Ufungaji na Usanidi wa pfSense 2.4.4 Njia ya Firewall


Mtandao ni mahali pa kutisha siku hizi. Takriban kila siku, siku mpya sifuri, uvunjaji wa usalama, au programu ya kukomboa hutokea na kuwaacha watu wengi wakijiuliza ikiwa inawezekana kulinda mifumo yao.

Mashirika mengi hutumia mamia ya maelfu, kama si mamilioni, ya dola kujaribu kusakinisha suluhu za hivi punde na bora zaidi za usalama ili kulinda miundombinu na data zao. Watumiaji wa nyumbani ingawa wako katika hali mbaya ya kifedha. Kuwekeza hata dola mia moja kwenye firewall iliyojitolea mara nyingi huwa nje ya wigo wa mitandao mingi ya nyumbani.

Tunashukuru, kuna miradi maalum katika jumuiya ya programu huria ambayo inapiga hatua kubwa katika medani ya ufumbuzi wa usalama wa watumiaji wa nyumbani. Miradi kama Squid, na pfSense yote hutoa usalama wa kiwango cha biashara kwa bei za bidhaa!

PfSense ni suluhisho la firewall la msingi la FreeBSD. Usambazaji ni bure kusakinishwa kwenye vifaa vya mtu mwenyewe au kampuni iliyo nyuma ya pfSense, NetGate, inauza vifaa vya firewall vilivyosanidiwa mapema.

Maunzi yanayohitajika kwa pfSense ni machache sana na kwa kawaida mnara wa zamani wa nyumba unaweza kutekelezwa kwa urahisi kuwa Firewall maalum ya pfSense. Kwa wale wanaotaka kujenga au kununua mfumo wenye uwezo zaidi wa kutumia vipengele vya juu zaidi vya pfSense, kuna viwango vya chini vya maunzi vilivyopendekezwa:

  • 500 mhz CPU
  • GB 1 ya RAM
  • 4GB ya hifadhi
  • Kadi 2 za kiolesura cha mtandao

  • 1GHz CPU
  • GB 1 ya RAM
  • 4GB ya hifadhi
  • Kadi 2 au zaidi za kiolesura cha mtandao cha PCI-e.

Katika tukio ambalo mtumiaji wa nyumbani angependa kuwezesha vipengele vingi vya ziada na utendakazi wa pfSense kama vile Snort, Anti-Virus scanning, DNS blackrosting, uchujaji wa maudhui ya wavuti, n.k, maunzi yanayopendekezwa yatahusika zaidi.

Ili kusaidia vifurushi vya ziada vya programu kwenye ngome ya pfSense, inashauriwa kwamba maunzi yafuatayo yatolewe kwa pfSense:

  • CPU ya kisasa ya msingi nyingi inayotumia angalau 2.0 GHz
  • 4GB+ ya RAM
  • 10GB+ ya nafasi ya HD
  • Kadi 2 au zaidi za kiolesura cha mtandao za Intel PCI-e

Ufungaji wa pfSense 2.4.4

Katika sehemu hii, tutaona ufungaji wa pfSense 2.4.4 (toleo la hivi karibuni wakati wa kuandika makala hii).

pfSense mara nyingi hufadhaisha watumiaji wapya kwenye ngome. Tabia ya chaguo-msingi kwa ngome nyingi ni kuzuia kila kitu, kizuri au kibaya. Hii ni nzuri kutoka kwa mtazamo wa usalama lakini sio kwa maoni ya utumiaji. Kabla ya kuanza usakinishaji, ni muhimu kufikiria lengo la mwisho kabla ya kuanza usanidi.

Bila kujali maunzi gani yamechaguliwa, kusakinisha pfSense kwenye maunzi ni mchakato wa moja kwa moja lakini huhitaji mtumiaji kuzingatia kwa makini ni bandari zipi za kiolesura cha mtandao zitatumika kwa madhumuni gani (LAN, WAN, Wireless, nk).

Sehemu ya mchakato wa usakinishaji itahusisha kumwuliza mtumiaji kuanza kusanidi miingiliano ya LAN na WAN. Mwandishi anapendekeza tu kuchomeka kiolesura cha WAN hadi pfSense iwe imesanidiwa na kisha kuendelea kumaliza usakinishaji kwa kuchomeka kiolesura cha LAN.

