PfSense 2.4.4 -palomuurireitittimen asennus ja määritykset

Internet on pelottava paikka näinä päivinä. Lähes päivittäin tapahtuu uusi nollapäivä, tietoturvaloukkaukset tai lunnasohjelmat, jolloin monet ihmiset ihmettelevät, onko järjestelmiensä suojaaminen mahdollista.

Monet organisaatiot käyttävät satoja tuhansia, ellei miljoonia, dollareita yrittäessään asentaa uusimmat ja parhaat turvallisuusratkaisut infrastruktuurinsa ja tietojensa suojaamiseksi. Kotikäyttäjät ovat kuitenkin taloudellisesti epäedullisessa asemassa. Jopa sadan dollarin sijoittaminen omistettuun palomuuriin on usein useimpien kotiverkkojen ulkopuolella.

Onneksi avoimen lähdekoodin yhteisössä on omistettuja projekteja, jotka edistävät hyvin kotikäyttäjien tietoturvaratkaisuja. Squid- ja pfSense-kaltaiset projektit tarjoavat kaikki yritystason turvallisuuden hyödykkeiden hinnoilla!

PfSense on FreeBSD-pohjainen avoimen lähdekoodin palomuuriratkaisu. Jakelu on vapaasti asennettavissa omiin laitteisiinsa tai pfSensen takana oleva yritys NetGate myy valmiiksi määritettyjä palomuurilaitteita.

Tarvittava pfSense-laitteisto on hyvin vähäinen, ja tyypillisesti vanhempi kotitorni voidaan helposti kohdistaa erilliseksi pfSense-palomuuriksi. Niille, jotka haluavat rakentaa tai ostaa tehokkaamman järjestelmän käyttämään enemmän pfSense-lisäominaisuuksia, on joitain ehdotettuja laitteistominimiä:

  • 500 MHz CPU
  • 1 Gt RAM-muistia
  • 4 Gt tallennustilaa
  • 2 verkkokorttia

  • 1 GHz: n prosessori
  • 1 Gt RAM-muistia
  • 4 Gt tallennustilaa
  • vähintään 2 PCI-e-verkkokortti.

Siinä tapauksessa, että kotikäyttäjä haluaa ottaa käyttöön useita pfSensen lisäominaisuuksia ja -toimintoja, kuten Snort, Anti-Virus-skannaus, DNS: n mustalle listalle, verkkosisällön suodattaminen jne., Suositeltu laitteisto tulee hieman enemmän mukaan.

PfSense-palomuurin ylimääräisten ohjelmistopakettien tukemiseksi on suositeltavaa, että seuraavat laitteistot toimitetaan pfSense: lle:

  • Moderni moniydinsuoritin, joka toimii vähintään 2,0 GHz
  • 4 Gt + RAM-muistia
  • 10 Gt + HD-tilaa
  • 2 tai useampia Intel PCI-e -verkkokortteja

PfSense 2.4.4: n asennus

Tässä osiossa nähdään pfSense 2.4.4: n (viimeisin versio tämän artikkelin kirjoittamisen aikaan) asennus.

pfSense on usein turhauttavaa palomuurien uusille käyttäjille. Monien palomuurien oletuskäyttäytyminen on estää kaikki, hyvät tai huonot. Tämä on hienoa turvallisuuden kannalta, mutta ei käytettävyyden kannalta. Ennen asennuksen aloittamista on tärkeää määritellä lopputavoite ennen kokoonpanojen aloittamista.

Riippumatta siitä, mikä laitteisto on valittu, pfSensen asentaminen laitteistoon on yksinkertainen prosessi, mutta vaatii käyttäjää kiinnittämään tarkkaa huomiota siihen, mitä verkkoliitäntäportteja mihin tarkoitukseen käytetään (LAN, WAN, langaton jne.).

Osa asennusprosessista sisältää käyttäjän kehotuksen aloittamaan lähi- ja WAN-rajapintojen määritykset. Kirjoittaja ehdottaa vain WAN-liitännän kytkemistä, kunnes pfSense on määritetty, ja jatka sitten asennuksen loppuun kytkemällä LAN-liitäntä.

