Tính năng của Pfsense
Tính năng này cho phép chúng ta nhóm các ports, host hoặc mạng khác nhau lại với nhau và gán cho chúng một tên chung, giúp việc thiết lập quy tắc trở nên dễ dàng và nhanh chóng hơn.
Các thành phần trong Aliases bao gồm: Host, dùng để nhóm các địa chỉ IP; Network, để nhóm các mạng; và Port, cho phép gom nhóm các cổng nhưng không cho phép nhóm các giao thức, vì các giao thức này được sử dụng trong các quy tắc.
Luật (Rules) trong pfSense là nơi lưu trữ các quy tắc quản lý lưu lượng mạng của Firewall Mặc định, pfSense cho phép tất cả lưu thông ra vào hệ thống, vì vậy bạn cần tạo các quy tắc để kiểm soát và quản lý mạng bên trong Firewall một cách hiệu quả.
When configuring Destination and Source options, users can select from various choices, including "Any," which encompasses all addresses, or specify a "Single host or alias," which refers to an individual IP address or a hostname Additional options include "LAN subnet," representing the local area network, "Network," indicating the network address, and "LAN address," which covers all internal network addresses For external connections, "WAN address" includes all outside network addresses Furthermore, options for "PPTP clients" and "PPPoE clients" are available for those utilizing VPN connections through the PPTP protocol and PPPoE protocol, respectively.
PfSense hỗ trợ việc sử dụng nhiều địa chỉ IP công cộng thông qua cơ chế NAT với IP ảo Có ba loại IP ảo trên pfSense: Proxy ARP, CARP và một loại khác, mỗi loại phục vụ cho các tình huống khác nhau Thông thường, pfSense sẽ cung cấp ARP cho các IP, vì vậy Proxy ARP hoặc CARP thường được sử dụng Trong các trường hợp không cần ARP, như khi các IP công cộng bổ sung được định tuyến bởi nhà cung cấp dịch vụ mạng, loại IP ảo khác sẽ được áp dụng.
Virtual IP được sử dụng để pfSense chuyển tiếp lưu lượng hiệu quả cho các chức năng như chuyển tiếp cổng NAT, NAT Outbound và NAT 1:1 Chúng cũng hỗ trợ tính năng failover và cho phép dịch vụ trên router kết nối với nhiều địa chỉ IP khác nhau.
Có thể được sử dụng bởi các tường lửa chính nó để chạy các dịch vụ hoặc được chuyển tiếp.
Tạo ra lớp 2 lưu lượng cho các VIP (Virtual IP).
Có thể được sử dụng cho clustering (tường lửa và tường lửa chủ failover chế độ chờ).
Các VIP đã được trong cùng một subnet IP của giao diện thực Sẽ trả lời ICMP ping nếu được phép theo các quy tắc tường lửa.
Không thể được sử dụng bởi các bức tường lửa chính nó, nhưng có thể được chuyển tiếp.
Tạo ra lớp 2 lưu lượng cho các VIP.
Các VIP có thể được trong một subnet khác với IP của giao diện thực Không trả lời gói tin ICMP ping.
Có thể được sử dụng nếu các tuyến đường cung cấp cho bạn VIP của bạn dù sao mà không cần thông báo lớp 2.
Không thể được sử dụng bởi các bức tường lửa chính nó, nhưng có thể được chuyển tiếp.
Các VIP có thể được trong một subnet khác với các giao diện
IP Không trả lời ICMP ping.
Trong Firewall, bạn có thể cấu hình thiết lập NAT để sử dụng cổng chuyển tiếp cho các dịch vụ hoặc thiết lập NAT tĩnh (1:1) cho các host cụ thể Thiết lập mặc định của NAT áp dụng cho các kết nối outbound là
Automatic outbound NAT…, tuy nhiên bạn có thể thay đổi kiểu Manual outbound NAT nếu cần.
Routing là một trong những chức năng quan trọng của Firewall, bên cạnh việc lọc và thực hiện NAT Chức năng này bao gồm các tuyến tĩnh, các giao thức định tuyến, định tuyến IP công cộng và khả năng hiển thị thông tin định tuyến trong mạng.
