pfSense چیست؟
pfSense توزیع نرم افزار رایانهای فایروال و روتر منبع باز و مبتنی بر FreeBSD است. برای ایجاد فایروال و روتر اختصاصی برای یک شبکه، روی رایانه فیزیکی یا ماشین مجازی نصب میشود. میتوان آن را از طریق یک رابط تحت وب پیکربندی و ارتقا داد و برای مدیریت آن به دانش اساسی سیستم FreeBSD نیازی نیست. با این نرم افزار منبع باز دستگاه فیزیکی یا مجازی خود را بسازید.پس از انتقال زیرساختها و خدمات IT خود به ابر، به یک فایروال مناسب برای مدیریت اتصال به اینترنت و هرگونه نیاز به VPN سایت به سایت یا سایت به ابر نیاز دارید. هزینه صدور مجوز برای دستگاههای سیسکو، جونیپر، سونیک وال و دیگران اغلب بسیار زیاد است. بسیاری از مدیران با ترس از پیدایش فاکتور تمدید مجوز سالانه زندگی میکنند، زیرا میدانند که این مقدار قابل توجهی از بودجه سالیانه فناوری اطلاعات آنها را از بین خواهد برد، به ویژه اگر مدیریت ارشد به طور ناگهانی تصمیم بگیرد که شرکت نیاز به پرداخت هزینههای اضافی دارد.
pfSense یک فایروال سازمانی منبع باز مبتنی بر FreeBSD است، دارای ویژگیهای قابل مقایسه با بسیاری از گرانترین دستگاههای فایروال سازمانی و طیف گستردهای از بستههای موجود برای گسترش قابلیتهای آن. به عنوان یک راه حل منبع آزاد، نرم افزاری رایگان است و همه آپشنها بدون نیاز به مجوز تجاری در دسترس هستند. پشتیبانی از pfSense توسط Netgate ارائه میشود، همچنین لوازم خانگی شبکهای را که از سیستم عامل استفاده میکنند تولید میکند. این آموزش شما را از طریق نصب و راه اندازی اولیه دستگاه pfSense راهنمایی میکند.ما از سناریوی مشاغل بدون سرور داخلی، استفاده از سرویسهای ابری یا میزبانی برای نیازهای IT آنها بهره خواهیم برد.
نیازهای سختافزاری
برای اجرای pfSense یک دستگاه سازگار با x۸۶ یا x۶۴ با حافظه ۱ گیگابایتی یا بیشتر، دو یا چند رابط شبکه و حداقل ۴ گیگابایت فضای ذخیره سازی مورد نیاز است (این میتواند یک دیسک سخت یا یک دستگاه فلش مانند کارت SD باشد). سرعت پردازنده و سرعت حافظه مورد نیاز شما به تعداد قوانین، VPNها و موارد دیگر که روی دستگاه خود خواهید داشت و میزان دادههای جریان یافته در آن بستگی دارد. نحوهی عملکرد VPN، به ویژه به میزان قدرت پردازندهی پایانی شما بستگی دارد. بسته به اندازه و پیچیدگی طرح شبکه محلی خود، ممکن است دستگاهی با بیش از دو رابط شبکه بخواهید. دستگاههای هدفمند pfSense برای بسیاری از تولیدکنندگان، از جمله خود سازندگان pfSense در دسترس هستند. با این حال، میتوانید آن را بر روی یک ماشین مجازی که با انتخاب Hypervisor انتخاب میشود تنظیم کنید، یا خودتان برای نحوهی استفاده از رایانه رومیزی یا سرور استاندارد سازگارشوید. از هر سخت افزاری که استفاده میکنید، روند نصب یکسان است. اگر مانیتور و صفحه کلید را به دستگاه خود متصل میکنیدو یا اگر در حال نصب روی ماشین مجازی هستید از کنسول مجازی استفاده کنید.
فعلا هیچ یک از رابطهای شبکه را به یک شبکه متصل نکنید: بعداً در مراحل نصب و راه اندازی به آن خواهیم رسید.
مرحله ۱: pfSense را روی دستگاه خود نصب کنید.
