Firewall с pfSense

Posted by Stanislav Nedelchev on Tue, 05/31/2011 - 21:46

pfSense firewall дистрибуция базирана на Freebsd.

С този продукт можете да изградите перфектен firewall.
Можете спокойно да го използвате и във вашият дом или офис.
Тук ще се опитам да покажа най-основните неща , които можете да направите с него.
Както и да загатна и за другите възможности, които предлага.
Мога да кажа , че с негова помощ можете да направите почти всичко , което трябва да може един firewall. Та дори и повече.
За да инсталирате ви трябва PC съвместима машина с 2 мрежови карти.
Едната трябва да укажете като LAN (вътрешна мрежа) а другата като WAN (външна мрежа)
По подразбиране пакетите , които идват на външната мрежа се блокират.
И вие трябва да укажете какво точно искате да премине.
В началната страница имате dashboard където можете да добавяте и премахвате важна за Вас информация.
Тя изглежда по следния начин:

Още с инсталацията има активиран NAT по подразбиране.
Което означава , че ако коректно сте конфигурирали вашият LAN и WAN мрежов интерфейс.
След като включите компютър в локалната мрежа към вашият нов firewall той ще има достъп до интернет.
Забележка:
Още в първоначалната инсталация ще трябва да зададете LAN интерфейс. След което по мрежата ще можете да настроите всичко друго. Хубавото е , че ако сте начинаещ има Wizard , който почти автоматизира първоначалната настройка.

Така изглежда настройката на LAN интефейс.

Разбира се за да има интернет трябва да имате зададен и gateway.
Интересното тук е , че можете да имате няколко такива както и да им зададен приоритет.
Това е много полезно ако искате да изградите връзка към няколко доставчика едновременно.
Настройката за използване на няколко интернет връзки става от CARP и Virtual IPs.
Ето и как изглежда настройката на мрежовите шлюзове (gateways).

Редактиране на gateway

Разбира се един дом или офис рядко минава без автоматично раздаване на IP адреси.
И това може да се постигне с вградения DHCP сървър.
Ето и как изглежда настройката му.
Както сигурно ще видите можете да контролирате изключително много неща.
Както и да задавате статични (leases) тоест на даден MAC адрес да се дава винаги едно и също IP.

След като имаме WAN, LAN интерфейси и активиран DHCP сървър.
И сърфираме в интернет добре е да разгледаме и firewall Правилата и да си добавим такива по наш вкус.
Ето и как изглежда списъка с правила.

От иконките долу се вижда какъв е статуса на дадено правило.
Можете да премествате или изтривате правилата с иконките в дясно.
Имайте предвид , че правилата работят по правилото first hit wins.
Тук можете да видите и как се добавя правило:
Бих казал , че с описанието на всяко поле човек може лесно да се ориентира.
Но тук е интересно д а се отбележи , че могат да се използват псевдоними.
С помощта на псевдонимите (aliases) можете да опишете цяла група от IP-та , мрежи и т.н
И не е нужно да се описвате правила за всяка мрежа или група от хостове.
Интересни също са и разширените настройки.
Там можете да окажете допълнителни критерии като например:
по тип операционна система.
по флаг на TCP пакет , както и по layer7.
Layer7 служи да разпознаване и блокиране на дадени пакетои по шаблон.
Обикновенно такива шаблони са за определени програми например ICQ.

Ето как се създават псевдоними.
Тук можете да създадете логически групи за 2 отдела във вашата фирма или пък за компютрите на съседа.

След като имате създадени правила можете да проверите в системния журнал (system log).
Какво се случва. Има ли блокирани пакети , колко са ? от къде са блокирани и т.н

МОже да се разглеждат и във вид на графика

Ако искате съседа с , който си споделяте интернета да има достъп само вечер.
Това става много лесно с scheduler.
Ето и как се конфигурира:

Разбира се е възможно съседа ви или колегите в другия офис са теглят разни неща от интернет.
А вие не искате това да ви забавя връзката.
Добрата новина е , че в PF Sense има вграден traffic shaper

VPN възможности на pfSense.
Ако искате да свържете две отдалечени мрежи в една локална мрежа.
На помощ идва OpenVPN или IPSEC
Тук ще покажем как изглежда OpenVPN
Той може да се използва както са свързване на два офиса така и за връзка на мобилни клиенти.
Например хора с лаптопи на път.
За всеки мобилен клиент могат да се указват специални правила.

pfsense също така поддържа и PPTP .
Това е един не особено сигурен VPN от гледна точка на използваните алгоритми.
Но пък за сметка на това е изключително лесен за настройка и се поддържа и от повечето мобилни телефони.
За по любознателните - http://www.schneier.com/paper-pptp.pdf
Има възможност за връзка с radius сървър , което хич не е зле ;)

Още няколко думи за Open VPN
При него връзката може да се осъществи в да кажем в 2 варианта
Preshared key или Certificate.
Сертификатите се управляват вече много лесно във Pf sense.
И не е нужно да се генерира в конзолата.
Ето и как изглежда управлението на сертификати :
Certificate Authority

Cetificates

Всички тези услуги могат да се следят в системния журнал (system log).
Там може да видите примерно потенциални проблеми да следите трафика.
Дали някой се опитва да атакува вашият firewall.
Тук мога да добавя , че ако инсталирате Snort , койте може да се инсталира
като допълнителен пакет. Има възможност да го настроите да добавя автоматично правила
за блокиране на определени IP-та при потенциална опастност.
Ето как изглежда примерно графиката на трафика.
Както можете да видите име доста под страници където се вижда използваното процесорно време , качеството на интернет връзката.
Как работи ограничаването на трафика и други.

Също така трафика може да се вижда и в реално време.

В pfsense също така има и DNS Forwarder , който е доста полезен в някои сличаи.
Което означава , че без да имате инсталиран ваш DNS сървър можете да укажете например:
example.com да отговаря на вътрешно IP от вашата мрежа .
Така не е необходимо да имате DNS сървър или да променяте hosts файла на вашия компютър.

Също така можете да коригирате много от системните настройки както и работата на самата система.
Можете да го видите на тази картинка.

Мога да кажа , че pfsense предлага още много неща , които са вградени в системата.
Но би станало прекалено дълго.
Но ако все пак нещо ви липсва можете да го инсталирате като допълнителен пакет.
Което става от управлението на пакети.

И не на последно място една изключително полезна функционалност.
Архивиране и възстановяване на конфигурацията.
Това става с няколко клика на мишката и имате цялата конфигурация запазена.
След което за борени минути можете да възстановите цялата система.
Комбинацията от малка компютърна кутия с compact flash вместо хард диск превръща pfsense в един истински firewall.

Обновяването на самата система става автоматично през интернет ако желаете.

pfSense е продукт с отворен код и може да се използва без ограничения.
Но също така компанията която го разработва предлага и платена поддръжка.

Tags: 

Comments

Страхотна статия! Огромно браво на автора!!!

Add new comment

Refresh Type the characters you see in this picture. Type the characters you see in the picture; if you can't read them, submit the form and a new image will be generated. Not case sensitive.  Switch to audio verification.