Bridging trên pfSense cho phép kết hợp nhiều interface thành một miền mới, giúp hai cổng trên tường lửa hoạt động như cùng một miền Mỗi interface thường đại diện cho một miền riêng với một subnet IP duy nhất Tuy nhiên, khi cần, chức năng bridging sẽ kiểm soát lưu lượng giữa các interface thông qua các quy luật đã được cấu hình.
VLAN (Mạng Ảo) cho phép phân đoạn mạng thành nhiều mạng con độc lập, nhưng cần chú ý đến vấn đề bảo mật trong thiết kế và triển khai Mặc dù VLAN giúp tối ưu hóa quản lý mạng, nhưng nếu không đảm bảo an toàn, nó có thể gây ra rủi ro và tổn hại cho mạng của bạn.
Multi-WAN của pfSense cho phép sử dụng nhiều kết nối Internet nhằm nâng cao thời gian hoạt động và băng thông Để cấu hình Multi-WAN, cần thiết lập hai giao diện (LAN và WAN) hoạt động trước.
Pfsense có khả năng xử lý nhiều WAN interface, triển khai sử dụng khoảng 10-
12 WANs WAN interface bổ sung được gọi là OPT WAN.
VPN (Mạng Riêng Ảo) là một giải pháp kết nối an toàn cho phép các máy tính giao tiếp qua Internet mà vẫn đảm bảo tính riêng tư và bảo mật dữ liệu Qua việc bao bọc các gói thông tin bằng header chứa thông tin định tuyến, dữ liệu có thể được gửi từ máy này đến máy khác qua một "đường ống" riêng gọi là tunnel Để bảo vệ thông tin, các gói tin được mã hóa và chỉ có thể giải mã bằng các khóa thích hợp, ngăn chặn việc đánh cắp dữ liệu trên đường truyền Chức năng này của pfSense được đánh giá rất cao trong việc đảm bảo an toàn cho kết nối.
IPSec (IP Security) đóng vai trò quan trọng trong việc giải quyết các vấn đề mà firewall gặp phải, bao gồm sự xác thực host-to-host và mã hóa dữ liệu Được phát triển bởi Internet Engineering Task Force (IETF), IPSec giúp ngăn chặn sự giả mạo và bảo vệ thông tin khỏi các kẻ tấn công trong luồng lưu lượng giữa các máy Mặc dù firewall có thể giảm nguy cơ tấn công, nhưng vẫn còn tồn tại vấn đề về tính toàn vẹn và sự riêng tư của thông tin, cũng như hạn chế trong việc kết nối giữa các mạng khác nhau IPSec giải quyết những vấn đề này và cung cấp các khả năng đặc biệt khi kết hợp với firewall, bao gồm VPN, lọc gói tốt hơn và xác minh host hiệu quả hơn thông qua tiêu đề xác thực IPSec.
PPTP VPN: Pfsense có khả năng hoạt động như một máy chủ PPTP VPN, là một trong ba tùy chọn VPN phổ biến nhất Điều này là do hầu hết các hệ điều hành đều tích hợp sẵn trình khách PPTP, bao gồm tất cả các phiên bản.
Windows từ Windows 95 Tuy nhiên nó không được đảm bảo an toàn, không nên sử dụng.
OpenVPN là một giải pháp VPN mã nguồn mở dựa trên SSL, phù hợp cho cả việc truy cập từ xa của client và kết nối site-to-site Giải pháp này hỗ trợ nhiều hệ điều hành khác nhau, bao gồm tất cả các phiên bản BSD, Linux, Mac OS X và Windows.
TRIỂN KHAI XÂY DỰNG TƯỜNG LỬA IPTABLES VÀ TƯỜNG LỬA PFSENSE
Triển khai Iptables
Tường lửa Iptables là một giải pháp miễn phí tích hợp trong hệ điều hành Linux, giúp kiểm soát truy cập cho mạng máy tính nội bộ và phân vùng mạng máy chủ hiệu quả.
