PfSense 2.4.4 tulemüüri ruuteri installimine ja seadistamine

Internet on tänapäeval hirmutav koht. Pea iga päev toimub uus nullpäev, turvarikkumine või lunavara, mis paneb paljusid inimesi mõtlema, kas nende süsteeme on võimalik turvata.

Paljud organisatsioonid kulutavad sadu tuhandeid, kui mitte miljoneid dollareid, et oma infrastruktuuri ja andmete kaitsmiseks installida uusimaid ja parimaid turbelahendusi. Kodukasutaja on rahalises olukorras. Isegi saja dollari investeerimine spetsiaalsesse tulemüüri on enamasti koduvõrkude raamidest väljas.

Õnneks on avatud lähtekoodiga kogukonnas spetsiaalseid projekte, mis teevad kodukasutajate turvalahenduste areenil suuri edusamme. Sellised projektid nagu Squid ja pfSense pakuvad ettevõtte tasandil turvalisust toormehindadega!

PfSense on FreeBSD-l põhinev avatud lähtekoodiga tulemüüri lahendus. Levitamist on võimalik oma seadmetele tasuta installida või pfSense'i ettevõte NetGate müüb eelkonfigureeritud tulemüüri seadmeid.

PfSense'i jaoks vajalik riistvara on väga minimaalne ja tavaliselt saab vanema kodutorni hõlpsasti ümber paigutada spetsiaalseks pfSense'i tulemüüriks. Neile, kes soovivad luua või osta võimekamat süsteemi, et kasutada rohkem pfSense'i täiustatud funktsioone, on mõned soovitatud riistvaramiinimumid:

  • 500 MHz CPU
  • 1 GB RAM-i
  • 4 GB salvestusruumi
  • 2 võrguliidese kaarti

  • 1GHz protsessor
  • 1 GB RAM-i
  • 4 GB salvestusruumi
  • 2 või enam PCI-e võrgukaarti.

Juhul, kui kodukasutaja soovib lubada paljusid pfSense'i lisafunktsioone ja funktsioone, nagu snort, viirusetõrje skaneerimine, DNS-i musta nimekirja lisamine, veebisisu filtreerimine jne, muutub soovitatud riistvara veidi rohkem kaasatuks.

PfSense tulemüüri täiendavate tarkvarapakettide toetamiseks on soovitatav, et pfSense varustaks järgmise riistvaraga:

  • Kaasaegne mitmetuumaline protsessor, mis töötab vähemalt 2,0 GHz
  • 4 GB + RAM-i
  • 10 GB + HD-ruumi
  • 2 või enam Inteli PCI-e võrgukaarti

PfSense 2.4.4 installimine

Selles jaotises näeme pfSense 2.4.4 (uusim versioon selle artikli kirjutamise ajal) installimist.

pfSense on sageli tulemüüride kasutajatele pettumus. Paljude tulemüüride vaikekäitumine on blokeerida kõik, nii hea kui halb. See on suurepärane nii turvalisuse kui ka kasutatavuse seisukohast. Enne installimisega alustamist on oluline enne konfiguratsioonide alustamist lõppeesmärk kontseptualiseerida.

Sõltumata valitud riistvarast on pfSense'i riistvarale installimine lihtne protsess, kuid see nõuab kasutajalt suurt tähelepanu sellele, milliseid võrguliidese porde milleks kasutatakse (LAN, WAN, traadita ühendus jne).

Osa installiprotsessist nõuab kasutajalt viipimist LAN- ja WAN-liideste konfigureerimise alustamiseks. Autor soovitab WAN-liidese ühendada ainult seni, kuni pfSense on konfigureeritud, ja jätkake seejärel installi lõpuleviimiseks LAN-liidese ühendamisega.

Esimene samm on hankida tarkvara pfSense saidilt https://www.pfsense.org/download/. Sõltuvalt seadmest ja installimisviisist on saadaval paar erinevat valikut, kuid selles juhendis kasutatakse ‘AMD64 CD (ISO) installerit’.

Valige varem antud lingi rippmenüü abil faili allalaadimiseks sobiv peegel.

Kui installer on alla laaditud, saab selle kas CD-le kirjutada või kopeerida USB-draivi tööriista ‘dd’ abil, mis sisaldub enamikus Linuxi distributsioonides.

Järgmine protsess on installija käivitamiseks kirjutada ISO USB-draivi. Selle saavutamiseks kasutage Linuxis tööriista ‘dd’. Esiteks peab ketta nimi asuma tähega 'lsblk'.

$ lsblk

Kui USB-draivi nimi on määratud// dev/sdc, saab pfSense ISO-i draivi kirjutada tööriistaga „dd”.