Hatua ya kwanza ni kupata programu ya pfSense kutoka https://www.pfsense.org/download/. Kuna chaguzi kadhaa tofauti zinazopatikana kulingana na kifaa na njia ya usakinishaji lakini mwongozo huu utatumia Kisakinishi cha 'AMD64 CD (ISO)'.

Kwa kutumia menyu kunjuzi kwenye kiungo kilichotolewa hapo awali, chagua kioo kinachofaa ili kupakua faili.

Mara tu kisakinishi kimepakuliwa, kinaweza kuchomwa hadi kwenye CD au kinaweza kunakiliwa kwenye hifadhi ya USB kwa zana ya 'dd' iliyojumuishwa katika usambazaji mwingi wa Linux.

Mchakato unaofuata ni kuandika ISO kwenye kiendeshi cha USB ili kuwasha kisakinishi. Ili kukamilisha hili, tumia zana ya 'dd' ndani ya Linux. Kwanza, jina la diski linahitaji kupatikana na 'lsblk' ingawa.

$ lsblk

Jina la kiendeshi cha USB likibainishwa kuwa ‘/dev/sdc’, pfSense ISO inaweza kuandikwa kwenye hifadhi kwa zana ya ‘dd’.

$ gunzip ~/Downloads/pfSense-CE-2.4.4-RELEASE-p1-amd64.iso.gz
$ dd if=~/Downloads/pfSense-CE-2.4.4-RELEASE-p1-amd64.iso of=/dev/sdc

Muhimu: Amri iliyo hapo juu inahitaji haki za mizizi kwa hivyo tumia 'sudo' au ingia kama mtumiaji wa mizizi kutekeleza amri. Pia amri hii ITAONDOA KILA KITU kwenye kiendeshi cha USB. Hakikisha umehifadhi data inayohitajika.

Mara tu ‘dd’ inapomaliza kuandika kwenye hifadhi ya USB au CD imechomwa, weka midia kwenye kompyuta ambayo itawekwa kama ngome ya pfSense. Anzisha kompyuta hiyo kwa midia hiyo na skrini ifuatayo itawasilishwa.

Katika skrini hii, ama ruhusu kipima muda kuisha au uchague 1 ili kuendelea na mazingira ya kisakinishi. Mara tu kisakinishi kitakapomaliza kuwasha, mfumo utauliza mabadiliko yoyote yanayohitajika katika mpangilio wa kibodi. Ikiwa kila kitu kitaonekana katika lugha ya asili, bofya tu kwenye 'Kubali Mipangilio Hii'.

Skrini inayofuata itampa mtumiaji chaguo la 'Usakinishaji wa Haraka/Rahisi' au chaguo za kina zaidi za usakinishaji. Kwa madhumuni ya mwongozo huu, inashauriwa kutumia tu chaguo la 'Haraka/Rahisi Kusakinisha'.

Skrini inayofuata itathibitisha kwa urahisi kuwa mtumiaji anatamani kutumia mbinu ya ‘Haraka/Rahisi Kusakinisha’ ambayo haitauliza maswali mengi wakati wa usakinishaji.

Swali la kwanza ambalo linawezekana kuwasilishwa litauliza kuhusu ni kernel gani ya kusakinisha. Tena, inapendekezwa kuwa 'Standard Kernel' isanikishwe kwa watumiaji wengi.

Kisakinishi kitakapomaliza hatua hii, kitaomba kuwasha upya. Hakikisha kuwa umeondoa midia ya usakinishaji pia ili mashine isirudie kwenye kisakinishi.

Usanidi wa pfSense

Baada ya kuwasha upya, na kuondolewa kwa vyombo vya habari vya CD/USB, pfSense itaanza upya kwenye mfumo wa uendeshaji uliosakinishwa upya. Kwa chaguo-msingi, pfSense itachagua kiolesura cha kusanidi kama kiolesura cha WAN kilicho na DHCP na kuacha kiolesura cha LAN bila kusanidiwa.

Ingawa pfSense ina mfumo wa usanidi wa picha wa msingi wa wavuti, inaendeshwa tu kwenye upande wa LAN wa ngome lakini kwa sasa, upande wa LAN hautasanidiwa. Kitu cha kwanza cha kufanya itakuwa kuweka anwani ya IP kwenye kiolesura cha LAN.

