pfSense2.4.4ファイアウォールルーターのインストールと構成


最近のインターネットは怖いところです。ほぼ毎日、新しいゼロデイ、セキュリティ違反、またはランサムウェアが発生し、多くの人がシステムを保護できるかどうか疑問に思っています。

多くの組織は、インフラストラクチャとデータを保護するための最新かつ最高のセキュリティソリューションのインストールに、数百万とは言わないまでも数十万ドルを費やしています。ただし、ホームユーザーは金銭的に不利です。専用ファイアウォールに100ドルも投資することは、多くの場合、ほとんどのホームネットワークの範囲を超えています。

ありがたいことに、オープンソースコミュニティには、ホームユーザーのセキュリティソリューションの分野で大きな進歩を遂げている専用のプロジェクトがあります。 IPfire、Snort、Squid、pfSenseなどのプロジェクトはすべて、商品価格でエンタープライズレベルのセキュリティを提供します。

PfSenseは、FreeBSDベースのオープンソースファイアウォールソリューションです。ディストリビューションは、自分の機器に無料でインストールできます。または、pfSenseの背後にある会社であるNetGateは、事前構成されたファイアウォールアプライアンスを販売しています。

pfSenseに必要なハードウェアはごくわずかであり、通常、古いホームタワーは専用のpfSenseファイアウォールに簡単に再利用できます。 pfSenseの高度な機能をより多く実行するために、より高性能なシステムを構築または購入しようとしている人のために、いくつかの推奨されるハードウェアの最小値があります。

  • 500 mhz CPU
  • 1 GB of RAM
  • 4GB of storage
  • 2 network interface cards
  • 1GHz CPU
  • 1 GB of RAM
  • 4GB of storage
  • 2 or more PCI-e network interface cards.

ホームユーザーが、Snort、アンチウイルススキャン、DNSブラックリスト、Webコンテンツフィルタリングなど、pfSenseの追加機能の多くを有効にしたい場合は、推奨されるハードウェアがもう少し複雑になります。

pfSenseファイアウォールで追加のソフトウェアパッケージをサポートするには、次のハードウェアをpfSenseに提供することをお勧めします。

  • Modern multi-core CPU running at least 2.0 GHz
  • 4GB+ of RAM
  • 10GB+ of HD space
  • 2 or more Intel PCI-e network interface cards

pfSense2.4.4のインストール

このセクションでは、pfSense 2.4.4(この記事の執筆時点での最新バージョン)のインストールについて説明します。

pfSenseは、ファイアウォールを初めて使用するユーザーにとっては苛立たしいことがよくあります。多くのファイアウォールのデフォルトの動作は、良いか悪いかにかかわらず、すべてをブロックすることです。これはセキュリティの観点からは優れていますが、ユーザビリティの観点からは優れていません。インストールを開始する前に、構成を開始する前に最終目標を概念化することが重要です。

選択したハードウェアに関係なく、ハードウェアへのpfSenseのインストールは簡単なプロセスですが、ユーザーはどのネットワークインターフェイスポートがどの目的(LAN、WAN、ワイヤレスなど)に使用されるかに細心の注意を払う必要があります。

インストールプロセスの一部には、LANおよびWANインターフェースの構成を開始するようにユーザーに促すことが含まれます。著者は、pfSenseが構成されるまでWANインターフェースのみを接続し、次にLANインターフェースを接続してインストールを完了することを提案しています。

最初のステップは、

前に提供したリンクのドロップダウンメニューを使用して、適切なミラーを選択してファイルをダウンロードします。

インストーラーをダウンロードしたら、CDに書き込むか、ほとんどのLinuxディストリビューションに含まれている「dd」ツールを使用してUSBドライブにコピーすることができます。

次のプロセスは、ISOをUSBドライブに書き込んで、インストーラーを起動することです。これを実現するには、Linux内の「dd」ツールを使用します。ただし、最初に、ディスク名は「lsblk」で見つける必要があります。

$ lsblk

USBドライブの名前を「/ dev/sdc」と決定すると、「dd」ツールを使用してpfSenseISOをドライブに書き込むことができます。

$ gunzip ~/Downloads/pfSense-CE-2.4.4-RELEASE-p1-amd64.iso.gz
$ dd if=~/Downloads/pfSense-CE-2.4.4-RELEASE-p1-amd64.iso of=/dev/sdc

