Egileak: Jokin Uzkudun eta Israel Garcia
Aurkibidea Sarrera …………………………………………………………………………………………………. 2 Instalazioa ……..……………………………………………………………………………………. 4 Konfiguraketa ……………………………………………………………………………………... 8 Erabiltzaileak kudeatu ………………………...……………………………………………… 17 Kudeatzailea …………………………..……………………………………………………… 20 NAT …………………………………………………………………………………………… 21 Firewall ……………………..……………………………………………………………… 24 DHCP zerbitzaria… ……………………..……………………………………………… 25 Proxya …………………………………………………………………………………… 27 Gatibu ataria …………………………………..……………………………………… 31
1
sarrera Zer da pfsense? ● FreeBSD sistema eragilean oinarrituta dagoen distribuzioa da ● Funtzio nagusia Firewalla da ● Kode irekia dauka ● kudeaketa erraza web ingurunetik Ekartzen Dituen Programak: ● Suhesia ● Egoera taula ● NAT ● Karga oreka ● VPN (IPsec, OpenVPN, PPTP) ● PPPoE zerbitzaria ● DNS zerbitzaria ● Gatibu ataria ● DHCP zerbitzaria ● ...
Beste Programa instalatzeko aukerak: PFsensek pakete kudeatzaile bat dauka erabilgarritasun gehiago emateko. Gutxi gora behera 70 modulu gehitu daitezke. gure kasuan, Squid proxya horrela instalatuko dugu.
Gure proiektua Adibide bat egingo dugu pfsensea hobeto azaltzeko erabiliko duguna.Sare kopurua 2 baino gehio eduki ditzazke. ● 2 Sare edukiko ditugu: WAN eta LAN. ○ WAN interfazea: 10.2.0.15 (10.2.0.0/16 sarean) ○ LAN interfazea: 192.168.100.1 (192.168.100.0/24 sarean) ● LAN sareko bezeroak DHCP erabiliz konektatuko dira ● pfsense egin beharrekoa: ○ Sare batetik bestera pasarela (gateway) ○ LAN sarea babestu kanpoko erasotik (Firewall) ○ LAN sareko bezeroei IP bat esleitu (DHCP) ○ LAN sareko bezeroak mugatu (Proxy) ○ LAN sareko WIFI bezeroak atzipena + barne sarea babestu (Captive portal) 2
●
Jarraitutako sare egiturak
3
instalazioa ●
prestakuntza:
●
pfsense instalatzeko, ISO irudia behar dugu. Hemen duzue esteka irudia jaisteko ○ Kontuan hartu behar duzue zuen prozesagailuaren arkitektura (AMD64 / i386 / netgate rccve 2440) ○ Irudia plataforma desberdinetatik instalatzea badago (cd, dvd, Flash pen drive…)
●
Zerbitzaria: ○ Prozesagailua goian aipatutako arkitektura eduki behar du ■ abiadura: Gutxienez 500MHz / gomendagarria 1GHz ○ RAM memoria ■ Gutxienez 256MB / gomendagarria 1GB ○ Disko gogorra ■ Gutxienez 1GB ○ Sare txartelak ■ 2 behar ditu gutxienez Informazio gehiago
● Instalazioa Iturria
Irudia lortuta, euskarri fisikotik abiatu (B oot menu a edo BIOSetik aldatuta) ○ Sarrerako menua agertuko da. Defektuz, BOOT Multi User [enter] sartzeko kontagailua dauka. Hau gelditzeko [espazioa] sakatu ○ 1. aukera sakatu [enter]
4
○
2.menua azalduko da aukera desberdinekin: ■ ( R ) letra sakatuta: R ecovery moden sartzeko (berreskurapen moduan ■ ( I ) letra sakatuta: Installeran sartuko gara ■ ( C ) letra sakatuta: Live moduan abiaraziko dugu
○
3.menua (instalatzeko aukerak) ■ Orokorrean defektuz dauden aukerak egokiak dira. Azkenekoa aukeratu eta [intro] sakatu
5
○
quick/easy install aukeratu. KONTUZ: diska gogor osoa formateatuko du.
