Pfsense русский интерфейс: Установка pfSense 2.4 | iTDeer.ru
Настройка шлюза на базе Pfsense. Часть 1 / Хабр
Что всегда заметит каждый пользователь? Правильно, отсутствие интернета. Но как? «Вконтакте» не грузится — значит, интернета нет. Но ведь бывает, что директор или бравые богатыри из отдела ИБ хотят что-то запретить, что-то собрать, где-то проконтролировать. И тут администратор начинает танцевать вокруг шлюза в интернет. Если в компании много денег, то танцы могут быть длительными и с галантными кавалерами (мар Checkpoint, мистер PaloAlto, господин SonicWall). А вот что делать, если денег только на железо, функционала хотят много, а делать надо быстро? Бежать. На помощь приходит Mr Proper Pfsense, активно поддерживаемый сообществом бесплатный, гибкий и несложный в настройке межсетевой экран на базе FreeBSD.
В первой части рассмотрим классику жанра — межсетевой экран с прокси (аутентификация по учетным данным Active Directory) и фильтрацией контента, а также какой-никакой антивирусной проверкой трафика налету. Отдельно рассмотрим вопрос настройки удаленного доступа пользователей к сети предприятия.
Если будет интерес, могу написать вторую часть инструкции по развертыванию, где рассмотрю вопросы балансировки между несколькими провайдерами, создания и одновременной работы двух шлюзов, а также добавления фич безопасности типа IPS/IDS, фильтр спама, более кошерной фильтрации средствами Dansguardian, сниффинга IM и HTTPS контента и много чего еще интересного.
Для уменьшения возможного холивара: «Да, это можно сделать на %yourdistrname%» и «Да, все можно настроить из командной строки». Так, все формальности соблюдены — можно начинать.
Установку сделаем с флешки. Для этого используем образ pfSense-memstick-2.2.2-RELEASE-i386.img.gz, скачанный с одного из зеркал, указанных на официальном сайте. Очень удобно, что сначала мы выбираем архитектуру, функционал, а потом уже нам предлагают список зеркал. Процесс установки детально расписывать не буду, там все элементарно, никаких дополнительных настроек не нужно. По окончанию установки вам предложат назначить VLAN и определить интерфейсы, а также их назначение. Выглядит это примерно так:
После настройки интерфейсов мы попадаем в меню с ограниченным числом пунктов, однако есть возможность выйти в шелл. На мой взгляд, самым полезным пуктом меню является возможность сброса пароля на веб-морду. Разработчики pfsense настоятельно рекомендуют проводить всю настройку только через графический интерфейс. А выглядит он достаточно симпатично, набор виджетов широк, можно кастомизировать их набор под себя.
Первым делом создаем свой внутренний CA на pfsense или используем уже имеющийся. Для этого в меню System выбираем Cert Manager и в разделе CA проводим необходимые настройки: нужно указать длину ключа, алгоритм хэширования, время жизни и полное имя CA. Настроенный CA будет нам нужен для создания OpenVPN-сервера и для работы по LDAPS.
Теперь интегрируем наш шлюз с Active Directory. В разделе Servers блока User Manager из меню System были проведены настройки на использование контроллера домена. Все до безобразия просто — указал адрес, транспорт, область поиска, контейнеры с учетками, креды для создания привязки и шаблон для заполнения Microsoft AD — можно выпускать кракена пользователей в интернет.
Перейдем к настройке правил фильтрации трафика. Во-первых, если требуется любая группировка адресов, портов, URL, тогда добро пожаловать на вкладку Aliases. Во-вторых, вы можете настроить временные промежутки, которые можно использовать для работы правил. По умолчанию создано правило «всем везде все можно», а также правило, которое не дает заблочить доступ к веб-морде. Создание правил выглядит довольно буднично:
Однако есть ряд дополнительных возможностей, например, разрешенные ОС, какие могут быть выставлены TCP-флаги, график работы правила, а также инспектор протоколов прикладного уровня.
Настройка удаленного доступа OpenVPN с аутентификацией по паролю в локальной базе и сертификату можно посмотреть тут — www.youtube.com/watch?v=VdAHVSTl1ys. Выбор протоколов удаленного доступа невелик — IPSec, L2TP, PPTP и OpenVPN. При выборе PPTP сам pfsense напишет Вам, что протокол небезопасен и лучше выбрать другой.
Аутентификация в локальной базе была выбрана с целью сохранения возможности удаленного подключения в случае каких-либо неполадок с серверами каталогов.
Для экспорта настроек OpenVPN для устройств на разных платформах нужно установить пакет OpenVPN Client Export Utility, который есть в списке доступных для установки пакетов. Теперь возвращаемся к истокам – во вкладку Cert Manager, там создаем сертификат для сервера VPN и каждого клиента. Разница только в типе сертификата.
Переходим к настройке сервера OpenVPN. Выбираем режим работы сервера – в моем случае «Remote Access (SSL/TLS + User Auth)», сервер аутентификации, протокол, порт, нужный сертификат сервера VPN и выставляем нужные параметры шифрования. То, что предлагается по умолчанию — не лучший выбор.
Дальше настраиваем VPN-сеть и выставляем настройки для клиентов. Тут мы можем определить, стоит ли выдавать клиенту DNS-сервера, весь ли трафик клиента гнать в туннель и т.д. После этого сохраняемся и отправляемся на вкладку client export. Отсюда мы экспортируем нужные для подключения настройки и сертификат пользователя.
Кстати, при настройке сервера можно было воспользоваться Wizardом, который провел бы Вас через все “печали и невзгоды” настройки OpenVPN. Некий аналог кнопки “Сделать хорошо”.
Конечно, если у вас многим пользователям нужен удаленный доступ, то работа по выдаче и отзову сертификатов, экспорту настроек, заведению пользователей в локальную базу превратиться в очень скучное, но ответственное задание. Считаю, что при подобных требованиях к масштабированию необходимо наличие отдельного CA с CRL и единой базы аутентификации, типа Active Directory. Но если пользователей мало, то предложенный выше вариант вполне работоспособен.
Нам осталось настроить прокси, фильтрацию контента и антивирусную проверку. Устанавливаем HAVP-пакет – это прокси с ClamAV сканером. Для настройки указываем режим работы ClamAV и прокси, порт, интерфейс, настройки проверки проходящего трафика. Поскольку планируется использование squid, то наш режим работы — «Parent for Squid». Отдельно настраиваем параметры обновления антивирусной базы и ее зеркала.
Переходим к настройке Squid. После установки пакета выбираем режим работы прокси и порт, затем на вкладке «Auth Settings» указываем используемый метод аутентификации. Поскольку у нас стоит задача использования Active Directory в качестве базы пользователей, то используем протокол LDAP. Настройки для интеграции с контроллером домена представлены ниже.
При необходимости настраиваем параметры вышестоящего прокси, управления кэшем и трафиком, а также ACL. Я, например, в whitelist вносил *microsoft.com/* для нормальной работы обновлений и активации ОС, и то не сканало. Но об этом чуть ниже.
Теперь фильтрация – настраиваем squidGuardian. По подходам к фильтрации в принципе есть хорошая статья – «To-do: Фильтруем вся и всё». После установки squidGuardian через пункт «Proxy filter» меню «Services» переходим к его настройке. На вкладке «Blacklist» указываем откуда качать сами блэклисты в формате tar или tar.gz, а также на вкладке «General settings» ставим галочку для включения использования блэклистов. Я использовал бесплатные блэклисты отсюда. В случае необходимости работы контентного фильтра по времени, промежутки можно задать на вкладке Times. Дальше уже настраиваете общие или групповые ACL, главное не забыть поставить галочку напротив запрета использования IP-адресов в URL. Для настройки правил фильтрации нужно нажать «Target Rules List» и выбрать действия для нужных категорий, а также действие по умолчанию.
Если у вас есть необходимость в создании собственных категорий, то можно воспользоваться страничкой «Target Categories». После сохранения ваша категория появится в общем перечне правил. Я создавал свою категорию для разрешения доступа к ресурсам по IP-адресам, у которых нет DNS-имени.
А теперь ложка дегтя. Вполне допускаю, что проблемы вызваны собственной кривизной рук, но все же. Если кто-то из сообщества сможет подсказать какие-то решения, то я буду крайне признателен.
1. Разработчики давно обещают, но пока так и не сделали поддержку L2TP over IPSec.
2. Проблемы при попытке срастить pfsense для использования сертификатов AD CS. Я читал обсуждение отсюда, но так и не смог победить мелкомягкого дракона.
3. Проблемы работы клиент-банков в случае, если у вас есть балансировка между провайдерами.
4. Если у вас указана аутентификация пользователей через AD, а контроллер домена недоступен, то ваш встроенный(!!!) админ pfsense также откажется работать. Есть обсуждение на форуме, люди пишут скрипты на php для решения вопроса, но это не является рекомендуемым решением.
5. Видимо тут мои личные проблемы с кириллицей. Во-первых, не работает аутентификация в случае использования пароля в кириллической раскладке. Во-вторых, проблемы в отображении имен контейнеров AD на кириллице.
6. Несмотря на все усилия, время от времени возникают проблемы с сервисами от Microsoft. Чаще всего не работает активация ОС. Думаю, тут все же необходимо будет поправить конфиг squid вручную.
В заключении хотел бы отметить, что данный дистрибутив импонирует мне широким функционалом и гибкостью, очень легко клонировать настройки на несколько шлюзов, есть возможность сделать embedded решения. Конечно, полная настройка через веб ИМХО не есть хорошо, но может именно таким образом разработчики огораживают начинающих админов от болезненных ударов граблей разной высоты.
Первоначальная настройка pfSense после установки
Добрый день всем, кто оказался на данном сайте. Продолжаем разбирать pfSense. В прошлый раз я писал о том, как установить pfSense на сервер. Теперь пришло время разобрать, как его настроить. В данной статье разберем лишь начальную настройку после установки, так как все возможности pfSense описать будет довольно таки сложно и все зависит от ваших личных предпочтений. То есть, для чего именно вам нужен pfSense. Так как, некоторые его устанавливают только в качестве роутера, а некоторые строят на его основе высоконагруженный маршрутизатор. Я и сам пользовался им когда у себя дома держал сервер с сайтом. Сейчас использую Mikrotik, и могу сказать, что pfSense не чем не хуже, а некоторыми моментами даже удобней. Хотя, это дело вкуса.
Настройка pfSense
И так, вернемся к настройке. После установки pfSense вы попадаете в веб-интерфейс введя ip адрес в браузере. Далее, перед вами появится меню веб-интерфейса pfSense. Можно сразу перейти к настройке локализации и перевести интерфейс на Русский язык. Как это сделать, читайте в предыдущей статье про установку. А в этой статье для наглядности будем использовать Английский интерфейс. И так, первым делом нажимаем кнопку “Next” в приветственном окне:
После чего еще раз нажимаем эту кнопку в окне про поддержку pfSense, которая кстати говоря является платной:
Настройка DNS
Далее нужно заполнить поля “Hostname, Domain и DNS”. Тут собственно все просто. В поле “Hostname” вписываем любое название системы, которое вы только захотите. Я же оставлю по умолчанию, то есть pfSense. После чего нужно вписать в поле “Domain” имя, я же оставлю как есть. То есть “localdomain”. Далее вписываем DNS, тут можно использовать как свои DNS, так и публичные. Что это значит? Если у вас имеется сервер с VPN, вы на него можете установить например DNSCRYPT и указать в настройке именно его. Так же можно использовать например OpenDNS ( 208.67.222.222 и 208.67.220.220) или Google DNS (8.8.8.8 и 8.8.4.4). Можно использовать так же DNS.Watch (84.200.69.80 и 84.200.70.40), Яндекс.DNS (77.88.8.8 и 77.88.8.1) или Comodo Secure DNS (8.26.56.26 и 8.20.247.20). Я же в свою очередь возьму DNS.Watch, после чего нажимаем кнопку “Next”:
Обратите внимания на пункт “Overide DNS”, ставить там галочку или нет, решать вам. Этот пункт отвечает за перезапись DNS провайдера. Лично я всегда отмечал этот пункт.
