# Настройка pfSense Версия 29.01.2022 pfSense является программным маршрутизатором/фаерволом на основе операционной системы FreeBSD. В данной инструкции рассмотрим его начальную настройку для следующей инфраструктуры и внесем правила в соответствии поставленной задачей. ![](https://i.imgur.com/R9dclo0.png) В данной инфраструктуре представлены два узла с установленным pfSense - FW-WAN и FW-LAN. ## Первым настроем FW-WAN. После загрузки pfSense мы увидим меню настройки. Первое, что нам нужно сделать — настроить сеть и веб-интерфейс. Дальнейшую настройку можно делать в последнем. 1) Выбираем опцию **Set interface(s) IP address** — номер 2 ![](https://i.imgur.com/4yKVB7Z.png) 2) Выбираем интерфейс для настройки. Сначала внутренний (LAN): ![](https://i.imgur.com/xIJvxzK.png) 3) Задаем IP-адрес в соответствии с нашей инфраструктурой: ![](https://i.imgur.com/F7Zu9EI.png) 4) Указываем маску подсети: ![](https://i.imgur.com/aZcvjYh.png) 5) Если нужно, прописываем адрес шлюза, в противном случае, просто нажимаем Enter 6) Не указываем адрес IPv6: ![](https://i.imgur.com/uv6dPfu.png) 7) Система нам предложит активировать сервер DHCP для локальной сети. Если наш pfSense должен выполнять такую задачу, ставим y. Мы же этого делать не будем, так как наша LAN-зона является DMZ-зоной. В DMZ-зоне IP-адреса узлам нужно присваивать в ручную. ![](https://i.imgur.com/Zib47Kc.png) 8) На вопрос: "Do you want to revert to HTTP as the webConfiguration protocol? (y|n)" - отвечаем: "n". Если ответить "y", то Web-конфигуратор будет доступен протоколу http, иначе по https. ![](https://i.imgur.com/XBs0flx.png) На этом настройка FW-WAN завершена. ## Приступаем к насройке интерфейсов на узле FW-LAN. 1) Для того, чтоб задать какой из интерфейсов WAN или LAN необходимо выбрать **Assign Interfaces** - пункт 1. ![](https://i.imgur.com/eW56uJL.png) 2) Система предложит добавить VLAN, для нашей инфраструктуры необходимо сконфигурировать три VLAN поэтому вводим y. ![](https://i.imgur.com/ecMDxBF.png) 3) Далее необходимо ввести наименование родительского VLAN интерфейса ![](https://i.imgur.com/OZahFFZ.png) 4) И перечислить названия VLAN-ов. Мы создадим следующие VLAN: 10, 20, 30 ![](https://i.imgur.com/pFVceig.png) для того чтобы остановить процесс добавления VLAN нужно нажать Enter не вводя ничего. 5) Далее нужно ввести наименование интерфейса для WAN-интерфейса ![](https://i.imgur.com/2l6qtHN.png) 6) Таким же образом вводим наименование интерфейса для LAN-интерфейса ![](https://i.imgur.com/P5rp3P6.png) 7) После чего вводим наименование интерфейсов для ранее созданных VLAN ![](https://i.imgur.com/Mb99WLu.png) 8) После того как наименования для всех интерфейсов будут назначены нужно выполнить подтверждение ![](https://i.imgur.com/HQscywF.png) 9) В основном меню будут перечислены все наши интерфейсы с наименованиями, но без адресов, следующим этапом назначаем IP адреса для наших интерфейсов: ![](https://i.imgur.com/UdXsS3L.png) ## Назначение IP-адреса для WAN интерфейса FW-LAN 1) Выбираем опцию **Set interface(s) IP address** — номер 2 ![](https://i.imgur.com/LK2WYdV.png) 2) Далее указываем для какого интерфейса будет назначение IP-адреса, выбираем WAN интерфейс ![](https://i.imgur.com/VXGKPLi.png) 3) На нашем WAN интерфейсе DHCP сервер не нужен, поэтому на следующем шаге выбираем n ![](https://i.imgur.com/mOvAhdN.png) 4) Далее в соответствии с нашей инфраструктурой вводим IP-адрес для WAN интерфейса ![](https://i.imgur.com/iI198Rp.png) 5) Указываем маску сети ![](https://i.imgur.com/MCEHhRH.png) 6) Указываем шлюз для WAN интерфейса ![](https://i.imgur.com/myHh1Co.png) 7) DHCP для IPv6 нам не нужен ![](https://i.imgur.com/QpbCuUJ.png) 8) На вопрос: "Do you want to revert to HTTP as the webConfiguration protocol? (y|n)" - отвечаем: "n". Если ответить "y", то Web-конфигуратор будет доступен протоколу http, иначе по https. ![](https://i.imgur.com/mc0bPpX.png) 9) Назначение IP адреса для WAN интерфейса FW-LAN выполнено, переходим к назначению IP адреса следующего интерфейса ![](https://i.imgur.com/uG9gF6I.png) ## Назначение