ebook img

pfSense 2 Cookbook: Расширенная конфигурация PDF

22 Pages·1.206 MB·Russian
Save to my drive
Quick download
Download
Most books are stored in the elastic cloud where traffic is expensive. For this reason, we have a limit on daily download.

Preview pfSense 2 Cookbook: Расширенная конфигурация

pfSense 2 Cookbook Matt Williamson Практическое руководство по конфигурированию pfSense 2 ГЛАВА 5 Расширенная конфигурация Перевод выполнил Михайлов Алексей aka iboxjo Homepage: iboxjo.h1.ru blog: iboxjo.livejournal.com Глава 5 Расширенная конфигурация В этой главе мы рассмотрим: - Создание виртуального IP - Создание правила 1:1 NAT - Создание правила исходящего NAT - Создание шлюза - Создание статического маршрута - Конфигурирование формирования трафика (QoS, качество обслуживания) - Бриджинг интерфейсов - Создание виртуальной LAN - Создание каптивного портала Введение Следующие рецепты рассматривают раширенные возможности управления сетями которые могут применяться, большей частью, в структуре производственной сети. Тем не менее, каждая из этих функций доступна в последней версии pfSense. Создание виртуального IP Этот рецепт описывает, как создать виртуальный IP адрес в pfSense. Подготовка pfSense позволяет создать четыре различных типа виртуальных IP адресов: - Proxy ARP - CARP - Other - IP Alias Вообще, виртуальные IP используются для конфигурирования отношений 1:1 NAT. В данном сценарии, потребуются виртуальные IP типа Other, которые мы настроим в этом рецепте. Как это сделать... 1. Переходим на страницу Firewall | Virtual IP 2. Нажимаем [+] для добавления нового виртуального IP адреса 3. Выбираем тип (Type) Other 4. Выбираем WAN в качестве интерфейса (Interfaces) 5. Указываем IP Address 6. Добавляем описание (Description) 7. Сохраняем (Save) изменения 8. Применяем (Apply) изменения, если необходимо Как это работает... Виртуальные IP (VIP) типа Other обладают следующими свойствами: - Трафик может только направляться для этого типа VIP; pfSense не может использовать этот тип VIP для собственных сервисов - VIP может находится в подсети отличной от подсети интерфейса - VIP не может отвечать на ping Немного больше... Мы конфигурируем IP типа Other, однако в pfSense 2.0 могут быть сконфигурированы ещё три типа VIP. Все четыре типа VIP адресов похожи, но обладают различными свойствами: -CARP - Может быть использован для направления трафика к брандмауэру - Использует трафик уровня 2 - Может использоваться в сценариях конфигурирования отказоустойчивого брандмауэра или балансировки нагрузки - Может располагаться в той же сети что и интерфейс - Будет отвечать на ping если сконфигурирован соответствующим образом -Proxy ARP - Может использоваться ТОЛЬКО для направления трафика к брандмауэру - Использует трафик уровня 2 - Может находится в подсети отличной от подсети интерфейса - Не может отвечать на ping -Other - Может использоваться ТОЛЬКО для направления трафика к брандмауэру - Может находится в подсети отличной от подсети интерфейса - Не может отвечать на ping -IP Alias - Новый тип pfSense 2.0 - Может использоваться для наравления трафика к брандмауэру - Позволяет дополнительные IP адреса для добавления к интерфейсу Конфигурирование виртуального IP адреса типа CARP 1. Переходим на страницу Firewall | Virtual IPs 2. Нажимаем на кнопку [+] для добавления нового виртуального IP адреса 3. Выбираем тип (Type) CARP 4. Выбираем интерфейс (Interfaces) WAN 5. Указываем IP Address 6. Указываем пароль виртуального IP (Virtual IP Password) 7. Выбираем группу VHID (VHID Group) 8. Выбираем частоту заявления (Advertising Frequency) (0 для master) 9. Вводим описание (Description) 10. Сохраняем (Save) изменения 11. Применяем (Apply) изменения, если необходимо Конфигурирование виртуального IP адреса типа Proxy ARP: 1. Переходим на страницу Firewall | Virtual IPs 2. Нажимаем на кнопку [+] для добавления нового виртуального IP адреса 3. Выбираем тип (Type) Proxy ARP 4. Выбираем интерфейс (Interfaces) WAN 5. Указываем единственный адрес (Single address) в качестве