Imre: Uus lehekülg: '===Sissejuhatus=== pfSense http://www.pfsense.org/ ... ===Tööpõhimõte=== Suures osas asuvad PfSense seadistused failis /conf/config.xml, millest genereeritakse nö deemonite jt komponentide poolt kasutatavad seadistusfailid vastavatasse /var/etc alamkataloogidesse. Nt TODO ===Riistavara=== * soovitavalt kaks või enam füüsilist võrgukaarti ===Paigaldamine=== Tarkvara kopeerimisel on ettevalmistatud mitmed võimalused * LiveCD - nt http://fleximus.org/mirr...'

2025-04-07T23:45:13Z

Uus lehekülg: '===Sissejuhatus=== pfSense http://www.pfsense.org/ ... ===Tööpõhimõte=== Suures osas asuvad PfSense seadistused failis /conf/config.xml, millest genereeritakse nö deemonite jt komponentide poolt kasutatavad seadistusfailid vastavatasse /var/etc alamkataloogidesse. Nt TODO ===Riistavara=== * soovitavalt kaks või enam füüsilist võrgukaarti ===Paigaldamine=== Tarkvara kopeerimisel on ettevalmistatud mitmed võimalused * LiveCD - nt http://fleximus.org/mirr...'

Uus lehekülg

===Sissejuhatus===

pfSense http://www.pfsense.org/ ...

===Tööpõhimõte===

Suures osas asuvad PfSense seadistused failis /conf/config.xml, millest genereeritakse nö deemonite jt komponentide poolt kasutatavad seadistusfailid vastavatasse /var/etc alamkataloogidesse. Nt

TODO

===Riistavara===

* soovitavalt kaks või enam füüsilist võrgukaarti

===Paigaldamine===

Tarkvara kopeerimisel on ettevalmistatud mitmed võimalused

* LiveCD - nt http://fleximus.org/mirror/pfsense/downloads/pfSense-LiveCD-2.1-RELEASE-amd64.iso.gz
* embbeded
* 32 ja 64 bit platvormid

Installeri käivitamisel paistab selline pilt

[[Pilt:Pfsense-3.gif]]

kus

* TODO

Seejärel on valikud

* (R)ecovery - häda korral saab tõenäoliselt nii midagi parandada
* (I)nstall - paigaldamine kõvakettale
* (C)ontinue - LiveCD, plaadilt süsteemi käivitamine

Seejärel toimub reboot ja paigaldamine jätkub, küsitakse

* WAN ehk interneti poolse võrguseadme nime, nt em0
* LAN ehk kohvõrgu poolse võrguseadme nime, nt em1

Vaikimisi püütakse seadistada WAN ip aadress DHCP kaudu ja LAN aadressiks omistatake 192.168.1.1/24, neid saab muuta konsoolist valides valiku '2' (eraldi WAN ja LAN seadistamise jaoks). Seejärel sobib logida sisevõrgu poolse interface kaudu veebipõhisesse kasutajaliidesesse ning seadistada edasi sealt, http://192.168.1.1/

* hostname
* domain
* jne

Peale paigaldamist pääseb veebipõhisesse haldusliidesesse kasutajanime admin ja parool pfsense abil, vaikimisi http://192.168.1.1/ kaudu. SSH ligipääsu käivitamiseks tuleb haldusliideses

System -> Advanced -> Enable SSH

SSH abil sisselogimise järel paistavad sellised valikud

# ssh 192.168.1.1
Password:
*** Welcome to pfSense 2.0.2-RELEASE-pfSense (amd64) on pfsense ***

WAN (wan) -> em0 -> 192.168.112.89
LAN (lan) -> em1 -> 192.168.1.1

0) Logout (SSH only) 8) Shell
1) Assign Interfaces 9) pfTop
2) Set interface(s) IP address 10) Filter Logs
3) Reset webConfigurator password 11) Restart webConfigurator
4) Reset to factory defaults 12) pfSense Developer Shell
5) Reboot system 13) Upgrade from console
6) Halt system 14) Disable Secure Shell (sshd)
7) Ping host

Enter an option: 8

[2.0.2-RELEASE][root@pfsense.auul]/root(1):

===Seadistamine===

Kõige tavalisemal juhtumil töötab pfSense selliselt

* kaks võrguliidest, WAN - välimine ja LAN - sisemine, kummalgi seadistatud staatiline ip aadress
* LAN kasutab privaatseid aadresse ja tehakse NAT teisendusi
* LAN seadme ip peal töötab erinevaid teenuseid, sh rekursiivne DNS

