Weboldal keresés

A pfSense 2.4.4 Firewall Router telepítése és konfigurálása

Az internet ijesztő hely manapság. Szinte naponta történik egy új nulladik nap, biztonsági incidens vagy zsarolóprogram, ami miatt sok ember elgondolkodik azon, hogy lehetséges-e megvédeni rendszereiket.

Sok szervezet több százezer, ha nem millió dollárt költ arra, hogy a legújabb és legjobb biztonsági megoldásokat telepítse infrastruktúrája és adatai védelme érdekében. Az otthoni felhasználók azonban anyagilag hátrányos helyzetben vannak. Akár száz dollár befektetése egy dedikált tűzfalba gyakran túlmutat a legtöbb otthoni hálózaton.

Szerencsére a nyílt forráskódú közösségben vannak olyan dedikált projektek, amelyek nagy előrelépést tesznek az otthoni felhasználói biztonsági megoldások terén. Az olyan projektek, mint az IPfire, a Snort, a Squid és a pfSense, mind vállalati szintű biztonságot nyújtanak nyersanyagárak mellett!

A PfSense egy FreeBSD alapú nyílt forráskódú tűzfal megoldás. A disztribúció ingyenesen telepíthető saját berendezésre, vagy a pfSense mögött álló cég, a NetGate előre konfigurált tűzfalberendezéseket árul.

A pfSense-hez szükséges hardver nagyon minimális, és általában egy régebbi otthoni tornyot könnyen át lehet alakítani egy dedikált pfSense tűzfallá. Azok számára, akik alkalmasabb rendszert szeretnének építeni vagy vásárolni a pfSense fejlett funkcióinak több futtatásához, néhány javasolt hardver minimumra van szükség:

Hardver minimumok

  • 500 MHz-es CPU
  • 1 GB RAM
  • 4 GB tárhely
  • 2 hálózati interfész kártya

Javasolt hardver

  • 1 GHz-es CPU
  • 1 GB RAM
  • 4 GB tárhely
  • 2 vagy több PCI-e hálózati interfész kártya.

Komoly otthoni felhasználói hardverjavaslatok (és vállalatok számára)

Abban az esetben, ha egy otthoni felhasználó szeretné engedélyezni a pfSense számos extra szolgáltatását és funkcióját, mint például a Snort, Anti-Vírus szkennelés, DNS feketelista, webtartalom szűrés, stb. az ajánlott hardver egy kicsit jobban érintett lesz.

A pfSense tűzfal extra szoftvercsomagjainak támogatásához ajánlott a következő hardvert biztosítani a pfSense számára:

  • Modern többmagos CPU, legalább 2,0 GHz-en
  • 4 GB+ RAM
  • 10 GB+ HD-tárhely
  • 2 vagy több Intel PCI-e hálózati interfész kártya

A pfSense 2.4.4 telepítése

Ebben a részben a pfSense 2.4.4 (a cikk írásakor a legújabb verzió) telepítését láthatjuk.

A Laboratórium beállítása

A pfSense gyakran frusztráló a tűzfallal kezdő felhasználók számára. Sok tűzfal alapértelmezett viselkedése az, hogy mindent blokkol, legyen az jó vagy rossz. Ez nagyszerű biztonsági szempontból, de nem használhatósági szempontból. A telepítés megkezdése előtt fontos, hogy a konfigurációk megkezdése előtt meghatározzuk a végcélt.

A pfSense letöltése

Függetlenül attól, hogy melyik hardvert választjuk, a pfSense telepítése a hardverre egyszerű folyamat, de megköveteli a felhasználótól, hogy fokozottan figyeljen arra, hogy mely hálózati interfész portokat milyen célra használják (LAN, WAN, vezeték nélküli stb.).

A telepítési folyamat része a felhasználó felkérése, hogy kezdje meg a LAN és WAN interfészek konfigurálását. A szerző azt javasolja, hogy csak a WAN interfészt csatlakoztassa a pfSense konfigurálásáig, majd folytassa a telepítés befejezését a LAN interfész csatlakoztatásával.

