ကြ်န္ေတာ္ pfsense အေၾကာင္းေလးေရးဖို႔စဥ္းစားေနတာၾကာပါပီ...ကဲ ခုေတာ႔ pfsense ေလးကို install ေလးလုပ္ၾကည့္ရေအာင္ VMware ေလးသံုးပီးေတာ႔...
Minimum hardware requirements:
Pentium II
128MB RAM
Hard Drive
Optical Drive (For installation)
2 Network Interface Cards
ဒါေတြကေတာ႔ VMware နဲ႔မသံုုးရင္ေတာ႔လိုတာေပါ႔ေနာ္...
ခုေတာ႔အဲ႔ဒါေတြ မစဥ္းစားနဲ႔ေတာ႔ သြားစမ္း..:P
အဲအဲေမ႔လို႔မေျပာခင္ pfsense ဆိုတာ ဘယ္လိုမ်ိဳးေလးလဲအရင္ျပမယ္ေနာ္...ကြ်န္ေတာ္ယူသံုးေနတဲ႔ serverက pfsense နဲ႔ကာထားတာဗ်...အဲ႔ေတာ႔သူ႔ပံုေလးကိုျပမယ္..သူလုပ္ထားတာေတာ႔မလွဘူး..ၾကည့္ၾကည့္ေနာ္
သူက လိုင္းကို connect လုပ္ရင္ password မေတာင္းဘူး...web page ေခၚမွ အဲ႔လိုlogin screen ေပၚတာ install လုပ္ေတာ႔မယ္ေနာ္...VMware ေပၚမွာ...
VMware version ကေတာ႔ႀကိဳက္ရာသံုးလို႔ရပါတယ္...နည္းနည္းေတာ႔ကြာသြားမွာေပါ႔ေလ...VMware ကေတာ႔ကိုယ့္ဖာသာကိုယ္ပဲရွာေဒါင္းလိုက္ေတာ႔ေနာ္...
အရင္ဆံုး pfsense ကို http://files.bgn.pfsense.org/mirror/downloads/ မွာ ကိုယ္နဲ႔ကိုက္တာေရြးပီးေဒါင္းလိုက္...
ပီးရင္VMware ကိုဖြင္႔
Create A New Virtual Machine ကိုႏွိပ္
Browse မွာ image ဖိုင္ေရြးေပး
ပီးရင္ Next
Guest Operation system မွာ other ကို ေရြး
version မွာ ေတာ႔ကြ်န္ေတာ္က 64 bit မို႔လို႔ FREE BSD-64bitကိုေရြးလိုက္တယ္
ပီးရင္ next
Customize hardware မွာ ႏွိပ္...processor ကို 2 ေျပာင္း
ဒီအဆင္႔က နည္းနည္းေတာ႔ရႈပ္တယ္.သူက interface ႏွစ္ခု ဖန္တီးေပးရတာဆိုေတာ႔
ပံုေလးၾကည့္မွရွင္းမွာ..Network Adapter ေပၚမွာ click ပီးရင္ Bridge...မွာ အစက္ေလးေပး
ပီးရင္ ဘယ္ဘယ္ေအာက္နားက add မွာ ႏွိပ္ network adapter ကိုေရြး ..ပီးရင္ပထမ တစ္ခုလိုပဲ Bridge...မွာ အစက္ေလးေပး
finish,close အကုန္ႏွိပ္
ပီးရင္ play virtual machine ကိုႏွိပ္
boot မွာေတာ႔ default ကိုပဲေရြးပါ...enter ေခါက္ပါ...စကၠန္႔ေရပီးသူ႔ဖာသာသူလဲ၀င္သြားႏိုင္ပါတယ္
loading ေတြဆြဲပီးလို႔... installer ဆိုတဲ႔စကားလံုးပါလာရင္ i ကိုႏွိပ္ပါ
ေအာ္ စကားမဆက္ေျပာရဦးမယ္...ဒါ install လုပ္ေနတာေနာ္..live နဲ႔သြားေနတာ မဟုတ္ဘူးေနာ္..
အျပာေရာင္ box ေလးေပၚလာရင္ Accept These Settingsကိုေရြး တျခားsettings ေတြကေတာ႔ သူငယ္ခ်င္းတို႔ေျပာင္းခ်င္လဲေျပာင္းႏိုင္ပါတယ္ေနာ္
Quick Easy Install
အဲအဲ...အဲ႔ဒါ boot တက္ပီး run ရင္ အေရးႀကီးတယ္...harddisk ကိုဖ်က္မွာ..ဒီမွာက vmware သံုးေနတာဆိုေတာ႔ဘာမွေတာ႔မျဖစ္ဘူး..