Ensimmäinen vaihe on hankkia pfSense-ohjelmisto osoitteesta https://www.pfsense.org/download/. Laitteesta ja asennustavasta riippuen on olemassa muutama erilainen vaihtoehto, mutta tässä oppaassa käytetään AMD64 CD (ISO) Installer -ohjelmaa.

Valitse aiemmin toimitetun linkin avattavasta valikosta sopiva peili tiedoston lataamiseksi.

Kun asennusohjelma on ladattu, se voidaan joko polttaa CD-levylle tai kopioida se USB-asemaan useimpien Linux-jakelujen sisältämän dd-työkalun avulla.

Seuraava prosessi on kirjoittaa ISO-asema USB-asemaan käynnistämään asennusohjelma. Voit saavuttaa tämän käyttämällä Linuxin dd-työkalua. Ensinnäkin levyn nimen on sijaittava kohdassa 'lsblk'.

$ lsblk

Kun USB-aseman nimeksi määritetään ”/ dev/sdc”, pfSense ISO voidaan kirjoittaa asemalle ”dd” -työkalulla.

$ gunzip ~/Downloads/pfSense-CE-2.4.4-RELEASE-p1-amd64.iso.gz
$ dd if=~/Downloads/pfSense-CE-2.4.4-RELEASE-p1-amd64.iso of=/dev/sdc

Tärkeää: Yllä oleva komento vaatii pääkäyttäjän oikeudet, joten käytä komentoa "sudo" tai kirjautumista pääkäyttäjänä komennon suorittamiseen. Myös tämä komento POISTAA KAIKKI USB-asemasta. Varmista, että varmuuskopioit tarvittavat tiedot.

Kun ”dd” on kirjoittanut USB-asemaan tai CD-levy on poltettu, aseta media tietokoneelle, joka määritetään pfSense-palomuuriksi. Käynnistä tietokone kyseiselle tietovälineelle, ja seuraava näyttö tulee esiin.

Tässä näytössä joko anna ajastimen loppua tai valitse 1 jatkaaksesi käynnistystä asennusohjelmaan. Kun asennusohjelma on käynnistänyt, järjestelmä kehottaa tekemään tarvittavat muutokset näppäimistöasettelussa. Jos kaikki näkyy äidinkielellä, napsauta "Hyväksy nämä asetukset".

Seuraava näyttö antaa käyttäjälle mahdollisuuden valita nopea/helppo asennus tai edistyneemmät asennusvaihtoehdot. Tässä oppaassa on suositeltavaa käyttää yksinkertaisesti 'Nopea/helppo asennus' -vaihtoehtoa.

Seuraava näyttö vahvistaa yksinkertaisesti, että käyttäjä haluaa käyttää 'Quick/Easy Install' -menetelmää, joka ei kysy niin monta kysymystä asennuksen aikana.

Ensimmäinen todennäköisesti esitettävä kysymys koskee asennettavaa ydintä. Jälleen on suositeltavaa asentaa ”Standard Kernel” useimmille käyttäjille.

Kun asennusohjelma on suorittanut tämän vaiheen, se pyytää uudelleenkäynnistystä. Poista myös asennusväline, jotta kone ei käynnisty takaisin asennusohjelmaan.

pfSense-määritykset

Uudelleenkäynnistyksen ja CD/USB-tallennusvälineen poistamisen jälkeen pfSense käynnistyy uudelleen juuri asennettuun käyttöjärjestelmään. Oletusarvoisesti pfSense valitsee liitännän, joka asetetaan WHC-liitännäksi DHCP: n kanssa, ja jättää LAN-liitännän määrittämättä.

Vaikka pfSense: llä on web-pohjainen graafinen määritysjärjestelmä, se toimii vain palomuurin LAN-puolella, mutta tällä hetkellä LAN-puolta ei ole määritetty. Ensimmäinen asia on asettaa IP-osoite LAN-rajapintaan.

