PfSense 2.4.4 ugunsmūra maršrutētāja instalēšana un konfigurēšana

Mūsdienās internets ir biedējoša vieta. Gandrīz katru dienu notiek jauna nulles diena, drošības pārkāpumi vai izpirkšanas programmatūra, liekot daudziem cilvēkiem domāt, vai ir iespējams aizsargāt viņu sistēmas.

Daudzas organizācijas tērē simtiem tūkstošu, ja ne miljoniem dolāru, mēģinot instalēt jaunākos un labākos drošības risinājumus, lai aizsargātu savu infrastruktūru un datus. Mājas lietotājiem tomēr ir nelabvēlīgi monetāri apstākļi. Pat simts dolāru ieguldīšana speciālajā ugunsmūrī bieži vien ir ārpus lielākās daļas mājas tīklu darbības jomas.

Par laimi, atvērtā pirmkoda sabiedrībā ir īpaši projekti, kas gūst lielus panākumus mājas lietotāju drošības risinājumu jomā. Tādi projekti kā Squid un pfSense nodrošina uzņēmuma līmeņa drošību par preču cenām!

PfSense ir uz FreeBSD balstīts atvērtā koda ugunsmūra risinājums. Izplatīšanu var brīvi instalēt pašu aprīkojumā, vai uzņēmums pfSense, NetGate, kas pārdod iepriekš konfigurētas ugunsmūra ierīces.

Nepieciešamā aparatūra pfSense ir ļoti minimāla, un vecāku mājas torni parasti var viegli pārveidot par īpašu pfSense ugunsmūri. Tiem, kas vēlas izveidot vai iegādāties daudz spējīgāku sistēmu, lai palaistu vairāk pfSense uzlaboto funkciju, ir daži ieteiktie aparatūras minimumi:

  • 500 MHz CPU
  • 1 GB RAM
  • 4 GB krātuve
  • 2 tīkla saskarnes kartes

  • 1GHz procesors
  • 1 GB RAM
  • 4 GB krātuve
  • 2 vai vairāk PCI-e tīkla saskarnes kartes.

Gadījumā, ja mājas lietotājs vēlas iespējot daudzas pfSense papildu funkcijas un funkcijas, piemēram, Snort, Anti-Virus skenēšana, DNS melnais saraksts, tīmekļa satura filtrēšana utt., Ieteiktā aparatūra nedaudz vairāk iesaistās.

Lai atbalstītu papildu programmatūras pakotnes pfSense ugunsmūrī, pfSense ieteicams nodrošināt šādu aparatūru:

  • Mūsdienīgs daudzkodolu procesors, kura darbības ātrums ir vismaz 2,0 GHz
  • 4 GB + RAM atmiņa
  • 10 GB + HD vietas
  • 2 vai vairāk Intel PCI-e tīkla saskarnes kartes

PfSense instalēšana 2.4.4

Šajā sadaļā mēs redzēsim pfSense 2.4.4 (jaunākā versija šī raksta rakstīšanas laikā) instalēšanu.

pfSense bieži ir neapmierinoša lietotājiem, kuri ir iesācēji ugunsmūri. Daudzu ugunsmūru noklusējuma darbība ir bloķēt visu, labu vai sliktu. Tas ir lieliski no drošības viedokļa, bet ne no lietojamības viedokļa. Pirms sākat instalēšanu, pirms konfigurācijas sākšanas ir svarīgi konceptualizēt gala mērķi.

Neatkarīgi no tā, kura aparatūra ir izvēlēta, pfSense instalēšana aparatūrā ir vienkāršs process, taču lietotājam ir jāpievērš īpaša uzmanība tam, kuri tīkla interfeisa porti kādam mērķim tiks izmantoti (LAN, WAN, Wireless utt.).

Daļa instalēšanas procesa ietvers lietotāja aicināšanu sākt konfigurēt LAN un WAN saskarnes. Autors iesaka tikai pieslēgt WAN saskarni, līdz pfSense ir konfigurēts, un pēc tam turpiniet pabeigt instalēšanu, pievienojot LAN saskarni.

