книги хакеры / журнал хакер / 117_Optimized
.pdf
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
E |
|
|
|
|
|
|
C |
E |
|
|
|
||||||
|
|
X |
|
|
|
|
|
|
|
X |
|
|
|
|
|
||||||
|
- |
|
|
|
|
d |
|
|
- |
|
|
|
|
d |
|
||||||
|
F |
|
|
|
|
|
|
i |
|
|
F |
|
|
|
|
|
|
i |
|
||
|
|
|
|
|
|
|
t |
|
|
|
|
|
|
|
|
t |
|
||||
P |
D |
|
|
|
|
|
|
|
o |
P |
D |
|
|
|
|
|
|
|
o |
||
|
|
|
NOW! |
r |
|
|
|
NOW! |
r |
||||||||||||
|
|
|
|
|
|
ХАКЕР.PRO |
|
|
|
|
|
|
|
||||||||
|
|
|
|
to>>BUY |
|
|
|
|
|
to BUY |
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
m |
w |
|
|
|
|
|
|
|
|
m |
||
w Click |
|
|
|
|
|
o |
w Click |
|
|
|
|
|
o |
||||||||
|
w |
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
||
|
. |
|
|
|
|
|
.c |
|
|
. |
|
|
|
|
|
.c |
|
||||
|
|
p |
df |
|
|
|
e |
|
|
|
p |
df |
|
|
|
e |
|
||||
|
|
|
|
g |
|
|
|
|
|
|
|
g |
|
|
|
||||||
|
|
|
|
n |
|
|
|
|
|
|
|
|
n |
|
|
|
|
||||
|
|
|
|
-xcha |
|
|
|
|
|
|
|
|
|
-x cha |
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
Ульяна Смелая |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Настраже |
|
|
|
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
безопасности |
|
|
|
|
|
|
|
|
|
|
||||||
|
|
|
|
|
pfSense:популярныйдистрибутивдлясозданияроутера |
|
|
|
|
|
|
|
|
|
|
||||||
|
|
|
|
|
Для организации совместного доступа в Сеть и защиты внутренних ресурсов |
|
|
|
|
|
|
|
|||||||||
|
|
|
|
|
администраторы со стажем предпочитают использовать специализирован- |
|
|
|
|
|
|
|
|
||||||||
|
|
|
|
|
ные мини-дистрибутивы, построенные на базе урезанных версий Linux или |
|
|
|
|
|
|
|
|
||||||||
|
|
|
|
|
BSD. C их помощью можно легко превратить маломощный комп в надежный |
|
|
|
|
|
|
|
|||||||||
|
|
|
|
|
маршрутизатор. К подобным решениям как раз и относится pfSense. |
|
|
|
|
|
|
|
|
|
|
||||||
|
|
|
|
|
О проекте |
Платой за функциональность послужил чуть больший размер дистрибутива |
|
|
|
|
|
|
|
||||||||
|
|
|
|
|
В сентябре 2004 года стартовал проект pfSense(www.pfsense.com), основ- |
и более высокие требования, предъявляемые к аппаратной части, в част- |
|
|
|
|
|
|
|
|
|||||||
|
|
|
|
|
ное назначение которого — превращение обычного компа в роутер с про- |
ности, к объему ОЗУ (хотя по современным меркам они не высоки). |
|
|
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
двинутыми функциями межсетевого экрана. Родительским дистрибутивом |
В pfSense был выполнен технический редизайн. Так, если m0n0wall во вре- |
|
|
|
|
|
|
|
||||||||
|
|
|
|
|
был m0n0wall (представляет собой мини-версию FreeBSD для создания |
мя работы практически не обращается к жесткому диску и держит настрой- |
|
|
|
|
|
|
|
||||||||
|
|
|
|
|
маршрутизаторов и файрволов на базе бездисковых систем, с загрузкой с |
ки в основном в ОЗУ (что, в общем-то, оправдано), то pfSense работает как |
|
|
|
|
|
|
|
|
|||||||
|
|
|
|
|
CD-ROM или Flash-карты). Ограничения «родителя» (скромные возмож- |
обычный дистрибутив. И хотя доступна Embedded-версия для встроенных |
|
|
|
|
|
|
|
||||||||
|
|
|
|
|
ности, жесткие лимиты по размеру, строгое ориентирование на встроенные |
устройств, это направление не является приоритетным. |
|
|
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
устройства) были не по душе Крису Бойхлеру, и он взялся за создание |