Az első lépés a pfSense szoftver beszerzése a https://www.pfsense.org/download/ webhelyről. Az eszköztől és a telepítési módtól függően néhány különböző lehetőség áll rendelkezésre, de ez az útmutató az „AMD64 CD (ISO) telepítőt” használja.

A korábban megadott linken található legördülő menü segítségével válassza ki a megfelelő tükröt a fájl letöltéséhez.

A telepítő letöltése után vagy CD-re írható, vagy USB-meghajtóra másolható a legtöbb Linux-disztribúcióban található „dd” eszközzel.

A következő folyamat az ISO kiírása egy USB-meghajtóra a telepítő indításához. Ennek eléréséhez használja a „dd” eszközt a Linuxon belül. Először is, a lemez nevének az „lsblk”-nek kell lennie.


lsblk

Ha az USB-meghajtó neve „/dev/sdc”, a pfSense ISO a „dd” eszközzel írható a meghajtóra.


gunzip ~/Downloads/pfSense-CE-2.4.4-RELEASE-p1-amd64.iso.gz
dd if=~/Downloads/pfSense-CE-2.4.4-RELEASE-p1-amd64.iso of=/dev/sdc

Fontos: A fenti parancshoz root jogosultság szükséges, ezért használja a 'sudo-t, vagy jelentkezzen be root felhasználóként a parancs futtatásához. Ez a parancs is MINDEN ELTÁVOLÍTÁSA az USB-meghajtón. Mindenképpen készítsen biztonsági másolatot a szükséges adatokról.

A pfSense telepítése

Miután a „dd” befejezte az írást az USB-meghajtóra vagy a CD-t kiégette, helyezze be az adathordozót a számítógépbe, amely a pfSense tűzfalként lesz beállítva. Indítsa el a számítógépet erre az adathordozóra, és a következő képernyő jelenik meg.

Ezen a képernyőn hagyja, hogy az időzítő lejárjon, vagy válassza az 1 lehetőséget a telepítői környezetbe való rendszerindítás folytatásához. Amint a telepítő befejezte a rendszerindítást, a rendszer kérni fogja a billentyűzetkiosztás kívánt módosításait. Ha minden az anyanyelvén jelenik meg, egyszerűen kattintson az „Elfogadja ezeket a beállításokat” lehetőségre.

A következő képernyő a „Gyors/Egyszerű telepítés” vagy további speciális telepítési lehetőségek közül választhat. Ebben az útmutatóban egyszerűen a „Gyors/Egyszerű telepítés” opció használata javasolt.

A következő képernyő egyszerűen megerősíti, hogy a felhasználó a „Gyors/Easy Install” módszert kívánja használni, amely nem tesz fel annyi kérdést a telepítés során.

Az elsõ kérdés, amely feltehetõleg azt kérdezi, hogy melyik kernelt kell telepíteni. Ismét azt javasoljuk, hogy a legtöbb felhasználó számára telepítse a „Standard Kernelet”.

Amikor a telepítő befejezte ezt a szakaszt, újraindítást kér. Ne felejtse el eltávolítani a telepítő adathordozót is, hogy a gép ne induljon vissza a telepítőbe.

pfSense konfiguráció

Az újraindítás és a CD/USB adathordozó eltávolítása után a pfSense újraindul az újonnan telepített operációs rendszerrel. Alapértelmezés szerint a pfSense kiválaszt egy interfészt, amelyet WAN-interfészként kíván beállítani a DHCP-vel, és konfigurálatlanul hagyja a LAN-interfészt.

Míg a pfSense rendelkezik web alapú grafikus konfigurációs rendszerrel, az csak a tűzfal LAN oldalán fut, de jelenleg a LAN oldal konfigurálatlan lesz. Az első dolog az lenne, hogy beállítsunk egy IP-címet a LAN interfészen.

