Поиск по сайту:

Установка и настройка маршрутизатора межсетевого экрана pfSense 2.4.4

Интернет в наши дни — страшное место. Почти ежедневно происходят новые нулевой день, нарушения безопасности или программы-вымогатели, заставляя многих людей задаваться вопросом, можно ли защитить свои системы.

Многие организации тратят сотни тысяч, если не миллионы долларов, пытаясь установить новейшие и лучшие решения безопасности для защиты своей инфраструктуры и данных. Однако домашние пользователи находятся в невыгодном финансовом положении. Вложение даже ста долларов в выделенный межсетевой экран зачастую выходит за рамки возможностей большинства домашних сетей.

К счастью, в сообществе разработчиков программного обеспечения с открытым исходным кодом есть специальные проекты, которые добиваются больших успехов в области решений для обеспечения безопасности домашних пользователей. Такие проекты, как IPfire, Snort, Squid и pfSense, обеспечивают безопасность корпоративного уровня по доступной цене!

PfSense — это межсетевой экран с открытым исходным кодом на базе FreeBSD. Дистрибутив можно бесплатно установить на собственное оборудование или компания NetGate, разработавшая pfSense, продает предварительно настроенные брандмауэры.

Требуемое оборудование для pfSense очень минимально, и обычно старую домашнюю вышку можно легко переоборудовать в выделенный межсетевой экран pfSense. Для тех, кто хочет создать или приобрести более мощную систему для использования большего количества расширенных функций pfSense, есть несколько рекомендуемых минимальных аппаратных средств:

Минимум аппаратного обеспечения

  • Процессор 500 МГц
  • 1 ГБ ОЗУ
  • 4 ГБ памяти
  • 2 сетевые карты

Рекомендуемое оборудование

  • Процессор 1 ГГц
  • 1 ГБ ОЗУ
  • 4 ГБ памяти
  • 2 или более сетевых карт PCI-e.

Предложения по оборудованию для серьезных домашних пользователей (и предприятий)

В случае, если домашний пользователь хочет включить многие дополнительные функции и функции pfSense, такие как Snort, антивирусное сканирование, черный список DNS, фильтрация веб-контента, и т. д. рекомендуемое оборудование становится немного более сложным.

Для поддержки дополнительных пакетов программного обеспечения на брандмауэре pfSense рекомендуется предоставить pfSense следующее оборудование:

  • Современный многоядерный процессор с тактовой частотой не менее 2,0 ГГц.
  • 4 ГБ+ ОЗУ
  • Более 10 ГБ HD-пространства
  • 2 или более сетевых карт Intel PCI-e

Установка pfSense 2.4.4

В этом разделе мы увидим установку pfSense 2.4.4 (последняя версия на момент написания статьи).

Установка лаборатории

pfSense часто разочаровывает пользователей, плохо знакомых с брандмауэрами. По умолчанию многие брандмауэры блокируют все, хорошее или плохое. Это здорово с точки зрения безопасности, но не с точки зрения удобства использования. Прежде чем приступить к установке, важно сформулировать конечную цель, прежде чем приступать к настройке.

Загрузка pfSense

Независимо от того, какое оборудование выбрано, установка pfSense на оборудование — это простой процесс, но он требует от пользователя пристального внимания к тому, какие порты сетевого интерфейса будут использоваться для каких целей (LAN, WAN, Wireless и т. д.).

Часть процесса установки будет включать в себя предложение пользователю начать настройку интерфейсов LAN и WAN. Автор предлагает подключать WAN-интерфейс только до тех пор, пока не будет настроен pfSense, а затем приступить к завершению установки, подключив LAN-интерфейс.

Первым шагом является получение программного обеспечения pfSense с https://www.pfsense.org/download/. В зависимости от устройства и метода установки доступно несколько различных вариантов, но в этом руководстве будет использоваться «Установщик с компакт-диска AMD64 (ISO)».

Используя раскрывающееся меню по ссылке, предоставленной ранее, выберите подходящее зеркало для загрузки файла.

После загрузки установщика его можно либо записать на компакт-диск, либо скопировать на USB-накопитель с помощью инструмента «dd», включенного в большинство дистрибутивов Linux.