типа IP Address 6. Указываем IP адрес (IP Address) 7. Вводим описание (Description) 8. Сохраняем (Save) изменения 9. Применяем (Apply) изменения, если необходимо Конфигурирование виртуального IP адреса типа IP Alias: 1. Переходим на страницу Firewall | Virtual IPs 2. Нажимаем на кнопку [+] для добавления нового виртуального IP адреса 3. Выбираем тип (Type) IP Alias 4. Выбираем интерфейс (Interfaces) WAN 5. Указываем IP адрес (IP Address) 6. Вводим описание (Description) 7. Сохраняем (Save) изменения 8. Применяем (Apply) изменения, если необходимо Смотрите так же - Рецепт Конфигурирование правила 1:1 NAT - Рецепт Создание правила исходящего NAT - Рецепт Создание статического маршрута - Рецепт Создание виртуальной LAN Конфигурирование правила 1:1 NAT Этот рецепт описывает как конфигурируется правило 1:1 NAT. Правило 1:1 NAT используется когда вам необходимо связать публичные IP адрес с единственной внутренней машиной. Все назначения предназначенные для публичного IP будут маршрутизироваться на внутреннюю машину. Как это сделать... 1. Переходим на страницу Firewall | Virtual IPs 2. На закладке Virtual IPs, нажимаем кнопку [+] для добавления нового виртуального IP адреса 3. Выбираем тип (Type) Proxy ARP 4. Выбираем WAN в качестве интерфейса (Interface) 5. Выбираем Single Address в качестве типа (Type) IP Address и указываем ваш внешний публичный IP адрес 6. Добавляем описание (Description), например My publick IP Address 7. Сохраняем (Save) изменения 8. Применяем (Apply) изменения, если необходимо 9. Переходим на страницу Firewall | NAT 10. выбираем закладку 1:1 11. Нажимаем кнопку [+] для добавления нового правила 1:1 NAT 12. Выбираем интерфейс (Interface) - WAN 13. Указываем источник (Source) - any 14. Указываем назначение (Destination), мы укажем алиас нашего внутреннего web-сервера 15. Указываем внешнюю подсеть (External subnet) - наш публичный IP адрес 16. Добавляем описание (Description), например Forward all external requests to Webserver1 (направлять все внешние запросы к Webserver1) 17. Отключаем NAT reflection 18. Сохраняем (Save) изменения 19. Применяем (Apply) изменения, если необходимо Как это работает... Когда устанавливается соединение 1:1 NAT, весь трафик будет направляться к внутреннему IP адресу (или подсети), так, словно внутренняя машина сконфигурирована с публичным IP адресом. Это намного проще, чем создавать правила форвардинга порта, в случае, если весь трафик предназначен для вашей внутренней машины. Немного больше... Подобно многим особенностям расширенного управления сетью, 1:1 NAT требует использования VIP. Смотрите так же - Рецепт Создание виртуальных IP Создание правила исходящего NAT Этот рецепт описывает, как создать правило исходящего NAT. Подготовка Правила исходящего NAT определяют, как будет транслироваться трафик покидающий сеть. Сначала может показаться трудно понять концепцию на примере общих сценариев где работа ведётся только с заголовками пакетов, а не с тем как они выглядят когда покидают сеть. Этот рецепт описывает как использовать правила исходящего NAT для решения общих сценариев, предполающих работу NAT на одной машине с множеством интерфейсов. Мы будем предполагать, что у нас имеется один сервер назначения с двумя интерфейсами - LAN и DMZ, и наш брандмауэр pfSense защищает оба интерфейса. Используя старое регулярное правило форвардинга порта, мы направляем HTTP запросы к серверу на его DMZ интерфейс, и это хорошо. Однако, если мы попытаемя направить SSH запросы к интерфейсу LAN, трафик поступает правильно, но пытется отвечать через сеть DMZ. Это приводит к ошибке, поскольку трафик не может быть распознан брандмауэром и получим тайм-аут при попытке подключения. В рецепте описано решение для обработки SSH запросов с использованием правила исходящего NAT в сочетании с правилом 1:1 NAT. Как это сделать... 