Руководство по pfsense - RukovodstvoRus.ru - инструкции пользования и руководства

Как установить и настроить программный маршрутизатор pfSense, ограничить скорость и добавить новые функции.

Введение

Что такое pfSense

Многофункциональный программный маршрутизатор-брандмауэр pfSense разработан компанией Netgate на базе ОС FreeBSD.

pfSense распространяется в нескольких редакциях: программный Community Edition (CE), в виде аппаратного appliance NetGate. Для Community Edition доступна коммерческая поддержка по цене от $400 до $800 в год. В 2021 году запущен pfSense Plus Software, в пользу которого предполагается сфокусировать основные усилия по разработке новых функций.

pfSense имеет модульную архитектуру и свой пакетный менеджер. Основные функции: маршрутизация, в т.ч. динамическая, межсетевое экранирование, NAT, DHCP-сервер, балансировка нагрузки, VPN (включая OpenVPN и L2TP), dDNS, PPPoE, IDS, проксирование и другое. Поддерживается построение отказоустойчивого кластера. Есть встроенный мониторинг, журналирование и построение отчетов.

Многие организации и домашние офисы используют pfSense для подключения к интернет-ресурсам. При этом часто используется бесплатная редакция Community Edition без техподдержки.

Продукт развивается с 2004 года, на текущий момент достиг высокой зрелости и стабильности. Во многих случаях это позволяет использовать его бесплатную редакцию Community Edition без техподдержки.

Аппаратные требования

CE можно установить как на bare metal, так и в виртуальной машине. Аппаратные требования диктуются необходимыми скоростями сетевых интерфейсов — от минимальных 500 МГц/512 МиБ для 10 Мб/с. до многоядерного 2+ ГГц/2 ГиБ для 1 Гб/с.

Использование дополнительных функций и модулей требует увеличения количества ядер ЦПУ и объема ОЗУ. Для часто используемого подключения со скоростью 100 Мб/с. рекомендуется 1 ГГц/1 ГБ. Для более высоких скоростей также необходима шина PCIe, т.к. в противном случае ее предшественница будет узким местом.

К размеру диска требования невысокие, но также зависят от используемых функций, минимальный размер — 8 ГБ. В остальном, pfSense построен на базе FreeBSD, поэтому список совместимого аппаратного обеспечения диктуется поддерживаемым во FreeBSD.

Установка pfSense CE

Продемонстрируем установку, настройку и работу pfSense на примере виртуальной машины в облаке Selectel. В качестве стенда создадим лабораторию из двух машин: на одной (с двумя интерфейсами — внешним и внутренним) будет работать pfSense, на другой (с одним внутренним) — десктопный клиент.

pfSense является кастомным решением для облачной платформы Selectel, поэтому есть ряд неочевидных нюансов.

По состоянию на август 2021 года:

В настройках установочного образа необходимо указывать Linux вместо «Другая» (в противном случае получим ошибку Internal error Invalid image metadata. Error: Field value other is invalid).
Дистрибутив работает только с сетевыми дисками и не может установиться на сервер с локальным диском.
Другой нюанс заключается в том, что невозможно совместить установку через образ в панели управления и выбор сразу двух сетевых интерфейсов.

Обходные пути — создание машины с двумя интерфейсами и подключение установочного ISO-образа через OpenStack CLI, либо установка с одним сетевым интерфейсом с последующим добавлением 2-го. Последний путь проще, им и пойдем.

Загрузка образа

На странице загрузки pfSense CE выбираем архитектуру AMD64 (64-bit) и тип образа DVD Image (ISO).

Выполняем проверку целостности загруженного архива и распаковываем его:

    $ sha256sum=($(sha256sum Download/pfSense-CE-2.5.2-RELEASE-amd64.iso.gz)) && [ "$sha256sum" == "0266a16aa070cbea073fd4189a5a376d89c2d3e1dacc172c31f7e4e75b1db6bd" ] && echo "Ok" || echo "Something wrong"
$ gunzip Download/pfSense-CE-2.5.2-RELEASE-amd64.iso.gz

Значение контрольной суммы sha256 0266a16aa070cbea073fd4189a5a376d89c2d3e1dacc172c31f7e4e75b1db6bd смотрим на странице загрузки. В примере указана для актуальной на момент написания версии 2.5.2.

После этого создаем и загружаем образ в хранилище в панели управления, указав ОС Linux:

Установка и первоначальная настройка pfSense

В разделе серверы «Облачной платформы» нажимаем кнопку «Создать сервер» вверху справа (или в центре, если это 1-й). Выбираем минимальную произвольную конфигурацию (1 vCPU/512 МиБ RAM/5 ГиБ Storage, 17,82 ₽/день по состоянию на август 2021) — в тестовых целях этого достаточно, для остальных случаев системные требования указаны выше.

Сеть на данном этапе оставляем как «Новая приватная сеть» — она будет у нас внутренней, адрес 192.168.1.0/24. Присвоим имя int_net, DHCP — выключим. Настройка шлюза в данном случае ни на что не влияет, но убрать его невозможно.

После указания необходимых параметров нажимаем кнопку «Создать». Сервер конфигурируется и будет доступен через 30 секунд. Если вы случайно закрыли вкладку, где создавалась машина — не проблема, теперь сервер доступен в глобальном разделе «Серверы». Для взаимодействия с консолью сервера мы переходим в его карточку на вкладке «Серверы», далее открываем пункт «Консоль».

Читаем и соглашаемся с авторскими правами.

Выбор режима установки. На этом же этапе работы установщика можно задействовать и встроенный режим восстановления.

Консоль системы не будет видна рядовым пользователям, нет смысла менять локализацию — оставляем по умолчанию.

В зависимости от аппаратной архитектуры выбираем метод загрузки и разметки накопителя, для ВМ — BIOS.

Наблюдаем за процессом установки.

По окончании установки появится следующее окно.

Нажав кнопку Yes, мы попадем в оболочку (Shell). Здесь можно выполнить любые настройки системы вручную. После окончания настроек вернуться в программу установку можно, выполнив команду exit. Обычно на этом этапе ничего менять не требуется, нажимаем No.

Настройка сетей

Для нашей лаборатории понадобится одна внешняя и одна внутренняя сети — для этого нужно добавить второй интерфейс. Запускаем оболочку, нажав Shell.

И даем команду на выключение:

    # poweroff

В реальной жизни при установке на своем сервере этот этап не потребуется.

На глобальной вкладке «Серверы» у виртуальной машины будет статус SHUTOFF.

Далее рассмотрим сценарий подключения к провайдеру по IP, где нам выдана сеть по маске /29 (минимально возможная на облачной платформе Selectel).

Переходим в глобальную панель «Сеть»->«Публичные подсети» и нажимаем «Создать подсеть».

В панели управления можно выбрать маски от /29 до /27. Если ваш провайдер предоставил сеть с маской /30, сценарий подключения и настройки будет аналогичным.

На этом этапе система выделит сеть (в примере — 94.26.250.176/29) и назначит шлюз по умолчанию (94.26.250.177). Он понадобится дальше при настройке WAN-интерфейса. В реальной жизни это будет адрес шлюза провайдера.

Добавим новую сеть к нашему серверу, «Серверы» -> «Порты» -> «Добавить порт» -> «Выберите сеть» -> «Добавить порт».

Система выделила адрес нашему серверу (94.26.250.178) — теперь у него, как и полагается настоящему интернет-шлюзу, два интерфейса — внешний, включенный в глобальную, и внутренний, включенный в нашу локальную сеть.

Поддержки VLAN в «Облачной платформе» Selectel нет, отказываемся и переходим к настройке интерфейсов.
Интерфейсом vtnet0 наш сервер смотрит внутрь сети, vtnet1 — наружу.

Для применения настроек и продолжения установки нажимаем клавишу y.

В консоли pfSense присвоим выданный ранее внешний адрес (WAN-интерфейс).

Пункт 2-Set Iface IP -> 1-WAN -> DHCP -> N -> Enter IP-Address -> Enter mask -> Enter gateway.

Следом система предложит изменить настройки IPv6. В нашем сценарии это не требуется, настройки не меняем.

Утвердительно отвечаем на вопрос «Do you want to revert to HTTP as the webConfigurator protocol?» и 3-4 секунды ожидаем применения конфигурации.

Проверяем доступность шлюза провайдера (эта возможность доступна в пункте 7).

После выбора пункта Ping host указываем адрес шлюза провайдера или, в нашей лаборатории, платформы.

Тестовый клиент

Следующим этапом добавим в нашу лабораторию тестовую машину (Ubuntu 18/1 vCPU/2 ГиБ RAM/8 ГиБ Storage). Она будет имитировать нашего пользователя и подключаться к интернет-ресурсам через pfSense. С нее же будем продолжать настройку pfSense.

От этой машины нам нужен только браузер. Возьмем готовый образ Ubuntu 18 и добавим туда графическую оболочку. Для доступа к репозиториям потребуется временно подключить машину ко внешней сети напрямую.

Нажимаем кнопку «Создать», секунд 15-20 ожидаем рождения сервера и подключаемся к его консоли.

Если при создании машины была использована внутренняя сеть (int_net), можно либо пересоздать машину полностью, либо удалить этот сетевой интерфейс и добавить внешний, после чего выполнить на машине.

    # ip link set eth0 down
# ip addr add 94.26.250.179/29 dev eth0
# ip link set eth0 up
# ip route add default via 94.26.250.177 dev eth0
# ping 94.26.250.177
# ping ya.ru

Обновление ОС

Хоть это и тестовая машина, первым делом обновляем ее:

    # apt-get update -y && apt-get upgrade -y

Если обновилось ядро, машину следует перезагрузить.

Установка GUI

Настройка графики выходит за рамки статьи, подробнее о ней можно найти на тематических сайтах, перечень команд может быть таким.

    # apt install tasksel slim -y
# tasksel install ubuntu-desktop
# adduser myuser
# systemctl start slim

По графической части: на платформе Selectel для переключения между консолями ВМ можно использовать сочетание Alt+left/right arrow или F1, привычное Ctrl+Alt+Fn может не сработать.

Здесь же создается рядовой пользователь, дабы исключить дальнейшую работу под root’ом.

Переключение сетевого интерфейса

После запуска графического интерфейса переносим наш десктоп во внутреннюю сеть, для чего на вкладке «Порты» сервера удаляем внешний интерфейс и подключаем внутреннюю сеть — int_net (это лучше делать на выключенной машине — systemctl poweroff).

Поскольку образ взят из репозитория Selectel, он заточен под взаимодействие с этой платформой и получает от нее сетевую конфигурацию.

В нашей лаборатории это не нужно, наш DHCP работает на pfSense и именно он должен задавать сетевые параметры клиента. Поведение гостевой машины меняется командой.

    $ sudo touch /etc/cloud/cloud-init.disabled

Netplan в облачной платформе использоваться не должен, поэтому для включения DHCP на интерфейсе машины редактируем файл.

    /etc/network/interfaces.d/50-cloud-init.cfg

Приводим к виду:

Проверка:
Посмотреть текущий ip-адрес можно командой ip a[ddress], а проверить настройки, полученные от DHCP-сервера командой.

    less /var/lib/dhcp/dhclient.<iface>.leases

Адрес DHCP-сервера можно узнать так:

Если по какой-то причине при создании машины в сети int_net был включен DHCP, на этапе перед выключением или перезагрузкой машины DHCP в этой сети необходимо выключить, в противном случае адреса будет раздавать хост 192.168.1.2 или .3. После этого приводим настройки cloud-init и сетевого интерфейса как указано выше.

9 шагов мастера настройки pfSense

Запускаем браузер, переходим по адресу 192.168.1.1 — мы оказываемся в веб-интерфейсе pfSense. Вводим имя/пароль по умолчанию (admin/pfsense), запускается мастер настройки, состоящий из 9 шагов. При базовой настройке необходимо поменять только небольшое количество настроек.

Баннер вверху напоминает о необходимости изменить пароль по умолчанию на свой. На 6-м шаге мастер настройки предложит поменять пароль, поэтому сейчас можно баннер проигнорировать.

Видим приветствие мастера настройки.

Шаг 1. Начало настройки

Шаг 2. Указание имени и домена шлюза

В мастере указываем имя и домен нашего шлюза (шаг 2, например, mygw02 & myorg.ru), DNS-серверы (напр., dns.google — 8.8.4.4 & 8.8.8.8).

Предостережение! В РФ планируют заблокировать DNS от Google, Cloudflare и DoH — учитывайте при настройке DNS.

Шаг 3. Настройка синхронизации времени

Настраиваем синхронизацию времени по NTP и часовой пояс: сервер можно оставить предложенный по умолчанию, либо выбрать по своим предпочтениям с подходящим stratum (достаточно и уровня 3).

Шаг 4. Настройка PPPoE

На этом шаге, как правило, ничего менять не приходится. В дополнение к внешнему адресу указываем upstream gateway — вышестоящий (провайдерский) шлюз, если он не был задан ранее. Здесь же указываются настройки PPPoE, если их требует провайдер. Некоторые операторы требуют подключение только с конкретного MAC-адреса, его также можно указать на этом шаге.

Шаг 5. Настройка внутреннего интерфейса

Относится к настройке внутреннего интерфейса. У нас он уже настроен, переходим к следующему шагу.

Шаг 6. Пароль администратора

На этом шаге система потребует изменить пароль администратора:

Проверка соответствия предыдущему (в том числе установленному по умолчанию) паролю не производится. Технически можно повторить, но из соображений безопасности следует установить стойкий пароль.

Шаг 7. Применение настроек

И затем предложит применить настройки.

Шаг 8. Продолжение применения настроек

Шаг 9. Настройка завершена

Нажимаем кнопку Finish — мастер настройки успешно завершил работу. На этом этапе наш pfSense уже готов выполнять базовые функции интернет-шлюза — можем в браузере зайти в поисковик и запустить сетевой спидометр.

В дальнейшем (например, после сброса к заводским настройкам: Diagnostics -> Factory Defaults), мастер можно запустить из меню System -> Setup Wizard.

Интерфейс pfSense

При подключении к маршрутизатору первым делом отображается дашборд, который может выглядеть следующим образом:

Его отрисовка занимает некоторое время, экран открывается не мгновенно.

Дашборд гибко настраивается — можно добавлять новые элементы, удалять неиспользуемые, настраивать имеющиеся.

Структура меню

Функций pfSense выполняет множество, настройки сгруппированы:

Кнопка с логотипом pfSense — переход на дашборд.
System — общие системные настройки; управление маршрутизацией, сертификатами, обновлением; пакетный менеджер.
Interfaces — маппинг и настройка интерфейсов.
Firewall — файерволлинг — настройка NAT и правил брандмауэра; здесь же настраивается шейпинг.
Services — дополнительные функции, запущенные отдельными демонами (DHCP Server/Relay, DNS; NTP, SNMP, etc), в т.ч. установленными из менеджера пакетов (Squid, Snort, Nagios (NRPE) и Zabbix агенты).
VPN — настройки служб удаленного доступа (IPsec, L2TP, OpenVPN) вынесены сюда.
Status — текущее состояние компонентов — счетчики, значения и состояние реального времени, а также графики мониторинга и системные журналы.
Diagnostics — различные диагностические инструменты (архивация/восстановление, выключение/перезапуск, ping/traceroute/DNS lookup и много чего еще).
Mygw02.myorg.ru — что-то вроде кнопки help/about.

Изменение темы

Многим нравятся «темные» темы, они есть в pfSense, меню System -> General Setup, раздел webConfigurator:

В статье будет чередоваться темная и светлая тема, используемая по умолчанию.

Локализация

Раздел System -> General Setup, секция Localization, параметр Language, позволяют переключать язык веб-интерфейса.

Пример интерфейса на русском языке:

Диагностика

Первичная диагностика обычно начинается с анализа журналов работы системы и компонентов, после чего полезно проанализировать историческую загрузку системы на определенном интервале, например, в течение последних суток или часа.

Системные журналы

Доступны на вкладке Status -> System Logs. Журналов много, но они разделены по категориям. В первую очередь будут интересны журналы Status/System Logs/System/General и Status/System Logs/Firewall.

Графики нагрузки

Оценить нагрузку на систему удобно в графическом виде в разделе Status/Monitoring.

Последующая диагностика заключается во внимательном анализе значений в счетчиках на вкладке «Статусы» и использовании диагностических инструментов на вкладке «Диагностика».

Сброс пароля

Если пароль от pfSense потерялся, в консоли его можно сбросить до значения по умолчанию в пункте 3 (Reset webConfigurator password):

Расширенные настройки

Правила брандмауэра

Настройки по умолчанию запрещают подключение к pfSense из глобальной сети и разрешают доступ клиентов наружу с использованием трансляции адресов NAT (точнее, наиболее частый вариант динамической NAT — NAPT по RFC 2663, она же NAT overload, маскарадинг или PAT — здесь и далее будем говорить только об этом типе).

Для примера создадим разрешающее правило для подключения к pfSense из дома (правило задается на интерфейсе WAN), затем ограничим подключения пользователей только серфингом (правило задается на интерфейсе LAN).

В pfSense есть удобный механизм описания переменных через псевдонимы, создадим такой для нашего домашнего офиса и портов tcp:80/443, включим регистрацию пакетов. В пункте Aliases меню Firewall на вкладке IP, открывающейся по умолчанию, нажмем кнопку +Add:

Откроется редактор псевдонимов для IP-адресов:

В редакторе присвоим имя псевдониму, укажем тип (Host(s)) и добавим IP-адреса.