$ gunzip ~/Downloads/pfSense-CE-2.4.4-RELEASE-p1-amd64.iso.gz
$ dd if=~/Downloads/pfSense-CE-2.4.4-RELEASE-p1-amd64.iso of=/dev/sdc

Tähtis: ülaltoodud käsk nõuab juurõigusi, nii et käsu käivitamiseks kasutage juurkasutajana sudo või sisselogimist. Ka see käsk EEMALDAB KÕIK USB-draivil. Varundage kindlasti vajalikud andmed.

Kui ‘dd’ on USB-draivi kirjutamise lõpetanud või CD on põletatud, asetage kandja arvutisse, mis seadistatakse pfSense'i tulemüürina. Käivitage see arvuti meediumisse ja kuvatakse järgmine ekraan.

Selles ekraanil lubage taimeril tühjeneda või valige installikeskkonda käivitamise jätkamiseks 1 . Kui installer on taaskäivitamise lõpetanud, küsib süsteem kõiki soovitud muudatusi klaviatuuri paigutuses. Kui kõik kuvatakse emakeeles, klõpsake lihtsalt valikul „Nõus nende seadetega”.

Järgmisel ekraanil on kasutajal võimalus valida „Kiire/lihtne install” või täpsemad installimisvalikud. Selle juhendi jaoks on soovitatav kasutada lihtsalt valikut Kiire/lihtne install.

Järgmine ekraan kinnitab lihtsalt, et kasutaja soovib kasutada meetodit Kiire/lihtne install, mis ei esita installimise ajal nii palju küsimusi.

Esimene tõenäoliselt esitatav küsimus küsib, milline kernel installida. Jällegi soovitatakse enamikule kasutajatele installida ‘Standard Kernel’.

Kui installer on selle etapi lõpetanud, palub ta taaskäivitada. Eemaldage kindlasti ka installikandja, nii et masin ei käivitu uuesti installerisse.

pfSense'i seadistamine

Pärast taaskäivitamist ja CD/USB-andmekandja eemaldamist taaskäivitub pfSense äsja installitud operatsioonisüsteemi. Vaikimisi valib pfSense DHCP-ga WAN-liideseks seadistamiseks liidese ja jätab LAN-liidese konfigureerimata.

Kuigi pfSense'il on veebipõhine graafiline seadistussüsteem, töötab see ainult tulemüüri LAN-i poolel, kuid praegu on LAN-i pool seadistamata. Esimene asi, mida teha, oleks IP-aadressi määramine LAN-liidesele.

Selleks toimige järgmiselt.

  • Pange tähele, milline liidese nimi on WAN-liides (ülal em0).
  • Sisestage „1“ ja vajutage sisestusklahvi.
  • Sisestage n ja vajutage VLAN-ide kohta küsimisel sisestusklahvi.
  • Kui küsitakse WAN-liidest, sisestage esimeses etapis salvestatud liidese nimi või muutke kohe õigeks liideseks. Jällegi on see näide: em0 on WAN-liides, kuna see on Interneti-liides.
  • Järgmine viip küsib kohtvõrgu liidest, tippige uuesti õige liidese nimi ja vajutage sisestusklahvi. Selles installis on LAN-liides ’em1’.
  • pfSense küsib jätkuvalt rohkem liideseid, kui need on saadaval, kuid kui kõik liidesed on määratud, vajutage lihtsalt uuesti sisestusklahvi.
  • pfSense küsib nüüd, et liidesed oleksid õigesti määratud.


Järgmine samm on liideste määramine õige IP-konfiguratsiooniga. Kui pfSense naaseb põhiekraanile, tippige ‘2’ ja vajutage sisestusklahvi. (Jälgige kindlasti WAN- ja LAN-liidestele määratud liideste nimesid).

* MÄRKUS. * Selle installi jaoks saab WAN-liides DHCP-d probleemideta kasutada, kuid võib juhtuda, et vajatakse staatilist aadressi. WAN-is staatilise liidese konfigureerimise protsess oleks sama mis konfigureeritav LAN-liides.

Sisestage uuesti „2”, kui küsitakse, millise liidese jaoks IP-teave määrata. Jällegi on selles läbikäimises LAN-liides.

Kui küsitakse, tippige selle liidese jaoks soovitud IPv4-aadress ja vajutage klahvi Enter. Seda aadressi ei tohiks kasutada kusagil mujal võrgus ja see saab tõenäoliselt sellesse liidesesse ühendatud hostide vaikelüüsiks.

Järgmine viip küsib alamvõrgu maski nn prefiksimaski vormingus. Selle võrgu näite jaoks kasutatakse lihtsat/24 või 255.255.255.0. Kui olete valmis, vajutage sisestusklahvi.

Järgmine küsimus esitatakse ‘Upstream IPv4 Gateway’ kohta. Kuna LAN-liides on praegu konfigureeritud, vajutage lihtsalt klahvi Enter.

