Como instalar e configurar o Firewall Basic Opnsense

Em um artigo anterior, uma solução de firewall conhecida como pfsense foi discutida. No início de 2015, foi tomada uma decisão para o garfo PfSense e uma nova solução de firewall chamada Opnsense foi liberado.

Opnsense começou sua vida como um bifurcação simples de PfSense mas evoluiu para uma solução totalmente independente de firewall. Este artigo abordará a instalação e a configuração inicial básica de um novo Opnsense instalação.

Firewall Opnsense

Como PfSense, Opnsense é uma solução de firewall de código aberto baseado em FreeBSD. A distribuição é gratuita para instalar em seus próprios equipamentos ou decisio da empresa, vende aparelhos de firewall pré-configurados.

Opnsense tem um conjunto mínimo de requisitos e uma torre de casa mais antiga típica pode ser facilmente configurada para ser executada como um Opnsense firewall. As especificações mínimas sugeridas são as seguintes:

Minimums de hardware

• 500 MHz CPU
• 1 GB de RAM
• 4 GB de armazenamento
• 2 cartões de interface de rede

Hardware sugerido

• 1GHz CPU
• 1 GB de RAM
• 4 GB de armazenamento
• 2 ou mais cartões de interface de rede PCI-E.

Se o leitor deseja utilizar alguns dos recursos mais avançados de Opnsense (SURICATA, CLAMAV, servidor VPN, etc.) O sistema deve receber um hardware melhor.

Quanto mais módulos o usuário deseja habilitar, mais RAM/CPU/Drive o espaço deve ser incluído. Sugere -se que os seguintes mínimos sejam atendidos se houver planos para permitir módulos avançados no Opnsense.

• CPU de vários núcleos modernos em execução pelo menos 2.0 GHz
• 4 GB+ de RAM
• 10 GB+ do espaço HD
• 2 ou mais cartões de interface de rede PCI-E Intel

Instalação e configuração do Firewall Opnsense

Independentemente de qual hardware é escolhido, instalando Opnsense é um processo simples, mas exige que o usuário preste muita atenção a quais portas de interface de rede serão usadas para qual finalidade (LAN, WAN, sem fio, etc.).

Parte do processo de instalação envolverá solicitação do usuário a começar a configurar interfaces LAN e WAN. O autor sugere apenas conectar a interface WAN até o Opnsense ter sido configurado e depois prosseguir para terminar a instalação conectando a interface da LAN.

Download do Firewall Opnsense

A primeira etapa é obter o software Opnsense e há algumas opções diferentes disponíveis, dependendo do dispositivo e do método de instalação, mas este guia utilizará o 'Opnsense-18.7-Openssl-DVD-AMD64.ISO.BZ2'.

O ISO foi obtido usando o seguinte comando:

$ wget -c http: // espelhos.NYCBUG.org/pub/opnsense/liberes/espelho/opnsense-18.7-Openssl-DVD-AMD64.ISO.BZ2 

Depois que o arquivo foi baixado, ele precisa ser descomprimido utilizando o Bunzip ferramenta da seguinte maneira:

$ bunzip2 opnsense-18.7-Openssl-DVD-AMD64.ISO.BZ2 

Depois que o instalador for baixado e descomprimido, ele pode ser queimado para um CD ou pode ser copiado para um USB Dirija com o ferramenta 'dd' incluído na maioria das distribuições Linux.

O próximo processo é escrever o ISO para um USB Dirija para inicializar o instalador. Para conseguir isso, use o ferramenta 'dd' dentro do Linux.

Primeiro, o nome do disco precisa ser localizado com 'LSBLK' no entanto.

$ lsblk 

Encontre nomes de dispositivos de disco

Com o nome do USB unidade determinada como '/dev/sdc', o Opnsense ISO pode ser escrito para a unidade com o ferramenta 'dd'.

$ sudo dd if = ~/downloads/opnsense-18.7-Openssl-DVD-AMD64.ISO de =/dev/sdc 

Observação: O comando acima requer privilégios de raiz, para que utilize 'sudo' ou faça login como usuário root para executar o comando. Além disso, este comando vai Remova tudo no USB dirigir. Certifique -se de fazer backup dos dados necessários.

