V prejšnjem članku je bila požarna stena znana kot PfSense se je razpravljalo. V začetku leta 2015 je bila sprejeta odločitev o razcepu PfSense in nova rešitev požarnega zidu, imenovana OpnSense je bil izdan.
OpnSense je začelo svoje življenje kot preprosto vilico PfSense vendar se je razvil v popolnoma neodvisno rešitev požarnega zidu. Ta članek bo zajemal namestitev in osnovno začetno konfiguracijo novega OpnSense namestitev.
Všeč mi je PfSense, OpnSense je odprtokodna rešitev požarnega zidu, ki temelji na FreeBSD. Distribucijo lahko brezplačno namestite na lastno opremo ali pa podjetje Decisio, ki prodaja vnaprej konfigurirane naprave za požarni zid.
OpnSense ima minimalen nabor zahtev in tipičen starejši domači stolp lahko preprosto nastavite za delovanje kot OpnSense požarni zid. Predlagane minimalne specifikacije so naslednje:
Če želi bralec uporabiti nekatere naprednejše funkcije OpnSense (Suricata, ClamAV, Strežnik VPNitd.) sistemu je treba dati boljšo strojno opremo.
Več modulov, ki jih želi uporabnik omogočiti, več RAM/CPU/pogon treba vključiti prostor. Če načrtujete omogočanje naprednih modulov v OpnSense, predlagamo, da se izpolnijo naslednji minimalni pogoji.
Ne glede na to, katera strojna oprema je izbrana, namestitev OpnSense je preprost postopek, vendar od uporabnika zahteva, da pozorno spremlja, katera vrata za vmesnik bodo uporabljena za kateri namen (LAN, WAN, Wireless itd.).
Del postopka namestitve bo vključeval pozivanje uporabnika, da začne konfigurirati vmesnike LAN in WAN. Avtor predlaga samo priključitev vmesnika WAN, dokler ni konfiguriran OpnSense, nato pa nadaljujte z dokončanjem namestitve tako, da priključite vmesnik LAN.
Prvi korak je, da pridobite programsko opremo OpnSense in na voljo je nekaj različnih možnosti, odvisno od naprave in načina namestitve, vendar bo ta priročnik uporabilOPNsense-18.7-OpenSSL-dvd-amd64.iso.bz2’.
ISO je bil pridobljen z naslednjim ukazom:
$ wget -c http://mirrors.nycbug.org/pub/opnsense/releases/mirror/OPNsense-18.7-OpenSSL-dvd-amd64.iso.bz2.
Ko ste datoteko prenesli, jo morate razpakirati z uporabo bunzip orodje, kot sledi:
$ bunzip OPNsense-18.7-OpenSSL-dvd-amd64.iso.bz2.
Ko ste namestitveni program prenesli in razpakirali, ga lahko zapišete v CD ali pa ga lahko kopirate v USB voziti z Orodje "dd" vključeno v večino distribucij Linuxa.
Naslednji postopek je pisanje ISO do a USB pogon za zagon namestitvenega programa. Če želite to narediti, uporabite Orodje "dd" znotraj Linuxa.
Najprej mora biti ime diska z "lsblk'Čeprav.
$ lsblk.
Z imenom USB pogon določen kot '/Dev/sdc', OpnSense ISO lahko na pogon zapišete z Orodje "dd".
$ sudo dd if = ~/Downloads/OPNsense-18.7-OpenSSL-dvd-amd64.iso od =/dev/sdc.
Opomba: Zgornji ukaz zahteva korenske pravice, zato jih uporabite "Sudo" ali se prijavite kot korenski uporabnik, da zaženete ukaz. Tudi ta ukaz bo ODSTRANI VSE na USB voziti. Varnostno kopirajte potrebne podatke.
Enkrat dd je končal s pisanjem na pogon USB, vstavite medij v računalnik, ki bo nastavljen kot OpnSense požarni zid. Zaženite računalnik na ta medij in prikazal se bo naslednji zaslon.
