Jinsi ya kusakinisha na kusanidi Firewall ya Msingi ya OpnSense

Katika nakala iliyotangulia, suluhisho la firewall linalojulikana kama PfSense lilijadiliwa. Mapema mwaka wa 2015 uamuzi ulifanywa kwa uma PfSense na ufumbuzi mpya wa firewall unaoitwa OpnSense ulitolewa.

OpnSense ilianza maisha yake kama uma rahisi wa PfSense lakini imebadilika kuwa suluhisho huru kabisa la ngome. Makala haya yatashughulikia usakinishaji na usanidi wa kimsingi wa usakinishaji mpya wa OpnSense.

Kama PfSense, OpnSense ni suluhisho la firewall la msingi la FreeBSD. Usambazaji ni bure kufunga kwenye vifaa vya mtu mwenyewe au kampuni ya Decisio, inauza vifaa vya firewall vilivyowekwa tayari.

OpnSense ina mahitaji machache na mnara wa kawaida wa nyumbani unaweza kusanidiwa kwa urahisi ili kuendeshwa kama ngome ya OpnSense. Vigezo vya chini vilivyopendekezwa ni kama ifuatavyo:

  • 500 mhz CPU
  • GB 1 ya RAM
  • 4GB ya hifadhi
  • Kadi 2 za kiolesura cha mtandao

  • 1GHz CPU
  • GB 1 ya RAM
  • 4GB ya hifadhi
  • Kadi 2 au zaidi za kiolesura cha mtandao cha PCI-e.

Ikiwa msomaji anataka kutumia baadhi ya vipengele vya juu zaidi vya OpnSense (seva ya VPN, nk) mfumo unapaswa kupewa maunzi bora zaidi.

Kadiri moduli nyingi mtumiaji anavyotaka kuwezesha, ndivyo nafasi zaidi ya RAM/CPU/Hifadhi inapaswa kujumuishwa. Inapendekezwa kuwa viwango vya chini vifuatavyo vifikiwe ikiwa kuna mipango ya kuwezesha moduli za mapema katika OpnSense.

  • CPU ya kisasa ya msingi nyingi inayotumia angalau 2.0 GHz
  • 4GB+ ya RAM
  • 10GB+ ya nafasi ya HD
  • Kadi 2 au zaidi za kiolesura cha mtandao za Intel PCI-e

Ufungaji na Usanidi wa Firewall ya OpnSense

Bila kujali maunzi gani yamechaguliwa, kusakinisha OpnSense ni mchakato rahisi lakini huhitaji mtumiaji kuzingatia kwa makini ni bandari zipi za kiolesura cha mtandao zitatumika kwa madhumuni gani (LAN, WAN, Wireless, nk).

Sehemu ya mchakato wa usakinishaji itahusisha kumwuliza mtumiaji kuanza kusanidi miingiliano ya LAN na WAN. Mwandishi anapendekeza tu kuchomeka kiolesura cha WAN hadi OpnSense iwe imesanidiwa na kisha kuendelea kumaliza usakinishaji kwa kuchomeka kiolesura cha LAN.

Hatua ya kwanza ni kupata programu ya OpnSense na kuna chaguo kadhaa tofauti zinazopatikana kulingana na kifaa na mbinu ya usakinishaji lakini mwongozo huu utatumia ‘OPNsense-18.7-OpenSSL-dvd-amd64.iso.bz2’.

ISO ilipatikana kwa kutumia amri ifuatayo:

$ wget -c http://mirrors.nycbug.org/pub/opnsense/releases/mirror/OPNsense-18.7-OpenSSL-dvd-amd64.iso.bz2

Mara tu faili imepakuliwa, inahitaji kupunguzwa kwa kutumia zana ya bunzip kama ifuatavyo:

$ bunzip OPNsense-18.7-OpenSSL-dvd-amd64.iso.bz2

Mara tu kisakinishi kitakapopakuliwa na kupunguzwa, kinaweza kuchomwa hadi kwenye CD au kinaweza kunakiliwa kwenye hifadhi ya USB kwa kutumia zana ya 'dd' iliyojumuishwa katika usambazaji mwingi wa Linux.

Mchakato unaofuata ni kuandika ISO kwenye kiendeshi cha USB ili kuwasha kisakinishi. Ili kukamilisha hili, tumia zana ya 'dd' ndani ya Linux.

Kwanza, jina la diski linahitaji kupatikana na 'lsblk' ingawa.

$ lsblk

Jina la hifadhi ya USB likibainishwa kuwa ‘/dev/sdc’, OpnSense ISO inaweza kuandikwa kwenye hifadhi kwa zana ya ‘dd’.

$ sudo dd if=~/Downloads/OPNsense-18.7-OpenSSL-dvd-amd64.iso of=/dev/sdc

Kumbuka: Amri iliyo hapo juu inahitaji upendeleo wa mizizi kwa hivyo tumia 'sudo' au ingia kama mtumiaji wa mizizi kutekeleza amri. Pia amri hii ITAONDOA KILA KITU kwenye kiendeshi cha USB. Hakikisha umehifadhi data inayohitajika.