Instalação do Firewall Opnsense

Uma vez dd terminou de escrever para a unidade USB, coloque a mídia no computador que será configurado como o Opnsense firewall. Inicialize esse computador para essa mídia e a seguinte tela será apresentada.

Menu de inicialização Opnsense

Para continuar até o instalador, basta pressionar o 'Digitar' chave. Isso vai inicializar Opnsense no Modo vivo Mas existe um usuário especial para instalar Opnsense para a mídia local em vez disso.

Quando o sistema inicializar para o prompt de login, use o nome de usuário de 'instalador' com uma senha de 'Opnsense'.

Opnsense Live Mode

A mídia de instalação efetuará login e iniciará o real Opnsense instalador. Cuidado: Continuando com as etapas a seguir resultará em todos os dados no disco rígido no sistema que está sendo apagado! Prossiga com cautela ou saia do instalador.

Opnsense Installer

Atingindo o 'Digitar' A chave iniciará o processo de instalação. O primeiro passo é selecionar o keymap. O instalador provavelmente detectará o keymap adequado por padrão. Revise o keyMap selecionado e corrija -o conforme necessário.

Configurações de keyMap de opções

A próxima tela fornecerá algumas opções para a instalação. Se o usuário desejar fazer particionamento avançado ou importar uma configuração de outra caixa Opnsense, isso pode ser realizado nesta etapa. Este guia está assumindo uma nova instalação e selecionará o 'Instalação guiada'Opção.

Tipo de instalação do Opnsense

A tela a seguir exibirá os dispositivos de armazenamento reconhecidos para instalação.

Dispositivo de instalação do Opnsense

Depois que o dispositivo de armazenamento for selecionado, o usuário precisará decidir sobre qual esquema de particionamento é usado pelo instalador (Mbr ou GPT/EFI).

A maioria dos sistemas modernos apoiará GPT/EFI Mas se o usuário estiver redimensionando um computador mais antigo, Mbr pode ser a única opção suportada. Verifique no BIOS Configurações do sistema para ver se ele suporta Efi/gpt.

Modo de instalação do Opnsense

Depois que o esquema de particionamento for escolhido, o instalador iniciará as etapas de instalação. O processo não leva muito tempo e levará o usuário a informações periodicamente, como a senha do usuário root.

Processo de instalação do Opnsense Senha root de opnsense

Depois que o usuário definir a senha do usuário root, a instalação será concluída e o sistema precisará reiniciar para configurar a instalação. Quando o sistema reinicia, ele deve inicializar automaticamente no Opnsense Instale (certifique -se de remover o meio de instalação à medida que a máquina reiniciar).

Quando o sistema reinicia, ele parará no prompt de login do console e aguarda o usuário para fazer login.

Prompt de login opnsense

Agora, se o usuário estivesse prestando atenção durante a instalação, eles poderiam ter notado que poderiam ter pré-configurado as interfaces durante a instalação. No entanto, vamos supor para este artigo que as interfaces não foram atribuídas na instalação.

Depois de fazer login com o usuário root e a senha configurada durante a instalação, pode -se notar que o Opnsense utilizou apenas uma das placas de interface de rede (NIC) nesta máquina. Na imagem abaixo, é nomeado “LAN (EM0)”.

Interfaces de rede Opnsense

Opnsense Vai padrão para o padrão “192.168.1.1/24 ” Rede para a LAN. No entanto, na imagem acima, a interface WAN está ausente! Isso é facilmente corrigido digitando '1' no prompt e no ataque.

Isso permitirá a reinicialização das NICs no sistema. Observe na próxima imagem de que existem duas interfaces disponíveis: 'em0' e 'em1'.

Opnsense Configurar interface de rede

O Assistente de Configuração também permitirá configurações muito complexas com VLANs, mas por enquanto, este guia está assumindo uma configuração básica de duas redes; (ou seja, a Wan/isp lado e um lado LAN).

Digitar 'N' Para não configurar nenhuma VLAN neste momento. Para esta configuração em particular, a interface WAN é 'em0' E a interface LAN é 'em1' Como visto abaixo.

Configurações de rede Opnsense

Confirme as alterações nas interfaces digitando 'Y' no prompt. Isso fará com que o Opnsense recarregue muitos de seus serviços para refletir as mudanças na atribuição de interface.

Uma vez feito, conecte um computador com um navegador da web à interface do lado da LAN. A interface LAN possui um servidor DHCP ouvindo na interface para clientes para que o computador possa obter as informações de endereçamento necessárias para se conectar à página de configuração da web Opnsense.

Depois que o computador estiver conectado à interface da LAN, abra um navegador da web e navegue até o seguinte URL: http: // 192.168.1.1.

Interface de login Opnsense

Fazer login no console da web; Use o nome de usuário 'raiz' e a senha que foi configurada durante o processo de instalação. Depois de conectado, a parte final da instalação será concluída.

A primeira etapa do instalador é usada para simplesmente coletar mais informações como nome de host, nome de domínio e servidores DNS. A maioria dos usuários pode deixar o 'Substitua DNS'Opção selecionada.

Isso permitirá que o Firewall Opnsense obtenha informações de DNS do ISP sobre a interface WAN.

Informações do sistema Opnsense

A próxima tela solicitará Ntp servidores. Se o usuário não tiver seus próprios sistemas NTP, o Opnsense fornecerá um conjunto padrão de pools de servidores NTP.

Opnsense NTP Servidores

A próxima tela é o Wan configuração da interface. A maioria dos ISP para usuários domésticos usará o DHCP para fornecer a seus clientes as informações de configuração de rede necessárias. Simplesmente deixar o tipo selecionado como 'Dhcp' irá instruir o Opnsense a tentar reunir sua configuração lateral WAN do ISP.

Configurações do DHCP do Opnsense

Role para baixo até o fundo da tela de configuração WAN para continuar. ***Observação*** Na parte inferior desta tela, há duas regras padrão para bloquear intervalos de rede que geralmente não devem ser vistos entrando na interface WAN. Recomenda -se deixar esses verificados, a menos que haja um motivo conhecido para permitir essas redes através da interface WAN!

A próxima tela é a tela de configuração da LAN. A maioria dos usuários pode simplesmente deixar os padrões. Perceba que existem faixas de rede especiais que devem ser usadas aqui, comumente referidas como RFC 1918. Certifique -se de deixar o padrão ou escolher uma rede de dentro do RFC1918 alcance para evitar conflitos/problemas!

Opnsense Configure a interface LAN

A tela final na instalação perguntará se o usuário gostaria de atualizar a senha root. Isso é opcional, mas se uma senha forte não fosse criada durante a instalação, agora seria um bom momento para corrigir o problema!

Depois da opção de alteração de senha, o Opnsense solicitará ao usuário que recarregue as definições de configuração. Basta clicar no 'Recarregar' Botão e dê um segundo Opnsense para atualizar a configuração e a página atual.

Quando tudo estiver feito, o Opnsense receberá o usuário. Para voltar ao painel principal, basta clicar em 'Painel' No canto superior esquerdo da janela do navegador da web.

Painel Opnsense

Neste ponto, o usuário será levado para o painel principal e pode continuar instalando/configurar qualquer um dos plugins ou funcionalidades úteis do Opnsense! O autor recomenda verificar e atualizar o sistema se houver atualizações disponíveis. Basta clicar no 'Clique para verificar se há atualizaçõesBotão no painel principal.

Opções de configuração do Opnsense

Então na próxima tela, 'Verifique se há atualizações'Pode ser usado para ver uma lista de atualizações ou'Atualizar agora'Pode ser usado para simplesmente aplicar as atualizações disponíveis.

Atualizações Opnsense

Neste ponto, uma instalação básica do Opnsense deve estar em funcionamento, bem como totalmente atualizada! Em artigos futuros, a agregação de links e o roteamento inter-vlan serão abordados para mostrar mais recursos avançados do Opnsense!