○
Instalatzen hasiko da
○
Standart kernel aukeratuko dugu
6
○
Berrabiarazteko eskatzen digu Instalazioa bukatzen duenean
Instalatzeko erabili duzun euskarri fisikoa lektoretik kendu eta disko gogorratik abiatuko gara, zerbitzaria konfiguratzen hasteko.
7
konfiguraketa
●
1. abioa F1 tekla sakatu behar da abiatzeko
○
Menu nagusia Irekiko da. Beheko irudian aukera desberdinak daude
○
Lehendabiziko gauza Sare konfiguraketa egingo dugu (Ikus eskema)
■
VLANak konfiguratu nahi dugun galdetzen digu. Gure kasuan ez (n)
8
■
Ondoren, WAN interfazea zein den idatzi behar dugu (em0)
■
Gero, LAN interfazea zein den Idatzi behar dugu (em1)
■
Azkenik, baieztatu behar dugu
Bi interfazen rolak esleituta daude, Baino IPa ipini dezakegu. WAN DHCP bezala utziko dugu (automatikoki bat esleituko zaio), Baino LAN sarekoa aldatuko dugu. Defektuz 192.168.1.1 dator ● 2. aukera sakatu eta LAN (em1) aukeratuko dugu 2 zenbakia ipiniz
●
Eskuz ipiniko dugu IP berria, Eta maskara Bit kopurukin (255.255.255.0 = /24)
9
●
IPv6 ipintzeko aukera ematen du
●
LAN sarean DHCP zerbitzaria martxan jarri nahi dugun galdetzen digu (bezeroak eskuz konfiguratuko dugu)
●
Azkenik, WEB interfaze berrabiarazteko eskatuko digu.
Pausu hauek amaitzerakoan, Makina bezero bat LAN sarean konektatuko dugu ● Gure kasuan Lubuntu 15.04 bat da. Lehendabizi Sarea konfiguratuko dugu: (192.168.100.10) Sakonduta
●
Sarea konfiguratuta (Nahi badezute terminaletik PING komandoa erabili zihurtatzeko) nabegadorea ireki eta Ondorengo IPa jarriko dugu
10
●
Ondorengo WEB orrialdea irekiko zaigu:
●
Logeatzeko defektuzko erabiltzailea eta pasahitza: Admin | pfsense
●
Nabegatzailetik konfiguratzen hasi gaitezke
11
●
Lehenengo aldian sartzen garenean, konfiguraketa asistentea irekiko da
●
Next sakatu. GOLD zerbitzua erosteko iragarkia (Abantaila desberdinekin)
●
Next sakatu. Parametro orokorrak idazteko eskatuko digu (Ekipoizena, Domeinuizena, DNSak).
12
●
Next sakatu. ordulari zerbitzaria eta Ordutegi gunea aukeratu ditzazkegu.
●
Next sakatu. WAN konfiguraziora joango gara (static/DHCP, MAC helbidea, IP eta Gateway helbideak…
13
●
Beste konfigurazio motak agertzen dira ○ PPPoE ○ PPTP ○ RFC1918 ○ Block bogon
14
●
Next sakatu. LAN konfiguratzeko azalduko da
●
Next sakatu. Azkenik, Administradore pasahitza aldatzeko aukera emango digu
15
●
Next sakatu. ondorengo oharra azalduko da (eguneratu orrialdea aldaketak isladatzeko)
●
Beheko here sakatu. Dashboard ikusiko dugu
●
Bertan,zerbitzariaren informazio orokorra agertuko da (ekipo izena, sistema, data, DNS, RAM / CPU erabilera…)
16
●
Puntu honetan, Pfsensearen zerbitzu nagusiak konfiguratzen hasi gaitezke. ○ erabiltzaileen kudeatzea ○ Kudeatzailearen konfiguraketa ○ NAT ○ Firewalla ○ DHCP ○ Proxy ○ Gatibu ataria
17
Erabiltzaileak kudeatu: ●
Erabiltzaileak kudeatzeko /system>user Manager atalara joango gara
●
Erabiltzaile berri bat sortzeko, taularen eskubian dagoen “+” Laukia sakatu behar da. “x” laukia, sortutako erabiltzaile bat ezabatzeko balio du eta “e” laukia erabiltzaile bat moldatzeko baizik.