Standard Kernel လုပ္ပီးရင္
loading ေလးေတြတက္ပါမယ္
ပီးရင္ reboot ႏွိပ္
ျပန္တက္လာရင္ boot ျပန္တက္မယ္...ဘာမွမလုပ္နဲ႔သူ႔ဖာသာသူလုပ္သြားလိမ္႔မယ္
enter ေလးေတြေတာ႔ေခါက္ေခါက္ေပး
ေအာက္ က ပံု အဆင္႔ကို ေရာက္ရင္ n ႏွိပ္
ပီးရင္ Lan နဲ႔ Wan ကို interface name ေပး
error တက္တတ္ပါတယ္...a ေလးရိုက္ပီး enter ေခါက္ ေခါက္ေပးပါ...ေအာက္က ပံုေလးလို
ေပၚလိုပီဆိုရင္ y လို႔ႏွိပ္ေပးပါ..
သူ႔ဖာသာသူLoading ေလးတက္သြားပီး option ေလးေတြေပၚလာပါလိမ္႔မယ္..ကိုယ္ႀကိဳက္တ႔ဲ option
ကိုေျပာင္းႏိုင္ပါတယ္
ပီးရင္ေတာ႔ေအာက္ကပုံအတိုင္း Windows ေပၚမွာ Lan က ip ကို browser မွာရိုက္ေခၚပါ..
username-admin
password-pfsense
ကဲ VMware ေပၚမွာ pfsense installtion ပီးပါပီေနာ္...
ေအာက္မွာ အခ်ပ္ပိုအေနနဲ႔ အသံုးျပဳလို႔ရေသာ feature အခ်ိဳ႕ကို ရွင္းျပပါ့မယ္ ယခုေအာက္တြက္ေဖာ္ျပေသာ features
မ်ားဟာ command line သုံးစရာမလိုဘ ဲ web interface မွေနၿပီး အသုံးျပဳလို႔ ရပါတယ.္ .ေနာက္ထပ္လည္း features
မ်ားထပ္ထြက္လာပါလိမ့္မည္…
-Firewall
-source and destination ip ,ip protocol,source and distination port,tcp and udp traffic မ်ားကိုfilter
ျပဳလုပ္အသံုးျပဳႏိူင္ပါသည္..
-rule ေတြသတ္မွတ္ၿပီး အသံုးျပဳလို႔ရပါသည္
-FreeBSD and Linux စက္မ်ားကို အင္တာနက္ေပးသံုးမယ္..Window စက္မ်ားကိုေပးမသံုးဘူး အစရိွသျဖင့္ Operation system
initiating ကိုလည္း Filter ျပဳလုပ္ၿပီး အသံုးျပဳႏိူင္ပါသည္..ဒီမွာၾကည့္ပါ http://lcamtuf.coredump.cx/p0f.shtml
-သတ္မွတ္ထားေသာ rule ေတြရဲ႕ traffice မ်ားကို log လုပ္မလား မလုပ္ဘူးလား အစရိွသျဖင့္အသံုးျပဳႏိူင္..
-Load balancing,failover,multiple Wan အစရိွသျဖင့္ routing ျဖင့္ပတ္သတ္ေသာ rule မ်ားကိုလည္း
အဆင္ေျပစြာအေကာင္းမြန္ဆံုး routing လုပ္ေဆာင္ေပးပါတယ္..
-multiple public ips နဲ႔ numerous servers ေတြအသံုးျပဳရမည့္ ips မ်ားကို grouping ,naming of ips,networs,ports
မ်ားကိုလည္း အလြယ္တကူGroup မ်ားတည္ေဆာက္ၿပီး rule မ်ားထည့္သြင္းအသံုးျပဳႏိူင္ပါတယ္..
-Layer 2 Firewall အျဖစ္လည္းအသံုးျပဳႏိူင္ပါတယ္..interfaces bridge ျပဳလုပ္ျခင္းဌင္း trafficၾကားတြင္ Filterျပဳလုပ္ျခင္း..Ip-less
မ်ားတြင္လည္း Firewall အသံုးျပဳႏိူင္ပါတယ္..
