Instalacja firewalla open source pfSense

Z Thomas-Krenn-Wiki
Przejdź do nawigacji Przejdź do wyszukiwania

pfSense jest firewallem bazującym na dystrybucji FreeBSD. Oprogramowanie pfSense jest instalowane na serwerze i wymaga jako firewall przynajmniej dwóch kart sieciowych. Konfiguracja firewalla może zostać przeprowadzona za pośrednictwem interfejsu webowego i dlatego zarządzanie nim nie wymaga specjalnego know-how z zakresu FreeBSD. Jeżeli jednak konfiguracja ma zostać przeprowadzona z CLI to konieczna do tego jest odpowiednia znajomość systemu FreeBSD.

pfSense oferuje interfejs webowy do konfiguracji reguł firewalla.

Funkcje

Na poniższej stronie są wymienione funkcje zawarte w pfSense:

Kompatybilność sprzętu

Ponieważ pfSense opiera się na systemie FreeBSD to jego kompatybilność ze sprzętem wygląda tak samo jak w przypadku tej dystrybucji. Na poniższej stronie znajdują się informacje o przyporządkowanie wersji pfSense do odpowiedniej dystrybucji FreeBSD:

Uwaga: Poniżej wymienione systemy zostały przetestowane przez firmę Thomas-Krenn z pfSense 2.2 (FreeBSD 10.1-RELEASE-p4).

Kompatybilne serwery z oferty Thomas-Krenn

Poniższe serwery Thomas-Krenn zostały przetestowane z pfSense:

1U Intel single CPU RI1102H#Wersja_2.1 P9D-MV

  • Chip karty sieciowej wykorzystywany przez płytę główną Asus P9D-MV

INDYWIDUALNA KONFIGURACJA TEGO SERWERA

 

1U Intel single CPU RI1102H#Wersja_2.1 X10SLH-F

INDYWIDUALNA KONFIGURACJA TEGO SERWERA

 

Dodatkowe karty sieciowe

  • karta sieciowa Intel I210-T1 Single Port
    • chip i210, vide obsługa on board
  • karta sieciowa Intel I350-T2 Dual Port

Kontrolery RAID

Uwaga: Macierz RAID na kontrolerze on-board nie jest obsługiwana.

Instalacja

Pomocne informacje na temat instalacji pfSense znajdują się również na poniższej stronie:

Instalacja może zostać przeprowadzona np. w następujące sposoby:

  1. Z live CD with Installer
    • Wykorzystać do instalacji Live CD with Installer, które może zostać pobrane ze strony pfSense - pfSense Download Mirrors
    • Pobrany plik iso najlepiej udostępnić systemowi docelowemu za pośrednictwem funkcji eksportu w konsoli KVM modułu IPMI. Następnie uruchomić system z wirtualnego napędu. Oczywiście jako alternatywa może zostać nagrane iso na płytę CD i z niej uruchomiony system.
  2. Z live CD with Installer na kluczu USB
    • Wykorzystać do instalacji Live CD with Installer (on USB Memstick), które może zostać pobrane ze strony pfSense. Jako "console" wybrać VGA - pfSense Download Mirrors
    • Odpowiednio skonfigurować pendrive:

Uwaga: Wszystkie dotychczas zawarte na /dev/sdb dane zostaną skasowane, w razie potrzeby należy zastąpić /dev/sdb prawidłowym urządzeniem USB! 

$ gunzip pfSense-memstick-2.2-RELEASE-amd64.img.gz
$ sudo dd if=pfSense-memstick-2.2-RELEASE-amd64.img of=/dev/sdb bs=1M

Procedura instalacji

  • Po wciśnięciu klawisza Enter rozpoczyna się instalacja w trybie Default Multi-User.

    Po wciśnięciu klawisza Enter rozpoczyna się instalacja w trybie Default Multi-User.

  • Ładowanie jądra.

    Ładowanie jądra.

  • Konfiguracja konsoli, wykorzystywane są ustawienia domyślne.

    Konfiguracja konsoli, wykorzystywane są ustawienia domyślne.

  • Dla początkujących użytkowników zalecana jest opcja "Quick/Easy Install".

    Dla początkujących użytkowników zalecana jest opcja "Quick/Easy Install".

  • Wyświetlane jest ostrzeżenie. że dysk zostanie sformatowany. Przez co dane na dysku ulegną utracie.

    Wyświetlane jest ostrzeżenie. że dysk zostanie sformatowany. Przez co dane na dysku ulegną utracie.

  • Kopiowanie danych.

    Kopiowanie danych.

  • PfSense-installation-7.png
  • W razie potrzeby może zostać dostosowana konfiguracja jądra.

    W razie potrzeby może zostać dostosowana konfiguracja jądra.