با توجه به دریافت نسخه متناسب با محیط و روش نصب، ترجیحا نصب را از وب سایت pfSense بارگیری کنید. CD را بسوزانید یا تصویر را در صورت لزوم در درایو USB بنویسید. دستگاه خود را از رسانهی نصبی که ایجاد کردهاید بوت کنید و منتظر بمانید تا بوت کامل شودو صفحه مجوز نرم افزار را نمایش بدهد. شرایط مجوز را بپذیرید و به قسمت نصب بروید. «نصب» را از فهرست انتخاب کنید، طرح صفحه کلید صحیح را برای منطقه خود انتخاب کنید، سپس ادامه را انتخاب کنید. از منوی بعدی، پارتیشن بندی خودکار را انتخاب کرده و Enter را بزنید تا ادامه دهید.
pfSense دیسک را پارتیشن بندی میکند و مستقیماً به قسمت نصب میرود. اکنون زمان خوبی است که قهوه بخورید در حالی که منتظر هستید تا نصب کامل شود!!! وقتی نصب تمام شد، برای باز کردن پوسته برای ویرایش سیستم نه بگویید.سرانجام، رسانه نصب را حذف کرده و در صفحه بعدی enter را بزنید تا در سیستم جدید pfSense مجدداً راه اندازی شود.
مرحله ۲: پیکربندی کنسول
پس از راه اندازی مجدد سیستم، از شما خواسته میشود شبکه اصلی را تنظیم کنید. وقتی از شما سوال میشود که آیا VLANها اکنون باید راه اندازی شوند، پاسخ منفی دهید. بعد، به تنظیمات رابط شبکه بروید. برای شروع شناسایی خودکار رابط <<WAN،a» را بزنید و دستورالعملهای روی صفحه را دنبال کنید، در صورت لزوم کابل را وصل کنید تا به درستی رابط شناسایی شود. این کار را برای رابط LAN تکرار کنید. فراموش نکنید که رابط های دستگاه را نیز به صورت فیزیکی برچسب گذاری کنید.
هنگامی که هر دو رابط LAN و WAN به درستی شناسایی شدند، برای ادامه «y» را بزنید. pfSense شروع به بارگیری میکند، سپس وضعیت رابط های شبکه را نمایش میدهد و منوی مدیر کنسول را به شما ارائه میدهد.
رابط LAN به طور پیش فرض به آدرس IPv4 از ۱۹۲. ۱۶۸. ۱. ۱/۲۴ میرسد. اگر برای مطابقت با شبکه موجود خود باید این مورد را تغییر دهید، از فهرست گزینه ۲ (تنظیم آدرس IP رابط) را انتخاب کنید، سپس دوباره گزینه ۲ را برای ویرایش رابط LAN انتخاب کنید در صورت درخواست آدرس IPv4 و ماسک زیر شبکه LAN مورد نظر را برای دستگاه وارد کنید. هم اکنون IPv6 یا DHCP را فعال نکنید. بعداً این کار را از رابط مدیر وب انجام خواهیم داد.
مرحله ۳: اهمیت پیکربندی اولیه
پیکربندی رایانه با آدرس ثابت IPv4 در همان محدوده آدرس IPv4 که به رابط LAN در فایروال اختصاص داده اید. میتوانید این رایانه را مستقیماً به پورت LAN در فایروال متصل کنید (اگر با سخت افزار قدیمی که از Auto-MDIX پشتیبانی نمیکند از کابل متقاطع استفاده میکنید) یا از طریق یک سوئیچ متصل شوید. با استفاده از مرورگر وب خود، به آدرس LAN IPv4 بروید که در مرحله قبل پیکربندی کردیم. با استفاده از نام کاربری «مدیر» و رمز عبور پیش فرض «pfsense» وارد سیستم شوید. راه اندازی اولیه به شما ارائه میشود. برای شروع نصب فایروال جدید خود، روی next کلیک کنید، سپس دوباره در صفحه زیر بعدی را دوباره کلیک کنید. نامی را که میخواهید فایروال خود قرار دهید و دامنه مربوط به شبکه دفتر داخلی خود را وارد کنید. از «دیوار آتش» برای نام، و «محلی» برای دامنه استفاده خواهیم کرد، اما احتمالاً شما باید ویژگی متمایزتری ارائه دهید.
برای رفتن به مرحله ۳، روی next کلیک کنید. اگر یک سرور NTP ترجیحی برای دستگاههای موجود در شبکه خود دارید، میتوان سرور زمان را به صورت پیش فرض رها کرد یا آن را روی دیگری تنظیم کرد. منطقه زمانی خود را تنظیم کنید و سپس برای رفتن به مرحله ۴ روی بعدی کلیک کنید.