Текущая версия pfSense 1.2, вышедшая в феврале 2008 года, базируется на |
|
|
|
|
|
|
|
||||||||
|
|
|
|
|
нового дистрибутива. |
FreeBSD 6.2. С ней мы и познакомимся. |
|
|
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
За несколько лет разработки функциональность была увеличена на порядок |
|
|
|
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
(по сравнению с «папашей»), кроме того, значительно возросло количество |
Возможности pfSense |
|
|
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
доступных приложений. Сегодня пользователи получили бесплатное ре- |
В качестве средства фильтрации в pfSense используется «опеночный» |
|
|
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
шение, по своим возможностям не уступающее некоторым коммерческим. |
Packet Filter с интегрированным ALTQ и поддержкой нормализации |
|
|
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
|
|
132 |
xàêåð 09 /117/ 08 |
|
|
|
|
|
|
|||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
C |
E |
|
|
|
|
|
|
|
|
|
C |
E |
|
|
|
|||||||
|
|
X |
|
|
|
|
|
|
|
|
|
|
X |
|
|
|
|
|
|||||||
|
- |
|
|
|
|
|
d |
|
|
|
|
- |
|
|
|
|
|
d |
|
||||||
|
F |
|
|
|
|
|
|
|
i |
|
|
|
F |
|
|
|
|
|
|
|
i |
|
|||
|
|
|
|
|
|
|
|
t |
|
|
|
|
|
|
|
|
|
|
t |
|
|||||
P |
D |
|
|
|
|
|
|
|
|
|
o |
|
P |
D |
|
|
|
|
|
|
|
|
o |
||
|
|
NOW! |
|
r |
|
|
|
|
|
NOW! |
r |
||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||
|
|
|
|
to BUY |
|
>> ХАКЕР.PRO |
|
|
|
|
|
to BUY |
|
|
|
|
|
|
|||||||
w |
|
|
|
|
|
|
|
|
|
|
m |
|
w |
|
|
|
|
|
|
|
|
|
m |
||
w Click |
|
|
|
|
|
|
|
o |
|
w Click |
|
|
|
|
|
o |
|||||||||
|
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
|||
|
. |
|
|
|
|
|
|
.c |
|
|
|
. |
|
|
|
|
|
|
.c |
|
|||||
|
|
p |
df |
|
|
|
|
e |
|
|
|
|
|
p |
df |
|
|
|
e |
|
|||||
|
|
|
|
|
g |
|
|
|
|
|
|
|
|
|
g |
|
|
|
|||||||
|
|
|
|
n |
|
|
|
|
|
|
|
|
|
|
n |
|
|
|
|
||||||
|
|
|
|
-xcha |
|
|
|
|
|
|
|
|
|
|
|
|
|
-x cha |
|
|
|
|
|
||
|
|
|
|
|
|
|
|
info |
|
|
|
|
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
• Текущая версия |
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||
|
|
|
|
pfSense 1.2, вышедшая |
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||
|
|
|
|
в феврале 2008 года, |
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||
|
|
|
|
базируется на FreeBSD |
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||
|
|
|
|
6.2. |
|
|
Разметка диска в программе установки pfSense |
|
|
|
|
|
|
|
|
|
|
|
|
||||||
|
|
|
|
• m0n0wall основан |
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||
|
|
|
|
на FreeBSD и кроме |
Когда IP-адрес интерфейса WAN назначается статически, |
|
|
|
|
|
|
|
|
|
|
|
|
||||||||
|
|
|
|
pfSense дал жизнь |
то при определенных настройках Сети, после появления |
|
|
|
|
|
|
|
|
|
|
|
|
||||||||
|
|
|
|
еще нескольким |
«Configuring WAN Interface», система как бы зависает, пытаясь |
Вывод системной информации |
|
|
|
|
|
|
|
|
|
|
|
||||||||
|
|
|
|
дистрибутивам. Самым |
получить нужный адрес. К сожалению, пропустить настройку |
|
|
|
|
|
|
|
|
|
|
|
|
||||||||
|
|
|
|
популярным является |
WAN никак нельзя, придется подождать. Встречается такой |
|
|
|
|
|
|
|
|
|
|
|
|
||||||||
|
|
|
|