IP-адресов для LAN и VLAN интерфейсов FW-LAN 1) Выбираем LAN-интерфейс ![](https://i.imgur.com/k05o59I.png) 2) Вводим IP-адрес и маску для LAN-интерфейса ![](https://i.imgur.com/5sE6EEe.png) 3) Делаем всё аналогично предыдущей настройки WAN-интерфейса, только не указываем шлюз, и устанавливаем DHCP на LAN-интерфейсе и VLAN-интерфейсах ![](https://i.imgur.com/YSqFoCQ.png) 4) Указываем диапазон IP адресов для DHCP сервера LAN-интерфейса ![](https://i.imgur.com/f8MC9O9.png) 5) На вопрос: "Do you want to revert to HTTP as the webConfiguration protocol? (y|n)" - отвечаем: "n". Если ответить "y", то Web-конфигуратор будет доступен протоколу http, иначе по https. ![](https://i.imgur.com/eLaQ1Ql.png) 6) Далее назначение IP адресов для VLAN выполняются аналогично настройке LAN интерфейса и в соответсвии со своим VLAN-ID, DHCP диапазон указывается в следующем виде с 192.168.VLAN-ID.10 по 192.168.VLAN-ID.20. В итоге должен получится следующий список интерфейсов: ![](https://i.imgur.com/66nOWnY.png) ## Настройка коммутатора (switch-LAN) Порядок комманд необходимо ввести в соответсвии следующему рисунку: ![](https://i.imgur.com/87TXsjU.png) DOT1Q — используется для multiple соединений. Это укороченная версия от IEEE 802.1q. Так как802.1Q не изменяет заголовки кадра, то сетевые устройства, которые не поддерживают этот стандарт, могут передавать трафик без учёта его принадлежности к VLAN. 802.1Q помещает внутрь фрейма тег, который передает информацию о принадлежности трафика к VLAN’у. В стандарте 802.1Q существует понятие Native VLAN. По умолчанию это VLAN 1. Трафик, передающийся в этомVLAN, не тегируется. ![](https://i.imgur.com/gsM6mFt.png) # Выполнение задания: Настроить межсетвой экран pFsense или Linux FW в соответсвии с условиями: - VLAN-10 имеет доступ в интернет только по протоколу DNS, И VLAN-10 имеет доступ к VLAN-20 - VLAN-20 может ходить только в VLAN-30 - VLAN-30 только в Internet - VLAN-1 только в VLAN-10 ### Настройка pfSense FW-WAN в веб-конфигураторе 1) Меняем наименование сетевой зоны LAN на DMZ ![](https://i.imgur.com/eO6fhFJ.png) 2) Сверяем что интерфейсы соответсвуют наименованиям сетевых зон ![](https://i.imgur.com/Mw914vZ.png) ![](https://i.imgur.com/giu572E.png) 3) Добавим правила в разделе Firewall - Rules - Edit позволяющие отправлять любой траффик из DMZ зоны 4) ![](https://i.imgur.com/iYJ4Lan.png) ### Настройка pfSense FW-LAN в веб-конфигураторе 1) В разделе Interfaces - VLANs нужно добавить ранее созданные VLAN ![](https://i.imgur.com/Gbfn8FF.png) ![](https://i.imgur.com/uWuf2sW.png) 2) В итоге получаем такой список интерфейсов ![](https://i.imgur.com/YacH9Wb.png) ## Настройки доступа для VLAN-10 1) Добавляем правила в Firewall - Rules - Edit чтобы VLAN-10 имел доступ в интернет только по протоколу DNS ![](https://i.imgur.com/9slJHL9.png) 2) Добавляем правило для доступа по любому протоколу из VLAN-10 в VLAN-20 ![](https://i.imgur.com/oRdPNlF.png) 3) Блокируем все остальные соединения на локальные сети 172.16.0.0/12 10.0.0.0/8 192.168.0.0/16 Для это сначало создаем алиас в разделе Firewall/Aliases/IP ![](https://i.imgur.com/ZPTefCW.png) Затем создаем правило по блокировке соединений: ![](https://i.imgur.com/MaTuOIv.png) Таким образом для VLAN-10 созданы следующие правила ![](https://i.imgur.com/d10SPPW.png) ## Настройки доступа для VLAN-20 Для условия чтобы из VLAN-20 можно было устанавливать соединение с VLAN-30 нужно указать следующее правило: ![](https://i.imgur.com/aH2QbvS.png) ## Настройки доступа для VLAN-30 Для условия чтобы из VLAN-30 был доступ только в Интернет, указываем следующие правила, использую Invert Match (инвертировать совпадение) ![](https://i.imgur.com/FkH9IvS.png) ![](https://i.imgur.com/No1vShh.png) ## Настройки доступа для VLAN-1 Для условия чтобы из VLAN-1 был доступ только в VLAN-10, указываем следующее правило: ![](https://i.imgur.com/ibVyMq2.png) При этом чтобы проверить наш сервер который в VLAN-10 нужно отключить Firewall на сервере WinSRV-DC **После ввода любого правила необходимо их применить нажав на Apply Changes** ###### tags: `networks`