На вкладке Ports аналогичным образом создаем правило для служб:

Указываем понятное имя, даем описание, добавляем один или несколько портов:

В подсказке указан удобный способ создания псевдонима для диапазона портов.

Для настройки того-то, переходим Firewall/Rules/.

Теперь при создании или редактировании существующих правил мы можем использовать псевдонимы. Это особенно удобно, когда какая-то настройка повторяется в нескольких правилах и иногда меняется.

В этом случае достаточно скорректировать только один псевдоним.

На примере выше для адреса источника и портов назначения мы выбрали заданные ранее псевдонимы.

После настройки не забываем нажимать Apply Changes. Теперь можно проверять подключение.

Аналогично на интерфейсе LAN создаем правило для серфинга:

Далее на этом же интерфейсе создаем правила для DNS (udp:53) и (необязательно, облегчает диагностику) ICMP (достаточно echo request, echo reply).

Теперь отключаем правила по умолчанию, нажав на зеленую галочку(1), Save (2, если менялся порядок правил) и Apply Changes (3):

Проверяем доступ к web-сайтам, затем к нестандартным портам, используя ресурс portquiz.net:

Пинг работает, имена сайтов разрешаются, http по tcp/80 открыт, а на нестандартный порт tcp/8080 соединение не проходит:

О чем также видим записи в журнале:

Таким образом мы решили поставленную задачу по организации доступа к веб-ресурсам и ограничению нежелательных ресурсов, работающих на других портах.

Трансляция портов

Частая задача — публикация какого-либо сервиса, размещенного в локальной сети — например, почтового или веб-сервера.

Тестовый веб-сервер

Тема не относится к pfSense, но в нашей лаборатории пока нет никакого ресурса для публикации, создадим его.

    apt install apache2 php libapache2-mod-php

В каталоге /var/www/html создадим файл demo.php следующего содержания:

<?php

phpinfo();

На этом создание тестового сервера завершено, осталось убедиться, что веб-сервер запущен:

    systemctl status apache2

Настройка NAT на pfSense

Производится в меню в Firewall. Ранее мы использовали стандартный http-порт для удаленного подключения к pfSense, поэтому настройку трансляции продемонстрируем для другого порта (tcp:8080) и с заменой его номера.

Как видим, все настраивается очень просто. pfSense слушает TCP порт 8080 и транслирует его в tcp:80 тестового хоста 192.168.1.3, на котором мы в предыдущем шаге настроили веб-сервер.

Настоятельно рекомендуется составлять описание всех правил, так как со временем их может стать много и разобраться в них будет сложно.

Проверка

Проверяем наши настройки, зайдя на WAN-адрес pfSense с указанием порта 8080.

Внутренний веб-сервер ответил на публичном адресе. Добавляем название демо-странички и видим, что она также успешно опубликована.

Обновление

pfSense разработан не только как многофункциональный комбайн, разработчики уделили большое внимание простоте работы с ним. Обновление выполняется легко — в разделе System Information на дашборде либо в меню System -> Update.

Наша система установлена из свежего дистрибутива, а значит уже актуальна, обновление не требуется. Обновления выходят примерно раз в полгода.

Если готовы к экспериментам, можно обновиться до экспериментальной ветки.

Так выглядит процедура обновления с предыдущей версии (2.4.5):

По окончании процесса система автоматически перезагрузится:

После перезагрузки в консоли наблюдаем распаковку и установку обновленных пакетов:

Виртуализация

pfSense отлично работает в виртуальной среде. Надо понимать, что возможно несущественное снижение производительности, но заметным оно будет только на маломощной физической машине, к которой предъявляются требования не столько по ЦПУ/ОЗУ, сколько по шине и сетевым интерфейсам.

При запуске в среде ESXi/vSphere от VMware полезно установить гостевого агента. Предоставляется эта возможность пакетом Open-VM-Tools, устанавливаемым через пакетный менеджер в штатном репозитории.

В виртуальной среде может возникнуть проблема с низкой производительностью и/или искажением пакетов. Это происходит из-за того, pfSense пытается использовать аппаратное ускорение сетевого адаптера.

В Xen и KVM делать это не имеет смысла, поэтому функцию hardware checksum offload, настройка которой доступна в меню System, пункт Advanced, вкладка Networking, следует отключить и затем перезагрузить pfSense.

Hardware Checksum Offloading также рекомендовано отключать для адаптеров Realtek.

Внутренняя маршрутизация

Если внутренняя сеть сегментирована, нужно научить pfSense маршрутам в нее. «Из коробки» доступна статическая маршрутизация, конфигурируемая в меню System -> Routing.

Сперва на вкладке System -> Routing -> Gateways создается внутренний шлюз(ы), например, myIntGW, затем маршрут добавляется на вкладке System -> Routing -> Static Routes:

После внесения настроек не забываем нажимать кнопку Apply changes.

Для сценария динамической маршрутизации потребуется установка дополнительного пакета, например, frr (Free Range Routing aka FRRouting aka FRR), в котором реализована поддержка многих протоколов: GP, OSPF, RIP, IS-IS, PIM, LDP, BFD, Babel, PBR, OpenFabric и VRRP.

После установки пакета в меню Services добавляются разделы для настройки протоколов, например, FRR-OSPF:

Перед настройкой динамической маршрутизации в Global Settings нужно включить FRR и задать обязательный мастер-пароль:

SSL

В пункте Advanced меню System производится переключение интерфейса управления между HTTP и HTTPS.

При установке генерируется самоподписанный сертификат на 13 месяцев.

В этом же меню кнопка Add/Sign позволяет сформировать запрос к корпоративному центру сертификации и затем установить полученный сертификат, либо перевыпустить самоподписанный сертификат на другой срок.

Обычно интерфейс pfSense оставляют доступным только из внутренней сети, не разрешая прямой доступ извне. Если по какой-то причине потребуется сделать наоборот, для LAN-интерфейса нужно будет отключить правило антиблокировки — Anti-lockout rule, расположенное в System/Advanced/Admin Access/webConfigurator.

Для подключения из глобальной сети потребуется ранее созданное правило на WAN-интерфейсе. Также удобно использовать сертификат, выпущенный публично доверенным центром сертификации, например, Let’s encrypt. Так как срок действия такого сертификата только 90 дней, его нужно будет часто обновлять.

Для автоматизации перевыпуска в репозитории есть пакет acme:

Ограничение полосы

Часто в организации бывают пользователи, которым приходится разрешать неограниченные подключения к интернет-ресурсам. Это чревато забиванием всего канала и затруднением в работе остальных пользователей и сервисов. На помощь придет ограничение ширины канала. Шейпер имеет множество настроек, рассмотрим один из частых сценариев его использования.

Управляется в разделе Firewall > Traffic Shaper на вкладке Limiters.

Измерим текущую скорость.

Как указано выше, заходим в пункт Traffic Shapers меню Firewall, переходим на вкладку Limiters и создаем 2 ограничителя.

Включаем правило (1), присваиваем понятное имя (2), указываем ширину полосы (3). Для входящего и исходящего ограничения создаются отдельные правила (4).

Непосредственное включение шейпера выполняется в правилах брандмауэра (Firewall →Rules). Так как нас интересует ограничение со стороны наших внутренних клиентов, правила необходимо модифицировать/добавлять для интерфейса LAN. При этом лимиты рассматриваются со стороны интерфейса: In — входящий, Out — исходящий из интерфейса трафик. Таким образом, для ограничения трафика от клиента наружу используется правило In.

Таким образом, открываем пункт Rules меню Firewall, переходим на вкладку LAN и в секции Extra Options нужного (вновь созданного или существующего) правила включаем отображение расширенных настроек (кнопка Display Advanced):

Примечание: в примере на картинке выше использовано существующее правило, разрешающее внутренним клиентам использовать подключение по https.

В предпоследней секции расширенных настроек (1, In/Out pipe) указываем правило для входящего в интерфейс (2) и исходящего из него трафика (3).

После сохранения и применения настроек pfSense сообщает о фоновой перезагрузке правил фильтрации и предлагает проверить статус на странице Status/Filter Reload.

После обновления правил выполним повторную проверку скорости.

Дополнительные функции

Функциональность pfSense расширяется большим количеством пакетов, доступных через пакетный менеджер, их несколько десятков, вот лишь некоторые:

apcupsd — демон для связи с ИБП APC (ныне Schneider);
arpwatch — мониторинг активности MAC/IP-адресов;
cron — планировщик;
filer — файловый менеджер;
squid/lightsquid/squidGuard — прокси, генератор отчетов и фильтр;
lldpd — предоставляет поддержку обнаружения по Link Layer Discovery Protocol, кроме того поддерживает проприетарные CDP, EDP, FDP, NDP;
mailreport — рассылка отчета по почте;
net-snmp — GUI для SNMP;
nmap — nmap, классика сканирования сетей;
snort/suricata/zeek — решения класса IDS/IPS.

Необходимо понимать, что за использование этих функций нужно заплатить повышением производительности оборудования. Интенсивное использование VPN может потребовать дополнительно одно или более ядер ЦПУ, а IDS/IPS также потребует дополнительно 1-2 ГиБ ОЗУ.

Проведем демонстрацию расширения функциональности на популярном сканере nmap. В меню System заходим в пункт Package Manager, вкладка Available Packages, рядом с пакетом NMap нажимаем на кнопку Install, ждем и получаем встроенный сканер:

В меню Diagnostics добавился пункт NMap, запускаем:

Во внутреннем сегменте нашей лаборатории только один хост, он был успешно обнаружен и просканирован:

Заключение

В статье мы познакомились с решением для реализации производительного, надежного и функционального программного маршрутизатора — pfSense. Научились его устанавливать, настраивать, ограничивать скорости, добавлять новые функции, устанавливая пакеты расширения.

И уже через пару минут сможете арендовать сервер, развернуть базы данных или обеспечить быструю доставку контента.

Источник

Опубликовано: 04.03.2021

Используемые термины: FreeBSD, Маршрутизатор, Firewall.

pfSense является программным маршрутизатором/фаерволом на основе операционной системы FreeBSD. Рассмотрим его установку и начальную настройку на виртуальную машину.

Загрузка и установка pfSense
Подготовка к работе — настройка веб-интерфейса для управления
Начальная настройка и настройка доступа к Интернет
Добавление статических маршрутов
Возможные ошибки
Читайте также

Установка

Система распространяется как образ операционной системы, готовой к работе в качестве фаервола/маршрутизатора. Переходим на страницу загрузки pfSense и заполняем форму для получения установщика и нажимаем на DOWNLOAD:

* в данном примере мы выбрали архитектуру AMD64 (для всех современных компьютеров архитектуры x86), образ ISO и Нью-Йорк в качестве зеркала загрузки.

Дожидаемся загрузки файла. Если мы выполняем установку на виртуальную машину, то просто монтируем образ ISO. Если же мы будем устанавливать с помощью сменного носителя, то готовим его с помощью специализированных программ, например, WinSetupFromUsb или Rufus для флешки или InfraRecorder для DVD. Монтируем образ или подключаем установочный носитель, настраиваем БИОС для загрузки с диска или флешки и запускаем установщик — мы должны увидеть сообщение о необходимости принять лицензионное соглашение. Нажимаем Accept:

После выбираем, что будем делать. В нашем случае, выполнять установку:

На следующем шаге установщик предложит выбрать раскладку клавиатуры — выбираем вариант по умолчанию:

Выбираем вариант разбивки диска на разделы. В моем случае, это выполняется автоматически:

* при необходимости использовать сервер не только в качестве pfSense (что не рекомендуется) можно самостоятельно разбить диск на разделы.

Начнется процесс установки системы:

Дожидаемся его окончания. Процесс займет немного времени.

Установщик предложит перейти в командную строку для выполнения ручных настроек — отказываемся:

Перезапускаем компьютер:

Не забываем извлечь установочный носитель.

Установка завершена.

Настройка подключения к веб-интерфейсу

После загрузки pfSense мы увидим меню настройки. Первое, что нам нужно сделать — настроить сеть и веб-интерфейс. Дальнейшую настройку можно делать в последнем.

Выбираем опцию Set interface(s) IP address — номер 2:

Выбираем интерфейс для настройки. Сначала внутренний (LAN):

Задаем IP-адрес в соответствии с нашей инфраструктурой:

* в нашем примере мы хотим задать адрес 192.168.0.23.

Указываем маску подсети:

* в локальных сетях, как правило, используются маски 24, 23, 22.

Если нужно, прописываем адрес шлюза, в противном случае, просто нажимаем Enter:

* обратите внимание, что адрес шлюза на LAN интерфейсе нам нужен только для статических маршрутов.

Система нам предложит активировать сервер DHCP для локальной сети. Если наш pfSense должен выполнять такую задачу, ставим y. Мы же этого делать не будем:

Также отказываемся к возврату протокола HTTP как веб-конфигуратора:

Открываем браузер и переходим по адресу нашего сервера https://192.168.0.23 — появится предупреждение о нарушении безопасности. Просто игнорируем и продолжаем загрузку.

Система потребует ввода логина и пароля — вводим логин/пароль admin/pfsense.

Готово. Теперь приступим к базовой настройке.

Базовая настройка pfSense

После входа в веб-интерфейс, система может попросить принять условия — просто нажимаем Accept:

Для удобства поменяем языковые настройки. Переходим в раздел System — General Setup:

В подразделе «Localization» выбираем наш часовой пояс и язык, с которым нам будет удобнее работать:

* в нашем примере выставлено московское время и русский язык интерфейса. Однако, нужно отметить, что для pfSense нет полного перевода и некоторые элементы будут на английском.

Для применения настроен кликаем по Save:

Теперь сменим пароль по умолчанию для учетной записи admin. В верхней части интерфейса мы увидим предупреждение — кликаем по Change the password in the User Manager:

Вводим дважды новый пароль:

Сохраняем настройки:

Сообщение с предупреждением в верхней части экрана должно исчезнуть.

Переходим к настройке Интернет соединения. Кликаем по Интерфейсы — WAN:

В подразделе «Общие настройки» выбираем вариант получения сетевых настроек:

* в нашем примере мы зададим вручную IP-адрес. Если не используется IPv6 — отключаем его (как в данном случае).

Ниже задаем IP-адрес (если мы выбрали вариант получения Статический IPv4):

Указываем маску подсети:

Справа от «IPv4 Шлюз» кликаем по Добавить новый шлюз:

В открывшемся окне добавляем адрес шлюза для доступа к сети Интернет и кликаем Добавить:

Сохраняем настройки:

Если для подключения к панели управления по локальной сети требуется статический маршрут, после применения настроек мы можем потерять управление системой. Необходимо заранее позаботиться о добавлении статических маршрутов.

Для того, чтобы изменения вступили в силу, необходимо их применить:

Настройка завершена. Можно попробовать прописать наш pfSense в качестве шлюза и проверить доступ к сети Интернет.

В моем случае Интернет не заработал по причине наличия маршрута через локальную сеть. Решение ниже.

Статические маршруты

Если у нас есть несколько подсетей, доступ к которым нужно обеспечить через внутренние маршрутизаторы, pfSense позволяет добавить статические маршруты.

Для этого переходим в Система — Маршрутизация:

Кликаем по ссылке Статические маршруты:

Кликаем по кнопке Добавить:

В открывшемся окне вводим подсеть, для которой нам нужен маршрут и выбираем шлюз, через который будет осуществляться доступ к данной сети:

* в данном примере мы создадим статический маршрут в сеть 192.168.1.0/24 через шлюз 192.168.0.1.

Сохраняем настройки:

Чтобы изменения вступили в силу, кликаем по Применить изменения:

Готово.

Возможные ошибки

Рассмотрим проблемы, которые могут возникнуть при настройке pfSense.

Нет доступа в Интернет

После настройки WAN для компьютеров локальной сети нет доступа к сети Интернет. Я столкнулся с данной проблемой маршрутизации после того, как был настроен WAN-интерфейс. По идее, компьютеры локальной сети, которые подключены к pfSense как к шлюзу по умолчанию, должны получить выход к глобальной сети. Однако, этого не произошло. При этом, если перейти в панели управления в раздел меню Диагностика — Пинг и отправить тест на любой адрес в сети Интернет, он проходил корректно, то есть, на самом pfSense выход в Интернет был.

Причина: проблема может возникнуть, если мы сначала указывали шлюз на интерфейсе LAN, затем поменяли его на WAN. Возможно, систему клинит, и появляется ошибка маршрутизации.

Решение: удалить маршрутизацию через LAN, убедиться, что появился Интернет на компьютерах локальной сети, после снова создать маршрутизацию через LAN.

Для этого переходим к настройкам маршрутизации:

Переходим к статическим маршрутам:

Удаляем все маршруты через локальную сеть:

Переходим в раздел Шлюзы:

Удаляем шлюз через локальную сеть:

Проверяем, что у нас появился интернет на компьютерах локальной сети.

После того, как мы убедились в исправной работе шлюза для доступа к глобальной сети, на той же вкладке по работе со шлюзами нажимаем Добавить:

Задаем имя и адрес маршрутизатора в локальной сети:

Сохраняем настройки:

… и применяем их:

Возможности pfSense

Из коробки, нам доступны следующие возможности:

Брандмауэр.
DNS и DHCP.
Проброс портов.
Маршрутизация и NAT.
Ограничение скорости.
VPN — IPSEC, L2TP, OpenVPN.
Аутентификация через LDAP (например, Active Directory) или RADIUS.