-အျခားေသာ attack , tcp packets drop အစရိွေသာ အေျခအေနမ်ားအတြက္လည္း အကာအကြယ္ျဖစ္ေစမဲ့ packet normalization
ကိုလည္း Default အေနျဖင့္ pfSense တြင္ enable ျပဳလုပ္ၿပီးသားျဖစ္ပါတယ္..တကယ္လို႕NFS ကိုအသံုးျပဳသူမ်ားအေနျဖင့္
problems ၇ိွလို႔အသံုးမျပဳခ်င္လွ်င္လည္း Disable ျပဳလုပ္ႏိူင္ပါတယ္…
-တကယ္လို႔အထပ္ေဖၚျပပါ Filter မ်ားကိုအသံုးမျပဳခ်င္လွ်င္ firewall filter အား turn off ျပဳလုပ္ၿပီးလည္း အသံုးျပဳႏိူင္ပါသည္..
-Network Address Translation (NAT)
-မိမိအသံုးျပဳထားေသာ multiple public ips အတြက္ သတ္မွတ္ထားေသာ ranges အတြက္ port forwards function ပါ၀င္ပါတယ္.
-ips အတြက္သက္ဆိုင္ေသာ subnets အတြက္လည္း 1:1 NAT function ပါရိွပါတယ္..
-outbound NAT အေနျဖင့္ Wan Ip အား Traffic အသံုးျပဳထားပါတယ္..တကယ္လို႔ outbound nat function
အားအသံုးမျပဳခ်င္လွ်င္လည္း ကိုယ္တိုင္ Nat rules တစ္ခုျပဳလုပ္အသံုးျပဳႏိူင္ပါတယ္…
-internal networks မွေနရင္ public ip အားေခၚယူအသံုးျပဳခ်င္လည္း NAT Reflection ပါ၀င္သည့္အတြက္ အသံုးျပဳႏိူင္ပါတယ္..
-High Availability
-ႏွစ္ခုသို႕မဟုတ္ ပိုမ်ားတဲ့ Failover group မ်ားတည္ေဆာက္ၿပီး hardware failover ျဖစ္ခဲ့လွ်င္ကာကြယ္ႏိူင္ပါတယ္..တကယ္လို႕
interfaces တစ္ခုက fail ျဖစ္ခဲ့မယ္ဆိုရင္ဒုတိယ firewall rule တစ္ခုက active ျဖစ္ၿပီး အသံုးျပဳႏူိင္ပါတယ္…တကယ္လို႔ ပထမ
တစ္ခုျပန္ေကာင္းၿပီဆိုရင္ဒုတိယ firewall rule မွေနၿပီး ပထမ firewall rule ကိုျပန္ေျပာင္းၿပီးလည္း အသံုးျပဳႏိူင္ပါတယ္..( network
connections )အတြက္တကယ္ေကာင္းမြန္တဲ့ အလုပ္လုပ္ေဆာင္ပံုေလးျဖစ္ပါတယ္..
-Load Balancing
-outbound load balancing အေနျဖင့္ Multiple Wan connection ကို load balancing ျပဳလုပ္ေပးၿပီး failover function ျဖင့္လည္း
connection တည္ျငိမ္ေအာင္ ျပဳလုပ္ထားႏိူင္ပါတယ္..connection traffic အကုန္လံုးကေတာ့ gateway ကို
တိုက္ရိုက္သြားရန္ျပဳလုပ္ထားပါတယ္..
-Inbound Load Balancing အေနျဖင့္ multiple servers (web servers,mail servers and others)အစရိွေသာ local servers
အခ်င္းခ်င္းload balancing ျပဳလုပ္ေပးၿပီး ping requests fail ျဖစ္တာ အစရိွသည္မ်ားကို pool မွဖယ္ရွားေပးပါတယ္..
-Virtual Private Network(VPN)
-pfSense မွာဆိုရင္ vpn connection အေနျဖင့္ IPsec,OpenVPN , PPTP သံုးခု အသံုးျပဳႏိူင္ပါတယ္…
-IPsec အေနျဖင့္ standard ipsec support လုပ္ေသာ မည္သည့္ device တြင္ connecting ျပဳလုပ္ႏိူင္..site to site ဒါမွမဟုတ္
အျခားေသာ open source firewall ( m0m0wall,etc),cisco,juniper အစရိွသည္မ်ားနွင့္လည္းတြဲဖက္သံုးနူိင္ပါသည္..
-OpenVPN အေနျဖင့္ အလြန္အံ၀င္ခြင္က်ျဖစ္စြာ အသံုးျပဳႏိူင္ပါတယ္..ssl vpn အေနျဖင့္ ေကာင္းေကာင္းsupport
လုပ္ပါတယ္..အေသးစိတ္ကို http://www.openvpn.net/ ဒီမွာၾကည့္ေပးပါ..