Выбор временной зоны
Следующим этапом будет настройка временной зоны. Тут все просто, в пункте “Timezone” из выпадающего списка достаточно выбрать ваш часовой пояс. Пункт “Time server hostname” можно оставить без изменений. А вот если вы настраиваете pfSense в каком нибудь филиале, то рекомендую выбрать в пункте “Timezone” часовой пояс “Etc/UTC”. Далее нажимаем “Next” и переходим к настройке сети:
Настройка сети
С настройкой сети не все так просто. Все зависит от того, какой у вас провайдер и какой ip он выдает. В данном примере я разберу настройку динамического (PPPoE) и статического ip адреса. Думаю, это то что вам в любом случае будет интересно. Хотя бы даже просто для собственного развития. И так, для настройки статического ip адреса нужно в пункте “SelectedType” из выпадающего списка выбрать “Static”:
Статический ip
Далее переходим к пункту “Static IP Configuration” и заполняем соответствующие поля. Вписываем в эти поля данные, которые были выданы вашим провайдером (IP Адрес), а так же не забудьте указать маску сети и шлюз. Далее спускаемся вниз страницы и нажимаем кнопку “Next”.
Динамический ip
Для настройки динамического ip адреса (PPPoE), в пункте “SelectedType” выбираем из выпадающего списка PPPoE. После чего переходим к пункту “PPPoE Configuration” и заполняем поля. Вписываем ваш логин и пароль после чего так же спускаемся вниз страницы и нажимаем кнопку “Next”:
Что касается остальных настроек, то их можно оставить по умолчанию. Для настройки DHCP достаточно просто спустится вниз страницы и нажать кнопку “Next”. Что собственно я и сделал.
Следующим этапом настройки будет внутренняя сеть. По большому счету, можно оставить все по умолчанию, главное, обратите внимания на маску сети:
Пароль админа
Далее нужно задать новый пароль для админа. Это тот пароль, по которому вы входите в веб-интерфейс. Пароль все же настоятельно рекомендую изменить для вашей же безопасности и задать его не просто “123”, а придумать какой нибудь посложней. Главное, потом сами не забудьте его:
Заключение
Ну и последний пункт перезагрузка системы для применения настроек. Для этого нужно нажать кнопку “Reload”, после чего система перезапуститься:
После удачной перезагрузки pfSense можно пробежаться по настройкам firewall или VPN. А можно и proxy настроить. Но об этом как нибудь в одной из следующих статей. По возможности постараюсь написать в первую очередь про настройку firewall на pfSense. Так как это пожалуй один из важнейших пунктов.
А на этом сегодня все. Надеюсь данная статья будет вам полезна.
С уважением Cyber-X
PfSense — Роутер своими руками — Технический блог
Домашние роутеры старше 2-х лет перестали справляться с современными тарифами предлагаемыми провайдерами. А именно режут скорость за долго до ограничений по тарифному плану. Эта статья для тех, кому поставщик интернета предоставляет трафик сравнимый со скоростью Ethernet порта, а именно 100 Мегабит в секунду. Причем с использованием ресурсоемких для домашних маршрутизаторов протоколов L2TP и PPTP.
Я все свои эксперименты проводил с провайдером Коламбия-Телеком предоставляющим услуги доступа к сати интернет в Волгограде под торговой маркой Next-one. Но подойдет и для Beeline. И для всех провайдеров, которые предоставляют доступ к интернету по протоколам L2TP или PPTP.
Зачем все это надо или 3 варианта решения проблем
Чтобы выжать все из своего провайдера есть три варианта:
- Подключить ethernet кабель напрямую в компьютер. Идеальный вариант, если у вас только один стационарный компьютер. Если же в доме есть планшеты, телефоны и прочая мобильность то этот вариант не для вас.
- Купить более мощный маршрутизатор. Я держал в руках только две модели которые в плотную подошли к 100 Мб/с на протоколе L2TP. Это ASUS RT-N56U и UPVEL UR-325BN. При этом первый долгое время был совсем не дешев, а второй не балует качеством.
- Собрать роутер самостоятельно из подручных средств. При наличии старого хлама абсолютно бесплатный вариант.
Самодельный домашний роутер
Я остановил свой выбор на третьем варианте. Так как в доме много железок нуждающихся в интернете, а тратить деньги на покупку нового маршрутизатора не хотелось. Тем более, что после ревизии в кладовке были найдены материнская плата на атоме и оперативная память.
Выбор программного обеспечения для домашнего маршрутизатора
Как оказалось, не надо изобретать велосипед, все необходимое уже давно написано. Более того является абсолютно свободным и бесплатным для домашнего использования. В этой статье речь пойдет о pfSense — дистрибутиве для создания межсетевого экрана/маршрутизатора, основанного на FreeBSD. Который имеет удобный web интерфейс и позволяет произвести необходимые настройки обычному пользователю.
Подробнее на Википедии.
Pfsense поддерживает необходимый мне протокол L2TP.
Требования к железу для домашнего роутера
Я его слепил из того, что было. Материнка на Атоме Intel(R) Atom(TM) CPU 230 @ 1.60GHz + 512 мегабайт оперативной памяти. В качестве накопителя было решено использовать старую карту флеш-памяти CompactFlash на 512 МегаБайт из старого фотоаппарата. Чтобы использовать ее как жесткий диск с IDE разъемом ATA необходимо приобрести переходник.
Ну и естественно необходимо иметь две сетевые карты. Одна будет смотреть в сторону провайдера, а вторая в вашу домашнюю сеть.
Минимальные требования к аппаратному обеспечению для использования ПО PFSENSE
CPU — 100 MHz Pentium
RAM — 128 MB
Для установки на жесткий диск
CD-ROM устройство и диск для установки либо USB флешка
1 GB свободного места
Для встроенной системы
512 MB Compact Flash
Как видите требования не высоки.
Выбор Pfsense для маршрутизатора
На официальном сайте pfsense.org для скачивания представлены несколько вариантов в зависимости от архитектуры процессора и типа установки. Для встроенной системы необходимо выбирать файлы в зависимости от размера флешки. Усли у вас CF объемом 1 ГБ, то следует выбрать прошивку в названии которой присутствует 1g. Соответственно для 512 МБ — 512mb и так далее.
Так же в названии прошивки присутствует значение архитектуры, можно использовать i386 как универсальное значение. Так как команды i386 поддерживаются как процессарами Intel, так и AMD, и Cyrix (VIA).
И последний параметр — это тип консоли, VGA или последовательный порт. Я использую более привычный VGA. Название файл в моем случае для CF объемом 512 МБ выглядит так: pfSense-2.1-RELEASE-512mb-i386-nanobsd_vga.img
Как записать Compack Flash для встроенной системы Pfsense
Запись CF для встроенной системы не столь тривиальна, как может показаться, простое копирование и обычные программы для записи образов на диск не помогут.
Воспользуемся утилитой physdiskwrite и инструкцией.
Первый запуск PfSense
При первом запуске будет необходимо ответить на пару глупых вопросов. Поэтому как минимум один раз понадобятся монитор и клавиатура. Суть предварительной настройки — это указать какая сетевая карта будет смотреть в сторону провайдера, то есть будет WAN портом, а какая — в локальную сеть, то есть — LAN. Так же можно выбрать тип IP адресов на каждом интерфейсе, статика или динамика. И в случае статики присвоить конкретный адрес. К сожалению PfSense не имеет настроек по-умолчанию. Поэтому в случае полного сброса к заводским настройкам Вам придется подключать монитор и клавиатуру. PfSense просто не продолжит работу пока вы не произведете настройку этих параметров.
В дальнейшем, как только Вы произвели базовые настройки, то есть присвоили IP адреса интерфейсам все настройки можно производить из web оболочки и локальные монитор и клавиатура нам не понадобятся.
Настройка PFSENSE
Набираем в браузере адрес LAN порта компьютера, а теперь уже роутера pfsense. И вводим параметры авторизации. Значения по-умолчанию admin#pfsense
И должны увидеть примерно следующее:
Настройка WAN порта pfsense
Параметры порта WAN настраиваем в соответствии с требования вашего провайдера. В моем случае провайдер раздает по DHCP серые адреса из сети 10.0.0.0/8
Поэтому произведем соответствующие настройки
Особо обратите внимание на две галочки в самом низу. Первая блокирует весть трафик из серых сетей, то есть отданных для локальных сетей. Вторая блокирует весь трафик из неизвестных сетей, то есть из еще нераспределенных.
Для начала рекомендую убрать обе галочки. А потом когда все настроите и все заработаете, то можете поэкспериментировать.
Подключите сетевой кабель провайдера в WAN порт. Зайдите в меню Status—>Interfaces и убедитесь, что все работает:
Настройка LAN порта PfSense
LAN порт будем настраивать по своему усмотрению. Я предпочитаю использовать статический адрес (не следует путать с DHCP сервером для клиентов локальной сети).
Скорее всего в интерфейсе LAN уже все будет настроено так как надо еще с момента установки pfSense, когда мы вводили параметры в консоль. Поэтому просто проверьте значения.
Настройка L2TP Pfsense для подключения к интернету
Вот мы и подошли к самому главному. А именно к настройке L2TP тоннеля для подключения к интернету.
Однако в самом начале нам стоит прописать статический маршрут до L2TP сервера провайдера, который в моем случае имеет белый адрес и естественно недоступен из серой сети System—>Routing вкладка Routers:
После чего поверх WAN порта настроим еще одно соединение. Заходим в меню Interfaces—>assign, выбираем вкладку PPPS и жмем плюсик и настраиваем соединение в соответствии с требованиями провайдера:
Переходим на первую вкладку (Interface assignments) и нажатием на «+» добавляем новый интерфейс из созданного нами L2TP соединения. Сейчас он называется OPT1.
Переходим в меню Interfaces—>OPT1, включаем его (Enable interface).
Поля авторизации будут автоматически заполнены из созданного вами соединения.
После этого нам следует изменить шлюз по-умолчанию. Чтобы все запросы уходили в интернет необходимо сделать шлюзом по-умолчанию интерфейс OPT1. Для это заходим в его настройки System—>Routing
Выбираем редактировать WAN (default) и убираем «Default gateway»
Выбираем редактировать OPT1 (default) и ставим «Default gateway»
Вот собственно и всё, роутер в минимальной конфигурации у нас уже есть. Остается только его перезагрузить и убедиться в работоспособности.
Тестирование производительности маршрутизатора на базе pfsense
Самодельный маршрутизатор показал скорости на протоколе L2TP близкие к скорости Ethernet порта.
Было (для тарифа 100 Мбит/сек) на роутере DIR-620:
Стало (для тарифа 100 Мбит/сек) на самодельном роутере PfSense:
Pfsense – шлюз за пять минут – Техноблог IT Hobbycomp.ru – сайт о компьютерах и технике
В этой статье я хочу рассказать вам о замечательном, с моей точки зрения, продукте – программном маршрутизаторе pfsense.
