PfSense 2.4.4 Firewall marşrutizatoryny gurmak we düzmek

Şu günler internet gorkunç ýer. Her gün diýen ýaly täze bir gün, howpsuzlyk düzgünleriniň bozulmagy ýa-da töleg programma üpjünçiligi köp adamy öz ulgamlaryny gorap bolarmyka diýip gyzyklandyrýar.

Köp guramalar öz infrastrukturasyny we maglumatlaryny goramak üçin iň täze we iň uly howpsuzlyk çözgütlerini gurmaga synanyşmak üçin ýüzlerçe müň, millionlarça dollar sarp edýärler. Öý ulanyjysynyň pul ýetmezçiligi bolsa-da. Aýratyn gorag diwaryna hatda ýüz dollar maýa goýmak köplenç öý torlarynyň çäginden çykýar.

Bagtymyza, açyk ulanyjy jemgyýetinde öý ulanyjylarynyň howpsuzlyk çözgütleri arenasynda uly üstünlikler gazanan aýratyn taslamalar bar. “Squid” we “pfSense” ýaly taslamalar, haryt bahalarynda kärhana derejesindäki howpsuzlygy üpjün edýär!

PfSense, FreeBSD esasly açyk çeşme firewall çözgüdi. Paýlamak, öz enjamyna ýa-da pfSense, NetGate-iň arkasyndaky kompaniýada gurnamak mugt, öňünden düzülen gorag diwar enjamlaryny satýar.

PfSense üçin zerur enjam gaty az we adatça köne jaý diňini ýörite pfSense Firewall-a täzeden gönükdirip bolýar. PfSense-iň has ösen aýratynlyklaryny has köp işletmek üçin has ukyply ulgam gurmak ýa-da satyn almak isleýänler üçin käbir teklip edilýän enjam minimallary bar:

  • 500 mhz CPU
  • 1 GB RAM
  • 4 Gb ammar
  • 2 tor interfeýs karty

  • 1 GGs CPU
  • 1 GB RAM
  • 4 Gb ammar
  • 2 ýa-da has köp PCI-e tor interfeýs kartlary.

Öý ulanyjysy pfSense-iň Snort, Antiwirus skaneri, DNS gara sanawy, web mazmuny süzgüç we ş.m. ýaly köp goşmaça aýratynlyklaryny we funksiýalaryny işletmek islese, maslahat berilýän enjamlar birneme has köp çekiler.

PfSense gorag diwaryndaky goşmaça programma üpjünçiligini goldamak üçin pfSense-e aşakdaky enjamlary bermek maslahat berilýär:

  • Iň azyndan 2.0 GGs işleýän häzirki zaman köp ýadroly CPU
  • 4GB + RAM
  • 10 Gb + HD giňişlik
  • 2 ýa-da has köp Intel PCI-e tor interfeýs kartlary

PfSense gurmak 2.4.4

Bu bölümde pfSense 2.4.4-iň gurnamasyny göreris (bu makalany ýazan wagtyňyz iň soňky wersiýa).

pfSense diwar diwarlary üçin täze ulanyjylar üçin köplenç lapykeç bolýar. Köp diwar diwarlary üçin adaty hereket, gowy ýa-da erbet hemme zady ýapmakdyr. Howpsuzlyk nukdaýnazaryndan gaty gowy, ýöne ulanyş nukdaýnazaryndan däl. Gurnama başlamazdan ozal, konfigurasiýa başlamazdan ozal ahyrky maksada düşünmek möhümdir.

Haýsy enjamyň saýlanandygyna garamazdan, pfSense enjamyna gurnamak gönüden-göni iş, ýöne ulanyjynyň haýsy ulgam interfeýs portlarynyň haýsy maksat üçin ulanyljakdygyna üns bermegini talap edýär (LAN, WAN, Simsiz we ş.m.).

