PfSense: Установка

Материал из wiki.lissyara.su
Перейти к: навигация, поиск

Руководство по установке PFSense.

Оригинальная статья взята с официального Wiki PFSense. Перевод по мере возможностей адаптируется к русскоязычным IT терминам и понятиям.

Cледуя этому руководству вы сможете настроить Open Source (бесплатный) Firewall pfSense. Вы сможете иметь возможность отдельной подсети WiFi сеть с доступом к Интернету, которая не может получить доступ к внутренним и отдельным (закрытым) локальным сетям.

Это руководство предназначено для пользователей, которые знакомы с Linksys, Netgear, D-Link и прочих межсетевых экранов/маршрутизаторов разного происхождения. Нет необходимости в опыте работы с FreeBSD или Linux для установки и запуска pfSense. Когда вы закончите, управление pfSense будет производиться с веб-интерфейса, как и любое другое из SOHO firewall/router устройств. PF в названии pfSense означает 'Пакетный фильтр'.

Причины для перехода на PFSense.

pfSense является очень мощным и стабильным проектом с широкими возможностями. Это подтверждено многими пользователями pfSense, которые используют его с сотнями компьютеров с различными операционными системами позади брандмауэра. pfSense имеет все возможности SOHO (малый офис домашний офис) устройства, а также многое другое. Возможно использование множественных подсетей сети, отделенных друг от друга с помощью правил брандмауэра. Пример: имеется одна защищенная/незащищенная беспроводная точка доступа для друзей и соседей, чтобы получить доступ к вашему интернет подключению. Можно разделить стоимость подключения к Интернету с вашим соседом и не позволить им получить доступ к Вашей частной сети. Если вы являетесь опытным FreeBSD, Linux или Unix пользователем, вы можете добавлять приложения из репозитория FreeBSD на FreeBSD.org.

http://www.freebsd.org/ports/master-index.html

Хотя запуск дополнительных приложений на брандмауэре может увеличить потенциальный риск взлома, может быть очень полезным добавить некоторые приложения на pfSense. Как только вы установите pfSense, вы сможете найти перечень авторизованных приложений на вкладке "System Packages". Они могут быть установлены одним щелчком мыши. Пакеты FreeBSD.org также могут быть добавлены пользователем через консоль, каким образом это происходило многие годы.

Это руководство разделено на три секции.

  • Шаг 1, показывает куда пойти, чтобы загрузить все, что потребуется вам для установки pfSense на жесткий диск ПК.
  • Шаг 2, вы пройдете через экраны установки и выбора всего необходимого для завершения установки на жесткий диск. Затем Вы получите инструкции по конфигурации pfSense через веб-интерфейс.
  • Шаг 3 поможет вам настроить ваши WiFi-точки доступа.
  • В конце руководства будут перечислены некоторые более расширенные возможности pfSense

Шаг 1

Загрузка, подготовка ISO и выбор интерфейсов.

Скачать PfSense, зеркала

В верхней части страницы есть ссылка 'LiveCD'. Это позволит вам выбрать зеркало загрузки рядом с вашим. Установка будет произведена с этого Live CD. Диск Live CD позволит Вам протестировать ваше железо и pfSense фактически без установки на жесткий диск. Вам понадобится изменить настройки BIOS таким образом, чтобы загружаться с CD-ROM; затем необходимо загрузиться с CD диска, который должен быть записан с загруженного ISO образа. Этот диск является также установочным компакт-диском, подробнее об этом позже.

Образ .iso для этого руководства должен быть pfSense-1.2-RC3-LiveCD-Installer.iso.gz Сначала необходимо распаковать этот файл, используя GZIP, чтобы добраться до ISO. Затем создайте загрузочный компакт-диск.

Хорошая программа для использования 'Cdrecord' через консоль Linux.