1. Переходим на вкладку Firewall | Virtual IPs 2. На закладке Virtual IPs, нажимаем кнопку [+] для добавления нового виртуального IP адреса 3. Выбираем тип (Type) Proxy ARP 4. Выбираем интерфейс (Interface) WAN 5. Выбираем Single address в качестве типа (Type) IP адреса (IP Address) и указываем наш внешний публичный IP адрес 6. Добавлем описание (Description), например My public IP address 7. Сохраняем (Save) изменения 8. Применяем (Apply) изменения если необходимо 9. Переходим на страницу Firewall | NAT 10. Нажимаем закладку Outbound 11. Выбираем Automatic outbound NAT rule generation (IPsec passthrough included) (Автоматически генерировать правило исходящего NAT (включая прохождение трафика IPsec) 12. Нажимаем кнопку [+] для добавления нового сопоставления исходящего NAT 13. Выбираем интерфейс (Interface) машины которая будет отвечать, для нас - LAN 14. Указываем any для источника (Source) 15. Указываем назначение (Destination) - IP адрес отвечающего сервера 16. Оставляем Translation установленым в Interface address и указываем порт 22 для ответа на SSH запросы 17. Вводим описание (Description), например Outbound NAT for WAN Clients to Server1 SSH (Исходящий NAT для SSH WAN клиентов Server 1) 18. Сохраняем (Save) изменения 19. Применяем (Apply) изменения, если необходимо 20. Переходим на страницу Firewall | NAT 21. Нажимаем закладку 1:1 NAT 22. Нажимаем кнопку [+] для добавления нового сопоставления 1:1 NAT 23. Выбираем WAN для интерфейса (Interface) 24. Выбираем any для источника (Source) 25. Указываем Single host or Alias для назначения (Destination), и IP адрес сервера, который будет обрабатывать запросы 26. Указываем VIP адрес который мы создали ранее в качестве внешней подсети (External subnet) 27. Добавляем описание (Description), например 1:1 NAT Public IP to Server1 28. Сохраняем (Save) изменения 29. Применяем (Apply) изменения, если необходимо 30. Переходим на страницу Firewall | Rules 31. Нажимаем закладку WAN 32. Нажимаем кнопку [+] для добавления нового правила брандмауэра 33. Выбираем any для источника (Source) 34. Выбираем any для диапазона портов источника (Source port range) 35. Выбираем Single host or Alias для назначения (Destination) и указываем IP адрес или алиас сервера который будет управлять запросами 36. Указываем SSH для нашего диапазона портов назначения (Destination port range) 37. Добавляем описание (Description), например Allow WAN Clients to Server1 SSH 38. Сохраняем (Save) изменения 39. Применяем (Apply) изменения, если необходимо Как это работает... Исходящее правило созданное нами, явно указывает pfSense направлять исходящий трафик через LAN интерфейс, независимо от того, через какой интерфейс он прибыл. Это позволит движение SSH трафика, при поиске обратного пути, даже когда шлюз по умолчанию настроен на другой интерфейс (DMZ). Между тем, HTTP запросы, настроенные с помощью переадресации портов будут продолжать работать нормально. Смотрите так же - Рецепт Создание виртуального IP - Рецепт Создание правила 1:1 NAT - Рецепт Конфигурирование правила форвардинга портов Создание шлюза Этот рецепт описывает, как создать шлюз в pfSense. Подготовка Обычно, в сетях с единственным WAN соединением нет необходимости изменять установки шлюза; всё работает по умолчанию. Однако, в сетях с более чем одним интернет соединением или использующими некоторые дополнительные функции (например статические маршруты), потребуется определить дополнительные пользовательские шлюзы. Как это сделать... 1. Переходим на страницу System | Routing 2. Нажимаем закладку Gateways 3. Нажимаем кнопку [+] для добавления нового шлюза 4. Выбираем интерфейс (Interface) для нового шлюза 5. Указываем имя (Name) для шлюза (без пробелов) 6. Указываем IP адрес шлюза - это должен быть валидный адрес на выбранном интерфейсе 7. Мы должны назначить алтернативный Monitor IP, или оставить поле пустым чтобы использовать IP адрес шлюза по умолчанию. 8. Добавляем описание (Description), например My new gateway 9. Сохраняем (Save) изменения 10. Применяем (Apply) изменения, если необходимо.

See more

The list of books you might like

Most books are stored in the elastic cloud where traffic is expensive. For this reason, we have a limit on daily download.