Это не совсем все возможности — лишь пример, довольно, часто используемых функций.

Помимо доступных сервисов, мы можем воспользоваться менеджером пакетов (Система — Менеджер пакетов — Доступные пакеты), чтобы расширить возможности pfSense, например, мы можем установить:

Прокси-сервер, например, SQUID + squidGuard.
Блокировщики отслеживания и рекламы: pfblockerng.
Средства мониторинга: zabbix-agent, zabbix-proxy.

И так далее…

System

The System menu encompasses pages dedicated to configuring the pfSense system itself. That means things like configuring access to the GUI, setting up routes and gateways, managing users, setting up failover (requires multiple pfSense firewalls), updating the system to the latest version and managing optional packages, among other things.

Advanced

System	/ Advanced	Click image to view full resolution
	Admin Access From this page, you can configure how you access your system. Things like setting the port and protocol (HTTP / HTTPS) over which to access the GUI, enabling, disabling, and configuring SSH access, as well as configuring other parameters that affect access to your system.
	Firewall & NAT The Firewall & NAT page enables you to configure basic firewall behavior. Things like enabling and disabling packet filtering are done here, as are enabling and disabling certain default firewall rules. You can also set the maximum number of states, table entries and fragment entries. Below the firewall settings, you can configure NAT reflection and state timeouts.
	Networking The Networking menu allows you to enable, disable, and configure IPv6. You can also enable or disable hardware offloading from here.
	Miscellaneous This menu, as its name states, is a grouping of miscellaneous settings. Things like load balancing, power savings settings, cryptographic and thermal hardware settings, gateway monitoring, and RAM disk settings can be configured here.
	System Tunables The System Tunables menu enables you to modify a subset of system settings. It is not recommended to play with these settings unless you know what you’re doing. The menu consists of a list of parameters that can be modified by clicking the pencil icon to the right of each parameter.
	Notifications You can configure email and Growl notifications from here. You can also enable or disable the default startup / shutdown beep from here.

Cert. Manager

System

/ Cert. Manager

CAs

The CAs page lists all of the Certificate Authorities (CAs) configured on the system. This is also where you would create or import new CAs. You can also export CA certificates and keys, as well as delete unused CAs from the system.

Certificates

The Certificates page lists all of the certificates that exist on the system. As with the CAs page, you can create, import, export (certificate & key), and delete certificates from here.

Certificate Revocation

From here you can create certificate revocation lists for each of the configured CAs on your system. If no CAs are configured, this page will be empty.

General Setup

System	/ General Setup
	General Setup The General Setup page enables you to configure general settings on your system. This means things like the hostname and domain, the DNS servers for the firewall itself, localization settings, and various configuration options for the web GUI, such as the theme, the number of columns displayed, etc.

System

/ General Setup

General Setup

The General Setup page enables you to configure general settings on your system. This means things like the hostname and domain, the DNS servers for the firewall itself, localization settings, and various configuration options for the web GUI, such as the theme, the number of columns displayed, etc.

High Availability Sync

System	/ High Availability Sync
	High Availability Sync This page enables you to configure HA Sync: syncing multiple firewalls together for stateful failover. You can configure state synchronization settings and configuration synchronization settings from here.

System

/ High Availability Sync

High Availability Sync

This page enables you to configure HA Sync: syncing multiple firewalls together for stateful failover. You can configure state synchronization settings and configuration synchronization settings from here.

Logout

System	/ Logout
	Logout Clicking this menu logs you out of the GUI.

System

/ Logout

Logout

Clicking this menu logs you out of the GUI.

Package Manager

System

/Package Manager

Installed Packages

This page lists all of the optional packages you’ve installed to your system. You can update or delete packages from here.

Available Packages

This page lists the available packages and you can install them from here. The list excludes any packages already installed.

*The screenshot does not display the entire list of available packages.

Routing

System

/ Routing

Gateways

The Gateways page lists all of the gateways on your system and provides detailed information on each of them. You can create and delete gateways from here, and edit them by clicking the pencil icon to the right of each one. You can also set the default gateway from here.

Static Routes

Static routes are defined to provide a route to networks that aren’t directly attached to pfSense and that aren’t reachable via the default gateway.

This page lists all of the static routes configured on your system. You can add, edit or delete static routes from here.

pfSense - System - Routes - StaticRoutes

Gateway Groups

The Gateway Groups page lists all of the gateway groups configured on your system. A gateway group is a group of gateways that can be used as a single gateway in your firewall rules. Gateway groups can be used for failover or load balancing. You can create, edit, or delete gateway groups from this page.

Setup Wizard

System	/ Setup Wizard
	Setup Wizard This is a setup wizard for configuring pfSense for the first time. You can follow the on-screen instructions and you’ll end up with a basic working pfSense configuration.

System

/ Setup Wizard

Setup Wizard

This is a setup wizard for configuring pfSense for the first time. You can follow the on-screen instructions and you’ll end up with a basic working pfSense configuration.

Update

System

/ Update

Update

This is where you perform operating system updates of pfSense.

Update Settings

The Update Settings page enables you to select your update branch (beta or stable). You can also disable the Dashboard auto-update check from here.

User Manager

System	/ User Manager
	Users The Users page lists all of the user accounts configured on your system. You can add, remove, or edit users from here.
	Groups The Groups page lists the user groups configured on your system. You can add, remove, or edit groups from here.
	Settings From here, you can select your authentication server. The list is restricted to what is available on your system. By default, this is set to Local Database.
	Authentication Servers This is where you configure your authentication servers. Local Database is selected by default, but pfSense supports RADIUS and/or LDAP servers as well. You can add, remove, and edit your authentication servers from here.

Interfaces

The Interfaces menu is where you can configure the active interfaces on your system. Each physical network card present on your system is considered an interface, and can host a network segment (a subnet, such as your LAN – 192.168.1.0/24). Certain services, like VPNs, can also create virtual interfaces (implemented by software), which can also host a network segment. All interfaces, whether physical or virtual, are managed from here.

Interface Assignments

Interfaces

/ Interface Assignments

Interface Assignments

This page lists all of the configured interfaces on your system, as well as the available interfaces that haven’t been configured yet. You can assign, edit, or delete interfaces from here.

Clicking an interface name from this menu takes you to that interface’s settings, where you can edit things like the interface’s IPv4 and IPv6 configuration and the speed and duplex settings (physical interfaces), among other things.

pfSense - Interfaces - InterfaceAssignments

WAN

LAN

Interface Groups

Interfaces	/ Interface Groups
	Interface Groups Interface groups consist of a subset of existing interfaces on the system, which are defined as a group. Interface groups are used to apply firewall and NAT rules to a set of interfaces. Interface groups are configured from here.

Interfaces

/ Interface Groups

Interface Groups

Interface groups consist of a subset of existing interfaces on the system, which are defined as a group. Interface groups are used to apply firewall and NAT rules to a set of interfaces.

Interface groups are configured from here.

Wireless

Interfaces	/ Wireless
	Wireless pfSense also supports wireless interfaces. These are configured here.

Interfaces

/ Wireless

Wireless

pfSense also supports wireless interfaces. These are configured here.

VLANs

Interfaces	/ VLANs
	VLANs VLANs enable a switch to carry multiple discrete broadcast domains, allowing a single switch to function as if it were multiple switches, by tagging the traffic on each of the switch’s configured ports. VLANs are configured from here. A VLAN-capable switch is required.

Interfaces

/ VLANs

VLANs

VLANs enable a switch to carry multiple discrete broadcast domains, allowing a single switch to function as if it were multiple switches, by tagging the traffic on each of the switch’s configured ports.

VLANs are configured from here. A VLAN-capable switch is required.

QinQs

Interfaces	/ QinQs
	QinQs QinQ (also referred to as IEEE 802.1ad) is a means of nesting VLAN tagged traffic inside of packets that are already VLAN tagged, or “double tagging” the traffic.

Interfaces

/ QinQs

QinQs

QinQ (also referred to as IEEE 802.1ad) is a means of nesting VLAN tagged traffic inside of packets that are already VLAN tagged, or “double tagging” the traffic.

PPPs

Interfaces	/ PPPs
	PPPs Point-to-Point Protocol (PPP) interfaces link two routers together directly without any host or any other networking in between and can provide connection authentication, transmission encryption, and compression. There are four types of PPP interfaces: Plain PPP for 3G / 4G and modem devices PPPoE for DSL or similar connections PPTP and L2TP for ISPs that require them for authentication. These are configured from here.

Interfaces

/ PPPs

PPPs

Point-to-Point Protocol (PPP) interfaces link two routers together directly without any host or any other networking in between and can provide connection authentication, transmission encryption, and compression.

There are four types of PPP interfaces:

Plain PPP for 3G / 4G and modem devices

PPPoE for DSL or similar connections

PPTP and L2TP for ISPs that require them for authentication.

These are configured from here.

GREs

Interfaces	/ GREs
	GREs Generic Routing Encapsulation (GRE) is a method of tunneling traffic between two endpoints without encryption. It can be used to route packets between two locations that aren’t directly connected and which don’t require encryption. GRE supports both IPv4 and IPv6. GRE interfaces are configured from here.

Interfaces

/ GREs

GREs

Generic Routing Encapsulation (GRE) is a method of tunneling traffic between two endpoints without encryption. It can be used to route packets between two locations that aren’t directly connected and which don’t require encryption. GRE supports both IPv4 and IPv6.

GRE interfaces are configured from here.

GIFs

Interfaces	/ GIFs
	GIFs A Generic Tunneling Interface (GIF) is similar to GRE, in that it tunnels traffic between two hosts without encryption. However, GIF may be used to tunnel IPv6 over IPv4 networks and vice versa. GIF interfaces are configured here.

Interfaces

/ GIFs

GIFs

A Generic Tunneling Interface (GIF) is similar to GRE, in that it tunnels traffic between two hosts without encryption. However, GIF may be used to tunnel IPv6 over IPv4 networks and vice versa.

GIF interfaces are configured here.

Bridges

Interfaces	/ Bridges
	Bridges A Bridge interface consists of two existing interfaces on the system that are bridged together. Bridging interfaces allows you to combine multiple interfaces onto a single broadcast domain, where two ports on the firewall will act as if they are on the same switch, except that traffic between the interfaces can be controlled with firewall rules. Bridge interfaces are configured from here.

Interfaces

/ Bridges

Bridges

A Bridge interface consists of two existing interfaces on the system that are bridged together. Bridging interfaces allows you to combine multiple interfaces onto a single broadcast domain, where two ports on the firewall will act as if they are on the same switch, except that traffic between the interfaces can be controlled with firewall rules.

Bridge interfaces are configured from here.

LAGGs

Interfaces	/ LAGGs
	LAGGs Link Aggregation (LAGG) combines multiple physical interfaces together as one logical interface, in order to increase throughput beyond what a single connection could sustain and to provide redundancy in case one of the links should fail. Link aggregation is handled by lagg(4) type interfaces (LAGG) in pfSense. Link Aggregation can be configured here.

Interfaces

/ LAGGs

LAGGs

Link Aggregation (LAGG) combines multiple physical interfaces together as one logical interface, in order to increase throughput beyond what a single connection could sustain and to provide redundancy in case one of the links should fail. Link aggregation is handled by lagg(4) type interfaces (LAGG) in pfSense.

Link Aggregation can be configured here.

Firewall

The Firewall menu enables you to configure elements pertaining to the firewall’s behavior as it transfers packets over the network. So things like defining aliases, configuring NAT and firewall rules, and traffic shaping, among other things, are done from here.

Aliases

Firewall	/ Aliases
	IP This page lists all of the IP aliases you defined on your system. Aliases define a group of ports, hosts, or networks that can be used in firewall rules, affecting the entire group. You can create, edit, or delete IP aliases from this page. You can also import lists of IP addresses by clicking the Import button.
	Ports This page lists all of the ports aliases you defined on your system. You can create, edit, or delete ports aliases from this page. You can also import lists of ports by clicking the Import button.
	URLs This page lists all of the URL aliases you defined on your system. URL aliases consist of URLs that link to a list of ports, hosts, or networks, that are imported and defined as an alias. You can create, edit, or delete URL aliases from this page.
	All This page lists all of the defined aliases on your system, regardless of type. You can create, edit, or delete aliases from this page. You can also import lists of IP addresses or ports by clicking the Import button.

NAT

Firewall	/ NAT
	Port Forward From this page, you can configure port forwarding on your system, by creating rules that define the traffic to forward and where. You can create, edit, or delete port forwarding rules from here.
	1:1 1:1 NAT maps a specified public IP address to a specified private IP address (or subnet). 1:1 NAT is typically used to allow access to an internal server with a private IP address, from the outside (internet). This can be configured from here.
	Outbound This is where you can create, edit, or delete your outbound NAT rules. You can choose between Automatic, Hybrid, or Manual NAT rule generation. Outbound NAT rules are applied from top to bottom. You can also disable outbound NAT altogether from here.
	NPt IPv6 Network Prefix Translation (NPt) is used to translate one IPv6 prefix to another. NPt works similarly to 1:1 NAT but over IPv6. NPt is configured from here.

Rules

Firewall	/ Rules
	Rules The Firewall/Rules menu defaults to displaying the WAN rules. Clicking an interface name from this menu takes you to that interface’s firewall rules. All firewall rules in pfSense are applied from top to bottom. You can create, edit, or delete firewall rules for the selected interface from here.
	Floating Floating firewall rules affect multiple interfaces at once and are applied before interface firewall rules. All firewall rules in pfSense are applied from top to bottom. You can create, edit, or delete floating firewall rules from this page.
	WAN
	LAN

Schedules

Firewall	/ Schedules
	Schedules You can define schedules for firewall rules to be enabled and disabled and add the defined schedule(s) to the rules of your choice. You can create, edit, or delete schedules from here.

Firewall

/ Schedules

Schedules

You can define schedules for firewall rules to be enabled and disabled and add the defined schedule(s) to the rules of your choice. You can create, edit, or delete schedules from here.

Traffic Shaper

Firewall	/ Traffic Shaper
	By Interface pfSense includes a built-in traffic shaper that can be defined by interface from this page. By selecting an interface from the displayed list, you can configure traffic shaping for the selected interface. pfSense supports two types of traffic shaping: ALTQ and limiters.
	By Queue The ALTQ Traffic Shaper type works by creating traffic queues which it manages according to the defined parameters. All ALTQ traffic queues are displayed and can be edited here.
	Limiters Limiting bandwidth for defined hosts is another way pfSense can perform traffic shaping. You can create, edit, or delete limiters from here.
	Wizards pfSense includes a traffic shaping wizard. By following the on-screen instructions, pfSense will automatically configure traffic shaping for you. Bear in mind that the results are likely to require a bit of tweaking for optimal operation.

Virtual IPs

Firewall	/ Virtual IPs
	Virtual IPs Virtual IP addresses are IP addresses that are not assigned to any physical interface on your system, but that are still routable by the firewall. Virtual IPs are typically used for network address translation, mobility, fault-tolerance and failover. pfSense supports four types of virtual IP addresses: IP Alias CARP Proxy ARP Other These can be configured here.

Firewall

/ Virtual IPs

Virtual IPs

Virtual IP addresses are IP addresses that are not assigned to any physical interface on your system, but that are still routable by the firewall. Virtual IPs are typically used for network address translation, mobility, fault-tolerance and failover.

pfSense supports four types of virtual IP addresses:

IP Alias

CARP

Proxy ARP

Other

These can be configured here.

Services

The Services menu, as its name states, is where you can manage the various services running on your pfSense system. So things like the Captive Portal, DHCP Servers or Relays, DNS Forwarder and Resolver, Dynamic DNS, etc., are all configured and managed from the Services menu.

Auto Configuration Backup

Services

/ Auto Configuration Backup

Settings

pfSense provides a free encrypted cloud backup tool that backs up your firewall configurations to Netgate servers. The service can be enabled, disabled, and configured from this page.

Restore

From this page, you can restore your system using one of your backed-up configurations.

Backup now

You can perform a manual backup to Netgate’s servers from here.

Captive Portal

Services	/ Captive Portal
	Captive Portal Zones A captive portal is software that forces users on the network to authenticate themselves before obtaining network/internet access. This authentication step occurs after a user has entered the WiFi password and has connected to the router, by redirecting their connection to an authentication HTML page. Once properly authenticated, network/internet access is granted. This is common in hotels, for example. When a captive portal is running on a network segment (a subnet), it is referred to as a captive portal zone. This page displays any captive portal zones you configured on your system. When you click Add to create one or when you edit an existing zone, the following pages are displayed.
	Configuration This is where you set up your captive portal zone. You can configure things such as the interface on which it runs, authentication, accounting and the HTML page contents of the captive portal redirect page.
	MACs You can filter access to the captive portal (block or bypass the captive portal) as well as limit up and down bandwidth for specific clients, by MAC address, from here.
	Allowed IPs The Allowed IPs page works exactly like the MACs page, but it filters by IP address rather than by MAC address. You can filter access to the captive portal as well as limit up and down bandwidth for specific clients by IP address from here.
	Allowed Hostnames The Allowed Hostnames page works exactly like the Allowed IPs page, but it filters by hostname rather than by IP address. You can filter access to the captive portal as well as limit up and down bandwidth for specific clients, by hostname from here.
	Vouchers You can grant access to the captive portal by issuing time-based vouchers. These are generated from this page.
	File Manager From this page, you can upload or delete assets to be used to create a custom captive portal HTML page.

