskih paketov v požarnem zidu pfSense je priporočljivo, da se pfSense zagotovi naslednja strojna oprema:

  • Sodoben večjedrni procesor z vsaj 2,0 GHz
  • 4 GB + RAM-a
  • 10 GB + prostora v HD
  • 2 ali več omrežnih vmesniških kartic Intel PCI-e

Namestitev pfSense 2.4.4

V tem razdelku bomo videli namestitev pfSense 2.4.4 (najnovejša različica v času pisanja tega članka).

pfSense je pogosto frustrirajoč za uporabnike, ki se šele spoznajo s požarnimi zidovi. Privzeto vedenje mnogih požarnih zidov je blokiranje vsega, dobrega ali slabega. To je super z vidika varnosti, ne pa z vidika uporabnosti. Pred začetkom namestitve je pomembno, da si zamislite končni cilj pred začetkom konfiguracij.

Ne glede na to, katera strojna oprema je izbrana, je namestitev pfSense na strojno enostaven postopek, vendar pa mora uporabnik natančno paziti, katera vrata omrežnega vmesnika bodo uporabljena za kakšen namen (LAN, WAN, Wireless itd.).

Del postopka namestitve bo vključeval poziv uporabniku, naj začne konfigurirati vmesnike LAN in WAN. Avtor predlaga samo priklop vmesnika WAN, dokler pfSense ni konfiguriran, nato pa nadaljujte s končanjem namestitve s priklopom vmesnika LAN.

Prvi korak je pridobitev programske opreme pfSense s spletnega mesta https://www.pfsense.org/download/. Na voljo je nekaj različnih možnosti, odvisno od naprave in načina namestitve, vendar bo v tem priročniku uporabljen "namestitveni program AMD64 (ISO)".

V spustnem meniju na prej navedeni povezavi izberite ustrezno ogledalo, da prenesete datoteko.

Ko naložite namestitveni program, ga lahko zapišete na CD ali ga kopirate na pogon USB z orodjem 'dd', ki je vključeno v večino distribucij Linuxa.

Naslednji postopek je zapis ISO na pogon USB za zagon namestitvenega programa. Če želite to narediti, uporabite orodje "dd" v Linuxu. Najprej je treba ime diska vsebovati z 'lsblk'.

$ lsblk

Z imenom pogona USB, določenega kot ‘/ dev/sdc’, lahko pfSense ISO v pogon zapišete z orodjem ‘dd’.

$ gunzip ~/Downloads/pfSense-CE-2.4.4-RELEASE-p1-amd64.iso.gz
$ dd if=~/Downloads/pfSense-CE-2.4.4-RELEASE-p1-amd64.iso of=/dev/sdc

Pomembno: Zgornji ukaz zahteva korenske privilegije, zato za zagon uporabite "sudo" ali prijavo kot korenski uporabnik. Tudi ta ukaz bo ODSTRANIL VSE na pogonu USB. Varnostno kopirajte potrebne podatke.

Ko zapis »dd« zapiše na pogon USB ali je zgoščenka zgoščena, vstavite medij v računalnik, ki bo nastavljen kot požarni zid pfSense. Zaženite računalnik na ta medij in prikazal se bo naslednji zaslon.

Na tem zaslonu dovolite, da časovnik zmanjka ali pa izberite 1 , da nadaljujete z zagonom v namestitveno okolje. Ko namestitveni program dokonča zagon, bo sistem zahteval kakršne koli spremembe v postavitvi tipkovnice. Če je vse prikazano v maternem jeziku, preprosto kliknite »Sprejmi te nastavitve«.

Na naslednjem zaslonu bo uporabniku na voljo možnost »Hitra/enostavna namestitev« ali naprednejše možnosti namestitve. Za namene tega priročnika je priporočljivo preprosto uporabiti možnost »Hitra/enostavna namestitev«.

Naslednji zaslon bo preprosto potrdil, da uporabnik želi uporabiti metodo »Hitra/enostavna namestitev«, ki med namestitvijo ne bo postavljala toliko vprašanj.

