Firewall

Cara Memasang dan Konfigurasi Firewall OpnSense Asas

Cara Memasang dan Konfigurasi Firewall OpnSense Asas

Dalam artikel terdahulu, penyelesaian firewall yang dikenali sebagai pfsense dibincangkan. Pada awal tahun 2015 keputusan dibuat untuk garpu Pfsense dan penyelesaian firewall baru yang dipanggil Opnsense telah dibebaskan.

Opnsense memulakan hidupnya sebagai garpu sederhana Pfsense tetapi telah berkembang menjadi penyelesaian firewall yang sepenuhnya bebas. Artikel ini akan merangkumi pemasangan dan konfigurasi awal asas yang baru Opnsense pemasangan.

Opnsense Firewall

Seperti Pfsense, Opnsense adalah penyelesaian firewall sumber terbuka berasaskan FreeBSD. Pengedaran percuma untuk dipasang pada peralatan sendiri atau syarikat decisio, menjual peralatan firewall pra-konfigurasi.

Opnsense mempunyai satu set keperluan yang minimum dan menara rumah yang lebih tua yang tipikal dengan mudah boleh ditubuhkan untuk dijalankan sebagai Opnsense Firewall. Spesifikasi minimum yang dicadangkan adalah seperti berikut:

Minimum perkakasan

  • 500 MHz cpu
  • 1 GB RAM
  • 4GB penyimpanan
  • 2 Kad Antara Muka Rangkaian

Perkakasan yang dicadangkan

  • 1GHz CPU
  • 1 GB RAM
  • 4GB penyimpanan
  • 2 atau lebih kad antara muka rangkaian PCI-E.

Sekiranya pembaca ingin menggunakan beberapa ciri yang lebih canggih Opnsense (Suricata, Clamav, VPN Server, dll) Sistem harus diberi perkakasan yang lebih baik.

Semakin banyak modul pengguna ingin membolehkan, semakin banyak RAM/CPU/Drive ruang harus dimasukkan. Adalah dicadangkan bahawa minimum berikut akan dipenuhi jika terdapat rancangan untuk membolehkan modul lanjutan di opnsense.

  • CPU berbilang teras moden berjalan sekurang-kurangnya 2.0 GHz
  • 4GB+ RAM
  • 10GB+ ruang HD
  • 2 atau lebih kad antara muka rangkaian Intel PCI-E

Pemasangan dan konfigurasi firewall opnsense

Tidak kira perkakasan mana yang dipilih, memasang Opnsense adalah proses yang mudah tetapi memerlukan pengguna untuk memperhatikan port antara muka rangkaian yang akan digunakan untuk tujuan mana (LAN, WAN, Wireless, dll).

Sebahagian daripada proses pemasangan akan melibatkan mendorong pengguna untuk memulakan mengkonfigurasi antara muka LAN dan WAN. Penulis mencadangkan hanya memasang antara muka WAN sehingga OpnSense telah dikonfigurasi dan kemudian meneruskan untuk menyelesaikan pemasangan dengan memasang di antara muka LAN.

Memuat turun firewall opnsense

Langkah pertama adalah untuk mendapatkan perisian OpnSense dan terdapat beberapa pilihan yang berbeza yang tersedia bergantung pada peranti dan kaedah pemasangan tetapi panduan ini akan menggunakan 'Opnsense-18.7-OPENSSL-DVD-AMD64.ISO.BZ2'.

ISO diperoleh menggunakan arahan berikut:

$ wget -c http: // cermin.Nycbug.org/pub/opnsense/siaran/cermin/opnsense-18.7-OPENSSL-DVD-AMD64.ISO.BZ2

Setelah fail telah dimuat turun, ia perlu dikompresi dengan menggunakan Bunzip alat seperti berikut:

$ bunzip2 opnsense-18.7-OPENSSL-DVD-AMD64.ISO.BZ2

Setelah pemasang telah dimuat turun dan dikompresi, ia boleh dibakar ke a CD atau ia boleh disalin ke a USB memandu dengan Alat 'DD' termasuk dalam kebanyakan pengagihan Linux.

Proses seterusnya ialah menulis ISO ke a USB memandu untuk boot pemasang. Untuk mencapai ini, gunakan Alat 'DD' Dalam Linux.

Pertama, nama cakera perlu ditempatkan dengan 'lsblk'Walaupun.

$ lsblk
Cari nama peranti cakera

Dengan nama USB pemacu ditentukan sebagai '/dev/sdc', The Opnsense ISO boleh ditulis ke pemacu dengan Alat 'DD'.

$ sudo dd jika = ~/muat turun/opnsense-18.7-OPENSSL-DVD-AMD64.ISO of =/dev/sdc

Catatan: Perintah di atas memerlukan keistimewaan akar sehingga digunakan 'sudo' atau log masuk sebagai pengguna root untuk menjalankan arahan. Juga, arahan ini akan Keluarkan segalanya pada USB memandu. Pastikan anda menyandarkan data yang diperlukan.