Hướng dẫn này trình bày cách thiết lập tập luật cho tường lửa Iptables nhằm kiểm soát các dịch vụ cho mạng nội bộ, mạng DMZ và mạng Internet Cụ thể, nó cho phép người dùng trong mạng nội bộ LAN truy cập Internet thông qua các giao thức HTTP, HTTPS, ICMP và DNS.
Cho phép người dùng từ mạng Internet và mạng nội bộ truy cập được trang web từ máy chủ web trong phần vùng DMZ.
Cho phép người dùng sử dụng ứng dụng thư điện tử để gửi và nhận thư với nhau.
01 máy ảo hệ điều hành Windows 7: Cài đặt ứng dụng thư Mozilla
Thunderbird 01 máy ảo hệ điều hành Windows Server 2012. Đã cài dịch vụ web sử dụng máy chủ web IIS với trang web mặc định của Microsoft. Đã cài dịch vụ phân giải tên miền DNS với các bản ghi thích hợp cho web và mail. Đã cài phần mềm máy chủ thư điện tử (MDaemon V10).
01 máy ảo hệ điều hành CentOS 6.5 để làm tường lửa Iptables
3.1.4 Một số câu lệnh cơ bản sử dụng trong tường lửa Iptables
Lệnh khởi động tường lửa:
[root@server]# service iptables start [root@server]# service iptables stop [root@server]# service iptables restart Để khởi động Iptables mỗi khi khởi động máy:
[root@server]# chkconfig iptables on Để xem tình trạng của Iptables:
[root@server]# service iptables status
Lưu thông tin cấu hình:
[root@server]# /etc/init.d/iptables save
Lệnh xóa toàn bộ luật có trong Iptables:
[root@server]# iptables -F [root@server]# iptables –t nat -
3.1.5 Các kịch bản thực hiện
Kịch bản 1 Cho phép máy tính trong LAN Ping ra ngoài mạng
Internet Bước 1: Kiểm tra Ping
Tại máy trạm Windows 7 thực Ping đến địa chỉ IP bất kỳ.
Kết quả, không Ping được ra ngoài mạng
Bước 2: Thiết lập luật trên tường lửa Iptables để cho phép máy trạm Ping ra bên ngoài.
Trước hết cần kiểm tra tên của các giao diện mạng trên máy tường lửa
Trong hình trên giao diện eth1 kết nối mạng Internet Giao diện eth2 kết nối mạng nội bộ, giao diện eth3 kết nối mạng máy chủ.
Tiếp theo đặt lệnh cho Iptables để cho phép máy trạm trong mạng nội bộ Ping ra mạng Internet.
[root@server]#iptables -A FORWARD -i eth2 -o eth1
[root@server]#iptables -A FORWARD -i eth1 -o eth2
[root@server]#iptables -t nat -A POSTROUTING -o eth1 -s 172.16.1.0/24 -j SNAT to-source
[root@server]#nano /proc/sys/net/ipv4/ip_forward 0 -> 1
Địa chỉ IP 192.168.190.4 là địa chỉ của giao diện mạng kết nối Internet (eth1), và việc sử dụng địa chỉ IP này phụ thuộc vào từng trường hợp cụ thể của máy ảo.
Bước 3: Kiểm tra kết quả
Trở lại máy trạm Windows 7 kiểm tra Ping tới địa chỉ IP tại bước 1 Kết quả thành công.
Kịch bản 2: Cho phép máy tính trong LAN truy vấn DNS ra Internet
Bước 1: Kiểm tra truy vấn
Trước khi thiết lập luật cho tường lửa, tại máy trạm Windows 7 không truy vấn được DNS Sử dụng lệnh nslookup để truy vấn.
Bước 2: Cấu hình luật để cho phép truy vấn DNS tại tường lửa.