Prvo vprašanje, ki bo verjetno predstavljeno, bo postavilo vprašanje, katero jedro namestiti. Ponovno se predlaga, da se za večino uporabnikov namesti standardno jedro.

Ko namestitveni program konča to fazo, bo zahteval ponovni zagon. Odstranite tudi namestitveni medij, da se naprava ne zažene nazaj v namestitveni program.

pfSense konfiguracija

Po ponovnem zagonu in odstranitvi CD/USB medija se bo pfSense znova zagnal v novo nameščeni operacijski sistem. Privzeto bo pfSense izbral vmesnik za nastavitev kot vmesnik WAN z DHCP in pustil nekonfiguriran vmesnik LAN.

Čeprav ima pfSense spletni grafični sistem za konfiguracijo, deluje le na strani požarnega zidu LAN, trenutno pa LAN stran ne bo konfigurirana. Prva stvar, ki bi jo morali narediti, bi bila, da na vmesniku LAN nastavite naslov IP.

Če želite to narediti, sledite tem korakom:

  • Upoštevajte, katero ime vmesnika je vmesnik WAN (em0 zgoraj).
  • Vnesite »1« in pritisnite tipko »Enter«.
  • Vnesite „n“ in pritisnite tipko „Enter“, ko vas vprašajo o omrežjih VLAN.
  • Vnesite ime vmesnika, zabeleženo v prvem koraku, ko ste pozvani k vmesniku WAN, ali pa zdaj spremenite ustrezen vmesnik. Tudi ta primer je, da je em0 vmesnik WAN, saj bo vmesnik obrnjen proti internetu.
  • Naslednji poziv bo zahteval vmesnik LAN, znova vnesite pravilno ime vmesnika in pritisnite tipko »Enter«. V tej namestitvi je 'em1' vmesnik LAN.
  • pfSense bo še naprej zahteval več vmesnikov, če so na voljo, če pa so bili vsi vmesniki dodeljeni, preprosto znova pritisnite tipko »Enter«.
  • pfSense vas bo pozval, da zagotovi pravilno dodelitev vmesnikov.


Naslednji korak bo dodelitev vmesnikom ustrezne konfiguracije IP. Ko se pfSense vrne na glavni zaslon, vnesite „2“ in pritisnite tipko „Enter“. (Ne pozabite spremljati imen vmesnikov, dodeljenih vmesnikom WAN in LAN).

* OPOMBA * Pri tej namestitvi lahko vmesnik WAN brez težav uporablja DHCP, vendar obstajajo primeri, ko bi bil potreben statični naslov. Postopek konfiguriranja statičnega vmesnika na WAN bi bil enak vmesniku LAN, ki bo kmalu konfiguriran.

Ko boste pozvani, za kateri vmesnik želite nastaviti informacije o IP, znova vnesite „2“. Spet 2 je vmesnik LAN v tem sprehodu.

Ob pozivu vnesite naslov IPv4, želeni za ta vmesnik, in pritisnite tipko "Enter". Ta naslov se ne sme uporabljati nikjer drugje v omrežju in bo verjetno postal privzeti prehod za gostitelje, ki bodo priključeni na ta vmesnik.

Naslednji poziv bo zahteval masko podomrežja v ti obliki predpone. Za ta primer omrežja bo uporabljen preprost/24 ali 255.255.255.0. Ko končate, pritisnite tipko "Enter".

Naslednje vprašanje se bo nanašalo na 'Upstream IPv4 Gateway'. Ker je vmesnik LAN trenutno konfiguriran, preprosto pritisnite tipko "Enter".

Naslednji poziv bo zahteval konfiguracijo IPv6 v vmesniku LAN. Ta priročnik preprosto uporablja IPv4, vendar če okolje zahteva IPv6, ga lahko zdaj konfigurirate. V nasprotnem primeru se bo nadaljevanje s pritiskom na tipko 'Enter' nadaljevalo.

Naslednje vprašanje bo o zagonu strežnika DHCP v vmesniku LAN. Večina domačih uporabnikov bo morala omogočiti to funkcijo. Tudi to bo morda treba prilagoditi glede na okolje.