FreeNAS (речь о нем |
«эффект» не всегда, но лучшим выходом, если что, будет |
жесткий диск, на который будем устанавливать систему, и |
|
|
|
|
|
|
|
|
|
|
|||||||||
|
|
|
|
шла в X_08_2008). |
отключение внешнего кабеля, тогда скрипт быстрее перейдет |
форматируем его (Format this disk). Скрипт проверяет гео- |
|
|
|
|
|
|
|
|
|
|
|||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
к следующему этапу. |
метрию диска и выводит результат — обычно нет необходи- |
|
|
|
|
|
|
|
|
|
||
|
|
|
|
• Популярность |
После инициализации появляется меню, состоящее из 15 |
мости что-либо здесь менять. Отмечаем «Use this geometry» |
|
|
|
|
|
|
|
||||||||||||
|
|
|
|
pfSense довольно |
пунктов. Отсюда можно перезагрузить, остановить и обновить |
и записываем таблицу разделов (Format ad0). Тут добрый |
|
|
|
|
|
|
|
|
|
|
|
||||||||
|
|
|
|
высока. Количество |
систему, сбросить настройки и пароль администратора |
мастер предложит произвести разметку. В Edit partition |
|
|
|
|
|
|
|
|
|
|
|
||||||||
|
|
|
|
загрузок только с офи- веб-интерфейса, проверить доступность узла при помощи |
можно создать несколько слайсов. Варианта, предложенного |
|
|
|
|
|
|
||||||||||||||
|
|
|
|
циального сайта давно |
команды ping, просмотреть вывод pftop и журналы сервера, |
мастером, вполне достаточно, поэтому выбираем «Accept and |
|
|
|
|
|
|
|||||||||||||
|
|
|
|
превысила 1 млн. |
выйти в shell. Переназначить сетевые интерфейсы можно, |
Create». Теперь надо выбрать слайс, на который будем уста- |
|
|
|
|
|
|
|
|
|||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
выбрав пункт 1 — Assign Interfaces. После чего повторяем все |
навливать pfSense. Он у нас один — отмечаем и в следующем |
|
|
|
|
|
|
|
||||
|
|
|
|
• В pfSense поддержишаги, описанные выше. Чтобы установить другой IP-адрес для |
окне подтверждаем нажатием «ОК». После создания слайса |
|
|
|
|
|
|
|
|||||||||||||
|
|
|
|
ваются средства для |
LAN, нажимаем цифру 2 (Set LAN IP address). Затем последо- |
программа предложит создать два раздела: корневой и swap |
|
|
|
|
|
|
|
||||||||||||
|
|
|
|
подключения к вирту- |
вательно вводим новый IP-адрес и сетевую маску. Последним |
(1024 Мб). При желании можно изменить разметку, после |
|
|
|
|
|
|
|
|
|
|
|
||||||||
|
|
|
|
альным частным сетям |
вопросом будет: |
чего начнется копирование необходимых файлов на диск. В |
|
|
|
|
|
|
|
|
|||||||||||
|
|
|
|
и организации такого |
|
состав pfSense входит четыре ядра: для однопроцессорных |
|
|
|
|
|
|
|
|
|
||||||||||
|
|
|
|
сервиса по протоколам |
Do you want to enable the DCHP server on LAN |
и многопроцессорных систем, встроенных устройств (без |
|
|
|
|
|
|
|
|
|
|
|
||||||||
|
|
|
|
IPsec, PPTP, OpenVPN. |
[y|n]? |
драйверов VGA, клавиатуры и т.д.) и developer (с GDB). Выби- |
|
|
|
|
|
|
|
||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
раем нужное. Последний шаг — установка загрузчика. Затем |
|
|
|
|
|
|
|
||||
|
|
|
|
• Функциональность в |
Отвечаем, в зависимости от того, нужно сейчас запустить |
последует перезагрузка. |
|
|
|
|
|
|
|
|
|
|
|
||||||||
|
|
|
|
pfSense, по сравнению |
DHCP-сервер для раздачи адресов во внутренней сети или |
Дальнейшие настройки производятся уже через веб-интер- |
|
|
|
|
|
|
|
|
|
||||||||||
|
|
|
|