Pirmais solis ir iegūt pfSense programmatūru vietnē https://www.pfsense.org/download/. Atkarībā no ierīces un instalēšanas metodes ir pieejamas vairākas dažādas iespējas, taču šajā rokasgrāmatā tiks izmantots ‘AMD64 CD (ISO) instalētājs’.

Izmantojot nolaižamo izvēlni iepriekš sniegtajā saitē, atlasiet atbilstošo spoguli, lai lejupielādētu failu.

Kad instalētājs ir lejupielādēts, to var vai nu ierakstīt kompaktdiskā, vai arī to var kopēt USB diskā, izmantojot rīku ‘dd’, kas iekļauts lielākajā daļā Linux izplatījumu.

Nākamais process ir ISO ierakstīšana USB diskā, lai sāknētu instalēšanas programmu. Lai to paveiktu, Linux izmantojiet rīku ‘dd’. Pirmkārt, diska nosaukumam jāatrodas ar “lsblk”.

$ lsblk

Kad USB diska nosaukums ir noteikts kā “/ dev/sdc”, pfSense ISO var ierakstīt diskā ar rīku “dd”.

$ gunzip ~/Downloads/pfSense-CE-2.4.4-RELEASE-p1-amd64.iso.gz
$ dd if=~/Downloads/pfSense-CE-2.4.4-RELEASE-p1-amd64.iso of=/dev/sdc

Svarīgi: Iepriekš minētajai komandai ir nepieciešamas root privilēģijas, tāpēc, lai palaistu komandu, izmantojiet ‘sudo’ vai pieteikšanos kā root lietotāju. Arī šī komanda NOŅEMS visu USB diskā. Noteikti dublējiet nepieciešamos datus.

Kad ‘dd’ ir beidzis rakstīt uz USB disku vai kompaktdisks ir ierakstīts, ievietojiet datu nesēju datorā, kas tiks iestatīts kā pfSense ugunsmūris. Sāknējiet šo datoru attiecīgajā datu nesējā, un tiks parādīts nākamais ekrāns.

Šajā ekrānā vai nu ļaujiet taimerim beigties, vai atlasiet 1 , lai turpinātu sāknēšanu instalēšanas vidē. Kad instalētājs ir pabeidzis sāknēšanu, sistēma pieprasīs veikt visas nepieciešamās izmaiņas tastatūras izkārtojumā. Ja viss tiek rādīts dzimtajā valodā, vienkārši noklikšķiniet uz Pieņemt šos iestatījumus.

Nākamajā ekrānā lietotājam tiks piedāvāta iespēja “Ātra/vienkārša instalēšana” vai papildu instalēšanas opcijas. Šajā ceļvedī ir ieteicams vienkārši izmantot opciju “Ātra/vienkārša instalēšana”.

Nākamais ekrāns vienkārši apstiprinās, ka lietotājs vēlas izmantot metodi “Ātra/vienkārša instalēšana”, kas instalēšanas laikā neuzdos tik daudz jautājumu.

Pirmais jautājums, kas, visticamāk, tiks uzdots par to, kuru kodolu instalēt. Atkal tiek ieteikts lielākajai daļai lietotāju instalēt ‘Standarta kodolu’.

Kad instalētājs ir pabeidzis šo posmu, tas pieprasīs atsāknēšanu. Noteikti noņemiet arī instalācijas datu nesēju, lai iekārta netiktu palaista instalētājā.

pfSense konfigurācija

Pēc pārstartēšanas un CD/USB datu nesēja noņemšanas pfSense tiks restartēta tikko instalētajā operētājsistēmā. Pēc noklusējuma pfSense izvēlēsies interfeisu iestatīšanai kā WAN saskarni ar DHCP un atstās LAN saskarni nekonfigurētu.

Kaut arī pfSense ir tīmekļa grafiskā konfigurācijas sistēma, tā darbojas tikai ugunsmūra LAN pusē, taču pašlaik LAN puse nebūs konfigurēta. Pirmais, kas jādara, būtu iestatīt IP adresi LAN saskarnē.