[root@server]#iptables -A FORWARD-i eth2 -o eth1 -s 172.16.1.0/24 -p udp dport 53 -j
[root@server]#iptables -A FORWARD -i eth1 -o eth2 -d 172.16.1.0/24 -p udp sport 53 -j
Bước 3: Kiểm tra kết quả
Kết quả, lúc này tại máy Windows 7 thực hiện truy vấn thành công
Kịch bản 3: Cho phép máy tính trong mạng LAN truy cập được các website từ mạng Internet
[root@server]#iptables -A FORWARD -i ens39 -o ens33 -s 172.16.1.0/24 -p tcp -m multiport dport 80,443 -j ACCEPT
[root@server]#iptables -A FORWARD -i ens33 -o ens39 -s 172.16.1.0/24 -p tcp -m multiport sport 80,443 -j ACCEPT
Kịch bản 4: Cho phép truy cập tới máy chủ web trong phân vùng mạng DMZ Thiết lập:
[root@server]#iptables -A FORWARD -i ens39 -o ens38 -s 172.16.1.0/24 -p tcp -m multiport dport 80,443 -j ACCEPT
[root@server]#iptables -A FORWARD -i ens38 -o ens39 -d 172.16.1.0/24 -p tcp -m multiport sport 80,443 -j ACCEPT
[root@server]#iptables -t nat -A POSTROUTING -o ens38 -s 172.16.1.0/24 -d 10.0.0.0/24 -j SNAT
Thiết lập và cấu hình tường lửa PfSense
Tường lửa PfSense là một giải pháp tường lửa mềm miễn phí, giúp kiểm soát lưu lượng mạng và thực hiện các biện pháp bảo vệ an toàn cho hệ thống mạng máy tính.
PfSense là một tường lửa mạnh mẽ được cấu hình chủ yếu thông qua dòng lệnh, nhưng cũng hỗ trợ quản trị viên với giao diện đồ họa thân thiện Điều này giúp người quản trị dễ dàng cấu hình và theo dõi hoạt động của mạng, từ đó đảm bảo an toàn cho hệ thống mạng máy tính.
01 máy ảo hệ điều hành Windows 7: Cài đặt ứng dụng Google
Chrome 01 máy ảo hệ điều hành Windows Server 2012. Đã cài dịch vụ web sử dụng máy chủ web IIS với trang web mặc định của Microsoft. Đã cài phần mềm máy chủ thư điện tử (MDaemon
Hình 4.5 Mô hình cài đặt
Bước 1: Chuẩn bị các máy ảo
Bước 2: Cài đặt tường lửa PfSense
Bước 3: Cấu hình tường lửa cơ bản
Bước 4: Quản trị tường lửa bằng đồ họa
Bước 5: Tạo tập luật theo kịch bản
3.2.4 Chuẩn bị các máy ảo
Máy ảo Windows 7 với cấu hình như sau: Cấu hình phần cứng: chú ý Vmnet2
Cài đặt trình duyệt Google ChromeCấu hình IP:
Cấu hình phần cứng: chú ý Vmnet3
Cài đặt máy chủ web IIS
Truy cập theo đường dẫn để cài đặt dịch vụ
Server Manager → Manage → Add Roles and Features
The Add Roles and Features window appears; click Next to begin the installation process In the Select installation type section, choose Role-based or feature-based installation to set up services and features for the server.
Chọn Next để tiếp tục cài đặt.
Trong tùy chọn Select destination server → Chọn Select a server from the server pool.
Tiếp tục lựa chọn dịch vụ
Chọn Next để tiếp tục.
Trong mục Select features để mặc định → chọn Next để tiếp tục.
Các bước tiếp theo để mặc định → Install
Quá trình cài đặt thành công. Để kiểm tra dịch vụ web, sử dụng trình duyệt Internet Explorer trên Server
2012 Truy cập theo đường dẫn: http://localhost
Nội dung hiển thị như trên thì dịch vụ web đã hoạt động.
Từ giao diện trên chọn CD/DVD → trỏ tới nơi lưu trữ hệ điều hành PfSense
Nhấn Open để lựa chọn hệ điều hành.
Chọn OK để hoàn tất cấu hình phần cứng.
3.2.6 Cài đặt tường lửa PfSense
Sau khi cấu hình phần cứng cho máy ảo PfSense xong, khởi động máy ảo Quá trình cài đặt bắt đầu
Quá trình diễn ra mặc định
Quá trình tiếp theo để mặc định và nhấn Enter để cài đặt. Giao diện cuối cùng chọn
Chọn No để bỏ qua chế độ kiểm tra.