DHCP Relay

Services	/ DHCP Relay
	DHCP Relay From this page, you can configure the IPv4 DHCP Relay service for the selected interface. A DHCP Relay is used to allow a DHCP server on one segment of the network to provide IP addresses to clients on other network segments. Make sure that DHCP Server is disabled. DHCP Relay and DHCP Server cannot be used concurrently.

Services

/ DHCP Relay

DHCP Relay

From this page, you can configure the IPv4 DHCP Relay service for the selected interface. A DHCP Relay is used to allow a DHCP server on one segment of the network to provide IP addresses to clients on other network segments. Make sure that DHCP Server is disabled. DHCP Relay and DHCP Server cannot be used concurrently.

DHCP Server

Services	/ DHCP Server
	DHCP Server From this page, you can configure the IPv4 DHCP Server for the selected interface. Make sure that DHCP Relay is disabled. DHCP Relay and DHCP Server cannot be used concurrently.

Services

/ DHCP Server

DHCP Server

From this page, you can configure the IPv4 DHCP Server for the selected interface. Make sure that DHCP Relay is disabled. DHCP Relay and DHCP Server cannot be used concurrently.

DHCPv6 Relay

Services	/ DHCPv6 Relay
	DHCPv6 Relay From this page, you can configure the IPv6 DHCP Relay service for the selected interface. Make sure that DHCP Server is disabled. DHCP Relay and DHCP Server cannot be used concurrently.

Services

/ DHCPv6 Relay

DHCPv6 Relay

From this page, you can configure the IPv6 DHCP Relay service for the selected interface. Make sure that DHCP Server is disabled. DHCP Relay and DHCP Server cannot be used concurrently.

DHCPv6 Server & RA

Services

/ DHCPv6 Server & RA

DHCPv6 Server

From this page, you can configure the IPv6 DHCP Server for the selected interface. Make sure that DHCP Relay is disabled. DHCP Relay and DHCP Server cannot be used concurrently.

Router Advertisements

From this page, you can set your router advertisements for the DHCPv6 server. For the DHCPv6 server to be active on the network, router advertisements must be set to either Managed or Assisted mode here.

DNS Forwarder

Services	/ DNS Forwarder
	DNS Forwarder This page is where you can enable, disable, and configure the DNS Forwarder. The DNS Forwarder forwards your DNS requests to the DNS servers you configured in System / General Setup. You can also configure domain and host overrides for the DNS Forwarder from here.

Services

/ DNS Forwarder

DNS Forwarder

This page is where you can enable, disable, and configure the DNS Forwarder. The DNS Forwarder forwards your DNS requests to the DNS servers you configured in System / General Setup. You can also configure domain and host overrides for the DNS Forwarder from here.

DNS Resolver

Services

/ DNS Resolver

General Settings

The DNS Resolver in pfSense uses unbound, a validating, recursive, caching DNS resolver, and is favored over the DNS Forwarder. The DNS resolver can either query the root servers or be configured in forwarding mode and forward your requests to the DNS servers you configured in System / General Setup.

From this page, you can enable, disable, and configure the DNS Resolver. You can also configure domain and host overrides for the DNS Resolver from here.

Advanced Settings

As the name suggests, this is where you can further configure the DNS Resolver, using the advanced options.

Access Lists

You can configure access lists to filter access to the DNS Resolver from here. You can set the action (deny, refuse, allow, allow snoop, deny nonlocal, refuse nonlocal) and the networks to which the list applies.

Dynamic DNS

Services

/ Dynamic DNS

Dynamic DNS Clients

Dynamic DNS enables you to reach your pfSense firewall from the internet by using a hostname rather than its IP address. The hostname always remains the same even if the underlying IP address changes. This can be useful for VPN access, for example.

From this page, you can enable, disable, and configure Dynamic DNS on your system. By selecting your dynamic DNS provider from the list, the options on the page are updated accordingly.

RFC 2136 Clients

RFC 2136 Dynamic DNS registers a hostname on any DNS server supporting RFC 2136 style updates. These dynamic DNS clients can be configured here.

Check IP Services

This page displays the IP address checking service used by Dynamic DNS. By default, dyndns.org is used. But you can disable it and add your own from here.

IGMP Proxy

Services	/ IGMP Proxy
	IGMP Proxy The IGMP Proxy enables you to proxy multicast traffic between network segments. This can be configured from this page.

Services

/ IGMP Proxy

IGMP Proxy

The IGMP Proxy enables you to proxy multicast traffic between network segments. This can be configured from this page.

Load Balancer

Services	/ Load Balancer
	Pools pfSense natively supports server load balancing and failover, using relayd. From this page, you can create load balancing/failover pools and define the web servers that are part of each pool.
	Virtual Servers The Virtual Servers page is where you define a public-facing IP address and port for the web server(s).
	Monitors From here, you can configure the different monitors to be used by relayd. Many are already configured. You can add, edit, or delete monitors from here.
	Settings From here, you can configure a few additional settings, such as the timeout, interval, and prefork values.

NTP

Services	/ NTP
	Settings The Services / NTP pages enable you to configure pfSense as a Network Time Protocol (NTP) server to synchronize the clocks of systems connected to the firewall. From the Settings page, you can select the interfaces the NTP server will listen on and define the time servers used by your local NTP server, among other settings.
	ACLs From this page, you can define access restrictions to your local NTP server.
	Serial GPS You can use a GPS connected via a serial port as a reference clock for NTP. This is configured here.
	PPS You can use a device with a Pulse Per Second (PPS) output as a PPS reference for NTP. This is configured here.

PPPoE Server

Services	PPPoE Server
	PPPoE Server pfSense can be used as a Point-to-Point Protocol over Ethernet (PPPoE) server and accept and authenticate connections from PPPoE clients on a local interface. This is configured here.

Services

PPPoE Server

pfSense can be used as a Point-to-Point Protocol over Ethernet (PPPoE) server and accept and authenticate connections from PPPoE clients on a local interface. This is configured here.

SNMP

Services	/ SNMP
	SNMP You can monitor your pfSense firewall using the Simple Network Management Protocol (SNMP). The SNMP service can be enabled, disabled, and configured from this page.

Services

/ SNMP

SNMP

You can monitor your pfSense firewall using the Simple Network Management Protocol (SNMP). The SNMP service can be enabled, disabled, and configured from this page.

UPnP & NAT-PMP

Services	/ UPnP & NAT-PMP
	UPnP & NAT-PMP Universal Plug & Play (UPnP) and NAT Port Mapping Protocol (NAT-PMP) allow software and devices to configure each other for proper communication when attaching to a network. Both are natively supported by pfSense and are configured from this page. You can also configure an ACL (access control list) for UPnP from here.

Services

/ UPnP & NAT-PMP

UPnP & NAT-PMP

Universal Plug & Play (UPnP) and NAT Port Mapping Protocol (NAT-PMP) allow software and devices to configure each other for proper communication when attaching to a network. Both are natively supported by pfSense and are configured from this page. You can also configure an ACL (access control list) for UPnP from here.

Wake-on-LAN

Services	/ Wake-on-LAN
	Wake-on-LAN Wake-on-LAN (WoL) is a service that can be used to remotely power-on computers on your network, by sending what is referred to as “magic packets”. The network card in the computer you want to power-on must support WoL and its BIOS must be configured for support as well. From this page, you can dynamically power-on one of the computers on your network by entering its MAC address. You can also add computers to the Wake-on-LAN Devices list (by MAC address) and turn them all on at once, using the Wake All Devices button.

Services

/ Wake-on-LAN

Wake-on-LAN

Wake-on-LAN (WoL) is a service that can be used to remotely power-on computers on your network, by sending what is referred to as “magic packets”. The network card in the computer you want to power-on must support WoL and its BIOS must be configured for support as well.

From this page, you can dynamically power-on one of the computers on your network by entering its MAC address.

You can also add computers to the Wake-on-LAN Devices list (by MAC address) and turn them all on at once, using the Wake All Devices button.

VPN

pfSense natively supports three Virtual Private Network (VPN) protocols: IPsec (IKEv1 & IKEv2), L2TP/IPsec, and OpenVPN. All three are configured from the VPN menu.

IPsec

VPN	/ IPsec
	Tunnels This is where you can configure pfSense to act as an IPsec VPN server. From the Tunnels page, you can create, edit, or delete IPsec tunnels. The Tunnels page displays any Phase 1 tunnels configured on your system and their associated Phase 2 tunnels.
	Mobile Clients This is where you enable/disable and configure IPsec mobile client support. From this page, you can configure things such as authentication sources, virtual IP addresses, and more.
	Pre-Shared Keys This page displays your IPsec pre-shared keys (if any). From here, you can create, edit, or delete your IPsec pre-shared keys.
	Advanced Settings From this page, you can set up miscellaneous IPsec options, such as IP compression and strict interface binding, among other settings.

L2TP

VPN

/ L2TP

Configuration

L2TP is a tunneling protocol which is used in conjunction with IPsec (IKEv1), in the L2TP/IPsec VPN protocol. L2TP does not provide encryption in itself. IPsec encrypts the the packets transiting through the L2TP tunnel in L2TP/IPsec.

From this page, you can enable, disable, and configure L2TP.

Users

This page lists all of your L2TP users. You can create, edit, and delete L2TP users from here.

OpenVPN

VPN	/ OpenVPN
	Servers The Servers page is where you can create and configure a local OpenVPN server. You can also delete OpenVPN servers from here.
	Clients The Clients page is where you can create and configure a local OpenVPN client. You can also delete OpenVPN clients from here.
	Client Specific Overrides From here you can override some OpenVPN settings by enabling some of the available options in the GUI or by adding additional OpenVPN directives that apply to a specific user of one of your configured OpenVPN servers. An example would be to assign a specific IP address to a user (ifconfig-push 10.10.0.10).
	Wizards pfSense includes an OpenVPN server wizard. By following the on-screen instructions, pfSense will automatically configure an OpenVPN server for you.

See also:Best VPNs for pfSense

Status

The Status pages display status information on various services running on your pfSense system. You’ll find many of the same submenus in the Status menu as in the Services menu. But while the Services menu allows you to edit the services’ settings, the Status menu provides status information on the configured services. Some pages may be empty depending on your configuration and the services running.

Captive Portal

Status	/ Captive Portal
	Captive Portal The Captive Portal Status page displays all of the active users of your Captive Portal Zones.

Status

/ Captive Portal

Captive Portal

The Captive Portal Status page displays all of the active users of your Captive Portal Zones.

CARP

Status	/ CARP
	CARP The Cache Array Routing Protocol (CARP) enables you to create virtual IP addresses to be used to set up High Availability Sync in pfSense. The CARP Status page displays the current status of all configured CARP virtual IP addresses. You can also enable and disable CARP from here.

Status

/ CARP

CARP

The Cache Array Routing Protocol (CARP) enables you to create virtual IP addresses to be used to set up High Availability Sync in pfSense.

The CARP Status page displays the current status of all configured CARP virtual IP addresses. You can also enable and disable CARP from here.

Dashboard

Status	/ Dashboard
	Clicking this menu takes you to the pfSense Dashboard.

DHCP Leases

Status	/ DHCP Leases
	DHCP Leases The DHCP Leases Status page displays all of your IPv4 DHCP leases and their status (active, expired, static).

Status

/ DHCP Leases

DHCP Leases

The DHCP Leases Status page displays all of your IPv4 DHCP leases and their status (active, expired, static).

DHCPv6 Leases

Status	/ DHCPv6 Leases
	DHCPv6 Leases The DHCPv6 Leases Status page displays all of your DHCPv6 leases and their status (active, expired, static).

Status

/ DHCPv6 Leases

DHCPv6 Leases

The DHCPv6 Leases Status page displays all of your DHCPv6 leases and their status (active, expired, static).

DNS Resolver

Status

/ DNS Resolver

DNS Resolver

The DNS Resolver Status page lists caching statistics for each configured DNS server on the System / General Setup page.

Filter Reload

Status

/ Filter Reload

Filter Reload

This page shows the status of the last filter reload request and enables you to force reload the packet filter, by clicking the Reload Filter button.

Gateways

Status

/ Gateways

Gateways

The Gateways Status page lists all of your configured gateways and provides high-level statistics for each one.

Gateway Groups

The Gateways Groups Status page lists all of your configured gateway groups and lists the tier of each member of the gateway group.

Interfaces

Status

/ Interfaces

Interfaces

This page lists all of the configured interfaces on your system and displays high-level information for each one.

IPsec

Status	/ IPsec
	Overview The Overview page lists all active IPsec connections and provides high-level information on each connection. It also displays information on each connection’s child security association (SA) entries.
	Leases This page lists the active IPsec leases.
	SADs The Security Association Databases (SADs) page lists all active IPsec security associations.
	SPDs The Security Policies Databases (SPDs) Status page displays all active IPsec security policies.

Load Balancer

Status

/ Load Balancer

Pools

The Load Balancer / Pools page lists your existing load balancing / failover pools and displays high-level information on them.

Virtual Servers

The Load Balancer / Virtual Servers page lists your existing virtual servers (public IP and port) and displays high-level information on them.

Monitoring

Status

/ Monitoring

Monitoring

The Monitoring Status page allows you to create a custom graph to monitor your system using the provided metrics, such as bandwidth used, CPU usage, firewall states, etc. Once you have selected your parameters, click Update Graphs and your custom graph is displayed with a data summary below.

NTP

Status

/ NTP

NTP

This page displays information on the NTP servers used by your system.

OpenVPN

Status

/ OpenVPN

OpenVPN

The OpenVPN Status page lists all of the active OpenVPN client connections to local and remote OpenVPN servers.

Package Logs

Status

/ Package Logs

Package Logs

Certain optional packages’ logs can be viewed from this page. No native pfSense logs are displayed here.

Queues

Status

/ Queues

Queues

The Queues Status page lists information about your active traffic shaping queues. The queue graphs sample data at regular intervals.

Services

Status

/ Services

Services

This page displays the status of the various services configured on your firewall. You can also stop or restart each service, as well as a few other options, according to the service.

System Logs

Status

/ System Logs

System Logs

This is where you can view the various native logs produced by pfSense. The logs are organized by service. Some sections may be empty depending on your configuration and the services you’re running.

Settings

There is also a Settings page within the System Logs page. From the Settings page, you can configure things like log rotation, enable or disable logging of certain default firewall rules, and configure pfSense to log to a remote Syslog server.

Traffic Graph

Status

/ Traffic Graph

Traffic Graph

From the Traffic Graph Status page, you can create a real-time graph for any configured interface on your system. You can display bandwidth in or bandwidth out data and set a few other additional options.

UPnP & NAT-PMP

Status

/ UPnP & NAT-PMP

UPnP & NAT-PMP

This page displays the list of currently active UPnP port forwards.

Diagnostics

The Diagnostics menu contains tools that allow you to troubleshoot, test, and measure your system’s performance. It’s also where you can perform local configuration backups and restores, as well as edit system files, restore the system to factory settings, and reboot and power-off pfSense.

ARP Table

Diagnostics

/ ARP Table

ARP Table

The Address Resolution Protocol (ARP) Table page displays all of the ARP entries configured on the system, listing the IP & MAC addresses, along with the status and link type for each one.

You can also delete ARP entries from here.

Authentication

Diagnostics

/ Authentication

Authentication

The Authentication Diagnostics page allows you to perform authentication tests on any of your configured authentication servers. Select an authentication server and enter a username and password to perform an authentication test.

Backup & Restore

Diagnostics

/ Backup & Restore

Backup & Restore

From this page, you can perform a manual local backup or restore of your pfSense configuration. You can also choose to only reinstall the additional packages listed in your configuration when performing a restore.

Config History

pfSense automatically creates a backup of its configuration file every time a change is made in the GUI. The Config History page lists the last 30 configuration backups and displays the action that triggered the backup.

You can restore any of the saved configurations from here, as well as download, or delete a saved configuration file. You may need to reboot your system for the restored configuration to take effect.

Command Prompt

Diagnostics

/ Command Prompt

Command Prompt

From the Command Prompt page, you can execute a shell command, upload or download a file to/from the pfSense file system, and execute PHP commands.

DNS Lookup

Diagnostics

/ DNS Lookup

DNS Lookup

This page allows you to perform a DNS lookup. When performing a DNS lookup, pfSense queries all of the DNS servers configured on the System / General Setup page. Simply type the hostname you want to lookup and its IP address is displayed, along with the query time for each DNS server.

Edit File

Diagnostics

/ Edit File

Edit File

From this page, you can browse to any file on the file system and make edits. This can be destructive and is not recommended unless you know what you are doing.

Factory Defaults

Diagnostics

/ Factory Defaults

Factory Defaults

Clicking this menu item resets pfSense to its default settings.

Halt System

Diagnostics

/ Halt System

Halt System

Clicking this menu item powers off pfSense.

Limiter Info

Diagnostics

/ Limiter Info

Limiter Info

This page displays each configured limiter and child queue in text format.

NDP Table

Diagnostics

/ NDP Table

NDP Table

The NDP Table page displays the IPv6 Neighbour Discovery Protocol list. The list contains all of the current IPv6 peers and is essentially equivalent to the ARP Table for IPv4.

Packet Capture

Diagnostics

/ Packet Capture

Packet Capture

The Packet Capture page allows you to perform packet captures for any configured interface on the system. You can set various options, such as the protocol, port, and packet count, among others. Once the packet capture has stopped, you can view or download the capture.

pfInfo

Diagnostics

/ pfInfo

pfInfo

The pfInfo page displays statistics and counters for the firewall packet filter. These statistics and counters serve as metrics to judge how the packet filter is processing data.

pfTop

Diagnostics

/ pfTop

pfTop

This page lists all of the connections in the state table. There is also a filter panel on the page, enabling you to search for specific connections.

