„pfSense 2.4.4 Firewall Router“ diegimas ir konfigūravimas

Internetas šiais laikais yra baisi vieta. Beveik kasdien įvyksta nauja nulinė diena, saugumo pažeidimas ar išpirkos reikalaujančios programos, todėl daugelis žmonių susimąsto, ar įmanoma apsaugoti jų sistemas.

Daugelis organizacijų išleidžia šimtus tūkstančių, jei ne milijonus dolerių, siekdamos įdiegti naujausius ir geriausius saugos sprendimus, kad apsaugotų savo infrastruktūrą ir duomenis. Tačiau namų vartotojai yra nepalankioje padėtyje. Net šimto dolerių investavimas į tam skirtą užkardą dažnai yra už daugelio namų tinklų ribų.

Laimei, atvirojo kodo bendruomenėje yra tam skirtų projektų, kurie daro didelę pažangą namų vartotojų saugumo sprendimų arenoje. Tokie projektai kaip IPfire, Snort, Squid ir pfSense užtikrina įmonės lygio saugumą prekių kainomis!

PfSense yra FreeBSD pagrįstas atvirojo kodo ugniasienės sprendimas. Platinimą galima nemokamai įdiegti savo įrangoje arba „pfSense“ įmonė „NetGate“ parduoda iš anksto sukonfigūruotus ugniasienės įrenginius.

Reikalinga pfSense aparatinė įranga yra labai minimali ir paprastai senesnį namų bokštą galima lengvai panaudoti tam skirta pfSense užkarda. Tiems, kurie nori sukurti ar įsigyti pažangesnę sistemą, kuri veiktų daugiau pažangių pfSense funkcijų, siūlomi keli minimalūs techninės įrangos reikalavimai:

Aparatinės įrangos minimumai

  • 500 MHz CPU
  • 1 GB RAM
  • 4 GB atminties
  • 2 tinklo sąsajos plokštės

Siūloma aparatinė įranga

  • 1GHz CPU
  • 1 GB RAM
  • 4 GB atminties
  • 2 ar daugiau PCI-e tinklo sąsajos kortelių.

Rimti namų naudotojo techninės įrangos pasiūlymai (ir įmonės)

Jei namų vartotojas norėtų įjungti daugybę papildomų pfSense funkcijų, pvz., Snort, Antivirus nuskaitymas, DNS įtraukimas į juodąjį sąrašą, žiniatinklio turinio filtravimas, ir tt rekomenduojama aparatinė įranga tampa šiek tiek labiau įtraukta.

Norint palaikyti papildomus programinės įrangos paketus pfSense užkardoje, pfSense rekomenduojama pateikti šią aparatinę įrangą:

  • Šiuolaikinis kelių branduolių procesorius, veikiantis mažiausiai 2,0 GHz
  • 4 GB+ RAM
  • 10 GB+ HD vietos
  • 2 ar daugiau „Intel PCI-e“ tinklo sąsajos plokščių

pfSense 2.4.4 diegimas

Šiame skyriuje pamatysime, kaip įdiegta pfSense 2.4.4 (naujausia versija šio straipsnio rašymo metu).

Laboratorijos sąranka

„pfSense“ dažnai vargina vartotojus, kurie dar nepažįsta ugniasienės. Numatytasis daugelio užkardų elgesys yra blokuoti viską, gerai ar blogai. Tai puiku saugumo, bet ne naudojimo požiūriu. Prieš pradedant diegti, svarbu konceptualizuoti galutinį tikslą prieš pradedant konfigūracijas.

Atsisiunčiamas pfSense

Nepriklausomai nuo pasirinktos aparatinės įrangos, pfSense įdiegimas į aparatinę įrangą yra nesudėtingas procesas, tačiau vartotojas turi atidžiai stebėti, kurie tinklo sąsajos prievadai bus naudojami kokiam tikslui (LAN, WAN, belaidis ryšys ir kt.).

Dalis diegimo proceso apims raginimą vartotojui pradėti konfigūruoti LAN ir WAN sąsajas. Autorius siūlo tik prijungti WAN sąsają, kol nebus sukonfigūruotas pfSense, o tada užbaigti diegimą prijungus LAN sąsają.