Основанный на платформе FreeBSD, славящийся своей надежностью, и хорошо отлаженном, интуитивно понятном веб интерфейсе, позволяющем в буквальном смысле настроить маршрутизатор за пять минут.
Кроме того, у нас есть возможность с помощью встроенного менеджера пакетов расширять функционал маршрутизатора, установив например squid в качестве прокси, или suricata в качестве IDS/IPS защиты. Кроме этого мы можем легко сделать удалённый доступ настроив OpenVPN сервер.
Давайте начнём установку, скачав установочный файл с официального сайта www.pfsense.org
Минимальные заявленные требования для версии 2.4.4:
CPU 600 MHz или быстрее
RAM 512 MB или больше
4 GB на HDD
Установка сложностей не вызывает, pfsense автоматически определит WAN и LAN интерфейсы. Если это не так, можно воспользоваться пунктом 1 из меню – assign interfaces, или назначить нужные IP адреса используя пункт 2.
Следующим этапом переходим в веб интерфейс. В моём примере это адрес WAN интерфейса, полученный по DHCP – https://192.168.1.202/. Что бы зайти через WAN интерфейс временно отключим через консоль firewall командой pfctl -d. Через LAN доступ есть по умолчанию. Используем дефолтные учетные данные – Логин admin пароль pfsense.
Нам предложат небольшой мастер настроек для первоначального конфигурирования – вводим предпочительные значения.
В принципе, мы уже получили рабочую систему с двумя интерфейсами. У нас в примере есть еще третий сетевой интерфейс – по умолчанию он выключен. Если вы хотите задействовать и его например в качестве третьей подсети – переходите на вкладку interfaces, Assignments. Тут мы можем добавить и сконфигурировать настройки для нового интерфейса, нажав сначала кнопку add, а затем кликнув по названию интерфейса и поставив галочку “Enable interface”.
Теперь давайте добавим правила для интерфейсов. Я хочу получать доступ к нашему маршрутизатору через WAN (в работающий среде такого делать не стоит, по умолчанию извне запрещены все подключения)
Добавим правило разрешающее подключение извне с любого IP и порта на 443 порт нашего маршрутизатора.
Block private network и block bogon networks означает, что по умолчанию блокируются диапазоны приватных частных сетей, и адреса из диапазонов еще не распределенных или зарезервированных.
Не забывайте, что правила обрабатываются по очереди, и если первое правило у вас разрешающее, а идущее за ним такое же правило запрещающее (или просто попадающее под такие же условия) то сработает первое правило и обработка остановится.
Теперь представим, что во внутренней сети у нас есть сервис, к которому нужно предоставить доступ извне. Представим что это почтовый сервер, и он должен принимать почту на 25-м порту. Нам нужно сделать проброс порта во внутреннюю сеть. Здесь нам поможет пункт firewall – NAT, port forward.
Выбираем интерфейс на который будет приходить запрос, выбираем протокол – в нашем случае это TCP, Destinantion port range – порт, или диапазон портов, при обращении на который произойдёт переадресация на Redirect target port, в нашем случае это SMTP, он же 25-й порт. Filter rule association выбираем add aassociation rule – в firewall автоматически добавится разрешающее правило привязанное к правилу проброса порта. Нажимаем save и apply – и теперь при обращению извне к 25-му порту произойдёт переадресация во внутреннюю сеть на 25-ё порт.
И так, теперь мы имеем: WAN интерфейс, смотрящий в интернет, и LAN интерфейс, смотрящий в локальную сеть. Достаточно указать всем компьютерам локальной сети в качестве шлюза LAN интерфейс – и у пользователей появится доступ в интернет, а снаружи периметр надежно защищен брандмауэром нашего маршрутизатора – работает он на основе packet filter, встроенного в FreeBSD.
Представим теперь, что у нас довольно много различных сервисов, проброшенных внутрь сети, надо их тоже как то обезопасить. Фаервол спасет нас только на уровне IP и TCP, то есть 4-го и 3-его уровня модели OSI. А нам нужно защищать пользователей внутри сети и наши внешние сервисы. В этом нам поможет suricata – анализатор сетевых пакетов. Установить его можно через package manager.
Теперь в меню services нам доступна наша IDS.
В меню interfaces нажимаем add, и добавляет WAN интерфейс, настройки можем оставить по умолчанию.
Важная вкладка Global Settings. Здесь мы выбираем какие правила скачивать. Правила – это предопределенные паттерны событий, списки IP адресов которые представляют угрозу. Они будут всё время обновляться. Есть платная и бесплатная версия этих обновлений. Для бесплатной нужно зарегестрироваться по ссылке, которая будет там же на странице – Sign Up for a free Registered User Rules Account. Поставить галочки, после регистрации получить Snort Oinkmaster Code и вставить его в соответсвующее поле.
Чуть ниже на странице выставляем интервал обновления правил, а еще ниже время удаления заблокированных IP адресов из списка.
Проверяем – переходим на вкладку update, и пробуем обновить наши правила.
Если правила у нас удачно загрузились, переходим на вкладку wan categories. Данная секция позволяет выбрать уровень срабатывания правил – IPS Policy Selection и действие при срабатывании правила – только предупреждение или заданное в правиле действие (например drop connection)
На вкладке interfaces – wan settings есть поле Alert and Block Settings, если поставить галочку Block Offenders хосты на которых сработали правила будут блокироваться.
Если suricata ошибочно заблокировал хост или сайт, переходим на вкладку blocks, и удаляем IP из таблицы.
Если же правило срабатывает постоянно, заходим на вкладку alerts, находим правило, и нажимаем красный крестик. Этим мы отключим данное правило.
Теперь представим, что мы хотим исключить какой-нибудь IP из проверки. Для этого идём в меню firewall – aliases, и создаём новый список с типом hosts.
Далее идём в suricata – passlists и добавляем созданный список алиасов. Теперь все адреса добавленные в этот список никогда не заблокируются. Не забываем после добавления перезапустить сервис.
Отлично, мы создали и защитили наш шлюз в интернет. Настало время подумать об удаленном доступе внутрь сети для пользователей. В этом нам поможет сервер OpenVPN.
На вкладке VPN OpenVPN создаём новый сервер. Server mode выбираем Remote access (SSL/TLS+User Auth) то есть удаленный доступ с аутентификацией по сертификату и паролю.
Протокол UDP v4, режим работы туннельный интерфейс WAN и порт – по умолчанию 1194.
Далее идём в System – Certificate Manager и создаём центр сертификации.
Теперь можно выбрать его в настройках
Далее раздел tunnel network. Сначала указываем подсеть для клиентов OpenVPN – IPv4 Tunnel Network. Теперь указываем к какой сети разрешаем доступ – IPv4 Local network(s).
Inter-client communication – разрешить взаимодействие между клиентами, Duplicate Connection – разрешить одновременные подключения с одного аккаунта.
Раздел Advanced Client Settings. Опция DNS Default Domain отдаёт суффикс домена для односложных имён. DNS Server 1 – указываем внутренний DNS. Force DNS cache update – обновляем кеш DNS в клиенте.
В Advanced Configuration есть возможность прописать маршрут. Например мы хотим, что бы при запросе какого-то адреса мы заворачивали трафик на него в туннель. Это можно сделать с помощью команды push route, как на скриншоте.
Теперь сохраняем наш сервер, и устанавливаем через менеджер пакетов openvpn-client-export
Идём в user manage и создаём нового пользователя. Не забываем поставить галочку Click to create a user certificate. Следующий шаг перейти в OpenVPN – client export. Здесь мы увидим выбор установочных файлов для пользователя. Если выбрать windows vista and later, мы получим установочный файл для windows, который содержит сам клиент и сертификат. Можно так же скачать конфигурационный файл под android или под mac. После установки, клиент нужно запускать от имени администратора, что бы сработала очистка кеша и добавились маршруты. Не забываем, что в качестве шлюза у машин в локальной сети должен быть указан pfsense.
Отлично. Теперь у нас есть маршрутизатор, выход в интернет, опубликованы сервисы, настроена безопасность, и есть удалённый доступ. Уже неплохо.
Давайте теперь настроим прокси сервер squid с антивирусом. Так мы сможем контролировать трафик пользователей и проверять его на шлюзе антивирусом.
Для начала установим пакет squid.
Перейдём в раздел настроек general. Что бы squid заработал, нужно поставить галочку Enable Squid Proxy. Выбираем интерфейс, на котором будем перехватывать запросы – Proxy Interface(s). Выбираем порт – по умолчанию 3128. Если мы не включим transparent mode, то есть прозрачный режим, то для доступа к интернету нам понадобится прописать адрес прокси сервера и порт в браузерах пользователей. Важный пункт Allow Users on Interface. Он означает, что пользователям на этом интерфейсе автоматически предоставляется доступ к прокси серверу, в противном случае будет запрошена аутентификация.
Далее идёт раздел Transparent Proxy Settings. Если мы хотим что бы для пользователей было всё прозрачно, и нигде ничего прописывать им было не нужно – включаем этот режим. Запросы будут перехватываться и автоматически проходить через прокси. Пункт Bypass Proxy for Private Address Destination говорит о том, что адреса назначения из внутренних сетей проксироваться не будут.
Bypass Proxy for These Source IPs и Bypass Proxy for These Source IPs указывают соответственно адреса источников и назначения, а также подсети или хосты которые не проксируются.
Следующий пункт SSL Man In the Middle Filtering является важным. Зашифрованный SSL трафик не может быть расшифрован шлюзом, поэтому блокировки сайтов а также проверка антивирусом работать не будет. Включаем enable ssl filtering, выбираем режим Splice Whitelist, Bump Otherwise. Это означает, что все сессии, которые не находятся в бело листе будут перехватываться. Для этого режима должен быть указан центр сертификации шлюза – CA, мы создали его раньше. Как это работает. Клиент посылает запрос на соединение с сайтом SSL через шлюз. Далее шлюз устанавливает от СВОЕГО имени соединение с сайтом SSL обратный трафик расшифровывается на шлюзе, шифруется сертификатом ШЛЮЗА и отправляется клиенту. Что бы это работало, на ВСЕХ компьютерах локальной сети сертификат сервера доложен быть установлен в Доверенные корневые сертификаты.
Наконец последний раздел – Headers Handling, Language and Other Customizations. Здесь важным пунктом будет Visible Hostname. Именно это это будет отображаться в сообщениях об ошибках.
Теперь включим антивирус на вкладке ClamAV Anti-Virus Integration Using C-ICAP, укажем периодичность обновления баз ClamAV Database Update, включим проверку Google Safe Browsing и исключим из проверки видео и аудио – Exclude Audio/Video Streams.
На вкладке ACLs мы можем задавать разрешения для IP адресов и подсетей, а на вкладке Traffic Mgmt устанавливать ограничения на полосу пропускания. Вкладка Authentication отвечает за выбор способов аутентификации пользователей.
Также есть функционал reverse proxy, который находится в разделе services reverse proxy. Суть его в том, что бы перехватывать запросы извне, и принимать только те из них, которые соответствуют определенным паттернам. Уже настроенный функционал есть для серверов exchange.
Для exchange сервера настройки будут следующие.
Reverse HTTPS Port 443, через него работает OWA, active sync и outlook anywhere. Reverse HTTPS Default Site тут нужно указать имя внешнего сайта, DNS котрого указывает на ваш шлюз. Reverse SSL Certificate – сертификат, в котором должны быть указаны ваши внешние имена.
