Uppsetning og stillingar á pfSense 2.4.4 Firewall Router

Netið er skelfilegur staður þessa dagana. Næstum daglega, nýr núlldagur, öryggisbrest eða lausnarhugbúnaður á sér stað sem veldur því að margir velta því fyrir sér hvort hægt sé að tryggja kerfi þeirra.

Margar stofnanir eyða hundruðum þúsunda, ef ekki milljónum, dollara í að reyna að setja upp nýjustu og bestu öryggislausnirnar til að vernda innviði þeirra og gögn. Heimilisnotendur eru þó í peningalegu óhagræði. Að fjárfesta jafnvel hundrað dollara í sérstakan eldvegg er oft utan viðfangsefnis flestra heimaneta.

Sem betur fer eru sérstök verkefni í opnum uppspretta samfélaginu sem eru að taka miklum framförum á sviði öryggislausna heimanotenda. Verkefni eins og Squid og pfSense veita öll öryggi fyrirtækja á vöruverði!

PfSense er FreeBSD byggð opinn eldvegglausn. Dreifinguna er ókeypis að setja upp á eigin búnað eða fyrirtækið á bak við pfSense, NetGate, selur forstillt eldveggstæki.

Nauðsynlegur vélbúnaður fyrir pfSense er mjög lítill og venjulega er auðvelt að endurnýta eldri heimilisturn í sérstakan pfSense eldvegg. Fyrir þá sem vilja smíða eða kaupa hæfara kerfi til að keyra fleiri af háþróaðri eiginleikum pfSense, þá eru nokkur ráðlögð lágmarksmörk fyrir vélbúnað:

  • 500 mhz örgjörvi
  • 1 GB af vinnsluminni
  • 4GB geymslupláss
  • 2 netviðmótskort

  • 1GHz örgjörvi
  • 1 GB af vinnsluminni
  • 4GB geymslupláss
  • 2 eða fleiri PCI-e netviðmótskort.

Ef heimanotandi vill virkja marga af aukaeiginleikum og aðgerðum pfSense eins og Snort, Anti-Virus skönnun, DNS svartan lista, síun á vefefni o.s.frv., mun ráðlagður vélbúnaður taka aðeins meiri þátt.

Til að styðja við auka hugbúnaðarpakkana á pfSense eldveggnum er mælt með því að eftirfarandi vélbúnaður sé útvegaður til pfSense:

  • Nútíma fjölkjarna örgjörvi sem keyrir að minnsta kosti 2,0 GHz
  • 4GB+ af vinnsluminni
  • 10GB+ af HD plássi
  • 2 eða fleiri Intel PCI-e netviðmótskort

Uppsetning pfSense 2.4.4

Í þessum hluta munum við sjá uppsetningu á pfSense 2.4.4 (nýjasta útgáfan þegar þessi grein er skrifuð).

pfSense er oft pirrandi fyrir notendur sem eru nýir með eldveggi. Sjálfgefin hegðun fyrir marga eldveggi er að loka fyrir allt, gott eða slæmt. Þetta er frábært frá öryggissjónarmiði en ekki frá nothæfissjónarmiði. Áður en byrjað er á uppsetningunni er mikilvægt að gera sér grein fyrir lokamarkmiðinu áður en byrjað er á stillingunum.

Óháð því hvaða vélbúnaður er valinn, þá er uppsetning pfSense á vélbúnaðinn einfalt ferli en krefst þess að notandinn fylgist vel með því hvaða netviðmótstengi verða notuð í hvaða tilgangi (LAN, WAN, Wireless, etc).

Hluti af uppsetningarferlinu mun fela í sér að biðja notandann um að byrja að stilla staðarnet og WAN tengi. Höfundur leggur til að aðeins sé stungið í samband við WAN viðmótið þar til pfSense hefur verið stillt og síðan haldið áfram að klára uppsetninguna með því að tengja staðarnetsviðmótið.