If a connection is active, you can connect to the pfSense console (ssh or physical access) and select option 9 from the menu to view the traffic flowing in real-time.

Ping

Diagnostics

/ Ping

Ping

This page enables you to ping hosts from pfSense. You can select your IP protocol, source address, and the number of pings.

Reboot

Diagnostics

/ Reboot

Reboot

Clicking this menu item reboots pfSense.

Routes

Diagnostics

/ Routes

Routes

This page displays all of the IPv4 and IPv6 routes configured on your system.

S.M.A.R.T Status

Diagnostics

/ S.M.A.R.T Status

S.M.A.R.T Status

This page enables you to perform hard drive health tests on your pfSense hard drive(s). You can view your drive’s S.M.A.R.T. status, perform a self-test, and view the test logs from here.

Sockets

Diagnostics

/ Sockets

Sockets

This page displays the list of active TCP/IP sockets for IPv4 and IPv6 that are used by the firewall itself.

By default, only listening sockets are listed, but you can click Show all connections to display sockets in use by the system making external connections.

States

Diagnostics

/ States

States

The States page displays the firewall state table, listing the interface, protocol, source and destination, and more.

There is also a filter panel on the page, enabling you to search the state table contents.

Reset States

From this page, you can reset the state table by ticking the Reset the firewall state table box and clicking Reset.

When you reset the state table, all existing connections are broken and will need to be re-established.

States Summary

Diagnostics

/ States Summary

States Summary

The States Summary page provides statistics on the state table and its connections.

System Activity

Diagnostics

/ System Activity

System Activity

This page displays a list of the top active processes running on the system.

Tables

Diagnostics

/ Tables

Tables

From the Tables page, you can select any of the configured Host or URL aliases on your system from a list and display its contents.

Aliases are converted to tables when they’re used in active firewall rules.

Test Port

Diagnostics

/ Test Port

Test Port

The Test Port page enables you to test whether or not a host is up and accepting connections on a specified TCP port. Enter the required fields and click Test.

Traceroute

Diagnostics

/ Traceroute

Traceroute

The Traceroute page enables you to perform a traceroute (like using the traceroute command available on many platforms). It sends a special packet that traces the route it travels from the pfSense host to a remote host and displays the list of hops in-between.

Help

The Help menu provides you with additional resources to learn about pfSense.

About this Page

Help

/ About this Page

About this Page

Clicking this menu item from anywhere in the pfSense UI opens the relevant pfSense documentation section in your browser, based on the page you’re on in the pfSense GUI.

Bug Database

Help

/ Bug Database

Bug Database

Clicking this menu item takes you to the pfSense bug tracker page in your browser.

Documentation

Help

/ Documentation

Documentation

Clicking this menu item opens the pfSense documentation in your browser.

FreeBSD Handbook

Help

/ FreeBSD Handbook

FreeBSD Handbook

Clicking this menu item opens the FreeBSD documentation in your browser.

Paid Support

Help

/ Paid Support

Paid Support

Clicking this menu item opens the Netgate web page in your browser. You can purchase paid support from there.

pfSense Book

Help

/ pfSense Book

pfSense Book

Clicking this menu item opens the pfSense book in your browser. Though similar, the book and the documentation have different content.

User Forum

Help

/ User Forum

User Forum

Clicking this menu item opens the pfSense user forum in your browser.

User Survey

Help

/ User Survey

User survey

Clicking this menu item opens the pfSense survey in your browser. It is hosted by surveymonkey.com.

Источник

В этом посте мы даем обзор каждого меню, доступного в веб-конфигураторе pfSense после установки по умолчанию, со скриншотами.

Если вы новичок в pfSense, огромное количество меню в веб-конфигураторе может пугать, и вам также может быть интересно, для чего некоторые из них. Вот почему мы составили этот обзор меню веб-конфигуратора pfSense. В нем перечислены все меню, имеющиеся в стандартной установке pfSense, и дан краткий обзор каждого из них со снимками экрана (IP- и MAC-адреса размыты).

Когда страница пуста, потому что ничего не настроено, мы также показываем снимок экрана с параметрами конфигурации для этой службы внизу. Параметры конфигурации обычно отображаются при нажатии зеленой кнопки «Добавить».

Чтобы получить доступ к веб-конфигуратору pfSense, откройте веб-браузер на компьютере, подключенном к вашему брандмауэру, и введите https: // [ваш IP-адрес в локальной сети]. По умолчанию это 192.168.1.1. Введите свое имя пользователя и пароль на странице входа. Значения по умолчанию – admin / pfsense соответственно. После входа в систему вы попадете на панель мониторинга pfSense, которая отображает полезную высокоуровневую информацию о вашем брандмауэре.

По умолчанию отображаются два виджета: Системная информация и Интерфейсы. Вы можете добавить больше, щелкнув значок + в правом верхнем углу.

В верхней части веб-конфигуратора находятся восемь меню:

Система
Интерфейсы
Брандмауэр
Услуги
VPN
Status
Диагностика
Помощь

Именно через эти восемь меню (и их подменю) вы можете настроить все параметры вашего брандмауэра pfSense. Мы собираемся посмотреть на них всех.

Система

Системное меню включает страницы, посвященные настройке самой системы pfSense. Это означает такие вещи, как настройка доступа к графическому интерфейсу пользователя, настройка маршрутов и шлюзов, управление пользователями, настройка аварийного переключения (требуется несколько брандмауэров pfSense), обновление системы до последней версии и управление дополнительными пакетами, среди прочего.

Передовой

Cert. Управляющий делами

Система	/ Cert. Управляющий делами
	ЦС На странице ЦС перечислены все центры сертификации (ЦС), настроенные в системе. Здесь вы также можете создавать или импортировать новые центры сертификации. Вы также можете экспортировать сертификаты и ключи ЦС, а также удалить неиспользуемые ЦС из системы.

	Сертификаты На странице «Сертификаты» перечислены все сертификаты, существующие в системе. Как и на странице ЦС, здесь вы можете создавать, импортировать, экспортировать (сертификат и ключ) и удалять сертификаты.

	Отзыв сертификата Отсюда вы можете создавать списки отзыва сертификатов для каждого из настроенных центров сертификации в вашей системе. Если центры сертификации не настроены, эта страница будет пустой.

Общие настройки

Система	/ Общие настройки
	Общая настройка Страница общей настройки позволяет вам настроить общие параметры вашей системы. Это означает такие вещи, как имя хоста и домен, DNS-серверы для самого брандмауэра, параметры локализации и различные параметры конфигурации для веб-интерфейса, такие как тема, количество отображаемых столбцов и т.д.

Синхронизация высокой доступности

Система	/ Синхронизация высокой доступности
	Синхронизация высокой доступности На этой странице можно настроить синхронизацию высокой доступности: синхронизацию нескольких брандмауэров для переключения при отказе с отслеживанием состояния. Здесь вы можете настроить параметры синхронизации состояния и параметры синхронизации конфигурации.

Выйти

Система	/ Выйти
	Выход из системы При нажатии на это меню выполняется выход из графического интерфейса пользователя.

Менеджер пакетов

Система	/ Менеджер пакетов
	Установленные пакеты На этой странице перечислены все дополнительные пакеты, которые вы установили в своей системе. Здесь вы можете обновлять или удалять пакеты.

	Доступные пакеты На этой странице перечислены доступные пакеты, и вы можете установить их отсюда. Список исключает любые уже установленные пакеты. * На скриншоте не отображается весь список доступных пакетов.

Маршрутизация

Система	/ Маршрутизация
	Шлюзы На странице Шлюзы перечислены все шлюзы в вашей системе и представлена подробная информация о каждом из них. Отсюда вы можете создавать и удалять шлюзы, а также редактировать их, щелкая значок карандаша справа от каждого из них. Вы также можете установить шлюз по умолчанию здесь.

	Статические маршруты. Статические маршруты определяются для обеспечения маршрута к сетям, которые не подключены напрямую к pfSense и недоступны через шлюз по умолчанию. На этой странице перечислены все статические маршруты, настроенные в вашей системе. Отсюда вы можете добавлять, редактировать или удалять статические маршруты.

	Группы шлюзов На странице групп шлюзов перечислены все группы шлюзов, настроенные в вашей системе. Группа шлюзов – это группа шлюзов, которая может использоваться в качестве единого шлюза в правилах вашего брандмауэра. Группы шлюзов могут использоваться для переключения при отказе или балансировки нагрузки. На этой странице вы можете создавать, редактировать или удалять группы шлюзов.

Мастер установки

Система	/ Мастер установки
	Мастер настройки Это мастер настройки для настройки pfSense в первый раз. Вы можете следовать инструкциям на экране, и в итоге вы получите базовую рабочую конфигурацию pfSense.

Обновлять

Система	/ Обновлять
	Обновление Здесь вы выполняете обновления операционной системы pfSense.

	Настройки обновления На странице настроек обновления можно выбрать ветку обновления (бета-версия или стабильная версия). Вы также можете отключить автоматическую проверку обновлений панели управления здесь.

Менеджер пользователей

Система	/ Менеджер пользователей
	Пользователи На странице «Пользователи» перечислены все учетные записи пользователей, настроенные в вашей системе. Отсюда вы можете добавлять, удалять или редактировать пользователей.

	Группы На странице “Группы” перечислены группы пользователей, настроенные в вашей системе. Отсюда вы можете добавлять, удалять или редактировать группы.

	Настройки Здесь вы можете выбрать свой сервер аутентификации. Список ограничен тем, что доступно в вашей системе. По умолчанию это локальная база данных.

	Серверы аутентификации Здесь вы настраиваете серверы аутентификации. Локальная база данных выбрана по умолчанию, но pfSense также поддерживает серверы RADIUS и / или LDAP. Здесь вы можете добавлять, удалять и редактировать серверы аутентификации.

Интерфейсы

В меню «Интерфейсы» вы можете настроить активные интерфейсы в вашей системе. Каждая физическая сетевая карта, присутствующая в вашей системе, считается интерфейсом и может содержать сегмент сети (подсеть, например LAN – 192.168.1.0/24). Некоторые службы, такие как VPN, также могут создавать виртуальные интерфейсы (реализованные программно), которые также могут содержать сегмент сети. Отсюда можно управлять всеми интерфейсами, физическими или виртуальными.

Назначения интерфейса

Интерфейсы	/ Назначение интерфейсов
	Назначение интерфейсов На этой странице перечислены все настроенные интерфейсы в вашей системе, а также доступные интерфейсы, которые еще не были настроены. Отсюда вы можете назначать, редактировать или удалять интерфейсы. Щелкнув имя интерфейса в этом меню, вы попадете в настройки этого интерфейса, где вы можете, среди прочего, редактировать такие вещи, как конфигурация IPv4 и IPv6 интерфейса, а также настройки скорости и дуплекса (физические интерфейсы).

	ФУРГОН
	LAN

Группы интерфейсов

Интерфейсы	/ Группы интерфейсов
	Группы интерфейсов. Группы интерфейсов состоят из подмножества существующих интерфейсов в системе, которые определены как группа. Группы интерфейсов используются для применения правил межсетевого экрана и NAT к набору интерфейсов. Отсюда настраиваются интерфейсные группы.

Беспроводной

Интерфейсы	/ Беспроводной
	Wireless pfSense также поддерживает беспроводные интерфейсы. Они настраиваются здесь.

VLAN

Интерфейсы	/ VLAN
	Сети VLAN VLAN позволяют коммутатору поддерживать несколько дискретных широковещательных доменов, позволяя одному коммутатору работать так, как если бы он был несколькими коммутаторами, путем маркировки трафика на каждом из настроенных портов коммутатора. Отсюда настраиваются VLAN. Требуется коммутатор с поддержкой VLAN.

QinQs

Интерфейсы	/ QinQs
	QinQs QinQ (также называемый IEEE 802.1ad) – это средство вложения тегированного трафика VLAN внутри пакетов, которые уже имеют теги VLAN, или «двойного тегирования» трафика.

ГЧП

Интерфейсы	/ ГЧП
	ППС точка-Point Protocol (PPP) интерфейсы связывают два маршрутизатора вместе непосредственно без какого – либо хоста или любой другой сети между ними и может обеспечить аутентификацию соединения, шифрование передачи, и сжатие. Существует четыре типа интерфейсов PPP:

Обычный PPP для 3G / 4G и модемных устройств
PPPoE для DSL или подобных подключений
PPTP и L2TP для интернет-провайдеров, которым они нужны для аутентификации.

Они настраиваются здесь.
| |

GRE

Интерфейсы	/ GREs
	GRE Generic Routing Encapsulation (GRE) – это метод туннелирования трафика между двумя конечными точками без шифрования. Его можно использовать для маршрутизации пакетов между двумя местоположениями, которые не связаны напрямую и не требуют шифрования. GRE поддерживает как IPv4, так и IPv6. Отсюда настраиваются интерфейсы GRE.

Гифки

Интерфейсы	/ GIF
	GIF. Общий туннельный интерфейс (GIF) похож на GRE в том, что он туннелирует трафик между двумя хостами без шифрования. Однако GIF можно использовать для туннелирования IPv6 через сети IPv4 и наоборот. Здесь настраиваются интерфейсы GIF.

Мосты

Интерфейсы	/ Мосты
	Мосты Интерфейс моста состоит из двух существующих интерфейсов в системе, соединенных между собой мостом. Мостовые интерфейсы позволяют объединить несколько интерфейсов в один широковещательный домен, где два порта брандмауэра будут действовать так, как если бы они были на одном коммутаторе, за исключением того, что трафик между интерфейсами можно контролировать с помощью правил брандмауэра. Отсюда настраиваются интерфейсы моста.

LAGGs

Интерфейсы	/ LAGGs
	LAGG Link Aggregation (LAGG) объединяет несколько физических интерфейсов вместе в один логический интерфейс, чтобы увеличить пропускную способность сверх того, что может выдержать одно соединение, и обеспечить избыточность в случае отказа одного из каналов. Агрегация ссылок обрабатывается интерфейсами типа lagg (4) (LAGG) в pfSense. Здесь можно настроить агрегирование ссылок.

Брандмауэр

Меню брандмауэра позволяет вам настроить элементы, относящиеся к поведению брандмауэра при передаче пакетов по сети. Таким образом, такие вещи, как определение псевдонимов, настройка правил NAT и брандмауэра, а также формирование трафика, среди прочего, выполняются здесь.

Псевдонимы

Брандмауэр	/ Псевдонимы
	IP На этой странице перечислены все псевдонимы IP, которые вы определили в своей системе. Псевдонимы определяют группу портов, хостов или сетей, которые могут использоваться в правилах брандмауэра, влияя на всю группу. Вы можете создавать, редактировать или удалять псевдонимы IP на этой странице. Вы также можете импортировать списки IP-адресов, нажав кнопку «Импорт».

	Порты На этой странице перечислены все псевдонимы портов, которые вы определили в своей системе. Вы можете создавать, редактировать или удалять псевдонимы портов на этой странице. Вы также можете импортировать списки портов, нажав кнопку «Импорт».

	URL-адреса На этой странице перечислены все псевдонимы URL-адресов, которые вы определили в своей системе. Псевдонимы URL-адресов состоят из URL-адресов, которые ссылаются на список портов, хостов или сетей, которые импортируются и определяются как псевдонимы. Вы можете создавать, редактировать или удалять псевдонимы URL на этой странице.

	Все На этой странице перечислены все псевдонимы, определенные в вашей системе, независимо от типа. Вы можете создавать, редактировать или удалять псевдонимы на этой странице. Вы также можете импортировать списки IP-адресов или портов, нажав кнопку «Импорт».

НОЧЬ

Брандмауэр	/ NAT
	Переадресация портов На этой странице вы можете настроить переадресацию портов в своей системе, создав правила, которые определяют трафик для пересылки и куда. Здесь вы можете создавать, редактировать или удалять правила переадресации портов.

	1: 1 1: 1 NAT сопоставляет указанный общедоступный IP-адрес с указанным частным IP-адресом (или подсетью). 1: 1 NAT обычно используется для разрешения доступа к внутреннему серверу с частным IP-адресом извне (через Интернет). Это можно настроить здесь.

	Исходящий Здесь вы можете создавать, редактировать или удалять правила NAT для исходящего трафика. Вы можете выбрать автоматическое, гибридное или ручное создание правил NAT. Правила NAT для исходящего трафика применяются сверху вниз. Вы также можете полностью отключить исходящий NAT отсюда.

	NPt Трансляция сетевого префикса IPv6 (NPt) используется для преобразования одного префикса IPv6 в другой. NPt работает аналогично NAT 1: 1, но по IPv6. NPt настраивается отсюда.

Правила

Брандмауэр	/ Правила
	Правила По умолчанию в меню Firewall / Rules отображаются правила WAN. Щелкнув имя интерфейса в этом меню, вы перейдете к правилам брандмауэра этого интерфейса. Все правила брандмауэра в pfSense применяются сверху вниз. Отсюда вы можете создавать, редактировать или удалять правила брандмауэра для выбранного интерфейса.

	Плавающие Плавающие правила межсетевого экрана влияют на несколько интерфейсов одновременно и применяются до правил межсетевого экрана интерфейса. Все правила брандмауэра в pfSense применяются сверху вниз. На этой странице вы можете создавать, редактировать или удалять правила плавающего брандмауэра.