с родительским дист- |
нет. По окончании настройки скрипт выводит IP-адрес, кото- |
фейс. |
|
|
|
|
|
|
|
|
|
|
|
||||||||
|
|
|
|
рибутивом m0n0wall, |
рый нужно набирать в строке веб-браузера, чтобы получить |
|
|
|
|
|
|
|
|
|
|
|
|
||||||||
|
|
|
|
увеличена на порядок. |
доступ к веб-интерфейсу. |
Настройка через веб |
|
|
|
|
|
|
|
|
|
|
|
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
Под цифрой 99 находится пункт, позволяющий установить |
Подключаться к pfSense можно пока только с LAN-интерфей- |
|
|
|
|
|
|
|
|
|||
|
|
|
|
• В межсетевом экране |
pfSense на жесткий диск. После установки он исчезает из |
са. Набираем его адрес в строке браузера. Для регистрации |
|
|
|
|
|
|
|
|
|
|
|||||||||
|
|
|
|
по умолчанию активименю. Кстати, дистрибутив необязательно устанавливать: |
используем логин admin и пароль pfsense. |
|
|
|
|
|
|
|
|
|
|
|
|||||||||
|
|
|
|
ровано два правила, |
если вставить дискету, при выключении все настройки будут |
После успешного входа тебя встретит Setup Wizard, задача ко- |
|
|
|
|
|
|
|
||||||||||||
|
|
|
|
разрешающих все со- |
сохранены на нее. |
торого — упростить первоначальную настройку. В первом окне |
|
|
|
|
|
|
|
||||||||||||
|
|
|
|
единения наружу и за- |
|
указываем имя и домен, к которому принадлежит компьютер, |
|
|
|
|
|
|
|
|
|||||||||||
|
|
|
|
прещающих подклю- |
Установка pfSense на хард |
адреса DNS-серверов, настройки времени, часовой пояс и |
|
|
|
|
|
|
|
|
|
|
|||||||||
|
|
|
|
чения из глобально |
Несмотря на то, что pfSense — это урезанная версия FreeBSD, |
синхронизацию с сервером NTP. Что ж, приступаем к настрой- |
|
|
|
|
|
|
|
||||||||||||
|
|
|
|
немаршрутизируемых |
его установка очень проста и не требует каких-либо специфи- |
ке WAN-подключения. Выбираем тип соединения: DHCP, |
|
|
|
|
|
|
|
|
|
|
|
||||||||
|
|
|
|
сетей (10/8, 172.16/12, |
ческих знаний системы. Мастер установки, появляющийся |
статический, PPPoE или PPTP. Установка флажков «Block |
|
|
|
|
|
|
|
|
|
|
|
||||||||
|
|
|
|
192.168/16). |
после ввода 99 (Install pfSense to hard drive …), поможет произ- |
private networks» и «Block bogon networks» создаст правила, |
|
|
|
|
|
|
|
|
|||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
вести все необходимые действия. Но помни, все разделы на |
блокирующие подключение к WAN с адресов указанных сетей. |
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
|
|
|
|
выбранном жестком диске будут уничтожены. При наличии не- |
Дальше, если хочешь, смени настройки LAN-интерфейса. |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
которого опыта можно попробовать пристроить pfSense в ка- |
На последнем шаге мастера меняем пароль админа. От услуг |
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
|
|
честве второй системы, но лучше для экспериментов исполь- |
мастера можно отказаться и настроить все самостоятельно, |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
зовать виртуальные машины, под которыми этот дистрибутив |
— поступай, как тебе удобнее. Повторно мастер вызывается в |
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
|
|
|
|
отлично работает (или другой винч). Сама установка занимает |
SystemSetup Wizard. |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
