Hướng Dẫn Cài Đặt Và Cấu Hình Cơ Bản pfSense trên Cloud Server
Một hệ thống Cloud Server hoàn chỉnh không thể thiếu tường lửa. Và pfSense là nền tảng Firewall xứng đáng để bạn cài đặt cho máy chủ của mình.
Tường lửa (Firewall) được xem là rào chắn bảo vệ cá nhân, tổ chức khỏi những đối tượng dùng mạng Internet truy cập trái phép thông tin và dữ liệu quan trọng. Thiết lập tường lửa là một nhiệm vụ cực kỳ quan trọng nhất là đối vệ thống Cloud Server. Dưới đây, ODS sẽ hướng dẫn bạn cách cài đặt và cấu hình cơ bản pfSense, một nền tảng Firewall rất được ưa chuộng hiện nay.
Xem thêm: Hướng dẫn cài đặt FireWallD cho Cloud Server chạy trên CentOS 7
pfSense là gì?
pfSense là một nền tảng Firewall mã nguồn mở. Nó được xây dựng dựa trên hệ điều hành FreeBSD và được sử dụng để xây dựng Firewall,Router chuyên dụng.
PfSense được nhiều nhà quản trị hệ thống tin tưởng vì tính tin cậy, cung cấp nhiều tính năng chỉ có thể được tìm thấy trên các thiết bị hoặc phần mềm Firewall thương mại.
Ưu điểm của pfSense
Tính linh hoạt của Firewall pfSense là một trong những ưu điểm mạnh nổi trội nhất. Nó cho phép người dùng cài đặt thêm các gói tiện ích mở rộng do bên thứ ba cung cấp dịch vụ. Những thiết bị Firewall chuyên dụng đến từ các hãng chuyên nghiệp như Cisco, Juniper, Fortigate, Checkpoint… đều là những thiết bị mạnh mẽ, nhưng lại có chi phí cao. Nếu muốn tối ưu hơn về chi phí sử dụng, người dùng nên cân nhắc giải pháp pfSense, được cung cấp hoàn toàn miễn phí.
Dù miễn phí nhưng không có nghĩa là kém chất lượng. Tường lửa pfSense hoạt động cực kỳ ổn định với hiệu năng cao, tối ưu hóa mã nguồn và cả hệ điều hành. pfSense không cần hệ thống phần cứng mạnh mẽ. Nếu doanh nghiệp nhất thiết phải có đường truyền tốc độ cao. pfSense chỉ cần cài đặt lên một máy tính cá nhân là có thể bắt đầu hoạt động. Điều đó càng góp phần làm giảm chi phí thiết lập. Đồng thời tạo nên sự linh hoạt, tính sẵn sàng chưa từng có, khi doanh nghiệp muốn thiết lập thêm tường lửa.
Yêu cầu phần cứng để thiết lập pfSense
Firewall pfSense yêu cầu cấu hình rất nhẹ, hầu hết các hệ thống máy tính hiện nay đều dễ dàng đáp ứng được:
- CPU 1 Ghz. trở lên.
- 1GB Ram trở lên.
- 1GB ổ cứng trống.
- 2 Card mạng.
Yêu cầu về phần cứng sẽ tùy thuộc vào lưu lượng tệp dữ liệu đi qua Card mạng. Đối với lưu lượng 500 Mbps, chúng ta sẽ cần CPU đa nhân với tốc độ 2.0 Ghz trở lên.
Hướng dẫn cài đặt pfSense cho Cloud Server
Bước đầu tiên, bạn cần truy cập vào Website dưới đây:
https://www.pfSense.org/download/ và tải về File Image (ISO) về. Sau đó sử dụng bản ISO này để tiến hành cài đặt:
Tại giao diện cài đặt pfSense, xuất hiện Menu hiển thị các tùy chọn cài đặt. Người dùng có thể nhấn phím 1 để cài đặt mặc định. Hoặc hệ thống sẽ tự chọn mặc định Boot pfSense Default.
Kế tiếp ở phần “Configure Console”, bạn chọn Option “Accept these settings” để tiếp tục cài đặt.
Nếu bạn chưa từng cài đặt hoặc sử dụng pfSense thì có thể lựa chọn Option “Quick/Easy Install”. Hoặc nếu bạn đã từng sử dụng pfSense có thể chọn Option “Custom Install” để tùy chọn nâng cao cho phần cấu hình pfSense.