重要:上記のコマンドにはroot権限が必要なため、「sudo」を使用するか、rootユーザーとしてログインしてコマンドを実行してください。また、このコマンドはUSBドライブ上のすべてを削除します。必ず必要なデータをバックアップしてください。

「dd」がUSBドライブへの書き込みを終了するか、CDが書き込まれたら、pfSenseファイアウォールとしてセットアップされるコンピューターにメディアを配置します。そのコンピュータをそのメディアで起動すると、次の画面が表示されます。

この画面で、タイマーが切れるのを待つか、 1 を選択してインストーラー環境での起動を続行します。インストーラーが起動を完了すると、システムはキーボードレイアウトで必要な変更を求めるプロンプトを表示します。すべてが母国語で表示されている場合は、[これらの設定を受け入れる]をクリックするだけです。

次の画面では、「クイック/簡単インストール」またはより高度なインストールオプションのオプションがユーザーに提供されます。このガイドでは、「クイック/簡単インストール」オプションを使用することをお勧めします。

次の画面では、ユーザーが「クイック/簡単インストール」方式を使用することを希望していることを確認するだけです。この方法では、インストール中にそれほど多くの質問をすることはありません。

提示される可能性が高い最初の質問は、インストールするカーネルについて尋ねます。繰り返しになりますが、ほとんどのユーザーには「標準カーネル」をインストールすることをお勧めします。

インストーラーがこの段階を終了すると、再起動を求めるプロンプトが表示されます。マシンがインストーラーで再起動しないように、インストールメディアも必ず削除してください。

pfSense構成

再起動後、CD/USBメディアを取り外した後、pfSenseは新しくインストールされたオペレーティングシステムで再起動します。デフォルトでは、pfSenseはDHCPを使用するWANインターフェースとしてセットアップするインターフェースを選択し、LANインターフェースは未構成のままにします。

pfSenseにはWebベースのグラフィカル構成システムがありますが、ファイアウォールのLAN側でのみ実行されていますが、現時点ではLAN側は構成されていません。最初に行うことは、LANインターフェイスにIPアドレスを設定することです。

これを行うには、次の手順に従います。

  • Take note of which interface name is the WAN interface (em0 above).
  • Enter ‘1’ and press the ‘Enter’ key.
  • Type ‘n’ and press the ‘Enter’ key when asked about VLANs.
  • Type in the interface name recorded in step one when prompted for the WAN interface or change to the proper interface now. Again this example, ‘em0’ is the WAN interface as it will be the interface facing the Internet.
  • The next prompt will ask for the LAN interface, again type the proper interface name and hit the ‘Enter’ key. In this install, ‘em1’ is the LAN interface.
  • pfSense will continue to ask for more interfaces if they are available but if all interfaces have been assigned, simply hit the ‘Enter’ key again.
  • pfSense will now prompt to ensure that the interfaces are assigned properly.

次のステップは、インターフェースに適切なIP構成を割り当てることです。 pfSenseがメイン画面に戻ったら、「2」と入力して「Enter」キーを押します。 (WANおよびLANインターフェースに割り当てられたインターフェース名を必ず追跡してください)。

*注*このインストールでは、WANインターフェースは問題なくDHCPを使用できますが、静的アドレスが必要になる場合があります。 WANで静的インターフェースを構成するプロセスは、構成しようとしているLANインターフェースと同じです。

IP情報を設定するインターフェースの入力を求められたら、もう一度「2」と入力します。ここでも、2はこのウォークスルーのLANインターフェイスです。

プロンプトが表示されたら、このインターフェースに必要なIPv4アドレスを入力し、「Enter」キーを押します。このアドレスは、ネットワーク上の他の場所では使用しないでください。このアドレスは、このインターフェイスに接続されるホストのデフォルトゲートウェイになる可能性があります。

次のプロンプトでは、プレフィックスマスク形式と呼ばれるサブネットマスクを要求します。この例のネットワークでは、単純な/ 24または255.255.255.0が使用されます。完了したら、「Enter」キーを押します。