	ФУРГОН
	LAN

Расписания

Брандмауэр	/ Расписания
	Расписания Вы можете определить расписания для включения и выключения правил брандмауэра и добавить определенное расписание к правилам по вашему выбору. Здесь вы можете создавать, редактировать или удалять расписания.

Формирователь трафика

Брандмауэр	/ Traffic Shaper
	По интерфейсу pfSense включает встроенный формирователь трафика, который может быть определен через интерфейс с этой страницы. Выбрав интерфейс из отображаемого списка, вы можете настроить формирование трафика для выбранного интерфейса. pfSense поддерживает два типа формирования трафика: ALTQ и ограничители.

	По очереди. Тип ALTQ Traffic Shaper работает путем создания очередей трафика, которыми он управляет в соответствии с определенными параметрами. Здесь отображаются все очереди трафика ALTQ, которые можно редактировать.

	Ограничители Ограничение полосы пропускания для определенных хостов другой способ pfSense может выполнять формирование трафика. Здесь вы можете создавать, редактировать или удалять ограничители.

	Wizards pfSense включает мастер формирования трафика. Следуя инструкциям на экране, pfSense автоматически настроит для вас формирование трафика. Имейте в виду, что результаты, скорее всего, потребуют небольшой настройки для оптимальной работы.

Виртуальные IP-адреса

Брандмауэр	/ Виртуальные IP-адреса
	Виртуальные IP-адреса Виртуальные IP-адреса – это IP-адреса, которые не назначены никаким физическим интерфейсам в вашей системе, но которые все еще маршрутизируются межсетевым экраном. Виртуальные IP-адреса обычно используются для преобразования сетевых адресов, мобильности, отказоустойчивости и аварийного переключения. pfSense поддерживает четыре типа виртуальных IP-адресов:

Псевдоним IP
Карп
Прокси-ARP
Другой

Их можно настроить здесь. | |

Услуги

В меню «Службы», как следует из названия, вы можете управлять различными службами, работающими в вашей системе pfSense. Таким образом, такие вещи, как Captive Portal, DHCP-серверы или ретрансляторы, DNS Forwarder и Resolver, Dynamic DNS и т.д., Настраиваются и управляются из меню Services.

Резервное копирование автоматической конфигурации

Услуги	/ Автоматическое резервное копирование конфигурации
	Настройки pfSense предоставляет бесплатный зашифрованный инструмент облачного резервного копирования, который выполняет резервное копирование конфигураций брандмауэра на серверы Netgate. Службу можно включать, отключать и настраивать на этой странице.

	Восстановить На этой странице вы можете восстановить систему, используя одну из ваших резервных копий.

	Резервное копирование сейчас Отсюда вы можете выполнить резервное копирование на серверы Netgate вручную.

Портал захвата

Услуги	/ Портал авторизации
	Адаптивные зоны портала Адаптивный портал – это программное обеспечение, которое заставляет пользователей в сети аутентифицировать себя перед получением доступа к сети / Интернету. Этот этап аутентификации происходит после того, как пользователь ввел пароль Wi-Fi и подключился к маршрутизатору, перенаправляя свое соединение на HTML-страницу аутентификации. После правильной аутентификации предоставляется доступ к сети / Интернету. Например, это распространено в отелях. Когда подключаемый портал работает в сегменте сети (подсети), он называется зоной адаптивного портала. На этой странице отображаются все зоны адаптивного портала, которые вы настроили в своей системе. При нажатии кнопки «Добавить» для создания зоны или при редактировании существующей зоны отображаются следующие страницы.

	Конфигурация Здесь вы настраиваете зону адаптивного портала. Вы можете настроить такие вещи, как интерфейс, в котором он работает, аутентификацию, учет и содержимое HTML-страницы страницы перенаправления адаптивного портала.

	МКВ Вы можете фильтровать доступ к пленным портала (блок или перепускной пленного портала), а также предел вверх и вниз полосы пропускания для конкретных клиентов, по MAC адресу, здесь.

	Разрешенные IP- адреса. Страница «Разрешенные IP-адреса» работает точно так же, как и страница «MAC-адреса», но фильтрует ее по IP-адресу, а не по MAC-адресу. Отсюда вы можете фильтровать доступ к адаптивному порталу, а также ограничивать повышающую и понижающую пропускную способность для определенных клиентов по IP-адресу.

	Разрешенные имена хостов Страница «Разрешенные имена хостов» работает точно так же, как страница «Разрешенные IP-адреса», но фильтрует по имени хоста, а не по IP-адресу. Отсюда вы можете фильтровать доступ к адаптивному порталу, а также ограничивать пропускную способность для определенных клиентов по имени хоста.

	Ваучеры. Вы можете предоставить доступ к адаптивному порталу, выпуская повременные ваучеры. Они генерируются с этой страницы.

	Диспетчер файлов На этой странице вы можете загрузить или удалить ресурсы, которые будут использоваться для создания пользовательской HTML-страницы адаптивного портала.

Ретранслятор DHCP

Услуги	/ DHCP-ретранслятор
	DHCP Relay На этой странице вы можете настроить службу IPv4 DHCP Relay для выбранного интерфейса. Ретранслятор DHCP используется, чтобы позволить серверу DHCP в одном сегменте сети предоставлять IP-адреса клиентам в других сегментах сети. Убедитесь, что DHCP-сервер отключен. DHCP Relay и DHCP-сервер не могут использоваться одновременно.

DHCP-сервер

Услуги	/ DHCP-сервер
	DHCP-сервер На этой странице вы можете настроить DHCP-сервер IPv4 для выбранного интерфейса. Убедитесь, что DHCP Relay отключен. DHCP Relay и DHCP-сервер не могут использоваться одновременно.

Ретранслятор DHCPv6

Услуги	/ DHCPv6 реле
	DHCPv6 Relay На этой странице вы можете настроить службу IPv6 DHCP Relay для выбранного интерфейса. Убедитесь, что DHCP-сервер отключен. DHCP Relay и DHCP-сервер не могут использоваться одновременно.

Сервер DHCPv6 и RA

Услуги	/ Сервер DHCPv6 и RA
	Сервер DHCPv6 На этой странице можно настроить сервер DHCP IPv6 для выбранного интерфейса. Убедитесь, что DHCP Relay отключен. DHCP Relay и DHCP-сервер не могут использоваться одновременно.

	Объявления маршрутизатора На этой странице вы можете настроить объявления маршрутизатора для сервера DHCPv6. Для того чтобы сервер DHCPv6 был активен в сети, объявления маршрутизатора должны быть установлены в управляемый или вспомогательный режим.

DNS-сервер пересылки

Услуги	/ DNS-сервер пересылки
	DNS Forwarder На этой странице вы можете включить, отключить и настроить DNS Forwarder. Сервер пересылки DNS пересылает ваши DNS-запросы на DNS-серверы, которые вы настроили в разделе «Система / Общие настройки». Вы также можете настроить переопределения домена и хоста для DNS Forwarder здесь.

DNS-преобразователь

Услуги	/ DNS Resolve
	Общие настройки DNS-преобразователь в pfSense использует несвязанный, проверяющий, рекурсивный, кеширующий DNS-преобразователь, и его предпочтение отдается DNS-серверу пересылки. DNS-преобразователь может либо запрашивать корневые серверы, либо быть настроенным в режиме пересылки и пересылать ваши запросы на DNS-серверы, которые вы настроили в System / General Setup. На этой странице вы можете включать, отключать и настраивать DNS Resolver. Вы также можете настроить переопределения домена и хоста для DNS Resolver здесь.

	Расширенные настройки Как следует из названия, здесь вы можете дополнительно настроить DNS Resolver, используя расширенные параметры.

	Списки доступа Здесь вы можете настроить списки доступа для фильтрации доступа к DNS Resolver. Вы можете установить действие (запретить, отклонить, разрешить, разрешить отслеживание, запретить нелокальный, запретить нелокальный) и сети, к которым применяется список.

Динамический DNS

Услуги	/ Динамический DNS
	Клиенты с динамическим DNS Динамический DNS позволяет подключиться к брандмауэру pfSense из Интернета, используя имя хоста, а не его IP-адрес. Имя хоста всегда остается неизменным, даже если основной IP-адрес изменяется. Это может быть полезно, например, для доступа к VPN. На этой странице вы можете включать, отключать и настраивать динамический DNS в вашей системе. При выборе поставщика динамического DNS из списка параметры на странице обновляются соответствующим образом.

	RFC 2136 Клиенты RFC 2136 Dynamic DNS регистрирует имя хоста на любом DNS-сервере, поддерживающем обновления стиля RFC 2136. Эти динамические DNS-клиенты могут быть настроены здесь.

	Проверить IP-службы На этой странице отображается служба проверки IP-адресов, используемая динамическим DNS. По умолчанию используется dyndns.org. Но вы можете отключить его и добавить здесь свой собственный.

IGMP прокси

Услуги	/ IGMP-прокси
	Прокси- сервер IGMP Прокси-сервер IGMP позволяет проксировать многоадресный трафик между сегментами сети. Это можно настроить на этой странице.

Балансировщик нагрузки

Услуги	/ Балансировщик нагрузки
	Пулы pfSense изначально поддерживает балансировку нагрузки сервера и переключение при отказе с помощью relayd. На этой странице вы можете создавать пулы балансировки нагрузки / отработки отказа и определять веб-серверы, которые являются частью каждого пула.

	Виртуальные серверы На странице «Виртуальные серверы» вы определяете общедоступный IP-адрес и порт для веб-серверов.

	Мониторы Отсюда вы можете настроить различные мониторы, которые будет использовать relayd. Многие уже настроены. Отсюда вы можете добавлять, редактировать или удалять мониторы.

	Настройки Отсюда вы можете настроить несколько дополнительных параметров, таких как время ожидания, интервал и значения предварительной вилки.

NTP

Услуги	/ NTP
	Настройки Страницы Services / NTP позволяют настроить pfSense в качестве сервера протокола сетевого времени (NTP) для синхронизации часов систем, подключенных к брандмауэру. На странице настроек вы можете выбрать интерфейсы, которые будет прослушивать сервер NTP, и определить серверы времени, используемые вашим локальным сервером NTP, среди других настроек.

	ACL На этой странице вы можете определить ограничения доступа к локальному серверу NTP.

	Последовательный GPS Вы можете использовать GPS, подключенный через последовательный порт, в качестве эталонных часов для NTP. Это настраивается здесь.

	PPS Вы можете использовать устройство с выходом импульсов в секунду (PPS) в качестве эталона PPS для NTP. Это настраивается здесь.

PPPoE сервер

Услуги	PPPoE сервер
	Сервер PPPoE pfSense может использоваться в качестве сервера протокола точка-точка через Ethernet (PPPoE) и принимать и аутентифицировать соединения от клиентов PPPoE на локальном интерфейсе. Это настраивается здесь.

SNMP

Услуги	/ SNMP
	SNMP Вы можете контролировать свой брандмауэр pfSense, используя простой протокол сетевого управления (SNMP). Службу SNMP можно включать, отключать и настраивать на этой странице.

UPnP и NAT-PMP

Услуги	/ UPnP и NAT-PMP
	UPnP и NAT-PMP Универсальный Plug & Play (UPnP) и протокол сопоставления портов NAT (NAT-PMP) позволяют программному обеспечению и устройствам настраивать друг друга для правильной связи при подключении к сети. Оба они изначально поддерживаются pfSense и настраиваются на этой странице. Вы также можете настроить ACL (список управления доступом) для UPnP отсюда.

Wake On LAN

Услуги	/ Wake On LAN
	Wake-on-LAN Wake-on-LAN (WoL) – это услуга, которую можно использовать для удаленного включения компьютеров в вашей сети путем отправки так называемых «волшебных пакетов». Сетевая карта в компьютере, который вы хотите включить, должна поддерживать WoL, и ее BIOS также должен быть настроен для поддержки. На этой странице вы можете динамически включить один из компьютеров в вашей сети, введя его MAC-адрес. Вы также можете добавить компьютеры в список Wake-on-LAN Devices (по MAC-адресу) и включить их все сразу с помощью кнопки Wake All Devices.

VPN

pfSense изначально поддерживает три протокола виртуальной частной сети (VPN): IPsec (IKEv1 и IKEv2), L2TP / IPsec и OpenVPN. Все три настраиваются из меню VPN.

IPsec

VPN	/ IPsec
	Туннели Здесь вы можете настроить pfSense для работы в качестве сервера IPsec VPN. На странице «Туннели» вы можете создавать, редактировать или удалять туннели IPsec. На странице «Туннели» отображаются все туннели фазы 1, настроенные в вашей системе, и связанные с ними туннели фазы 2.

	Мобильные клиенты Здесь вы включаете / отключаете и настраиваете поддержку мобильных клиентов IPsec. На этой странице вы можете настроить такие вещи, как источники аутентификации, виртуальные IP-адреса и многое другое.

	Предварительно общие ключи На этой странице отображаются общие ключи IPsec (если есть). Отсюда вы можете создавать, редактировать или удалять общие ключи IPsec.

	Расширенные настройки На этой странице вы можете настроить различные параметры IPsec, такие как сжатие IP и строгая привязка интерфейса, а также другие параметры.

L2TP

VPN	/ L2TP
	Конфигурация L2TP – это протокол туннелирования, который используется вместе с IPsec (IKEv1) в протоколе L2TP / IPsec VPN. L2TP сам по себе не обеспечивает шифрование. IPsec шифрует пакеты, проходящие через туннель L2TP, в L2TP / IPsec. На этой странице вы можете включать, отключать и настраивать L2TP.
	Пользователи На этой странице перечислены все ваши пользователи L2TP. Здесь вы можете создавать, редактировать и удалять пользователей L2TP.

OpenVPN

VPN	/ OpenVPN
	Серверы На странице Серверы вы можете создать и настроить локальный сервер OpenVPN. Вы также можете удалить серверы OpenVPN отсюда.

	Клиенты На странице «Клиенты» вы можете создать и настроить локальный клиент OpenVPN. Вы также можете удалить клиентов OpenVPN отсюда.

	Переопределения для конкретного клиента Отсюда вы можете переопределить некоторые параметры OpenVPN, включив некоторые из доступных параметров в графическом интерфейсе или добавив дополнительные директивы OpenVPN, которые применяются к конкретному пользователю одного из ваших настроенных серверов OpenVPN. Примером может быть присвоение пользователю определенного IP-адреса (ifconfig-push 10.10.0.10).

	Wizards pfSense включает в себя мастер сервера OpenVPN. Следуя инструкциям на экране, pfSense автоматически настроит для вас сервер OpenVPN.

См. Также: Лучшие VPN для pfSense

Status

На страницах состояния отображается информация о состоянии различных служб, работающих в вашей системе pfSense. В меню «Состояние» вы найдете множество тех же подменю, что и в меню «Службы». Но в то время как меню «Службы» позволяет редактировать настройки служб, меню «Состояние» предоставляет информацию о состоянии настроенных служб. Некоторые страницы могут быть пустыми в зависимости от вашей конфигурации и запущенных служб.

Портал захвата

Status	/ Портал авторизации
	Адаптивный портал На странице статуса адаптивного портала отображаются все активные пользователи ваших зон аварийного портала.

Карп

Status	/ CARP
	CARP Протокол маршрутизации кэш-массивов (CARP) позволяет создавать виртуальные IP-адреса, которые будут использоваться для настройки синхронизации высокой доступности в pfSense. На странице статуса CARP отображается текущий статус всех настроенных виртуальных IP-адресов CARP. Вы также можете включить и отключить CARP здесь.

Приборная панель

Status	/ Приборная панель
	Щелкнув это меню, вы попадете на панель управления pfSense.

Аренда DHCP

Status	/ Аренда DHCP
	Аренда DHCP На странице «Статус аренды DHCP» отображаются все аренды IPv4 DHCP и их статус (активный, истекший, статический).

Аренда DHCPv6

Status	/ Аренда DHCPv6
	Аренда DHCPv6 На странице «Статус аренды DHCPv6» отображаются все ваши аренды DHCPv6 и их статус (активный, истекший, статический).

DNS-преобразователь

Status	/ DNS Resolve
	DNS-преобразователь На странице состояния DNS-преобразователя отображается статистика кэширования для каждого настроенного DNS-сервера на странице «Система / Общие настройки».

Перезагрузить фильтр

Status	/ Перезагрузить фильтр
	Перезагрузка фильтра На этой странице отображается состояние последнего запроса на перезагрузку фильтра и можно принудительно перезагрузить фильтр пакетов, нажав кнопку «Перезагрузить фильтр».

Шлюзы

Status	/ Шлюзы
	Шлюзы На странице состояния шлюзов перечислены все настроенные шлюзы и представлена высокоуровневая статистика для каждого из них.

	Группы шлюзов На странице «Состояние групп шлюзов» перечислены все настроенные группы шлюзов и перечислены уровни каждого члена группы шлюзов.

Интерфейсы

Status	/ Интерфейсы
	Интерфейсы На этой странице перечислены все настроенные интерфейсы в вашей системе и отображается высокоуровневая информация по каждому из них.

IPsec

Status	/ IPsec
	Обзор На странице «Обзор» перечислены все активные подключения IPsec и предоставлена общая информация о каждом подключении. Он также отображает информацию о записях дочерней ассоциации безопасности (SA) каждого соединения.

	Аренда На этой странице перечислены активные аренды IPsec.

	SAD На странице Базы данных ассоциаций безопасности (SAD) перечислены все активные ассоциации безопасности IPsec.