Chọn Reboot để khởi động lại tường lửa sau khi đã cài đặt xong.
3.2.7 Cấu hình tường lửa cơ bản
Sau khi khởi động lại tường lửa, bắt đầu cấu hình cơ bản:
Cấu hình mạng LAN ảo, chọn n để bỏ qua.
Lựa chọn cổng mạng tương ứng với các phân vùng mạng
Le0: Cổng mạng kết nối Internet
Le1: Cổng mạng kết nối LAN
Le2: Cổng mạng kết nối DMZ
Chọn y để thực hiện xử lý.
Tiếp tục cấu hình địa chỉ IP cho mỗi cổng mạng tương ứng với mô hình đã cho.
Chú ý: ở trong môi trường ảo hóa này IP cổng WAN nên để mặc định Tiếp tục cấu hình cho cổng LAN
Chú ý: muốn quản trị tường lửa PfSense qua giao diện web thì phải thực hiện bước sau đây:
Tương tự cấu hình IP cho cổng mạng DMZ qua OPT1
Kết quả cuối cùng sau khi cấu hình cơ bản:
Kiểm tra kết nối tới các máy:
Kết quả cấu hình mạng thành công.
3.2.8 Quản trị tường lửa bằng đồ họa
Sau khi hoàn tất quá trình cấu hình cơ bản, bạn có thể quản trị tường lửa thông qua giao diện đồ họa bằng cách sử dụng trình duyệt web trên máy tính Windows 7 Để thực hiện điều này, hãy mở trình duyệt Google Chrome đã cài đặt và truy cập vào địa chỉ: http://172.16.1.1.
Công việc đầu tiên cần thay đổi mật khẩu cho tài khoản admin
Nhấn Save ở phía cuối trang để lưu và trở về giao diện quản trị.Giao diện quản trị chung
Thông tin về cổng mạng
Chú ý rằng địa chỉ IP của cổng WAN khác với địa chỉ IP trong mô hình đã cung cấp Để sử dụng chế độ DHCP trong môi trường máy ảo, cần thiết phải kích hoạt chế độ này để có thể truy cập Internet.
Trong thực tế IP cổng này là IP public là địa chỉ tĩnh.
3.2.9 Tạo tập luật theo kịch bản
Kịch bản 0: Xóa các luật mặc định.
Khi cài đặt xong tường lửa, hệ thống sẽ tự động tạo ra các luật mặc định Tuy nhiên, những luật này chưa đảm bảo an toàn tối ưu Do đó, việc thiết lập lại các quy tắc từ đầu là cần thiết để bảo vệ hệ thống hiệu quả hơn.
Truy cập theo đường dẫn: Firewall → Rules → LAN
Xóa các luật mặc định, kích vào tùy chọn Apply changes, kết quả.
Lúc này chỉ còn 1 luật mặc định, luật này không thể xóa được vì đây là luật cho quản trị tường lửa.
Kịch bản 1: Cho phép máy trạm trong mạng LAN Ping ra Internet Trước khi thiết lập luật, kiểm tra Ping:
Kết quả đang bị chặn bởi tường lửa.
Chọn Add, giao diện cấu hình luật xuất hiện lựa chọn các thông tin sau:
Chọn Save để lưu cấu hình Kết quả
Ping kiểm tra lại, kết quả:
Như vậy sau khi thiết lập luật cho tường lửa, thì lúc này các gói tin ICMP đi qua tường lửa đều cho phép.
Kịch bản 2: Cho phép máy tính trong mạng LAN truy vấn DNS ra Internet Chọn Add, cấu hình luật với thông tin như sau:
Nhấn Save để lưu, và Apply Changes để chạy luật.
Kiểm tra kết quả, sử dụng giao diện dòng lệnh DOS, chạy lệnh: nslookup để kiểm tra:
Có kết quả trả về địa chỉ IP tương ứng với tên miền.
Kịch bản 3: Cho phép máy tính trong mạng LAN truy cập website qua cổng 80, 443.
