Kirohantam a meetingből és a futár kezébe nyomtam az előre kiszámolt összeget, majd visszatérve a helyemre, az utolsó három szlájdom prezentálása közben vágyakozva nézegettem a hardvervásárlással kapcsolatos impulzuskontroll-zavarom újabb tárgyi bizonyítékát tartalmazó dobozra.
Lehetne drog is. Vagy kurvák. Mármint nem a dobozban - kurvák nem férnek bele, drogból meg az az 5-6 kiló száz év börtön lenne. De egészen szerencsés a családom, hogy drog és kurvák helyett ilyen visszafogott hobbijaim vannak.
Most például saját tűzfal/router/DHCP-szerver/DNS-szerver kombót fogok építeni. Te meg én, kicsiny gép... Nagy dolgokat fogunk véghez vinni!
A koncepció
A szolgáltatótól kapott modem/router/switch kombó egy vagon fos. Nem csoda: abból többtízezer darabot vesznek a szolgáltatók, így természetesen a legolcsóbb, legszarabb eszköz nyer.
A boltban vásárolható router sem sokkal jobb: gyenge hardver, lebutított kezelőfelület, korlátozott képességek.
De ez!
Ez egy PC. Ráadásul be lehet állítani úgy, hogy tudjon billentyűzet és monitor nélkül bootolni. Tökéletes hálózati eszköz lesz belőle. Természetesen ezt is korábbi munkáltatómtól selejtezték.
A hardver
A ThinkCentre M83 SFF 8 giga memóriával és 4. generációs Core i5-ös procival lazán állva hagyja bármelyik off-the-shelf routert a szar kis ARM procijukkal és a 128 mega memóriájukkal. Felszereltsége folytán tökéletes miniatűr Szent Péter lesz: a hatalmas kapuőr, ki ítél minden adatcsomag felett és eldönti, ki nyerhet bebocsátást a helyi hálózatomba.
Igazából volt még két tiny PC és két Switch-játék. Szülinap. A másik tiny ThinkCentre majd NAS lesz egy későbbi czikkben.
Csak egy baj van: egy tűzfalnak legalább két hálózati adapter kell (VLAN-okkal egy hálókártya is elég lehet, de nem megyek le egy bizonyos szint alá):
Olcsó és tűrhető minőségű. Így az alaplapi hálózati adapter lesz az uplink (az internet felé), ez pedig a downlink (a helyi hálózatom felé).
A szoftver
Mint említettem, PfSense. Ez egy tűzfal/router szerepre specializált Linux-változat. A telepítő ingyen letölthető (Rufus-szal lehet kitolni egy USB-meghajtóra). A telepítés meglehetősen egyszerű:
Kezdetben vala a sötétség,
de már bootol is a Linux!
A telepítés gyors és könnyű. A nehezebb rész még csak most jön!
Amint először elindul a renszer, meg kell adni néhány alapparamétert:
Szükséges-e a VLAN-ok beállításával kezdeni? Általában nem, mehetünk tovább.
A két hálózati adapter közül ki kell választanunk, melyik legyen a WAN, azaz az internet felé irányítva. Én itt az alaplapi hálózati vezérlőt adtam meg.
Mivel csak két hálókártya van a gépben (még), ezért a downlink interfész (LAN) kizárásos alapon a másik lesz...
Ha utoljára megerősítettük a beállításokat, akkor a menedzsment konzol előtt találjuk magunkat. Itt bármikor meg lehet változtatni az alapparamétereket, de pillanatnyilag a LAN ip az egyetlen, ami fontos:
Kösd össze a tűzfaladat a LAN-csatlakozón keresztül egy kliensgéppel (az internetre még ne engedd ki) és lépj be a webes felületre a LAN-adapter címén (admin:pfsense):
Valami ilyesmit fogsz látni (ez már csatlakozik az internethez is).
Mivel egyetlen LAN-port valószínűleg kevés lesz, kell egy újabb eszköz: egy switch (nem a Nintendo játékkonzolja, hanem egy hálózati eszköz):
Mielőtt csatlakoztatnád, írd fel a switch MAC-címét és a tűzfal webes felületén navigálj a DHCP-server szolgáltatáshoz: A DHCP pool beállítása után célszerű statikus DHCP-t beállítani az összes hálózati eszköznek:
Ide vittem fel a switch, a NAS, a hálózati nyomtató és az access pointtá lefokozott router (lásd később) statikus IP-címeit.
Most dugd át a hálókábelt a tűzfalból a switch kettes portjába (az egyes az uplink alapállapotban), lépj be a switch webes menedzsment-felületére és konfiguráld a DHCP-klienst:
Így a switch a PfSense-től fog IP-t kérni, ami pedig mindig ugyanazt az IP-t adja majd neki.
Most össze lehet dugni a switch egyes portját a tűzfal LAN-adapterével (a switch-et esetleg újra kell indítani):
Alakul. Ha más nem is, a rendetlenség...
