Esasy OpnSense Firewall-y nädip gurmaly we sazlamaly

Öňki makalada PfSense diýlip atlandyrylýan gorag diwary çözgüdi ara alnyp maslahatlaşyldy. 2015-nji ýylyň başynda PfSense-ni berkitmek barada karar kabul edildi we OpnSense atly täze diwar gorag çözgüdi çykdy.

OpnSense ömrüni PfSense-iň ýönekeý çeňňegi hökmünde başlady, ýöne düýbünden garaşsyz diwar gorag çözgüdine öwrüldi. Bu makala täze OpnSense gurnamagynyň gurnamasyny we esasy başlangyç konfigurasiýasyny öz içine alar.

PfSense ýaly, OpnSense hem FreeBSD esasly açyk çeşme firewall çözgüdi. Paýlamak biriniň enjamyna ýa-da “Decisio” kompaniýasyna gurnamak mugt, öňünden düzülen gorag diwar enjamlaryny satýar.

OpnSense-de minimal talaplar toplumy bar we OpnSense gorag diwary hökmünde işlemek üçin adaty köne jaý diňini aňsatlyk bilen gurup bolýar. Teklip edilýän iň pes spesifikasiýa aşakdakylar:

  • 500 Mhz CPU
  • 1 GB RAM
  • 4 Gb ammar
  • 2 tor interfeýs karty

  • 1 GGs CPU
  • 1 GB RAM
  • 4 Gb ammar
  • 2 ýa-da has köp PCI-e tor interfeýs kartlary.

Okyjy OpnSense-iň (VPN serweri we ş.m.) has ösen aýratynlyklaryndan peýdalanmak islese, ulgama has gowy enjam berilmelidir.

Ulanyjy näçe köp modul islese, şonça-da RAM/CPU/Drive giňişligi bolmaly. OpnSense-de ösen modullary işletmek meýilnamalary bar bolsa, aşakdaky minimal talaplaryň ýerine ýetirilmegi maslahat berilýär.

  • Iň azyndan 2.0 GGs işleýän häzirki zaman köp ýadroly CPU
  • 4GB + RAM
  • 10 Gb + HD giňişlik
  • 2 ýa-da has köp Intel PCI-e tor interfeýs kartlary

OpnSense Firewall-y gurmak we konfigurasiýa etmek

Haýsy enjamyň saýlanandygyna garamazdan, OpnSense-ni gurmak ýönekeý bir iş, ýöne ulanyjynyň haýsy ulgam interfeýs portlarynyň haýsy maksat üçin ulanyljakdygyna üns bermegini talap edýär (LAN, WAN, Simsiz we ş.m.).

Gurmak prosesiniň bir bölegi, ulanyjynyň LAN we WAN interfeýslerini düzüp başlamagyny talap etmegi öz içine alar. Authorazyjy, diňe OpnSense düzülýänçä, WAN interfeýsine dakmagy we LAN interfeýsine dakmak bilen gurnamagy tamamlamagy teklip edýär.

Birinji ädim, OpnSense programma üpjünçiligini almak we enjama we gurnama usulyna baglylykda birnäçe dürli wariant bar, ýöne bu gollanma “OPNsense-18.7-OpenSSL-dvd-amd64.iso.bz2” ulanar.

ISO aşakdaky buýrugy ulanyp alyndy:

$ wget -c http://mirrors.nycbug.org/pub/opnsense/releases/mirror/OPNsense-18.7-OpenSSL-dvd-amd64.iso.bz2

Faýl göçürilenden soň, bunzip guralyny ulanyp, dekompressiýa edilmeli:

$ bunzip2 OPNsense-18.7-OpenSSL-dvd-amd64.iso.bz2

Gurnaýjy göçürilenden we dekompressiýa edilenden soň, ony CD-de ýakyp bolýar ýa-da Linux paýlaýjylarynyň köpüsine goşulan “dd” guraly bilen USB diskine göçürip bolýar.

Indiki amal, gurnaýjyny açmak üçin ISO-ny USB diskine ýazmak. Muny amala aşyrmak üçin Linux-daky “dd” guralyny ulanyň.

Ilki bilen, diskiň ady lsblk bilen bolmaly.

$ lsblk

“/ Dev/sdc” hökmünde kesgitlenen USB diskiň ady bilen OpnSense ISO sürüjä “dd” guraly bilen ýazylyp bilner.

$ sudo dd if=~/Downloads/OPNsense-18.7-OpenSSL-dvd-amd64.iso of=/dev/sdc

Bellik: aboveokardaky buýruk kök aýratynlyklaryny talap edýär, şonuň üçin buýrugy işletmek üçin sudo ulanyň ýa-da kök ulanyjy hökmünde giriň. Mundan başga-da, bu buýruk USB diskdäki HEMMESI aýyrar. Gerekli maglumatlaryň ätiýaçlyk nusgasyny alyň.