Ili kufanya hivyo fuata hatua hizi:

  • Zingatia ni jina gani la kiolesura ni kiolesura cha WAN (em0 hapo juu).
  • Ingiza ‘1’ na ubonyeze kitufe cha ‘Ingiza’.
  • Andika 'n' na ubonyeze kitufe cha 'Ingiza' unapoulizwa kuhusu VLAN.
  • Chapa jina la kiolesura kilichorekodiwa katika hatua ya kwanza unapoombwa kwa kiolesura cha WAN au ubadilishe hadi kiolesura kinachofaa sasa. Tena mfano huu, ‘em0’ ni kiolesura cha WAN kwani kitakuwa kiolesura kinachotazamana na Mtandao.
  • Kidokezo kinachofuata kitauliza kiolesura cha LAN, andika tena jina sahihi la kiolesura na ubofye kitufe cha 'Ingiza'. Katika usakinishaji huu, ‘em1’ ni kiolesura cha LAN.
  • pfSense itaendelea kuomba violesura zaidi ikiwa vinapatikana lakini ikiwa violesura vyote vimepewa, bonyeza tu kitufe cha ‘Ingiza’ tena.
  • pfSense sasa itauliza ili kuhakikisha kuwa violesura vimegawiwa ipasavyo.


Hatua inayofuata itakuwa kupeana miingiliano usanidi sahihi wa IP. Baada ya pfSense kurudi kwenye skrini kuu, chapa '2' na ubofye kitufe cha 'Ingiza'. (Hakikisha unafuatilia majina ya kiolesura yaliyogawiwa violesura vya WAN na LAN).

*KUMBUKA* Kwa usakinishaji huu kiolesura cha WAN kinaweza kutumia DHCP bila matatizo yoyote lakini kunaweza kuwa na matukio ambapo anwani tuli itahitajika. Mchakato wa kusanidi kiolesura tuli kwenye WAN utakuwa sawa na kiolesura cha LAN ambacho kinakaribia kusanidiwa.

Andika ‘2’ tena unapoulizwa kiolesura kipi cha kuweka maelezo ya IP. Tena 2 ni kiolesura cha LAN katika matembezi haya.

Unapoombwa, chapa anwani ya IPv4 inayohitajika kwa kiolesura hiki na ubofye kitufe cha 'Ingiza'. Anwani hii haipaswi kutumika popote pengine kwenye mtandao na kuna uwezekano kuwa lango chaguo-msingi la wapangishi ambao watachomekwa kwenye kiolesura hiki.

Kidokezo kifuatacho kitauliza kinyago cha subnet katika kile kinachojulikana kama umbizo la kiambishi awali la mask. Kwa mfano huu mtandao rahisi /24 au 255.255.255.0 utatumika. Bonyeza kitufe cha 'Ingiza' ukimaliza.

Swali linalofuata litauliza kuhusu 'Lango la Juu la IPv4'. Kwa kuwa kiolesura cha LAN kwa sasa kimesanidiwa, bonyeza tu kitufe cha 'Ingiza'.

Kidokezo kinachofuata kitauliza kusanidi IPv6 kwenye kiolesura cha LAN. Mwongozo huu unatumia IPv4 tu lakini iwapo mazingira yatahitaji IPv6, unaweza kusanidiwa sasa. Vinginevyo, kugonga tu kitufe cha 'Ingiza' kutaendelea.

Swali linalofuata litauliza kuhusu kuanzisha seva ya DHCP kwenye kiolesura cha LAN. Watumiaji wengi wa nyumbani watahitaji kuwezesha kipengele hiki. Tena hii inaweza kuhitaji kurekebishwa kulingana na mazingira.

Mwongozo huu unachukulia kuwa mtumiaji atataka ngome kutoa huduma za DHCP na itatenga anwani 51 kwa kompyuta zingine kupata anwani ya IP kutoka kwa kifaa cha pfSense.

Swali linalofuata litauliza kurudisha zana ya wavuti ya pfSense kwa itifaki ya HTTP. Inahimizwa sana KUTOKUFANYA hivi kwani itifaki ya HTTPS itatoa kiwango fulani cha usalama ili kuzuia ufichuzi wa nenosiri la msimamizi kwa zana ya usanidi wa wavuti.

Mara tu mtumiaji anapopiga 'Ingiza', pfSense itahifadhi mabadiliko ya kiolesura na kuanza huduma za DHCP kwenye kiolesura cha LAN.