пять минут. Для записи настроек и перехода к следующему |
По окончании настройки все соединения из внутренних сетей |
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
|
|
|
|
шагу выбираем «Accept these settings». Перейти к следующе- |
будут разрешены. Правила NAT создаются автоматически |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
му пункту можно при помощи стрелок или табуляции. |
(новички это оценят). Когда такие правила планируется созда- |
|
|
|
|
|
|
|||||
|
|
|
|
|
|
|
|
|
|
|
|
|
В первом окне доступны настройки шрифта и раскладки |
вать вручную, — нужно снять флажок «Disable NAT Reflection», |
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
|
|
|
|
клавиатуры. Отмечаем «Install pfSense». Сначала выбираем |
который находится внизу страницы System Advanced. |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
134 |
|
xàêåð 09 /117/ 08 |
|
|
|
|
|
|
|||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
E |
|
|
|
|
|
|
|
C |
E |
|
|
|
||||||
|
|
X |
|
|
|
|
|
|
|
|
X |
|
|
|
|
|
||||||
|
- |
|
|
|
|
d |
|
|
|
- |
|
|
|
|
d |
|
||||||
|
F |
|
|
|
|
|
|
i |
|
|
|
F |
|
|
|
|
|
|
i |
|
||
|
|
|
|
|
|
|
t |
|
|
|
|
|
|
|
|
|
t |
|
||||
P |
D |
|
|
|
|
|
|
|
o |
|
P |
D |
|
|
|
|
|
|
|
o |
||
|
|
|
NOW! |
r |
|
|
|
|
NOW! |
r |
||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||
|
|
|
|
to BUY |
|
|
|
|
|
|
>> ХАКЕР.PROto BUY |
|
|
|
|
|
||||||
w |
|
|
|
|
|
|
|
|
m |
|
w |
|
|
|
|
|
|
|
|
m |
||
w Click |
|
|
|
|
|
o |
|
w Click |
|
|
|
|
|
o |
||||||||
|
w |
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
||
|
. |
|
|
|
|
|
.c |
|
|
|
. |
|
|
|
|
|
.c |
|
||||
|
|
p |
df |
|
|
|
e |
|
|
|
|
p |
df |
|
|
|
e |
|
||||
|
|
|
|
g |
|
|
|
|
|
|
|
|
g |
|
|
|
||||||
|
|
|
|
n |
|
|
|
|
|
|
|
|
|
n |
|
|
|
|
||||
|
|
|
|
-xcha |
|
|
|
|
|
|
|
|
|
|
-x cha |
|
|
|
|
|
||
|
|
|
|
|
Настройки в General Setup |
|
|
|
|
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
Интерфейс pfSense разбит на 7 основных вкладок: System, |
|
|
|
|
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
Interfaces, Firewall, Services, VPN, Status и Diagnostics. При |
|
|
|
|
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
выборе каждой откроются дополнительные подпункты. Для |
Настройка правил пакетного фильтра |
|
|
|
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
примера разберем некоторые настройки. |
|
|
|
|
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
Если IP-адрес WAN-интерфейсу задается статически или |
Новоеправилосоздаетсяоченьпросто.Дляэтогоненужно |
|
|
|
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
динамически, то проблем с настройкой WAN не предвидится. |
обладатьзнаниямиPF,достаточнопредставлятьконечный |
|
|
|
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
Путаница возникает, когда к провайдеру нужно подключиться, |
результат.Выбираетсязначениепараметра,предложенного |
|
|
|
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
используя PPPoE или PPTP. Как ты помнишь, pfSense поддер |
конфигуратором(адрес/интерфейсисточникаиназначения, |
|
|
|
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
живает одно такое соединение, и настроить его можно только |
протокол,портилидиапазон,расписаниеипрочее),—оши- |
|
|
|