Pirmiausia reikia įsigyti pfSense programinę įrangą iš https://www.pfsense.org/download/. Priklausomai nuo įrenginio ir diegimo metodo yra keletas skirtingų parinkčių, tačiau šiame vadove bus naudojama AMD64 CD (ISO) diegimo programa.

Naudodami anksčiau pateiktos nuorodos išskleidžiamąjį meniu pasirinkite tinkamą veidrodį, kad atsisiųstumėte failą.

Atsisiuntus diegimo programą, ją galima įrašyti į kompaktinį diską arba nukopijuoti į USB diską naudojant įrankį dd, įtrauktą į daugumą Linux platinimų.

Kitas procesas yra įrašyti ISO į USB diską, kad būtų paleista diegimo programa. Norėdami tai padaryti, naudokite „Linux“ įrankį dd. Pirma, disko pavadinimas turi būti su „lsblk“.


lsblk

Kai USB disko pavadinimas nustatytas kaip /dev/sdc, pfSense ISO galima įrašyti į diską naudojant įrankį dd.


gunzip ~/Downloads/pfSense-CE-2.4.4-RELEASE-p1-amd64.iso.gz
dd if=~/Downloads/pfSense-CE-2.4.4-RELEASE-p1-amd64.iso of=/dev/sdc

Svarbu: aukščiau pateiktai komandai reikia root teisių, todėl naudokite „sudo“ arba prisijunkite kaip root naudotojas, kad paleistumėte komandą. Taip pat ši komanda PAŠALINUS VISKĄ iš USB atmintinės. Būtinai pasidarykite reikiamų duomenų atsarginę kopiją.

pfSense diegimas

Kai „dd“ baigs rašyti į USB diską arba kompaktinis diskas bus įrašytas, įdėkite laikmeną į kompiuterį, kuris bus nustatytas kaip „pfSense“ užkarda. Paleiskite tą kompiuterį į tą laikmeną ir bus parodytas toks ekranas.

Šiame ekrane arba leiskite, kad laikmatis baigtųsi, arba pasirinkite 1, kad tęstumėte paleidimą į diegimo aplinką. Kai diegimo programa baigs paleisti, sistema paragins atlikti bet kokius norimus klaviatūros išdėstymo pakeitimus. Jei viskas rodoma gimtąja kalba, tiesiog spustelėkite Priimti šiuos nustatymus.

Kitame ekrane naudotojas galės pasirinkti Greitas/paprastas diegimas arba išplėstines diegimo parinktis. Šiame vadove siūloma tiesiog naudoti parinktį Greitas/paprastas diegimas.

Kitame ekrane tiesiog bus patvirtinta, kad vartotojas nori naudoti greito/lengvo diegimo metodą, kuris diegimo metu neužduos tiek daug klausimų.

Pirmas klausimas, kuris greičiausiai bus pateiktas, bus klausiama, kurį branduolį įdiegti. Vėlgi, daugumai vartotojų siūloma įdiegti „Standartinį branduolį“.

Kai diegimo programa baigs šį etapą, ji paragins paleisti iš naujo. Taip pat būtinai pašalinkite diegimo laikmeną, kad įrenginys nebūtų paleistas atgal į diegimo programą.

pfSense konfigūracija

Paleidus iš naujo ir pašalinus CD/USB laikmeną, pfSense bus paleistas iš naujo į naujai įdiegtą operacinę sistemą. Pagal numatytuosius nustatymus pfSense pasirinks sąsają, kuri bus nustatyta kaip WAN sąsaja su DHCP, ir paliks LAN sąsają nesukonfigūruotą.

Nors pfSense turi žiniatinklio grafinę konfigūravimo sistemą, ji veikia tik ugniasienės LAN pusėje, tačiau šiuo metu LAN pusė bus nesukonfigūruota. Pirmas dalykas, kurį reikia padaryti, būtų nustatyti IP adresą LAN sąsajoje.