Dd USB diskine ýazmagy gutarandan soň, köpçülikleýin habar beriş serişdelerini aç-açan gorag diwary hökmünde guruljak kompýutere ýerleşdiriň. Şol kompýuteri şol mediýa ýükläň we aşakdaky ekranda görkeziler.

Gurnaýjyny dowam etdirmek üçin Enter düwmesini basyň. Bu, OpnSense-ni göni re modeime açar, ýöne ýerine OpnSense-i ýerli mediýa gurmak üçin ýörite ulanyjy bar.

Ulgam giriş soragyna başlanda, açýan paroly bilen gurnaýjy ulanyjy adyny ulanyň.

Gurnama serişdesi girer we hakyky OpnSense gurnawçysyny işe girizer. DU CADURYŞ: Aşakdaky ädimleri dowam etdirmek ulgamyň içindäki gaty diskdäki ähli maglumatlaryň pozulmagyna getirer! Seresaplylyk bilen dowam ediň ýa-da gurnaýjydan çykyň.

Enter düwmesine basmak, gurnama işine başlar. Birinji ädim klawiaturany saýlamakdyr. Gurnaýjy, ähtimal klawiaturany kesgitlär. Saýlanan düwmäni gözden geçiriň we zerur bolanda düzediň.

Indiki ekranda gurnamak üçin käbir wariantlar hödürlener. Ulanyjy öňdebaryjy bölmek ýa-da başga bir OpnSense gutusyndan konfigurasiýa import etmek islese, bu ädimde amala aşyrylyp bilner. Bu gollanma täze gurnamagy göz öňünde tutýar we “Gollanma gurmak” opsiýasyny saýlar.

Aşakdaky ekranda gurmak üçin tanalýan ammar enjamlary görkeziler.

Saklaýjy enjam saýlanylandan soň, ulanyjy gurnaýjy (MBR ýa-da GPT/EFI) tarapyndan haýsy bölüniş shemasynyň ulanylýandygyny kesgitlemeli bolar.

Döwrebap ulgamlaryň köpüsi GPT/EFI-ni goldaýar, ýöne ulanyjy köne kompýuterini täzeden maksat edinýän bolsa, MBR goldaýan ýeke-täk wariant bolup biler. EFI/GPT-ni goldaýandygyny ýa-da ýokdugyny ulgamyň BIOS sazlamalarynda barlaň.

Bölüniş shemasy saýlanandan soň, gurnawçy gurnama ädimlerine başlar. Bu proses aýratyn köp wagt almaýar we ulanyjyny kök ulanyjynyň paroly ýaly wagtal-wagtal maglumat soraýar.

Ulanyjy kök ulanyjynyň parolyny bellänsoň, gurmak tamamlanar we gurnamany sazlamak üçin ulgam täzeden başlamaly bolar. Ulgam täzeden açylanda, OpnSense gurnamasyna awtomatiki usulda girmeli (enjamyň täzeden işlemegi bilen gurnama serişdesini aýyrmagy unutmaň).

Ulgam täzeden açylanda, konsolyň giriş soragynda durar we ulanyjynyň girmegine garaşar.

Indi ulanyjy gurnama wagtynda üns beren bolsa, gurnama wagtynda interfeýsleri öňünden düzüp bilendiklerine göz ýetirerdiler. Şeýle-de bolsa, bu makala interfeýsleri gurnamakda bellenmedi diýip kabul edeliň.

Gurnama wagtynda düzülen kök ulanyjy we parol bilen gireniňizden soň, OpnSense-iň diňe bu enjamda tor interfeýs kartalarynyň (NIC) ulanylandygyny bellemek bolar. Aşakdaky suratda\LAN (em0) diýilýär.

OpnSense LAN üçin standart\192.168.1.1/24 ulgamyna gabat geler. Aboveöne ýokardaky suratda WAN interfeýsi ýok! Bu '1' ýazmak arkaly aňsatlyk bilen düzedilýär. gyssagly we enter-e basyň.

Bu ulgamdaky NIC-leri täzeden bellemäge mümkinçilik berer. Indiki suratda iki interfeýsiň bardygyna üns beriň: em0 we em1.

Konfigurasiýa jadygöýi, VLAN-lary bilen gaty çylşyrymly gurnamalara mümkinçilik berer, emma häzirlikçe bu gollanma esasy iki setli gurnama göz öňünde tutýar; (ýagny WAN/ISP tarapy we LAN tarapy).

Häzirki wagtda haýsydyr bir VLAN sazlamazlyk üçin 'N' giriziň. Bu aýratyn gurnama üçin WAN interfeýsi “em0”, aşakda görkezilişi ýaly LAN interfeýsi “em1”.