Mara tu dd inapomaliza kuandika kwa hifadhi ya USB, weka midia kwenye kompyuta ambayo itawekwa kama ngome ya OpnSense. Anzisha kompyuta hiyo kwa midia hiyo na skrini ifuatayo itawasilishwa.

Ili kuendelea na kisakinishi, bonyeza tu kitufe cha 'Ingiza'. Hii itaanzisha OpnSense kwenye modi ya Moja kwa Moja lakini kuna mtumiaji maalum wa kusakinisha OpnSense kwenye midia ya ndani badala yake.

Wakati mfumo unapoingia kwa haraka tumia jina la mtumiaji la 'kisakinishaji' na nenosiri la 'opnsense'.

Midia ya usakinishaji itaingia na kuzindua kisakinishi halisi cha OpnSense. TAHADHARI: Kuendelea na hatua zifuatazo itasababisha data zote kwenye gari ngumu ndani ya mfumo kufutwa! Endelea kwa tahadhari au uondoke kwenye kisakinishi.

Kupiga kitufe cha 'Ingiza' kutaanza mchakato wa usakinishaji. Hatua ya kwanza ni kuchagua keymap. Kisakinishi huenda kitagundua ramani-msingi inayofaa kwa chaguo-msingi. Kagua ramani kuu iliyochaguliwa na urekebishe inavyohitajika.

Skrini inayofuata itatoa chaguzi kadhaa za usakinishaji. Ikiwa mtumiaji anataka kufanya ugawaji wa hali ya juu au kuleta usanidi kutoka kwa kisanduku kingine cha OpnSense, hili linaweza kutekelezwa kwa hatua hii. Mwongozo huu utachukua usakinishaji mpya na utachagua chaguo la 'Usakinishaji Unaoongozwa'.

Skrini ifuatayo itaonyesha vifaa vya kuhifadhi vinavyotambulika kwa ajili ya usakinishaji.

Mara tu kifaa cha kuhifadhi kitakapochaguliwa, mtumiaji atahitaji kuamua ni mpango gani wa kugawanya unatumiwa na kisakinishi (MBR au GPT/EFI).

Mifumo mingi ya kisasa itatumia GPT/EFI lakini ikiwa mtumiaji analenga tena kompyuta ya zamani, MBR inaweza kuwa chaguo pekee linalotumika. Angalia ndani ya mipangilio ya BIOS ya mfumo ili kuona ikiwa inasaidia EFI/GPT.

Mara tu mpango wa kugawa umechaguliwa, kisakinishi kitaanza hatua za usakinishaji. Mchakato hauchukui muda mrefu sana na utamwuliza mtumiaji habari mara kwa mara kama vile nenosiri la mtumiaji wa mizizi.

Mara tu mtumiaji atakapoweka nenosiri la mtumiaji wa mizizi, usakinishaji utakamilika na mfumo utahitaji kuanzishwa upya ili kusanidi usakinishaji. Mfumo unapowashwa upya, unapaswa kujiwasha kiotomatiki kwenye usakinishaji wa OpnSense (hakikisha kuwa umeondoa njia ya usakinishaji mashine inapowashwa upya).

Mfumo ukiwashwa tena, utasimama kwa kidokezo cha kuingia kwenye kiweko na kungoja mtumiaji aingie.

Sasa ikiwa mtumiaji alikuwa makini wakati wa usakinishaji huenda wangegundua kuwa wangeweza kusanidi mapema miingiliano wakati wa kusakinisha. Hata hivyo, hebu tuchukulie kwa makala hii kuwa violesura havikuwekwa wakati wa kusakinisha.

Baada ya kuingia na mtumiaji wa mizizi na nenosiri lililowekwa wakati wa usakinishaji, inaweza kuzingatiwa kuwa OpnSense ilitumia kadi moja tu ya kiolesura cha mtandao (NIC) kwenye mashine hii. Katika picha hapa chini inaitwa \LAN (em0).

OpnSense itakuwa chaguomsingi kwa mtandao wa kawaida wa \192.168.1.1/24 wa LAN. Hata hivyo katika picha iliyo hapo juu, kiolesura cha WAN hakipo! Hili linasahihishwa kwa urahisi kwa kuandika '1' kwa dodoso. na kupiga kuingia.

Hii itaruhusu kukabidhiwa upya kwa NICs kwenye mfumo. Angalia katika picha inayofuata kwamba kuna violesura viwili vinavyopatikana: 'em0' na 'em1'.

Mchawi wa usanidi utaruhusu usanidi ngumu sana na VLAN pia lakini kwa sasa, mwongozo huu unachukua usanidi wa msingi wa mtandao mbili; (yaani upande wa WAN/ISP na upande wa LAN).

Weka ‘N’ ili usisanidi VLAN zozote kwa wakati huu. Kwa usanidi huu mahususi, kiolesura cha WAN ni 'em0' na kiolesura cha LAN ni 'em1' kama inavyoonekana hapa chini.