Ta priročnik predvideva, da bo uporabnik želel, da požarni zid nudi storitve DHCP, in da bo drugim računalnikom dodelil 51 naslovov za pridobitev naslova IP iz naprave pfSense.

Naslednje vprašanje bo zahtevalo vrnitev spletnega orodja pfSense na protokol HTTP. Močno priporočamo, da tega NE počnete, saj bo protokol HTTPS zagotavljal določeno stopnjo varnosti, da prepreči razkritje skrbniškega gesla za orodje za spletno konfiguracijo.

Ko uporabnik pritisne tipko »Enter«, bo pfSense shranil spremembe vmesnika in zagnal storitve DHCP v vmesniku LAN.

Upoštevajte, da bo pfSense zagotovil spletni naslov za dostop do orodja za spletno konfiguracijo prek računalnika, priključenega na LAN strani požarnega zidu. S tem so zaključeni osnovni konfiguracijski koraki, s katerimi je požarni zid pripravljen na več konfiguracij in pravil.

Do spletnega vmesnika dostopate prek spletnega brskalnika s krmarjenjem do naslova IP vmesnika LAN.

Privzete informacije za pfSense v času pisanja so naslednje:

Username: admin
Password: pfsense

Po prvi prijavi prek spletnega vmesnika se bo pfSense zagnal v začetni nastavitvi za ponastavitev skrbniškega gesla.

Prvi poziv je za registracijo v naročnino pfSense Gold, ki ima prednosti, kot so samodejno varnostno kopiranje konfiguracije, dostop do gradiva za učenje pfSense in redna navidezna srečanja z razvijalci pfSense. Nakup zlate naročnine ni potreben, korak pa lahko po želji preskočite.

Naslednji korak bo od uporabnika zahteval dodatne informacije o konfiguraciji požarnega zidu, na primer ime gostitelja, ime domene (če obstaja) in strežnike DNS.

Naslednji poziv bo konfiguriran omrežni časovni protokol NTP. Privzete možnosti lahko pustite, razen če želite drugačne časovne strežnike.

Po nastavitvi NTP čarovnik za namestitev pfSense uporabnika pozove, naj konfigurira vmesnik WAN. pfSense podpira več načinov za konfiguriranje vmesnika WAN.

Privzeto za večino domačih uporabnikov je uporaba DHCP. DHCP od uporabnikovega ponudnika internetnih storitev je najpogostejši način za pridobitev potrebne konfiguracije IP.

Naslednji korak bo zahteval konfiguracijo vmesnika LAN. Če je uporabnik povezan s spletnim vmesnikom, je vmesnik LAN verjetno že konfiguriran.

Če pa je treba spremeniti vmesnik LAN, bi ta korak omogočil spremembe. Ne pozabite, na kaj je nastavljen naslov IP LAN, saj tako deluje
skrbnik bo imel dostop do spletnega vmesnika!

Kot pri vseh stvareh v svetu varnosti privzeta gesla predstavljajo izjemno varnostno tveganje. Na naslednji strani bo skrbnik pozvan, da spremeni privzeto geslo za uporabnika 'admin' v spletni vmesnik pfSense.

Zadnji korak vključuje ponovni zagon pfSense z novimi konfiguracijami. Preprosto kliknite gumb »Ponovno naloži«.

Po ponovnem nalaganju pfSense bo uporabniku prikazal končni zaslon, preden se bo prijavil v celoten spletni vmesnik. Preprosto kliknite drugi gumb »Kliknite tukaj«, da se prijavite v celoten spletni vmesnik.

Končno je pfSense pripravljen in pripravljen za konfiguriranje pravil!

Zdaj, ko pfSense deluje in mora skrbnik opraviti postopek in ustvariti pravila, ki omogočajo ustrezen promet skozi požarni zid. Treba je opozoriti, da ima pfSense privzeto pravilo dovoli vse. Zaradi varnosti bi bilo treba to spremeniti, vendar je to spet odločitev administratorja.

Hvala, ker ste prebrali članek TecMint o namestitvi pfSense! Bodite pozorni na prihodnje članke o konfiguriranju nekaterih naprednejših možnosti, ki so na voljo v pfSense.