-PPTP Server ကေတာ့လက္ရိွ popularျဖစ္ေနပါတယ္..ဘယ္ os မဆို pptp client အေနျဖင့္ တည္ေဆာက္လို႔ရပါတယ္..ဒါေပမဲ့
အခုေနာက္ပိုင္းမွာ secure မျဖစ္လို႕ဆိုၿပီး အသံုးမျပဳသင့္ပါဘူးလို႕ဆိုထားပါတယ္.. ဒီမွာၾကည့္ပါ.အေသးစိတ္
http://en.wikipedia.org/wiki/Point-to-point_tunneling_protocol
-PPPoE Server
-pfsense ကို PPPoE server အေနနဲ႔လည္းအသံုးျပဳႏိူင္ပါတယ္..PPPoE protocol နဲ႔ပတ္သတ္တဲ့ အက်ယ္ကို
http://en.wikipedia.org/wiki/Point-to-Point_Protocol_over_Ethernet ဒီမွာဖတ္ႏိူင္ပါတယ္..user မ်ားအေနျဖင့္ authentication
ျဖင့္ အသံုးျပဳႏိူင္သလို RADIUS authentication အေနနဲ႔ အသံုးျပဳႏိူင္ပါတယ္..
-Reporting and Monitoring
-RRD Graphs ဟာဆိုရင္ျဖင့္ ေအာက္ေဖာ္ျပပါ Historical information မ်ားကို ျပဳျပင္ႏိူင္ပါတယ္..
CPU utilization
Total throughput
Firewall states
Individual throughput for all interfaces
Packets per second rates for all interfaces
WAN interface gateway(s) ping response times
Traffic shaper queues on systems with traffic shaping enabled
-Real Time Information
-Historcal information ဟာအေရးၾကီးတာ မွန္ေပမဲ့ တစ္ခါတစ္ေလေတာ့ Real time information ဟာလည္း အေရးၾကီးပါတယ္..
-SVG graphs ဟာဆိုရင္ေတာ့ အသီသီးေသာ Interface မ်ားအား အမွန္တကယ္ ျဖတ္သန္းလုပ္ေဆာင္ေနမွဳမ်ားအား Real time
အေနျဖင့္ျပသေပးပါတယ္..
-Traffic shaper user မ်ားအေနျဖင့္ the status -> Queues screen provides a real time display of queue usage using
AJAX updated gauges.
-ပထမဆံုး page မွာဆိုရင္ AJAX gauges ရဲ႕ CPU,memory,swap ,disk usage,state table size တို႔အား real time ေတြ႔
ျမင္ႏိူင္ပါတယ္..
-Dynamic DNS
-Dynamic DNS မွာဆိုရင္ျဖင့္ register ျပဳလုပ္ထားေသာ သင့္ရဲ႕ public ip ႏွင့္ dynamic DNS service providers တို႔အား pfSense
ျဖင့္တြဲဖက္အသံုးျပဳႏိူင္ပါတယ္..ေလာေလာဆယ္အဆင္ေျပတာေတာ့ ေအာက္ေဖာ္ျပပါ..DNS service providers မ်ားျဖစ္ပါတယ္.. DNS-O-Matic ,DynDNS , DHS , DNSexit , DyNS , easyDNS , freeDNS , HE.net , Loopia , Namecheap, No-IP , ODS.org , OpenDNS , Route 53 , SelfHost ,ZoneEdit
-Captival Portal
-captival portal အေနျဖင္ ့network access ရရိွရန္ အတြက္ redirection အေနျဖင့္ authentication page မွတဆင့္
ရယူျခင္းျဖစ္ပါတယ္..တနည္းအားျဖင့္ hotspot networks ေတြအတြက္ျဖစ္ပါတယ္.. wireless နဲ႔ internet access အား
authentication ျဖင့္အသံုးျပဳခ်င္ေသာ ေနရာမ်ားတြက္လည္း အသံုးျပဳႏိူင္ပါတယ္..Captive portal technology အားအက်ယ္ျဖင့္
သိရိွေလ့လာ လိုလွ်င္.. http://en.wikipedia.org/wiki/Captive_portal သြားေရာက္ေလ့လာႏိူင္ပါတယ္..ေအာက္ေဖာ္ျပပါ Features
မ်ားကေတာ့ pfSense Captive Portal မွာပါ၀င္ေသာ အရာမ်ားျဖစ္ပါတယ္..
