Nota
- Questa esercitazione richiede l'accesso a Oracle Cloud. Per iscriverti a un account gratuito, consulta Inizia a utilizzare Oracle Cloud Infrastructure Free Tier.
- Utilizza valori di esempio per le credenziali, la tenancy e i compartimenti di Oracle Cloud Infrastructure. Al termine del laboratorio, sostituisci questi valori con quelli specifici del tuo ambiente cloud.
Installare un firewall pfSense in Oracle Cloud Infrastructure
Introduzione
Nota: pfSense non è ufficialmente supportato su Oracle Cloud Infrastructure da Netgate o Oracle. Contattare il team di supporto pfSense prima di provare questa esercitazione.
pfSense è un firewall che può essere utilizzato per scopi di produzione o test in cui è possibile simulare i servizi firewall nativi Oracle Cloud Infrastructure (OCI). Questo firewall pfSense impostato può essere utilizzato all'interno di uno scenario di instradamento VCN hub e spoke.
L'immagine seguente illustra l'aspetto dell'ambiente al termine della distribuzione e della configurazione.
Obiettivi
- Impostare un firewall pfSense all'interno di OCI. Effettueremo modifiche alle liste di routing e sicurezza in modo che il firewall pfSense possa essere gestito correttamente e faremo alcuni test ICMP per verificare la connettività.
Prerequisiti
- Prima di avviare l'impostazione del firewall pfSense all'interno di OCI, è importante disporre di un'altra istanza in grado di connettersi al nuovo firewall pfSense utilizzando il proprio browser Web per eseguire la gestione sul firewall pfSense. In questo tutorial, abbiamo creato un'istanza di Windows per farlo. Assicurati di avere qualcosa di simile.
Task 1: Scarica l'immagine pfSense
-
Scarica l'immagine pfSense dal sito Netgate. Assicurarsi di scaricare la versione
memstick-serial
. Il nome del file dell'immagine che stiamo utilizzando èpfSense-CE-memstick-serial-2.7.2-RELEASE-amd64.img.gz
. Per ulteriori informazioni, vedere Netgate.- L'immagine sarà in formato
.gz
. - Se si utilizza OS X, fare clic con il pulsante destro del mouse sul file compresso e fare clic su Apri con.
- Selezionare Archive Utility (predefinita) per decomprimere l'immagine.
- L'immagine sarà in formato
-
Si noti che il nome del file immagine è
pfSense-CE-memstick-serial-2.7.2-RELEASE-amd64.img
.
Task 2: creare un bucket di storage degli oggetti OCI
In questo task verrà creato un bucket di storage degli oggetti OCI che verrà utilizzato per caricare l'immagine pfSense e per creare un'immagine personalizzata.
-
Creare un bucket di storage.
- Clicca sul menu hamburger (≡) dall'angolo in alto a sinistra.
- Fare clic su Storage.
- Fare clic su Bucket.
-
Fare clic su Crea bucket.
- Immettere un valore in Nome gruppo.
- Selezionare il livello di storage Standard come Livello di storage predefinito.
- Fare clic su Crea.
-
Notare che il bucket di storage è stato creato.
Task 3: caricare l'immagine pfSense nel bucket di storage
-
Caricare l'immagine scaricata nel task 1.
- scorrere in Basso.
- Fare clic su Carica.
-
Nella schermata Carica oggetti, immettere le informazioni riportate di seguito.
- Immettere il prefisso nome oggetto.
- Selezionare Standard come Livello di storage.
- Fare clic su seleziona file e selezionare l'immagine pfSense.
- Dopo aver selezionato l'immagine pfSense, verrà visualizzata nella sezione seguente.
- Fare clic su Carica.
-
Mentre l'immagine pfSense viene caricata nel bucket di storage, puoi monitorare lo stato di avanzamento.
- Quando l'immagine pfSense viene caricata completamente, lo stato di avanzamento sarà Fine.
- Fare clic su Chiudi.
Task 4: Creare un'immagine personalizzata
Abbiamo caricato l'immagine pfSense. Ora dobbiamo creare un'immagine OCI personalizzata da questa immagine caricata. Questa immagine OCI personalizzata verrà utilizzata per creare l'istanza del firewall pfSense.
-
Creare un'immagine personalizzata.
- Clicca sul menu hamburger (≡) dall'angolo in alto a sinistra.
- Fare clic su Compute.
- Fare clic su Immagine personalizzata.
-
Fare clic su Importa immagine.
-
Nella sezione Importa immagine, immettere le informazioni riportate di seguito.
- Immettere un nome.
- Selezionare Generic Linux come sistema operativo.
