Как установить pfSense в качестве интернет шлюза

Добрый день! Уважаемые читатели и гости It блога Pyatilistnik. В прошлый раз я вам подробно описал механизм "Как windows 7 home обновить до Professional или Ultimate". В сегодняшней статье я хочу перейти к сетевой инфраструктуре и поговорить про интересный продукт под названием pfSense. Я покажу как его можно проинсталлировать и на его основе развернуть полноценный интернет шлюз. Покажу в целом, что умеет данный дистрибутив и какие задачи с его помощью можно легко выполнять. Думаю, что не у всех есть возможность купить себе оборудование Cisco или Juniper, а вот виртуальную машину позволить можно. Переходит от слов к делу.

Что такое pfSense

pfSense — это свободная и открытая операционная система, основанная на FreeBSD, которая используется для создания маршрутизаторов и брандмауэров. Она предлагает мощные функции для управления сетевыми соединениями и безопасностью, что делает её популярным выбором как для домашних пользователей, так и для организаций.

▎Основные возможности pfSense:

1. Маршрутизация: Поддержка статической и динамической маршрутизации (RIP, OSPF, BGP). Возможность настройки VLAN для сегментации сети.
2. Брандмауэр: Фильтрация трафика на основе правил. Поддержка NAT (Network Address Translation) для преобразования адресов.
3. VPN: Поддержка различных протоколов VPN, включая OpenVPN, IPsec и L2TP. Возможность создания защищённых удалённых соединений.
4. Мониторинг и отчётность: Встроенные инструменты для мониторинга трафика и производительности сети. Возможность создания графиков и отчётов по использованию сети.
5. DHCP и DNS: Встроенный DHCP-сервер для автоматического назначения IP-адресов. Поддержка DNS-сервера с функциями кэширования.
6. Фильтрация контента: Возможность интеграции со сторонними решениями для фильтрации веб-контента. Поддержка Squid для проксирования и кэширования веб-трафика.
7. Безопасность: Поддержка IDS/IPS (Intrusion Detection/Prevention System) через Snort или Suricata. Возможности для настройки многофакторной аутентификации.
8. Обновления и управление: Удобный веб-интерфейс для управления настройками. Автоматические обновления системы и пакетов.

▎Задачи, которые можно решать с помощью pfSense:

• Создание защищённой сети: pfSense может использоваться для защиты локальной сети от внешних угроз с помощью брандмауэра и VPN.
• Управление трафиком: Система позволяет контролировать и оптимизировать использование пропускной способности сети.
• Сегментация сети: С помощью VLAN можно разделить сеть на логические сегменты для повышения безопасности и управления.
• Удалённый доступ: Позволяет пользователям безопасно подключаться к корпоративной сети из любой точки мира через VPN.
• Мониторинг сети: pfSense предоставляет инструменты для анализа трафика и выявления аномалий в работе сети.

Читайте так же — Как происходит частичное досрочное погашение ипотеки или кредита в Сбербанк

Процесс установки pfSense

• Скачиваем дистрибутив pfSense-LiveCD-2.1-RELEASE-amd64.iso.gz с одного из зеркал. Разархивируем скачанный архив и записываем iso файл на CDROM, если у вас виртуальная машина, то там проще, вам просто необходимо загрузить его в виртуальный привод. В случае серверов, у каждого из них есть свои порты управления, где так же можно смонтировать ISO образ.
• Для установки pfSense, вам необходимо загрузиться с записанного в CDROM/ISO. После загрузки вы увидите следующий экран с загрузочным меню.

Можно просто подождать или просто нажать Enter. Далее увидим мастер загрузки.

• Нажмите "i" если хотите сразу установить на жёсткий диск, не загружаясь в режиме "Live CD". Далее последует несколько стандартных вопросов.

• Смело жмите "Accept these settings"

Выбираем режим, быстрой установки "Quicky/Easy Install".

Для подтверждения удаления всех старых данных на диске жмите "ОК". На следующем шаге вам придётся ответить на ещё один каверзный вопрос - какой тип ядра устанавливать. Если у Вас один процессор (с одинм ядром), то не задумывайтесь и выбирайте "Uniprocessor kernel". Если больше одного процессора или несколько ядер, то нужно выбрать "Symmetric multiprocessing kernel".

Запуститься процесс инсталляции pfSense.

Бинго! Вас можно поздравить с успешной установкой pfSense на жёсткий диск. Жмите "Reboot" и не забудьте вытащить CD из привода. Однако пиво пить ещё рано, надо сделать первоначальную настройку.

Как Сконфигурировать pfSense

После перезагрузки вы увидите дружелюбный экран со списком интерфейсов (скорее всего будет немного отличаться от приведённого ниже)

нажмите "n" и Enter, т.к. мы пока не хотим конфигурировать никаких vlan, это при необходимости можно выполнить потом из веб-интерфейса

Теперь мы на стадии присваивание интерфейсов. Можно играться с автоматическим определением интерфейсов, тогда нужно отключить все сетевые кабели от компа и нажать "а", дальше нажать Enter, подключить кабель и Enter опять. Но мы, суровые админы, знаем где у нас какой интерфейс и не желаем предварительного износа нашим RJ-45, поэтому кабели туда-сюда не тыкаем, а просто выбираем в качестве LAN-интерфейса bge0, а в качестве WAN (этот смотрит в сторону Интернет провайдера) выбираем bge1. Никаких дополнительных интерфейсов мы пока не хотим ибо их можно потом создать через WEB-интерфейс, поэтому просто нажимаем "Enter в ответ на "or nothing if finished". Естественно мы увидим вопрос "уверены ли Вы в себе?":

Если экран отображает то, что Вы выбрали раньше, то жмём "y".

Теперь конфигурируйте свой компьютер с IP=192.168.1.2 маской 255.255.255.0, запускайте интернет браузер и в адресной строке браузера вводите http://192.168.1.1, всплывёт окошко для аутентификации.

Вводите admin c паролем pfsense

Ну тут собственно всё ясно — жмём "Next".

Задайте имя вашему pfSense. Если подключение к Интернету у вас DHCP, PPTP или PPPoE, то в полях DNS вводить ничего не нужно. Если у Вас есть статические IP адреса от провайдера, тогда введите IP DNS-серверов - лучше тоже спросить провайдера.

Здесь выберите временной пояс, отнеситесь к этому пункту серьезнее, так как от этого будет зависеть правильное время в логах шлюза.

Тут нужно настроить WAN интерфейс — подключение к Интернет провайдеру. Настройки зависят от типа подключения. На скриншоте наиболее вариант со статическими IP. Довольно важные настройки для любого типа подключения находятся внизу экрана

Если провайдер использует диапазон IP, зарезервированный для частных сетей (RFC1918), то соответствующую галочку нужно убрать (вроде как в России это известно под термином "серые IP"). Не рекомендую убирать галочку с "Bogons Network", т.к. это блокировка любых пакетов с IP источника, принадлежащим зарезервированным сетям (ещё не распределённым между провайдерами), однако, опять зависит от провайдера. Совет: если что-то не работает, уберите обе галки.

Здесь мы (если нужно) меняем настройки LAN. Если что-то изменили, придётся переподключиться браузером к новому IP. Измените пароль для администрирования pfSense.

Тут собственно всё ясно - жмём "Reload" и ждём следующего сообщения о завершении.

На этом базовая настройка pfSense завершена.

ПНа этом у меня все. С вами был Иван Сёмин, автор и создатель IT портала Pyatilistnik.org.