Norėdami tai padaryti, atlikite šiuos veiksmus:

  • Įveskite n ir paspauskite klavišą Enter, kai paklausite apie VLAN.
  • Įveskite sąsajos pavadinimą, įrašytą pirmame veiksme, kai būsite paraginti WAN sąsajos arba pakeiskite į tinkamą sąsają dabar. Vėlgi šiame pavyzdyje „em0“ yra WAN sąsaja, nes ji bus nukreipta į internetą.
  • Kitas raginimas paprašys LAN sąsajos, dar kartą įveskite tinkamą sąsajos pavadinimą ir paspauskite klavišą „Enter“. Šiame diegime 'em1' yra LAN sąsaja.
  • „pfSense“ ir toliau prašys daugiau sąsajų, jei jos yra prieinamos, bet jei visos sąsajos priskirtos, tiesiog dar kartą paspauskite klavišą „Enter“.
  • pfSense dabar paragins užtikrinti, kad sąsajos priskirtos tinkamai.

  • Jei sąsajos tinkamos, įveskite y ir paspauskite klavišą Enter.


    • Kitas žingsnis bus priskirti sąsajoms tinkamą IP konfigūraciją. Kai pfSense grįš į pagrindinį ekraną, įveskite „2“ ir paspauskite klavišą „Enter“. (Būtinai sekite sąsajų pavadinimus, priskirtus WAN ir LAN sąsajoms).

    *PASTABA* Šiam diegimui WAN sąsaja gali naudoti DHCP be jokių problemų, tačiau kartais gali prireikti statinio adreso. Statinės sąsajos WAN konfigūravimo procesas būtų toks pat kaip ir LAN sąsajos, kurią ruošiamasi konfigūruoti.

    Dar kartą įveskite 2, kai būsite paraginti, kurioje sąsajoje nustatyti IP informaciją. Vėlgi 2 yra LAN sąsaja šiame žingsnyje.

    Kai būsite paraginti, įveskite šios sąsajos IPv4 adresą ir paspauskite klavišą „Enter“. Šis adresas neturėtų būti naudojamas niekur kitur tinkle ir greičiausiai taps numatytuoju šliuzu pagrindiniams kompiuteriams, kurie bus prijungti prie šios sąsajos.

    Kitas raginimas paprašys potinklio kaukės vadinamuoju priešdėlio kaukės formatu. Šiam tinklo pavyzdžiui bus naudojamas paprastas /24 arba 255.255.255.0. Baigę paspauskite klavišą Enter.

    Kitas klausimas bus užduodamas apie „IPv4 šliuzą prieš srovę“. Kadangi LAN sąsaja šiuo metu sukonfigūruota, tiesiog paspauskite klavišą Enter.

    Kitas raginimas paprašys sukonfigūruoti IPv6 LAN sąsajoje. Šiame vadove tiesiog naudojamas IPv4, tačiau jei aplinkai reikia IPv6, jį galima konfigūruoti dabar. Kitu atveju bus tęsiamas tiesiog klavišo Enter paspaudimas.

    Kitas klausimas bus užduotas apie DHCP serverio paleidimą LAN sąsajoje. Dauguma namų vartotojų turės įjungti šią funkciją. Vėlgi, tai gali tekti koreguoti, atsižvelgiant į aplinką.

    Šiame vadove daroma prielaida, kad vartotojas norės, kad ugniasienė teiktų DHCP paslaugas, ir paskirs 51 adresą kitiems kompiuteriams, kad gautų IP adresą iš pfSense įrenginio.

    Kitas klausimas bus paprašytas grąžinti pfSense žiniatinklio įrankį į HTTP protokolą. Primygtinai rekomenduojame to nedaryti, nes HTTPS protokolas užtikrins tam tikrą saugumo lygį, kad būtų išvengta žiniatinklio konfigūravimo įrankio administratoriaus slaptažodžio atskleidimo.

    Kai vartotojas paspaus Enter, pfSense išsaugos sąsajos pakeitimus ir pradės DHCP paslaugas LAN sąsajoje.