- Selezionare Importa da un bucket di storage degli oggetti.
- Selezionare il bucket di storage in cui è stata caricata l'immagine.
- In Nome oggetto, selezionare l'immagine pfSense.
- Selezionare VMDK come Tipo di immagine.
- scorrere in Basso.
-
Mantenere gli altri campi predefiniti e fare clic su Importa immagine.
- Si noti che lo stato è IMPORTING.
- scorrere in Basso.
- Si noti che lo stato è In corso.
- Monitorare i progressi.
- Dopo alcuni minuti, lo stato è DISPONIBILE e verrà modificato in Succeeded.
- Il % completato sarà del 100%.
Task 5: creare un'istanza con l'immagine pfSense personalizzata
-
Creare un'istanza.
- Clicca sul menu hamburger (≡) dall'angolo in alto a sinistra.
- Fare clic su Compute.
- Fare clic su Istanze.
- Fare clic su Crea istanza.
- Immettere il nome istanza.
- scorrere in Basso.
-
Fare clic su Modifica immagine.
- Selezionare Immagini personali.
- Selezionare Immagini personalizzate.
- scorrere in Basso.
- Selezionare l'immagine personalizzata creata nel task 4.
- Fare clic su Seleziona immagine.
- Si noti che l'immagine pfSense è selezionata.
- scorrere in Basso.
- In Rete primaria, selezionare Seleziona rete cloud virtuale esistente.
- Selezionare la VCN che si desidera collegare all'istanza pfSense.
- In Subnet, selezionare una selezione della subnet esistente.
- Selezionare la subnet che si desidera collegare all'istanza pfSense.
- scorrere in Basso.
- Selezionare Assegna manualmente indirizzo IPv4 privato.
- Immettere un indirizzo IPv4.
- scorrere in Basso.
- Selezionare Nessuna chiave SSH.
- scorrere in Basso.
-
Fare clic su Crea.
-
Lo stato è PROVISIONING.
-
Dopo alcuni minuti, lo stato viene modificato in RUNNING.
-
L'immagine seguente illustra la rappresentazione visiva di ciò che è stato creato.
Task 6: installare pfSense nell'istanza
È necessario eseguire l'installazione iniziale e la configurazione del firewall pfSense. L'istanza in esecuzione è già presente.
-
Per installare il software firewall pfSense, è necessario creare una connessione alla console.
- scorrere in Basso.
- Fare clic su Connessione alla console.
- Fare clic su Avvia connessione Cloud Shell.
-
Si noti che verrà aperta la finestra di dialogo Cloud Shell.
-
Verranno visualizzati alcuni messaggi di avvio. Premere INVIO.
-
Leggere i messaggi sul copyright, selezionare Accept, quindi premere ENTER.
- Selezionare Install pfSense.
- Selezionare OK e fare clic su ENTER.
- Selezionare Impostazione manuale disco (esperti).
- Selezionare OK e fare clic su ENTER.
- Selezionare da0 - 47 GB MBR.
- Selezionare Crea e premere INVIO.
- In Tipo, immettere freebsd.
- In Dimensione, immettere 46 GB.
- Immettere il punto di attivazione.
- Selezionare OK e fare clic su ENTER.
- In da0s4, selezionare 46 GB di BSD.
- Selezionare Crea e premere INVIO.
- In Type, immettere freebsd-ufs.
- In Dimensione, immettere 40 GB.
- In Punto di attivazione, immettere /.
- Selezionare OK e fare clic su ENTER.
- Si noti che il punto di attivazione viene creato per
/
. - In da0s4, immettere 46 GB di BSD.
- Selezionare Crea e premere INVIO.
- In Tipo, immettere freebsd-swap.
- In Dimensione, immettere 5770 MB.
- Immettere il punto di attivazione.
- Selezionare OK e fare clic su ENTER.
- Si noti che il punto di attivazione viene creato per lo swap.
- Selezionare Finish e premere ENTER
-
Selezionare Commit e premere ENTER.
-
L'installazione avvierà l'inizializzazione della configurazione.
L'installazione eseguirà una verifica checksum rapida.
L'installazione eseguirà un'estrazione dell'archivio.
-
Verrà visualizzato un messaggio Impossibile individuare un file
config.xml
esistente. Si tratta di una nuova installazione. -
Selezionare Reboot e premere ENTER.
-
Dopo il primo reboot si otterranno alcune opzioni di configurazione per configurare l'interfaccia WAN.
-
Per Impostare le VLAN, immettere n e premere INVIO.