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
в Interfaces — WAN. Но где же тогда указывать настройки |
битьсяздесьтяжело.Созданныеправиламожнорасставлятьпо |
|
|
|
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
сетевого адаптера? В этом случае следует создать VLAN-ин- |
порядку.Обративниманиенанебольшойтреугольникслеваот |
|
|
|
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
терфейс. Заходим в меню Interfaces — assign, переходим во |
правила.Еслионзеленый—правилоактивно,еслисерый—нет. |
|
|
|
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
вкладку VLANs и нажимаем <+>, чтобы создать новый интер- |
Сначала создаем разрешающее правило, позволяющее |
|
|
|
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
фейс. Потом укажи настройки сетевой карты во VLAN, а в WAN |
соединяться удаленно через webGUI. Выбираем Add new rule |
links |
|
|
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
— информацию о PPPoE. |
и указываем в Action — Pass, Interface — LAN, Protocol — TCP. |
• Проект m0n0wall: |
|
|
|
|
|
|
|
|
|
||||||
|
|
|
|
|
Обязательно зайди в System — General setup! Здесь указыва- |
Поля Source и Destination в том случае, когда используется |
m0n0.ch/wall. |
|
|
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
ются: имя узла, адреса серверов DNS (если они не получаются |
80 ый порт, можно установить в Any, чтобы пользователи могли |
|
|
|
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
через DHCP), имя пользователя и пароль администратора, а |
получить доступ к веб-ресурсам интернет. В Destination port |
• Требования к обору- |
|
|
|
|
|
|
|
||||||||
|
|
|
|
|
также — использование защищенного HTTPS при подключе- |
устанавливаем HTTP. Аналогично настраивается доступ к |
дованию для разных |
|
|
|
|
|
|
|
|
|||||||
|
|
|
|
|
нии через webGUI, порт для соединения, тема оформления, |
остальным удаленным сервисам. По окончании настроек в |
вариантов использо- |
|
|
|
|
|
|
|
||||||||
|
|
|
|
|
часовой пояс и сервер NTP. |
поле Action правила «Default LANany» меняем значение с |
вания pfSense распи- |
|
|
|
|
|
|
|
||||||||
|
|
|
|
|
По умолчанию сервер SSH отключен. Если вдруг планируется |
Pass на Block или Reject. Не забудь, что правила работают до |
саны на сайте проекта |
|
|
|
|
|
|
|
||||||||
|
|
|
|
|
удаленное управление по этому протоколу, то переходим во |
первого совпадения, поэтому запрещающий рулесет следует |
www.pfsense.com в |
|
|
|
|
|
|
|
|
|
||||||
|
|
|
|
|
вкладку System — Advanced и устанавливаем флажок «Enable |
разместить последним, используя кнопки Move selected |
документе Hardware |
|
|
|
|
|
|
|
|
|||||||
|
|
|
|
|
Secure Shell». Для повышения безопасности в поле SSH port |
rule. По окончании всех настроек нажимаем кнопку «Apply |
Sizing Guidance. |
|
|
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
можно указать отличный от 22 ого порт и активировать аутен- |
changes». |
|
|
|
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
тификацию по ключу. Последний следует скопировать в поле |
Во вкладке Firewall также можно задать псевдонимы (aliases), |
• Полный список |
|
|
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
Authorizedkeys. Во вкладке Advanced можно включить первый |
