pfSense 2.4.4 ファイアウォール ルーターのインストールと構成
最近、インターネットは恐ろしい場所です。ほぼ毎日、新たなゼロデイ、セキュリティ侵害、またはランサムウェアが発生し、多くの人が自分のシステムを保護できるかどうか疑問に思っています。
多くの組織は、インフラストラクチャとデータを保護するために、最新かつ最高のセキュリティ ソリューションをインストールするために、数百万ドルとは言わないまでも、数十万ドルを費やしています。ただし、ホームユーザーは金銭的に不利な立場にあります。専用ファイアウォールにたとえ 100 ドルを投資しても、多くの場合、ほとんどのホーム ネットワークの範囲を超えます。
ありがたいことに、オープンソース コミュニティには、ホーム ユーザーのセキュリティ ソリューションの分野で大きな進歩を遂げている専用のプロジェクトがあります。 IPfire、Snort、Squid、pfSense などのプロジェクトはすべて、エンタープライズ レベルのセキュリティをコモディティ価格で提供します。
PfSense は、FreeBSD ベースのオープンソース ファイアウォール ソリューションです。このディストリビューションは、自分の機器に無料でインストールできます。また、pfSense の背後にある企業である NetGate は、事前構成されたファイアウォール アプライアンスを販売しています。
pfSense に必要なハードウェアは非常に最小限であり、通常、古いホーム タワーを専用の pfSense ファイアウォールに簡単に再利用できます。 pfSense の高度な機能をさらに実行するために、より有能なシステムを構築または購入したいと考えている人のために、推奨されるハードウェアの最小要件がいくつかあります。
ハードウェアの最小要件
- 500MHz CPU
- 1GBのRAM
- 4GBのストレージ
- ネットワーク インターフェイス カード 2 枚
推奨されるハードウェア
- 1GHz CPU
- 1GBのRAM
- 4GBのストレージ
- 2 枚以上の PCI-e ネットワーク インターフェイス カード。
ホーム ユーザー (および企業) へのハードウェアに関する真剣な提案
ホーム ユーザーが、Snort、ウイルス対策スキャン、DNS ブラックリスト、Web コンテンツ フィルタリングなどの pfSense の追加機能の多くを有効にしたい場合は、など、推奨ハードウェアはもう少し複雑になります。
pfSense ファイアウォールで追加のソフトウェア パッケージをサポートするには、次のハードウェアを pfSense に提供することをお勧めします。
- 少なくとも 2.0 GHz で動作する最新のマルチコア CPU
- 4GB以上のRAM
- 10GB以上のHDスペース
- 2 枚以上の Intel PCI-e ネットワーク インターフェイス カード
pfSense 2.4.4 のインストール
このセクションでは、pfSense 2.4.4 (この記事の執筆時点での最新バージョン) のインストールについて説明します。
ラボのセットアップ
pfSense は、ファイアウォールを初めて使用するユーザーにとってイライラすることがよくあります。多くのファイアウォールのデフォルトの動作は、良くも悪くもすべてをブロックすることです。これはセキュリティの観点からは優れていますが、使いやすさの観点からはそうではありません。インストールを開始する前に、構成を開始する前に最終目標を概念化することが重要です。
pfSense をダウンロードしています
どのハードウェアを選択するかに関係なく、ハードウェアへの pfSense のインストールは簡単なプロセスですが、ユーザーはどのネットワーク インターフェイス ポートがどの目的 (LAN、WAN、ワイヤレスなど) に使用されるかについて細心の注意を払う必要があります。
インストール プロセスの一部には、ユーザーに LAN および WAN インターフェイスの構成を開始するよう求めるプロンプトが含まれます。著者は、pfSense が設定されるまでは WAN インターフェイスのみを接続し、その後 LAN インターフェイスを接続してインストールを完了することを推奨しています。
最初のステップは、https://www.pfsense.org/download/ から pfSense ソフトウェアを入手することです。デバイスとインストール方法に応じていくつかの異なるオプションが利用可能ですが、このガイドでは「AMD64 CD (ISO) インストーラー」を利用します。
前に提供したリンクのドロップダウン メニューを使用して、ファイルをダウンロードする適切なミラーを選択します。
インストーラーをダウンロードしたら、CD に書き込むか、ほとんどの Linux ディストリビューションに含まれる「dd」ツールを使用して USB ドライブにコピーできます。
次のプロセスでは、ISO を USB ドライブに書き込み、インストーラーを起動します。これを行うには、Linux 内で「dd」ツールを使用します。まず、ディスク名を「lsblk」で見つける必要があります。
lsblk
USB ドライブの名前が「/dev/sdc」であると、「dd」ツールを使用して pfSense ISO をドライブに書き込むことができます。