  • Используйте эту комманду:
sudo cdrecord -v speed=20 dev=/dev/sr0  pfSense-1.2-RC3-LiveCD-Installer.iso 
  • Если ваше устройство записи DVD и поддерживает DAO и не TAO, используйте следующую команду:
cdrecord -v -dao speed=8 dev=/dev/dvdwriter -milti pfSense-1.2-RC3-LiveCD-Installer.iso 

Если вы используете Linux, устройства 'dev' могут отличаться.

Существует также хорошая утилита для Windows для создания ISO, которая называется Deep Burner. Вот ссылка http://www.deepburner.com/?r=download

Deep Burner является бесплатной.


Биос должен быть настроен на загрузку с cdrom. Для полной функциональности компьютер должен иметь 2 сетевые карты. Одна как внешний интерфейс (WAN, для провайдера), другую Для Wifi подсети желательно иметь еще 1 сетевую карту.

Проверьте список совместимого оборудования, совместимого с Freebsd перед установкой или покупкой оборудования: http://www.freebsd.org/releases/7.2R/hardware.html

Загрузим pfsense. Когда покажется загрузчик Freebsd, появится 7 опций. Можно дождаться выбора первой опции по умолчанию. Возьмем лист бумаги и запишем обозначения интерфейсов, это понадобится позднее. Например 3 интерфейса fxp0, fxp1 и fxp 3.

На вопрос отвечаем no или 'n', т.к. VLAN скорее всего не нужны.

“Do you want to set up     VLAN's now [y|n]?”  выберете ответ  no или 'n', т.к. VLAN вам скорее всего не нужны    

Теперь ответим на вопрос:

“Enter your LAN interface name”,  

теперь вводим название одного из интерфейсов, например fxp1.

“Enter your WAN interface name”  

вводим 'fxp2' например.

Следующая опция:

“Enter the Optional 1 interface name”,  

вводим его название интерфейса, например fxp0. Если его нет, нажимаем ввод.

Видим на экране

 “The interfaces will be assigned as follows:”
LAN  -> fxp1
WAN ->  fxp2
OPT1 -> fxp0
Do you want to proceed [y|n]?                      (

Проверяем, все ли верно и вводим 'y'

pfSense теперь запущен в ОЗУ и полностью функционален. Можно подключать к LAN интерфейсу свитч и подключатся к веб интерфейсу. По умолчанию IP адрес pfsense 192.168.1.1. Откроем браузер и проверим это, или продолжим установку на жесткий диск.

  • По умолчанию логин 'admin' и пароль 'pfsense'.

Шаг 2

Установка на жесткий диск.

Сейчас необходимо перейти к консоли PFSense, откуда и будет происходить установка. Выберите 99 секцию “pfsense console setup” в меню консоли (введите 99 и нажмите Enter), которая запускает установку PFSense на жесткий диск/memory drive и пр.

Эта процедура установки реализована на консольной библиотеке curses. Установка работает лучше, если вы используете все пространство на жестком диске. При наличии каких-либо данных на диске, убедитесь, что вы скопировали их в другое место. Теперь вы можете (как правило) принять настройки по умолчанию, которые предлагаются в ходе установки.

Скриншоты этого процесса доступны для скачивания ниже.

http://forum.pfsense.org/index.php/topic,7356.0.html

Не забудьте удалить компакт-диск при перезагрузке.

После перезагрузки мы видим "pfsense консоль установки" во второй раз. На данный момент вы можете отключить ваш кабель монитора и управлять брандмауэром через браузер, или же вы можете выбрать опцию 8 меню и исследовать систему с помощью Shell.

Убедитесь, что IP адрес вашего компьютера находится в подсети 192.168.1.0, так как "Сетевой интерфейс pfSense" по умолчанию 192.168.1.1.

По умолчанию имя пользователя и пароль для доступа к WebGUI 'admin' и 'pfsense'.


Теперь выбираем в меню WebGUI System > Setup Wizard (мастер настроек).