Järgmine viip palub seadistada IPv6 LAN-liideses. Selles juhendis kasutatakse lihtsalt IPv4, kuid kui keskkond nõuab IPv6-d, saab seda nüüd konfigureerida. Vastasel juhul jätkatakse lihtsalt klahvi Enter sisestamist.

Järgmine küsimus küsib DHCP-serveri käivitamise kohta LAN-liideses. Enamik kodukasutajaid peavad selle funktsiooni lubama. Jällegi tuleb seda keskkonnast sõltuvalt kohandada.

Selles juhendis eeldatakse, et kasutaja soovib, et tulemüür pakuks DHCP-teenuseid, ja eraldab teistele arvutitele 51 aadressi, et saada IP-aadress seadmest pfSense.

Järgmine küsimus palub taastada pfSense'i veebitööriist HTTP-protokollile. On tungivalt soovitatav seda mitte teha, kuna HTTPS-protokoll tagab teatud tasemel turvalisuse, et vältida veebikonfiguratsiooni tööriista administraatori parooli avalikustamist.

Kui kasutaja vajutab nuppu Enter, salvestab pfSense liidese muudatused ja käivitab DHCP-teenused LAN-liideses.

Pange tähele, et pfSense annab veebiaadressi juurdepääsuks veebikonfiguratsioonivahendile arvuti abil, mis on ühendatud tulemüüriseadme kohtvõrgu külge. See lõpetab põhilised seadistamisetapid, et tulemüüriseade oleks valmis veel konfiguratsioonide ja reeglite jaoks valmis.

Veebiliidesele pääseb juurde veebibrauseri kaudu, navigeerides LAN-liidese IP-aadressile.

PfSense'i vaiketeave selle kirjutamise ajal on järgmine:

Username: admin
Password: pfsense

Pärast esimest korda veebiliidese kaudu edukat sisselogimist käivitab pfSense administraatori parooli lähtestamiseks esmase seadistuse.

Esimene viip on registreerida pfSense Gold Subscription, millel on sellised eelised nagu automaatne konfiguratsiooni varundamine, juurdepääs pfSense koolitusmaterjalidele ja perioodilised virtuaalsed kohtumised pfSense arendajatega. Kuldtellimuse ostmine pole vajalik ja soovi korral võib sammu vahele jätta.

Järgmine samm palub kasutajal saada tulemüüri kohta rohkem teavet konfiguratsiooni kohta, näiteks hostinimi, domeeninimi (kui see on asjakohane) ja DNS-serverid.

Järgmine viip on konfigureeritud võrgu ajaprotokoll (NTP). Vaikevalikuid saab jätta, kui pole soovitud erinevaid ajaservereid.

Pärast NTP seadistamist palub pfSense'i installimisviisard kasutajal WAN-liidese konfigureerida. pfSense toetab WAN-liidese konfigureerimiseks mitut meetodit.

Enamiku kodukasutajate vaikimisi on kasutada DHCP-d. Kasutaja Interneti-teenuse pakkuja DHCP on kõige tavalisem meetod vajaliku IP-konfiguratsiooni saamiseks.

Järgmine samm nõuab LAN-liidese konfigureerimist. Kui kasutaja on ühendatud veebiliidesega, on LAN-liides tõenäoliselt juba konfigureeritud.

Kui aga LAN-liidest tuleb muuta, võimaldaks see samm muudatusi teha. Ärge unustage, milleks on määratud LAN-i IP-aadress, kuna see on
administraator pääseb veebiliidesele juurde!

Nagu kõigi turvamaailma asjade puhul, kujutavad vaikeparoolid endast äärmist turvariski. Järgmisel lehel palutakse administraatoril muuta administraatori kasutaja vaikeparool pfSense veebiliideseks.

Viimane samm hõlmab pfSense'i taaskäivitamist uute konfiguratsioonidega. Klõpsake lihtsalt nupul „Laadi uuesti”.

Pärast pfSense'i uuesti laadimist esitab see kasutajale enne täielikku veebiliidesesse sisselogimist viimase ekraani. Täisveebiliidesesse sisselogimiseks klõpsake lihtsalt teist nuppu „Klõpsake siin”.

Lõpuks on pfSense valmis ja reeglite seadistamiseks valmis!

Nüüd, kui pfSense on töökorras, peab administraator läbi töötama ja looma reeglid, et lubada tulemüüri kaudu asjakohast liiklust. Tuleb märkida, et pfSense'i vaikimisi reegel on lubatud. Turvalisuse huvides tuleks seda muuta, kuid see on jällegi administraatori otsus.

Täname, et lugesite läbi selle TecMinti artikli pfSense'i installimise kohta! Jälgige tulevasi artikleid pfSense'is pakutavate täpsemate valikute konfigureerimise kohta.