    Atkreipkite dėmesį, kad pfSense pateiks žiniatinklio adresą, kad būtų galima pasiekti žiniatinklio konfigūravimo įrankį per kompiuterį, prijungtą prie užkardos įrenginio LAN pusės. Tai užbaigia pagrindinius konfigūravimo veiksmus, kad ugniasienės įrenginys būtų paruoštas daugiau konfigūracijų ir taisyklių.

    Žiniatinklio sąsaja pasiekiama per žiniatinklio naršyklę, nuėjus į LAN sąsajos IP adresą.

    Numatytoji pfSense informacija šio rašymo metu yra tokia:

    
Username: admin
Password: pfsense

    Sėkmingai prisijungus per žiniatinklio sąsają pirmą kartą, pfSense atliks pradinę sąranką, kad iš naujo nustatytų administratoriaus slaptažodį.

    Pirmas raginimas yra užsiregistruoti auksinei pfSense prenumeratai, kuri turi tokių privalumų kaip automatinė konfigūracijos atsarginė kopija, prieiga prie pfSense mokymo medžiagos ir periodiniai virtualūs susitikimai su pfSense kūrėjais. Auksinės prenumeratos įsigyti nereikia, o jei pageidaujama, veiksmą galima praleisti.

    Šis veiksmas paragins vartotoją pateikti daugiau ugniasienės konfigūracijos informacijos, pvz., pagrindinio kompiuterio pavadinimą, domeno pavadinimą (jei taikoma) ir DNS serverius.

    Kitas raginimas bus sukonfigūruotas Tinklo laiko protokolas, NTP. Numatytąsias parinktis galima palikti, nebent pageidaujama skirtingų laiko serverių.

    Nustačius NTP, pfSense diegimo vedlys paragins vartotoją sukonfigūruoti WAN sąsają. pfSense palaiko kelis WAN sąsajos konfigūravimo metodus.

    Pagal numatytuosius nustatymus dauguma namų vartotojų naudoja DHCP. DHCP iš vartotojo interneto paslaugų teikėjo yra labiausiai paplitęs būdas gauti reikiamą IP konfigūraciją.

    Kitas veiksmas paragins konfigūruoti LAN sąsają. Jei vartotojas yra prisijungęs prie žiniatinklio sąsajos, LAN sąsaja greičiausiai jau sukonfigūruota.

    Tačiau jei reikia pakeisti LAN sąsają, šis veiksmas leistų atlikti pakeitimus. Būtinai atsiminkite, koks yra LAN IP adresas, nes taip
    administratorius prisijungs prie žiniatinklio sąsajos!

    Kaip ir visa kita saugumo pasaulyje, numatytieji slaptažodžiai kelia ypatingą pavojų saugumui. Kitame puslapyje administratorius bus paragintas pakeisti numatytąjį „administratoriaus“ vartotojo slaptažodį į „pfSense“ žiniatinklio sąsają.

    Paskutinis veiksmas apima pfSense paleidimą iš naujo su naujomis konfigūracijomis. Tiesiog spustelėkite mygtuką Įkelti iš naujo.

    Iš naujo įkėlus „pfSense“, vartotojui bus pateiktas paskutinis ekranas prieš prisijungiant prie visos žiniatinklio sąsajos. Tiesiog spustelėkite antrąjį mygtuką Spustelėkite čia, kad prisijungtumėte prie visos žiniatinklio sąsajos.

    Pagaliau pfSense sukurtas ir paruoštas sukonfigūruoti taisykles!

    Dabar, kai pfSense veikia ir veikia, administratorius turės pereiti ir sukurti taisykles, leidžiančias atitinkamam srautui per užkardą. Reikėtų pažymėti, kad pfSense turi numatytąją leisti viską taisyklę. Saugumo sumetimais tai turėtų būti pakeista, bet tai vėlgi yra administratoriaus sprendimas.

    Taip pat skaitykite: įdiekite ir sukonfigūruokite pfBlockerNg DNS juodajam sąrašui pfSense ugniasienėje

    Dėkojame, kad perskaitėte šį TecMint straipsnį apie pfSense diegimą! Stebėkite būsimus straipsnius apie kai kurių sudėtingesnių pfSense parinkčių konfigūravimą.