Voit tehdä tämän seuraavasti:

  • Ota huomioon, mikä käyttöliittymän nimi on WAN-liitäntä (em0 yllä).
  • Kirjoita ”1” ja paina ”Enter” -näppäintä.
  • Kirjoita n ja paina Enter-näppäintä, kun sinulta kysytään VLAN-verkkoista.
  • Kirjoita vaiheessa 1 tallennettu käyttöliittymän nimi, kun sinua pyydetään WAN-käyttöliittymään, tai vaihda oikeaan käyttöliittymään nyt. Tässäkin esimerkissä 'em0' on WAN-käyttöliittymä, koska se on Internetiin päin oleva käyttöliittymä
  • Seuraava kehote pyytää lähiverkkoliitäntää, kirjoita jälleen oikea käyttöliittymän nimi ja paina Enter-näppäintä. Tässä asennuksessa ”em1” on LAN-liitäntä.
  • pfSense pyytää jatkossakin lisää käyttöliittymiä, jos niitä on käytettävissä, mutta jos kaikki käyttöliittymät on määritetty, paina vain Enter-näppäintä uudelleen.
  • pfSense kehottaa nyt varmistamaan, että rajapinnat on määritetty oikein.


Seuraava vaihe on liittymien määrittäminen oikea IP-kokoonpano. Kun pfSense palaa päänäyttöön, kirjoita ”2” ja paina ”Enter” -näppäintä. (Muista pitää kirjaa WAN- ja LAN-rajapinnoille määritetyistä käyttöliittymien nimistä.)

* HUOMAUTUS * Tätä asennusta varten WAN-liitäntä voi käyttää DHCP: tä ilman ongelmia, mutta joissakin tapauksissa tarvitaan staattinen osoite. Staattisen käyttöliittymän määritysprosessi WAN-verkossa olisi sama kuin konfiguroitava LAN-liitäntä.

Kirjoita ”2” uudelleen, kun sinua pyydetään valitsemaan käyttöliittymä IP-tietojen asettamiseksi. Jälleen 2 on LAN-liitäntä tässä läpikäynnissä.

Kirjoita pyydettäessä tälle liitännälle haluttu IPv4-osoite ja paina Enter-näppäintä. Tätä osoitetta ei pitäisi käyttää missään muualla verkossa, ja siitä tulee todennäköisesti oletusyhdyskäytävä isännöille, jotka liitetään tähän käyttöliittymään.

Seuraava kehote pyytää aliverkon peitettä ns. Etuliitemaskimuodossa. Tässä esimerkkiverkossa käytetään yksinkertaista/24 tai 255.255.255.0. Napsauta Enter-näppäintä, kun olet valmis.

Seuraava kysymys koskee 'Upstream IPv4 -yhdyskäytävää'. Koska lähiverkkoliitäntä on tällä hetkellä määritetty, paina vain Enter-näppäintä.

Seuraava kehote pyytää määrittämään IPv6: n LAN-liitännässä. Tämä opas käyttää yksinkertaisesti IPv4: ää, mutta jos ympäristö vaatii IPv6: n, se voidaan määrittää nyt. Muussa tapauksessa yksinkertaisesti Enter-näppäimen painaminen jatkuu.

Seuraava kysymys koskee DHCP-palvelimen käynnistämistä lähiverkkoliitännässä. Useimpien kotikäyttäjien on otettava tämä ominaisuus käyttöön. Jälleen tätä saatetaan joutua säätämään ympäristöstä riippuen.

Tässä oppaassa oletetaan, että käyttäjä haluaa palomuurin tarjoavan DHCP-palveluja, ja jakaa 51 osoitetta muille tietokoneille IP-osoitteen saamiseksi pfSense-laitteelta.

Seuraava kysymys pyytää palauttamaan pfSense-verkkotyökalun HTTP-protokollaan. On erittäin suositeltavaa, ettet tee tätä, koska HTTPS-protokolla tarjoaa jonkin verran suojausta estääksesi verkon määritystyökalun järjestelmänvalvojan salasanan paljastamisen.

Kun käyttäjä napsauttaa Enter-näppäintä, pfSense tallentaa käyttöliittymämuutokset ja käynnistää DHCP-palvelut lähiverkkoliitännässä.

