Instalacja firewalla open source pfSense
pfSense jest firewallem bazującym na dystrybucji FreeBSD. Oprogramowanie pfSense jest instalowane na serwerze i wymaga jako firewall przynajmniej dwóch kart sieciowych. Konfiguracja firewalla może zostać przeprowadzona za pośrednictwem interfejsu webowego i dlatego zarządzanie nim nie wymaga specjalnego know-how z zakresu FreeBSD. Jeżeli jednak konfiguracja ma zostać przeprowadzona z CLI to konieczna do tego jest odpowiednia znajomość systemu FreeBSD.
Funkcje
Na poniższej stronie są wymienione funkcje zawarte w pfSense:
Kompatybilność sprzętu
Ponieważ pfSense opiera się na systemie FreeBSD to jego kompatybilność ze sprzętem wygląda tak samo jak w przypadku tej dystrybucji. Na poniższej stronie znajdują się informacje o przyporządkowanie wersji pfSense do odpowiedniej dystrybucji FreeBSD:
- Versions of pfSense and FreeBSD (pfsense.org)
Uwaga: Poniżej wymienione systemy zostały przetestowane przez firmę Thomas-Krenn z pfSense 2.2 (FreeBSD 10.1-RELEASE-p4).
Kompatybilne serwery z oferty Thomas-Krenn
Poniższe serwery Thomas-Krenn zostały przetestowane z pfSense:
1U Intel single CPU RI1102H#Wersja_2.1 P9D-MV
- Chip karty sieciowej wykorzystywany przez płytę główną Asus P9D-MV
- i210, obsługiwany od FreeBSD 9.1 (freebsd.org)
1U Intel single CPU RI1102H#Wersja_2.1 X10SLH-F
- Chip karty sieciowej wykorzystywany przez płytę główną Supermicro_X10SLH-F
- i210, obsługiwany od FreeBSD 9.1 (freebsd.org)
Dodatkowe karty sieciowe
- karta sieciowa Intel I210-T1 Single Port
- chip i210, vide obsługa on board
- karta sieciowa Intel I350-T2 Dual Port
- chip i350, obsługiwany od FreeBSD 8.3 (freebsd.org)
Kontrolery RAID
Uwaga: Macierz RAID na kontrolerze on-board nie jest obsługiwana.
- Adaptec
- Uwaga: pfSense i FreeBSD zawiera aacraid 3.2.5, vide FreeBSD 10.1-RELEASE Release Notes. Adaptec udostępnia na swojej stronie download wersję 3.2.8. Według HCL w wersji 3.2.5 wspierane są również następujące kontrolery RAID:
- Adaptec 6405 SAS2 4x wew.
- Adaptec 8405 SAS3 4x wew.
- Adaptec 8805 SAS3 8x wew.
- Avago / LSI
- Uwaga: pfSense i FreeBSD zawiera mrsas i mfi jako sterowniki dla kontrolerów Avago. mfi jest wykorzystywany jako sterownik dla kontrolerów 9260, mrsas dla kolejnych generacji. Według Release Notes mrsas musi dla nowych kontrolerów zostać najpierw włączony:[1] The mfi(4) driver will attach to the controller, by default. To enable mrsas(4) add hw.mfi.mrsas_enable=1 to /boot/loader.conf, which turns off mfi(4) device probing.
- Avago MegaRAID 9260-4i SAS2 4x wew.
- Avago MegaRAID 9271-4i SAS2 4x wew.
- Avago MegaRAID 9271-8i SAS2 8x wew.
- Avago MegaRAID 9361-4i SAS3 4x wew.
- Avago MegaRAID 9361-8i SAS3 8x wew.
Instalacja
Pomocne informacje na temat instalacji pfSense znajdują się również na poniższej stronie:
- Installing pfSense (pfSense.org)
Instalacja może zostać przeprowadzona np. w następujące sposoby:
- Z live CD with Installer
- Wykorzystać do instalacji Live CD with Installer, które może zostać pobrane ze strony pfSense - pfSense Download Mirrors
- Pobrany plik iso najlepiej udostępnić systemowi docelowemu za pośrednictwem funkcji eksportu w konsoli KVM modułu IPMI. Następnie uruchomić system z wirtualnego napędu. Oczywiście jako alternatywa może zostać nagrane iso na płytę CD i z niej uruchomiony system.
- Z live CD with Installer na kluczu USB
- Wykorzystać do instalacji Live CD with Installer (on USB Memstick), które może zostać pobrane ze strony pfSense. Jako "console" wybrać VGA - pfSense Download Mirrors
- Odpowiednio skonfigurować pendrive:
Uwaga: Wszystkie dotychczas zawarte na /dev/sdb dane zostaną skasowane, w razie potrzeby należy zastąpić /dev/sdb prawidłowym urządzeniem USB!
$ gunzip pfSense-memstick-2.2-RELEASE-amd64.img.gz $ sudo dd if=pfSense-memstick-2.2-RELEASE-amd64.img of=/dev/sdb bs=1M
Procedura instalacji
Informacji o dodatkowych kartach
- I210-T1 Single Port
# pciconf -lv igb0@pci0:1:0:0: class=0x020000 card=0x00028086 chip=0x15338086 rev=0x03 hdr=0x00 class = network subclass = ethernet # dmesg | grep igb0 igb0: <Intel(R) PRO/1000 Network Connection version - 2.4.0> mem 0xde200000-0xde2fffff,0xde300000-0xde303fff irq 16 at device 0.0 on pci1
- Intel I350-T2 Dual Port
# dmesg |grep igb0 igb0: <Intel(R) PRO/1000 Network Connection version - 2.4.0> mem 0xde200000-0xde2fffff,0xde304000-0xde307fff irq 16 at device 0.0 on pci1 # dmesg | grep igb1 igb1: <Intel(R) PRO/1000 Network Connection version - 2.4.0> mem 0xde100000-0xde1fffff,0xde300000-0xde303fff irq 17 at device 0.1 on pci1 # pciconf -lv igb0@pci0:1:0:0: class=0x020000 card=0x00028086 chip=0x15218086 rev=0x01 hdr=0x00 class = network subclass = ethernet igb1@pci0:1:0:1: class=0x020000 card=0x00028086 chip=0x15218086 rev=0x01 hdr=0x00 class = network subclass = ethernet
Odnośniki
- ↑ FreeBSD Revision 265922, adding mrsas driver (freebsd.org)
Autor: Georg Schönberger