которые позволят упростить создание правил. При выборе |
возможностей pfSense |
|
|
|
|
|
|
|||||||||
|
|
|
|
|
последовательный порт (это отключит видеокарту и клави- |
пункта Traffic Shaper запустится мастер настройки. На первом |
приведен на странице |
|
|
|
|
|
|
|||||||||
|
|
|
|
|
атуру), функцию Filtering Bridge; указать сертификаты для |
шаге следует выбрать внешний и внутренний интерфейсы и |
Features сайта проек- |
|
|
|
|
|
|
|
||||||||
|
|
|
|
|
webGUI; включить балансировку соединений, traffic shaper и |
указать скорость Download/Upload, а затем установить при- |
та (www.pfsense.com). |
|
|
|
|
|
|
|
||||||||
|
|
|
|
|
другие параметры. |
оритет для VoIP-сервисов. В Penalty Box указываются адреса, |
|
|
|
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
Для настройки статической маршрутизации следует перейти |
трафик с которых будет идти с наименьшим приоритетом. |
|
|
|
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
в Static Routes и нажать <+>. В появившемся меню выбрать |
Далее идут настройки ограничений для P2P-сетей, сетевых |
|
|
|
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
интерфейс и ввести адрес сети, шлюз и краткое описание. |
игр и остальных протоколов. |
|
|
|
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
Настройка правил межсетевого экрана и NAT производится |
По ходу конфигурирования система выводит предупреждения |
|
|
|
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
в Firewall — Rules. Количество вкладок здесь равно числу |
вверху страницы. Обращай на них внимание: иногда требуется |
|
|
|
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
используемых интерфейсов. По умолчанию весь локальный |
нажать кнопку/гиперссылку или перезагрузить компьютер, |
|
|
|
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
трафик разрешен: в LAN стоит правило «Default LANany», |
иначе настройки не вступят в силу. |
|
|
|
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
а из WAN блокируется доступ только с адресов частных сетей |
|
|
|
|
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
(другими словами, входящие сетевые подключения с адресов |
Все не зря |
|
|
|
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
из диапазонов 10/8, 172.16/12, 192.168/16 на внешний сетевой |
Опыт показывает, что pfSense не зря пользуется популярнос- |
|
|
|
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
интерфейс запрещены). Правило NAT формируется автомати- |
тью и получает лестные отзывы IT-специалистов. Он прост в |
|
|
|
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
чески (Automatic outbound NAT rule generation), поэтому сразу |
настройке и надежен в работе. Такой маршрутизатор вполне |
|
|
|
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
после установки pfSense исполняет роль маршрутизатора с |
способен решить все задачи по представлению доступа и |
|
|
|
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
фильтрацией пакетов. |
защите домашней/офисной сети.z |
|
|
|
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
xàêåð 09 /117/ 08 |
|
135 |
|
|
|
|
|
|
|||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
E |
|
|
|
|
|
|
|
C |
E |
|
|
|
||||||
|
|
X |
|
|
|
|
|
|
|
|
X |
|
|
|
|
|
||||||
|
- |
|
|
|
|
d |
|
|
|
- |
|