На 443 порт вам нужно создать правило разрешающее доступ, проброс портов настраивать на 443 порт не нужно.Сервер, на который будут перенаправляться запросы будет указан ниже. А также сервисы, которые вы хотите что бы работали через reverse proxy.
В качестве примера, рассмотрим еще reverse proxy для сервере обновлений NOD32. Работает он на порту 2221.
На вкладке web servers укажем порт и IP внутри сети сервера обновлений.
А на вкладке mappings укажем созданного пира, и самое главное регулярные выражения, с которым будет работать reverse proxy. Например ^http://site.ru:2221/nod.*$ Означает что начало строки может быть только такое: http://site.ru:2221/nod а дальше любой символ и конец строки. Например nod6C47.nup, то есть файл обновления.
Можно посмотреть и конфиг для exchange. Для этого нужно зайти в Diagnostocts – Edit file – Browse. Перейти в папку usr/local/etc/squid/squid.conf.
Здесь мы увидим паттерны:
cl OWA_URI_pfs url_regex -i ^https://my_domain/owa.*$
acl OWA_URI_pfs url_regex -i ^https://my_domain/exchange.*$
acl OWA_URI_pfs url_regex -i ^https://my_domain/public.*$
acl OWA_URI_pfs url_regex -i ^https://my_domain/exchweb.*$
acl OWA_URI_pfs url_regex -i ^https://my_domain/ecp.*$
acl OWA_URI_pfs url_regex -i ^https://my_domain/OAB.*$
acl OWA_URI_pfs url_regex -i ^https://my_domain/Microsoft-Server-ActiveSync.*$
acl OWA_URI_pfs url_regex -i ^https://my_domain/mapi.*$
acl OWA_URI_pfs url_regex -i ^https://my_domain/EWS.*$
acl OWA_URI_pfs url_regex -i ^http://my_domain/AutoDiscover/AutoDiscover.xml
acl OWA_URI_pfs url_regex -i ^https://my_domain/AutoDiscover/AutoDiscover.xml
Вот сколько всего можно сделать при помощи pfsense, причём довольно быстро и эффективно. Охвачена лишь небольшая часть функционала, и очень неглубоко.
Если у Вас есть вопросы, задавайте их на форуме, или ниже в комментариях.
2. Установка pfSense — Записная книжка компьютерщика
Итак ставить буду pfSense ver.: 2.2.6 на старенький комп с одноядерным процессором 1,8 Ггц, оперативкой DDR2 — 512 Мб, жестким диском SATA — 80 Гб, двумя сетевыми картами по 100 Мбит/сек (встроенная + PCI).
Подготовительная часть
Для начала качаем дистрибутив с официального сайта.
1. Жмем Download
2. Жмём кнопку INSTALL (возможно сейчас уже более свежая версия)
3. Теперь отвечаем на вопросы:
- Computer Architecture: i386 (32-bit) (тут должно соответствовать вашей архитектуре компьютера)
- Platform: Live CD with Installer (on USB Memstick) (образ буду писать на USB)
- Console: VGA (для установки на компьютер с монитором)
Кстати, у зеркал разная скорость, поэтому если медленно грузит — выбирай другой
4. Окей, скачали файл 4pfSense-memstick-2.2.6-RELEASE-i386.img.gz (ну или более актуальную версию).
- Открываем архив в 7zip или любом другом архиваторе, извлекаем файл с расширением .img
- Теперь берём программу RosaImageWriter и записываем образ на флешку
5. Втыкиваем флешку в компьютер и загружаемся с неё
Первая часть установки
1. При появлении первого экрана вам даётся 10 секунд на раздумие для выбора какого-то особого пункта меню. Ничего делать не надо. Ну или просто нажмите Enter
2. А вот теперь нужно быть особо внимательным и не пропустить этот экран:
Здесь Вам даётся 10 секунд на то, чтобы нажать клавишу i
3. Ничего менять не надо, выбираем Accept these Settings и жмем Enter
4. Тоже ничего мудрить не надо, жмем Enter на пункте Quick/Easy Install
5. Тут суть такая:
Easy Install автоматом установит Вам систему не задавая лишних вопросов.
ВНИМАНИЕ: Сейчас вся информация имеющаяся на жестком диске будет удалена! Вы уверены что хотите продолжить?
Если Вы хотите больше контроля над процессом установки, то выбирать нужно Custom Installation в предыдущем диалоге
Жмём ОК
6. При выборе параметров ядра указываем Standard Kernel
7. Вроде как конец. Система говорит что пора перезагружаться. Ещё она говорит что когда компьютер выключится Вы можете вытаскивать свой CD-диск (в нашем случае флешка). Раньше вытаскивать не надо!
Жмём Enter
Первая часть установки закончена.
Логин и пароль администратора: admin и pfsense соответственно.
Вторая часть установки
1. После перезагрузки установка продолжается и первым делом система спросит: Хотите ли Вы настроить VLANs? Жмём n и Enter (нам ведь не нужны вэланы так ведь?…)
2. Система определила обе сетевых карты и теперь желает узнать какая из них будет смотреть в интернет (WAN), а какая в локальную сеть (LAN)
Сейчас система просит указать идентификатор сетевой карты WAN, т.е. смотрящей в интернет.
На выбор нам можно ввести sge0 или ste0 — это идентификаторы наших сетевых карт (вообще говоря привычное их наименование eth0 и eth2, но наша система основана на FreeBSD, а там принцип обозначения иной), либо нажать клавишу a для автоматического распознавания.
Если Вы знаете какой идентификатор соответствует нужной сетевой карте, то вводите его, а если не знаете (наверное 99% людей не знают), то делаем так:
a. выдергиваем сетевые кабеля из обеих сетевых карт, жмём клавишу a и Enter
б. система просит нас присоединить кабель к сетевой карте смотрящей в интернет (WAN) и убедиться что на ней загорелась лампочка. В моём случае при подключении кабеля выскочило сообщение ste0: link state changed to UP, из этого сразу ясно что идентификатор у WAN — ste0. Жмём Enter.
в. Система сказала что обнаружила линк на интерфейсе ste0.
Теперь то же самое для LAN-интерфейса, думаю обьяснять ничего не надо (я просто ввёл оставшийся sge0 и нажал Enter)
3. Следующим шагом система попросит ввести опциональный интерфейс. Нам он не нужен, просто жмём Enter
4. Далее система собирает введенную информацию в кучу и просит подтвердить её. Нажимаем y и Enter
5. По завершению установки получаем следующий вид:
Тут нам сообщают что:
WAN (смотрит в инет) -> имеет идентификатор ste0 -> адрес IPv4 (назначен DHCP): 192.168.0.50 имеет маску 24, т.е (255.255.255.0)
LAN (смотрит в локалку) -> имеет идентификатор sge0 -> адрес IPv4 (статический): 192.168.1.1 имеет маску 24, т.е (255.255.255.0)
А знаете почему WAN-интерфейс у меня имеет адрес 192.168.0.50? А потому что у меня на работе целая толпа народу постоянно использует интернет, а обрубать его и втыкать в подопытный компьютер для экспериментов я никак не могу. Поэтому в WAN-порт я воткнул кабель из своей локальной сети, где свободно гуляет интернет раздаваемый роутером DIR-300 с поднятым DHCP сервером.
Имеется также 16 пунктов для управления системой, объяснять не буду — и так всё понятно.
Завершение установки
Единственное что бы я сейчас сделал, это изменил адрес 192.168.1.1 на какой-нибудь другой, например 192.168.0.253, так как мой новый pfSense готовится для замены моего DIR-300, что располагается по адресу 192.168.0.254.
Но если и WAN и LAN будут находиться в одной сети, то обязательно возникнут какие-то проблемы и вы будете долго и мучительно с ними разбираться, поэтому я настоятельно рекомендую чтобы эти два интерфейса были в разных подсетях.
Более того, я также рекомендую чтобы адрес WAN-порта не был частным IP (т.е. 192.168.0.0/24 или 172.16.0.0/16 или 10.0.0.0/8), иначе при стандартных настройках будут возникать проблемы (об одной из них и о её решении я расскажу далее)
Поэтому 192.168.1.1 меняю на 192.168.2.253 (почему 2 спросите вы — а просто так). Адрес WAN-порта оставляю прежним (192.168.0.50) чтобы показать возникающую при этом проблему и способ её решения.
1. Итак, возвращаемся к нашему экрану и жмём 2 и Enter (Set interface(s) IP address). Система спросит какой интерфейс будим настраивать.
2. Выбираем LAN. Жмём 2 и Enter
3. Вводим новый IP-адрес: 192.168.2.253, жмём Enter
4. Вводим маску сети: 24, Enter
5. Теперь нас просят настроить шлюз по-умолчанию для WAN, а для LAN нужно просто нажать Enter:
6. IPv6 мне не нужен, пропускаю его нажав Enter
7. Теперь нас спрашивают следует ли включить DHCP для интерфейса. Да, жмём y, затем Enter
8. Вводим начальный диапазон адресов: 192.168.2.1 жмём Enter
9. Вводим конечный диапазон адресов: 192.168.2.254 жмём Enter
10. Система спрашивает не хотите ли вы открывать WEB-конфигуратор по HTTP (кстати по-умолчанию он открывается по HTTPS) нет, жмём n затем Enter
Всё, система сообщает что теперь Вы можете открыть WEB-конфигуратор по адресу https://192.168.2.253/
Жмём Enter
Делаем контрольную перезагрузку:
- 5 затем Enter
- y затем Enter
Можно отключать монитор и подключать сетевые кабеля
Траблшутинг (по-русски: решение проблем)
Если в консоли pfsense постоянно вылетает сообщение command never completed!, то, скорее всего, у Вас хреново работает сетевая карта — замените её на другую.
Содержание
(Просмотрено 39 596 раз, 3 раз за сегодня)
с вашего сайта.
7 лучших файрволов c открытым исходным кодом для защиты вашей сети
Статистика утечки данных показывает, что каждый день миллионы данных оказываются украденными или потерянными.
Насколько безопасна ваша сеть? Используете ли вы файрвол для защиты вашей сетевой инфраструктуры?
Ранее я писал об управляемых облачных файрволах и получил предложение написать о бесплатных файрволах или файрволах с открытым исходным кодом.
Вот, пожалуйста!
Следующие бесплатные файрволы отличаются от файрволов веб-приложений. Они служат для защиты инфраструктуры, а не кода или приложения.
1. pfSense
Это решение для обеспечения безопасности с открытым исходным кодом на основе ядра FreeBSD. pfSense – это один из ведущих сетевых файрволов с коммерческим уровнем функционала.
pfSense доступно как оборудование, виртуальное устройство и загружаемый исходник (общая версия).
Бесплатно вы получаете общую версию.
Мне нравится их исчерпывающая документация, хорошо понятная и простая в использовании. Вот некоторые из значимых упоминаемых особенностей pfSense:
- файрвол — фильтрация IP/портов, ограничение соединений, работа на канальном уровне, нормализация пакетов;
- таблица состояний — по умолчанию все правила находятся в отслеживаемом состоянии, множественные конфигураций подходят для обработки состояний;
- серверная балансировка нагрузки — встроенный балансировщик нагрузки для ее распределения между несколькими серверами;
- NAT (преобразование сетевых адресов) — переадресация портов, отражение;
- HA (высокая доступность) — переход на вторичный сервер, если основной дал сбой;
- мульти-WAN (глобальная компьютерная сеть) – использование более чем одного интернет-соединения;
- VPN (виртуальная частная сеть) — поддержка IPsec и OpenVPN;
- создание отчетов – сохранение информации об использованных ресурсах;
- мониторинг – мониторинг в режиме реального времени;
- динамический DNS – включено несколько DNS-клиентов;
- поддержка DHCP Relay.