Fyrsta skrefið er að fá pfSense hugbúnaðinn frá https://www.pfsense.org/download/. Það eru nokkrir mismunandi valkostir í boði eftir tækinu og uppsetningaraðferðinni en þessi handbók mun nota 'AMD64 CD (ISO) Installer'.

Notaðu fellivalmyndina á hlekknum sem gefinn var upp áðan, veldu viðeigandi spegil til að hlaða niður skránni.

Þegar uppsetningarforritinu hefur verið hlaðið niður er annað hvort hægt að brenna það á geisladisk eða afrita það á USB drif með „dd“ tólinu sem fylgir flestum Linux dreifingum.

Næsta ferli er að skrifa ISO á USB drif til að ræsa uppsetningarforritið. Til að ná þessu, notaðu 'dd' tólið innan Linux. Í fyrsta lagi þarf disknafnið að vera staðsett með „lsblk“.

$ lsblk

Með nafn USB-drifsins ákvarðað sem '/dev/sdc', er hægt að skrifa pfSense ISO á drifið með 'dd' tólinu.

$ gunzip ~/Downloads/pfSense-CE-2.4.4-RELEASE-p1-amd64.iso.gz
$ dd if=~/Downloads/pfSense-CE-2.4.4-RELEASE-p1-amd64.iso of=/dev/sdc

Mikilvægt: Ofangreind skipun krefst rótarréttinda svo notaðu 'sudo' eða skráðu þig inn sem rótnotanda til að keyra skipunina. Einnig mun þessi skipun Fjarlægja ALLT á USB drifinu. Vertu viss um að taka öryggisafrit af nauðsynlegum gögnum.

Þegar 'dd' hefur lokið við að skrifa á USB-drifið eða geisladiskurinn hefur verið brenndur skaltu setja miðilinn í tölvuna sem verður sett upp sem pfSense eldveggurinn. Ræstu tölvuna á þann miðil og eftirfarandi skjámynd birtist.

Á þessum skjá skaltu annað hvort leyfa tímamælinum að klárast eða velja 1 til að halda áfram ræsingu í uppsetningarumhverfið. Þegar uppsetningarforritið lýkur ræsingu mun kerfið biðja um allar breytingar sem óskað er eftir á lyklaborðinu. Ef allt birtist á móðurmáli, smelltu einfaldlega á „Samþykkja þessar stillingar“.

Næsti skjár mun veita notandanum möguleika á „Fljóti/Auðveld uppsetning“ eða fullkomnari uppsetningarvalkosti. Í tilgangi þessarar handbókar er mælt með því að nota einfaldlega valkostinn „Fljót/auðveld uppsetning“.

Næsti skjár mun einfaldlega staðfesta að notandinn vilji nota „Quick/Easy Install“ aðferðina sem mun ekki spyrja eins margra spurninga meðan á uppsetningunni stendur.

Fyrsta spurningin sem er líkleg til að koma fram mun spyrja um hvaða kjarna á að setja upp. Aftur er lagt til að „Standard Kernel“ sé sett upp fyrir flesta notendur.

Þegar uppsetningarforritið hefur lokið þessu stigi mun það biðja um endurræsingu. Vertu viss um að fjarlægja uppsetningarmiðilinn líka svo vélin ræsist ekki aftur í uppsetningarforritið.

pfSense stillingar

Eftir endurræsingu og fjarlægingu á CD/USB miðlinum mun pfSense endurræsa í nýuppsettu stýrikerfinu. Sjálfgefið er að pfSense velur viðmót til að setja upp sem WAN tengi með DHCP og láta staðarnetsviðmótið vera óstillt.

Þó að pfSense sé með vefbundið grafískt stillingarkerfi er það aðeins í gangi á staðarnetshlið eldveggsins en í augnablikinu verður staðarnetshliðin óstillt. Það fyrsta sem þarf að gera væri að stilla IP tölu á staðarnetsviðmótinu.