Следующий процесс — запись ISO на USB-накопитель для загрузки установщика. Для этого используйте инструмент «dd» в Linux. Во-первых, имя диска должно быть найдено с помощью «lsblk».


lsblk

Если имя USB-накопителя определено как «/dev/sdc», ISO-образ pfSense можно записать на диск с помощью инструмента «dd».


gunzip ~/Downloads/pfSense-CE-2.4.4-RELEASE-p1-amd64.iso.gz
dd if=~/Downloads/pfSense-CE-2.4.4-RELEASE-p1-amd64.iso of=/dev/sdc

Важно! Для приведенной выше команды требуются права root, поэтому используйте «sudo» или войдите в систему как пользователь root, чтобы запустить команду. Также эта команда УДАЛИТ ВСЕ на USB-накопителе. Обязательно сделайте резервную копию необходимых данных.

Установка pfSense

После завершения записи «dd» на USB-накопитель или записи компакт-диска вставьте носитель в компьютер, который будет настроен в качестве брандмауэра pfSense. Загрузите компьютер с этого носителя, и появится следующий экран.

На этом экране либо дождитесь окончания таймера, либо выберите 1, чтобы продолжить загрузку среды установщика. Как только установщик завершит загрузку, система предложит внести необходимые изменения в раскладку клавиатуры. Если все отображается на родном языке, просто нажмите «Принять эти настройки».

На следующем экране пользователю будет предложена опция «Быстрая/простая установка» или более сложные варианты установки. Для целей данного руководства предлагается просто использовать опцию «Быстрая/простая установка».

На следующем экране будет просто подтверждено, что пользователь желает использовать метод «Быстрая/простая установка», который не будет задавать так много вопросов во время установки.

Первый вопрос, который, скорее всего, будет задан, будет касаться того, какое ядро установить. Опять же, большинству пользователей рекомендуется установить «Стандартное ядро».

Когда установщик завершит этот этап, он предложит перезагрузку. Обязательно извлеките также установочный носитель, чтобы компьютер не загрузился обратно в установщик.

Конфигурация pfSense

После перезагрузки и извлечения компакт-диска/USB-носителя pfSense перезагрузится в новую установленную операционную систему. По умолчанию pfSense выберет интерфейс для настройки в качестве интерфейса WAN с DHCP и оставит интерфейс LAN ненастроенным.

Хотя pfSense имеет веб-систему графической настройки, она работает только на стороне локальной сети брандмауэра, но на данный момент сторона локальной сети не настроена. Первое, что нужно сделать, это установить IP-адрес на интерфейсе LAN.

Для этого выполните следующие действия:

  • Введите n и нажмите клавишу Enter, когда вас спросят о VLAN.
  • Введите имя интерфейса, записанное на первом шаге, когда будет предложено указать интерфейс WAN, или измените его на правильный интерфейс сейчас. Опять же, в этом примере «em0» — это интерфейс WAN, поскольку это будет интерфейс, обращенный к Интернету.
  • В следующем запросе будет предложено указать интерфейс локальной сети. Еще раз введите правильное имя интерфейса и нажмите клавишу Enter. В этой установке em1 — это интерфейс локальной сети.
  • pfSense продолжит запрашивать дополнительные интерфейсы, если они доступны, но если все интерфейсы были назначены, просто снова нажмите клавишу Enter.
  • pfSense теперь предложит убедиться, что интерфейсы назначены правильно.

  • Если интерфейсы указаны правильно, введите y и нажмите клавишу Enter.


    • Следующим шагом будет назначение интерфейсам правильной конфигурации IP. После того как pfSense вернется на главный экран, введите и нажмите клавишу Enter. (Обязательно следите за именами интерфейсов, присвоенными интерфейсам WAN и LAN).

    *ПРИМЕЧАНИЕ* Для этой установки интерфейс WAN может без проблем использовать DHCP, но могут быть случаи, когда потребуется статический адрес. Процесс настройки статического интерфейса в глобальной сети будет таким же, как и для интерфейса LAN, который будет настроен.

    Введите ’2’ еще раз, когда будет предложено указать интерфейс для установки информации IP. И снова 2 — это интерфейс локальной сети в этом пошаговом руководстве.

    При появлении запроса введите IPv4-адрес, необходимый для этого интерфейса, и нажмите клавишу Enter. Этот адрес не должен использоваться где-либо еще в сети и, скорее всего, станет шлюзом по умолчанию для хостов, которые будут подключены к этому интерфейсу.

    В следующем запросе будет запрошена маска подсети в так называемом формате маски префикса. В этом примере сети будет использоваться простой /24 или 255.255.255.0. Когда закончите, нажмите клавишу «Enter».