Lai to izdarītu, rīkojieties šādi:

  • Ņemiet vērā, kurš interfeisa nosaukums ir WAN interfeiss (iepriekš em0).
  • Ievadiet “1” un nospiediet taustiņu “Enter”.
  • Ierakstiet “n” un nospiediet taustiņu “Enter”, kad tiek jautāts par VLAN.
  • Ievadiet saskarnes nosaukumu, kas ierakstīts pirmajā darbībā, kad tiek prasīts izveidot WAN saskarni, vai mainiet uz pareizo saskarni tūlīt. Arī šajā piemērā ‘em0’ ir WAN interfeiss, jo tas būs interfeiss, kas vērsts uz internetu.
  • Nākamajā uzvednē tiks prasīts LAN interfeiss, vēlreiz ierakstiet pareizo interfeisa nosaukumu un nospiediet taustiņu Enter. Šajā instalācijā ‘em1’ ir LAN interfeiss.
  • pfSense turpinās lūgt papildu saskarnes, ja tādas ir pieejamas, bet, ja visas saskarnes ir piešķirtas, vienkārši vēlreiz nospiediet taustiņu Enter.
  • pfSense tagad piedāvās pārliecināties, vai saskarnes tiek piešķirtas pareizi.


Nākamais solis būs piešķirt saskarnēm pareizu IP konfigurāciju. Pēc pfSense atgriešanās galvenajā ekrānā ierakstiet “2” un nospiediet taustiņu “Enter”. (Noteikti sekojiet WAN un LAN saskarnēm piešķirto interfeisu nosaukumiem).

* PIEZĪME * Šai instalēšanai WAN interfeiss var bez problēmām izmantot DHCP, taču var būt gadījumi, kad būtu nepieciešama statiska adrese. Statiskā interfeisa konfigurēšana WAN būs tāds pats kā LAN konfigurācijas interfeiss.

Kad tiek prasīts, kurā interfeisā iestatīt IP informāciju, vēlreiz ierakstiet ‘2’. Atkal 2 ir LAN interfeiss šajā pārejā.

Kad tiek parādīts uzaicinājums, ierakstiet šai saskarnei vēlamo IPv4 adresi un nospiediet taustiņu Enter. Šo adresi nedrīkst izmantot nekur citur tīklā, un tā, iespējams, kļūs par noklusēto vārteju saimniekiem, kas tiks pievienoti šai saskarnei.

Nākamajā uzvednē tiks prasīta apakštīkla maska tā dēvētajā prefiksu maskas formātā. Šajā tīkla piemērā tiks izmantots vienkāršs/24 vai 255.255.255.0. Kad esat pabeidzis, nospiediet taustiņu Enter.

Nākamais jautājums uzdos jautājumu par “Upstream IPv4 Gateway”. Tā kā LAN saskarne pašlaik ir konfigurēta, vienkārši nospiediet taustiņu Enter.

Nākamajā uzvednē tiks prasīts konfigurēt IPv6 LAN saskarnē. Šajā rokasgrāmatā vienkārši tiek izmantots IPv4, taču, ja videi nepieciešams IPv6, to var konfigurēt tūlīt. Pretējā gadījumā vienkārši nospiežot taustiņu Enter, turpināsit.

Nākamais jautājums tiks uzdots par DHCP servera palaišanu LAN saskarnē. Lielākajai daļai mājas lietotāju šī funkcija būs jāiespējo. Atkal tas var būt jāpielāgo atkarībā no vides.

Šajā rokasgrāmatā tiek pieņemts, ka lietotājs vēlēsies, lai ugunsmūris sniegtu DHCP pakalpojumus, un piešķirs 51 adresi citiem datoriem, lai iegūtu IP adresi no ierīces pfSense.

Nākamais jautājums lūgs pfSense tīmekļa rīku atgriezt HTTP protokolā. Ir ļoti ieteicams to nedarīt, jo HTTPS protokols nodrošinās zināmu drošības līmeni, lai novērstu tīmekļa konfigurācijas rīka administratora paroles izpaušanu.

