Installatioun an Configuratioun vun pfSense 2.4.4 Firewall Router

Den Internet ass eng grujeleg Plaz dës Deeg. Bal all Dag, en neien Nulldag, Sécherheetsverletzung oder Ransomware geschitt a vill Leit froe sech ob et méiglech ass hir Systemer ze sécheren.

Vill Organisatiounen verbréngt Honnerte vun Dausende, wann net Millioune, Dollar fir déi lescht a gréisste Sécherheetsléisungen z'installéieren fir hir Infrastruktur an Daten ze schützen. Home Benotzer sinn awer an engem monetären Nodeel. Och honnert Dollar an eng engagéiert Firewall investéieren ass dacks iwwer den Ëmfang vun de meescht Heemnetzwierker.

Glécklecherweis ginn et engagéierte Projeten an der Open Source Gemeinschaft déi grouss Schrëtt an der Heembenotzer Sécherheetsléisungsarena maachen. Projete wéi Squid, a pfSense bidden all Enterprise-Niveau Sécherheet zu Commodity Präisser!

PfSense ass eng FreeBSD baséiert Open Source Firewall Léisung. D'Verdeelung ass gratis fir op engem eegenen Ausrüstung ze installéieren oder d'Firma hannert pfSense, NetGate, verkeeft pre-konfiguréiert Firewall Apparater.

Déi erfuerderlech Hardware fir pfSense ass ganz minimal an typesch en eeleren Heemtuerm kann einfach nei an eng speziell pfSense Firewall ëmgesat ginn. Fir déi, déi sichen e méi fähig System ze bauen oder ze kafen fir méi vun de fortgeschrattene Features vun pfSense ze lafen, ginn et e puer proposéiert Hardware-Minimum:

  • 500 MHz CPU
  • 1 GB RAM
  • 4GB Späichere
  • 2 Netzwierkkaarten

  • 1GHz CPU
  • 1 GB RAM
  • 4GB Späichere
  • 2 oder méi PCI-e Netzwierk Interface Kaarten.

Am Fall wou en Heembenotzer vill vun den extra Features a Funktiounen vu pfSense wéi Snort, Anti-Virus Scannen, DNS Blacklisting, Webinhaltsfiltering, etc aktivéiere wëllt, gëtt déi recommandéiert Hardware e bësse méi involvéiert.

Fir déi extra Software Packagen op der pfSense Firewall z'ënnerstëtzen, ass et recommandéiert déi folgend Hardware un pfSense ze kréien:

  • Modern Multi-Core CPU leeft op d'mannst 2,0 GHz
  • 4GB+ RAM
  • 10GB+ HD Plaz
  • 2 oder méi Intel PCI-e Netzwierk Interface Kaarten

Installatioun vun pfSense 2.4.4

An dëser Rubrik wäerte mir d'Installatioun vu pfSense 2.4.4 gesinn (läscht Versioun beim Schreiwen vun dësem Artikel).

pfSense ass dacks frustréierend fir Benotzer déi nei Firewalls sinn. De Standardverhalen fir vill Firewalls ass alles ze blockéieren, gutt oder schlecht. Dëst ass super aus Sécherheetssiicht awer net aus Usability Siicht. Ier Dir un d'Installatioun ufänkt, ass et wichteg d'Ennziel ze konzeptualiséieren ier Dir d'Konfiguratiounen ufänkt.

Egal wéi eng Hardware gewielt gëtt, pfSense op d'Hardware z'installéieren ass en einfache Prozess awer erfuerdert de Benotzer no Opmierksamkeet op wéi eng Netzwierk Interface Ports fir wéi en Zweck benotzt ginn (LAN, WAN, Wireless, etc).

En Deel vum Installatiounsprozess involvéiert de Benotzer ze froen fir LAN- a WAN-Interfaces ze konfiguréieren. Den Auteur proposéiert nëmmen d'WAN-Interface ze pluggen bis pfSense konfiguréiert ass an da fuert weider fir d'Installatioun ofzeschléissen andeems Dir d'LAN-Interface pluggt.

