Cartea 2

2.1 Introducere în pfSense

Prima mea instalare a fost făcută pe metale goale și a funcționat foarte bine. Acest lucru sa întâmplat cu puțin înainte de a începe să mă gândesc la ideea unei platforme virtuale de rutare. Au fost multe discuții dacă rutele virtuale vor putea să facă față acestei sarcini în ceea ce privește securitatea. Pur și simplu nu am putut admite o astfel de idee a fundației până când am încercat-o. Acum, după 7 ani, trebuie să spun că mă bucur că am decis să virtualizez totul.

De-a lungul anilor, activitatea Snort IDS din pfSense a prins o mulțime de intruși și le-a distrus imediat. Cu fiecare instalare de software nou, acest pachet sniffed WireShark înainte de a fi lansat în mediul industrial! Mai mult, monitoarele de servicii de rețea, precum Nagios Core, au oferit informații bogate pentru a sprijini administratorii IT într-o stare informată. Cu regulile corecte ale firewall-ului și filtrarea hardware a nivelului 2, este foarte puțin probabil că vei fi hacked!

pfSense este o platformă puternică și funcționalitatea acesteia nu poate fi acoperită integral în această carte. Acest manual a fost conceput ca un pas-cu-pas pentru a vă asigura că ați preluat rapid și lansat totul. Vă recomandăm foarte mult să utilizați resurse bogate pe web pentru o înțelegere mai profundă!

OK! Se spune destul! Înainte de a începe instalarea, trebuie să creați o configurație VM. Vă recomandăm un disc virtual de 8 GB IDE și 4 GB de memorie RAM pentru o astfel de instalare. Dacă trebuie să repetați acești pași, reveniți aici: 1.9 Crearea setărilor VM.

2.2 Instalarea programului pfSense

Acum, activați pfSense VM, asigurându-vă că aveți un CD sau o imagine de disc bootată. Ar trebui să vedeți următorul ecran:

Cartea 2

Acum, când ați primit invitația (afișată mai jos), apăsați tasta I. Dacă nu l-ați prins la timp, renunțați la VM.

Cartea 2

Apoi, veți vedea consola de configurare (prezentată mai jos). Utilizați tasta în jos pentru a ajunge la Acceptați aceste setări, apoi apăsați pe Enter.

Cartea 2

Acum, selectați Instalare rapidă / ușoară (după cum se prezintă mai jos)

2.3 Atribuirea interfețelor de rețea

Apoi, trebuie să configurați mediul de rețea! Deoarece pfSense este o distribuție bazată pe BSD. interfețele de rețea sunt denumite în mod diferit. Dacă utilizați e1000 Gigabit. acestea ar trebui să fie afișate ca em (x). Dacă utilizați Realtek. acestea vor fi denumite re (x). Vă rugăm să vă concentrați atenția acum! Aceasta este singura parte complicată a instalării!

Am descoperit că este mai ușor să instalați întotdeauna LAN-ul pe prima interfață, care ar trebui să fie întotdeauna em0 sau re0.

Cartea 2

Cartea 2

Apoi vom fi invitați să introduceți numele WAN. Apăsați em1 și apoi ENTER.


pfSense va solicita numele interfeței LAN (după cum se arată mai jos). Introduceți em0. apoi apăsați ENTER.

Cartea 2

Deoarece NU configurați interfața opțională (opt1) acum, apăsați tasta ENTER. ceea ce înseamnă NU SELECȚIE (după cum se prezintă mai jos).


Interfețele dvs. vor fi acum atribuite (după cum se arată mai jos). Tip y. apoi apăsați ENTER.

Cartea 2

Pentru a continua, selectați opțiunea 2. apoi apăsați ENTER.


Apoi, formați numărul interfeței pe care o configurați. În acest caz, dorim să folosim un adaptor LAN. al cărui număr este în lista 2 (după cum se prezintă mai jos).

Pentru a continua, tastați 2. apoi apăsați

Cartea 2

Pentru a continua, tastați LAN-ul IP pe care îl utilizați. apoi apăsați ENTER.


Apoi, vi se va solicita să furnizați numărul de biți din masca de subrețea în notația CIDR. Acesta va fi întotdeauna în permanență 24 pentru rețeaua locală.

Pentru a continua, tastați 24. apoi apăsați ENTER.

Cartea 2

Următoarele câteva solicitări pot fi sărite prin apăsarea tastei ENTER. ceea ce înseamnă NU SELECȚIE (nu este selectat, după cum se prezintă mai jos).

Apăsați ENTER pentru a continua.


Nu aveți nevoie să configurați conexiunea IPv6 (așa cum este prezentat mai jos) pentru rețeaua LAN. astfel încât acest pas poate fi omis.

Apăsați ENTER pentru a continua.

Cartea 2

Pentru a configura consola cât mai repede posibil, NU vom permite DHCP la LAN în acest moment (după cum se arată mai jos). Acesta va fi configurat utilizând interfața web.

