مقالات

چگونه فایروال خود را با pfSense بسازیم؟

pfSense چیست؟

pfSense توزیع نرم افزار رایانه‌‌ای فایروال و روتر منبع باز و مبتنی بر FreeBSD است. برای ایجاد فایروال و روتر اختصاصی برای یک شبکه، روی رایانه فیزیکی یا ماشین مجازی نصب می‌شود. می‌توان آن را از طریق یک رابط تحت وب پیکربندی و ارتقا داد و برای مدیریت آن به دانش اساسی سیستم FreeBSD نیازی نیست. با این نرم افزار منبع باز دستگاه فیزیکی یا مجازی خود را بسازید.پس از انتقال زیرساخت‌ها و خدمات IT خود به ابر، به یک فایروال مناسب برای مدیریت اتصال به اینترنت و هرگونه نیاز به VPN سایت به سایت یا سایت به ابر نیاز دارید. هزینه صدور مجوز برای دستگاه‌های سیسکو، جونیپر، سونیک وال و دیگران اغلب بسیار زیاد است. بسیاری از مدیران با ترس از پیدایش فاکتور تمدید مجوز سالانه زندگی می‌کنند، زیرا می‌دانند که این مقدار قابل توجهی از بودجه سالیانه فناوری اطلاعات آن‌ها را از بین خواهد برد، به ویژه اگر مدیریت ارشد به طور ناگهانی تصمیم بگیرد که شرکت نیاز به پرداخت هزینه‌های اضافی دارد.

فایروال

pfSense یک فایروال سازمانی منبع باز مبتنی بر FreeBSD است، دارای ویژگی‌های قابل مقایسه با بسیاری از گران‌ترین دستگاه‌های فایروال سازمانی و طیف گسترده‌‌ای از بسته‌های موجود برای گسترش قابلیت‌های آن. به عنوان یک راه حل منبع آزاد، نرم افزاری رایگان است و همه آپشن‌ها بدون نیاز به مجوز تجاری در دسترس هستند. پشتیبانی از pfSense توسط Netgate ارائه می‌شود، هم‌چنین لوازم خانگی شبکه‌‌ای را که از سیستم عامل استفاده می‌کنند تولید می‌کند. این آموزش شما را از طریق نصب و راه اندازی اولیه دستگاه pfSense راهنمایی می‌کند.ما از سناریوی مشاغل بدون سرور داخلی، استفاده از سرویس‌های ابری یا میزبانی برای نیازهای IT آنها بهره خواهیم برد.

نیازهای سخت‌افزاری

 برای اجرای pfSense یک دستگاه سازگار با x۸۶ یا x۶۴ با حافظه ۱ گیگابایتی یا بیشتر، دو یا چند رابط شبکه و حداقل ۴ گیگابایت فضای ذخیره سازی مورد نیاز است (این می‌تواند یک دیسک سخت یا یک دستگاه فلش مانند کارت SD باشد). سرعت پردازنده و سرعت حافظه مورد نیاز شما به تعداد قوانین، VPN‌ها و موارد دیگر که روی دستگاه خود خواهید داشت و میزان داده‌های جریان یافته در آن بستگی دارد. نحوه‌ی عملکرد VPN، به ویژه به میزان قدرت پردازنده‌ی پایانی شما بستگی دارد. بسته به اندازه و پیچیدگی طرح شبکه محلی خود، ممکن است دستگاهی با بیش از دو رابط شبکه بخواهید. دستگاه‌های هدفمند pfSense برای بسیاری از تولیدکنندگان، از جمله خود سازندگان pfSense در دسترس هستند. با این حال، می‌توانید آن را بر روی یک ماشین مجازی که با انتخاب Hypervisor انتخاب می‌شود تنظیم کنید، یا خودتان برای نحوه‌ی استفاده از رایانه رومیزی یا سرور استاندارد سازگارشوید. از هر سخت افزاری که استفاده می‌کنید، روند نصب یکسان است. اگر مانیتور و صفحه کلید را به دستگاه خود متصل می‌کنیدو یا اگر در حال نصب روی ماشین مجازی هستید از کنسول مجازی استفاده کنید.
فعلا هیچ یک از رابط‌های شبکه را به یک شبکه متصل نکنید: بعداً در مراحل نصب و راه اندازی به آن خواهیم رسید.

مرحله ۱: pfSense را روی دستگاه خود نصب کنید.