Option “ Custom Install” tiếp theo hệ thống Boot yêu cầu chọn ổ cứng để cài đặt.
Tiếp theo, hệ thống cài đặt sẽ yêu cầu cung cấp Format ổ cứng để tiếp tục cài đặt. Để đảm bảo an toàn hơn, người dùng nên Backup dữ liệu trên ổ cứng trước sau đó cài đặt pfSense.
Sau đó, bạn tiếp tục cấu hình Cylinders, Sectors cho ổ cứng. Bạn nên chọn mặc định “Use this Geometry” để sang bước cài đặt tiếp theo.
Tiếp theo, hệ thống sẽ đưa ra lời cảnh báo về Format ổ cứng. Nếu ổ cứng không có dữ liệu quan trọng thì người dùng chọn phần Format chuyển sang bước cài đặt tiếp theo.
Tiếp theo, bạn chọn “Partition Disk”:
Và chọn phân vùng ổ cứng xuất hiện trên hệ thống. Người dùng nhấn “Accept and Create” để tạo phân vùng.
Khi đã tạo xong Partition, bạn tiếp tục cài đặt Bootlocks để nạp Bootloader cho pfSense người dùng chọn “Accept and Install bootblocks”.
Tiếp theo, bạn chọn phân vùng để cài đặt pfSense:
Một bảng thông báo được hiển thị cảnh báo phân vùng sẽ được ghi đè, chọn “OK” để tiếp tục.
Tiếp đến “Select Subpartitions” chọn “Accept and Create” để tạo phân vùng:
Khi Subparttions được tạo hệ thống sẽ thông báo quá trình cài đặt đang được xử lý.
Tiếp theo là quá trình cài đặt Kernel. Có 2 Option người dùng chọn “Embedded kernel (No vga console, keyboard)” để tiếp tục cài đặt.
Sau khi cài đặt xong Kernel, bạn nhấn chọn Reboot để hoàn tất cài đặt pfSense.
Hướng dẫn cấu hình pfSense trên Cloud Server
Sau khi đã cài đặt xong, trên màn hình sẽ xuất hiện 2 Card mạng.
Tiếp theo, hệ thống sẽ yêu cầu cài đặt WAN và LAN trên pfSense. Trên hệ thống pfSense sẽ bao gồm 2 Card mạng. Em0 sẽ là card mạng Wan và Em1 sẽ đóng vai trò là card Lan để bật các tính năng Firewall, Nat.
Nếu không cần đặt tên Card mạng, nhấn vào Return Key. Hệ thống sẽ trả về Confirm YES/NO. Nhấn Y và Enter để tiếp tục.
Sau khi cấu hình Card mạng cơ bản trên pfSense, giao diện sẽ hiển thị theo Menu bên dưới.
Địa chỉ IP WAN được cấp tự động từ DHCP. Nếu cần, bạn có thể gán địa chỉ IP tĩnh cho Card WAN. Đối với LAN, địa chỉ IP mặc định của pfSense là 192.168.1.1/24. Nếu người dùng muốn thay đổi địa chỉ IP thì chọn Option 2 Set Interface(s) IP Address, và chọn Card mạng cần thay đổi địa chỉ.
Tiếp theo ta chọn Option 2 để cấu hình card LAN (em1 – Static):
- IP card LAN: 192.168.2.162
- Subnet = 24
- Gateway = 192.168.2.1
Nếu ở phần Enable DHCP Server bạn chọn Y/YES thì ta sẽ được lựa chọn Range IP cấp cho máy tính nội bộ theo Range quy định ở đây người viết cài đặt range cho card LAN. Ở đây là từ 192.168.2.163 đến 192.168.2.200
Và để truy cập Web-control của pfSense theo đường dẫn http://192.168.2.162/ để cấu hình NAT,Firewall cho pfSense.
Tiếp theo là giao diện đăng nhập pfSense để truy cập ta dùng máy Client trong mạng LAN truy cập theo đường dẫn http://192.168.2.162/.
Username/Password mặc định trên pfSense là Admin/pfsense
Sau khi đăng nhập, sẽ hiển thị thông báo của pfSense về việc hướng dẫn cấu hình. Người dùng nhấn “Next” để tiếp tục.
