Kaip įdiegti ir konfigūruoti „pfSense Firewall“ maršrutizatorių „Linux“

Naujienose matėme, kaip daugelis įmonių ir paprastų vartotojų patiria didžiulius savo informacijos išpuolius, tokius kaip „WannaCry“, „ZeroDays“ ir daugelis kitų, kurie buvo sukurti siekiant pasinaudoti pažeidžiamumas operacinių sistemų atakuoti ten.

Organizacija gali įsigyti naujoviškų apsaugos sistemų, tačiau smulkus verslas ar paprastas vartotojas ne visada turi tokią galimybę, nes tokio tipo sistema gali kainuoti tūkstančius dolerių.

Galime naudoti kelis įrankius, padedančius kovoti su tokio tipo pažeidžiamumu, tačiau šį kartą daugiausia dėmesio skirsime vienam, kuris yra esminis ir būtinas, nepaisant to, ar esame tinklo administratoriai, IT administratoriai ar pagalbinis personalas, ir ne yra įrankis. pfsense.

Kas yra pfsense„Pfsense“ yra „FreeBSD“ pagrįstas atviro kodo įrankis, sukurtas veikti kaip ugniasienė vidiniame tinkle.

„Pfsense“ suteikia mums galimybę centralizuotai valdyti įvairias tinklo sąsajas, kurias turime savo vietiniame tinkle, leisdami mums realiu laiku pasiekti informaciją apie tai, kas vyksta sistemoje, ir taip žinoti, kokie objektai gali turėti įtakos organizacijos saugumui. arba mūsų informacija.

„Pfsense“ funkcijosKai kurios funkcijos, kurias randame „pfsense“ užkardoje, yra šios:

  • Galimybė filtruoti IP adresus pagal šaltinį ir paskirties vietą arba pagal TCP ir UDP prievadus.
  • Kurdami taisykles galite apriboti kelis ryšius.
  • „Pfsense“ naudoja p0f technologiją, kuri yra pažangus pasyvus OS pirštų atspaudas, leidžiantis filtruoti operacines sistemas prisijungus, pavyzdžiui, galime užkirsti kelią visoms mašinoms su „MacOS“ ar „Windows“ sistemomis prisijungti.
  • Galime įrašyti srautą pagal tam tikrą taisyklę arba ne.
  • Leidžia kurti slapyvardžius grupuojant IP adresus, prievadus ir tinklus.
  • Jo išjungimo procesas yra paprastas.
  • Nuolat stebėkite politiką, kad gautumėte duomenų realiuoju laiku.
„Pfsense“ taip pat gamina tinklo įrenginius, tokius kaip SOHO tinklai, modemo maršrutizatoriai; Norėdami sužinoti daugiau apie šiuos produktus, galite eiti į šią nuorodą:

Pfsense įdiegimo reikalavimai„Pfsense“ naudojimo idealas yra tam skirti komandą, kuri stebėtų visą tinklą, ir štai šitie yra minimalūs reikalavimai:

  • Rekomenduojamas CPU dažnis 500 MHz, 1 GHz.
  • 1 GB RAM.
  • 4 GB kietojo disko saugykla.
  • Mažiausiai 2 tinklo plokštės.

1. Atsisiųskite ir įdiekite „pfsense“ į „Ubuntu 17“

1 žingsnis
Pirmas žingsnis, kurį reikia padaryti, yra atsisiųsti šią pfsense nuorodą ISO formatu su tokiomis parinktimis kaip:

  • Pasirinkite diegimą arba atnaujinimą.
  • Apibrėžkite kompiuterio architektūrą (32 arba 64 bitai).
  • Pasirinkite bet kurią atsisiuntimo saugyklą.

2 žingsnis
Galime įrašyti ISO atvaizdą CDS ar DVD diske arba įkraunamame USB ir sukonfigūruoti įkrovą iš ten kompiuteryje, kuriame jis turi būti įdiegtas. Kai diegimo procesas prasidės, pamatysime šį langą:

3 žingsnis
Ten įvedame skaičių 1 ir pamatysime, kad prasideda „pfsense“ diegimo elementų įkėlimo procesas:

4 žingsnis
Kai tai bus baigta, bus parodytas šis langas, kuriame pasirinksime parinktį Priimkite šiuos nustatymus su slinkties rodyklėmis:

5 žingsnis
Paspaudžiame Enter ir dabar pasirenkame parinktį Greitas / lengvas montavimas:

6 žingsnis
Paspaudžiame „Enter“ ir pamatysime šį pranešimą, į kurį paspausime Gerai:

7 žingsnis
Matome, kad prasideda „pfsense“ diegimo procesas:

8 žingsnis
Po kurio laiko bus parodytas šis pranešimas, susietas su programos branduoliu, šiuo atveju pasirenkame eilutę Standartinis branduolys ir paspauskite Enter:

9 veiksmas
Pfsense konfigūravimo procesas bus baigtas ir pagaliau pamatysime šį pranešimą. Ten mes turime pašalinti įrangos diegimo laikmeną ir pasirinkti mygtuką Perkraukite iš naujo paleisti kompiuterį.