Če želite nadaljevati z namestitvenim programom, preprosto pritisnite 'Enter' ključ. To se bo zagnalo OpnSense v Način v živo vendar za namestitev obstaja poseben uporabnik OpnSense namesto tega v lokalne medije.
Ko se sistem zažene na poziv za prijavo, uporabite uporabniško ime "Monter" z geslom za "Opnsense".
Namestitveni medij se bo prijavil in zagnal dejansko OpnSense namestitveni program. POZOR: Če nadaljujete z naslednjimi koraki, bodo izbrisani vsi podatki na trdem disku v sistemu! Nadaljujte previdno ali zapustite namestitveni program.
Zadetki v 'Enter' ključ zažene postopek namestitve. Prvi korak je izbira zemljevid tipk. Namestitveni program bo privzeto odkril ustrezen zemljevid tipk. Preglejte izbrani zemljevid tipk in ga po potrebi popravite.
Naslednji zaslon bo ponudil nekaj možnosti za namestitev. Če želi uporabnik narediti napredno particioniranje ali uvoziti konfiguracijo iz drugega polja OpnSense, je to mogoče doseči v tem koraku. Ta priročnik predvideva novo namestitev in bo izbral »Vodena namestitev’Možnost.
Na naslednjem zaslonu bodo prikazane prepoznane pomnilniške naprave za namestitev.
Ko je shranjevalna naprava izbrana, se mora uporabnik odločiti, katero shemo particioniranja uporablja namestitveni program (MBR ali GPT/EFI).
Večina sodobnih sistemov bo podpirala GPT/EFI če pa uporabnik ponovno namesti starejši računalnik, MBR morda edina podprta možnost. Preverite v BIOS nastavitve sistema, da preverite, ali podpira EFI/GPT.
Ko je izbrana shema particioniranja, bo namestitveni program začel z namestitvenimi koraki. Postopek ne traja posebej dolgo in bo od uporabnika občasno zahteval informacije, na primer geslo korenskega uporabnika.
Ko uporabnik nastavi geslo korenskega uporabnika, bo namestitev končana in sistem bo moral znova konfigurirati, da bo konfiguriral namestitev. Ko se sistem znova zažene, se mora samodejno zagnati v OpnSense namestite (odstranite namestitveni medij, ko se stroj znova zažene).
Ko se sistem znova zažene, se bo ustavil ob pozivu za prijavo v konzolo in počakal, da se uporabnik prijavi.
Če bi bil uporabnik med namestitvijo pozoren, bi morda opazil, da bi lahko med namestitvijo vnaprej konfiguriral vmesnike. Predpostavimo pa, da v tem članku vmesniki niso bili dodeljeni ob namestitvi.
Po prijavi s korenskim uporabnikom in geslom, ki sta bila konfigurirana med namestitvijo, je mogoče opozoriti, da je OpnSense na tej napravi uporabljal samo eno od kartic omrežnega vmesnika (NIC). Na spodnji sliki je poimenovan »LAN (em0)«.
OpnSense bo privzeto nastavljen na standard “192.168.1.1/24” omrežje za LAN. Vendar na zgornji sliki manjka vmesnik WAN! To je enostavno popraviti z vnosom ‘1’
ob pozivu in pritisnete enter.
To bo omogočilo ponovno dodelitev omrežnih kartic v sistemu. Na naslednji sliki opazite, da sta na voljo dva vmesnika: 'Em0' in 'Em1'.
Čarovnik za konfiguracijo bo omogočil tudi zelo zapletene nastavitve z omrežji VLAN, vendar ta priročnik za zdaj predvideva osnovno nastavitev dveh omrežij; (tj. a WAN/ISP stran in stran LAN).
Vnesite 'N'
da trenutno ne konfigurirate nobenih omrežij VLAN. Za to posebno nastavitev je vmesnik WAN 'Em0' in vmesnik LAN je 'Em1' kot je prikazano spodaj.
Spremembe vmesnikov potrdite z vnosom 'Y'
v pozivu. To bo povzročilo, da bo OpnSense znova naložil številne svoje storitve, da bodo odražale spremembe dodelitve vmesnika.