Huomaa, että pfSense antaa verkko-osoitteen päästäksesi verkon määritystyökaluun palomuurilaitteen LAN-puolelle liitetyn tietokoneen kautta. Tämä päättää perusmääritysvaiheet, joiden avulla palomuuri-laite on valmis määrityksiä ja sääntöjä varten.

Verkkoliitäntään pääsee verkkoselaimen kautta siirtymällä LAN-käyttöliittymän IP-osoitteeseen.

PfSensen oletustiedot tämän kirjoituksen ajankohtana ovat seuraavat:

Username: admin
Password: pfsense

Ensimmäisen kerran onnistuneen kirjautumisen jälkeen verkkokäyttöliittymän kautta pfSense suorittaa alkuasetukset nollatakseen järjestelmänvalvojan salasanan.

Ensimmäinen kehote on rekisteröinti pfSense Gold -tilaukseen, jolla on etuja, kuten automaattinen kokoonpanon varmuuskopiointi, pääsy pfSense-koulutusmateriaaleihin ja säännölliset virtuaalikokoukset pfSense-kehittäjien kanssa. Kulta-tilauksen ostaminen ei ole pakollista, ja vaihe voidaan ohittaa haluttaessa.

Seuraava vaihe kysyy käyttäjältä lisätietoja palomuurin kokoonpanotiedoista, kuten isäntänimi, toimialueen nimi (jos käytettävissä) ja DNS-palvelimet.

Seuraava kehote on määritetty verkon aikaprotokolla, NTP. Oletusasetukset voidaan jättää, ellei toista aikapalvelinta tarvita.

NTP: n asettamisen jälkeen ohjattu pfSense-asennustoiminto kehottaa käyttäjää määrittämään WAN-käyttöliittymän. pfSense tukee useita menetelmiä WAN-käyttöliittymän määrittämiseen.

Useimpien kotikäyttäjien oletusarvo on käyttää DHCP: tä. Käyttäjän Internet-palveluntarjoajan DHCP on yleisin menetelmä tarvittavan IP-kokoonpanon saamiseksi.

Seuraava vaihe pyytää LAN-käyttöliittymän määritystä. Jos käyttäjä on kytketty verkkoliitäntään, LAN-liitäntä on todennäköisesti jo määritetty.

Jos lähiverkkoliitäntää on kuitenkin muutettava, tämä vaihe mahdollistaisi muutosten tekemisen. Muista muistaa, mihin LAN-IP-osoite on asetettu, sillä näin
järjestelmänvalvoja käyttää web-käyttöliittymää!

Kuten kaikki turvallisuusmaailman asiat, oletussalasanat ovat äärimmäinen turvallisuusriski. Seuraava sivu kehottaa järjestelmänvalvojaa vaihtamaan järjestelmänvalvojan käyttäjän oletussalasanan pfSense-verkkokäyttöliittymään.

Viimeinen vaihe sisältää pfSense-ohjelman uudelleenkäynnistyksen uusilla kokoonpanoilla. Napsauta vain 'Lataa' -painiketta.

Kun pfSense on ladattu uudelleen, se näyttää käyttäjälle viimeisen näytön ennen sisäänkirjautumista koko verkkokäyttöliittymään. Napsauta toista napsauttamalla tätä napsauttamalla sisäänkirjautumista koko verkkokäyttöliittymään.

Viimeinkin pfSense on valmis ja valmis määrittämään säännöt!

Nyt kun pfSense on käynnissä, järjestelmänvalvojan on käytävä läpi ja luotava säännöt, jotta asianmukainen liikenne sallitaan palomuurin läpi. On huomattava, että pfSense: llä on oletusarvoinen salli kaikki -sääntö. Turvallisuussyistä tätä tulisi muuttaa, mutta tämä on taas järjestelmänvalvojan päätös.

Kiitos, kun luet tämän TecMint-artikkelin pfSense-asennuksesta! Pysy kuulolla tulevista artikkeleista, jotka koskevat joidenkin pfSenseen saatavilla olevien lisäasetusten määrittämistä.