Ở giao diện tiếp theo, bạn nhập vào thông tin theo yêu cầu bao gồm Hostname, tên domain, Primary DNS server, Secondary DNS server. Sau khi điền đầy đủ thông tin bạn chọn “Next” để tiếp tục.
Ở màn hình kế tiếp, bạn chọn Time zone cho pfSense sau đó nhấn “Next” để tiếp tục.
Nếu bạn đã cài đặt sẵn kết nối PPOE, và muốn cấu hình pfSense như một Router. Tiếp tục chọn Option “PPOE” hoặc “Static” để cấu hình IP tĩnh cho Card WAN.
Tiếp theo “Configure LAN Interface”
Do đã cấu hình Card LAN từ lúc đầu, nên ở bước này bạn nhấn “Next” để tiếp tục.
Giao diện kế tiếp là cài đặt password admin cho Web Config và SSH của pfSense.
Sau khi cài đặt Password xong, người dùng ấn “Reload” để hoàn tất cấu hình pfSense.
Sau khi hoàn tất Reload, nhấn vào “Click here to continue on to pfSense webConfigurator” để đến giao diện Status/Dashboard của pfSense.
Một số tính năng cơ bản của pfSense
Một số tính năng cơ bản trên Firewall rules web-config pfSense : Chặn Port , chặn IP
Để cấu hình Rules chặn IP bạn có thể Click vào phần “Add” để cấu hình.
Bao gồm :
- Action : Tạo hành động khi gói tin không hợp với Rule. Mặc định pfSense có các tùy chọn Action : Pass/Block ( Hủy gói tin đi tới Firewall )/Reject ( từ chối gói tin và gắn cờ, gửi lại người dùng ).
- Disable : Dừng Rule tạm thời
- Interface : Tùy người dùng muốn cấu hình Rule trên LAN, WAN.
- Address Family : Chọn loại IP muốn tạo Rule – Ipv4 ,Ipv6 hoặc cả hai.
- Protocol : Bao gồm các giao thức phổ biến pfSense có hỗ trợ trên Rule TCP, UDP, ICMP, ESP, AH,IPV6, SCTP, OSPF, PIM hoặc có thể chọn Option Any.
Tiếp theo là chọn Source và Destination để cấu hình tùy theo nhu cầu của bạn.
Ở phần Source và Destination: Cho biết địa chỉ IP gửi, địa chỉ IP nhận, Port của gói tin khi người dùng cần tạo Rules Firewall để cấu hình.
Source: Xác định địa chỉ IP gửi.
Destination: Xác định địa chỉ IP đích.
Các tùy chọn: Any, Single host or alias, Network, PPPoE Clients, L2TP Clients, Interface Net, Interface Address
- Any : Bất kỳ địa chỉ IP nào
- Single host or alias : Host, IP cá nhân khi trùng khớp với rules
- Network : Tìm danh sách range IP, subnet theo tùy chọn người dùng.
- PPPoE Clients : Truy xuất danh sách IP Client trong giao thức PPPoE đến PPPoE server nếu người dùng có sử dụng.
- L2TP Clients : Truy xuất danh sách IP Client trong giao thức L2TP đến L2TP server nếu người dùng có sử dụng.
- Interface Net : Truy xuất tất cả IP WAN- LAN theo dãy IP người dùng tùy chọn.
- Interface Address : Truy xuất IP được chỉ định theo tùy chọn người dùng.
Extra Options:
- Log : Cho phép theo dõi và ghi lại hoạt động của rules.
- Description : Mô tả rules.
Bên cạnh đó, bạn cũng có thể tạo Rule bằng dòng lệnh khi kết nối vào pfSense bằng SSH như sau:
Tạo rule với lệnh easyrule
- easyrule pass wan tcp x.x.x.x y.y.y.y 443
- easyrule pass <interface> <protocol> <source IP> <destination ip> [destination port]
Kết luận
Thiết lập tường lửa pfSense sẽ giúp bạn bảo vệ tối ưu hệ thống Cloud Server của mình. Đồng thời tiết kiệm chi phí cho doanh nghiệp một cách hiệu quả. Trên đây là những thông tin chi tiết nhất cho quá trình cài đặt và cấu hình pfSense trên máy chủ. Nếu bạn có nhu cầu thuê máy chủ ảo, hãy liên hệ với ODS ngay nhé!!! Hy vọng chúng sẽ hữu ích đối với bạn đọc.