Gurmak prosesiniň bir bölegi, ulanyjynyň LAN we WAN interfeýslerini düzüp başlamagyny talap etmegi öz içine alar. Authorazyjy diňe pfSense düzülýänçä diňe WAN interfeýsine dakmagy, soňra bolsa LAN interfeýsine dakmak bilen gurnamagy tamamlamagy teklip edýär.

Birinji ädim, pfSense programma üpjünçiligini https://www.pfsense.org/download/ salgysyndan almak. Enjam we gurnama usulyna baglylykda birnäçe dürli wariant bar, ýöne bu gollanma “AMD64 CD (ISO) Gurnaýjy” ulanar.

Öň berlen baglanyşykdaky açylan menýu ulanyp, faýly göçürip almak üçin degişli aýna saýlaň.

Gurnaýjy göçürilenden soň ony CD-de ýakyp bolýar ýa-da Linux paýlaýjylarynyň köpüsine goşulan “dd” guraly bilen USB diskine göçürip bolýar.

Indiki amal, gurnaýjyny açmak üçin ISO-ny USB diskine ýazmak. Muny amala aşyrmak üçin Linux-daky “dd” guralyny ulanyň. Ilki bilen, diskiň ady lsblk bilen ýerleşmeli.

$ lsblk

“/ Dev/sdc” hökmünde kesgitlenen USB sürüjisiniň ady bilen pfSense ISO sürüjä “dd” guraly bilen ýazylyp bilner.

$ gunzip ~/Downloads/pfSense-CE-2.4.4-RELEASE-p1-amd64.iso.gz
$ dd if=~/Downloads/pfSense-CE-2.4.4-RELEASE-p1-amd64.iso of=/dev/sdc

Üns beriň: aboveokardaky buýruk kök aýratynlyklaryny talap edýär, şonuň üçin buýrugy işletmek üçin sudo ýa-da kök ulanyjy hökmünde giriň. Şeýle hem bu buýruk USB diskdäki HEMMESI aýyrar. Gerekli maglumatlary ätiýaçlaň.

“Dd” USB diskine ýazmagy gutarandan ýa-da CD ýakylansoň, mediýany pfSense gorag diwary hökmünde gurnalan kompýutere ýerleşdiriň. Şol kompýuteri şol mediýa ýükläň we aşakdaky ekranda görkeziler.

Bu ekranda, taýmeriň işlemegine rugsat beriň ýa-da gurnaýjy gurşawyna başlamak üçin 1 saýlaň. Gurnaýjy ýüklemegi gutarandan soň, ulgam klawiatura düzülişinde islenýän üýtgeşmeleri sorar. Hemme zat ene dilinde görkezilse, Bu sazlamalary kabul ediň -e basyň.

Indiki ekranda ulanyja “Çalt/aňsat gurmak” ýa-da has ösen gurnama opsiýalary hödürlener. Bu gollanmanyň maksatlary üçin diňe “Çalt/aňsat gurmak” opsiýasyny ulanmak maslahat berilýär.

Indiki ekran, ulanyjynyň gurnama wagtynda kän sorag bermejek “Çalt/aňsat gurmak” usulyny ulanmak isleýändigini tassyklaýar.

Berilmegi ähtimal ilkinji sorag haýsy ýadrosy gurmalydygy barada sorar. Againene-de ulanyjylaryň köpüsi üçin “Standard ýadro” gurulmagy teklip edilýär.

Gurnaýjy bu tapgyry gutarandan soň, gaýtadan açylmagyny sorar. Gurnama mediýasyny hem aýyrmagy unutmaň, şonuň üçin enjam gurnaýja gaýdyp gelmez.

pfSense konfigurasiýasy

Gaýtadan açylandan we CD/USB mediýasy aýrylandan soň pfSense täze gurlan operasiýa ulgamyna täzeden açylýar. Düzgüne görä, pfSense DHCP bilen WAN interfeýsi hökmünde gurmak üçin interfeýs saýlar we LAN interfeýsini konfigurasiýa goýmaz.

