pfSense 2.3 防火牆基本設定(二) - DHCP

pfSense可提供DHCP IP位址租賃服務,要注意當DHCP Relay服務啟用時,DHCP Server服務就則無法在任何介面上啟用

  1. 點選"Services"下的"DHCP server"

  1. 選取以下設定
勾選 "Enable",這樣將在區域網路介面(LAN Interface)上啟用DHCP Server

 勾選 "Deny unknown clients" 將允許DHCP Server僅發送IP租賃給已列在此頁面最下方的用戶端

 輸入要發送出租賃的IP區域

 輸入DHCP用戶端將會收到的WINS Server以及DNS server IP位址(DNS Server位置留空白將會使pfSense發送WAN端預設的DNS Server位址給用戶端)

 其他選項:目前僅選取"Time format change"(在事件紀錄中以本地時間而非UTC紀錄租賃時間)以及"statistics graphs"(在RRD圖表中加入DHCP租賃狀態)

 其他設定,在這裡僅加入要發布給DHCP用戶端的NTP Server資訊,完成後點選 "Save"

  1. 同樣使用Windows Server 2016,在Ethernet0介面中改設定"Obtain an IP address automatically"以及"Obtain DNS server address automatically",然後按下OK

  1. 在Ethernet0介面上按下滑鼠右鍵,點選"Status"

  1. 點選"Details…",檢查是否有取得DHCP Server發送的IP位址租賃

  1. 同時確認可以正常連線至Internet

  1. 回到pfSense網頁點選"Status"下的"DHCP Leases"

  1. Windows Server 2016上Ethernet0的MAC address將顯示在DHCP的租用清單之中

設定DHCP Client承租固定IP Address
  1. 相同點選"Services"下的"DHCP server"

  1. 點選畫面右下角"Add"

  1. 輸入Client的MAC Address以及將指派的IP Address(注意不可指派DHCP Pool內的IP Address)

可勾選是否要在ARP Table中建立上面MAC和IP位置的對應表,亦可指定將通知此DHCP Client的WINS和DNS Server、Gateway還有網域名稱

 另外像是預設(Default)和最大(Maximum)租賃時間、DDNS、NTP Servers及TFTP servers也可以設定,在這裡直接按下"Save"

  1. 按下Save後系統通知靜態對應有變更,再按下"Apply Changes"讓變更生效

  1. 重新啟動Windows Server 2016,確認IP位址為192.168.11.10

  1. 回到pfSense網頁點選"Status"下的"DHCP Leases"

  1. Windows Server 2016上Ethernet0的MAC address將顯示在DHCP的租用清單之中,而Start End Time顯示為n/a,同時Lease Type顯示為靜態(static)

設定拒絕DHCP Client承租
  1. 點選"Services"下的"DHCP server"

  1. 因為是使用同一台Guest VM(Windows Server 2016)進行測試,因此要先將頁面最下方原本設定的靜態對應刪除,點選垃圾桶
按下 "確定"

再按下"Apply Changes"以便讓靜態對應變更生效

  1. 在DHCP Server設定頁面中,展開"MAC address control"後在MAC Deny欄位中輸入00:0c:29

接著按下頁面下方的"Save"

  1. 再次重新啟動Windows Server 2016,確認IP位址承租狀態,因為無法取得DHCP Server配發的IP位址,因此Windows會自行分配169.254.x.x的IP位址。

  1. 點選"Properties"中的"Locally Administered Address",修改MAC位置並按下"OK"

PS: 修改Locally Administered Address後在網路通訊上無法保證MAC位址獨一無二,因此不建議修改,非Internet上提供服務的伺服器可以以這四個位址為開頭設定Locally Administered Address
(02:xx:xx:xx:xx:xx, 06:xx:xx:xx:xx:xx, 0A:xx:xx:xx:xx:xx, 0E:xx:xx:xx:xx:xx)
  1. 修改後將成功再次向DHCP Server申請到租賃的IP位置

  1. 回到pfSense網頁點選"Status"下的"DHCP Leases"