2. Konfigūruokite „pfsense Ubuntu 17“

1 žingsnis
Kai sistema bus paleista iš naujo, pamatysime šį langą:

2 žingsnis
Tokiu atveju mes įvedame skaičių 1, nes pirmiausia priskirsime tinklo sąsajas, o paspaudus „Enter“ tai bus konfigūracija, kurią matysime:

  • em0: WAN sąsaja
  • em1: LAN sąsaja

3 žingsnis
Vėliau bus rodomas klausimas, susijęs su tuo, ar norime rodyti jų konfigūracijos VLAN, šiuo atveju įvedame raidę n (ne):

4 žingsnis
Paspaudžiame Enter ir kitame klausime turime įvesti WAN sąsajos pavadinimą, kuris šiuo atveju yra em0:

5 žingsnis
Paspaudžiame Enter ir kitame klausime įvesime LAN sąsajos pavadinimą, kuris šiuo atveju yra em1:

6 žingsnis
Kai paspausime „Enter“, pamatysime sąsajos konfigūracijos santrauką ir, jei ji teisinga, įvesime raidę Y patvirtinti:

7 žingsnis
Matome, kad pakeitimai taikomi teisingai:

8 žingsnis
Vėl grįšime į pagrindinį „pfsense“ meniu ir šį kartą pasirinksime 2 parinktį, kad nustatytume IP adresus LAN sąsajoje:

9 veiksmas
Paspaudus „Enter“, bus parodytos dvi sukonfigūruotos sąsajos, ir mes įvesime skaičių 2, kad pasirinktume LAN sąsają, ir priskirsime atitinkamą IP adresą, kuris neturėtų būti priskirtas jokiai kitai įrangai, ir tai gali būti vartai vietinis tinklas:

10 žingsnis
Kai IP adresas bus priskirtas, paspauskite „Enter“, tinklo kaukę priskirsime pagal rodomą formatą, šiuo atveju įvesime skaičių 24:

11 žingsnis
Kitas klausimas parodys, ar norime WAN sąsajai priskirti IPv4 adresą, nes nebūtina, kad paspausdami „Enter“ praleisime šį veiksmą:

12 žingsnis
Kitame klausime paspausime „Enter“, nes jis paprašys sukonfigūruoti IPv6 adresą:

13 žingsnis
Matome, kad klausimas lieka aktyvus, ar norime įjungti DHCP LAN tinkle, įvedame raidę Y jūsų konfigūracijai, kur priskirsime pradinį ir galutinį IP diapazonus:

14 žingsnis
Paskutinis rodomas klausimas bus, ar norime grįžti prie HTTP protokolo, kuris nerekomenduojamas, nes „pfsense“ naudoja HTTPS protokolą, kuris garantuoja mums geresnį prieigos lygį. Kai mes įvedame raidę n ir paspauskite „Enter“, bus rodoma santrauka, kurioje pamatysime, kaip naudoti „pfsense“ atitinkamam valdymui per vietinį tinklą:

3. Pasiekite „pfsense Ubuntu 17“


Kaip jau minėjome, mes galime sukonfigūruoti bet kurį vietinio tinklo IP adresą ir, norėdami tai patikrinti, sukonfigūravome „pfsense“ su IP adresu 192.168.1.101 prieigai per vieną iš vietinio tinklo kompiuterių.