    Следующий вопрос будет касаться «восходящего шлюза IPv4». Поскольку интерфейс локальной сети в настоящее время настроен, просто нажмите клавишу «Enter».

    В следующем запросе будет предложено настроить IPv6 на интерфейсе локальной сети. В этом руководстве просто используется IPv4, но если среда требует IPv6, его можно настроить сейчас. В противном случае простое нажатие клавиши «Enter» продолжится.

    Следующий вопрос будет касаться запуска DHCP-сервера на интерфейсе LAN. Большинству домашних пользователей необходимо включить эту функцию. Опять же, возможно, потребуется корректировка в зависимости от окружающей среды.

    В этом руководстве предполагается, что пользователь захочет, чтобы брандмауэр предоставлял услуги DHCP, и выделит 51 адрес другим компьютерам для получения IP-адреса от устройства pfSense.

    Следующий вопрос потребует вернуть веб-инструмент pfSense на протокол HTTP. Настоятельно рекомендуется НЕ делать этого, поскольку протокол HTTPS обеспечит определенный уровень безопасности, предотвращающий раскрытие пароля администратора для инструмента веб-конфигурации.

    Как только пользователь нажмет «Enter», pfSense сохранит изменения интерфейса и запустит службы DHCP на интерфейсе LAN.

    Обратите внимание, что pfSense предоставит веб-адрес для доступа к инструменту веб-конфигурации через компьютер, подключенный к локальной сети брандмауэра. На этом базовые этапы настройки завершаются, чтобы подготовить брандмауэр к дополнительным конфигурациям и правилам.

    Доступ к веб-интерфейсу осуществляется через веб-браузер путем перехода по IP-адресу интерфейса локальной сети.

    Информация по умолчанию для pfSense на момент написания статьи следующая:

    
Username: admin
Password: pfsense

    После успешного входа в систему через веб-интерфейс в первый раз pfSense выполнит первоначальную настройку для сброса пароля администратора.

    Первое приглашение — это регистрация в золотой подписке pfSense, которая имеет такие преимущества, как автоматическое резервное копирование конфигурации, доступ к учебным материалам pfSense и периодические виртуальные встречи с разработчиками pfSense. Покупка подписки Gold не требуется, и при желании этот шаг можно пропустить.

    На следующем шаге пользователю будет предложено предоставить дополнительную информацию о конфигурации брандмауэра, такую как имя хоста, имя домена (если применимо) и DNS-серверы.

    Следующим запросом будет настройка Протокол сетевого времени, NTP. Параметры по умолчанию можно оставить, если не требуются другие серверы времени.

    После настройки NTP мастер установки pfSense предложит пользователю настроить WAN-интерфейс. pfSense поддерживает несколько методов настройки интерфейса WAN.

    По умолчанию для большинства домашних пользователей используется DHCP. DHCP от интернет-провайдера пользователя является наиболее распространенным методом получения необходимой конфигурации IP.

    На следующем шаге будет предложено настроить интерфейс LAN. Если пользователь подключен к веб-интерфейсу, скорее всего, интерфейс LAN уже настроен.

    Однако если интерфейс локальной сети необходимо изменить, этот шаг позволит внести изменения. Обязательно запомните, какой IP-адрес установлен в локальной сети, поскольку именно так
    администратор получит доступ к веб-интерфейсу!

    Как и все в мире безопасности, пароли по умолчанию представляют собой серьезную угрозу безопасности. На следующей странице администратору будет предложено изменить пароль по умолчанию для пользователя «admin» для веб-интерфейса pfSense.

    Последний шаг включает перезапуск pfSense с новыми конфигурациями. Просто нажмите кнопку «Обновить».

    После перезагрузки pfSense он представит пользователю последний экран перед входом в полный веб-интерфейс. Просто нажмите вторую кнопку «Нажмите здесь», чтобы войти в полный веб-интерфейс.

    Наконец-то pfSense запущен и готов к настройке правил!

    Теперь, когда pfSense запущен и работает, администратору необходимо будет создать правила, позволяющие пропускать соответствующий трафик через брандмауэр. Следует отметить, что в pfSense по умолчанию установлено правило «разрешить все». В целях безопасности это следует изменить, но это снова решение администратора.

    Читайте также: установите и настройте pfBlockerNg для черного списка DNS в брандмауэре pfSense

    Благодарим вас за прочтение этой статьи TecMint об установке pfSense! Следите за обновлениями для будущих статей о настройке некоторых более продвинутых параметров, доступных в pfSense.