|
|
|
d |
|
||||||
|
F |
|
|
|
|
|
|
i |
|
|
|
F |
|
|
|
|
|
|
i |
|
||
|
|
|
|
|
|
|
t |
|
|
|
|
|
|
|
|
t |
|
|||||
P |
D |
|
|
|
|
|
|
|
o |
P |
D |
|
|
|
|
|
|
|
o |
|||
|
|
|
NOW! |
|
r |
|
|
|
NOW! |
r |
||||||||||||
|
|
|
|
|
|
|
ХАКЕР.PRO |
|
|
|
|
|
|
|
||||||||
|
|
|
|
to>>BUY |
|
|
|
|
|
|
to BUY |
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
m |
w |
|
|
|
|
|
|
|
|
m |
||
w Click |
|
|
|
|
|
|
o |
w Click |
|
|
|
|
|
o |
||||||||
|
w |
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
||
|
. |
|
|
|
|
|
.c |
|
|
. |
|
|
|
|
|
.c |
|
|||||
|
|
p |
df |
|
|
|
e |
|
|
|
|
p |
df |
|
|
|
e |
|
||||
|
|
|
|
g |
|
|
|
|
|
|
|
|
g |
|
|
|
||||||
|
|
|
|
n |
|
|
|
|
|
|
|
|
|
n |
|
|
|
|
||||
|
|
|
|
-xcha |
|
|
|
|
|
|
|
|
|
|
-x cha |
|
|
|
|
|
||
|
|
|
|
|
Моемфайлы |
|
|
|
|
|
|
|
|
|
|
|||||||
|
|
|
|
|
чисто-чисто |
|
|
|
|
|
|
|
|
|
|
|||||||
|
|
|
|
|
Поднимаемидеальныйфайловыйсервер |
|
|
|
|
|
|
|
|
|
|
|
||||||
|
|
|
|
|
Администраторы накопили огромный опыт воздвижения и эксплуатации |
|
|
|
|
|
|
|
|
|
|
|||||||
|
|
|
|
|
«бюджетных» файловых серверов. Среди них с большим отрывом лидируют |
|
|
|
|
|
|
|
|
|||||||||
|
|
|
|
|
сервера на базе Win2k3, который стал стандартом де-факто. Никсы |
|
|
|
|
|
|
|
|
|
|
|||||||
|
|
|
|
|
в этой роли смотрятся недостаточно убедительно, доставляя проблемы тех- |
|
|
|
|
|
|
|
|
|||||||||
|
|
|
|
|
ническому персоналу. Впрочем, Win2k3 тоже не идеален. Чтобы раскрыть |
|
|
|
|
|
|
|
|
|
|
|||||||
|
|
|
|
|
его потенциал, а заодно помочь начинающим администраторам избежать |
|
|
|
|
|
|
|
|
|
|
|||||||
|
|
|
|
|
«классических» ошибок, и была написана эта статья. |
|
|
|
|
|
|
|
|
|
|
|||||||
|
|
|
|
|
|
Л |
|
Локальные сети начинались с файловых серверов. Ими |
Маленькийсервачокибольшойсервер |
|
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
|
|
же, по сути дела, и закончились. Достаточно многие сидят с |
ВнешниежесткиедискисEthernet-интерфейсомактивнотеснятполноцен- |
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
|
|
SQL, WEB, etc, но еще больше народу используют файловые |
ныефайловыесервера,воздвигаемыенабазевыделенныхPC,встречаясь |
|
|
|
|
|
|
|
|||
|
|
|
|
|
сервера: дома, в офисе, в корпоративной среде и так далее — вплоть до |
нетольковдомашнихсетях,ноивофисахсамыхразныхконтор.Достоинст |
|
|
|
|
|
|
|
|||||||||
|
|
|
|
|
глобальных распределенных систем с кучей точек доступа по всему миру. |
ва:низкаяцена(особенновпересчетенаодингигабайт),высокаямасш- |
|
|
|
|
|
|
|
|
|
|||||||
|
|
|
|
|
Заниматься глобализмом мы не будем, переложив решение проблем пла- |
табируемость(закончилосьдисковоепространство?простопокупаемеще |
|
|
|
|
|
|
|
|
||||||||
|
|
|
|
|
нетарного масштаба на чужие плечи. Лучше обсудим вопросы, связанные |
одинвинтивтыкаемвсетевойпорт),относительнаябезглючность(работают |
|
|
|
|
|
|
||||||||||
|
|
|
|
|
с настройкой добротного файлового сервера в рамках скромной локальной |
ониподсильноурезаннымLinux’ом,который,какизвестно,независает), |
|
|
|
|
|
|
|
|
|
|||||||
|
|
|
|
|
сети. |
предельнонизкоеэнергопотребление(а,следовательно,болеедешевая |
|
|
|
|
|
|
|
|
|
|||||||
|
|
|
|
|
|
|
136 |
xàêåð 09 /117/ 08 |
|
|
|
|
|
|
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|