2017年5月20日 星期六

pfSense (1) - 建立區域防火牆管理

至今 RouterOS, Fortnet ..etc 等系統都已經建立各自的防火牆,pfSense 可以利用不要的電腦,安裝 pfSense 建立軟路由。  由於安裝至穩定上線會有很複雜的設定流程,用此筆記紀錄。

設備/硬體

pfSense 介面是新版的以外,系統規格:
  • pfSense-CE-2.3.4-RELEASE-i386.iso
  • i3-530
  • 4G-DDR3
  • 網路卡(螃蟹卡) 兩張 - 支持 10/100/1000
如果說流量超過 100Mbps 或走光纖之類的,建議還是考慮 Cisco 產品。

其他設備參考:

Xeon E3 3.5 GHz, Ethernet 10Gbps SSD, Quad Core with pfSense software preinstalled


系統設定

透過任何方法安裝 pfSense 後,以下設定走學校的 TA NET ,所以設定以 Static IP 為主。
  1. 沒有特別想設定什麼的話,可以先走 System -> Setup Wizard ,設定精靈。
  2. 接著到 Interfaces 設定區,把每個設定確認:
請記得對照好網路卡的 MAC Address 以及網路線接的方向,這邊印象中會要你建立 VLAN 之類的,如果不需要就不要建立 (可以跳過)。  這個網路介面我是用 VGA Console 設置的,詳情我不太清楚。


使 LAN 連上 WAN 網路

承上看見的 Interfaces 圖片,上面的 Interface 只是個名稱實際上只是命名連接埠,不代表命名 WAN 系統就會自動判別這個是 WAN 連入的網路,你必須自行設定哪個 Gateway 要連入哪個 Gateway,所以 WAN / LAN 建立兩個網路或以上是可能的。

首先,要先到 System-> Advanced -> Firewall & NAT 這個地方,找到下面有個控制項:


這裡我設定為 Pure NAT 為 NET 轉發模式,然後選擇 TFTP Proxy 為剛剛設定的網路介面名稱 : WAN ,然後拉到下面儲存。

接著,還需要設定 Firewall 設定,來做 Floating (通用), WAN, LAN 設置:
先到 Firewall -> Rules -> Floating:


然後按下 Add 按鈕,依照下列設定:


  • Action: Pass
  • Disabled: False
  • Quick: False
  • Interface: 按著 Ctrl,連續選擇 WAN 和 LAN 的命名 
  • Direction: any
  • Address Family: IPv4
  • Protocol: any
  • Source: any
  • Destination: any
  • Description: 自訂名稱

接著,到 Rules -> WAN 選擇 Add 按鈕,新增一次設定:

  • Action: Pass
  • Disabled: False
  • Interface: WAN
  • Address Family: IPv4
  • Protocol : TCP
  • Source: any
  • Destination: any
  • Description: 自訂名稱
最後一次,再到 Rules -> LAN 選擇 Add 按鈕,新增最後一次設定 (出口網路):


  • Action: Pass
  • Disabled: False
  • Interface: LAN
  • Address Family: IPv4+IPv6
  • Protocol : any
  • Source: any
  • Destination: any
  • Description: 自訂名稱
接著,我們還要設定 DHCP Server ,配發連線路由、電腦、Router 轉進來的電腦一個 DHCP 位置。

先到 Services -> DHCP Server -> LAN 。

  • Enable: True
  • Deny unknown clients: False
  • Ignore denied clients: False
  • Range: 192.168.1.10 -> 192.168.1.245
設定後,電腦應該可以正常連線了。

這裡註記一下 Subnet mask,計算那些 192.168.x.x/24 的意思和子網路遮罩算法:

/倒斜線後面是 ip 數量,數字代表從尾巴數來,十進位轉二進位的樣子,如:

11111111 11111111 11111111 11000000,子網路遮罩是: 255.255.255.192 ,也就是 /64 , 64 換二進位就是 11000000 ,也代表這個網段可以有 64 個 ip 可以分發。

11111111 11111111 11111111 11100000 - 255.255.255.224 (32個)

11111111 11111111 11111111 11110000 - 255.255.255.240 (16個)

11111111 11111111 11111111 11111000 - 255.255.255.248 (8個)

11111111 11111111 11111111 11111100 - 255.255.255.252 (4個)

1. 先將 / 倒斜線數量轉成 2 進制: 11000000
2. 將 ip 的二進制寫出來: 11111111 11111111 11111111 11000000
3. 轉為 10 進制: 255.255.255.198

往上推,倒斜線數字越大,就往前面的 Class B, Class A 推導!


常見對照表請參考:

已知問題

如果電腦常常斷線,在學校測試網路時發現電腦常會向 DCHP 請求 IPv6 的 DHCP,而網路卻沒有 IPv6 ,所以如果只有用 IPv4 ,建議不要使用 IPv6 設定,也關掉 DHCP IPv6 避免電腦發出 IPv6 請求。

沒有留言:

張貼留言

© Mac Taylor, 歡迎自由轉貼。
Background Email Pattern by Toby Elliott
Since 2014