Pfsense başlangıç

Alican Yaldız

Pfsense

Pfsense Kurulum

Pfsense kurulumunu hyper-v üzerinde yapacağım.Firewall lar En az İki adet ethernet kartı bulunuyor.İki adet switch ekliyoruzPrivate iç ağımız (Lan)için external (Wan) için.

Pfsense ve clientmiz hazır

Pfsensimizi Live CD den kuruyorum, sanal makinamıza iso olarak gösterdim. Eğer Usb den kurmuş olasaydık Memstickden kuracaktık.Boot ekranımız geldi.

Kurulum mu yoksa recovery mi yapacağız soruyor kurulum için i harfine basıyoruz

Önceki basamakları resimlerdeki gibi uyguluyoruz ve yeniden başlatıyoruz .Yeniden başlarken Boot başlamadan da cdmizi çıkartıyoruz

Vlan yapılandırmak istiyor musunuz diye hayır diyoruz soruyor ‘n’ harfine basıyoruz.

Ağımızın Wan ve Lan ara yüzlerini yazıyoruz, hn0 yada hn1 seçiyoruz. Mac adreslerinin hangisi arayüze ait olduğunu Hyper-v de ->settings->networkadapter->advance görebiliriz.

Pfsensin wan bacağı dhcp den otomatik ip alıyor ve lan bacağı 192.168.1.0/24 networkü otomatik atanmış olarak geliyor.istersek rakamlara Basarak ekstra configurasyom yapabiliriz.8 basarsak freebsd shell yani windows ms-dos ara yüzü gibi ve linux komutlarıyla aynı.

Pfsense Web arayüz

Hangi ağdaysak local,wan ipleri kullanıcının browser ında yazarak pfsense web ara yüzüne ulaşabiliyoruz. İlk olarak kurulum sayfası geliyor. Varsayılan kullanıcı adı:admin Şifre:pfsense

Pfsense üzerinde Dns bulunmaz local dns adresi girdik yada siz google dns gibi dns girebilirsiniz.

Wan ara yüz İP konfigürasyon ayarları. İpmizi dhcp den yada Static yapabiliriz .Gatewayimizi ayarlayarak internete çıkabiliriz

Lan ara yüz İP konfigürasyon ayarları

Pfsense Web ara yüzü. Versiyon bilgisi,Dnsler Cpu,Ram,Ara yüzleri durumunu görüyoruz.

Kullanıcı Ip konfigürasyonu.Gateway pfsense.Pfsense üzerinde Dns bulunmaz local dns adresi girdik yada siz google dns gibi dns girebilirsiniz.

Alias a pfense firwall seçeneğinden ulaşabiliriz Pfsense Alias yani isim oluşturma.Kurallar yada yasaklar oluştururken aliası kullanıyoruz.Hem grup ipler oluşturuyor ve alias daki ipler değişse bile ailas editleyerk kurallar tekrar yeni ip uygulanıyor.

Ip yada network,host ekleyebiliyoruz.İsmi de ‘yasakli’

Pfsense RulesPfsense de oluşturduğumuz kurallara göre kullanıcıların iplerine,hostlarına,networklara kısıtlama yada izin verebiliyoruz.Web arayüzdeFirewall->rules ‘dan lan,wan,port seçebiliyoruz..Yeni kural oluştur diyerek kuralımız oluşturuyoruz

Kuralımızı Lan ağında uygulayacağız

Lan ağımızı seçtik ve protokol seçenekleri mevcut.

Bize ulaşmak isteyen kaynaktan özelliklerini belirtiyoruz.

Ulaşılacak yerin port bilgilerini seçebiliyoruz

192.168.1.11 den 80.portan çıkan herhangi ip ye giden paketleri blockladık.

Advanced sekmesinde ise kullanıcının başka özellikleri ve gateway ve layer 7 gibi özellikler bulunur.

Rules yukarıdan aşağıya doğru etki eder eğer ip ilgili üste kural varsa ilk o kural uygulanır Sonra diğerlerine bakılır.Üste yasak altta izin varsa yasak uygulanır

Kullanıcı http/80 portdan internete çıkamıyor ama https den çıkabilir.