-client မ်ားအား connection limit ျပဳလုပ္ျခင္း..client မ်ားမွေနၿပီး splash page အား authentication မျပဳလုပ္ဘဲနဲ႔
အသံုးျပဳမရႏိူင္ပါ..( login username password မွန္မွသာ ဆက္လက္အသံုးျပဳလို႔ရ)
-client မ်ားအား အခ်ိန္မိနစ္ျဖင ့္ ဘယ္ေလာက္ဘ ဲ Idle time ေပးမယ.္ .အစရိွသျဖင ့္ idle time သတ္မွတ္ေပးႏိူင္ပါတယ.္
-client မ်ားအကုန္လံုး အသံုးျပဳရန္ေပးထားေသာ အခ်ိန္ကုန္လွ်င္ Force disconnect ျပဳလုပ္ေပးျခင္း..
-logon ျပဳလုပ္ရန္ pop up window ႏွင့္ ဌင္းတြင္ log off button ပါ၀င္ျခင္း
-captive portal အေနျဖင့္ authentication ျဖင့္၀င္ေရာက္လာေသာ user မ်ားလိုခ်င္သည့္ URL သို႔ forcefully redirected
ျပဳလုပ္ေပးျခင္း..
-MAC filtering ခံၿပီး အသံုးျပဳခ်င္လည္း ေနာက္တစ္ဆင့္အေနနဲ႔ ဆက္လက္အသံုးျပဳႏိူင္ပါတယ္..
-Authentication အေနျဖင့္သံုးမ်ိဳး ပါရိွပါတယ္..
-no authentication ဆိုတာကေတာ့ အသံုးျပဳသူ user ဟာ portal page ကို clicks ၿပီး ၀င္ေရာက္အသံုးျပဳႏိူင္ပါတယ္..
-local user database တည္ေဆာက္ၿပီးuser မ်ားအား ထည့္ၿပီး authentication ျပဳလုပ္ အသံုးျပဳႏိူင္ပါတယ္..
-Radius authentication method ကေတာ့ corporate နဲ႔ ISPs မ်ားအသံုးျပဳပါတယ္..Microsoft Active Directory နဲ႔အျခားေသာ
Radius server မ်ားႏွင့္တြဲၿပီး Authenticate ျပဳလုပ္ခိုင္းၿပီး အသံုးျပဳႏိူင္ပါတယ္..
-Radius ရဲ႔လုပ္ေဆာင္ႏိူင္စြမ္းေတြကေတာ့ Forced re-authentication ( authentication မမွန္လွ်င္ အသံုးျပဳမရျခင္း) Accounting
ႏွင့္သက္ဆိုင္ေသာ updatesမ်ားကို ေပးပို႔ႏိူင္ျခင္း..captive portal မွာ username password အျပင္ client’s MAC address
ျဖင့္လည္း authenticate အားျပင္ဆင္ႏိူင္ပါတယ္…Radius server မွမ်ားျပားေသာ function အား configure
ျပဳလုပ္အသံုးျပဳႏိူင္ပါတယ္..
-portal မွာ HTTP သံုးမလား HTTPS သံုးမလား ေရြးခ်ယ္ အသံုးျပဳႏိူင္ပါတယ္..
-portal အားေက်ာ္ျဖတ္ၿပိး တန္းၿပီးအသံုးျပဳလို႔ရေစရန္ White listed ျပဳလုပ္ေပးထားႏိူင္ေသာ function ပါရိွပါတယ္..
-File Manger ကေတာ့ ဓာတ္ပံုမ်ားကို မိမိ့ရဲ႕ portal pages မွာ upload ျပဳလုပ္ႏိူင္မွာျဖစ္ပါတယ္…
-DHCP Server and Relay
-pfSense မွာ DHCP server ႏွင့္ Relay function ကိုလည္း အသံုးျပဳႏိူင္ပါတယ္..
MgminLukaLay
ဒါေလးက ကြ်န္ေတာ႔ေနရာ
အစ္ကိုေရ ကၽြန္ေတာ့္မွာ Tplink Router တစ္လံုးရွိပါတယ္ pfsense sotfware firewall ကို သံုးျပီး အင္တာနက္ကို ၀ိုင္ဖိုင္နဲ့ အသံုးျပဳခ်င္ပါတယ္ ဘယ္လို configure လုပ္ရမလဲအစ္တို ကၽြန္ေတာ္လုပ္တာ လည္ထြက္ေနလို႔ ကူညီပါေနာ္ ေက်းဇူးတင္ပါတယ္.....
ReplyDelete