Soragda 'Y' ýazyp, interfeýslerdäki üýtgeşmeleri tassyklaň. Bu, OpnSense-iň interfeýs belligindäki üýtgeşmeleri görkezmek üçin köp hyzmatlaryny täzeden açmagyna sebäp bolar.

Bir gezek gutaransoň, LAN tarap interfeýsine web brauzeri bilen kompýuter birikdiriň. LAN interfeýsinde müşderiler üçin interfeýsde diňleýän DHCP serweri bar, şonuň üçin kompýuter OpnSense web konfigurasiýa sahypasyna birikmek üçin zerur salgy salgysyny alyp biler.

Kompýuter LAN interfeýsine birikdirilenden soň, web brauzerini açyň we aşakdaky url-a geçiň: http://192.168.1.1.

Web konsolyna girmek; ulanyjy adynyň “köküni” we gurmak prosesinde düzülen paroly ulanyň. Hasaba gireniňizden soň, gurnamagyň soňky bölümi tamamlanar.

Gurnaýjynyň ilkinji ädimi, host ady, domen ady we DNS serwerleri ýaly has köp maglumat ýygnamak üçin ulanylýar. Ulanyjylaryň köpüsi saýlanan DNS-i ýok etmek opsiýasyny goýup bilerler.

Bu, OpnSense gorag diwaryna ISP-den WAN interfeýsi arkaly DNS maglumatlary almaga mümkinçilik berer.

Indiki ekranda NTP serwerleri soralar. Ulanyjynyň öz NTP ulgamlary ýok bolsa, OpnSense deslapky NTP serwer howuzlaryny üpjün eder.

Indiki ekran WAN interfeýsini gurnamakdyr. Öý ulanyjylary üçin ISP-leriň köpüsi, müşderilerine zerur ulgam konfigurasiýasy maglumatlary bermek üçin DHCP-den peýdalanarlar. Diňe saýlanan görnüşi “DHCP” hökmünde goýmak OpnSense-e WAN tarap konfigurasiýasyny ISP-den ýygnamaga synanyşar.

Dowam etmek üçin WAN konfigurasiýa ekranynyň aşagyna aýlaň. *** Bellik *** Bu ekranyň aşagyndaky, WAN interfeýsine girýän ýaly görünmeýän tor aralygyny blokirlemek üçin iki sany adaty düzgün bar. WAN interfeýsi arkaly bu torlara rugsat bermegiň belli bir sebäbi bolmasa, bulary barlamak maslahat berilýär!

Indiki ekran LAN konfigurasiýa ekranydyr. Ulanyjylaryň köpüsi diňe defoltlary goýup bilerler. Bu ýerde ulanylmaly, adatça RFC 1918 diýlip atlandyrylýan ýörite tor aralyklarynyň bardygyna göz ýetiriň. Dawa-jenjellerden/meselelerden gaça durmak üçin deslapky goýmagy ýa-da RFC1918 aralygyndan bir tor aralygyny saýlaň!

Gurluşyň soňky ekrany, ulanyjynyň kök parolyny täzelemek isleýändigini ýa-da ýokdugyny sorar. Bu islege bagly, ýöne gurnama wagtynda güýçli parol döredilmedik bolsa, indi meseläni düzetmek üçin amatly pursat bolardy!

Paroly üýtgetmek opsiýasyndan geçensoň, OpnSense ulanyjydan konfigurasiýa sazlamalaryny täzeden açmagyny soraýar. Diňe “eloükle” düwmesine basyň we konfigurasiýany we häzirki sahypany täzelemek üçin OpnSense-ä bir sekunt beriň.

Hemme zat ýerine ýetirilenden soň, OpnSense ulanyjyny garşylar. Esasy dolandyryş paneline dolanmak üçin web brauzer penjiresiniň ýokarky çep burçundaky Dolandyryş paneli -e basyň.

Bu pursatda ulanyjy esasy dolandyryş paneline eltiler we peýdaly OpnSense plaginleriniň ýa-da işleýşiniň islendik birini gurnamagy/sazlamagy dowam etdirip biler! Awtor täzelenmeler bar bolsa ulgamy barlamagy we täzelemegi maslahat berýär. Diňe esasy dolandyryş panelindäki Täzelenmeleri barlamak üçin basyň düwmesine basyň.

Soňra indiki ekranda täzelenmeleriň sanawyny görmek üçin “Täzelenmeleri barlaň” ýa-da bar bolan täzelenmeleri ulanmak üçin “Indi täzelenme” ulanylyp bilner.

Bu pursatda, OpnSense-iň esasy gurnamasy işlemeli we doly täzelenmeli! Geljekki makalalarda, OpnSense-iň ösen mümkinçiliklerini has köp görkezmek üçin Link agregasiýasy we VLAN arasyndaky marşrutlaşdyrylar!