Pemasangan firewall opnsense

Sekali DD telah selesai menulis ke pemacu USB, letakkan media ke dalam komputer yang akan ditubuhkan sebagai Opnsense Firewall. Boot komputer itu ke media itu dan skrin berikut akan dibentangkan.

Menu boot opnsense

Untuk meneruskan pemasang, tekan 'Masukkan' kunci. Ini akan boot Opnsense ke dalam Mod langsung Tetapi pengguna khas wujud untuk memasang Opnsense ke media tempatan sebaliknya.

Apabila sistem boot ke log masuk prompt menggunakan nama pengguna 'pemasang' dengan kata laluan 'Opnsense'.

Mod Live Opnsense

Media pemasangan akan log masuk dan melancarkan sebenarnya Opnsense pemasang. Perhatian: Meneruskan dengan langkah -langkah berikut akan menghasilkan semua data pada cakera keras dalam sistem yang dipadamkan! Teruskan dengan berhati -hati atau keluar dari pemasang.

Pemasang Opnsense

Memukul 'Masukkan' kunci akan memulakan proses pemasangan. Langkah pertama ialah memilih KeyMap. Pemasang mungkin akan mengesan keymap yang betul secara lalai. Semak KeyMap yang dipilih dan membetulkannya seperti yang diperlukan.

Tetapan OpnSense KeyMap

Skrin seterusnya akan menyediakan beberapa pilihan untuk pemasangan. Sekiranya pengguna ingin melakukan pembahagian lanjutan atau mengimport konfigurasi dari kotak OpnSense yang lain, ini dapat dicapai pada langkah ini. Panduan ini menganggap pemasangan segar dan akan memilih 'Pemasangan berpandu'Pilihan.

Jenis Pemasangan OpnSense

Skrin berikut akan memaparkan peranti storan yang diiktiraf untuk pemasangan.

Peranti pemasangan opnsense

Sebaik sahaja peranti storan dipilih, pengguna perlu memutuskan skim pembahagian mana yang digunakan oleh pemasang (Mbr atau GPT/EFI).

Kebanyakan sistem moden akan menyokong GPT/EFI Tetapi jika pengguna menghidupkan semula komputer yang lebih tua, Mbr Mungkin satu -satunya pilihan yang disokong. Semak dalam BIOS tetapan sistem untuk melihat apakah ia menyokong EFI/GPT.

Mod Pemasangan OpnSense

Setelah skim pembahagian dipilih, pemasang akan memulakan langkah pemasangan. Proses ini tidak mengambil masa yang lama dan akan meminta pengguna untuk maklumat secara berkala seperti kata laluan pengguna root.

Proses pemasangan OpnSense Kata Laluan Root Opnsense

Sebaik sahaja pengguna telah menetapkan kata laluan pengguna root, pemasangan akan selesai dan sistem perlu dimulakan semula untuk mengkonfigurasi pemasangan. Apabila sistem reboot, ia harus boot secara automatik ke Opnsense Pasang (pastikan untuk mengeluarkan medium pemasangan apabila mesin dimulakan semula).

Apabila sistem reboot, ia akan berhenti di log masuk konsol dan menanti pengguna untuk log masuk.

Opnsense Login Prompt

Sekarang jika pengguna memberi perhatian semasa pemasangan, mereka mungkin perasan bahawa mereka boleh membuat pra-konfigurasi antara muka semasa pemasangan. Walau bagaimanapun, mari kita anggap artikel ini bahawa antara muka tidak diberikan pada pemasangan.

Selepas log masuk dengan pengguna root dan kata laluan yang dikonfigurasikan semasa pemasangan, dapat diperhatikan bahawa OpnSense hanya menggunakan salah satu kad antara muka rangkaian (NIC) pada mesin ini. Dalam gambar di bawah ia dinamakan "Lan (EM0)".

Antara muka rangkaian Opnsense

Opnsense akan lalai ke standard "192.168.1.1/24 ” Rangkaian untuk LAN. Walau bagaimanapun, dalam imej di atas, antara muka WAN hilang! Ini mudah diperbetulkan dengan menaip '1' pada masa yang singkat dan memukul masuk.

Ini akan membolehkan penugasan semula NICS pada sistem. Perhatikan dalam imej seterusnya bahawa terdapat dua antara muka yang ada: 'Em0' dan 'em1'.

OpnSense Konfigurasi Antara Muka Rangkaian

Wizard Konfigurasi akan membolehkan persediaan yang sangat kompleks dengan VLAN juga tetapi buat masa ini, panduan ini mengandaikan persediaan dua rangkaian asas; (iaitu a Wan/isp sisi dan sisi LAN).

Masukkan 'N' untuk tidak mengkonfigurasi mana -mana VLAN pada masa ini. Untuk persediaan khusus ini, antara muka WAN adalah 'Em0' Dan antara muka LAN adalah 'em1' Seperti yang dilihat di bawah.