Thibitisha mabadiliko kwenye violesura kwa kuandika ‘Y’ katika kidokezo. Hii itasababisha OpnSense kupakia upya huduma zake nyingi ili kuonyesha mabadiliko kwenye ukabidhi wa kiolesura.

Baada ya kumaliza, unganisha kompyuta na kivinjari kwenye kiolesura cha upande wa LAN. Kiolesura cha LAN kina seva ya DHCP inayosikiliza kwenye kiolesura cha wateja ili kompyuta iweze kupata taarifa muhimu ya kushughulikia ili kuunganisha kwenye ukurasa wa usanidi wa wavuti wa OpnSense.

Mara tu kompyuta imeunganishwa kwenye kiolesura cha LAN, fungua kivinjari cha wavuti na uende kwenye url ifuatayo: http://192.168.1.1.

Kuingia kwenye koni ya wavuti; tumia jina la mtumiaji 'mzizi' na nenosiri ambalo lilisanidiwa wakati wa mchakato wa usakinishaji. Mara baada ya kuingia, sehemu ya mwisho ya ufungaji itakamilika.

Hatua ya kwanza ya kisakinishi hutumika kukusanya taarifa zaidi kama vile jina la mwenyeji, jina la kikoa na seva za DNS. Watumiaji wengi wanaweza kuacha chaguo la 'Batilisha DNS' lililochaguliwa.

Hii itawezesha ngome ya OpnSense kupata maelezo ya DNS kutoka kwa ISP kupitia kiolesura cha WAN.

Skrini inayofuata itauliza seva za NTP. Ikiwa mtumiaji hana mifumo yake ya NTP, OpnSense itatoa seti chaguo-msingi ya seva za NTP.

Skrini inayofuata ni usanidi wa kiolesura cha WAN. ISP wengi wa watumiaji wa nyumbani watatumia DHCP kuwapa wateja wao taarifa muhimu za usanidi wa mtandao. Kuacha tu Aina Iliyochaguliwa kama 'DHCP' itaelekeza OpnSense kujaribu kukusanya usanidi wake wa upande wa WAN kutoka kwa ISP.

Sogeza chini hadi chini ya skrini ya usanidi wa WAN ili kuendelea. ***Kumbuka*** chini ya skrini hii kuna sheria mbili chaguomsingi za kuzuia masafa ya mtandao ambayo kwa ujumla hayafai kuonekana yakiingia kwenye kiolesura cha WAN. Inapendekezwa kuacha hizi zikikaguliwa isipokuwa kuna sababu inayojulikana ya kuruhusu mitandao hii kupitia kiolesura cha WAN!

Skrini inayofuata ni skrini ya usanidi wa LAN. Watumiaji wengi wanaweza tu kuacha chaguo-msingi. Tambua kuwa kuna safu maalum za mtandao zinazofaa kutumika hapa, zinazojulikana kama RFC 1918. Hakikisha kuwa umeacha chaguomsingi au uchague masafa ya mtandao kutoka ndani ya safu ya RFC1918 ili kuepusha migongano/matatizo!

Skrini ya mwisho katika usakinishaji itauliza ikiwa mtumiaji angependa kusasisha nenosiri la msingi. Huu ni chaguo lakini ikiwa nenosiri dhabiti halikuundwa wakati wa usakinishaji, sasa ungekuwa wakati mzuri wa kurekebisha suala hilo!

Mara baada ya kupita chaguo la kubadilisha nenosiri, OpnSense itaomba mtumiaji kupakia upya mipangilio ya usanidi. Bofya tu kitufe cha 'Pakia upya' na upe OpnSense sekunde ili kuonyesha upya usanidi na ukurasa wa sasa.

Kila kitu kitakapokamilika, OpnSense itamkaribisha mtumiaji. Ili kurudi kwenye dashibodi kuu, bofya tu ‘Dashibodi’ kwenye kona ya juu kushoto ya dirisha la kivinjari.

Katika hatua hii mtumiaji atapelekwa kwenye dashibodi kuu na anaweza kuendelea kusakinisha/kusanidi programu-jalizi au utendaji wowote muhimu wa OpnSense! Mwandishi anapendekeza kuangalia na kusasisha mfumo ikiwa visasisho vinapatikana. Bofya tu kwenye kitufe cha 'Bofya ili Kuangalia Usasisho' kwenye dashibodi kuu.

Kisha kwenye skrini inayofuata, 'Angalia Usasisho' inaweza kutumika kuona orodha ya masasisho au 'Sasisha Sasa' inaweza kutumika kutekeleza masasisho yoyote yanayopatikana.

Kwa wakati huu usakinishaji wa msingi wa OpnSense unapaswa kuwashwa na kufanya kazi na pia kusasishwa kikamilifu! Katika makala zijazo, ujumlishaji wa Viungo na uelekezaji baina ya VLAN utashughulikiwa ili kuonyesha uwezo zaidi wa OpnSense!