با توجه به دریافت نسخه متناسب با محیط و روش نصب، ترجیحا نصب را از وب سایت pfSense بارگیری کنید. CD را بسوزانید یا تصویر را در صورت لزوم در درایو USB بنویسید. دستگاه خود را از رسانه‌ی نصبی که ایجاد کرده‌‌اید بوت کنید و منتظر بمانید تا بوت کامل شودو صفحه مجوز نرم افزار را نمایش بدهد. شرایط مجوز را بپذیرید و به قسمت نصب بروید. «نصب» را از فهرست انتخاب کنید، طرح صفحه کلید صحیح را برای منطقه خود انتخاب کنید، سپس ادامه را انتخاب کنید. از منوی بعدی، پارتیشن بندی خودکار را انتخاب کرده و Enter را بزنید تا ادامه دهید.

فایروال

pfSense دیسک را پارتیشن بندی می‌کند و مستقیماً به قسمت نصب می‌رود. اکنون زمان خوبی است که قهوه بخورید در حالی که منتظر هستید تا نصب کامل شود!!! وقتی نصب تمام شد، برای باز کردن پوسته برای ویرایش سیستم نه بگویید.سرانجام، رسانه نصب را حذف کرده و در صفحه بعدی enter را بزنید تا در سیستم جدید pfSense مجدداً راه اندازی شود.

مرحله ۲: پیکربندی کنسول

پس از راه اندازی مجدد سیستم، از شما خواسته می‌شود شبکه اصلی را تنظیم کنید. وقتی از شما سوال می‌شود که آیا VLAN‌ها اکنون باید راه اندازی شوند، پاسخ منفی دهید. بعد، به تنظیمات رابط شبکه بروید. برای شروع شناسایی خودکار رابط <<WAN،a» را بزنید و دستورالعمل‌های روی صفحه را دنبال کنید، در صورت لزوم کابل را وصل کنید تا به درستی رابط شناسایی شود. این کار را برای رابط LAN تکرار کنید. فراموش نکنید که رابط‌ های دستگاه را نیز به صورت فیزیکی برچسب گذاری کنید.

فایروال

هنگامی که هر دو رابط LAN و WAN به درستی شناسایی شدند، برای ادامه «y» را بزنید. pfSense شروع به بارگیری می‌کند، سپس وضعیت رابط‌ های شبکه را نمایش می‌دهد و منوی مدیر کنسول را به شما ارائه می‌دهد.

فایروال

رابط LAN به طور پیش فرض به آدرس IPv4 از ۱۹۲. ۱۶۸. ۱. ۱/۲۴ می‌رسد. اگر برای مطابقت با شبکه موجود خود باید این مورد را تغییر دهید، از فهرست گزینه ۲ (تنظیم آدرس IP رابط) را انتخاب کنید، سپس دوباره گزینه ۲ را برای ویرایش رابط LAN انتخاب کنید در صورت درخواست آدرس IPv4 و ماسک زیر شبکه LAN مورد نظر را برای دستگاه وارد کنید. هم اکنون IPv6 یا DHCP را فعال نکنید. بعداً این کار را از رابط مدیر وب انجام خواهیم داد.

فایروال

مرحله ۳: اهمیت پیکربندی اولیه

پیکربندی رایانه با آدرس ثابت IPv4 در همان محدوده آدرس IPv4 که به رابط LAN در فایروال اختصاص داده اید. می‌توانید این رایانه را مستقیماً به پورت LAN در فایروال متصل کنید (اگر با سخت افزار قدیمی که از Auto-MDIX پشتیبانی نمی‌کند از کابل متقاطع استفاده می‌کنید) یا از طریق یک سوئیچ متصل شوید. با استفاده از مرورگر وب خود، به آدرس LAN IPv4 بروید که در مرحله قبل پیکربندی کردیم. با استفاده از نام کاربری «مدیر» و رمز عبور پیش فرض «pfsense» وارد سیستم شوید. راه اندازی اولیه به شما ارائه می‌شود. برای شروع نصب فایروال جدید خود، روی next کلیک کنید، سپس دوباره در صفحه زیر بعدی را دوباره کلیک کنید. نامی را که می‌خواهید فایروال خود قرار دهید و دامنه مربوط به شبکه دفتر داخلی خود را وارد کنید. از «دیوار آتش» برای نام، و «محلی» برای دامنه استفاده خواهیم کرد، اما احتمالاً شما باید ویژگی متمایزتری ارائه دهید.

فایروال

برای رفتن به مرحله ۳، روی next کلیک کنید. اگر یک سرور NTP ترجیحی برای دستگاههای موجود در شبکه خود دارید، می‌توان سرور زمان را به صورت پیش فرض رها کرد یا آن را روی دیگری تنظیم کرد. منطقه زمانی خود را تنظیم کنید و سپس برای رفتن به مرحله ۴ روی بعدی کلیک کنید.