Den éischte Schrëtt ass d'pfSense Software vun https://www.pfsense.org/download/ ze kréien. Et ginn e puer verschidden Optiounen verfügbar ofhängeg vum Apparat an der Installatiounsmethod, awer dëse Guide wäert den 'AMD64 CD (ISO) Installer' benotzen.

Benotzt den Dropdown-Menü um Link virdru geliwwert, wielt e passende Spigel fir d'Datei erofzelueden.

Wann den Installateur erofgeluede gouf, kann et entweder op eng CD verbrannt ginn oder et kann op en USB-Laufwerk kopéiert ginn mat dem 'dd' Tool dat an de meeschte Linux Verdeelungen abegraff ass.

De nächste Prozess ass den ISO op en USB Drive ze schreiwen fir den Installateur ze booten. Fir dëst z'erreechen, benotzt den 'dd' Tool bannent Linux. Als éischt muss den Disk Numm awer mat 'lsblk' lokaliséiert ginn.

$ lsblk

Mam Numm vum USB-Laufwerk definéiert als '/dev/sdc', kann de pfSense ISO op den Drive mat dem 'dd'-Tool geschriwwe ginn.

$ gunzip ~/Downloads/pfSense-CE-2.4.4-RELEASE-p1-amd64.iso.gz
$ dd if=~/Downloads/pfSense-CE-2.4.4-RELEASE-p1-amd64.iso of=/dev/sdc

Wichteg: Deen uewe genannte Kommando erfuerdert Root Privilegien also benotzt 'sudo' oder Login als Root Benotzer fir de Kommando auszeféieren. Och dëst Kommando wäert ALLES op der USB Drive ECH. Ginn sécher néideg Daten Backupsatellit.

Wann 'dd' fäerdeg ass op den USB-Laufwerk ze schreiwen oder d'CD verbrannt ass, setzt d'Medien an de Computer, deen als pfSense Firewall ageriicht gëtt. Boot dee Computer op dës Medien an de folgende Bildschierm gëtt presentéiert.

Op dësem Écran, erlaabt entweder den Timer auszelafen oder wielt 1 fir weider an d'Installateursëmfeld ze booten. Wann den Installateur fäerdeg ass mam Booten, freet de System fir all Ännerunge vum Tastatur Layout. Wann alles an enger Mammesprooch weist, klickt einfach op 'Dës Astellungen akzeptéieren'.

Den nächsten Écran gëtt dem Benotzer d'Optioun vun enger 'Quick/Easy Install' oder méi fortgeschratt Installatiounsoptiounen. Fir den Zweck vun dësem Guide ass et recommandéiert einfach d'Optioun 'Quick/Easy Install' ze benotzen.

Den nächsten Écran wäert einfach bestätegen datt de Benotzer d'Method 'Quick/Easy Install' wëllt benotzen, déi net sou vill Froen während der Installatioun stellt.

Déi éischt Fro, déi méiglecherweis presentéiert gëtt, wäert froen iwwer wéi eng Kernel ze installéieren. Nach eng Kéier gëtt virgeschloen datt de 'Standard Kernel' fir déi meescht Benotzer installéiert gëtt.

Wann den Installateur dës Etapp ofgeschloss huet, freet et fir e Restart. Gitt sécher d'Installatiounsmedien och ze läschen, sou datt d'Maschinn net zréck an den Installateur boot.

pfSense Configuratioun

Nom Neistart, an der Entfernung vun der CD/USB Medien, wäert pfSense an den nei installéierten Betribssystem nei starten. Par défaut wielt pfSense en Interface fir als WAN Interface mat DHCP opzestellen an d'LAN Interface onkonfiguréiert ze loossen.

Wärend pfSense e webbaséierten grafeschen Konfiguratiounssystem huet, leeft et nëmmen op der LAN Säit vun der Firewall awer am Moment wäert d'LAN Säit onkonfiguréiert sinn. Déi éischt Saach ze maachen wier eng IP Adress op der LAN Interface ze setzen.