  • Po skopiowaniu danych system jest restartowany, po czym przeprowadzana jest konfiguracja interfejsów.

    Po skopiowaniu danych system jest restartowany, po czym przeprowadzana jest konfiguracja interfejsów.

  • Restart.

    Restart.

  • Konfiguracja VLAN-ów.

    Konfiguracja VLAN-ów.

  • Wybór karty sieciowej dla interfejsu WAN.

    Wybór karty sieciowej dla interfejsu WAN.

  • W tym przykładzie igb1 jest deklarowany jako interfejs WAN.

    W tym przykładzie igb1 jest deklarowany jako interfejs WAN.

  • Wybór karty sieciowej interfejsu LAN. W tym przykładzie deklarowana jest karta sieciowa igb0.

    Wybór karty sieciowej interfejsu LAN. W tym przykładzie deklarowana jest karta sieciowa igb0.

  • Zatwierdzenie konfiguracji interfejsów WAN i LAN.

    Zatwierdzenie konfiguracji interfejsów WAN i LAN.

  • Konfiguracja jest zastosowywana.

    Konfiguracja jest zastosowywana.

  • PfSense-installation-17.png
  • Shell pfSense oferuje kilka opcji konfiguracyjnych.

    Shell pfSense oferuje kilka opcji konfiguracyjnych.

  • Opcja 8 rozpoczyna shell.

    Opcja 8 rozpoczyna shell.

  • W shellu wyświetlana jest informacje odnośnie konfiguratora webowego.

    W shellu wyświetlana jest informacje odnośnie konfiguratora webowego.

  • Domyślne dane do zalogowania to admin i pfSense.

    Domyślne dane do zalogowania to admin i pfSense.

  • Opcja 3 umożliwia przywrócenie hasła na domyślne pfSense.

    Opcja 3 umożliwia przywrócenie hasła na domyślne pfSense.

  • Kreator jest pomocny w konfiguracji najważniejszych ustawień.

    Kreator jest pomocny w konfiguracji najważniejszych ustawień.

  • Tutaj podawana jest nazwa hosta, domena i serwer DNS.

    Tutaj podawana jest nazwa hosta, domena i serwer DNS.

  • W razie potrzeby może zostać zmieniony serwer czasu.

    W razie potrzeby może zostać zmieniony serwer czasu.

  • Maska konfiguracyjna interfejsu WAN.

    Maska konfiguracyjna interfejsu WAN.

  • Konfiguracja interfejsu LAN.

    Konfiguracja interfejsu LAN.

  • Najlepiej, aby zaraz zmienić domyślne hasło.

    Najlepiej, aby zaraz zmienić domyślne hasło.

  • Konfiguracja jest zastosowywana.

    Konfiguracja jest zastosowywana.

  • Kreator jest zakończony.

    Kreator jest zakończony.

  • Dashboard udostępnia dobry przegląd aktualnego stanu.

    Dashboard udostępnia dobry przegląd aktualnego stanu.

  • PfSense-installation-32.png

Informacji o dodatkowych kartach

  • I210-T1 Single Port
# pciconf -lv
igb0@pci0:1:0:0:	class=0x020000 card=0x00028086 chip=0x15338086 rev=0x03 hdr=0x00
    class      = network
    subclass   = ethernet
# dmesg | grep igb0
igb0: <Intel(R) PRO/1000 Network Connection version - 2.4.0> mem 0xde200000-0xde2fffff,0xde300000-0xde303fff irq 16 at device 0.0 on pci1
  • Intel I350-T2 Dual Port
# dmesg |grep igb0
igb0: <Intel(R) PRO/1000 Network Connection version - 2.4.0> mem 0xde200000-0xde2fffff,0xde304000-0xde307fff irq 16 at device 0.0 on pci1
# dmesg | grep igb1
igb1: <Intel(R) PRO/1000 Network Connection version - 2.4.0> mem 0xde100000-0xde1fffff,0xde300000-0xde303fff irq 17 at device 0.1 on pci1
# pciconf -lv
igb0@pci0:1:0:0:	class=0x020000 card=0x00028086 chip=0x15218086 rev=0x01 hdr=0x00
    class      = network
    subclass   = ethernet
igb1@pci0:1:0:1:	class=0x020000 card=0x00028086 chip=0x15218086 rev=0x01 hdr=0x00
    class      = network
    subclass   = ethernet

Odnośniki

  1. FreeBSD Revision 265922, adding mrsas driver (freebsd.org)

Autor: Georg Schönberger

Powiązane artykuły

Software RAID 1 w PfSense
Do artykułu
Update PfSense
Do artykułu
Wymagania sprzętowe pfSense
Do artykułu