● Erabiltzailea Sortzeko beheko formularioa bete behar da (datuak orokorrak dira: Erabiltzaile Izena, pasahitza, Izen osoa, bukatzedata, taldeak...
●
bete, eta save sakatu aldaketak gordetzeko 18
●
Atzera eramango gaitu, eta erabiltzaile berria taulan egongo da
●
Groups pestaina sakatu taldeak kudeatzeko
●
defektuz 2 talde sortuta daude: erabiltzaile guztiak eta administradoreak. Erabiltzaileak kudeatzen diren bezala, taldeak “+”, “x” eta “e” laukitxoak dituzte. “+” sakatu talde berria sortzeko
●
kasu honetan, taldearen izena, deskribapena eta zein erabiltzaile daude barruan aukeratu dezakegu. Save sakatu eta aurreko atalera joango gara
19
●
Erabiltzaileen sesioa kudeatu dezakegu settings sakatuta. Bertan sesioaren iraute denbora eta autentikazio zerbitzaria aukeratu daitezke. Oinarrizko zerbitzaria Local Database da, hau da, sistema bera
●
Autentikazio zerbitzari berria ipini dezakegu servers pestainan. ikusi bakarra dagoela bakarrik (lokala) zerbitzari bat gehitzeko “+” sakatu
●
LDAP edo Radius izan daitezke. Gure kasuan local erabiliko dugu
Erabiltzaile atalakin bukatu dugu. orain administradore aukera garatukin hasiko gara. 20
●
/System > advanced > Admin Accesse ra joango gara
●
Aukera orokorrak agertzen dira eta bertan, webadministrari, Secure shell, serial komunikazioak eta konsola aukerak kudeatu ditzazkegu ● Web konfigurazioan aukera asko daude, 3 aukera azalduko ditugu ○ HTTP edo HTTPS aukeratzeko ○ ze TCP portua erabiliko duen ○ Zenbat erabiltzaile kudeatuko dute aldi berean zerbitzaria
●
ssh
●
Serie komunikazioa
21
Firewal / NAT ●
Aliases (Aliasak inf. )
●
Aliasak Lana errezten gaitu. Helbide, makina, portu multzo bat izendatu ditzazkegu Gero erregelak sortzeko garaian multzoak eginak ditugulako
●
/Firewall >Aliases sakatuko dugu
●
IP helbideak, Portuak eta URLak ipini daitezke. multzo bat sortzeko “+” laukitxoan sakatu
●
Datuak bete ondoren Save sakatu aldaketak gordetzeko
○ ●
Errorea eman dit aliasen NAMEn utxunerik ezin delako egon. konpontzeko LAN_ekipoak deitu dut.
Gordetzerakoan, aurreko orrialdera bultatuko gara, baino ohar bat agertuko zaigu. aliaseko lista aldatu egin dela, eta aldaketak isladatzeko “Apply Changes” Botoia sakatu behar da
22
●
Portuekin berdina egingo dugu:
●
Adibide lista bat osatuko dugu (Gero firewalla konfiguratzeko balioko diguna)
23
●
NAT (Sare helbide itzulpena) ●
Gure kasuan NATen lana WAN saretik LAN sarera dijoan trafikoa bihuirtzea da, eta kontrakoa. Konfiguratzeko /Firewall > NAT sakatu behar dugu. ● 2 gune nagusiak ditu ○ Sarrerakoa (Port Forward) ○ Irterakoak ( Outbound) ● Sarrerako erregela sortzeko Port Forward + laukitxoa sakatu
● ● ● ●
Disabled: Erregela hau desgaituta edo ez ipini dezakegu Interface: Baimendu edo Ezeztatuko dugun paketea ze saretik dator Protocol: Erabilitako protokolari aplikatuko zaio erregela Destination Port range: Portu (protokolo) bat edo gehiago ezan daitezke
●
Beste erregelak bezala, zerbitzaria eguneratu behar da aplikatzeko
24
●
Beste protokolo gehitu ditzakegu
●
Firewall (suebakia) ● ●
Firewalla konfiguratzen hasteko /Firewall > Rules sakatu Lehendabizi, ikusi dezakegu sortutago NAT araua dagoeneko erregela bat dagoela. PFsense automatikoki egiten du. (WANeko 3. erregela)
