Страницы

22 июля 2016 г.

pfSense. Основные сведения и начало работы

pfSense — дистрибутив для создания межсетевого экрана/маршрутизатора, основанный на FreeBSD. pfSense предназначен для установки на персональный компьютер, известен своей надежностью и предлагает функции, которые часто можно найти только в дорогих коммерческих межсетевых экранах. Настройки можно проводить через web-интерфейс что позволяет использовать его без знаний базовой системы FreeBSD. pfSense обычно применяется в качестве периметрового брандмауэра, маршрутизатора, сервера DHCP/DNS, и в качестве VPN hub/spoke.
Возможности pfSense
Межсетевой экран (Firewall)
Redundancy — два или более межсетевых экрана могут быть объединены в отказоустойчивую группу, с синхронизацией настроек между ними.
CARP — CARP из OpenBSD позволяет создать аппаратную защиту от сбоев. В случае отказа сетевого интерфейса на главном межсетевом экране, активным становится другой. Так же pfSense предоставляет возможность синхронизации настроек: если изменены настройки на одном межсетевом экране, то они автоматически будут синхронизированы на другом.
Outbound and Inbound Load Balancing обеспечивается подключение к нескольким провайдерам с равномерным распределением трафика между ними (пользователь, открывающий web страницу не замечает, что элементы этой страницы загружаются по разным каналам)
NAT — Network Address Translation
VPN сервер — IPsec, OpenVPN, PPTP
PPPoE сервер
Динамический DNS
DHCP сервер и шлюз
Прокси сервер
Captive portal — перенаправление на специальную веб-страницу для авторизации для доступа в Интернет
Мониторинг и графические отчеты с использованием RRD
Работа в режиме LiveCD
Поддержка программных модулей.
Наиболее значимые расширения:
Squid — прокси-сервер
Snort — система обнаружения/нейтрализации вторжений.

Требования к аппаратному обеспечению pfSense
При развертывании системы с ожидаемой пропускной способностью не менее 10 Мбит/с минимальные требования к системе будут такие: процессор с тактовой частотой 100 МГц или больше, оперативная память 128 Мб или больше.

Система с пропускной способностью в 200 Мбит/с потребует: процессор с тактовой частотой 1000 МГц, оперативной памяти минимум 512 Мб.

Для пропускной способности до 500 Мбит/с потребуется: процессор с тактовой частотой 2000-3000 МГц, оперативная память 1024 Мб или больше.

Для развёртывания системы со скоростью передачи данных в 1000 Мбит/с между двумя интерфейсами, может быть использован процессор Pentium 4 с тактовой частотой 3000 МГц или более быстрый, с PCI-X или PCI-e адаптером, т.к. ограничения шины PCI будут препятствовать повышению производительности между двумя 1 Гбитными адаптерами. Оперативная память 2048 Мб или более.

Требования к количеству оперативной памяти предъявляются в зависимости от поставленных задач. Например в случае, если требуется организовать безусловный совместный доступ в Интернет небольшого предприятия при скорости передачи данных к провайдеру 100 Мбит/с. Достаточной конфигурацией будет: процессор 1 ГГц, оперативная память 256 Мб. Всё то же самое+ выход в Интернет через прокси сервер с ведением статистики: - объём оперативной памяти желательно увеличить до 512 Мб.

Подготовка установочного носителя
Загрузить pfSense можно на официальном сайте по ссылке https://www.pfsense.org/download/


Для установки с USB накопителя выберите Platform: USB Memstick Installer
Запишите загруженный образ на USB накопитель с помощью утилиты win32-disk-imager

Выберите носитель и образ для записи
Нажмите Write и дождитесь окончания записи

Установка pfSense
0. Отсоедините все кабели от сетевых интерфейсов на устанавливаемой машине;
1. Загрузиться с подготовленного ранее носителя;
2. В загрузочном меню выбрать пункт "1" или подождать некоторое время;
3. На вопрос установщика:
[Press R to enter recovery mode or]
[Press I to launch the installer]
Нажать "I"
4. В окне "Configure Console" выбрать: <Accept these Settings>
5. В окне "Select Task" выбрать <Quick/Easy Install>
Будьте предельно внимательны! Дальнейшие действия по установке системы приведут к потере всех данных на диске!
6. На вопрос "Are you SURE?" ответить "OK"
7. После завершения установки в окне "Reboot" нажать кнопку "Reboot" и дождаться перезагрузки системы. Не извлекайте установочный носитель до выключения системы!

Первое включение и настройка сетевых интерфейсов
После инициализации появляется меню, состоящее из 15 пунктов. Отсюда можно перезагрузить, остановить и обновить систему, сбросить настройки и пароль администратора веб-интерфейса, проверить доступность узла при помощи команды ping, просмотреть вывод pftop и журналы сервера, выйти в shell.