PfSense-de web esasly grafiki konfigurasiýa ulgamy bar bolsa, diňe diwar diwarynyň LAN tarapynda işleýär, emma häzirki wagtda LAN tarapy konfigurasiýa edilmez. Ilki bilen LAN interfeýsinde IP adresi düzmek bolar.

Munuň üçin şu ädimleri ýerine ýetiriň:

  • WAN interfeýsiniň haýsy interfeýs adyna üns beriň (ýokardaky em0).
  • 1 giriziň we Enter düwmesini basyň.
  • VLAN-lar hakda soralanda n ýazyň we Enter düwmesini basyň.
  • WAN interfeýsi soralanda ýa-da häzir degişli interfeýs üýtgedilende soralanda interfeýsiň adyny ýazyň. Againene-de bu mysal, em0 WAN interfeýsi, sebäbi ol internete seredýän interfeýs bolar.
  • Indiki haýyş LAN interfeýsini soraýar, degişli interfeýs adyny täzeden ýazyň we Enter düwmesine basyň. Bu gurnamada, em1 LAN interfeýsi.
  • pfSense elýeterli bolsa has köp interfeýs soramagyny dowam etdirer, ýöne ähli interfeýsler bellenen bolsa, Enter düwmesine ýene basyň.
  • pfSense indi interfeýsleriň dogry bellenilmegini üpjün eder.


Indiki ädim interfeýsleri dogry IP konfigurasiýasyny bellemek bolar. PfSense esasy ekrana gaýdyp gelensoň, 2 ýazyň we Enter düwmesine basyň. (WAN we LAN interfeýslerine bellenen interfeýs atlaryny yzarlamagy unutmaň).

* BELLIK * Bu gurnamak üçin WAN interfeýsi hiç hili kynçylyksyz DHCP ulanyp biler, ýöne statiki salgy gerek boljak ýagdaýlar bolup biler. WAN-da statiki interfeýsi düzmek prosesi, düzüljek LAN interfeýsi bilen birmeňzeş bolar.

IP interfeýsini haýsy interfeýs düzmelidigi soralanda ýene 2 ýazyň. Againene-de 2 bu gezelençde LAN interfeýsi.

Soralanda, bu interfeýs üçin islenýän IPv4 adresi ýazyň we Enter düwmesine basyň. Bu salgy toruň başga bir ýerinde ulanylmaly däldir we bu interfeýsiň içine dakylýan öý eýeleri üçin esasy derweze öwrüler.

Indiki haýyş, prefiks maska formaty diýlip atlandyrylýan subnet maskasyny soraýar. Bu mysal üçin tor ýönekeý/24 ýa-da 255.255.255.0 ulanylar. Doneerine ýetirilende Enter düwmesine basyň.

Indiki sorag, “Upstream IPv4 Gateway” hakda sorar. LAN interfeýsi häzirki wagtda düzülenligi sebäpli, Enter düwmesine basyň.

Indiki haýyş, IPv6-ny LAN interfeýsinde sazlamagy soraýar. Bu gollanma diňe IPv4 ulanýar, ýöne daşky gurşaw IPv6 talap edýän bolsa, indi düzüp bolýar. Otherwiseogsam, Enter düwmesine basmak dowam eder.

Indiki sorag, DHCP serwerini LAN interfeýsinde başlamak barada sorar. Öý ulanyjylarynyň köpüsi bu aýratynlygy işletmeli bolarlar. Againene-de daşky gurşawa baglylykda düzedilmeli bolup biler.

Bu gollanma, ulanyjy gorag diwarynyň DHCP hyzmatlaryny bermegini isleýändigini we pfSense enjamyndan IP adresi almak üçin beýleki kompýuterlere 51 adres bölüp berjekdigini çaklaýar.

Indiki sorag, pfSense-iň web guralyny HTTP protokolyna öwürmegi sorar. Muny etmezlik maslahat berilýär, sebäbi HTTPS protokoly web konfigurasiýa guraly üçin administrator parolynyň açylmagynyň öňüni almak üçin belli bir derejede howpsuzlygy üpjün eder.