次の質問では、「アップストリームIPv4ゲートウェイ」について質問します。 LANインターフェースは現在設定されているので、「Enter」キーを押すだけです。

次のプロンプトでは、LANインターフェイスでIPv6を構成するように求められます。このガイドは単にIPv4を使用していますが、環境でIPv6が必要な場合は、ここで構成できます。それ以外の場合は、「Enter」キーを押すだけで続行されます。

次の質問では、LANインターフェイスでDHCPサーバーを起動する方法について質問します。ほとんどのホームユーザーは、この機能を有効にする必要があります。繰り返しますが、これは環境によっては調整が必要な場合があります。

このガイドでは、ユーザーがファイアウォールでDHCPサービスを提供することを想定し、pfSenseデバイスからIPアドレスを取得するために他のコンピューターに51個のアドレスを割り当てます。

次の質問では、pfSenseのWebツールをHTTPプロトコルに戻すように求められます。 HTTPSプロトコルは、Web構成ツールの管理者パスワードの開示を防ぐためにある程度のセキュリティを提供するため、これを行わないことを強くお勧めします。

ユーザーが「Enter」を押すと、pfSenseはインターフェースの変更を保存し、LANインターフェースでDHCPサービスを開始します。

pfSenseは、ファイアウォールデバイスのLAN側に接続されたコンピューターを介してWeb構成ツールにアクセスするためのWebアドレスを提供することに注意してください。これで、ファイアウォールデバイスをさらに多くの構成とルールに対応できるようにするための基本的な構成手順は完了です。

Webインターフェイスには、LANインターフェイスのIPアドレスに移動することにより、Webブラウザからアクセスします。

この記事の執筆時点でのpfSenseのデフォルト情報は次のとおりです。

Username: admin
Password: pfsense

Webインターフェースからのログインが初めて成功すると、pfSenseは初期設定を実行して管理者パスワードをリセットします。

最初のプロンプトは、pfSenseゴールドサブスクリプションへの登録です。これには、自動構成バックアップ、pfSenseトレーニング資料へのアクセス、pfSense開発者との定期的な仮想会議などの利点があります。ゴールドサブスクリプションの購入は不要であり、必要に応じてこの手順をスキップできます。

次の手順では、ホスト名、ドメイン名(該当する場合)、DNSサーバーなどのファイアウォールの詳細構成情報の入力をユーザーに求めます。

次のプロンプトは、構成されたネットワークタイムプロトコル、NTPです。別のタイムサーバーが必要でない限り、デフォルトのオプションをそのままにしておくことができます。

NTPを設定した後、pfSenseインストールウィザードはユーザーにWANインターフェースを構成するように促します。 pfSenseは、WANインターフェースを構成するための複数の方法をサポートしています。

ほとんどのホームユーザーのデフォルトはDHCPを使用することです。ユーザーのインターネットサービスプロバイダーからのDHCPは、必要なIP構成を取得するための最も一般的な方法です。

次のステップでは、LANインターフェースの構成を求めるプロンプトが表示されます。ユーザーがWebインターフェースに接続している場合、LANインターフェースはすでに構成されている可能性があります。

管理者はWebインターフェイスにアクセスします!

セキュリティの世界のすべてのものと同様に、デフォルトのパスワードは極端なセキュリティリスクを表します。次のページでは、管理者に「admin」ユーザーのデフォルトのパスワードをpfSenseWebインターフェイスに変更するように求めます。

最後のステップでは、新しい構成でpfSenseを再起動します。 [リロード]ボタンをクリックするだけです。

pfSenseがリロードした後、完全なWebインターフェイスにログインする前に最終画面がユーザーに表示されます。 2番目の[ここをクリック]をクリックするだけで、完全なWebインターフェイスにログインできます。

ついにpfSenseが起動し、ルールを構成する準備が整いました。

pfSenseが稼働しているので、管理者はファイアウォールを通過する適切なトラフィックを許可するためのルールを確認して作成する必要があります。 pfSenseにはデフォルトですべてを許可するルールがあることに注意してください。セキュリティ上の理由から、これは変更する必要がありますが、これも管理者の決定です。

pfSenseのインストールに関するこのTecMintの記事を読んでいただきありがとうございます! pfSenseで利用可能ないくつかのより高度なオプションの構成に関する今後の記事をお楽しみに。