Fir dëst ze maachen, befollegt dës Schrëtt:

  • Opgepasst wéi en Interface Numm de WAN Interface ass (em0 uewen).
  • Gitt '1' an dréckt den 'Enter' Schlëssel.
  • Typ 'n' an dréckt den 'Enter' Schlëssel wann Dir iwwer VLANs gefrot gëtt.
  • Gitt den Interfacenumm an, deen am Schrëtt 1 opgeholl ass, wann Dir gefrot gëtt fir de WAN Interface oder ännert elo op déi richteg Interface. Erëm dëst Beispill ass 'em0' d'WAN Interface well et wäert d'Interface sinn fir den Internet.
  • Déi nächst Prompt freet no der LAN-Interface, gitt nach eng Kéier de passenden Interfacenumm a dréckt den 'Enter' Schlëssel. An dëser Installatioun ass 'em1' d'LAN Interface.
  • pfSense wäert weider no méi Interfaces froen wa se verfügbar sinn, awer wann all Interfaces zougewisen goufen, dréckt einfach nach eng Kéier op den 'Enter' Schlëssel.
  • pfSense freet elo fir sécherzestellen datt d'Interfaces richteg zougewisen sinn.


De nächste Schrëtt ass d'Interfaces déi richteg IP Konfiguratioun ze ginn. Nodeems pfSense op den Haaptbildschierm zréckkënnt, tippt '2' an dréckt op den 'Enter' Schlëssel. (Gitt sécher d'Interface Nimm ze halen, déi un d'WAN- a LAN-Interfaces zougewisen sinn).

* NOTÉIERT * Fir dës Installatioun kann de WAN Interface DHCP ouni Probleemer benotzen, awer et kann Fäll sinn wou eng statesch Adress erfuerderlech wier. De Prozess fir eng statesch Interface op der WAN ze konfiguréieren wier d'selwecht wéi d'LAN Interface déi amgaang ass ze konfiguréieren.

Gitt '2' erëm wann Dir gefrot gëtt fir wéi eng Interface IP Informatioun ze setzen. Erëm 2 ass d'LAN Interface an dësem Spazéiergang.

Wann Dir gefrot gëtt, gitt d'IPv4 Adress gewënscht fir dës Interface an dréckt den 'Enter' Schlëssel. Dës Adress soll net soss anzwousch am Netz benotzt ginn a wäert wahrscheinlech de Standardpaart fir d'Host ginn, déi an dësen Interface ugeschloss sinn.

Déi nächst Prompt freet d'Subnet Mask an deem wat als Präfix Mask Format bekannt ass. Fir dëst Beispill Netzwierk gëtt en einfachen /24 oder 255.255.255.0 benotzt. Hit den 'Enter' Schlëssel wann Dir fäerdeg sidd.

Déi nächst Fro wäert iwwer en 'Upstream IPv4 Gateway' stellen. Well d'LAN-Interface am Moment konfiguréiert ass, dréckt einfach op den 'Enter' Schlëssel.

Déi nächst Prompt freet Iech IPv6 op der LAN Interface ze konfiguréieren. Dëse Guide benotzt einfach IPv4 awer sollt d'Ëmfeld IPv6 erfuerderen, et kann elo konfiguréiert ginn. Soss, einfach den 'Enter' Schlëssel dréckt weider.

Déi nächst Fro wäert froen iwwer den DHCP Server op der LAN Interface unzefänken. Déi meescht Heembenotzer mussen dës Feature aktivéieren. Och dëst muss ofhängeg vun der Ëmwelt ugepasst ginn.

Dëse Guide gëtt ugeholl datt de Benotzer wëll datt d'Firewall DHCP-Servicer ubitt an 51 Adresse fir aner Computeren zouginn fir eng IP Adress vum pfSense Apparat ze kréien.

Déi nächst Fro wäert froen de pfSense Web-Tool op den HTTP-Protokoll zréckzekréien. Et gëtt staark encouragéiert dëst NET ze maachen well den HTTPS Protokoll e gewëssen Niveau vu Sécherheet ubitt fir d'Verëffentlechung vum Administrator Passwuert fir de Webkonfiguratiounsinstrument ze vermeiden.

Wann de Benotzer op 'Enter' dréckt, späichert pfSense d'Interface Ännerungen an starten d'DHCP Servicer op der LAN Interface.