1 žingsnis
Mes einame į bet kurią naršyklę ir adreso juostoje įvesime eilutę:

 https://192.168.1.101 
2 žingsnis
Rodomame lange matome, kad tai yra nesaugus ryšys, ir norėdami pasiekti, spustelėsime mygtuką Išplėstinė ir ten mes spustelėsime Pridėti išimtį:

DIDELIS

3 žingsnis
Kai pridėsime šio IP adreso išimtį, turėsime prieigą prie „pfsense“ konsolės, kurioje įvesime šiuos kredencialus:

  • Vartotojas: admin
  • Slaptažodis: pfsense

DIDELIS

4 žingsnis
Spustelėkite mygtuką Prisijungti ir platformoje reikės sukonfigūruoti kai kuriuos parametrus.
Pirmiausia pamatysime pasveikinimo ekraną:

DIDELIS

5 žingsnis
Tada pamatysime bendrą informacijos langą, kuriame galime įvesti išsamią informaciją, pvz., Pagrindinio kompiuterio vardą, domeną, DNS serverius ir tt:

DIDELIS

6 žingsnis
Spustelėkite Kitas o kitame lange galime sukonfigūruoti serverio laiko juostą:

DIDELIS

7 žingsnis
Kitame lange turėsime galimybę sukonfigūruoti WAN sąsają tokiomis vertėmis kaip:

  • Tipas (DHCP arba statinis)
  • MAC adresas
  • MTU ir MSS
  • IP adresas, tinklo kaukė ir šliuzas, jei pasirenkate statinę parinktį ir pan.

DIDELIS

8 žingsnis
Kai šios vertės bus sukonfigūruotos, spustelėkite Kitas ir dabar mes galime sukonfigūruoti LAN sąsają, rodomos vertės yra tos, kurios priskirtos pfsense konfigūracijai:

DIDELIS

9 veiksmas
Vėliau galime nurodyti pfsense grafinės sąsajos slaptažodį:

DIDELIS

10 žingsnis
Galiausiai pamatysime šį langą:

DIDELIS

11 žingsnis
Ten mes spustelime mygtuką Įkelti iš naujo pritaikyti visus pakeitimus ir tai bus rezultatas:

DIDELIS

4. „Pfsense Ubuntu 17“ aplinka

1 žingsnis
Ten mes spustelėsime eilutę Spustelėkite čia, jei norite pereiti prie „pfSense webConfigurator“ ir tai bus aplinka, kurią siūlo pfsense:

DIDELIS

2 žingsnis
Mes galime išsamiai pamatyti turimas sąsajas ir sistemos informaciją realiuoju laiku, pavyzdžiui:

  • vardas
  • Sistemos tipas
  • BIOS duomenys
  • Platforma
  • Procesoriaus tipas
  • Veiklos laikas
  • DNS serveriai, tarp daugelio kitų.

3 žingsnis
Matome, kad „pfsense“ struktūroje yra keli skirtukai, kuriuose galime pasiekti daug informacijos, pavyzdžiui:

SistemaTai leidžia mums pasiekti šias parinktis:

  • Išplėstinė
  • Sert. Vadybininkas (sertifikatų valdytojas)
  • Bendra sąranka
  • Atsijungti
  • Paketų valdytojas
  • Maršrutizavimas
  • Sąrankos vedlys
  • Atnaujinimas („pfsense Updater“)
  • Vartotojo vadybininkas

DIDELIS

SąsajosTai leidžia mums valdyti „pfsense“ WAN ir LAN sąsajas.

UgniasienėApima šias parinktis:

  • Slapyvardžiai (slapyvardžiai)
  • NAT
  • Taisyklės
  • Tvarkaraščiai
  • Eismo formuotojas
  • Virtualūs IP (leidžia valdyti virtualius IP adresus).

PaslaugosYra tokios parinktys kaip:

  • DHCP relė
  • DCHP serveris
  • DNS persiuntėjas
  • DNS išspręsti
  • Dinaminis DNS
  • NTP
  • SNMP ir kt.

DIDELIS

VPNTai leidžia mums pasiekti tokias VPN funkcijas kaip:

  • IPsec
  • L2TP
  • „OpenVPN“

BūsenaŠio skirtuko dėka mes galime matyti parametrų, tokių kaip:

  • Prietaisų skydelis
  • Iš naujo įkelti filtrą
  • Vartai
  • Sąsajos
  • IPsec
  • Paslaugos
  • Eilės
  • NTP, be kita ko.

DiagnostikaŠi parinktis leidžia mums pamatyti išsamią tokių verčių diagnostiką:

  • ARP stalas
  • Autentiškumas
  • Atsarginės kopijos atkūrimas
  • Komandinė eilutė
  • DNS paieška
  • Sustabdyti sistemą
  • NDP
  • Paketų fiksavimas
  • pfInfo
  • pfTop (populiariausi procesai)
  • Lizdai
  • Veiklos suvestinė
  • Eismo grafikas
  • Maršrutizatoriai ir dar daugiau

DIDELIS

Su „pfsense“ turime vertingą įrankį, skirtą apsaugoti ir stebėti visus įvykius „Linux“ aplinkoje realiuoju laiku.

wave wave wave wave wave