Ehhez kövesse az alábbi lépéseket:

  • Írja be az „n” kifejezést, és nyomja meg az „Enter” billentyűt, amikor a VLAN-okról kérdezik.
  • Írja be az első lépésben rögzített interfész nevét, amikor a rendszer a WAN interfészre kéri, vagy váltson át a megfelelő interfészre most. Ebben a példában is az „em0” a WAN interfész, mivel ez lesz az internet felé néző interfész.
  • A következő prompt kérni fogja a LAN interfészt, ismét írja be a megfelelő interfésznevet, és nyomja meg az „Enter” billentyűt. Ebben a telepítésben az 'em1' a LAN interfész.
  • A pfSense továbbra is további interfészeket fog kérni, ha azok elérhetők, de ha az összes interfész hozzá van rendelve, egyszerűen nyomja meg újra az „Enter” billentyűt.
  • A pfSense most kérni fogja, hogy ellenőrizze az interfészek megfelelő hozzárendelését.

  • Ha az interfészek helyesek, írja be az „y” kifejezést, és nyomja meg az „Enter” billentyűt.


    • A következő lépés az interfészekhez a megfelelő IP-konfiguráció hozzárendelése. Miután a pfSense visszatér a főképernyőre, írja be a „2” kifejezést, és nyomja meg az „Enter” billentyűt. (Mindenképpen kövesse nyomon a WAN és LAN interfészekhez rendelt interfészneveket).

    *MEGJEGYZÉS* Ehhez a telepítéshez a WAN interfész probléma nélkül tudja használni a DHCP-t, de előfordulhatnak olyan esetek, amikor statikus címre van szükség. A WAN statikus interfészének konfigurálásának folyamata megegyezik a konfigurálás előtt álló LAN interfészével.

    Írja be újra a „2” kifejezést, amikor a rendszer megkérdezi, hogy melyik interfészhez kell beállítani az IP-adatokat. Ismét a 2 a LAN interfész ebben a lépésben.

    Amikor a rendszer kéri, írja be az ehhez az interfészhez kívánt IPv4-címet, és nyomja meg az „Enter” billentyűt. Ezt a címet nem szabad sehol máshol használni a hálózaton, és valószínűleg ez lesz az alapértelmezett átjáró az interfészhez csatlakoztatott gazdagépek számára.

    A következő prompt kérni fogja az alhálózati maszkot az úgynevezett előtagmaszk formátumban. Ehhez a példahálózathoz egy egyszerű /24 vagy 255.255.255.0 lesz használva. Ha végzett, nyomja meg az „Enter” billentyűt.

    A következő kérdés a „felfelé irányuló IPv4-átjáróra” vonatkozik. Mivel a LAN interfész jelenleg konfigurálva van, egyszerűen nyomja meg az „Enter” billentyűt.

    A következő prompt kérni fogja, hogy konfigurálja-e az IPv6-ot a LAN interfészen. Ez az útmutató egyszerűen IPv4-et használ, de ha a környezet IPv6-ot igényel, akkor most konfigurálható. Ellenkező esetben az „Enter” billentyű lenyomása folytatódik.

    A következő kérdés a DHCP-kiszolgáló LAN interfészen történő indítására vonatkozik. A legtöbb otthoni felhasználónak engedélyeznie kell ezt a funkciót. A környezettől függően ezt ismét módosítani kell.

    Ez az útmutató feltételezi, hogy a felhasználó azt akarja, hogy a tűzfal DHCP-szolgáltatásokat nyújtson, és 51 címet oszt ki más számítógépek számára, hogy IP-címet kapjanak a pfSense eszköztől.

    A következő kérdés a pfSense webes eszközének visszaállítása a HTTP protokollra. Erősen javasoljuk, hogy ezt NE tegye meg, mivel a HTTPS-protokoll bizonyos szintű biztonságot nyújt, hogy megakadályozza a webes konfigurációs eszköz rendszergazdai jelszavának nyilvánosságra hozatalát.