Pfsense NatPfsens nat (adres dönüşümü) özelliği sayesinde dış ağlardan iç ağımıza erişebiliriz ve Port yönlendirme yapabiliriz. Uzak masa üstü bağlantıları için kullanılır.Uzak masaüstü için deafult port 3389 dur.Http 80 ve htps 443.Nat pfsense Firewall-Rules bölümünden yapıyoruz.İlk olarak hangi arayüzde uygulaycağız seçiyoruz, kaynak ve varılacak yer ipsini giriyoruz.Protocol belirliyoruz.Kullandığımız portları belirtip kayıt ediyoruz.Modeminiz bridge modda değilse modemden de Firewalla nat yapmamız gerekir.Firewall Kuralımızı Wan da uygulayacağız.En altta filter rule Pass diyoruz default seçersek firewall-rules dan nat-ipleri için pass kuralı girmemiz gerekir.Uzak masa üstü bağlantıları için kullanılır.

Pfsense SchulePfsense de kullanıcılara belirli günlerde,belirli saatlerde,belirli Kullanıcılara erişimyetkisi tanımlayabiliyoruz.Takvim oluşturarak belirli zaman aralıklarında tanımlama yapıyoruz.

Pfsense Load Balance

Multi-wan bağlantılarında load-balance yaparak network yükünü dengelemiş oluruz .Eşit yük kullanımı yada band-width’i fazla olanı daha fazla network trafiği yönlendirebiliriz.Bununla birlikte fail-over olarak çalışıyor ve bir bağlantı koparsa diğerleri networktrafiğini üzerine alıyor.Bağlantınız kopuyor ama tekrar istek gönderirseniz bağlantı sağlanıyor.

zıe

Load-balance senaryosunu iki wan bağlantım olmadığı için araya router koyarak ikinci çıkış kapısı yaptım ve onun üzerinden trafiği yönlendirerek pfsense load Balance denemelerimizi yapabiliriz internete iki çıkış kapımız var.Router olarak sanal windows server 2012 deRouting and Remote Access service kurdum.Böylce router hazır oldu.Routing and Remote Access service kurulumu için net den kurulumla ilgili makalelere bakarak kurulumu kolayca yapabilirsiniz

İlk olarak sanal makinamıza yada fiziksele yeni kart ekliyoruz,sonra interfaces->assign bölümünden kontrol ediyoruz.Kartımız aktif mi diye. Sonra isimsiz hn… olan (mac adresi yazan) bölümün yanındaki + basarak yeni kartımız aktifleşiyor ekliyoruz ve otomatik aktifleşiyor.

.

İnterfaces bölümünden yeni ara yüz ekliyoruz ismi ’Wan2’ ip sini static veriyoruz 194.168.1.5 /24 veriyoruz . Router ın Lan bacağını, Gatewayimiz olarak 194.168.1.1 /24 veriyoruz.Enable yapıyoruz.

Gatewayimizi önceden ayarlandıysa ipv4 ün altındaki tab dan seçebiliyoruz yoksa add new one seçip oluşturuyoruz.

System->Routing-> Gateway bölümüne geliyoruz ve aktif gatewayleri görüyoruz.Wangw ve wan2 kullanacağız.

Status->Gateways bölümünden de gatewaylerin durumunu görebiliriz.Şuan gatewaylerimzi offlline.

System->Routin->Grubs gelip grup oluşturacağız ve gateway lerimize öncelik tanımlayacak ve hangi durumlarda diğer gateway in trafiğni üzerine alacağını belirleyeceğiz.Eklemek için + plus işaretine basıyoruz

Gatewaylerimiz görünüyor ve Tier (öncelik) belirtiyoruz Wangw ve Wan2 Eşit belirttik böylece sırayla trafik üzerlerinden geçecek.

Diğer gatewayin ne zaman gireceğini belirtiyoruz Member down seçtik yani diğeri devre dışı olursa.

Kayıt ettikten sonra görüntüsü

System de gateway ‘e’edit ediyoruz monitor ip ekliyoruz ve firewall Bu ip yi ping leyerek gatewayin latency,down durumlarını belirliyor

İki gateway için de yapıyoruz.

Gatewaylerin load balance olması için rules dan herşeye pass kuralı oluşturup advance gateway bölümünden gateway grubumuz seçmeliyiz.

İki gatewayimiz var tracert 8.8.8.8 komutyla host giderken geçtiğimiz routerları görüyoruz ve ilk seferde 194.168.1.1 den geçerek gidiyoruz sonra onu devre dışı bıraktım ve biraz bekledimTekrar tracert 8.8.8.8 komutuyla diğer rota dan internete çıktım böylece diğer gateway trafiği üstüne almış oldu.