Больше функций, чем предоставляют некоторые коммерческие файрволы, вы получаете БЕСПЛАТНО.
Поразительно, не так ли?
Кроме того, у вас также есть возможность устанавливать пакеты всего одним щелчком мыши.
Например:
- безопасность — stunner, snort, tinc, nmap, arpwatch;
- мониторинг – iftop, ntopng, softflowd, urlsnarf, darkstat, mailreport;
- создание сети — netio, nut, Avahi;
- маршрутизация — frr, olsrd, routed, OpenBGPD;
- обслуживание — iperf, widentd, syslog-ng, bind, acme, imspector, git, dns-server.
pfSense выглядит многообещающе и его стоит попробовать.
2. IPFire
IPFire основан на Netfilter и ему доверяют тысячи компаний по всему миру.
IPFire можно использовать как файрвол, прокси-сервер или VPN-шлюз — все зависит от того, как вы настроите его. Он обладает большой гибкостью в настройках.
IDS (система обнаружения вторжений) является встроенной, поэтому атаки обнаруживаются и предотвращаются с самого начала, а с помощью дополнения Guardian вы можете осуществлять автоматическую профилактику.
Вы сможете понять как работать с IPFire менее чем за 30 минут. Прочитать больше о его возможностях можно здесь.
3. OPNSense
OPNSense является ответвлением pfSense и m0n0wall. Графический интерфейс доступен на нескольких языках, таких как французский, китайский, японский, итальянский, русский и др.
OPNSense обладает многими серьезными уровнями безопасности и функциями файрвола, такими как IPSec, VPN, 2FA, QoS, IDPS, Netflow, Proxy, Webfilter и т.д.
Он совместим с 32-битной или 64-битной системной архитектурой и доступен для загрузки как ISO-образ и USB-установщик.
4. NG Firewall
NG Firewall от Untangle — это единая платформа, где вы можете получить все необходимое для защиты сети своей организации.
Он обладает красивой панелью инструментов, попробовать демо-версию можно здесь. Он работает как магазин приложений, где вы можете запускать или отключать отдельные приложения (модули) в соответствии со своими потребностями.
В бесплатной версии вы получаете доступ к самой платформе NG Firewall, бесплатные приложения и 14-дневную пробную версию платных функций.
5. Smoothwall
Smoothwall express — это бесплатное решение с простым веб-интерфейсом для настройки и управления файрволом.
Smoothwall express поддерживает LAN (локальную сеть), DMZ (демилитаризованную зону), внутренний и внешний сетевой файрвол, веб-прокси для ускорения, статистику трафика и др.
Выключение или перезагрузка возможны непосредственно через веб-интерфейс.
Примечание: Следующие две программы предназначены только для серверов Linux.
6. ufw
ufw (несложный файрвол) работает с Ubuntu. Для управления системой фильтрации пакетов ядра Linux (Netfilter) он использует интерфейс командной строки.
7. csf
csf (ConfigServer security) протестирован и поддерживается на следующих ОS и виртуальных серверах:
- RHEL/CentOS
- CloudLinux
- Fedora
- OpenSUSE
- Debian
- Ubuntu
- Slackware
- OpenVZ
- KVM
- VirtualBox
- XEN
- VMware
- Virtuozzo
- UML
csf — это файрвол с контролем состояния соединений, обнаружением входа в систему и обеспечением безопасности для серверов Linux.
Я надеюсь, что вышеперечисленные бесплатные решения для файрвола помогут вам сэкономить деньги и защитить вашу инфраструктуру от взлома.
LOOKING.HOUSE — на проекте собрано более 150 точек looking glass в 40 странах. Можно быстро выполнить команды host, ping, traceroute и mtr.
Книга 2. pfSense — Полная виртуализация. Базовая коммерческая редакция: Proxmox-freeNAS-Zentyal-pfSense
2.1 Введение в pfSense
Примерно через год после размещения Proxmox в промышленной эксплуатации я получил запрос. Мне сказали, что один клиент решил изменить
шифрование в нашем VPN туннеле на сто- то более безопасное. Вскоре я понял, что наше существующее оборудование НЕ может быть
обновлено, следовательно, я начал искать альтернативы. Вот тогда я и сделал выбор в пользу pfSense!
Моя первая установка была выполнена на голое железо и работала просто прекрасно. Это произошло незадолго до того, как я начал обдумывать
идею виртуальной платформы маршрутизации. Проходили большие дискуссии смогут ли виртуальные маршрутизаторы справиться с этой задачей с
точки зрения безопасности. Я просто не мог допустить такую идею основы, пока я не опробовал её. Теперь, по прошествии 7 лет, я должен
сказать, что я рад, что решил виртуализировать всё.
Вопрос безопасности подвергся вскоре испытанию после того как мы пережили ряд проблем с шлюзом ATT. В конечном итоге я провёл весь
день на телефоне с ATT начав с 1 уровня и в конечном итоге выполнив это на ВЕРХНЕМ 6 уровне поддержки. Это то место, где инженеры сетевой
среды проводят свои дни! Чтобы сократить длинную историю, сетевые инженеры ATT НЕ смогли проверить мои
шлюзы без запрета pfSense/
На протяжении многих лет работы Snort IDS в pfSense отловил множество
злоумышленников и незамедлительно уничтожил эти. При каждой установке
нового программного обеспечения, этот пакет обнюхивался WireShark перед его
запуском в промышленную среду! Более того, мониторы сетевых служб, наподобие Nagios
Core предоставили богатую информацию для поддержки ИТ администраторов в информированном состоянии. При
верных правилах межсетевого экрана и аппаратной фильтрации
2 уровня ОЧЕНЬ маловероятно,
что вас взломают!
Замечание | |
---|---|
pfSense это мощная платформа и её набор функциональностей невозможно полностью охватить в данной книге. Данное руководство было |
OK! Сказано достаточно! Прежде чем начать установку, вы должны создать настройку ВМ. Я рекомендую
виртуальный диск 8ГБ IDE и 4ГБ оперативной памяти для
такой установки. Если вам нужно повторить эти шаги, вернитесь сюда:
1.9 Создание настроек
ВМ.
2.2 Установка pfSense
Теперь включите свою ВМ pfSense, убедившись что у вас имеется CD или загруженный образ диска. Вы должны увидеть следующий экран:
Теперь, когда вы получили приглашение (отображённое ниже), нажмите клавишу I.
Если вы не поймали её вовремя, просто сбросьте вашу ВМ.
Далее вы увидите консоль настройки (изображённую ниже). Используйте свою клавишу вниз чтобы достичь Accept
These Settings с последующим нажатием Enter.
Теперь выберите Quick/Easy Install (как изображено ниже)
Нажмите OK (как изображено ниже)
Вы хотите выбрать Standard Kernel (как изображено ниже) для нашей установки.
Далее выберите Reboot (как изображено ниже)
После перезагрузки системы вы будете проинформированы, что полномочия ПО УМОЛЧАНИЮ
установлены в значение:
Пользователь: admin
Пароль: pfsense
2.3 Назначение сетевых интерфейсов
Далее вам нужно настроить сетевую среду! Поскольку pfSense является дистрибутивом на основе BSD, ваши сетевые интерфейсы именуются по- другому.
Если вы применяете e1000 Gigabit, они должны отображаться как
em(x)
. Если вы используете
Realtek, они будут именоваться как re(x)
. Пожалуйста, сосредоточьте своё внимание сейчас!
Это единственная мудрёная часть установки!
Отметим на рисунке ниже, что для em1
был назначен IP адрес
и он был выбран интерфейсом LAN по умолчанию. Это НЕ правильно!
ЕДИНСТВЕННЫЙ возможный способ, которым DHCP
адрес может быть назначен, заключается в том, чтобы em1 интерфейс (как изображено ниже) был на
самом деле подключён к маршрутизатору интернет. Мы должны перебросить эти интерфейсы так, чтобы
LAN-ом стал em0
.
Замечание | |
---|---|
Я обнаружил, что проще всего ВСЕГДА устанавливать |
Чтобы назначить em0
на
LAN выберите параметр 1 и
нажмите ENTER.
Вы увидите следующее приглашение (как на рисунке ниже). Нажмите n для
NO, затем нажмите ENTER. Вам
НЕ нужна VLAN. Также отметим Mac адрес интерфейса.
Он должен соответствовать адресу в настройках ВМ Proxmox.
Далее мы будем приглашены для ввода имени WAN. Нажмите em1
и затем ENTER.
pfSense
теперь запросит имя интерфейса
LAN (как изображено ниже). Введите em0
,
затем нажмите ENTER.
Поскольку мы НЕ настраиваем необязательный интерфейс (opt1
) прямо сейчас, нажмите клавишу ENTER, что
означает NO SELECTION (как изображено ниже).
Ваши интерфейсы теперь будут назначены (как отображено ниже). Наберите y, затем
нажмите ENTER.
2.4 Назначение IP адресов
Теперь вам нужно установить IP адрес для адаптера LAN. Это будет адрес, по которому будет
работать веб- интерфейс. Он также будет обслуживать шлюз по умолчанию и
DNS сервер вашей локальной сети.
Замечание | |
---|---|
Я предпочитаю устанавливать этот адрес последним в подсети |
Для продолжения выберите параметр 2, затем нажмите
ENTER.
Далее наберите номер настраиваемого вами интерфейса. В нашем случае мы хотим использовать адаптер LAN,
чей номер в списке 2 (как изображено ниже).
Для продолжения наберите 2, затем нажмите
Теперь вы будете приглашены для нового IPv4 адреса LAN. Для целей данного руководства я
использую 192.168.0.254
(как изображено ниже.)
Для продолжения наберите используемый вами IP LAN, затем нажмите
ENTER.
Далее выбудете запрошены на предоставление количества битов маски подсети в нотации
CIDR. Это почти ВСЕГДА будут
24 для локальной сети.
Для продолжения наберите 24, затем нажмите
ENTER.
Следующие несколько запросов могут быть пропущены нажатием ENTER, что означает
NO SELECTION (не выбрано, как изображено ниже).
Для продолжения нажмите ENTER.
Вам не нужно настраивать IPv6 (как изображено ниже) для вашей LAN, поэтому данный шаг
может быть пропущен.
Для продолжения нажмите ENTER.
Чтобы настроить консоль как можно быстрее мы НЕ разрешим
DHCP в LAN в настоящий момент (как
показано ниже). Он будет настроен с применением веб- интерфейса.
Для продолжения введите n, затем нажмите ENTER.
Теперь вас попросят вернуться в веб- интерфейс (как изображено ниже) из безопасного режима (https) в не безопасный (http). Вы можете
пожелать оставить его безопасным.
Для продолжения введите n, затем нажмите ENTER.
Настройка теперь должна быть завершена.
Для продолжения нажмите ENTER.
2.5 Сброс пароля администратора
В какой-то момент вы можете захотеть изменить полномочия администратора на значения по умолчанию. Это параметр меню номер
3 (как изображено ниже)
Если вы выберите параметр 3 и нажмёте y,
означающее YES. Значения по умолчанию:
Пользователь: admin
Пароль: pfsense
2.6 Мастер веб- настройки
Теперь вы готовы открыть ваш веб браузер с только что установленным сетевым адресом
(https://192.168.0.254
) для первой регистрации. Для целей данного руководства я применяю
Mozilla Firefox.