	SPD На странице состояния баз данных политик безопасности (SPD) отображаются все активные политики безопасности IPsec.

Балансировщик нагрузки

Status	/ Балансировщик нагрузки
	Пулы На странице «Балансировщик нагрузки / Пулы» перечислены существующие пулы балансировки нагрузки / переключения при отказе и отображается высокоуровневая информация о них.

	Виртуальные серверы На странице «Балансировщик нагрузки / Виртуальные серверы» перечислены существующие виртуальные серверы (общедоступный IP-адрес и порт) и отображается высокоуровневая информация о них.

Мониторинг

Status	/ Мониторинг
	Мониторинг Страница состояния мониторинга позволяет вам создать настраиваемый график для мониторинга вашей системы с использованием предоставленных показателей, таких как используемая полоса пропускания, использование ЦП, состояния брандмауэра и т.д. После выбора параметров нажмите «Обновить графики», и отобразится ваш настраиваемый график. со сводкой данных ниже.

NTP

Status	/ NTP
	NTP На этой странице отображается информация о серверах NTP, используемых вашей системой.

OpenVPN

Status	/ OpenVPN
	OpenVPN На странице состояния OpenVPN перечислены все активные клиентские подключения OpenVPN к локальным и удаленным серверам OpenVPN.

Журналы пакетов

Status	/ Журналы пакетов
	Журналы пакетов Журналы некоторых дополнительных пакетов можно просмотреть на этой странице. Здесь не отображаются собственные журналы pfSense.

Очереди

Status	/ Очереди
	Очереди На странице состояния очередей приводится информация об активных очередях формирования трафика. Образцы данных графиков очереди отображаются через равные промежутки времени.

Услуги

Status	/ Услуги
	Службы На этой странице отображается состояние различных служб, настроенных на вашем брандмауэре. Вы также можете остановить или перезапустить каждую службу, а также несколько других вариантов в зависимости от службы.

Системные журналы

Status	/ Системные журналы
	Системные журналы Здесь вы можете просмотреть различные собственные журналы, созданные pfSense. Журналы организованы по службе. Некоторые разделы могут быть пустыми в зависимости от вашей конфигурации и запущенных вами служб.

	Настройки На странице Системные журналы также есть страница настроек. На странице настроек вы можете настроить такие вещи, как ротация журналов, включить или отключить ведение журнала определенных правил брандмауэра по умолчанию, а также настроить pfSense для входа на удаленный сервер системного журнала.

График трафика

Status	/ График трафика
	График трафика На странице состояния графика трафика вы можете создать график в реальном времени для любого настроенного интерфейса в вашей системе. Вы можете отображать данные о входящей или исходящей полосе пропускания и установить несколько других дополнительных параметров.

UPnP и NAT-PMP

Status	/ UPnP и NAT-PMP
	UPnP и NAT-PMP На этой странице отображается список текущих активных переадресаций портов UPnP.

Диагностика

Меню «Диагностика» содержит инструменты, которые позволяют устранять неполадки, тестировать и измерять производительность системы. Также здесь вы можете выполнять резервное копирование и восстановление локальной конфигурации, а также редактировать системные файлы, восстанавливать систему до заводских настроек, а также перезагружать и выключать pfSense.

Таблица ARP

Диагностика	/ Таблица ARP
	Таблица ARP На странице Таблица протокола разрешения адресов (ARP) отображаются все записи ARP, настроенные в системе, со списком IP- и MAC-адресов, а также состояния и типа ссылки для каждой из них. Вы также можете удалить записи ARP отсюда.

Аутентификация

Диагностика	/ Аутентификация
	Аутентификация Страница диагностики аутентификации позволяет выполнять тесты аутентификации на любом из настроенных вами серверов аутентификации. Выберите сервер аутентификации и введите имя пользователя и пароль, чтобы выполнить тест аутентификации.

Восстановления резервной копии

Диагностика	/ Восстановления резервной копии
	Резервное копирование и восстановление На этой странице вы можете вручную выполнить локальное резервное копирование или восстановление конфигурации pfSense. Вы также можете выбрать переустановку только дополнительных пакетов, перечисленных в вашей конфигурации, при выполнении восстановления.

	История конфигурации pfSense автоматически создает резервную копию своего файла конфигурации каждый раз, когда в графическом интерфейсе вносятся изменения. На странице истории конфигурации перечислены последние 30 резервных копий конфигурации и показаны действия, которые инициировали создание резервной копии. Отсюда вы можете восстановить любую из сохраненных конфигураций, а также загрузить или удалить сохраненный файл конфигурации. Возможно, вам потребуется перезагрузить систему, чтобы восстановленная конфигурация вступила в силу.

Командная строка

Диагностика	/ Командная строка
	Командная строка На странице командной строки вы можете выполнить команду оболочки, загрузить или загрузить файл в / из файловой системы pfSense и выполнить команды PHP.

Поиск DNS

Диагностика	/ Поиск DNS
	Поиск в DNS На этой странице можно выполнить поиск в DNS. При выполнении поиска DNS pfSense запрашивает все DNS-серверы, настроенные на странице «Система / Общие настройки». Просто введите имя хоста, которое вы хотите найти, и отобразится его IP-адрес, а также время запроса для каждого DNS-сервера.

Редактировать файл

Диагностика	/ Редактировать файл
	Редактировать файл На этой странице вы можете перейти к любому файлу в файловой системе и внести изменения. Это может быть разрушительным и не рекомендуется, если вы не знаете, что делаете.

Заводские установки

Диагностика	/ Заводские установки
	Заводские настройки. При выборе этого пункта меню для pfSense восстанавливаются настройки по умолчанию.

Система остановки

Диагностика	/ Система остановки
	Остановить систему При нажатии этого пункта меню отключается pfSense.

Информация об ограничении

Диагностика	/ Информация о пределе
	Информация об ограничителе На этой странице отображаются каждый настроенный ограничитель и дочерняя очередь в текстовом формате.

Таблица NDP

Диагностика	/ ПНР Таблица
	Таблица NDP На странице Таблица NDP отображается список протокола обнаружения соседей IPv6. Список содержит все текущие одноранговые узлы IPv6 и по сути эквивалентен таблице ARP для IPv4.

Захват пакетов

Диагностика	/ Захват пакетов
	Захват пакетов Страница захвата пакетов позволяет выполнять захват пакетов для любого настроенного интерфейса в системе. Вы можете установить различные параметры, такие как протокол, порт и количество пакетов, среди прочего. Как только захват пакета остановлен, вы можете просмотреть или загрузить его.

pfInfo

Диагностика	/ pfInfo
	pfInfo На странице pfInfo отображается статистика и счетчики для фильтра пакетов межсетевого экрана. Эти статистические данные и счетчики служат метриками для оценки того, как пакетный фильтр обрабатывает данные.

pfTop

Диагностика	/ pfTop
	pfTop На этой странице перечислены все соединения в таблице состояний. На странице также есть панель фильтров, позволяющая искать определенные соединения. Если соединение активно, вы можете подключиться к консоли pfSense (ssh или физический доступ) и выбрать опцию 9 в меню, чтобы просмотреть поток трафика в реальном времени.

пинг

Диагностика	/ Пинг
	Ping Эта страница позволяет вам пинговать хосты из pfSense. Вы можете выбрать свой IP-протокол, адрес источника и количество эхо-запросов.

Перезагрузить

Диагностика	/ Перезагрузить
	Перезагрузка При выборе этого пункта меню выполняется перезагрузка pfSense.

Маршруты

Диагностика	/ Маршруты
	Маршруты На этой странице отображаются все маршруты IPv4 и IPv6, настроенные в вашей системе.

Статус SMART

Диагностика	/ Статус SMART
	Состояние SMART Эта страница позволяет вам выполнять тесты работоспособности жесткого диска на жестких дисках pfSense. Отсюда вы можете просмотреть статус SMART вашего накопителя, выполнить самотестирование и просмотреть журналы тестирования.

Розетки

Диагностика	/ Розетки
	Сокеты На этой странице отображается список активных сокетов TCP / IP для IPv4 и IPv6, которые используются самим межсетевым экраном. По умолчанию в списке отображаются только прослушивающие сокеты, но вы можете нажать Показать все подключения, чтобы отобразить сокеты, используемые системой, выполняющей внешние подключения.

состояния

Диагностика	/ Состояния
	Состояния На странице «Состояния» отображается таблица состояний брандмауэра, в которой перечислены интерфейс, протокол, источник и место назначения и многое другое. На странице также есть панель фильтров, позволяющая выполнять поиск по содержимому таблицы состояний.

	Сброс состояний На этой странице вы можете сбросить таблицу состояний, установив флажок «Сбросить таблицу состояний брандмауэра» и нажав «Сброс». Когда вы сбрасываете таблицу состояний, все существующие соединения разрываются, и их необходимо будет восстановить.

Резюме состояний

Диагностика	/ Сводка по состояниям
	Сводка состояний На странице «Сводка состояний» представлена статистика по таблице состояний и ее соединениям.

Системная активность

Диагностика	/ Системная активность
	Активность системы На этой странице отображается список наиболее активных процессов, запущенных в системе.

Столы

Диагностика	/ Таблицы
	Таблицы На странице «Таблицы» вы можете выбрать любой из настроенных псевдонимов хоста или URL-адресов в вашей системе из списка и отобразить его содержимое. Псевдонимы преобразуются в таблицы, когда они используются в активных правилах брандмауэра.

Тестовый порт

Диагностика	/ Тестовый порт
	Тестовый порт На странице «Тестовый порт» вы можете проверить, включен ли хост и принимает ли он соединения через указанный порт TCP. Заполните обязательные поля и нажмите Тест.

Traceroute

Диагностика	/ Traceroute
	Traceroute Страница Traceroute позволяет выполнить трассировку (например, с помощью команды traceroute, доступной на многих платформах). Он отправляет специальный пакет, который отслеживает маршрут, по которому он проходит от хоста pfSense к удаленному хосту, и отображает список промежуточных переходов.

Помощь

Меню Help предоставляет вам дополнительные ресурсы, чтобы узнать о pfSense.

Об этой странице

Помощь	/ Об этой странице
	Об этой странице. Щелчок по этому пункту меню в любом месте пользовательского интерфейса pfSense открывает соответствующий раздел документации pfSense в вашем браузере в зависимости от страницы, на которой вы находитесь в графическом интерфейсе пользователя pfSense.

База данных ошибок

Помощь	/ База данных ошибок
	База данных ошибок. Щелкнув этот пункт меню, вы попадете на страницу отслеживания ошибок pfSense в вашем браузере.

Документация

Помощь	/ Документация
	Документация При выборе этого пункта меню в браузере открывается документация по pfSense.

Справочник FreeBSD

Помощь	/ Справочник FreeBSD
	Справочник FreeBSD. Щелчок по этому пункту меню открывает в вашем браузере документацию FreeBSD.

Платная поддержка

Помощь	/ Платная поддержка
	Платная поддержка. При выборе этого пункта меню в вашем браузере открывается веб-страница Netgate. Здесь вы можете приобрести платную поддержку.

pfSense Книга

Помощь	/ pfSense Книга
	Книга pfSense При выборе этого пункта меню в браузере открывается книга pfSense. Хотя книга и документация похожи, они имеют разное содержание.

Форум пользователей

Помощь	/ Форум пользователей
	Форум пользователя При нажатии на этот пункт меню в браузере открывается форум пользователей pfSense.

Опрос пользователей

Помощь	/ Опрос пользователей
	Опрос пользователей При выборе этого пункта меню в вашем браузере открывается опрос pfSense. Он размещен на сайте Surveymonkey.com.

Источник записи: https://www.comparitech.com

Источник

Часть 1: Введение

<<< К Оглавлению | Следующая глава >>>

Что такое pfSense?

Это свободно распространяемый дистрибутив маршрутизатора/брандмауера основанный на FreeBSD и удобным управлением через веб-интерфейс WebGUI. Для установки и использования pfSense не требуется знание системы FreeBSD как таковой, а большинство пользователей никогда не столкнется с FreeBSD за пределами pfSense. С помощью pfSense можно организовать лучший маршрутизатор для дома. Данная платформа заработала большую популярность благодаря своей мощности и гибкости, а большой набор связанных функций и системных пакетов еще больше расширяет возможности системы. pfSense — проект доказавший свою эффективность во всех областях применения, от малых домашних сетей до крупных организаций с тысячами едениц активного сетевого оборудования.

Основание проекта

Проект был основан в 2004 году Крисом Бухлером и Скоттом Аллричем. Немного ранее, Крис работал над проектом m0n0wall, однако многим пользователям стало не хватать возможностей реализованных в проекте разработанном для создания встроенных устройств. Так и появился проект pfSense.

Почему FreeBSD?

Поскольку корни многих компонентов pfSense берут свое начало в OpenBSD, резонно задать вопрос, почему FreeBSD а не OpenBSD. Выбирая ОС для данного проекта рассматривалось множество факторов, далее мы постараемся в общих чертах объяснить свой выбор.

Поддержка беспроводных сетей всегда являлась критически важной для проектов такого рода, но во время основания проекта (2004 год), поддержка беспроводных сетей в OpenBSD была выполнена на очень низком уровне, в то время как в FreeBSD она была гораздо шире. К тому же OpenBSD не поддерживала протоколы шифрования WPA и WPA2. Конечно, с 2004 года OpenBSD сильно изменилась, но по возможностям работы с беспроводными устройствами FreeBSD остается в лидерах. Кроме того, производительность остльных протоколов сетевого стека FreeBSD значительно выигрывает у OpenBSD.

pfSense с самого основания использовал кодовую базу m0n0wall, в свою очередь основанную на FreeBSD, поэтому проще было остаться именно на FreeBSD. Коме того, Крис и Скотт и раньше работали вместе над коммерческими решениями брандмауеров на базе FreeBSD.

Общие концепции развёртывания

Данный раздел описывает в общих чертах наиболее частые варианты развертывания. pfSense идеально подходит для развертывания сетевой среды любого размера, не имеет значения один ли хост в сети или тысячи.

Наиболее частый способ развертывания pfSense — в виде обычного брандмауэра для организации общего доступа к сети интернет:

Интернет Соединение -> WAN

Локальная Сеть -> LAN

Но pfSense предоставляет гораздо большие возможности, такие как множественные интернет-соединения (MultiWAN), множество LAN сетей, множество DMZ сетей и пр. Более продвинутые пользователи могут использовать возможности BGP (Border Gateway Protocol) реализующий избыточность соединений и балансировку нагрузки. Более подробно читайте главу 8, Маршрутизация.

Маршрутизатор

Для крупных сетей, имеющих множество сегментов ЛВС, pfSense — это проверенное решение позволяющее объеденить эти сегменты и наладить обмен внутри них. Такое развертывание осуществляется посредством VLAN с транкингом 802.1Q, который будет описан в главе 10, Виртуальные LAN (VLANs).

Замечание:

В сетевой среде, требующей длительной пропускной способности >3Гбит/c (500 000 пакетов/c) не могут применяться маршрутизаторы, построеные на программном уровне. Для таких задач требуется использовать оборудование 3-го уровня (маршрутизация на аппаратном уровне).

Для провайдеров WAN, предоставляющих клиентам порт Ethernet, pfSense — прекрасное решение для частных маршрутизаторов WAN. Оно предлагает всю функциональность, которая требуется большинству сетей при более низких затратах.

Для небольших WAN-провайдеров, предоставляющих клиентам подключение к сети интернет посредством Ethernet-порта pfSense станет идеальным решением благодаря предоставляемой функциональности, достаточной для большинства сетей при наименьших затратах.

Довольно часто pfSense используют исключительно для развертывания в качестве беспроводной точки доступа. Имейте виду: беспроводные возможности могут быть добавлены к любому виду развертывания и в любой момент.

Устройства особого назначения

Многие пользователи предпочитают развертывать pfSense как устройство особого назначения. Есть несколько основных сценариев такого развертывания и великое множество других, о которых мы сами не знаем.

Некоторые пользователи используют pfSense в качестве VPN-сервера за уже существующим периметровым брандмауером. В этом случае к сетевой среде добавляются возможности VPN и не вностится никаких изменений в существующую схему сети.

Так же pfSense позволяет реализовать свой DNS-сервер на базе TinyDNS — маленьком, быстром и безопасном DNS сервере. На выходе у Вас получится быстрый и надежный DNS не перегруженный лишними функциями. Он, конечно, не сможет похвастать таким кругом применения, как Microsoft AD, но будет отличным решением для реализации доступного DNS.

Если Вы думаете о том, как реализовать сниффер для развертывания сети филиалов pfSense поможет в этом! В нем реализован web-интерфейс для tcpdump, который позволяет загрузить результирующий файл pcap. Это позволяет произвести процесс захвата пакетов из сети филиалов и загрузить результирующий файл для дальнейшего анализа с помощью сторонних утилит, вроде Wireshark. Естевственно pfSense не имеет такой же функциональности, как коммерческие снифферы, но он предлагает соответствующий функционал при наименьших затратах. Подробнее о функции захвата пакетов в pfSense читайте в главе 25 «Захват пакетов»

Зачастую пользователи разворачивают pfSense как DHCP-сервер для организации раздачи ip-адресов в собственной сети. Абсолютная простота настройки через веб-интерфейс гарантирует удачное развертывание без дополнительного обучения администратора.

Версии pfSense

Этот раздел описывает различные версии pfSense, доступные на текущий момент и в прошлом.