  1. Windows Server 2016上Ethernet0被修改後的MAC address將顯示在DHCP的租用清單之中

留言

張貼留言

這個網誌中的熱門文章

pfSense 2.3 防火牆基本設定(五) - Create Alias and NAT port forward

圖片
建立防火牆有時不僅僅是為了讓Private LAN上的主機可以對外透過WAN Port連線至Internet,有時也會有需要將Private LAN上主機的Service提供給Internet的Clients連線,像是常見的架設WWW服務等,接下來就針對將微軟Internet Information Server的WWW服務以及遠端桌面服務建立NAT Port Forward進行Step-by-Step的設定與功能測試。 首先我們為這一台預計提供 WWW服務以及遠端桌面服務的主機建立一個別名(Alias), 建立 別名 主要的目的就是為了簡化管理,詳細的說明可參考原廠文件連結。  點選"Firewall"下的"Alias" 填寫以下個欄位,完成以後按下 "SAVE" 按下 "Apply Changes" 接續進行NAT Port Forward的設定: 點選"Firewall"下的"NAT" 點選"Add" 在"Destination port range"中選取"HTTP, 同時在"Redirect target IP"內輸入要被轉送的IP位置,也可使用之前已經定義好的主機別名;在這裡用的就是已經定義好的主機別名。 在"Redirect target port"中選擇"HTTP", Description欄位可以用來填寫說明, 完成後按下"SAVE" 按下 "Apply Changes" 如此便建立好了NAT埠轉送(NAT Port Forward),但實際測試卻會發現無法自模擬的WAN端IP位址(192.168.50.50:80)連接至 LAN(192.168.11.100:80)端位址! 主要的原因是我們所模擬的WAN端位置是屬於 RFC1918 所定義的私有網路,而被RFC1918所定義的網路正常會被pfSense的WAN端的預設規則"Block private network"
閱讀完整內容

pfSense 2.3 防火牆基本設定(一)

圖片
pfSense 是一套相當普遍的開源軟體防火牆軟體,其功能相當完整,很適合不希望耗費金錢又希望能夠強化 Internet 或是內網通訊安全的個人使用者或是 SOHO 族來使用;首要工作當然要完成軟體安裝,以下將利用虛擬化環境來建立一個實驗性質的 pfSense 防火牆。 前置工作,規劃網路架構並準備以下資訊 WAN IP Address(Default em0): 在此範例將使用 DHCP ( 範例中取得 IP 位置為 ??.??.??.??) LAN IP Address(Default em1): 在此範例將使用 192.168.11.254 Connect to https://www.pfsense.org/download/ 選擇 i386(32-bit) ,再選擇 CD Image 然後按下 Download 註:目前pfSense最新版本是2.4.4(2019/04),並且早已取消32bit版本的下載,僅剩下64bit的版本 目前下載的版本為 2.3.2 ,檔名 : pfSense-CE-2.3.2-RELEASE-i386.iso 在 VMware Workstation 內建立一個 Guest VM ,虛擬硬體規格如下,並在虛擬光碟機內放入剛下載的 ISO 檔 Network Adapter Bridged (Automatic) 模擬 WAN Port Network Adapter 2 Custom (VMnet2) 模擬 LAN Port 啟動 Guest VM ,不需要按任何按鍵,等待進入安裝畫面 按下 < Accept these Settings > 按下 < Quick/Easy Install > 再次確認是否要覆蓋掉 Hard Disk ,確認無誤按下 < OK > 選擇 < Standard Kernel > 安裝最後按下 < Reboot > 安裝完成。 按下 "2" 選擇
閱讀完整內容

pfSense 2.3 防火牆基本設定(四) - DNS Forwarder & DNS Resolver

圖片
當區域網路上沒有提供DNS Server供主機名稱解析時,區網內的用戶通常得將DNS server指定成外部ISP提供的DNS以外,在pfSense 2.1版以前可以啟用DNS Forwarder,並將DNS Client上的"DNS Server"指定為pfSense的IP Address,讓pfSense代為轉送DNS query;自pfSense 2.2版以後新增了DNS Resolver並且預設為啟動,因為DNS Resolver與DNS Forwarder提供相同代為轉送DNS query的功能並且同樣使用port 53,因此兩個服務無法同時啟動,除非將其中一個服務改設定到其他的埠編號!相較於DNS Forwarder,DNS Resolver支援Secure DNS驗證及更完整的DNS Cache機制(參考 dnsmasq , DNS Forwarder僅快取一般常用的紀錄,(A, AAAA, CNAME and PTR)),也因此自pfSense 2.2以後DNS Resolver預設為啟動。 選取"Services"下的"DNS Forwarder" 勾選以下項目 Enable DNS forwarder 說明:啟用DNS轉送 DHCP Registration 說明:將DHCP租賃用戶端註冊到DNS forwarder中 Static DHCP 說明:將DHCP靜態對應註冊到DNS forwarder中 Prefer DHCP 說明:先解譯pfSense上儲存的DHCP對應表 "Listen Port"維持不變,同時"Interface"維持在"All",按下"Save" pfSense回應因DNS Resolver已啟動,因此Port 53已佔用! 改選取"Services"下的"DNS Resolver" 檢查DNS Resolver已經被啟動 勾選以下三個選項,然後按下"SAVE" 按下"Apply Changes" Referenc
閱讀完整內容