Fizikailag már kész a projekt, akár a helyére is kerülhet:
Okoshűtő, szmárt fridzs? My ass! Hány EPS-t tud lekezelni az okoshűtőd?
A szolgáltatói router bridge-módban, arra csatlakozik a PfSense, arra a switch, arra pedig minden más.
Az AP
Ha akarsz vezetéknélküli háózati kapcsolatokat (gondolom, igen), akkor két lehetőséged van: veszel a tűzfal-gépedbe egy WLAN-kártyát, vagy munkára fogod a régi routeredet.
Én az utóbbit ajánlom, mert az off-the-shelf routerek egy dologban jók: több rádiós kapcsolat egyidejű kezelésében. Ha WLAN-kártyát használnál, arra mindenképp számítani kell, hogy rosszabb térerőt és sebességet eredményez, elvégre azt arra találták ki, hogy egyetlen eszközhöz kapcsolódjon.
Viszont itt ez a TP-link Archer 1200.
Routernek szar, de a rádiós része jó - ez ma már szinte minden routerre igaz. Nem véletlenül néznek ki úgy ezek az eszközök, mint egy felfordult pók...
Csak annyit kell tenned, hogy kikapcsolod a router saját DHCP-szerverét:
ezzel elkerülöd a double NAT-ot.
A következő lépés átpakolni AP-módba a routert:
Ha ez is megvan, a router WAN-portját összekötöd a switch-ed valamelyik portjával és kész is.
Szabályok és VLAN-ok
A PfSense alapból tartalmaz pár egyszerű tűzfal-szabályt, amik irányítják az adatforgalmat, de ez nem jelenti azt, hogy biztonságos is.
A saját hálózatom adatforgalmát kontrolláló szabályokat nem fogom neked megmutatni, de íme egy kezdetleges adatkapcsolati ábra:
Célszerű a lehető legkevesebb szabállyal lefedni a hálózatodat, de azért olyan hardverről beszélünk, aminek bőven van kapacitása. A legfontosabb (az egyértelmű tiltószabályok után), hogy tiltani kell minden olyan adatkapcsolatot, ami normális körülmények között létre sem jönne:
- A céges gép el van szigetelve egy VLAN-on, csak a netre mehet ki.
- A játékkonzol szintén.
- A TV csak a netre mehet és a NAS-on futó DLNA-szerverről streamelhet.
- WLAN-on keresztül szintén csak filmet nézni lehet a NAS-ról.
- A gépek VLAN-ja a hálózati nyomtatón csak nyomtathat (kivéve az asztali gépemet, ami menedzselheti is).
- A gépeink használhatják a NAS SMB szolgáltatását is.
Normális működés esetén egy TV, vagy egy Nintendo Switch meg sem próbálnak kapcsolódni egy számítógéphez, de ha valaki egy sebezhetőséget kihasználva bejut valamelyik okoseszközre, akkor az ilyen, szükségtelen kapcsolódási lehetőségek jelenthetik a hálózat halálát.
Nem fogok részletes útmutatót adni a VLAN-ok és a szabályok konfigurálásához: ha ez kihívást okoz, akkor nem neked való a PfSense (vagy fizetned kell valakinek, hogy megcsinálja).
Mesterfogások
Adok viszont néhány tippet, hogy biztonságosabbá tehesd a hálózatodat.
PfSense menedzsment felület portját megváltoztatni (random port 2000 feletti számmal, csak ne 80 és 443 legyen).
Hardveres titkosítást bekapcsolni:
Emellett érdemes kezdeni valamit a log noise nevű jelenséggel: Van odakint egy csomó idióta, aki a vindózos hulladékát közvetlenül csatlakoztatja a netre, ami pedig folyamatosan broadcastokat okád a Windows hálózatfelderítési szolgáltatása miatt. Meg ott vannak még a HSRP/VRRP csomagok, azonban nem segít rajtad, ha tudod, hogy hánymillió NetBIOS broadcast-et blokkolt a tűzfalad egy nap alatt, viszont az ilyen jellegű naplóüzenetekkel gyorsan tele lehet szarni a naplófájlt, így a fontos információ elvész a sok szemét között.
Naplózni csak akkor érdemes, ha kezdesz is vele valamit. Ezért javasolt egy olyan tiltószabály, ami blokkolja a WAN->LAN any/any/any forgalmat, de naplózás nem társul a szabályhoz.
Már csak egy ismerős kell, aki kívülről leteszteli neked, hogy mennyire jók a tűzfal-szabályaid:
Kész!
A gép forog, az alkotó pihen (és gyönyörködik a művében).
Captive portal: a PfSense képes az újonnan csatlakozó klienseket egy általad kialakított portálra irányítani. Itt eldöntheted, hogy egy sima "elfogadom" gombbal lehessen továbblépni, de hitelesítést is be lehet állítani pár kattintással, sőt: egyszeri kódokat is generálhatsz (megadott lejárati idővel), amikkel szabályozható a gyerek netezéssel töltött ideje is...
És aki eddig velünk maradt:
Mert kurvák nélkül nincs czikk...