На данный момент, самой последней стабильной версией является v2.0.1 RELEASE, вышедшая в свет 21 декабря 2011 года. Были внесены значительные изменения и обновления практически во все компоненты системы, а главное, с версии 2.0 RELEASE — был совершен переход на ОС FreeBSD 8.1, благодаря чему стала доступна поддержка еще большего количества оборудования. Так же был заметно увеличен функционал системы.

Релиз 1.2.3 по сравнению с версией 1.2.2 имеет множество нововведений и улучшений, а также использует обновленную версию FreeBSD 7.2. Данный материал отностится ко всем версиям 2.x и, возможно, последующие релизы.

Релиз 1.2 был первой стабильной версией ряда релизов и стал доступен 25 февраля 2008 года. Обновления 1.2.1 реализовали множество исправлений и некоторые незначительные патчи безопасности, и кроме того был осуществлён переход к ОС FreeBSD 7.0. Релиз 1.2.2 имел несколько дополнительных исправлений.

Данный релиз стал первым релизом pfSense классифицированным как стабильный. Он был выпущен 4 октября 2006 года и его развитием стал релиз 1.0.1 вносящий ряд исправлений, который появился 20 октября 2006 года . Хотя до сих пор существуют работающие версии 1.0, данный релиз больше не поддерживается и мы строго рекомендуем обновление, как минимум до версии 1.2.3. Релиз 1.0.1 содержит несколько незначительных уязвимостей безопасности, исправленных в версиях 1.2 или 1.2.1.

Снапшоты

Каждые два часа в репозитории исходного кода создаются снапшоты pfSense. Наибольший интерес они представляют для разработчиков и пользователей занимающихся тестированием системы. Снапшоты доступны на сервере http://snapshots.pfsense.org

Платформы

pfSense предлагает три платформы, подходящие для трёх различных типов развёртывания. Этот раздел рассматривает каждую из них и потребности в их выборе. pfSense доступен на трех платформах, подходящих для трех различных вариантов развертывания. Далее мы постараемся рассмотреть каждую их них.

Live CD позволяет работать непосредственно с CD диска, не требуя установки системы на жесткий диск или CompactFlash носитель. После загрузки системы, доступ к CD уже не требуется, так как сама система уже работает из RAM памяти, но CD все же не должен удаляться из системы. В основном такой способ используется для оценки системы на ваших аппаратных средствах. Хотя некоторые пользователи и используют данный вариант как рабочий, но мы советуем прибегнуть к нормальной установке системы.

Внимание! Пользователи использующие LiveCD как рабочий вариант НЕ могут использовать дополнительные пакеты и потеряют историю графиков производительности при перезагрузке системы.

Так же LiveCD включает в себя установщик, позволяющий развернуть pfSense на жесткий диск или другое хранилище вашей системы. Данный способ установки является рекомендуемым. По нашей статистике 80% всех установок системы — полные инсталляции, следовательно это самый протестированный вариант развертки. Он имеет наилучшую поддержку и не имеет ограничений, по сравнению с другими платформами.

Следом идет версия для встроенных систем, адаптированная для использования с любыми аппаратными средствами, использующая CompactFlash (CF), а не жесткий диск в качестве носителя. Так как CF имеют ограниченное количество циклов перезаписи, встроенные версии используют их только в режиме чтения, благодаря использованию файловой системы чтения/записи RAM-диска. Но даже при таких условиях CF карты поддерживаются огромным числом встроенного оборудования. Хотя CF карты меньше стандартного разъема IDE, они имеют такое же число контактов, следовательно они являются совместимыми. Плюс к этому, CF является твердотельным накопителем, что сводит шансы механической поломки ближе к нулю. Встроенные системы столь популярны по многим причинам, но главное, это наименьшее потребление питания, отсутствие механических приводов и бесшумная работа и сравнительно низкая стоимость. Этот вариант платформы pfSense второй по значимости после полной установки. Но существует и один недостаток встроенных систем, это потеря истории графиков RRDtool при полном отключении питания, что конечно не влияет на производительность, но несколько неприятно.

Внимание! На embedded-плтформах версий 1.2.2 и более ранних не поддерживалась установка пакетов. Обновление так же работало несколько некорректно. 100% гарантию надёжного обновления давало только сохранение настроек конфигурации, очистка CF, и восстановление конфигурации.

NanoBSD является стандартным средством создания встроенных дистрибутивов FreeBSD. Он поддерживает двойной микрокод и надёжное обновление. В момент написания книги дистрибутив на NanoBSD был полностью функциональным и реально используемым. В версии 2.0 в дополнение поддерживается переключение между двумя различными инсталляциями. Так же поддерживаются пакеты для встроенной среды. Это позволит создавать кросс-платформенные сборки для архитектур отличных от x86, например MIPS и, возможно, ARM.

Сетевые концепции

Существуют определенные термины и понятия, которые очень важно правильно понимать. Если Вам не хватает знаний по сетям и работы с ними, Вам следует обратиться к дополнительной литературе. Читатели, которые имеют достаточно знаний по IP адресации, IP подсетях и CIDR нотации, могут перейти сразу к следующей главе.

В большинстве сетей присутствуют два типа IP адресов — публичные и частные. Частные IP адреса являются адресами зарезервированными в пределах подсетей, только для внутреннего использования. В тотальном большинстве сетей присутствуют два типа IP адресов — частные и публичные (могут также называться серыми и белыми).

Частными IP(серыми) называют адреса зарезервированные в пределах подсетей, только для внутреннего использования.

Стандарт RFC 1918 определяет подсети IP зарезервированные для использования в частных сетях (см. Таблицу 1.1.»RFC 1918 пространство частных IP адресов») В большинстве сетевых сред частные подсети по RFC 1918 используются для всех устройств внутри сети, которые соединяются с интернет посредством брандмауэра или маршрутизатора реализующих NAT (преобразование сетевых адресов), например как pfSense. NAT будет разбираться в главе 7, Преобразование сетевых адресов.

Подсети зарезервированные для использования в частных сетях определяет стандарт RFC1918(таблица 1.1). В большинстве сетевых сред подсети RFC1918 используются для всех устройств внутри сети. Эти устройства соединяются с Интернет посредством брандмауэра или маршрутизатора, реализующих NAT(преобразование сетевых адресов), например pfSense

Подробно о NAT читайте в главе 7.

Таблица 1.1

CIDR Range

10.0.0.0/8

172.16.0.0/12

192.168.0.0/16

IP Address Range

10.0.0.0-10.255.255.255

172.16.0.0 — 172.31.255.255

192.168.0.0 — 192.168.255.255

Существуют и другие диапазоны адресов, такие как 1.0.0.0/8 или 2.0.0.0/8, которые не попадают под RFC1918. Их так же можно использовать, однако вероятность того, что они были зарезервированы для каких-то реальных целей очень велика, в связи с сокращением адресного пространства IPv4. Так же не стоит использовать 169.254.0.0/16, который согласно RFC3927 зарезервирован под «Link-Local» автоконфигурацию и не должен присваиваться по DHCP или вручную. Если же Вы работаете с сетью не соответствующей рекомендациям на частные IP адреса, то Вам стоит незамедлительно заняться исправлением адресации в сети, не дожидаясь неполадок. Полный список сетей IPv4 зарезервированных под специальные нужды можно найти в RFC3330.

Публичные IP адреса присваивает Ваш Интернет-провайдер для всех, кроме особо крупных сетей. Для большой сети, требующей нескольких сотен, а то и тысяч публичных адресов, обычно присваивается адресное пространство целиком непосредственно Региональным Интернет Регистратором (RIR) обслуживающим данную область. RIR, это организация контролирующая выделение и регистрацию публичных адресов в определенном регионе. Большинство обычных интернет-соединений работает с одним публичным IP адресом, а большинство бизнес-структур при необходимости может выбрать опцию множественных публичных IP. Однако и единственный публичный IP в совокупности с NAT-сервером может использоваться для соединения сотен частных сиситем к сети интернет.

При конфигурации TCP/IP для нового устройства в сети, определяется его маска подсети. Это позволяет системе определить, какая часть IP-адреса устройства относится к самой сети, а какая — к адресу самого устройства в этой сети. Например устройство с IP адресом 192.168.1.78 и маской подсети 255.255.255.0 находится в сети 192.168.1.0/24 с длиной префикса в 24 бита. Подробнее о CIDR нотации Вы можете прочитать далее, в разделе «Понятие CIDR нотации маски подсети».

Конфигурация TCP/IP у устройства в сети состоит из трех параметров, это, собственно сам IP адрес, маска подсети и шлюз. Маска подсети совместно со шлюзом определяют то, как узел узнает IP адреса находящиеся в его локальной сети. Для остальных адресов, не попадающих под определение локальных, трафик перенаправляется к шлюзу по умолчанию, который должен знать, как данному трафику достигнуть своего места назначения. Есть исключение из этого правила,- это статический маршрут, задача которго сообщить маршрутизатору или системе о том, как связаться с внешними, не локльными сетями. Список статических маршрутов сохраняется на каждом устройстве в их таблице маршрутизации. Чтобы посмотреть таблицу маршрутизации, используемую в pfSense, а так же подробней узнать о маршрутизации обратитесь к Главе 8 «Маршрутизация».

При обычном применении pfSense, утсройствам в сети присваиваются IP адреса из диапазона LAN pfSense, при этом маска подсети LAN pfSense и IP адрес LAN pfSense будут использоваться как шлюз по умолчанию. Такие же правила применяются к устройствам подключенным к другим интерфейсам помимо LAN, используя конфигурацию этого интерфейса. При этом устройства находящиеся в пределах единственной сети связываются друг с другом без участия шлюза. Это означает, что никакой брандмауер, в том числе и pfSense, не может контролировать соединения типа host-host в пределах единого сетевого сегмента. Если такая функцианальность требуется, такие хосты должны быть сегментированы использованием множества коммутаторов или VLAN, либо должна использоваться функциональность свитчей, эквивалентная PVLAN. Подробнее о VLAN читайте в Главе 10 «Виртуальные LAN (VLAN)».

Понятие CIDR нотации маски подсети

Потому как pfSense использует формат маски подсети отличный от общепринятого 255.x.x.x, Вы можете быть не знакомы с ним. Это так называемая CIDR (безклассовая нотация междоменной маршрутизации). Ссылаяь на данные из Таблицы 1.2 «Таблица подсетей по CIDR» Вы можете определить CIDR собственной маски подсети.

CIDR образуется из чилса единиц маски подсети преобразованной в двоичный вид. Двоичный вид маски 255.255.255.0 это 11111111.11111111.11111111.00000000, то есть 24 единицы, следовательно CIDR нотация примет вид /24. При маске подсети 255.255.255.192 двоичный вид будет таким 11111111.11111111.1111111.11000000, а CIDR, соответственно /26.

Так же CIDR используется для целей суммаризации IP адресов и сетей. В таблице 1.2 столбец «Всего адресов» указывает число адресов всего доступных под маской CIDR. Для целей суммаризации полезен столбец «Число /24 сетей». CIDR нотация используется в нескольких частях web-интерфейса pfSense, таких как правила брандмауера, NAT, VirtualIP, IPSec итд. Сети и IP адреса, которые могут содержаться в пределах единой маски CIDR известны под термином CIDR summarizable. При проектировании сети следует убедиться, что все используемые подсети находятся в пределах определенной зоны CIDR суммаризации. Скажем, Вам необходимо три /24 подсети в одном местоположении — в таком случае используйте сеть /22 разделенную на 4 /24 подсети.

Таблица 1.3 показывает четыре /24 подсети которые вы можете использовать с подсетью 10.10.64.0/22.

разделение 10.10.64.0/22 на /24 сети

10.10.64.0/24

10.10.65.0/24

10.10.66.0/24

10.10.67.0/24

Таблица 1.3

Эти простые рекомендации позволят Вам создавать более надежные и управляемые сети. C CIDR суммаризуемыми подсетями Вы всегда имеете один маршрут назначения, который охватывает все сети в каждой локации. Теперь у Вас наверняка возник вопрос, как создана предыдущая таблица. Первым делом выберите префикс CIDR для Вашей сети, согласно необходимому числу сетей. После этого необходмо выбрать /24 сеть, которую Вы хотите использовать. Для предыдущего примера я взял 10.10.64.0/24. Далее сеть легко можно вычислить с помощью доступных в интернете инструментов, например http://subnetmask.info. В этом калькуляторе один компонент преобразует десятичное проедставление в маску CIDR и обратно, как показано на рисунке 1.1. Если у Вас под руками не будет таблицы 1.2, Вам стоит использовать этот инструмент.

Рисунок 1.1. Конвертор маски подсети

Имея десятичную маску, войдите в раздел калькулятора Network/Node. Вставьте маску подсети и одну из /24 сетей которую хотите использовать. Затем нажмите на Calculate. Заполнится нижняя часть поля, показывающая диапазон, охватываемый определённой сетью /24, который можно видеть на рисунке 1.2. «Вычисление Сети/Узла».

Рисунок 1.2. Калькулятор сети/узла

Если у вас есть диапазон IP адресов вы можете провести суммаризацию используя инструмент pfSense [http://pfsense.org/toolsvm] включающий Perl скрипт cidr_range.pl, который вычисляет сети CIDR, для диапазона IP адресов. Если выполнить его без параметров, вы увидите инструкцию по его использованию.

# cidr_range.pl

Usage: cidr_range.pl

Если вы хотите провести суммаризацию по диапазону 192.168.1.13 — 192.168.1.20, запустите cidr_range.pl следующим образом.

# cidr_range.pl 192.168.1.13 192.168.1.20

192.168.1.13/32

192.168.1.14/31

192.168.1.16/30

192.168.1.20/32

Вы увидите, что существует четыре диапазона CIDR, включающих только адреса 192.168.1.13 до 192.168.1.20. Если посмотреть на таблицу CIDR, маска /29 охватывает 8 IP адресов, так почему же /29 будет недостаточно? Ответ — потому, что невозможно выбрать произвольный начальный адрес для CIDR диапазона. Если вы введёте 192.168.1.11 и 255.255.255.248 в калькулятор сети/узла, вы увидите сеть /29 содержащую 192.168.1.11, 192.168.1.8/29 с диапазоном от .8 до .15 (рисунок 1.3. «Пример калькулятора Сеть/Узел»).

Рисунок 1.3. Пример калькулятора Сеть/Узел

Широковещательный домен — часть сети, совместно использующей тот же самый уровень на двух сетевых сегментах. В сети с единственным коммутатором широковещательный домен, то же что весь коммутатор. В сетях с множеством коммутаторов, без использования VLAN, широковещательный домен включает все эти коммутаторы. Единственный широковещательный домен может содержать более одной IP подсети, однако это не является хорошим примером проектирование сети. IP подсети должны выделяться в отдельные широковещательные домены посредством использования отдельных коммутаторов или VLAN. Широковещательные домены могут объединяться, используя мостовое соединение сетевых интерфейсов, но необходимо заботится о том, чтобы избежать возникновения циклического кольца на коммутаторах в данном сценарии. Есть так же исключения для ряда протоколов, которые не объединяют широковещательные домены, однако могут привести к аналогичному эффекту, например DHCP релей, который запрашивает DHCP релей другого интерфейса. Больше информации о широковещательных доменах и их объединении можно найти в главе 9, Бриджинг (Мосты).

Терминология именования интерфейсов.

В данном разделе пойдет речь о терминилогии именования интерфейсов, используемой в pfSense и FreeBSD. Основные интерфейсы WAN и LAN наиболее знакомы, но может существовать огромное множество сегментов. Вы ограничиваетесь лишь числом доступных сетевых интерфейсов (или VLAN).

LAN интерфейс — Первый внутренний интерфейс в Вашей системе. Сокращенно от Local Area Network. Приватная сторона маршрутизатора, на которой используется пользовательская схема IP адресации. При типичном развертывании это, обычно, единственный приватный интерфейс.

WAN интерфейс используется для подключения Вашего интернет соединения, или для основного интернет канала при схеме multi-WAN. Сокращенно от Wide Area Network. Не доверенная внешняя общедоступная сеть, все соединения с интернет проходят через данный интерфейс.

Опциональный интерфейс OPT. Ссылается на интерфейсы, соединенные с приватными сетями, кроме LAN. Этот интерфейс используется для вторичных сегментов LAN, беспрводных сетей и прочего.

DMZ, сокращенно для демилитаризованной зоны. Термин заимствован из его военного значения, определяющего некую зону между защищенной областью и районом боевых действий. В типичной сети это область, где находятся Ваши общедоступные сервера и сервисы, достижимые из вне через WAN, но изолированные от LAN. При компрометации DMZ Ваши системы в других сегментах сети будут в безопасности.

Во FreeBSD интерфейсы именуются в соответствии с используемым сетевым драйвером и дополняются номером, начиная с 0 и приращивая по 1 для каждого дополнительного интерфейса использующего тот же сетевой драйвер. Например, fxp драйвер используемый для карт Intel Pro/100, даст название первому интерфейсу в системе fxp0, второму fxp1 и так далее. У разного оборудования разные драйвера, например em (Inter Pro/1000), bge (чипсеты Broadcom), rl (Realtek 8129/8139) и множество прочих. Например в Вашей системе установлены различные сетевые адаптеры, Broadcom и Realtek 8139, тогда интерфейсы будут называться bge0 и rl0 соответственно. Присвоение и именование интерфейсов более подробно описываются в Главе 3 «Установка и обновление».

<<< К Оглавлению | Следующая глава >>

Источник