Ulanyjy “Enter” düwmesine basansoň, pfSense interfeýs üýtgeşmelerini ýatda saklar we LAN interfeýsinde DHCP hyzmatlaryny başlar.

PfSense, diwar gorag enjamynyň LAN tarapyna dakylan kompýuter arkaly web konfigurasiýa guralyna girmek üçin web salgysyny üpjün etjekdigine üns beriň. Bu, diwar gorag enjamyny has köp konfigurasiýa we düzgünlere taýýarlamak üçin esasy konfigurasiýa ädimlerini tamamlaýar.

Web interfeýsine, LAN interfeýsiniň IP adresine geçip, web brauzeri arkaly girip bolýar.

Bu ýazylan wagty pfSense üçin deslapky maglumatlar aşakdaky ýaly:

Username: admin
Password: pfsense

Ilkinji gezek web interfeýsinden üstünlikli gireniňizden soň, pfSense administrator parolyny täzeden düzmek üçin başlangyç gurnama arkaly işleýär.

Birinji haýyş, awtomatiki konfigurasiýa ätiýaçlyk nusgasy, pfSense okuw materiallaryna girmek we pfSense döredijiler bilen wagtal-wagtal wirtual duşuşyklar ýaly peýdalary bolan pfSense Gold Abuna ýazylmak. Altyn abuna satyn almak hökman däl we isleseňiz ädimden geçip bilersiňiz.

Aşakdaky ädim, ulanyjy ady, domen ady (bar bolsa) we DNS serwerleri ýaly gorag diwary üçin has köp konfigurasiýa maglumatlary sorar.

Indiki haýyş, Network Time Protocol, NTP bolar. Dürli wagt serwerleri islenmese, deslapky saýlawlar galdyrylyp bilner.

NTP gurlandan soň, pfSense gurnama ussasy ulanyjyny WAN interfeýsini düzmäge çagyrar. pfSense WAN interfeýsini düzmek üçin birnäçe usuly goldaýar.

Öý ulanyjylarynyň köpüsi üçin DHCP ulanmak. Ulanyjynyň internet hyzmat üpjün edijisinden DHCP, zerur IP konfigurasiýasyny almak üçin iň ýaýran usuldyr.

Indiki ädim LAN interfeýsiniň konfigurasiýasyny sorar. Ulanyjy web interfeýsine birikdirilen bolsa, LAN interfeýsi eýýäm düzülen bolsa gerek.

Şeýle-de bolsa, LAN interfeýsini üýtgetmeli bolsa, bu ädim üýtgeşmeleriň bolmagyna mümkinçilik döreder. LAN IP adresiniň nämedigini ýadyňyzdan çykarmaň, sebäbi
administrator web interfeýsine girer!

Howpsuzlyk dünýäsindäki ähli zatlarda bolşy ýaly, asyl parollar aşa howpsuzlyk töwekgelçiligini görkezýär. Indiki sahypa administratoryň administrator ulanyjysynyň parolyny pfSense web interfeýsine üýtgetmegini sorar.

Iň soňky ädim pfSense-i täze konfigurasiýalar bilen täzeden açmagy öz içine alýar. Diňe “eloüklemek” düwmesine basyň.

PfSense täzeden ýüklenenden soň, doly web interfeýsine girmezden ozal ulanyja soňky ekrany görkezer. Doly web interfeýsine girmek üçin ikinji Şu ýere basyň düwmesine basyň.

Ahyrynda pfSense gutardy we düzgünleri düzmäge taýyn!

Indi pfSense işleýän we işleýänsoň, administrator gorag diwaryndan degişli traffige rugsat bermek üçin düzgünleri döretmeli we düzmeli. PfSense-iň hemme düzgüne rugsat berýändigini bellemelidiris. Howpsuzlyk üçin muny üýtgetmeli, ýöne bu ýene administratoryň karary.

PfSense gurmak baradaky bu TecMint makalasyny okanyňyz üçin sag boluň! PfSense-de bar bolan has ösen wariantlary düzmek baradaky geljekki makalalar bilen tanyş boluň.