Weboldal keresés

Az alapvető OpnSense tűzfal telepítése és konfigurálása


Egy korábbi cikkben szóba került a PfSense néven ismert tűzfal megoldás. 2015 elején döntés született a PfSense elágazásáról, és megjelent egy új tűzfalmegoldás, az OpnSense.

Az OpnSense a PfSense egyszerű ágaként indult, de teljesen független tűzfalmegoldássá fejlődött. Ez a cikk egy új OpnSense telepítés telepítésével és alapvető kezdeti konfigurációjával foglalkozik.

A PfSensehez hasonlóan az OpnSense egy FreeBSD-alapú nyílt forráskódú tűzfalmegoldás. A disztribúció ingyenesen telepíthető saját berendezésre vagy a Decisio cégnél, előre konfigurált tűzfal készülékeket árul.

Az OpnSense minimális követelményekkel rendelkezik, és egy tipikus régebbi otthoni torony könnyen beállítható OpnSense tűzfalként. A javasolt minimális előírások a következők:

Hardver minimumok

  • 500Mhz CPU
  • 1 GB RAM
  • 4 GB tárhely
  • 2 hálózati interfész kártya

Javasolt hardver

  • 1 GHz-es CPU
  • 1 GB RAM
  • 4 GB tárhely
  • 2 vagy több PCI-e hálózati interfész kártya.

Ha az olvasó az OpnSense fejlettebb funkcióit (Suricata, ClamAV, VPN szerver stb.) szeretné használni, a rendszernek jobb hardvert kell adni.

Minél több modult szeretne engedélyezni a felhasználó, annál több RAM/CPU/meghajtó területet kell tartalmaznia. Ha az OpnSense-ben tervezik a haladó modulok engedélyezését, a következő minimumok teljesítése javasolt.

  • Modern többmagos CPU, legalább 2,0 GHz-en
  • 4 GB+ RAM
  • 10 GB+ HD-tárhely
  • 2 vagy több Intel PCI-e hálózati interfész kártya

Az OpnSense Firewall telepítése és konfigurálása

Függetlenül attól, hogy melyik hardvert választja, az OpnSense telepítése egyszerű folyamat, de megköveteli a felhasználótól, hogy alaposan figyeljen arra, hogy mely hálózati interfész portokat milyen célra használják (LAN, WAN, vezeték nélküli stb.).

A telepítési folyamat részeként fel kell szólítani a felhasználót, hogy kezdje meg a LAN és WAN interfészek konfigurálását. A szerző azt javasolja, hogy csak az OpnSense konfigurálásáig csatlakoztassa a WAN interfészt, majd folytassa a telepítést a LAN interfész csatlakoztatásával.

Az OpnSense Firewall letöltése

Az első lépés az OpnSense szoftver beszerzése, és az eszköztől és a telepítési módtól függően néhány különböző lehetőség áll rendelkezésre, de ez az útmutató az 'OPNsense-18.7-OpenSSL-dvd-amd64.iso.bz2t használja.'.

Az ISO-t a következő paranccsal szereztük be:

wget -c http://mirrors.nycbug.org/pub/opnsense/releases/mirror/OPNsense-18.7-OpenSSL-dvd-amd64.iso.bz2

A fájl letöltése után ki kell tömöríteni a bunzip eszköz segítségével az alábbiak szerint:

bunzip2 OPNsense-18.7-OpenSSL-dvd-amd64.iso.bz2

A telepítő letöltése és kicsomagolása után vagy kiírható CD-re, vagy átmásolható egy USB meghajtóra a 'dd' eszközzel<. tartalmazza a legtöbb Linux disztribúcióban.

A következő folyamat az ISO kiírása egy USB meghajtóra a telepítő indításához. Ennek eléréséhez használja a dd eszközt a Linuxon belül.

Először is, a lemez nevének az „lsblk” kifejezésnek kell lennie.

lsblk

Ha az USB meghajtó neve '/dev/sdc', az OpnSense ISO a meghajtóra írható a >'dd' eszköz.

sudo dd if=~/Downloads/OPNsense-18.7-OpenSSL-dvd-amd64.iso of=/dev/sdc

Megjegyzés: A fenti parancshoz root jogosultság szükséges, ezért használja a 'sudo' parancsot, vagy jelentkezzen be root felhasználóként a parancs futtatásához. Ezenkívül ez a parancs MINDEN ELTÁVOLÍTÁSA az USB meghajtón. Mindenképpen készítsen biztonsági másolatot a szükséges adatokról.