Для продолжения (как изображено ниже): кликните I Understand the Risks (я понимаю риски).
Далее (как изображено ниже): кликните Add Exception (добавить исключение).
Теперь (как изображено ниже): кликните Confirm Security Exception (подтвердите
исключение безопасности).
Для продолжения зарегистрируйтесь (как изображено ниже) с применением пароля по умолчанию: pfsense
После регистрации запустится мастер (как изображено ниже). Просто следуйте за приглашениями.
Для продолжения кликните Next
Теперь pfSense предложит выполнить Gold Subscription (Золотую подписку, как изображено ниже).
Это совсем НЕ требуется для использования данного программного обеспечения.
Для продолжения кликните Next
Теперь вас попросят ввести некоторую основную информацию о вашем маршрутизаторе (как изображено ниже). Для определения домена
.com
отличного от
localdomain
или
YOURWEBS
ДОЛЖНЫ иметь регистрацию, например
Go Daddy
.
Например: я зарегистрировал домен YOURWEBS.US
, поэтому
я могу ввести его ниже. Если у меня нет такого зарегистрированного домена, я могу всё же использовать
YOURWEBS
, но опускать суффикс
.US
. Это будет просто прекрасно работать при установленным мной
локальном контроллере домена Zentyal. Вне зависимости от выбранного вами имени
запись вашего домена должна совпадать с записью контроллера
Zentyal, который будет установлен позже в этой книге. В данном месте я
предпочитаю регистрировать домен, который
НЕ будет использоваться в качестве общедоступного
(public), однако будет всё же разрешается в мой IP адрес WAN.
Вы также можете захотеть использовать сервера Google DNS
(8.8.8.8
и 8.8.4.4
) в качестве
альтернативы вместо вашего ISP. Этот параметр может иногда решать проблемы с разрешением имён.
Для продолжения кликните Next
Теперь введите ваш сервер времени (рекомендуется значение по умолчанию) и информацию о зоне времени (как изображено ниже).
Для продолжения кликните Next
Поскольку WAN уже была настроена ранее, это является избыточным. По состоянию на сегодняшний день,
почти для всех ISP следует почти ВСЕГДА настраивать DHCP
(как изображено ниже).
Перемотайте вниз экрана до появления следующих параметров (как изображено ниже). Вы хотите пометить оба этих интерфейса
WAN.
Для продолжения кликните Next
Поскольку вы уже настроили свой интерфейс LAN данный шаг снова избыточен. Значение
(изображённое ниже) должно соответствовать введённому вами на этапе установки через консоль.
Для продолжения кликните Next
Далее вы должны изменить установленный по умолчанию пароль администратора (как изображено ниже)
для большей безопасности (убедитесь чтовы сделали это).
Для продолжения кликните Next
Теперь pfSense перезагрузит изменения настроек (как изображено ниже).
Для продолжения кликните Reload
Наши поздравления! Вы выполнили начальную установку.
Для продолжения кликните ссылку here, как изображено
ниже.
Тема по умолчанию и инструментальная панель будут выглядеть как- то навроде рисунка показанного ниже. Отметим, что всё выравнено по
левому краю. Я предпочитаю изменять это на выравнивание по центру для более простой навигации и совместимости с мобильным телефоном.
Давайте изменим тему по умолчанию на NERVECENTER путём выбора
System>General Setup как отображено ниже.
Теперь отмотаем вниз и выберем тему NERVECENTER из ниспадающего списка. Не забывайте сохранять
изменения!
Ваша новая тема NERVECENTER должна выглядеть примерно так как изображено ниже.
2.8 Настройка сервера DHCP
Следующий шаг состоит в активации сервера DHCP в LAN. Он будет назначать IP адреса всем локально
подключаемым машинам.
Для продолжения кликните System>DHCP Server как изображено ниже.
Вам следует посмотреть следующее окно (отображённое ниже). Пометьте блок Enable DHCP server on
LAN interface (Активировать сервер DHCP на интерфейса LAN).
После пометки блока службы вам нужно установить диапазон (range, как изображено ниже).
Я предпочитаю использовать диапазон (x.x.x.100-x.x.x.200
).
Это позволяет статичное резервирование адресов до и после данного диапазона, что очень полезно. Также отметим
Deny unknown clients switch (Запретить коммутацию неизвестных клиентов, как изображено ниже).
Я предпочитаю сохранять его не помеченным пока все записи не добавлены в вашу систему. Когда всё будет будет проверено и заработает,
мы сможете пометить этот блок и сохранить изменения. Это позволит предотвратить получение адресов не авторизованными аппаратными
средствами в вашей системе (что очень полезно и настоятельно рекомендуется).
2.8.1 WINS, DNS, шлюз и домен
Когда клиент присоединяется к серверу DHCP, он
получает всю информацию от следующих записей. В этом примере мы установим Zentyal
для работы в качестве сервера каталога для домена YOURWEBS.US
.
Записи серверов WINS ниже являются адресами
ZentyalDC1
и
ZentyalDC2
соответственно. Записи
DNS и Gateway являются IP интерфейсом LAN
pfSense
Изображение ниже отображает другой коммутатор безопасности, который я предпочитаю оставлять выключенным пока всё не будет проверено и
на заработает. Разрешив Enabling Static ARP Entries pfSense (Активация статичных записей ARP)
позволит предотвращать взаимодействие с адаптером LAN
ЛЮБОМУ оборудованию ВНЕ списка. Это ещё один
мощный инструмент помогающий вам сохранять безопасность сетевой среды (настоятельно рекомендуется)!
2.8.2 Резервирование клиента DHCP
Если вы отмотаете страницу вниз, вы увидите таблицу статичных соответствий (Static mappings table). Изображённая ниже является
предварительно заполняемой (pre-populated) и имеет цель снабдить вас концепцией того как эта таблица
будет выглядеть после создания нескольких записей. Я настоятельно рекомендую вводить
ВСЁ адреса оборудования в вашей сетевой сред здесь с полными описаниями
(как отображено ниже). Не то чтобы это было необходимым если вы хотите
разрешить записи статичных ARP (отображённый выше), но это становится
очень удобно если вам нужно быстро просматривать IP адреса всех машин в вашей сетевой среде.
Чтобы сделать запись: кликните кнопку + в правой стороне (как
отображено ниже).
Далее вы должны увидеть форму записи DHCP (отображённую ниже). Я включил простую запись для справки (как отображено ниже). После
изготовления записи убедитесь в сохранении ваших изменений.
Замечание | |
---|---|
На самом деле НЕТ необходимости делать здесь записи WINS, DNS, шлюза |
2.9 Настройка сервера DHCP
Последняя вещь, которую вы должны сделать, это установить пару правил межсетевого экрана. Мы разрешим ВЕСЬ обмен между клиентами
LAN и позволим ВСЕМ клиентам LAN
выходить в WAN. Вначале мы добавим правило LAN to LAN
.
Для выполнения кликните Firewall>Rules как показано ниже.
2.9.1 Правила LAN
Вы должны увидеть закладки с именами ваших сетевых интерфейсов. Некоторые из моих закладок (изображённых ниже) имеют
другие имена. Просто я их переименовал! Например: я переименовал свой интерфейс
WAN в JAB. Единственные интерфейсы, которые мы
собираемся рассматривать это LAN и WAN.
Изображённый ниже список является предварительно заполняемым для представления концепции того,
как таблица будет выглядеть после изготовления наших записей правил LAN.
Чтобы добавить новое правило LAN to LAN, кликните на кнопку +
в правой части (как изображено ниже).
Рисунок ниже показывает заполненное правило LAN to LAN. Задублируйте это правило не забыв
сохранить изменения по завершению.
2.9.2 Правила WAN
Далее мы установим правило, позволяющее всем LAN выходить в WAN.
Вспомните, я переименовал WAN в JAB (как изображено
ниже)! Запись в вашей системе будет выполнена в закладке WAN. Список рисунков ниже является
предварительно заполненным чтобы представить вам идею того, как будет выглядеть таблица после
составления правила WAN.
Чтобы добавить новое правило LAN to ANY, кликните на кнопку +
в правой части (как изображено ниже).
Рисунок ниже отображает заполненное правило LAN to ANY в интерфейсе
WAN. Задублируйте это правило не забыв сохранить изменения по завершению!
OpenVPN является туннелирующим протоколом, который делает возможным безопасный удалённый доступ в вашу систему. Присоединившись к туннелю
VPN клиенты могут работать так, будто они находятся на площадке. Чтобы VPN заработал, вам нужно иметь статичный IP адрес, а все
удалённые машины должны иметь связующего клиента. Ручная настройка VPN может быть достаточно трудоёмкой даже для профессионалов, однако
разработчики pfSense включили в состав фантастический мастер, позволяющий вам поднять всё и запустить с минимальными усилиями.
Замечание | |
---|---|
Даже при наличии мастера это будет длинная глава, поэтому сделайте запасы кофе и соберите всё своё внимание! Давайте |
2.10.1 Утилита экспорта клиента OpenVPN
Для начала кликните System>Packages (как показано ниже).
Если вы не видите OpenVPN Client Export Utility в
Installed Packages, загрузите и установите её в закладке
Installed Packages (изображённой ниже).
2.10.2 Мастер настройки OpenVPN
После установки OpenVPN Client Export Utility перейдите в главный экран инструментальной
панели, а затем кликните VPN>OpenVPN (как изображено ниже).
Затем кликните на вкладку мастера (Wizard, как изображено ниже).
Теперь выберите Local User Access в ниспадающем меню, а затем кликните кнопку
Next (как отображено ниже).
Теперь вам нужно установить Certificate Authority (CA, сертификат авторизации). Заполните
форму как показано ниже и потом кликните Add new CA.
Далее нам понадобится создать New Server Certificate (сертификат нового сервера). Оставьте
Key length (длину ключа) со значением 1024 bits
для
лучших результатов. Затем, по завершению, кликните Create new Certificate (создать новый
сертификат, как изображено ниже).
В приводимом ниже на рисунке разделе общей информации (General Information) я оставил
значения Protocol и Port как
default. Interface обычно должен быть
WAN, но я переименовал свой в JAB для
этого сервера. Это поможет для целей идентификации при наличии множества соединений WAN,
обслуживающих туннели VPN.
Настройки шифрования (Cryptographic Settings, показанные ниже) также должны быть оставленными
в значениях по умолчанию пока вы не поймёте что вы делаете.
Для Настроек туннеля (Tunnel Settings, отображённых ниже) я разрешаю одного
клиента в 10.10.10.0/24
сетевой среде туннеля.
Этот клиент будет иметь доступ к локальной сети 192.168.0.0/24
.
В Настройках клиента (Client Settings, изображённых ниже) я разрешаю Dynamic
IP и Address Pool (динамичный IP и пул адресов). Я также назначаю
pfSense IP address на сервер DNS и поддержку
YOURWEBS.US
в качестве домена поумолчанию. Затем завершаем
нажатием Next (как отображено ниже).
Мастер теперь установит правила межсетевого экрана. Для продолжения нажмите Next (как отображено
ниже).
Теперь мастер выполнит настройку вашего VPN. Для продолжения нажмите Next (как отображено
ниже).
По завершению вы увидите вашу настройку сервера как отображено ниже.