Til að gera þetta skaltu fylgja þessum skrefum:

  • Athugaðu hvaða viðmótsheiti er WAN viðmótið (em0 hér að ofan).
  • Sláðu inn '1' og ýttu á 'Enter' takkann.
  • Sláðu inn 'n' og ýttu á 'Enter' takkann þegar spurt er um VLAN.
  • Sláðu inn nafn viðmótsins sem skráð var í skrefi eitt þegar beðið er um WAN viðmótið eða breyttu í rétt viðmót núna. Aftur þetta dæmi, 'em0' er WAN viðmótið þar sem það verður viðmótið sem snýr að internetinu.
  • Næsta kvaðning biður um staðarnetsviðmótið, sláðu aftur inn rétta viðmótsheitið og ýttu á „Enter“ takkann. Í þessari uppsetningu er 'em1' staðarnetsviðmótið.
  • pfSense mun halda áfram að biðja um fleiri viðmót ef þau eru tiltæk en ef öllum viðmótum hefur verið úthlutað skaltu einfaldlega ýta á „Enter“ takkann aftur.
  • pfSense mun nú biðja um að tryggja að viðmótunum sé rétt úthlutað.


Næsta skref verður að úthluta viðmótunum réttri IP stillingu. Eftir að pfSense fer aftur á aðalskjáinn skaltu slá inn '2' og ýta á 'Enter' takkann. (Vertu viss um að halda utan um viðmótsnöfnin sem WAN og LAN tengin eru úthlutað).

*ATH* Fyrir þessa uppsetningu getur WAN viðmótið notað DHCP án nokkurra vandræða en það gæti verið tilvik þar sem kyrrstætt heimilisfang væri krafist. Ferlið við að stilla kyrrstætt viðmót á WAN myndi vera það sama og staðarnetsviðmótið sem er að fara að stilla.

Sláðu inn '2' aftur þegar beðið er um hvaða viðmót eigi að stilla IP upplýsingar. Aftur 2 er LAN tengið í þessari göngu í gegnum.

Þegar beðið er um það skaltu slá inn IPv4 vistfangið sem þú vilt fyrir þetta viðmót og ýta á „Enter“ takkann. Þetta heimilisfang ætti ekki að vera í notkun annars staðar á netinu og mun líklega verða sjálfgefin gátt fyrir vélarnar sem verða tengdar við þetta viðmót.

Næsta hvetja mun biðja um undirnetsgrímuna á því sem er þekkt sem forskeytisgrímusniði. Fyrir þetta netkerfi verður einfalt /24 eða 255.255.255.0 notað. Ýttu á „Enter“ takkann þegar því er lokið.

Næsta spurning mun spyrja um „Upstream IPv4 Gateway“. Þar sem staðarnetsviðmótið er nú stillt skaltu einfaldlega ýta á „Enter“ takkann.

Næsta hvetja mun biðja um að stilla IPv6 á staðarnetsviðmótinu. Þessi handbók er einfaldlega að nota IPv4 en ef umhverfið krefst IPv6 er hægt að stilla það núna. Annars, einfaldlega að ýta á 'Enter' takkann mun halda áfram.

Næsta spurning mun spyrja um að ræsa DHCP netþjóninn á staðarnetsviðmótinu. Flestir heimilisnotendur þurfa að virkja þennan eiginleika. Aftur gæti þurft að laga þetta eftir umhverfinu.

Þessi handbók gerir ráð fyrir að notandinn vilji að eldveggurinn veiti DHCP þjónustu og úthlutar 51 vistfangi fyrir aðrar tölvur til að fá IP tölu frá pfSense tækinu.

Í næstu spurningu verður spurt um að snúa veftóli pfSense yfir í HTTP samskiptareglur. Það er eindregið hvatt til þess að gera þetta EKKI þar sem HTTPS samskiptareglur munu veita nokkurt öryggi til að koma í veg fyrir birtingu stjórnanda lykilorðs fyrir vefstillingartólið.