-
Per Immettere il nome dell'interfaccia WAN o 'a' per il rilevamento automatico (vtnet0 o a), immettere
vtnet0
. -
In questa impostazione, viene creato un firewall con una sola interfaccia, pertanto non verrà configurata l'interfaccia LAN. Pertanto, per Immettere il nome dell'interfaccia LAN o 'a' per il rilevamento automatico, premere INVIO per ignorare questa impostazione dell'interfaccia.
- Verificare il nome dell'interfaccia WAN.
- Per Continuare, immettere y e premere ENTER.
-
Si noti alcuni messaggi e la configurazione verrà eseguita.
-
Il sistema operativo pfSense eseguirà un avvio completo.
- L'indirizzo IP verrà configurato utilizzando DHCP.
- Prendere nota del menu pfSense per eseguire una configurazione di base aggiuntiva.
Task 7: connettersi all'interfaccia utente grafica Web pfSense (GUI) e completare l'impostazione iniziale
L'installazione è terminata, ora è necessario connettersi all'interfaccia Web del firewall pfSense. Tuttavia, prima di procedere, dobbiamo aprire alcune porte nella lista di sicurezza della VCN.
-
Aggiungi regola di entrata.
- Clicca sul menu hamburger (≡) dall'angolo in alto a sinistra.
- Fare clic su Reti cloud virtuali oppure accedere a Networking e Reti cloud virtuali.
-
Selezionare la VCN a cui è collegato il firewall pfSense.
- scorrere in Basso.
- Fare clic su Elenchi di sicurezza.
- Fare clic sulla lista di sicurezza predefinita per la VCN HUB.
-
Fare clic su Aggiungi regole di entrata per creare la regola di entrata.
- In Tipo di origine, immettere CIDR.
- In CIDR di origine, per questa esercitazione immettere
172.16.0.128/25
. Questa è la subnet con l'istanza di Windows, che verrà utilizzata per connettersi al firewall pfSense utilizzando il browser. - In Protocollo IP immettere TCP.
- In Intervallo porte destinazione, immettere
80,443
. - Fare clic su Aggiungi regole di entrata .
-
Si noti che la regola di sicurezza viene aggiunta per consentire le porte TCP/
80
e TCP/443
nella lista di sicurezza collegata alla VCN. Ciò consentirà di impostare una connessione HTTP e HTTPS dall'istanza di Windows a questa nuova istanza del firewall pfSense.- Passare a Computazione e Istanze.
- Prendere nota dell'indirizzo IP del firewall pfSense.
- Nell'istanza di Windows, aprire un browser e passare all'IP del firewall pfSense utilizzando HTTPS.
- Fare clic su Avanzate.
-
Fare clic su Continua.
- Immettere il nome utente predefinito come
admin
. - Immettere la password predefinita come
pfsense
. - Fare clic su Accedi.
- Immettere il nome utente predefinito come
-
Fare clic su Avanti.
-
Fare clic su Avanti.
- Immettere un nome host.
- Immettere un nome di dominio o mantenere il nome di dominio predefinito.
- scorrere in Basso.
-
Fare clic su Avanti.
-
Fare clic su Avanti.
Nota: se ci si trova nelle reti, questo potrebbe sembrare un po' strano, in quanto è stato specificato di utilizzare un indirizzo IPv4 statico durante la creazione dell'istanza. In questo caso specifico, il modo in cui funziona è che Oracle riserverà l'IP statico nel server DHCP e assegnerà questo indirizzo al firewall pfSense. Quindi il firewall pfSense otterrà sempre lo stesso indirizzo IP, ma dal punto di vista OCI, questo sarà un IP statico e dal punto di vista pfSense sarà un indirizzo DHCP.
- In Configure WAN interface selezionare DHCP.
- scorrere in Basso.
- Mantenere tutte le impostazioni di indirizzo IP predefinite.
- scorrere in Basso.
-
scorrere in Basso.
-
Fare clic su Avanti.
- Immettere una nuova password amministratore.
- Reimmettere una password amministratore.
- Fare clic su Avanti.
-
Fare clic su Ricarica.
-
Si noti che la configurazione del firewall pfSense viene ricaricata.
-
scorrere in Basso.
-
Fare clic su Fine.
-
scorrere in Basso.
-
Fare clic su Accetta.
-
Fare clic su Chiudi.
-
L'immagine seguente illustra una rappresentazione visiva di ciò che è stato creato. Si noti che useremo il trampolino di lancio di Windows per connettersi al firewall pfSense.
-
Se il firewall pfSense non è in grado di raggiungere Internet, il caricamento della pagina del dashboard richiederà più tempo. Tuttavia, questa soluzione può essere corretta consentendo al firewall pfSense di accedere a Internet utilizzando il gateway NAT OCI.