    Miután a felhasználó megnyomja az „Enter” gombot, a pfSense elmenti az interfész módosításait, és elindítja a DHCP-szolgáltatásokat a LAN-interfészen.

    Figyelje meg, hogy a pfSense megadja a webcímet a webkonfigurációs eszköz eléréséhez a tűzfaleszköz LAN-oldalára csatlakoztatott számítógépen keresztül. Ezzel lezárulnak az alapvető konfigurációs lépések, amelyekkel a tűzfaleszköz készen áll a további konfigurációkra és szabályokra.

    A webes felület egy webböngészőn keresztül érhető el, a LAN interfész IP-címére navigálva.

    Az írás idején a pfSense alapértelmezett információi a következők:

    
Username: admin
Password: pfsense

    A webes felületen történő első sikeres bejelentkezés után a pfSense végigfut egy kezdeti beállításon az adminisztrátori jelszó visszaállításához.

    Az első kérés a pfSense Gold előfizetésre való regisztráció, amely olyan előnyökkel jár, mint az automatikus konfigurációs biztonsági mentés, a pfSense képzési anyagokhoz való hozzáférés, valamint a pfSense fejlesztőkkel való rendszeres virtuális találkozók. Arany előfizetés vásárlása nem szükséges, és a lépés kihagyható, ha szükséges.

    A következő lépés további konfigurációs információkat kér a felhasználótól a tűzfalról, például a gazdagépnévről, a tartománynévről (ha van) és a DNS-kiszolgálóról.

    A következő kérdés a konfigurált Network Time Protocol, NTP konfigurálása lesz. Az alapértelmezett beállításokat meg lehet hagyni, hacsak nem kíván különböző időszervereket.

    Az NTP beállítása után a pfSense telepítővarázsló felkéri a felhasználót a WAN interfész konfigurálására. A pfSense többféle módszert támogat a WAN interfész konfigurálására.

    A legtöbb otthoni felhasználó alapértelmezése a DHCP használata. A felhasználó internetszolgáltatójától származó DHCP a legáltalánosabb módszer a szükséges IP-konfiguráció megszerzésére.

    A következő lépés a LAN interfész beállítását kéri. Ha a felhasználó csatlakozik a webes interfészhez, a LAN interfész valószínűleg már konfigurálva van.

    Ha azonban módosítani kell a LAN interfészt, ez a lépés lehetővé teszi a változtatások végrehajtását. Ügyeljen arra, hogy emlékezzen a LAN IP-címére, mivel így a
    rendszergazda hozzáfér a webes felülethez!

    Mint a biztonság világában minden más dolog, az alapértelmezett jelszavak rendkívüli biztonsági kockázatot jelentenek. A következő oldal arra kéri a rendszergazdát, hogy módosítsa az „admin” felhasználó alapértelmezett jelszavát a pfSense webes felületre.

    Az utolsó lépés a pfSense újraindítása az új konfigurációkkal. Egyszerűen kattintson az „Újratöltés” gombra.

    A pfSense újratöltése után egy utolsó képernyőt mutat be a felhasználónak, mielőtt bejelentkezik a teljes webes felületre. Egyszerűen kattintson a második „Kattintson ide” gombra a teljes webes felületre való bejelentkezéshez.

    Végre elkészült a pfSense, és készen áll a szabályok konfigurálására!

    Most, hogy a pfSense működik és fut, a rendszergazdának szabályokat kell létrehoznia, amelyek lehetővé teszik a megfelelő forgalmat a tűzfalon. Megjegyzendő, hogy a pfSense alapértelmezés szerint engedélyez mindent. A biztonság kedvéért ezen változtatni kell, de ez ismét a rendszergazda döntése.

    Olvassa el még : A pfBlockerNg telepítése és konfigurálása a DNS feketelistájához a pfSense Firewallban

    Köszönjük, hogy végigolvasta ezt a TecMint cikket a pfSense telepítéséről! Maradjon velünk a jövőben a pfSense fejlettebb opcióinak konfigurálásáról szóló cikkekkel kapcsolatban.