Þegar notandinn ýtir á „Enter“ mun pfSense vista viðmótsbreytingarnar og ræsa DHCP þjónustuna á staðarnetsviðmótinu.

Taktu eftir að pfSense mun gefa upp veffangið til að fá aðgang að vefstillingartólinu í gegnum tölvu sem er tengd við staðarnetshlið eldveggstækisins. Þetta lýkur grunnstillingarskrefunum til að gera eldveggstækið tilbúið fyrir fleiri stillingar og reglur.

Aðgangur er að vefviðmótinu í gegnum vafra með því að fletta að IP tölu staðarnetsviðmótsins.

Sjálfgefnar upplýsingar fyrir pfSense þegar þetta er skrifað eru eftirfarandi:

Username: admin
Password: pfsense

Eftir árangursríka innskráningu í gegnum vefviðmótið í fyrsta skipti mun pfSense keyra í gegnum fyrstu uppsetningu til að endurstilla stjórnanda lykilorðið.

Fyrsta beðið er um skráningu á pfSense Gold áskrift sem hefur kosti eins og sjálfvirkt öryggisafrit af stillingum, aðgang að pfSense þjálfunarefninu og reglubundna sýndarfundi með pfSense forriturum. Ekki er þörf á að kaupa Gull áskrift og hægt er að sleppa skrefinu ef þess er óskað.

Eftirfarandi skref mun biðja notandann um frekari stillingarupplýsingar fyrir eldvegginn eins og hýsingarheiti, lén (ef við á) og DNS netþjóna.

Næsta hvetja verður að stilla Network Time Protocol, NTP. Hægt er að skilja eftir sjálfgefna valkosti nema óskað sé eftir öðrum tímaþjónum.

Eftir að NTP hefur verið sett upp mun pfSense uppsetningarhjálpin biðja notandann um að stilla WAN viðmótið. pfSense styður margar aðferðir til að stilla WAN tengi.

Sjálfgefið fyrir flesta heimanotendur er að nota DHCP. DHCP frá netþjónustuveitu notandans er algengasta aðferðin til að fá nauðsynlegar IP stillingar.

Næsta skref mun biðja um uppsetningu á staðarnetsviðmótinu. Ef notandinn er tengdur við vefviðmótið hefur LAN tengið líklega þegar verið stillt.

Hins vegar, ef breyta þarf staðarnetsviðmótinu, myndi þetta skref gera kleift að gera breytingar. Gakktu úr skugga um að muna hvað LAN IP vistfangið er stillt á þar sem þetta er hvernig
stjórnandi mun fá aðgang að vefviðmótinu!

Eins og með alla hluti í öryggisheiminum, eru sjálfgefin lykilorð mikil öryggisáhætta. Næsta síða mun biðja stjórnandann um að breyta sjálfgefna lykilorðinu fyrir „admin“ notandann í pfSense vefviðmótið.

Lokaskrefið felur í sér að endurræsa pfSense með nýju stillingunum. Smelltu einfaldlega á „Endurhlaða“ hnappinn.

Eftir að pfSense hefur verið endurhleðst mun það sýna notandanum lokaskjá áður en hann skráir sig inn á allt vefviðmótið. Smelltu einfaldlega á annað „Smelltu hér“ til að skrá þig inn á allt vefviðmótið.

Loksins er pfSense komið og tilbúið til að setja reglur!

Nú þegar pfSense er komið í gang, mun stjórnandinn þurfa að fara í gegnum og búa til reglur til að leyfa viðeigandi umferð í gegnum eldvegginn. Það skal tekið fram að pfSense hefur sjálfgefið leyfi fyrir öllum reglum. Af öryggisástæðum ætti að breyta þessu en þetta er aftur ákvörðun stjórnanda.

Þakka þér fyrir að lesa í gegnum þessa TecMint grein um pfSense uppsetningu! Fylgstu með greinum í framtíðinni um að stilla suma af fullkomnari valkostum sem til eru í pfSense.