OpnSense Firewall telepítése

Miután a dd befejezte az írást az USB-meghajtóra, helyezze az adathordozót a számítógépbe, amely opnsense tűzfalként lesz beállítva. Indítsa el a számítógépet arra az adathordozóra, és a következő képernyő jelenik meg.

A telepítőhöz való továbblépéshez egyszerűen nyomja meg az „Enter” billentyűt. Ezzel az OpnSense programot élő módba indítja, de létezik egy speciális felhasználó, aki helyette telepíti az OpnSense programot a helyi médiára.

Amikor a rendszer elindul a bejelentkezési promptra, használja a „telepítő” felhasználónevét „opnsense” jelszóval.

A telepítési adathordozó bejelentkezik, és elindítja a tényleges OpnSense telepítőt. FIGYELMEZTETÉS: Ha folytatja a következő lépéseket, a rendszerben lévő merevlemezen lévő összes adat törlődik! Óvatosan járjon el, vagy lépjen ki a telepítőből.

Az „Enter” billentyű lenyomása elindítja a telepítési folyamatot. Az első lépés a billentyűkiosztás kiválasztása. A telepítő valószínűleg alapértelmezés szerint észleli a megfelelő billentyűkiosztást. Tekintse át a kiválasztott billentyűzetkiosztást, és szükség szerint javítsa ki.

A következő képernyő néhány lehetőséget kínál a telepítéshez. Ha a felhasználó speciális particionálást szeretne végrehajtani, vagy konfigurációt szeretne importálni egy másik OpnSense-fiókból, ezt ebben a lépésben megteheti. Ez az útmutató friss telepítést feltételez, és az „Irányított telepítés” lehetőséget választja.

A következő képernyő megjeleníti a felismert tárolóeszközöket a telepítéshez.

A tárolóeszköz kiválasztása után a felhasználónak el kell döntenie, hogy a telepítő melyik particionálási sémát használja (MBR vagy GPT/EFI).

A legtöbb modern rendszer támogatja a GPT/EFI-t, de ha a felhasználó egy régebbi számítógépet használ újra, az MBR lehet az egyetlen támogatott lehetőség. Ellenőrizze a rendszer BIOS beállításaiban, hogy támogatja-e az EFI/GPT szabványt.

A particionálási séma kiválasztása után a telepítő megkezdi a telepítési lépéseket. A folyamat nem vesz igénybe különösebben hosszú időt, és rendszeres időközönként információkat kér a felhasználótól, például a root felhasználó jelszavát.

Miután a felhasználó beállította a root felhasználó jelszavát, a telepítés befejeződik, és a rendszernek újra kell indulnia a telepítés konfigurálásához. Amikor a rendszer újraindul, automatikusan be kell indulnia az OpnSense telepítőbe (a gép újraindulásakor feltétlenül távolítsa el a telepítési adathordozót).

Amikor a rendszer újraindul, leáll a konzol bejelentkezési promptjánál, és várja, hogy a felhasználó bejelentkezzen.

Most, ha a felhasználó odafigyelt a telepítés során, észrevehette volna, hogy a telepítés során előre konfigurálhatta az interfészt. Tételezzük fel azonban ennél a cikknél, hogy az interfészek nem lettek hozzárendelve a telepítéskor.

Miután bejelentkezett a root felhasználóval és a telepítés során beállított jelszóval, megjegyezhető, hogy az OpnSense csak az egyik hálózati csatolókártyát (NIC) használta ezen a gépen. Az alábbi képen a neve „LAN (em0)”.

Az OpnSense alapértelmezés szerint a normál „192.168.1.1/24” hálózatot használja a LAN-hoz. A fenti képen azonban hiányzik a WAN interfész! Ez könnyen javítható, ha beírja az '1' parancsot a promptba, és lenyomja az Enter billentyűt.

Ez lehetővé teszi a hálózati kártyák újbóli hozzárendelését a rendszeren. Figyelje meg a következő képen, hogy két interfész áll rendelkezésre: 'em0' és 'em1'.

A konfigurációs varázsló nagyon összetett beállításokat is lehetővé tesz a VLAN-ok esetében, de ez az útmutató jelenleg kéthálózati alapbeállítást feltételez; (azaz egy WAN/ISP oldal és egy LAN oldal).

Írja be az 'N' értéket, ha jelenleg nem szeretne VLAN-t konfigurálni. Ennél a beállításnál a WAN-interfész 'em0', a LAN-interfész pedig 'em1', amint az alább látható.