2.10.3 Соединения клиента OpenVPN
Для того чтобы любой клиент мог соединиться с вашим сервером VPN ДОЛЖНЫ быть установлены
экспортируемые соединения клиента. Вам следует применять установки по умолчанию (как изображено
ниже) для ваших пакетов соединения.
В нижней части этой страницы вы найдёте гиперссылки для
пакетов установки клиента (Client Install Packages) в колонке
Exports справа (как показано ниже). Просто кликните по ссылке на пакет, который вы
собираетесь загрузить.
Когда появится диалог загрузки (как изображено ниже), сохраните файл на диск для установки на вашей клиентской машине.
Пожалуйста, имейте в виду: Когда устанавливаете
соединители для Windows клиентов, вы должны быть уверены,что выполняете установку в правами
Администратора!
2.10.4 Аутентификация пользователей домена Zentyal
Теперь, когда у вас есть сервер VPN, давайте настроим его так, чтобы пользователи Домена могли выполнять аутентификацию и использовать его!
Чтобы сделать это вам вначале надо получить установку Zentyal, которая описана
в Книге 4. Контроллер домена Zentyal.
При наличии установленного Zentyal давайте продолжим, кликнув
System>User Manager (как показано ниже).
Далее кликните по закладке Servers (как показано ниже). Заметим: приводимый ниже список уже
предварительно заполнен ZentyalDC1
на для вашей справки. Ваша
установка должна отображать на данный момент только Local Database
.
Чтобы добавить новый сервер кликните на кнопку +(как показано ниже).
Затем вам нужно ввести информацию о вашем контроллере домена Zentyal
(как показано ниже).
Замечание | |
---|---|
Синтаксис Base DN должен вводиться |
Теперь мы проверим новый сервер аутентификации. Выберите сервер в закладке
Settings
Save and Test (как изображено ниже).
Тест должен успешно выполниться, как отображено ниже. Если нет, повторно проверьте ваши настройки и повторите попытку. Когда завершите,
кликните Close (как изображено ниже).
Чтобы смонтировать самый высокий уровень безопасности нам потребуются только
аутентификация Zentyal пользователей VPN.
Проверьте что вы изменили сервер аутентификации назад на
локальную базу данных после тестирования (как показано ниже).
Завершающий шаг состоит в активации (enable) сервера
Zentyal в качестве основы
для аутентификации (Backend for authentication) в сервере OpenVPN.
Чтобы сделать это, кликните VPN>OpenVPN с последующим
изменением сервера чтобы убедиться, что новый сервер
Zentyal
выделен как показано ниже. По завершению не забудьте сохранить изменения!
Одним из важнейших компонентов любой современной деловой сетевой среды является обнаружение вторжений или
IDS (intrusion detection).
Когда дело доходит до IDS, Snort является наиболее популярным пакетом на сегодняшний
день! Концепцией поведения IDS является мониторинг протоколов передачи данных на предмет нехарактерного поведения и уничтожения соединения в
случае обнаружения такого поведения. Это именно тот способ, которым поставщики антивирусного и вредоносного ПО находят новые угрозы и
создают обновления для борьбы с такими угрозами.
Большинство систем IDS настраиваются на наблюдение за внешними соединениями по умолчанию. Я рекомендую вместо этого наблюдать за
внутренними соединениями. Такая методика отлавливает злонамеренный код который может быть привнесён в портативные устройства, например, в
смартфоны и USB- флешки.
Замечание | |
---|---|
Snort может быть достаточно сложным в установке для тех, кто незнаком с Snort работать уже сейчас!. |
2.11.1 Установка пакета Snort
Для начала кликните System>Packages (как показано ниже).
Вы не видите Snort в Установленных пакетах,
загрузите и установите его в закладке Available Packages (как изображено
ниже).
После установки пакета кликните Services>Snort (как изображено
ниже).
2.11.2 Глобальные настройки Snort
В закладке глобальных установок (Global Settings, показанной ниже) убедитесь, что отмечено ONLY Emerging
Threats (только возникающие угрозы). Скопируйте все остальные настройки.
2.11.3 Интерфейсы Snort
В закладке Snort Interfaces добавьте интерфейс кликнув на кнопку
+ (как показано ниже). Заметим: для справочных целей я присоединил предварительно
заполненный интерфейс.
Для данного примера мы добавим интерфейс LAN
(как показано ниже),
который будет перехватывать предупреждения, вызываемые инфицированными USB флешками и смарт-фонами.
Для нормальной работы скопируйте мои параметры предупредительных настроек (Alert Settings).
ВАЖНО: в процессе начального обучения вы захотите
UNCHECK Block Offenders (снять флажок блокировки правонарушителей). Это лишь
временная мера, пока вы наблюдаете за нормальным трафиком и добавляете все ложные предупреждения в
suppression list (запретительный спсиок).
Для установок определения производительности (Detection Performance Settings) дублируйте мои настройки (показанные ниже).
Оставьте все настройки белого списка по умолчанию (как показано ниже).
Фильтр подавления (показанный ниже) будет генерироваться автоматически после начального наблюдения и добавления первой
запретительной записи.
Теперь, когда вы завершили настройку интерфейса LAN
,
кликните Save (как показано ниже)
2.11.4 Обновление правил угроз
В закладке Update (отобржённой ниже) кликните кнопку
Update в середине страницы.
2.11.5 Категории правил угроз
Категории правил угроз являются
специфичными для выбранного интерфейса. Поскольку мы настраиваем интерфейс
LAN
для наблюдения, вы должны изменить этот особенный
интерфейс кликнув кнопку редактирования (e) справа в закладке
Snort Interfaces. Далее кликните на закладку LAN Categories и
выберите ТОЛЬКО отображённые ниже правила. Выбор
прочих правил ЗАЛЬЁТ вас
лишними предупреждениями и с ними стоит поэкспериментировать только когда вы освоите
Snort.
2.11.6 Добавление оповещений в список блокировок
Поскольку Snort выполняется, вы НАЧНЁТЕ просматривать предупреждения как
показано в списке ниже. Вы можете добавить предупреждения low-risk (с низким риском) в
список запретов кликнув по кнопке плюс (+) в колонке
SID (как показано ниже).
Подсказка: | |
---|---|
Используйте здравы смысл при создании запретительного списка! |
Когда вы запретите все предупреждения,
список подавления должен генерироваться
автоматически (auto-generated, как показано ниже).
2.11.7 Блокировка источника нарушения правил
Поскольку вы наблюдаете за обычным сетевым обменом и установили список подавлений, самое время позволить
работать Snort. Теперь вы можете вернуться в настройки Snort
Interface и разрешить offenders to be blocked at the source (блокировку
злоумышленников в источнике). Запомните, этот параметр я рекомендую оставлять не помеченным, пока вы изменяете наблюдение за
обменом.
ВАЖНО: | |
---|---|
Snort очень мощен и БУДЕТ |
2.12 Резервные копии настроек
Помимо применения резервных копий образов ВМ также целесообразно сохранять копию настроек pfSense. Резервная копия настроек в особенности
важна когда разработчики переписывают сборку таким образом, что нарушают определённые пакеты обновлений. В этих обстоятельствах резервная
копия образа вашей ВМ вернёт вас только назад к версии, которую вы применяли до того. У меня это случилось только 1 раз за последние 7 лет,
так что не надо сильно беспокоиться!
Чтобы получить доступ к странице резервного копирования настройки кликните
Diagnostics>Backup/Restore (как изображено ниже).
Вы должны увидеть диалог Backup/Restore как показано ниже. Теперь кликните по кнопке
Download configuration
Когда возникнет диалог загрузки (как показано ниже), сохраните вашу настройку на диск.
Подсказка: | |
---|---|
Я люблю сохранять её копию на флешке! |
Восстановление вашего pfSense должно быть самоочевидным! Просто воспользуйтесь параметром восстановления настройки!
Типы и конфигурация интерфейсов
— Конфигурация интерфейса
Для назначения нового интерфейса:
Новый назначенный интерфейс будет показан в списке. Новый интерфейс будет
иметь имя по умолчанию, назначенное брандмауэром, такое как OPT1 или OPT2, с
количество увеличивается в зависимости от порядка его присвоения. Первые два интерфейса
по умолчанию используются имена WAN и LAN, но их можно переименовать. Эти имена OPTx
появляются в меню Интерфейсы , например, Интерфейсы> OPT1 .Выбор
опция меню для интерфейса откроет страницу конфигурации для этого
интерфейс.
Следующие параметры доступны для всех типов интерфейсов.
Описание
Имя интерфейса. Это изменит имя интерфейса на
Интерфейсы Меню на вкладках в разделе Брандмауэр> Правила , в разделе Сервисы>
DHCP и в другом месте графического интерфейса. Имена интерфейсов могут содержать только
буквы, цифры и единственный разрешенный специальный символ — подчеркивание
(«_»).Использование собственного имени позволяет легче запомнить цель
интерфейс и определить интерфейс для добавления правил брандмауэра или выбора
другие функции интерфейса.
Тип конфигурации IPv4
Конфигурирует настройки IPv4 для интерфейса. Подробная информация об этой опции находится в
следующий раздел, Типы IPv4 WAN.
Тип конфигурации IPv6
Конфигурирует настройки IPv6 для интерфейса. Подробная информация об этой опции находится в
Типы IPv6 WAN.
MAC-адрес
MAC-адрес интерфейса может быть изменен («подделан») для имитации предыдущего
часть оборудования.
Предупреждение
Мы рекомендуем избегать этой практики. Старый MAC обычно
быть очищено путем сброса оборудования, к которому подключен этот межсетевой экран, или
путем очистки таблицы ARP или ожидания истечения срока действия старых записей ARP. Это
— долгосрочное решение временной проблемы.
Подмена MAC-адреса предыдущего брандмауэра может позволить
переход со старого маршрутизатора на новый, чтобы ARP кэшировал на устройствах и
вышестоящие маршрутизаторы не являются проблемой.Его также можно использовать, чтобы обмануть
оборудование, полагая, что оно обращается к тому же устройству, что и
говорил раньше, как в случаях, когда определенный сетевой маршрутизатор использует статические
ARP или другие фильтры на основе MAC-адреса. Это обычное дело для кабельных модемов,
где они могут потребовать регистрации MAC-адреса, если он изменится.
Одним из недостатков подделки MAC-адреса является то, что если старый фрагмент
оборудование списано безвозвратно, есть риск впоследствии получить MAC-адрес
конфликт в сети, который может привести к проблемам с подключением.Кеш ARP
проблемы, как правило, носят временный характер и решаются автоматически в течение нескольких минут или
энергопотребление, другое оборудование.
Если необходимо восстановить старый MAC-адрес, эту опцию необходимо очистить и
тогда брандмауэр необходимо перезагрузить . Или введите исходный MAC
адрес сетевой карты и сохранить / применить, затем снова очистить значение.
MTU (максимальная единица передачи)
Поле размера максимального блока передачи ( MTU ) обычно можно оставить пустым,
но при необходимости можно изменить.В некоторых ситуациях может потребоваться более низкий MTU для
убедитесь, что размер пакетов соответствует Интернет-соединению. В большинстве
случаях будут работать предполагаемые значения по умолчанию для типа подключения WAN.
должным образом. Его можно увеличить для тех, кто использует в своей сети кадры большого размера.
В типичной сети Ethernet значение по умолчанию 1500, но фактическое значение
значение может варьироваться в зависимости от конфигурации интерфейса.