اکنون باید رابط WAN خود را تنظیم کنید. ما از DHCP استفاده میکنیم، بنابراین میتوانید همه موارد را به طور پیش فرض بگذارید، اما اگر این دستگاه را از طریق مودم DSL در حالت Bridge به یک خط ADSL متصل میکنید، باید PPPoE را اینجا انتخاب کنید و جزئیات ارائه شده توسط ISP خود را در بخش PPPoE وارد کنید از این صفحه پس از تکمیل پیکربندی WAN، به پایین صفحه بروید و روی بعدی کلیک کنید تا به مرحله ۵ بروید، جایی که میتوانیم آدرس LAN IPv4 را که قبلا پیکربندی کردیم بررسی کنیم و در صورت لزوم آن را تغییر دهیم. بعدی را کلیک کنید تا آدرس یکسان باشد و به مرحله ۶ بروید. رمز ورود مدیر جدید را تنظیم کنید، فراموش نکنید که در جایی آن را یادداشت کنید، و سپس برای رفتن به مرحله ۷ روی بعدی کلیک کنید.
برای بارگیری مجدد روی دستگاه کلیک کنید. اگر در مرحله ۵ آدرس LAN IPv4 را تغییر داده باشید، برای دسترسی به دستگاه باید پس از این آدرس را در مرورگر خود وارد کنید. منتظر بمانید تا بارگیری مجدد کامل شود، سپس روی Finish در آخرین صفحه کلیک کنید تا خارج شوید و به داشبورد دستگاه بروید. مجوز نرم افزار را هنگامی که از شما خواسته شد دوباره بخوانید و بپذیرید، سپس برای پاک کردن پنجره پنجره «متشکرم» نزدیک را کلیک کنید.
مرحله ۴: IPv6
اگر ISP شما IPv6 را ارائه میدهد (تقریباً اکنون همه این کار را انجام میدهند) زمان آن است که گزینههای IPV6 رابط WAN را مطابق با گزینههای ارائه شده توسط ISP خود تنظیم کنید. منوی کشویی Interfaces را از نوار بالای فهرست انتخاب کرده و رابط WAN را انتخاب کنید.
همچنین باید IPv6 را روی رابط LAN خود تنظیم کنید. pfSense از طیف وسیعی از تنظیمات مختلف IPv6 پشتیبانی میکند، از IPv6 استاتیک و DHCPv6 گرفته تا پیکربندی خودکار آدرس بدون حالت (SLAAC)، تونل سازی 6to4 و ردیابی رابط بالادست. اینکه دقیقاً به کدام یک از آن ها نیاز دارید، به ارائه دهنده IPv6 از ISP شما بستگی دارد، وی باید اطلاعات تنظیمات کافی برای پیکربندی صحیح اتصال شما را در اختیار شما قرار دهد.
مرحله ۵: تنظیم سرویسهای شبکه محلی
از نوار منو در بالای صفحه مدیر pfSense، منوی کشویی Services را باز کرده و DHCP server را انتخاب کنید. برای فعال کردن سرور DHCP برای رابط LAN خود، کادر «Enable» را علامت بزنید، سپس محدوده آدرس IPv4 را که به دستگاههای LAN شما اختصاص مییابد وارد کنید. ما در این نمونه ۲۰۰ آدرس را تنظیم خواهیم کرد. گزینههای سرور DNS و WINS را تنظیم نشده بگذارید، زیرا فایروال از موارد اختصاص داده شده توسط ISP در رابط WAN استفاده خواهد کرد.
به پایین صفحه بروید و ذخیره را فشار دهید. سرویس DHCP به طور خودکار شروع میشود راه اندازی به طور خودکار یک قانون NAT خروجی را برای شما ایجاد میکند، بنابراین شما باید بتوانید از طریق دستگاههای پشت فایروال جدید خود به اینترنت دسترسی پیدا کنید.
پیکربندی بیشتر
اگر به پیوندهای VPN به ارائه دهنده ابر یا دفاتر دیگر خود نیاز دارید، اکنون میتوانید آنها را تنظیم کنید. در اینجا به جزئیات بیشتر نمیپردازیم زیرا انواع مختلف VPN برای پوشش وجود دارد و روند کار با هر دستگاه فایروال سازمانی تقریباً یکسان است. خدمات اضافی مانند اولویت بندی ترافیک، فیلتر کردن وب، تعادل بار چندگانه اتصال اینترنت و غیره همه در دسترس هستند، چه از قبل در بستههای الحاقی تعبیه شده اند. اینها را میتوان از مدیر بسته نصب کرد، که در منوی کشویی سیستم در سمت چپ نوار منوی بالای صفحه وجود دارد. برای آشنایی با فایروال جدید و کشف بسیاری از ویژگیهای آن، کمی وقت بگذارید تا منوها و خدمات مختلف را بررسی کنید.