Tambua kuwa pfSense itatoa anwani ya wavuti kufikia zana ya usanidi wa wavuti kupitia kompyuta iliyochomekwa kwenye upande wa LAN wa kifaa cha ngome. Hii inahitimisha hatua za msingi za usanidi ili kufanya kifaa cha ngome kiwe tayari kwa usanidi na sheria zaidi.

Kiolesura cha wavuti kinapatikana kupitia kivinjari cha wavuti kwa kuenda kwenye anwani ya IP ya kiolesura cha LAN.

Taarifa chaguo-msingi ya pfSense wakati wa uandishi huu ni kama ifuatavyo:

Username: admin
Password: pfsense

Baada ya kuingia kwa mafanikio kupitia kiolesura cha wavuti kwa mara ya kwanza, pfSense itapitia usanidi wa awali ili kuweka upya nenosiri la msimamizi.

Kidokezo cha kwanza ni kujiandikisha kwa Usajili wa Dhahabu wa pfSense ambao una manufaa kama vile hifadhi rudufu ya usanidi otomatiki, ufikiaji wa nyenzo za mafunzo za pfSense, na mikutano pepe ya mara kwa mara na wasanidi wa pfSense. Ununuzi wa usajili wa Dhahabu hauhitajiki na hatua inaweza kurukwa ikiwa inataka.

Hatua ifuatayo itamwuliza mtumiaji maelezo zaidi ya usanidi wa ngome kama vile jina la mwenyeji, jina la kikoa (ikiwa linatumika), na seva za DNS.

Kidokezo kinachofuata kitakuwa kusanidi Itifaki ya Muda wa Mtandao, NTP. Chaguzi chaguo-msingi zinaweza kuachwa isipokuwa seva za wakati tofauti zinatakikana.

Baada ya kusanidi NTP, mchawi wa usakinishaji wa pfSense utamwuliza mtumiaji kusanidi kiolesura cha WAN. pfSense inasaidia mbinu nyingi za kusanidi kiolesura cha WAN.

Chaguo-msingi kwa watumiaji wengi wa nyumbani ni kutumia DHCP. DHCP kutoka kwa mtoa huduma wa mtandao wa mtumiaji ndiyo njia ya kawaida ya kupata usanidi muhimu wa IP.

Hatua inayofuata itasababisha usanidi wa kiolesura cha LAN. Ikiwa mtumiaji ameunganishwa kwenye kiolesura cha wavuti, kiolesura cha LAN kuna uwezekano tayari kimesanidiwa.

Walakini, ikiwa kiolesura cha LAN kinahitaji kubadilishwa, hatua hii itaruhusu mabadiliko kufanywa. Hakikisha unakumbuka anwani ya IP ya LAN imewekwa kwa jinsi hii
msimamizi atafikia kiolesura cha wavuti!

Kama ilivyo kwa mambo yote katika ulimwengu wa usalama, manenosiri chaguo-msingi yanawakilisha hatari kubwa ya usalama. Ukurasa unaofuata utamwuliza msimamizi kubadilisha nenosiri chaguo-msingi la mtumiaji wa 'admin' hadi kiolesura cha wavuti cha pfSense.

Hatua ya mwisho inahusisha kuanzisha upya pfSense na usanidi mpya. Bonyeza tu kitufe cha 'Pakia upya'.

Baada ya pfSense kupakia upya, itaonyesha mtumiaji skrini ya mwisho kabla ya kuingia kwenye kiolesura kamili cha wavuti. Bofya tu 'Bofya Hapa' ya pili ili kuingia kwenye kiolesura kamili cha wavuti.

Hatimaye pfSense iko juu na iko tayari kusanidiwa sheria!

Kwa kuwa sasa pfSense inatumika, msimamizi atahitaji kupitia na kuunda sheria ili kuruhusu trafiki inayofaa kupitia ngome. Ikumbukwe kwamba pfSense ina chaguo-msingi kuruhusu sheria zote. Kwa ajili ya usalama, hii inapaswa kubadilishwa lakini huu ni uamuzi wa msimamizi tena.

Asante kwa kusoma nakala hii ya TecMint kuhusu usakinishaji wa pfSense! Endelea kufuatilia makala zijazo kuhusu kusanidi baadhi ya chaguo za kina zaidi zinazopatikana katika pfSense.