В этом месте вы можете перейти на Wink учебник (демо ролик). Это поможет вам в остальной конфигурации. Нажмите на ссылку для начала просмотра. Это откроет Shockwave демо-ролик в браузере.

http://doc.pfsense.org/smiller/Install_Guide.htm

http://computerpro.bz/os/content/howto-guides-1

Шаг 3

Настройка Wi-Fi для Opt1-Wi-Fi интерфейса

/ извинения за перевод - тема тяжело дается /

Подключите соединительный кабель витой пары (Cat 5) для адаптера который мы установили для точки доступа, которая будет в подсети. Эта подсеть будет отделена от вашей локальной сети с помощью правил брандмауэра. Эта точка доступа будет подключаться непосредственно к интернету и не будет иметь доступа к вашей локальной сети. Большиинство брандмауэров/маршрутизаторов SOHO имеют IP-адрес по умолчанию от 192.168.0.1 или 192.168.1.1. Change this to a different IP address so it will work on this install and not have the same IP address as your new pfSense box. Измените его на другой адрес. Я выбрал 192.168.2.5. Затем отключите сервер DHCP на устройстве, чтобы pfsense мог раздавать адреса. Когда вы посмотрите в меню Diagnostic->ARP tables, то вы сможете увидеть, кто в данный момент подсоединён.

Enable the DHCP server under the Services - > DHCP server tab click on the Opt 1 interface and on the top check the box enable DHCP Server. Вам нужно будет задать диапазон DHCP-сервера, это укажет, сколько IP-адреса вам будет выдано.

Этот деморолик Wink показывает, как создать правило файрвола для разрешения WiFi трафика с подсети 192.168.2.1 в интернет, но с запретить доступ к подсети 192.168.1.1 .

  • Для нормального функционирования необходимо убедиться, что в правиле файрвола, созданном для Opt WiFi интерфейса, в опции типа протокола выбрано 'any'. По умолчанию, когда создается правило, выбирается протокол TCP. Если это не установлено должным образом доступ будет ограничен, и для ваших целей не будет работать.

Вы можете использовать ту же самую процедуру, изложенную выше в вашей локальной сети на второй точке доступа с IP-адресом из той же, только зашифрованной, подсети LAN. Это беспроводное сетевое подключение только для вашего собственного использования, не для соседей. Отключите DHCP-сервер на второй точке доступа, и делайте вручную эту функцию.

Вы можете регулировать доступ с помощью встроенного Captive portal, который можно найти в меню Service -> Captive Portal. Столь же эффективный способ для зашифрованной сети - это дать свой сетевой ключ только избранным людям.

Официальный форум

Если вы столкнулись с трудностями, то вы можете задать вопросы, связанные с pfSense, на официальном форуме (рус.)

англ.

Дополнительные возможности

Traffic Shaping

  • Clustering
  • Load Balancer
  • Failover
  • Captive Portal - Control Access to the internet. Like coffee shops use with free WiFi.

Установка одним нажатием:

  • Snort - Легкая система обнаружения вторжения в сеть.
  • Squid - Высокопроизводительный кэш для веб-прокси.
  • FreeRadius - Открытая реализация протокола RADIUS
  • imspector - IMSpector is an Instant Messenger proxy with logging capabilities.
  • nmap - Утилита для исследования сети и аудита безопасности.
  • ntop - Показывает использование сети в аналогии с верхней.
  • Darkstat - Сниффер пакетов и коллектор статистики сети.

и многое другое.

PFSense также позволяет вам добавить пакеты из стандартного респозитария FreeBSD. Любые неофициальные пакеты, которые не поддерживаются PFSense.

Add an Internal Wireless Interface

http://doc.pfsense.org/smiller/Add_WiFi_Interface.htm

You can skip this tutorial if you are planning on adding an external Access Point as outlined above. This tutorial is for those who want an internal wifi interface.



Additional Tutorials

http://doc.pfsense.org/index.php/Tutorials

If you found this tutorial helpful the above link contains other helpful tutorials on this wiki.

Шаблон:HOWTO