PfSense võrguseadme kasutamine
Sissejuhatus
pfSense http://www.pfsense.org/ ...
Tööpõhimõte
Suures osas asuvad PfSense seadistused failis /conf/config.xml, millest genereeritakse nö deemonite jt komponentide poolt kasutatavad seadistusfailid vastavatasse /var/etc alamkataloogidesse. Nt
TODO
Riistavara
- soovitavalt kaks või enam füüsilist võrgukaarti
Paigaldamine
Tarkvara kopeerimisel on ettevalmistatud mitmed võimalused
- LiveCD - nt http://fleximus.org/mirror/pfsense/downloads/pfSense-LiveCD-2.1-RELEASE-amd64.iso.gz
- embbeded
- 32 ja 64 bit platvormid
Installeri käivitamisel paistab selline pilt
kus
- TODO
Seejärel on valikud
- (R)ecovery - häda korral saab tõenäoliselt nii midagi parandada
- (I)nstall - paigaldamine kõvakettale
- (C)ontinue - LiveCD, plaadilt süsteemi käivitamine
Seejärel toimub reboot ja paigaldamine jätkub, küsitakse
- WAN ehk interneti poolse võrguseadme nime, nt em0
- LAN ehk kohvõrgu poolse võrguseadme nime, nt em1
Vaikimisi püütakse seadistada WAN ip aadress DHCP kaudu ja LAN aadressiks omistatake 192.168.1.1/24, neid saab muuta konsoolist valides valiku '2' (eraldi WAN ja LAN seadistamise jaoks). Seejärel sobib logida sisevõrgu poolse interface kaudu veebipõhisesse kasutajaliidesesse ning seadistada edasi sealt, http://192.168.1.1/
- hostname
- domain
- jne
Peale paigaldamist pääseb veebipõhisesse haldusliidesesse kasutajanime admin ja parool pfsense abil, vaikimisi http://192.168.1.1/ kaudu. SSH ligipääsu käivitamiseks tuleb haldusliideses
System -> Advanced -> Enable SSH
SSH abil sisselogimise järel paistavad sellised valikud
# ssh 192.168.1.1 Password: *** Welcome to pfSense 2.0.2-RELEASE-pfSense (amd64) on pfsense *** WAN (wan) -> em0 -> 192.168.112.89 LAN (lan) -> em1 -> 192.168.1.1 0) Logout (SSH only) 8) Shell 1) Assign Interfaces 9) pfTop 2) Set interface(s) IP address 10) Filter Logs 3) Reset webConfigurator password 11) Restart webConfigurator 4) Reset to factory defaults 12) pfSense Developer Shell 5) Reboot system 13) Upgrade from console 6) Halt system 14) Disable Secure Shell (sshd) 7) Ping host Enter an option: 8 [2.0.2-RELEASE][root@pfsense.auul]/root(1):
Seadistamine
Kõige tavalisemal juhtumil töötab pfSense selliselt
- kaks võrguliidest, WAN - välimine ja LAN - sisemine, kummalgi seadistatud staatiline ip aadress
- LAN kasutab privaatseid aadresse ja tehakse NAT teisendusi
- LAN seadme ip peal töötab erinevaid teenuseid, sh rekursiivne DNS
Seadistamiseks sobib liikuda läbi wizardi sammud
System -> Setup Wizard
kus
- System -> General Setup - nimeserver
- Interfaces -> WAN - välise liidese staatiline ip aadress ja vaikelüüsi aadress
- Interfaces -> LAN - sisemise liidese staatiline ip aadress (vaikimisi 192.168.1.1)
- Diagnostics -> Reboot - seadme alglaadimine
Paketifilter
Paketifiltri kasutamine toimub liikudes haldusliideses sektsiooni
Firewall
ja kahes osas
- Firewall -> Rules - nö puhtad lubavad-keelavad reeglid
- Firewall -> NAT - nat teisendused, mis tekitavad automaatselt vastavad pass-block reeglid
Rules
Haldusliideses on üleval sakid interface'ide järgi (WAN, LAN jne), mis tähendab seda, et reeglid tegelevad vastavalt võrguseadmelt sisenevate pakettidega. Lisaks on veel üldisemad või kombineeritud sakid.
Syslog
Syslog serverisse andmete saatmiseks tuleb valida
Status -> System Logs -> Settings
IPSec
PfSense sisemine IPSec põhineb Racoon tarkvaral, mille seadistamine toimub veebipõhises haldusliideses avades
VPN -> IPSec
Töötamine käsureal
Vaikimisi saab sisse logida sisemise interface kaudu, ssh port 32, käsurida paistab selline
[2.0.2-RELEASE][root@pfSense.localdomain]/root(18): hostname pfsense.auul
Kuna tegu on FreeBSD v. 8.1 operatsioonisüsteemil põhineva lahendusega, saab kasutada nö tavalisi FreeBSD käske, nt küsida paketifiltri ankrute nimekirja
[2.0.2-RELEASE][root@pfSense.localdomain]/root(20): pfctl -sA miniupnpd natearly natrules relayd tftp-proxy userrules
Varundamine ja taaste
Varundamiseks ja varundusest taastamiseks sobib haldusliideses valida
Diagnostics -> Backup/Restore
Backup esineb xml teksti kujul.
PfSense tarkvara uuendamine
TODO
Pakettide kasutamine
Paigaldamiseks tuleb veebiliideses liikuda
System -> Packages
OpenBGPD
Beginning package installation for OpenBGPD... Downloading package configuration file... done. Saving updated package information... done. Downloading OpenBGPD and its dependencies... Checking for package installation... Downloading http://files.pfsense.org/packages/amd64/8/All/openbgpd-5.2.20121209.tbz ... (extracting) Loading package configuration... done. Configuring package components... Additional files... done. Loading package instructions... Custom commands... Executing custom_php_resync_config_command()...done. Custom commands... Executing custom_php_resync_config_command()...done. Menu items... done. Integrated Tab items... done. Services... done. Writing configuration... done. Installation completed. Please check to make sure that the package is configured from \ the respective menu then start the package.
Haldamisel saab kasutada lihtsamal juhul ettevalmistatud menüüsid
või keerulisemal juhul redigeerida vahetult nö tekstifaili, läbi brauseri
Services -> OpenBGPD -> Raw config
Kui sedasi korra redigeerida, siis ei mõju enam menüüdest tehtud valikud; nad hakkavad uuesti mõjuma kui Raw config sisu kustutada ja valida Save.
OpenBGPD protsessi restart käib, eeldusel, et Services Status on Dashboardil nähtavale toodud
Status -> Dashboard -> Services Status
OpenVPN
TODO
IPSec
TODO
pfflowd
pfflowd deemoniga saab koguda nö paketifiltir pfsync0 seadme kaudu tulemüüri läbiva liikluse (ja ainult läbiv, mitte blokeeritud) andmeid ja neid saata netflow kollektorile v. 1, 5 või 9 formaadis. Tundub, et 9 on mingil määral katki 2013 aasta sügisel (v. 2.1), kuid v. 5 töötab.
Haldusliideses tuleb avada
Services -> pfflowd
ning näidata
- Host - netflow kollektori ip aadress
- Port - netflow kollektori port
- Source Hostname/IP - tulemüüri kollektori poolse võrguseadme ip aadress
- pf rule direction restriction - any
- Netflow version - 5
Kasulikud lisamaterjalid
- Võrk ja andmeside -> Netflow
Squid http proxy
TODO