gunzip ~/Downloads/pfSense-CE-2.4.4-RELEASE-p1-amd64.iso.gz
dd if=~/Downloads/pfSense-CE-2.4.4-RELEASE-p1-amd64.iso of=/dev/sdc
重要: 上記のコマンドには root 権限が必要なため、「sudo」を使用するか、root ユーザーとしてログインしてコマンドを実行してください。また、このコマンドは USB ドライブ上のすべてを削除します。必要なデータは必ずバックアップしてください。
pfSenseのインストール
「dd」による USB ドライブへの書き込みが完了するか、CD への書き込みが完了したら、pfSense ファイアウォールとしてセットアップするコンピュータにメディアを置きます。そのコンピュータをそのメディアから起動すると、次の画面が表示されます。
この画面で、タイマーが切れるまで待つか、1
を選択してインストーラー環境の起動を続行します。インストーラーの起動が完了すると、システムはキーボード レイアウトに必要な変更を要求するプロンプトを表示します。すべてが母国語で表示される場合は、[これらの設定を受け入れる] をクリックします。
次の画面では、「クイック/簡単インストール」またはより高度なインストール オプションのオプションがユーザーに提供されます。このガイドでは、単純に「クイック/簡単インストール」オプションを使用することをお勧めします。
次の画面では、インストール中にあまり質問されない「クイック/簡単インストール」方法の使用をユーザーが希望していることを確認するだけです。
おそらく最初に表示される質問は、どのカーネルをインストールするかについての質問です。繰り返しになりますが、ほとんどのユーザーには「標準カーネル」をインストールすることをお勧めします。
インストーラーがこの段階を完了すると、再起動を求めるメッセージが表示されます。マシンが再びインストーラーを起動しないように、インストール メディアも必ず削除してください。
pfSense の構成
再起動し、CD/USB メディアを取り外した後、pfSense は新しくインストールされたオペレーティング システムで再起動します。デフォルトでは、pfSense は DHCP を使用して WAN インターフェイスとしてセットアップするインターフェイスを選択し、LAN インターフェイスは未設定のままにします。
pfSense には Web ベースのグラフィカル構成システムがあり、ファイアウォールの LAN 側でのみ実行されますが、現時点では LAN 側は構成されていません。最初に行うことは、LAN インターフェイスに IP アドレスを設定することです。
これを行うには、次の手順に従います。
- VLAN について尋ねられたら、「n」 と入力し、「Enter」 キーを押します。
- WAN インターフェイスの入力を求められたら、手順 1 で記録したインターフェイス名を入力するか、適切なインターフェイスに変更してください。この例でも、「em0」はインターネットに面するインターフェイスとなるため、WAN インターフェイスになります。
- 次のプロンプトでは LAN インターフェースを尋ねられます。再度適切なインターフェース名を入力して「Enter」 キーを押します。このインストールでは、「em1」 が LAN インターフェイスです。
- pfSense は、利用可能なインターフェイスがある場合はさらにインターフェイスを要求し続けますが、すべてのインターフェイスが割り当てられている場合は、 もう一度「Enter」 キーを押すだけです。
- pfSense は、インターフェイスが適切に割り当てられていることを確認するよう求めるプロンプトを表示します。
- インターフェースが正しい場合は、「y」 と入力し、「Enter」 キーを押します。
次のステップでは、インターフェイスに適切な IP 構成を割り当てます。 pfSense がメイン画面に戻ったら、「2」 と入力し、「Enter」 キーを押します。 (WAN および LAN インターフェイスに割り当てられたインターフェイス名を必ず記録してください)。
*注意* このインストールでは、WAN インターフェイスは問題なく DHCP を使用できますが、場合によっては静的アドレスが必要になる場合があります。 WAN 上で静的インターフェイスを構成するプロセスは、これから構成する LAN インターフェイスと同じです。
IP 情報を設定するインターフェイスの入力を求められたら、もう一度「「2」」と入力します。このウォークスルーでも、2 は LAN インターフェイスです。
プロンプトが表示されたら、このインターフェイスに必要な IPv4 アドレスを入力し、「Enter」 キーを押します。このアドレスはネットワーク上の他の場所で使用すべきではなく、このインターフェイスに接続されるホストのデフォルト ゲートウェイになる可能性があります。
次のプロンプトでは、いわゆるプレフィックス マスク形式でサブネット マスクを要求されます。このネットワーク例では、単純な /24 または 255.255.255.0 が使用されます。完了したら、「Enter」キーを押します。
次の質問は、「アップストリーム IPv4 ゲートウェイ」について尋ねます。 LAN インターフェースは現在設定されているため、「Enter」キーを押すだけです。