Erősítse meg az interfészek módosításait az 'Y' beírásával a promptba. Emiatt az OpnSense újratölti számos szolgáltatását, hogy tükrözze az interfész-hozzárendelés változásait.

Ha elkészült, csatlakoztasson egy webböngészővel ellátott számítógépet a LAN oldali interfészhez. A LAN interfészen egy DHCP szerver figyeli a klienseket, így a számítógép képes lesz megszerezni a szükséges címzési információkat az OpnSense web konfigurációs oldalához való csatlakozáshoz.

Miután a számítógép csatlakozik a LAN interfészhez, nyissa meg a webböngészőt, és keresse meg a következő URL-t: http://192.168.1.1.

Bejelentkezés a webkonzolba; használja a 'root' felhasználónevet és a telepítés során beállított jelszót. A bejelentkezés után a telepítés utolsó része befejeződik.

A telepítő első lépése további információk, például gazdagépnév, tartománynév és DNS-kiszolgálók összegyűjtésére szolgál. A legtöbb felhasználó bejelölve hagyhatja a „DNS felülbírálása” lehetőséget.

Ez lehetővé teszi az OpnSense tűzfal számára, hogy a WAN interfészen keresztül DNS-információkat kapjon az internetszolgáltatótól.

A következő képernyőn megjelenik az NTP szerverek megadása. Ha a felhasználó nem rendelkezik saját NTP-rendszerrel, az OpnSense az NTP-kiszolgálókészletek alapértelmezett készletét biztosítja.

A következő képernyő a WAN interfész beállítása. Az otthoni felhasználók legtöbb internetszolgáltatója a DHCP-t használja, hogy ügyfeleit a szükséges hálózati konfigurációs információkkal láthassa el. Ha egyszerűen a kiválasztott típust „DHCP”ként hagyja, az OpnSense arra utasítja az OpnSense-t, hogy kísérelje meg begyűjteni a WAN-oldali konfigurációját az internetszolgáltatótól.

A folytatáshoz görgessen le a WAN konfigurációs képernyő aljára. A képernyő alján található ***Megjegyzés*** két alapértelmezett szabály az olyan hálózati tartományok blokkolására, amelyek általában nem jelennek meg a WAN-interfészen. Javasoljuk, hogy hagyja bejelölve ezeket, hacsak nincs ismert ok arra, hogy engedélyezze ezeket a hálózatokat a WAN interfészen keresztül!

A következő képernyő a LAN konfigurációs képernyő. A legtöbb felhasználó egyszerűen elhagyhatja az alapértelmezett értékeket. Vegye figyelembe, hogy vannak speciális hálózati tartományok, amelyeket itt kell használni, általában RFC 1918 néven. Ügyeljen arra, hogy hagyja meg az alapértelmezett értéket, vagy válasszon egy hálózati tartományt az RFC1918 tartományból, hogy elkerülje az ütközéseket/problémákat!

A telepítés utolsó képernyője megkérdezi, hogy a felhasználó frissíteni szeretné-e a root jelszavát. Ez nem kötelező, de ha a telepítés során nem hoztak létre erős jelszót, itt az ideje a probléma megoldására!

A jelszómódosítási opciót követően az OpnSense felkéri a felhasználót, hogy töltse be újra a konfigurációs beállításokat. Egyszerűen kattintson az „Újratöltés” gombra, és adjon egy másodpercet az OpnSense-nek a konfiguráció és az aktuális oldal frissítéséhez.

Ha minden kész, az OpnSense üdvözli a felhasználót. A fő irányítópulthoz való visszatéréshez egyszerűen kattintson az „Irányítópult” elemre a böngészőablak bal felső sarkában.

Ekkor a felhasználó a fő műszerfalra kerül, és folytathatja a hasznos OpnSense bővítmények vagy funkciók bármelyikének telepítését/konfigurálását! A szerző javasolja a rendszer ellenőrzését és frissítését, ha vannak frissítések. Egyszerűen kattintson a ’Kattintson a frissítések kereséséhez’ gombra a fő irányítópulton.

Ezután a következő képernyőn a „Frissítések keresése” segítségével megtekintheti a frissítések listáját, vagy a „Frissítés most” segítségével egyszerűen alkalmazhatja az elérhető frissítéseket.

Ezen a ponton az OpnSense alapszintű telepítésének el kell indulnia, és teljesen frissítve kell lennie! A jövőbeni cikkekben a link-összesítésről és a VLAN-ok közötti útválasztásról is szó lesz, hogy az OpnSense fejlettebb képességeit mutassuk be!