فایروال

اکنون باید رابط WAN خود را تنظیم کنید. ما از DHCP استفاده می‌کنیم، بنابراین می‌توانید همه موارد را به طور پیش فرض بگذارید، اما اگر این دستگاه را از طریق مودم DSL در حالت Bridge به یک خط ADSL متصل می‌کنید، باید PPPoE را اینجا انتخاب کنید و جزئیات ارائه شده توسط ISP خود را در بخش PPPoE وارد کنید از این صفحه پس از تکمیل پیکربندی WAN، به پایین صفحه بروید و روی بعدی کلیک کنید تا به مرحله ۵ بروید، جایی که می‌توانیم آدرس LAN IPv4 را که قبلا پیکربندی کردیم بررسی کنیم و در صورت لزوم آن را تغییر دهیم. بعدی را کلیک کنید تا آدرس یکسان باشد و به مرحله ۶ بروید. رمز ورود مدیر جدید را تنظیم کنید، فراموش نکنید که در جایی آن را یادداشت کنید، و سپس برای رفتن به مرحله ۷ روی بعدی کلیک کنید.

فایروال

برای بارگیری مجدد روی دستگاه کلیک کنید. اگر در مرحله ۵ آدرس LAN IPv4 را تغییر داده باشید، برای دسترسی به دستگاه باید پس از این آدرس را در مرورگر خود وارد کنید. منتظر بمانید تا بارگیری مجدد کامل شود، سپس روی Finish در آخرین صفحه کلیک کنید تا  خارج شوید و به داشبورد دستگاه بروید. مجوز نرم افزار را هنگامی که از شما خواسته شد دوباره بخوانید و بپذیرید، سپس برای پاک کردن پنجره پنجره «متشکرم» نزدیک را کلیک کنید.

مرحله ۴: IPv6

اگر ISP شما IPv6 را ارائه می‌دهد (تقریباً اکنون همه این کار را انجام می‌دهند) زمان آن است که گزینه‌های IPV6 رابط WAN را مطابق با گزینه‌های ارائه شده توسط ISP خود تنظیم کنید. منوی کشویی Interfaces را از نوار بالای فهرست انتخاب کرده و رابط WAN را انتخاب کنید.

فایروال

هم‌چنین باید IPv6 را روی رابط LAN خود تنظیم کنید. pfSense از طیف وسیعی از تنظیمات مختلف IPv6 پشتیبانی می‌کند، از IPv6 استاتیک و DHCPv6 گرفته تا پیکربندی خودکار آدرس بدون حالت (SLAAC)، تونل سازی 6to4 و ردیابی رابط بالادست. اینکه دقیقاً به کدام یک از آن ها نیاز دارید، به ارائه دهنده IPv6 از ISP شما بستگی دارد، وی باید اطلاعات تنظیمات کافی برای پیکربندی صحیح اتصال شما را در اختیار شما قرار دهد.

مرحله ۵: تنظیم سرویس‌های شبکه محلی

از نوار منو در بالای صفحه مدیر pfSense، منوی کشویی Services را باز کرده و DHCP server را انتخاب کنید. برای فعال کردن سرور DHCP برای رابط LAN خود، کادر «Enable» را علامت بزنید، سپس محدوده آدرس IPv4 را که به دستگاه‌های LAN شما اختصاص می‌یابد وارد کنید. ما در این نمونه ۲۰۰ آدرس را تنظیم خواهیم کرد. گزینه‌های سرور DNS و WINS را تنظیم نشده بگذارید، زیرا فایروال از موارد اختصاص داده شده توسط ISP در رابط WAN استفاده خواهد کرد.

فایروال

به پایین صفحه بروید و ذخیره را فشار دهید. سرویس DHCP به طور خودکار شروع می‌شود راه اندازی به طور خودکار یک قانون NAT خروجی را برای شما ایجاد می‌کند، بنابراین شما باید بتوانید از طریق دستگاه‌های پشت فایروال جدید خود به اینترنت دسترسی پیدا کنید.

پیکربندی بیشتر

اگر به پیوندهای VPN به ارائه دهنده ابر یا دفاتر دیگر خود نیاز دارید، اکنون می‌توانید آنها را تنظیم کنید. در اینجا به جزئیات بیشتر نمی‌پردازیم زیرا انواع مختلف VPN برای پوشش وجود دارد و روند کار با هر دستگاه فایروال سازمانی تقریباً یکسان است. خدمات اضافی مانند اولویت بندی ترافیک، فیلتر کردن وب، تعادل بار چندگانه اتصال اینترنت و غیره همه در دسترس هستند، چه از قبل در بسته‌های الحاقی تعبیه شده اند. اینها را می‌توان از مدیر بسته نصب کرد، که در منوی کشویی سیستم در سمت چپ نوار منوی بالای صفحه وجود دارد. برای آشنایی با فایروال جدید و کشف بسیاری از ویژگی‌های آن، کمی وقت بگذارید تا منوها و خدمات مختلف را بررسی کنید.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *