Po przeczytaniu tego artykułu będziesz wiedział, jak tworzyć zasady zapory i zrozumieć podstawy zapory. Wszystkie pojęcia wyjaśnione w tym samouczku są uniwersalne i mają zastosowanie do większości, jeśli nie wszystkich, zapory. Ponadto, tworząc reguły zapory z PFSense, zrozumiesz więcej o tym systemie operacyjnym.
Samouczek zaczyna się od wyjaśnienia, w jaki sposób reguły zapory są skonfigurowane w pierwszej sekcji, z dodatkowymi przykładami praktycznymi w drugiej sekcji.
Ten samouczek PFSense zawiera prawdziwe zrzuty ekranu scenariusza na każdym kroku, ułatwiając wszystkim użytkownikom zrozumienie i zastosowanie.
Jak stworzyć zasady zapory ogniowej PFSense:
Aby rozpocząć, zaloguj się do interfejsu internetowego PFSense, naciśnij przycisk zapory znajdujący się w górnym menu i naciśnij Zasady, jak pokazano na zrzucie ekranu poniżej.
Po przejściu na ekranie reguł wybierz urządzenie sieciowe PFSense; W moim przypadku jest to BLADY urządzenie; możesz zobaczyć Lan urządzenie w zależności od konfiguracji PFSense. Następnie naciśnij Dodać przycisk, jak pokazano poniżej.
Na poniższym obrazku możesz zobaczyć ekran reguł zapory. W tym samouczku wyjaśnię każdą sekcję osobno; Musisz przewinąć w dół, aby zobaczyć każdą sekcję.
Pierwsze pole, działanie, umożliwia wybór między trzema następującymi opcjami w celu zdefiniowania zasady reguł.
Interfejs: Tutaj możesz wybrać, w jakim interfejsie sieciowym zastosowano regułę.
Adres Family: To pole pozwala wybrać między IPv4 i IPv6 lub oba z nich.
Protokół: To pole pozwala wybrać protokoły TCP, UDP lub oba z nich.
w Źródło Sekcja, masz dwie opcje:
Źródło: Ta sekcja pozwala zdefiniować adres źródłowy. Możesz wybrać adres IP, alias zawierający niestandardowe adresy IP, sieć, PPPoE, L2TP lub sieci WAN.
Zakres portów źródłowych: Tutaj możesz zdefiniować źródło portu, zakres portów lub alias zawierający niestandardowe porty.
Miejsce docelowe: To jest odwrotność źródła portu; Tutaj definiujesz adres docelowy, który może być adresem IP, alias zawierający niestandardowe adresy IP, sieć, PPPoE, L2TP lub WAN.
Zakres portów docelowych: Tutaj możesz zdefiniować miejsce docelowe portu, zakres portów lub alias zawierający niestandardowe porty.
Dodatkowe opcje pozwalają na utrzymanie dzienników pakietów pasujących do bieżącej reguły; Możesz także dodać opis bieżącej reguły.
Istnieją dodatkowe zaawansowane i opcjonalne opcje, które nie są omawiane w tym samouczku zoptymalizowane dla nowych i średnich użytkowników.
Pamiętaj zawsze, po utworzeniu reguły, naciśnij Ratować przycisk, aby go zapisać (wtedy będziesz musiał nacisnąć Zatwierdź zmiany przycisk, jak pokazano w poniższej sekcji).
Przed praktycznymi przykładami: Jak stosowane są zasady zapory
Przed kontynuowaniem następnej sekcji pokazującej praktyczny przykład zasad zapory, bardzo ważne jest wyjaśnienie, że kolejność zasad ma kluczowe znaczenie dla ich prawidłowego zastosowania.
Na przykład, jeśli chcesz zablokować cały ruch do określonego portu, z wyjątkiem konkretnego adresu, który ma przejść, musisz utworzyć regułę blokującą cały ruch do tego konkretnego portu, a następnie utworzyć nową regułę, dodając wyjątek. Nie możesz utworzyć wyjątku w tej samej regule.
Należy również pamiętać, że jeśli dodasz regułę wyjątku przed regułą blokującą cały ruch, wyjątek nie zadziała, ponieważ nowe zasady zastąpiają pierwszą zasadę.
Praktyczny przykład zasady zapory PFSense:
Teraz zastosujmy wiedzę wprowadzoną w poprzedniej części tego samouczka.
W tej sekcji zablokuję wszystkie połączenia SSH, z wyjątkiem określonego adresu IP. Dlatego, jak wyjaśniono wcześniej, najpierw utworzę regułę blokującą cały ruch za pośrednict.
Aby rozpocząć, zaloguj się do interfejsu internetowego PFSense i w górnym menu naciśnij Zapory ogniowe a następnie naciśnij Zasady jak opisano w pierwszym etapie tego artykułu.
Na stronie reguł wybierz interfejs sieciowy (w moim przypadku WAN) i naciśnij przycisk Dodaj, jak pokazano na zrzucie ekranu poniżej.
Najpierw utwórzmy regułę blokującą wszystkie połączenia SSH. Wybierz blok, wybierz interfejs sieciowy i adres rodzinny i protokół (SSH używa TCP) w polu Actions.
w Źródło sekcja, wybierz każdy Aby zablokować wszystkie adresy.
W Miejsce docelowe, wybierać każdy Aby zablokować SSH do wszystkich urządzeń sieciowych.
w Zakres portów docelowych, wybierać SSH (22), jak pokazano niżej.
Dodaj opis, aby zidentyfikować regułę i naciśnij Ratować przycisk, aby zapisać zmiany.
Wrócisz na główny ekran reguły, NIE RÓB wciśnij Zatwierdź zmiany przycisk jeszcze. Zamiast tego naciśnij Dodać przycisk z skierowaną strzałką w dół, ponieważ ta reguła doda wyjątek przepisanie lub korygowanie poprzedniej utworzonej reguły.
Teraz w polu akcji wybierz Przechodzić; możesz pozostawić resztę jako domyślne, ponieważ pasuje do reguły, którą dodajemy.
w Źródło Sekcja, wpisz adres IP, który cieszy się wyjątkiem, które chcesz pozwolić na połączenie za pośrednictwem SSH; W tym przykładzie wpisałem fikcję IP 123.123.123.123.
NA Miejsce docelowe, Wybierz dowolne, z wyjątkiem sytuacji, gdy chcesz, aby tylko określone urządzenia w sieci akceptują połączenia SSH; W takim przypadku możesz to określić w tym polu.
Na Zakres portów docelowych pole, wybierz SSH (22) jak pokazano niżej.
Przewiń w dół i naciśnij Ratować przycisk.
Zostaniesz przywrócony do ekranu głównego zasad; Teraz naciśnij Zatwierdź zmiany przycisk, aby zastosować swoje zasady.
Teraz wszystkie połączenia SSH będą zablokowane, z wyjątkiem określonego adresu IP.
Wniosek:
PFSense to świetna opcja jako graficzna alternatywa dla iPtables trybu tekstowego. Jak widać w tym i innych artykułach na temat PFSense opublikowane w Linuxhint, jest to silne narzędzie do zarządzania twoją siecią i zwiększania jej bezpieczeństwa.
Interfejs internetowy sprawia, że pisanie zapory przepisów jest bardzo przyjaznym dla użytkownika zadaniem; Każdy użytkownik może wykonać, wykonując kilka kroków zgodnie z opisem w tym dokumencie. To oprogramowanie jest bezpłatne i open source, a społeczność powszechnie je obsługuje; Oferuje również wsparcie komercyjne, będąc świetną alternatywą dla użytkowników domowych i firm. Możesz także zainstalować dodatkowe oprogramowanie, aby zwiększyć jego funkcje. Jest to system operacyjny oparty na BSD, bardzo solidny i bezpieczny.
Dziękujemy za przeczytanie tego artykułu wyjaśniając, jak zdefiniować zasady zapory PFSense. Mam nadzieję, że było to dla Ciebie przydatne. Czytaj nas dalej, aby uzyskać więcej artykułów profesjonalnych PFSense.