pfSense 2.3 防火牆基本設定(一)

pfSense是一套相當普遍的開源軟體防火牆軟體,其功能相當完整,很適合不希望耗費金錢又希望能夠強化Internet或是內網通訊安全的個人使用者或是SOHO族來使用;首要工作當然要完成軟體安裝,以下將利用虛擬化環境來建立一個實驗性質的pfSense防火牆。

 前置工作,規劃網路架構並準備以下資訊
WAN IP Address(Default em0):在此範例將使用DHCP (範例中取得IP位置為??.??.??.??)
LAN IP Address(Default em1):在此範例將使用192.168.11.254

  2. 選擇i386(32-bit),再選擇CD Image然後按下Download
註:目前pfSense最新版本是2.4.4(2019/04),並且早已取消32bit版本的下載,僅剩下64bit的版本
  1. 目前下載的版本為2.3.2,檔名: pfSense-CE-2.3.2-RELEASE-i386.iso
  2. VMware Workstation內建立一個Guest VM,虛擬硬體規格如下,並在虛擬光碟機內放入剛下載的ISO
Network Adapter
Bridged (Automatic)
模擬WAN Port
Network Adapter 2
Custom (VMnet2)
模擬LAN Port

  1. 啟動Guest VM,不需要按任何按鍵,等待進入安裝畫面
  1. 按下< Accept these Settings >
  1. 按下< Quick/Easy Install >
  1. 再次確認是否要覆蓋掉Hard Disk,確認無誤按下< OK >
  1. 選擇< Standard Kernel >

  1. 安裝最後按下< Reboot >

  1. 安裝完成。

  1. 按下"2"選擇"Set Interface(s) IP Address"

  1. 因為沒有要更動WAN端的IP,因此選擇"2"

  1. 輸入IPv4的地址及Subnet Mask,然後直接按下ENTER

  1. 不設定IPv6位址,直接按下ENTER

  1. 待後續再設定內部LAN使用的DHCP Server,先按下"n"

  1. 選取"y"可讓pfSenseWebconfigurator維持使用http://,選擇"n"則使用較為安全的https://

  1. 至此pfSense的初始設定完成了。

  1. 再來利用Web Browser連線至https://192.168.11.254

  1. 以預設帳密admin/pfsense登入,並依照系統Wizard說明進行初始設定,按下Next

  1. 目前沒有打算訂閱金級,就直接按下Next

  1. 設定防火牆主機名稱、網域名稱,主要及次要的DNS Server IP位址,完成後按下Next

  1. 輸入Time Server及選擇時區,完成後按下Next

  1. 設定WAN Port,維持DHCP並按下Next

  1. 設定LAN Port直接按下Next

  1. 輸入admin的密碼,完成後按下Next

  1. 按下Reload

  1. 完成精靈設定,點選"Click here to continue on to pfSense webConfigurator."

  1. pfSense有版本更新時,可點選雲符號進行更新

  1. 點選Confirm

  1. 系統進行更新中..

  1. 更新完成後,防火牆將重新啟動
  1. 輸入已變更的密碼重新登入 

  1. 選取Package Manager

  1. 點選"Available Packages",輸入VM後按下"Search"
  1. 點選"Install"安裝Open-VM-Tools,以便可自VMware Workstation介面上選擇"Shutdown Guest"直接關閉虛擬機

  1. 按下"Confirm"確認進行安裝

  1. Open-VM-Tools安裝完成

  1. 將一台Guest VM: Windows Server 2016網路卡連接至VMnet2

  1. 啟動Windows Server 2016後,設定IP Address192.168.11.10

  1. 測試對外Internet連線正常
大功告成,基本設定完成了!

留言

張貼留言

這個網誌中的熱門文章

pfSense 2.3 防火牆基本設定(五) - Create Alias and NAT port forward

圖片
建立防火牆有時不僅僅是為了讓Private LAN上的主機可以對外透過WAN Port連線至Internet,有時也會有需要將Private LAN上主機的Service提供給Internet的Clients連線,像是常見的架設WWW服務等,接下來就針對將微軟Internet Information Server的WWW服務以及遠端桌面服務建立NAT Port Forward進行Step-by-Step的設定與功能測試。 首先我們為這一台預計提供 WWW服務以及遠端桌面服務的主機建立一個別名(Alias), 建立 別名 主要的目的就是為了簡化管理,詳細的說明可參考原廠文件連結。  點選"Firewall"下的"Alias" 填寫以下個欄位,完成以後按下 "SAVE" 按下 "Apply Changes" 接續進行NAT Port Forward的設定: 點選"Firewall"下的"NAT" 點選"Add" 在"Destination port range"中選取"HTTP, 同時在"Redirect target IP"內輸入要被轉送的IP位置,也可使用之前已經定義好的主機別名;在這裡用的就是已經定義好的主機別名。 在"Redirect target port"中選擇"HTTP", Description欄位可以用來填寫說明, 完成後按下"SAVE" 按下 "Apply Changes" 如此便建立好了NAT埠轉送(NAT Port Forward),但實際測試卻會發現無法自模擬的WAN端IP位址(192.168.50.50:80)連接至 LAN(192.168.11.100:80)端位址! 主要的原因是我們所模擬的WAN端位置是屬於 RFC1918 所定義的私有網路,而被RFC1918所定義的網路正常會被pfSense的WAN端的預設規則"Block private network"
閱讀完整內容

pfSense 2.3 防火牆基本設定(四) - DNS Forwarder & DNS Resolver

圖片
當區域網路上沒有提供DNS Server供主機名稱解析時,區網內的用戶通常得將DNS server指定成外部ISP提供的DNS以外,在pfSense 2.1版以前可以啟用DNS Forwarder,並將DNS Client上的"DNS Server"指定為pfSense的IP Address,讓pfSense代為轉送DNS query;自pfSense 2.2版以後新增了DNS Resolver並且預設為啟動,因為DNS Resolver與DNS Forwarder提供相同代為轉送DNS query的功能並且同樣使用port 53,因此兩個服務無法同時啟動,除非將其中一個服務改設定到其他的埠編號!相較於DNS Forwarder,DNS Resolver支援Secure DNS驗證及更完整的DNS Cache機制(參考 dnsmasq , DNS Forwarder僅快取一般常用的紀錄,(A, AAAA, CNAME and PTR)),也因此自pfSense 2.2以後DNS Resolver預設為啟動。 選取"Services"下的"DNS Forwarder" 勾選以下項目 Enable DNS forwarder 說明:啟用DNS轉送 DHCP Registration 說明:將DHCP租賃用戶端註冊到DNS forwarder中 Static DHCP 說明:將DHCP靜態對應註冊到DNS forwarder中 Prefer DHCP 說明:先解譯pfSense上儲存的DHCP對應表 "Listen Port"維持不變,同時"Interface"維持在"All",按下"Save" pfSense回應因DNS Resolver已啟動,因此Port 53已佔用! 改選取"Services"下的"DNS Resolver" 檢查DNS Resolver已經被啟動 勾選以下三個選項,然後按下"SAVE" 按下"Apply Changes" Referenc
閱讀完整內容