Notéiert datt pfSense d'Webadress gëtt fir Zougang zum Webkonfiguratiounsinstrument iwwer e Computer op der LAN Säit vum Firewall-Apparat ugeschloss. Dëst schléisst d'Basiskonfiguratiounsschrëtt of fir de Firewall-Apparat fäerdeg ze maachen fir méi Konfiguratiounen a Regelen.

D'Webinterface gëtt iwwer e Webbrowser zougänglech gemaach andeems Dir op d'IP Adress vun der LAN Interface navigéiert.

D'Standardinformatioun fir pfSense zum Zäitpunkt vun dësem Schreiwen ass wéi follegt:

Username: admin
Password: pfsense

No engem erfollegräiche Login duerch d'Web-Interface fir d'éischte Kéier, leeft pfSense duerch en initialen Setup fir d'Admin-Passwuert zréckzesetzen.

Déi éischt Ufro ass fir eng Aschreiwung op pfSense Gold Abonnement déi Virdeeler huet wéi automatesch Konfiguratiounsbackup, Zougang zu de pfSense Trainingsmaterialien, a periodesch virtuell Reunioune mat pfSense Entwéckler. Kaaft vun engem Gold Abonnement ass net erfuerderlech an de Schrëtt kann iwwersprangen wann Dir wëllt.

De folgende Schrëtt freet de Benotzer fir méi Konfiguratiounsinformatioun fir d'Firewall wéi Hostnumm, Domain Numm (wann zoutreffend), an DNS Server.

Déi nächst Ufro ass fir konfiguréiert Network Time Protocol, NTP. D'Standardoptioune kënne verlooss ginn ausser wann aner Zäitservere gewënscht sinn.

Nodeems Dir NTP ageriicht hutt, freet de pfSense Installatiounswizard de Benotzer fir d'WAN Interface ze konfiguréieren. pfSense ënnerstëtzt verschidde Methoden fir d'WAN Interface ze konfiguréieren.

De Standard fir déi meescht Heembenotzer ass DHCP ze benotzen. DHCP vum Internet Service Provider vum Benotzer ass déi allgemeng Method fir déi néideg IP Konfiguratioun ze kréien.

De nächste Schrëtt freet d'Konfiguratioun vun der LAN Interface. Wann de Benotzer mat der Web-Interface ugeschloss ass, ass d'LAN-Interface méiglecherweis scho konfiguréiert.

Wéi och ëmmer, wann d'LAN-Interface muss geännert ginn, erlaabt dëse Schrëtt Ännerungen ze maachen. Vergewëssert Iech drun ze erënneren wat d'LAN IP Adress opgestallt ass well dëst ass wéi de
Administrator wäert Zougang zu der Web Interface!

Wéi mat all Saachen an der Sécherheetswelt, representéieren Standardpasswierder en extremen Sécherheetsrisiko. Déi nächst Säit freet den Administrateur d'Standardpasswuert fir den 'Admin' Benotzer op d'pfSense Web Interface z'änneren.

De leschte Schrëtt beinhalt d'Restart vun pfSense mat den neie Konfiguratiounen. Klickt einfach op de 'Reload' Knäppchen.

Nom pfSense nei lued, wäert et dem Benotzer e leschte Bildschierm presentéieren ier hien op déi komplett Webinterface aloggen. Klickt einfach op den zweeten 'Klickt Hei' fir op déi komplett Webinterface ze loggen.

Endlech ass pfSense op a prett fir Regelen ze konfiguréieren!

Elo datt pfSense op a lafen ass, muss den Administrateur duerchgoen a Regelen erstellen fir de passenden Traffic duerch d'Firewall z'erméiglechen. Et sollt bemierkt datt pfSense e Standard erlaabt all Regel huet. Fir Sécherheetswuel sollt dëst geännert ginn, awer dëst ass erëm eng Administratorentscheedung.

Merci fir d'Liesen duerch dësen TecMint Artikel iwwer pfSense Installatioun! Bleift ofgeschloss fir zukünfteg Artikelen iwwer d'Konfiguratioun vun e puer vun de méi fortgeschratt Optiounen, déi am pfSense verfügbar sinn.