Pentru a continua, tastați n. apoi apăsați ENTER.


Acum vi se cere să reveniți la interfața web (așa cum este prezentat mai jos) de la modul de siguranță (https) la non-secure (http). Poate doriți să o lăsați în siguranță.

Pentru a continua, tastați n. apoi apăsați ENTER.

Cartea 2

Setarea trebuie finalizată acum.


Imaginea de mai jos arată un alt întrerupător de securitate, pe care prefer să-l las până când totul este verificat și va funcționa. Prin activarea activării ARP-urilor statice pfSense (Activarea înregistrărilor ARP statice) va împiedica interacțiunea cu adaptorul echipamentului LANE din listă. Acesta este un alt instrument puternic care vă ajută să păstrați securitatea mediului de rețea (foarte recomandat)!


2.9.1 Reguli LAN

Ar trebui să vedeți marcajele cu numele interfețelor de rețea. Unele dintre marcajele mele (ilustrate mai jos) au nume diferite. Tocmai le-am redenumit! De exemplu: am redenumit interfața mea WAN la JAB. Singurele interfețe pe care le vom lua în considerare sunt LAN și WAN. Următoarea listă este pre-populată pentru a reprezenta conceptul modului în care tabelul va avea grijă de producerea înregistrărilor de reguli LAN.


Pentru a adăuga o nouă rețea LAN la regula LAN. faceți clic pe butonul + din partea dreaptă (după cum este prezentat mai jos).


Figura de mai jos prezintă regula completă LAN la LAN. Duplicați această regulă fără să uitați să salvați modificările când ați terminat.

Acum, dacă aveți un server VPN, lăsați-l să se configureze astfel încât utilizatorii de domenii să poată să se autentifice și să-l folosească! Pentru a face acest lucru trebuie mai întâi să obțineți instalarea Zentyal. care este descrisă în Cartea 4. Controler de domeniu Zentyal.

Dacă este instalat Zentyal, hai să continuăm făcând clic pe System> User Manager (după cum se arată mai jos).


Apoi faceți clic pe fila Servere (după cum se arată mai jos). Notă: lista de mai jos este pre-populate cu ZentyalDC1 pentru referință. Instalarea dvs. ar trebui să afișeze numai baza de date locală.

Pentru a adăuga un nou server, faceți clic pe +

Cartea 2

Apoi trebuie să introduceți informații despre controlerul de domeniu Zentyal (după cum se arată mai jos).


Cartea 2

2.11.6 Adăugarea notificărilor la lista de blocare

Deoarece Snort rulează, START să vizualizați avertismentele așa cum se arată în lista de mai jos. Puteți adăuga avertismente cu risc scăzut (cu risc scăzut) la lista de interdicții făcând clic pe butonul plus (+) din coloana SID (după cum se arată mai jos).

Utilizați bunul simț atunci când creați o listă prohibitivă!

Cartea 2

Când dezactivați toate avertismentele, lista de suprimare ar trebui să fie generată automat (generată automat, după cum se arată mai jos).


2.11.7 Blocarea sursei de încălcare a normelor

Din moment ce vizionați schimbul normal de rețea și ați instalat o listă de suprimări, este timpul să lăsați Snort să lucreze. Acum puteți reveni la setările Interfeței Snort și puteți permite infractorilor să fie blocați la sursă (blocarea intrușilor din sursă). Rețineți că vă recomandăm să lăsați acest parametru debifat până când schimbați monitorizarea schimbului.

Snort este foarte puternic și va bloca schimbul! Poate chiar te blochează! Dacă se întâmplă acest lucru, înregistrați-vă cu pfSense de pe alt computer, dezactivați temporar blocarea și asigurați-vă că securitatea mașinii blocate este scanată pentru viruși și programe malware. Atunci când este instalat și configurat corect, acest sistem se scala!


2.12 Copii de siguranță ale setărilor

Pe lângă aplicarea copiilor de rezervă ale imaginilor VM, este de asemenea recomandat să salvați o copie a setărilor pfSense. O copie de rezervă a setărilor este deosebit de importantă atunci când dezvoltatorii rescriu ansamblul în așa fel încât să încalce anumite pachete de actualizare. În aceste condiții, o copie de rezervă a imaginii VM va duce doar la versiunea pe care ați folosit-o anterior. M-am intilnit de 1 ori in ultimii 7 ani, deci nu va ingrijorati prea mult!

Pentru a accesa pagina de configurare de rezervă, faceți clic pe Diagnosticare> Backup / Restore (după cum se arată mai jos).


Ar trebui să vedeți dialogul Backup / Restore așa cum se arată mai jos. Acum faceți clic pe butonul Descărcare configurare


Când apare dialogul de descărcare (după cum se arată mai jos), salvați setarea pe disc.

Articole similare