Kad lietotājs nospiedīs taustiņu Enter, pfSense saglabās izmaiņas saskarnē un sāks DHCP pakalpojumus LAN saskarnē.

Ievērojiet, ka pfSense nodrošinās tīmekļa adresi, lai piekļūtu tīmekļa konfigurācijas rīkam, izmantojot datoru, kas pievienots ugunsmūra ierīces LAN pusē. Tādējādi tiek pabeigtas pamata konfigurācijas darbības, lai ugunsmūra ierīce būtu gatava vairākām konfigurācijām un kārtulām.

Tīmekļa saskarnei var piekļūt, izmantojot tīmekļa pārlūkprogrammu, pārejot uz LAN saskarnes IP adresi.

PfSense noklusējuma informācija šī rakstīšanas laikā ir šāda:

Username: admin
Password: pfsense

Pēc veiksmīgas pieteikšanās, izmantojot tīmekļa saskarni, pirmo reizi pfSense veiks sākotnējo iestatīšanu, lai atiestatītu administratora paroli.

Pirmā uzvedne ir reģistrācija pfSense Gold abonementam, kurai ir tādas priekšrocības kā automātiska konfigurācijas dublēšana, piekļuve pfSense mācību materiāliem un periodiskas virtuālas tikšanās ar pfSense izstrādātājiem. Zelta abonementa iegāde nav nepieciešama, un darbību var izlaist, ja vēlaties.

Veicot šo darbību, lietotājam tiks lūgta papildu informācija par ugunsmūra konfigurāciju, piemēram, resursdatora nosaukums, domēna nosaukums (ja piemērojams) un DNS serveri.

Nākamā uzvedne būs konfigurēt tīkla laika protokolu, NTP. Noklusējuma opcijas var atstāt, ja vien nav nepieciešami citi laika serveri.

Pēc NTP iestatīšanas pfSense instalēšanas vednis liks lietotājam konfigurēt WAN saskarni. pfSense atbalsta vairākas WAN saskarnes konfigurēšanas metodes.

Pēc noklusējuma lielākajai daļai mājas lietotāju ir izmantot DHCP. Lietotāja interneta pakalpojumu sniedzēja DHCP ir visizplatītākā metode nepieciešamās IP konfigurācijas iegūšanai.

Nākamais solis liks konfigurēt LAN saskarni. Ja lietotājs ir savienots ar tīmekļa saskarni, LAN saskarne, visticamāk, jau ir konfigurēta.

Tomēr, ja ir jāmaina LAN saskarne, šis solis ļautu veikt izmaiņas. Noteikti atcerieties, kam ir iestatīta LAN IP adrese, jo tas ir
administrators piekļūs tīmekļa saskarnei!

Tāpat kā ar visām lietām drošības pasaulē, arī noklusējuma paroles rada ārkārtēju drošības risku. Nākamajā lappusē administrators tiks aicināts nomainīt “admin” lietotāja noklusējuma paroli uz pfSense tīmekļa saskarni.

Pēdējais solis ietver pfSense restartēšanu ar jaunajām konfigurācijām. Vienkārši noklikšķiniet uz pogas Pārlādēt.

Pēc pfSense pārlādēšanas lietotājs iepazīstinās ar pēdējo ekrānu pirms pieteikšanās pilnā tīmekļa saskarnē. Vienkārši noklikšķiniet uz otrā “Noklikšķiniet šeit”, lai pieteiktos pilnā tīmekļa saskarnē.

Beidzot pfSense ir izveidots un gatavs konfigurēt noteikumus!

Tagad, kad pfSense ir izveidots un darbojas, administratoram būs jāiziet un jāizveido kārtulas, lai atļautu atbilstošu trafiku caur ugunsmūri. Jāatzīmē, ka pfSense pēc noklusējuma ir atļauta kārtula. Drošības labad tas būtu jāmaina, bet tas atkal ir administratora lēmums.

Paldies, ka izlasījāt šo TecMint rakstu par pfSense instalēšanu! Sekojiet līdzi nākamajiem rakstiem par dažu papildu opciju konfigurēšanu, kas pieejamas pfSense.