Luật đã tạo như sau:
Kiểm tra kết quả truy cập website trên Windows 7:
Kịch bản 4: Cho phép máy tính ngoài Internet truy cập vào website trên máy chủ DMZ
Chuyển qua giao diện cấu hình cho WAN Bỏ 2 luật mặc định đã được tạo sẵn trong mạng WAN bằng cách vào phần setting bỏ 2 tùy chọn như sau:
Vào phần Add để tạo luật với các thông tin như sau:
Kết quả: Để người dùng từ bên ngoài có thể truy cập được cần thực hiện NAT từ ngoài vào trong máy web server.
Vào Firewall → NAT Để public các dịch vụ, chúng ta sử dụng NAT chế độ Port
Forward Chọn Add, tạo luật:
Note: The WAN address refers to the firewall's network gateway connecting to the Internet In this configuration, the address is 192.168.190.129 An external workstation (in this practical exercise, a physical computer) accesses the website using this address.
Chọn lưu và Apply Change.
Để truy cập vào máy vật lý qua trình duyệt web, hãy sử dụng địa chỉ được cung cấp Máy vật lý và máy ảo kết nối với nhau thông qua cổng NAT của máy ảo.
Kịch bản 5: cho phép người dùng trong mạng LAN gửi và nhận mail với người dùng ngoài Internet sử dụng mail server trong DMZ.
Cài đặt dịch vụ DNS trên máy chủ Windows Server 2012
Truy cập vào Server Manager chọn Manage → Add role and feature
Tích vào dịch vụ DNS để cài đặt Các tùy chọn tiếp theo để mặc định Sau khi cài đặt thành công vào Tool để cấu hình cho DNS.
Giao diện quản trị DNS xuất hiện:
Chọn Forward Lookup Zone để tạo tên miền với IP tương ứng.
Để tạo phân giải ngược, hãy chọn Reverse Lookup Zone Để kiểm tra xem dịch vụ DNS hoạt động chính xác hay không, bạn cần sử dụng chương trình DOS (cmd) và lệnh nslookup.
Trước tiên cần cấu hình lại địa chỉ IP của máy chủ DNS trong cấu hình mạng.
Kết quả truy vấn thành công.
Cài đặt dịch vụ mail trên máy chủ Windows Server 2012:
Sao chép phần mềm máy chủ thư điện tử MDaemon V10 vào Server
2012 Thực hiện cài đặt và điền một số thông tin như sau:
Sau khi cài đặt xong mail server, tạo các tài khoản người dùng mail Vào mục Account → new account, với các thông tin
Tương tự tạo tài khoản cho user2.
Tại máy Windows 7 thiết lập tài khoản cho user1.
Sử dụng phần mềm Thunderbird Setup 31.5.0 làm mail client cho tài khoản user1.
Cài đặt và cấu hình như sau:
Trước tiên phải chuyển IP DNS trên Windows 7 như sau:
Sử dụng DOS (cmd) lệnh nslookup để truy vấn thử tên miền.
Cài đặt phần mềm Thunderbird, cấu hình như sau:
Chọn Continue để tiếp tục, của sổ xuất hiện chọn Manual config
Chọn Re-test để kiểm tra kết nối.
Lúc này chương trình sẽ báo lỗi vì tường lửa đang chặn kết nối từ LAN tới DMZ.
Mở luật trong tường lửa để cho phép kết nối mail (POP3, SMTP) truyền tải thông tin.
Truy cập vào trình duyệt quản trị tường lửa, vào phần Rules → LAN và mở luật như sau:
Kết quả: mail client truy vấn thành công.
Nhấn Done để kết thúc cài đặt và thiết lập cho mail client
Kiểm tra quá trình gửi và nhận mail đã thành công hay chưa
Tại phần mềm mail, với tài khoản user1 gửi và nhận thư cho chính nó để kiểm tra
Kết quả: Đã gửi và nhận thư thành công.
Cấu hình luật để Public dịch vụ mail ra Internet:
Cấu hình trên máy tính vật lý
Cài đặt phần mềm Thunderbirth và thiết lập giống như trong Win7
Kết quả thành công Done để đóng của sổ cấu hình.