MSS (максимальный размер сегмента)
Подобно полю MTU, поле MSS «ограничивает» максимальный размер сегмента.
(MSS) TCP-соединений до указанного размера для решения проблем.
с обнаружением MTU пути.
Скорость и дуплекс
Значение по умолчанию для скорости канала и дуплекса — позволить брандмауэру решать, что
лучший. Эта опция обычно по умолчанию Autoselect , которая согласовывает
наилучшая возможная скорость и настройки дуплекса с одноранговым узлом, обычно с коммутатором.
Скорость и настройки дуплекса на интерфейсе должны соответствовать устройству, с которым он
подключен. Например, если для брандмауэра установлено значение Autoselect , переключатель
также должен быть настроен для Autoselect .Если на коммутаторе или другом устройстве
конкретная скорость и принудительный дуплекс, он должен соответствовать межсетевому экрану.
Блокировать частные сети
Когда активен Блокировать частные сети , программа pfSense® вставляет правило
автоматически, что предотвращает любые сети RFC 1918 ( 10.0.0.0/8
,
172.16.0.0/12
, 192.168.0.0/16
) и loopback ( 127.0.0.0/8
) из
общение по этому интерфейсу. Эта опция обычно желательна только в WAN.
интерфейсы типа для предотвращения возможности поступления трафика с частными номерами
через общедоступный интерфейс.
Блочные богонные сети
Когда активен Блокировать сети bogon , программное обеспечение pfSense блокирует трафик
из списка нераспределенных и зарезервированных сетей. Этот список периодически
обновляется брандмауэром автоматически.
Теперь, когда все пространство IPv4 назначено, этот список довольно мал,
содержащий в основном сети, которые каким-то образом были зарезервированы IANA. Эти
подсети никогда не должны активно использоваться в сети, особенно если
Интернет, поэтому рекомендуется включать эту опцию на интерфейсах типа WAN.Для IPv6 список довольно большой, он содержит значительные фрагменты возможных
Пространство IPv6, которое еще не выделено. В системах с небольшим объемом оперативной памяти
этот список может быть слишком большим, или значение по умолчанию — Таблица максимальных значений межсетевого экрана.
Записи могут быть слишком маленькими. Это значение можно изменить в системе >
Advanced на вкладке Firewall & NAT .
.Типы и конфигурация интерфейсов
| Документация pfSense
Программное обеспечение
pfSense® поддерживает множество типов сетевых интерфейсов, используя
физические интерфейсы напрямую или с использованием других протоколов, таких как PPP или
VLAN.
Назначение интерфейсов и создание новых виртуальных интерфейсов обрабатываются.
в разделе Интерфейсы> (назначить) .
Физический и виртуальный интерфейсы
Большинство интерфейсов, обсуждаемых в этой главе, можно назначить как WAN, LAN или OPT.
интерфейс под Интерфейсы> (назначить) .Все в настоящее время определенные и обнаруженные
интерфейсы перечислены непосредственно на Интерфейсы> (назначить) или в списке
доступные для назначения интерфейсы. По умолчанию в этот список входят только
физические интерфейсы, но другие вкладки в Интерфейсы> (назначить) могут
создавать виртуальные интерфейсы, которые затем можно назначить.
Интерфейсы на pfSense поддерживают различные комбинации опций на интерфейсах
самих себя. Они также могут поддерживать несколько сетей и протоколов на одном
интерфейс, или несколько интерфейсов могут быть связаны вместе в большую емкость
или резервный виртуальный интерфейс.
Все интерфейсы обрабатываются одинаково; Каждый интерфейс можно настроить под любой
тип подключения или роль. Интерфейсы WAN и LAN по умолчанию можно переименовать.
и используется другими способами.
Физические интерфейсы и виртуальные интерфейсы обрабатываются одинаково после назначения,
и иметь такие же возможности. Например, интерфейс VLAN может иметь такой же
тип конфигурации, которую может иметь физический интерфейс. Некоторые типы интерфейсов
получают особую обработку после назначения, которая описана в соответствующих
разделы этой главы.
В этом разделе рассматриваются различные типы интерфейсов, которые могут быть созданы,
назначены и управляются.
Ограничения
Хотя программное обеспечение pfSense не накладывает никаких ограничений на количество интерфейсов,
большое количество интерфейсов может работать неоптимально. Например,
брандмауэру может потребоваться гораздо больше времени для настройки интерфейсов, а графический интерфейс может иметь
проблемы с отображением с большим количеством вкладок или пунктов меню.
Большинство оборудования поддерживает столько физических интерфейсов, сколько может поместиться в
кейс.Проблемы могут отличаться от драйвера к драйверу, но обычно связаны с оборудованием.
а не результат работы операционной системы или программного обеспечения pfSense.
Помимо физических ограничений, программное обеспечение pfSense также может обрабатывать значительные числа
виртуальных интерфейсов, таких как VLAN, LAGG, VPN и др. Эти типы
количество интерфейсов, как правило, превышает количество физических интерфейсов, особенно VLAN.
Проблемы, о которых сообщают пользователи с большим количеством интерфейсов (физических и виртуальных)
зависят от оборудования, конфигурации и браузера.Эти проблемы имеют тенденцию увеличиваться по мере того, как
количество интерфейсов приближается к 200. Если конкретная среда требует
более 128 интерфейсов, рассмотрите альтернативные конструкции, не предполагающие использования
все интерфейсы на межсетевом экране напрямую. Если межсетевой экран должен обрабатывать
большое количество интерфейсов, будьте осторожны с потенциальной производительностью и проблемами графического интерфейса.
.Типы и конфигурация интерфейсов
| Документация pfSense
Программное обеспечение
pfSense® поддерживает множество типов сетевых интерфейсов, используя
физические интерфейсы напрямую или с использованием других протоколов, таких как PPP или
VLAN.
Назначение интерфейсов и создание новых виртуальных интерфейсов обрабатываются.
в разделе Интерфейсы> (назначить) .
Физический и виртуальный интерфейсы
Большинство интерфейсов, обсуждаемых в этой главе, можно назначить как WAN, LAN или OPT.
интерфейс под Интерфейсы> (назначить) .Все в настоящее время определенные и обнаруженные
интерфейсы перечислены непосредственно на Интерфейсы> (назначить) или в списке
доступные для назначения интерфейсы. По умолчанию в этот список входят только
физические интерфейсы, но другие вкладки в Интерфейсы> (назначить) могут
создавать виртуальные интерфейсы, которые затем можно назначить.
Интерфейсы на pfSense поддерживают различные комбинации опций на интерфейсах
самих себя. Они также могут поддерживать несколько сетей и протоколов на одном
интерфейс, или несколько интерфейсов могут быть связаны вместе в большую емкость
или резервный виртуальный интерфейс.
Все интерфейсы обрабатываются одинаково; Каждый интерфейс можно настроить под любой
тип подключения или роль. Интерфейсы WAN и LAN по умолчанию можно переименовать.
и используется другими способами.
Физические интерфейсы и виртуальные интерфейсы обрабатываются одинаково после назначения,
и иметь такие же возможности. Например, интерфейс VLAN может иметь такой же
тип конфигурации, которую может иметь физический интерфейс. Некоторые типы интерфейсов
получают особую обработку после назначения, которая описана в соответствующих
разделы этой главы.
В этом разделе рассматриваются различные типы интерфейсов, которые могут быть созданы,
назначены и управляются.
Ограничения
Хотя программное обеспечение pfSense не накладывает никаких ограничений на количество интерфейсов,
большое количество интерфейсов может работать неоптимально. Например,
брандмауэру может потребоваться гораздо больше времени для настройки интерфейсов, а графический интерфейс может иметь
проблемы с отображением с большим количеством вкладок или пунктов меню.
Большинство оборудования поддерживает столько физических интерфейсов, сколько может поместиться в
кейс.Проблемы могут отличаться от драйвера к драйверу, но обычно связаны с оборудованием.
а не результат работы операционной системы или программного обеспечения pfSense.
Помимо физических ограничений, программное обеспечение pfSense также может обрабатывать значительные числа
виртуальных интерфейсов, таких как VLAN, LAGG, VPN и др. Эти типы
количество интерфейсов, как правило, превышает количество физических интерфейсов, особенно VLAN.
Проблемы, о которых сообщают пользователи с большим количеством интерфейсов (физических и виртуальных)
зависят от оборудования, конфигурации и браузера.Эти проблемы имеют тенденцию увеличиваться по мере того, как
количество интерфейсов приближается к 200. Если конкретная среда требует
более 128 интерфейсов, рассмотрите альтернативные конструкции, не предполагающие использования
все интерфейсы на межсетевом экране напрямую. Если межсетевой экран должен обрабатывать
большое количество интерфейсов, будьте осторожны с потенциальной производительностью и проблемами графического интерфейса.
.
Преобразование сетевых адресов | Документация pfSense
В наиболее частом использовании трансляция сетевых адресов (NAT) позволяет несколько
компьютеры, использующие IPv4, для подключения к Интернету с использованием единого общедоступного IPv4
адрес. Программное обеспечение pfSense® позволяет эти простые развертывания, но также
вмещает гораздо более сложные и сложные конфигурации NAT, необходимые в
сети с несколькими общедоступными IP-адресами.
NAT настроен на два направления: входящее и исходящее. Исходящий NAT определяет
как трафик, покидающий локальную сеть, предназначенный для удаленной сети, такой как
Интернет переведен.Входящий NAT относится к трафику, входящему в сеть из
удаленная сеть. Наиболее распространенный тип входящего NAT — это , перенаправляет порт , т.е.
также тип, с которым наиболее знакомы многие администраторы.
Примечание
Как правило, за исключением трансляции сетевых префиксов (NPt),
NAT на IPv6 не поддерживается в pfSense. Дальнейшее обсуждение
тема в IPv6 и NAT. Если не указано иное, в данной главе
обсуждает NAT с IPv4.
Конфигурация NAT по умолчанию
В этом разделе описывается конфигурация NAT по умолчанию, присутствующая в pfSense.В
генерируется наиболее подходящая конфигурация NAT, которую можно определить
автоматически. В некоторых средах эта конфигурация может не подходить, и
pfSense полностью позволяет изменять его из веб-интерфейса. Это контраст
из многих других дистрибутивов брандмауэра с открытым исходным кодом, которые не позволяют
возможности, обычно требуемые во всех, кроме небольших простых сетей.
Конфигурация NAT исходящего трафика по умолчанию
В типичной настройке pfSense с двумя интерфейсами с LAN и WAN, NAT по умолчанию
конфигурация автоматически переводит интернет-трафик на WAN IP
адрес.Когда настроено несколько интерфейсов WAN, трафик, покидающий любую WAN
интерфейс автоматически преобразуется в адрес WAN-интерфейса, который
используемый.
Статический порт автоматически настраивается для IKE (часть IPsec). Статический порт есть
более подробно рассматривается в Outbound NAT о Outbound NAT.
Для обнаружения интерфейсов типа WAN для использования с NAT pfSense ищет
наличие шлюза, выбранного в конфигурации интерфейса, если он имеет статический
IP-адрес, или pfSense предполагает, что интерфейс является WAN, если это динамический тип.
например PPPoE или DHCP.
Конфигурация NAT для входящего трафика по умолчанию
По умолчанию на WAN-интерфейс вход из Интернета запрещен. Если
трафик, инициированный в Интернете, должен быть разрешен для достижения хоста на
внутренняя сеть, переадресация портов или NAT 1: 1. Это описано в
ближайшие разделы.
.