Konfigurasi Rangkaian OpnSense

Sahkan perubahan antara muka dengan menaip 'Y' dengan segera. Ini akan menyebabkan OpnSense memuatkan semula banyak perkhidmatannya untuk mencerminkan perubahan kepada tugasan antara muka.

Setelah selesai, sambungkan komputer dengan penyemak imbas web ke antara muka sisi LAN. Antara Muka LAN mempunyai pelayan DHCP yang mendengar di antara muka untuk pelanggan supaya komputer dapat memperoleh maklumat yang diperlukan untuk menyambung ke halaman konfigurasi web opnsense.

Setelah komputer disambungkan ke antara muka LAN, buka pelayar web dan navigasi ke url berikut: http: // 192.168.1.1.

Antara muka log masuk opnsense

Untuk log masuk ke konsol web; Gunakan nama pengguna 'akar' dan kata laluan yang dikonfigurasikan semasa proses pemasangan. Setelah log masuk, bahagian akhir pemasangan akan selesai.

Langkah pertama pemasang digunakan untuk mengumpulkan lebih banyak maklumat seperti nama host, nama domain, dan pelayan DNS. Kebanyakan pengguna boleh meninggalkan 'Mengatasi DNS'Pilihan dipilih.

Ini akan membolehkan firewall opnsense mendapatkan maklumat DNS dari ISP melalui antara muka WAN.

Maklumat Sistem OpnSense

Skrin seterusnya akan diminta untuk NTP pelayan. Sekiranya pengguna tidak mempunyai sistem NTP mereka sendiri, OpnSense akan menyediakan set lalai kolam pelayan NTP.

Pelayan NTP Opnsense

Skrin seterusnya adalah Wan Persediaan antara muka. Sebilangan besar ISP untuk pengguna rumah akan menggunakan DHCP untuk memberikan pelanggan maklumat konfigurasi rangkaian mereka. Hanya meninggalkan jenis yang dipilih sebagai 'DHCP' akan mengarahkan OpnSense untuk cuba mengumpulkan konfigurasi sisi WAN dari ISP.

Tetapan DHCP OpnSense

Tatal ke bahagian bawah skrin konfigurasi WAN untuk meneruskan. ***Catatan*** Di bahagian bawah skrin ini terdapat dua peraturan lalai untuk menyekat julat rangkaian yang umumnya tidak boleh dilihat masuk ke antara muka WAN. Adalah disyorkan untuk meninggalkan yang diperiksa ini melainkan ada alasan yang diketahui untuk membolehkan rangkaian ini melalui antara muka WAN!

Skrin seterusnya ialah Skrin Konfigurasi LAN. Sebilangan besar pengguna hanya boleh meninggalkan mungkir. Menyadari ada julat rangkaian khas yang harus digunakan di sini, biasanya disebut sebagai RFC 1918. Pastikan untuk meninggalkan lalai atau pilih rangkaian rangkaian dari dalam RFC1918 julat untuk mengelakkan konflik/masalah!

OpnSense Configure Interface LAN

Skrin akhir dalam pemasangan akan bertanya jika pengguna ingin mengemas kini kata laluan root. Ini adalah pilihan tetapi jika kata laluan yang kuat tidak dibuat semasa pemasangan, kini akan menjadi masa yang tepat untuk membetulkan masalah!

Setelah melepasi pilihan perubahan kata laluan, OpnSense akan meminta pengguna untuk memuatkan semula tetapan konfigurasi. Cukup klik 'Tambah nilai' butang dan berikan opnsense sebentar untuk menyegarkan semula konfigurasi dan halaman semasa.

Apabila semuanya selesai, Opnsense akan mengalu -alukan pengguna. Untuk kembali ke papan pemuka utama, cukup klik 'Papan pemuka ' Di sudut kiri atas tetingkap penyemak imbas web.

Opnsense Dashboard

Pada ketika ini, pengguna akan dibawa ke papan pemuka utama dan boleh terus memasang/mengkonfigurasi mana -mana plugin opnsense yang berguna atau fungsi! Penulis mengesyorkan menyemak dan menaik taraf sistem jika peningkatan tersedia. Cukup klik pada 'Klik untuk menyemak kemas kini'Butang di papan pemuka utama.

Pilihan Konfigurasi OpnSense

Kemudian pada skrin seterusnya, 'Menyemak kemas kini'Boleh digunakan untuk melihat senarai kemas kini, atau'Mengemas kini sekarang'boleh digunakan untuk hanya menggunakan kemas kini yang ada.

Kemas kini OpnSense

Pada ketika ini, pemasangan asas opnsense harus berjalan dan berjalan serta dikemas kini sepenuhnya! Dalam artikel masa depan, pengagregatan pautan dan penghalaan antara VLAN akan dilindungi untuk menunjukkan lebih banyak keupayaan maju opnsense!