Назначим интерфейсы.
В меню выберем пункт "1) Assign Interfaces".
Система предложит настроить VLAN.


Should VLANs be set up now [y|n]?
Откажемся пока от данного предложения нажав "n", при необходимости мы сможем сделать это позже средствами Web-интерфейса.
Далее будет предложено назначить WAN интерфейс.
Enter the WAN interface name or 'a' for auto-detection (re0 re1 re2 re3 ath0 or nothing if finished)
Приведенные в скобках имена интерфейсов могут отличаться от указанных у вас и зависят от производителя сетевого адаптера. Моя система имеет 4 проводных (re0 re1 re2 re3) и 1 беспроводной (ath0) интерфейса.
У себя я введу "re0".
Далее будет предложено назначить LAN интерфейс.
Enter the LAN interface name or 'a' for auto-detection (re1 re2 re3 ath0 or nothing if finished)
Назначу "re1".
Теперь настало время дополнительных интерфейсов. Если у вас их нет пропустите этот шаг.
Enter the Optional 1 interface name or 'a' for auto-detection (re2 re3 ath0 or nothing if finished)
Назначу "re2".
Аналогично повторю для Optional 2 и Optional 3 интерфейса, re3 и ath0 соответственно.
После чего нажимаем "Enter" и на вопрос системы "Do you want to proceed [y|n]?" отвечаем "Y".

Теперь настроим интерфейсы назначенные ранее.
В меню выберем пункт "2) Set interface(s) IP address"
Нам будет представлен список имеющихся интерфейсов:
1 - WAN (re0 - dhcp, dhcp6)
2 - LAN (re1 - static)
3 - OPT1 (re2)
4 - OPT2 (re3)
5 - OPT3 (ath0)
Выберем пункт "1" для настройки WAN интерфейса.
На вопрос стоит ли получать адрес интерфейса WAN автоматически по протоколу DHCP:
Configure IPv4 address WAN interface via DHCP? (y/n)
Отвечаю "Y". Если у вас статический IP адрес от интернет провайдера, то вам будет предложено его ввести.
Configure IPv6 address WAN interface via DHCP? (y/n)
Отвечаю "N".
Enter the new WAN IPv6 address. Press <Enter> for none
Нажимаю "Enter".
Далее будет предложено настроить протокол конфигурации через Web интерфейс на WAN интерфейсе.
Do you want to revert to HTTP as the webConfigiretor protocol? (y/n)
Я откажусь от настройки нажав "N", настроив позже управление из локальной сети.
Press <Enter> to continue.
Жмем "Enter".

Теперь очередь LAN интерфейса.
В меню выберем пункт "2) Set interface(s) IP address"
Нам снова будет представлен список имеющихся интерфейсов:
1 - WAN (re0 - dhcp)
2 - LAN (re1 - static)
3 - OPT1 (re2)
4 - OPT2 (re3)
5 - OPT3 (ath0)
По умолчанию LAN интерфейсу присвоена сеть 192.168.1.0/24. Я изменю ее на другую и настрою выдачу адресов динамически.
Выберем пункт "2" для настройки LAN интерфейса.
Enter the new LAN IPv4 address. Press <Enter> for none
Введу 10.1.1.1
Enter the new LAN IPv4 subnet bit count (1 to 31).
Введу маску сети 24 бита.
For a WAN enter the LAN IPv4 upstream gateway address. For a LAN press <Enter> for none.
Жмем "Enter"
Enter the new LAN IPv6 address. Press <Enter> for none.
Жмем "Enter"
Do you want to enable the DHCP server on LAN? (y/n)
Жмем "Y"
Enter the start address of IPv4 client address range:
Вводим начальный адрес 10.1.1.10
Enter the end address of IPv4 client address range:
Вводим конечный адрес 10.1.1.250
Do you want to revert to HTTP as the webConfigiretor protocol? (y/n)
Соглашаемся нажав "Y", настроив тем самым управление из локальной сети средствами Web интерфейса.
Система выведет адрес для подключения к Web-интерфейсу pfsense.
http://10.1.1.1/
Press <Enter> to continue.
Жмем "Enter".

Оставшиеся дополнительные (Optional) интерфейсы можно оставить без изменения, их в последствии легко настроить через Web-интерфейс.

Теперь можно подключить все кабели к сетевым адаптерам. Угадать имена при наличии нескольких одинаковых сетевых адаптеров без знания их МАС-адресов часто бывает сложно. Поэтому, если что-то не работает, просто попробуйте переподключить сетевые кабели.

Для подключения через Web-интерфейс по умолчанию используется логин: admin и пароль: pfsense

Комментариев нет:

Отправить комментарий