次のプロンプトでは、LAN インターフェイスで IPv6 を構成するように求められます。このガイドでは単に IPv4 を使用していますが、環境で IPv6 が必要な場合は、今すぐ設定できます。それ以外の場合は、「Enter」キーを押すだけで続行されます。
次の質問は、LAN インターフェイスでの DHCP サーバーの起動について尋ねます。ほとんどのホーム ユーザーはこの機能を有効にする必要があります。これも環境に応じて調整する必要があるかもしれません。
このガイドでは、ユーザーがファイアウォールで DHCP サービスを提供し、pfSense デバイスから IP アドレスを取得するために他のコンピュータに 51 個のアドレスを割り当てることを想定しています。
次の質問は、pfSense の Web ツールを HTTP プロトコルに戻すかどうかを尋ねます。 HTTPS プロトコルは、Web 設定ツールの管理者パスワードの漏洩を防ぐためにある程度のセキュリティを提供するため、これを行わないことを強くお勧めします。
ユーザーが「Enter」を押すと、pfSense はインターフェースの変更を保存し、LAN インターフェース上で DHCP サービスを開始します。
pfSense は、ファイアウォール デバイスの LAN 側に接続されているコンピューターを介して Web 構成ツールにアクセスするための Web アドレスを提供することに注意してください。これで、ファイアウォール デバイスを追加の構成とルールに対応できるようにするための基本的な構成手順は終了です。
Web インターフェースには、Web ブラウザーを介して LAN インターフェースの IP アドレスに移動してアクセスします。
この記事の執筆時点での pfSense のデフォルト情報は次のとおりです。
Username: admin
Password: pfsense
Web インターフェイス経由で初めてログインに成功すると、pfSense は初期セットアップを実行して管理者パスワードをリセットします。
最初のプロンプトは、pfSense ゴールド サブスクリプションへの登録を求めるものです。これには、自動構成バックアップ、pfSense トレーニング資料へのアクセス、pfSense 開発者との定期的な仮想ミーティングなどの利点があります。ゴールド サブスクリプションの購入は必須ではなく、必要に応じてこのステップをスキップできます。
次の手順では、ホスト名、ドメイン名 (該当する場合)、DNS サーバーなど、ファイアウォールの詳細な構成情報の入力をユーザーに求めます。
次のプロンプトはネットワーク タイム プロトコル、NTPを設定するよう求められます。別のタイムサーバーが必要な場合を除き、デフォルトのオプションをそのまま使用できます。
NTP を設定した後、pfSense インストール ウィザードは、ユーザーに WAN インターフェイスを設定するよう求めます。 pfSense は、WAN インターフェイスを設定するための複数の方法をサポートしています。
ほとんどのホーム ユーザーのデフォルトは DHCP を使用することです。ユーザーのインターネット サービス プロバイダーからの DHCP は、必要な IP 構成を取得するための最も一般的な方法です。
次のステップでは、LAN インターフェースの構成を求めるプロンプトが表示されます。ユーザーが Web インターフェイスに接続している場合、LAN インターフェイスはすでに構成されている可能性があります。
ただし、LAN インターフェイスを変更する必要がある場合は、この手順で変更が可能になります。 LAN の IP アドレスがどのように設定されているかを
覚えておいてください。 管理者は Web インターフェイスにアクセスします。
セキュリティの世界のすべての事柄と同様、デフォルトのパスワードは極度のセキュリティ リスクを表します。次のページでは、管理者に、「admin」ユーザーのデフォルトのパスワードを pfSense Web インターフェイスに変更するように求めるメッセージが表示されます。
最後のステップでは、新しい構成で pfSense を再起動します。 [再読み込み] ボタンをクリックするだけです。
pfSense がリロードされると、完全な Web インターフェイスにログインする前に、最終画面がユーザーに表示されます。 2 番目の [ここをクリック] をクリックするだけで、完全な Web インターフェイスにログインできます。
ついに pfSense が起動し、ルールを設定する準備が整いました。
pfSense が稼働しているので、管理者はファイアウォールを通過する適切なトラフィックを許可するルールを作成する必要があります。 pfSense にはデフォルトのすべて許可ルールがあることに注意してください。セキュリティ上の理由から、これは変更する必要がありますが、これも管理者の決定になります。
こちらもお読みください : pfSense ファイアウォールで DNS ブラック リストに登録するために pfBlockerNg をインストールして構成する
pfSense のインストールに関するこのTecMint 記事を最後までお読みいただき、ありがとうございます。 pfSense で使用できるより高度なオプションの構成に関する今後の記事にご期待ください。