● ● ● ● ●
Proto : ze protokoloa baimendu / ezeztatu Source : ze saretik etorriko den Port1 Port2 : ze portutik datorren, ze portutik pasatzen uzten du Destination: Ze sarea/makina du helburu Gateway : ze pasarelatik pasako du
GOGORATU: Suhesi bat ondo eraikitzeko planifikazioa funtzezkoa da (sarearen egitura, makinak, zerbitzuak…) 25
DHCP zerbitzaria ●
DHCPzerbitzua ipiniko dugu LAN bezeroei IP bat esleitzeko. Aktibatzeko /Services>DHCP server en sakatu
●
“enable DHCP server” tika sakatu aktibatzeko. Zerbitzaria konfiguratzen hasiko gara. Range atalean Banatuko dituen IP tarteak ipiniko dugu
●
Ondoren bezeroak beharko duen beste informazioa (DNSak, pasarela, esleipen denbora…)
26
●
Aldaketak gorde, eta bezero bat konfiguratuko IPa jasotzen duela ikusteko. Gure bezeroa hasieran IP estatiko ipini diogu pfsensea konfiguratu ahal izateko
●
DHCP moduan ipini
●
Sarea edo ekipoa berabiarazi, eta IPa ikusi ifconfig a
●
IP berria eman diola egiaztatu dugu (192.168.100.101)
27
squid proxy iturria ● Proxy bat instalatuko dugu.squid proxya instalatzeko, / system > package manager ra joan behar dugu.
●
“Installed Packagesen” ikusi dezakegu oraindik beste paketerik ez dagoela instalatuta. Available Packages sakatuko dugu.
●
Kasu honetan, Ikus dezakegu pfsensen deskargatzeko aukera dituen paketeak ( Programak ). Squid izenekoa aurkitu behar dugu Services sailean
28
●
Instalatzeko, eskubian dagoen + laukitxoa sakatu, konfirmatzeko eskatuko digu. confirm sakatu.
●
Deskargatzen eta instalatzen hasiko da
●
Bukatzerakoan, menu nagusitik Konfiguraketa ikusteko esango digu
●
/Services> proxy server era joan . Konfiguratzen hasi gaitezke
29
●
Oinarrizko konfiguraketa ipini, eta gero froga bat egingo dugu. Hortarako:
●
Transparen proxy aktibatu eta logeoa baimendu
●
Gorde (save sakatuz) eta Frogatu youtubera joan zaitezkela
●
Orain, arau bat sortuko dugu proxyan, youtube blokeatzeko. Access control sakatu. Ikusi dezakezue aukera desberdinak dituela. Baimendutako azpisareak, IP helbide askeak, bezeroak…
●
Gure kasuan BlackList bilatuko dugu. debekatutako web helbideak emen ipiniko ditugu
30
●
Gorde, eta nabegatzailearekin frogatu youtubera sartzen. Proxya galarazi egiten du.
●
Oso inportantea da bezeroan proxya ondo konfiguratzea. Lubuntun nola eginten den erakutsiko dizuegu. Nabegadorea ireki (gure kasuan mozilla firefox (beste aukerak: IE , Chrome ))
●
Menua ireki>preferences>Advanced>Network> settings eta bertan manual proxy configuration Zerbitzariaren IP ipini
31
captives portal ●
Bukatzeko, Gatibu ataria konfiguratuko dugu. /Services > captive portal era joango gara
●
Gune berria sortzeko “+” sakatu. Gunearen izena eta deskribapena jarriko ditugu. “continue” sakatu jarraitzeko
●
Aukera asko daude konfiguratzeko, Oinarrikoak erakutxiko dizuegu
32
●
“Enable captive portal” sakatu ataria baieztatzeko, eta ze sare interfaza erabiliko duen
●
Konexioaren iraupena, inaktibitatea dagoenean (idle) edo orokorrean (hard)
●
Autentikazio mota. gure kasuan autentifikaziorik gabe izango da
●
Azkenik, hasierako orrialdearen HTML kodea aukeratuko dugu
●
Aldaketak gorde, eta ikusiko dugu nola sortu digun gunea
33
34