Seadistamiseks sobib liikuda läbi wizardi sammud

System -> Setup Wizard

[[Pilt:Pfsense-1.gif]]

kus

* System -> General Setup - nimeserver
* Interfaces -> WAN - välise liidese staatiline ip aadress ja vaikelüüsi aadress
* Interfaces -> LAN - sisemise liidese staatiline ip aadress (vaikimisi 192.168.1.1)
* Diagnostics -> Reboot - seadme alglaadimine

===Paketifilter===

Paketifiltri kasutamine toimub liikudes haldusliideses sektsiooni

Firewall

ja kahes osas

* Firewall -> Rules - nö puhtad lubavad-keelavad reeglid
* Firewall -> NAT - nat teisendused, mis tekitavad automaatselt vastavad pass-block reeglid

====Rules====

Haldusliideses on üleval sakid interface'ide järgi (WAN, LAN jne), mis tähendab seda, et reeglid tegelevad vastavalt võrguseadmelt sisenevate pakettidega. Lisaks on veel üldisemad või kombineeritud sakid.

===Syslog===

Syslog serverisse andmete saatmiseks tuleb valida

Status -> System Logs -> Settings

===IPSec===

PfSense sisemine IPSec põhineb Racoon tarkvaral, mille seadistamine toimub veebipõhises haldusliideses avades

VPN -> IPSec

===Töötamine käsureal===

Vaikimisi saab sisse logida sisemise interface kaudu, ssh port 32, käsurida paistab selline

[2.0.2-RELEASE][root@pfSense.localdomain]/root(18): hostname
pfsense.auul

Kuna tegu on FreeBSD v. 8.1 operatsioonisüsteemil põhineva lahendusega, saab kasutada nö tavalisi FreeBSD käske, nt küsida paketifiltri ankrute nimekirja

[2.0.2-RELEASE][root@pfSense.localdomain]/root(20): pfctl -sA
miniupnpd
natearly
natrules
relayd
tftp-proxy
userrules

===Varundamine ja taaste===

Varundamiseks ja varundusest taastamiseks sobib haldusliideses valida

Diagnostics -> Backup/Restore

Backup esineb xml teksti kujul.

===PfSense tarkvara uuendamine===

TODO

===Pakettide kasutamine===

Paigaldamiseks tuleb veebiliideses liikuda

System -> Packages

====OpenBGPD====

Beginning package installation for OpenBGPD...
Downloading package configuration file... done.
Saving updated package information... done.
Downloading OpenBGPD and its dependencies...
Checking for package installation...
Downloading http://files.pfsense.org/packages/amd64/8/All/openbgpd-5.2.20121209.tbz ... (extracting)
Loading package configuration... done.
Configuring package components...
Additional files... done.
Loading package instructions...
Custom commands...
Executing custom_php_resync_config_command()...done.
Custom commands...
Executing custom_php_resync_config_command()...done.
Menu items... done.
Integrated Tab items... done.
Services... done.
Writing configuration... done.

Installation completed. Please check to make sure that the package is configured from \
the respective menu then start the package.

Haldamisel saab kasutada lihtsamal juhul ettevalmistatud menüüsid

[[Pilt:Pfsense-2.gif]]

või keerulisemal juhul redigeerida vahetult nö tekstifaili, läbi brauseri

Services -> OpenBGPD -> Raw config

Kui sedasi korra redigeerida, siis ei mõju enam menüüdest tehtud valikud; nad hakkavad uuesti mõjuma kui Raw config sisu kustutada ja valida Save.

OpenBGPD protsessi restart käib, eeldusel, et Services Status on Dashboardil nähtavale toodud

Status -> Dashboard -> Services Status

====OpenVPN====

TODO

====IPSec====

TODO

====pfflowd====

pfflowd deemoniga saab koguda nö paketifiltir pfsync0 seadme kaudu tulemüüri läbiva liikluse (ja ainult läbiv, mitte blokeeritud) andmeid ja neid saata netflow kollektorile v. 1, 5 või 9 formaadis. Tundub, et 9 on mingil määral katki 2013 aasta sügisel (v. 2.1), kuid v. 5 töötab.

Haldusliideses tuleb avada

Services -> pfflowd

ning näidata

* Host - netflow kollektori ip aadress
* Port - netflow kollektori port
* Source Hostname/IP - tulemüüri kollektori poolse võrguseadme ip aadress
* pf rule direction restriction - any
* Netflow version - 5

Kasulikud lisamaterjalid

* [[:Võrk ja andmeside]] -> Netflow

====Squid http proxy====

TODO

===Kasulikud lisamaterjalid===

* http://en.wikipedia.org/wiki/PfSense
* http://en.wikipedia.org/wiki/Comparison_of_firewalls
* [[:OpenBGPD kasutamine operatsioonisüsteemiga OpenBSD]]

PfSense võrguseadme kasutamine - Redigeerimiste ajalugu