Ko končate, povežite računalnik s spletnim brskalnikom na stranski vmesnik LAN. Vmesnik LAN ima strežnik DHCP, ki na vmesniku posluša odjemalce, zato bo računalnik lahko pridobi potrebne informacije o naslovu za povezavo s spletno konfiguracijo OpnSense stran.
Ko je računalnik povezan z vmesnikom LAN, odprite spletni brskalnik in se pomaknite na naslednji URL: http://192.168.1.1.
Za prijavo v spletno konzolo; uporabite uporabniško ime "Koren" in geslo, ki ste ga nastavili med namestitvijo. Ko se prijavite, bo zaključen del namestitve.
Prvi korak namestitvenega programa je preprosto zbiranje več informacij, kot so ime gostitelja, ime domene in strežniki DNS. Večina uporabnikov lahko zapusti »Preglasite DNS«Izbrana možnost.
To bo požarnemu zidu OpnSense omogočilo pridobivanje podatkov DNS od ponudnika internetnih storitev prek vmesnika WAN.
Naslednji zaslon bo zahteval NTP strežniki. Če uporabnik nima lastnih sistemov NTP, bo OpnSense zagotovil privzeti nabor strežnikov NTP.
Naslednji zaslon je WAN nastavitev vmesnika. Večina ponudnikov internetnih storitev za domače uporabnike bo uporabljala DHCP, da svojim strankam posreduje potrebne informacije o konfiguraciji omrežja. Preprosto pustite izbrano vrsto kot "DHCP" bo naročil OpnSense, da od ponudnika internetnih storitev poskuša zbrati konfiguracijo strani WAN.
Za nadaljevanje se pomaknite navzdol do dna konfiguracijskega zaslona WAN. ***Opomba*** na dnu tega zaslona sta dva privzeta pravila za blokiranje omrežnih razponov, ki običajno ne bi smeli videti v vmesniku WAN. Priporočljivo je, da jih pustite označene, razen če obstaja znani razlog za dovoljenje teh omrežij prek vmesnika WAN!
Naslednji zaslon je zaslon za konfiguracijo LAN. Večina uporabnikov lahko preprosto pusti privzete nastavitve. Zavedajte se, da je tukaj treba uporabiti posebne omrežne razpone, ki se običajno imenujejo tudi RFC 1918. Pustite privzeto ali izberite omrežni obseg znotraj RFC1918 doseg, da se izognete konfliktom/težavam!
Zadnji zaslon v namestitvi vas bo vprašal, ali bi uporabnik želel posodobiti korensko geslo. To ni obvezno, če pa med namestitvijo ni bilo ustvarjeno močno geslo, bi bil pravi čas, da težavo odpravite!
Ko opusti spremembo gesla, bo OpnSense od uporabnika zahteval, da znova naloži konfiguracijske nastavitve. Preprosto kliknite na "Ponovno naloži" gumb in dajte OpnSense -u sekundo, da osveži konfiguracijo in trenutno stran.
Ko bo vse opravljeno, bo OpnSense pozdravil uporabnika. Če se želite vrniti na glavno nadzorno ploščo, preprosto kliknite »Nadzorna plošča ' v zgornjem levem kotu okna spletnega brskalnika.
Na tej točki bo uporabnik preusmerjen na glavno nadzorno ploščo in lahko nadaljuje z namestitvijo/konfiguracijo katerega koli uporabnega vtičnika ali funkcionalnosti OpnSense! Avtor priporoča preverjanje in nadgradnjo sistema, če so na voljo nadgradnje. Preprosto kliknite na ‘Kliknite, da preverite posodobitve«Na glavni armaturni plošči.
Nato na naslednjem zaslonu »Preveri za posodobitve'Lahko uporabite za ogled seznama posodobitev ali'Posodobi zdaj«Lahko uporabite za preprosto uporabo vseh razpoložljivih posodobitev.
Na tej točki bi morala biti osnovna namestitev OpnSense zagnana in popolnoma posodobljena! V prihodnjih člankih bo obravnavano združevanje povezav in usmerjanje med VLAN, da se prikažejo dodatne napredne zmogljivosti OpnSense!