- Si noti che il firewall pfSense è installato e il dashboard è visibile.
- Si noti che le informazioni sul supporto non sono disponibili. Questo perché il firewall pfSense è installato in una subnet privata e questa subnet privata non è in grado di raggiungere Internet per impostazione predefinita.
-
Instradiamo il traffico Internet verso il gateway NAT. Assicurarsi di disporre di un gateway NAT presente nella VCN.
- Clicca sul menu hamburger (≡) dall'angolo in alto a sinistra.
- Fare clic su Reti cloud virtuali oppure accedere a Networking e Reti cloud virtuali.
-
Selezionare la VCN a cui è collegato il firewall pfSense e il gateway NAT è presente.
- Fare clic su Tabelle di instradamento.
- Fare clic su Tabella di instradamento predefinita per HUB-VCN.
- Si noti che la tabella di instradamento predefinita contiene un instradamento che instrada tutto il traffico verso il gateway Internet. Questo non è utilizzabile per noi in quanto dobbiamo instradare il traffico per la subnet privata verso il gateway NAT.
- Fare clic su VCN HUB per tornare indietro di una pagina dalla pagina Dettagli tabella di instradamento.
-
Per instradare il traffico verso il gateway NAT per una subnet specifica, è necessario creare una nuova tabella di instradamento e collegare tale tabella di instradamento alla subnet privata. Fare clic su Crea tabella di instradamento.
- Immettere un nome.
- In Tipo di destinazione immettere Gateway NAT.
- In Blocco CIDR di destinazione, immettere
0.0.0.0/0
. - scorrere in Basso.
- Selezionare il gateway NAT già disponibile nella VCN. Se non si dispone di un gateway NAT, fare clic su Annulla e creare un gateway NAT.
- Fare clic su Crea.
- Si noti che il percorso statico verso il gateway NAT è ora creato.
- Fare clic su VCN HUB per tornare indietro di una pagina dalla pagina Dettagli tabella di instradamento.
-
Si noti che è stata creata una nuova tabella di instradamento.
-
Ora è il momento di associare tale tabella di instradamento alla subnet.
- Fare clic su Subnet.
- Fare clic su Subnet privata, la subnet a cui è attualmente collegata l'istanza pfSense.
-
Fare clic su Modifica.
- Selezionare la tabella di instradamento appena creata.
- Fare clic su Salva modifiche.
-
Si noti che la tabella di instradamento è stata modificata per la subnet privata.
-
Tornare all'istanza di Windows.
- Aggiornare la pagina.
- scorrere in Basso.
-
Fare clic su Accetta.
-
Fare clic su Chiudi.
-
Si noti che la sezione Servizi e supporto Netgate cambierà.
-
Anche il tempo di risposta della pagina del dashboard sarà più rapido.
-
Utilizzare l'interfaccia di gestione Web pfSense.
- Fare clic su Firewall.
- Fare clic su Regole.
-
Notare le regole predefinite del firewall pfSense.
-
L'immagine seguente illustra una rappresentazione visiva di ciò che è stato creato.
-
Si noti che il gateway NAT verrà utilizzato in modo che il firewall pfSense possa comunicare con Internet.
-
Si noti che sono state aperte anche le porte TCP/
80
e TCP/443
nella lista di sicurezza predefinita.
-
Task 8: verificare la connettività con il ping
-
La verifica della connettività mediante il ping (ICMP) è un buon punto di partenza per i test.
- Nell'istanza di Windows, aprire il prompt dei comandi e provare a eseguire il ping sull'indirizzo IP del firewall pfSense.
- Si noti che i risultati del ping mostrano una perdita di pacchetto al 100%.
-
Per risolvere questo problema, è necessario:
- Aprire il protocollo ICMP (Internet Control Message Protocol) nell'elenco di sicurezza predefinito collegato alla VCN.
- Aprire ICMP sul firewall pfSense.
-
Iniziamo con l'elenco di sicurezza predefinito.
- Clicca sul menu hamburger (≡) dall'angolo in alto a sinistra.
- Fare clic su Reti cloud virtuali oppure accedere a Networking e Reti cloud virtuali.
-
Selezionare la VCN, in cui è collegato il firewall pfSense e che dispone del gateway NAT.
- scorrere in Basso.
- Fare clic su Elenchi di sicurezza.
- Fare clic su Lista di sicurezza predefinita per HUB-VCN.
-
Fare clic su Aggiungi regole di entrata per creare la regola di entrata.
- In Tipo di origine, immettere CIDR.
- In CIDR di origine, immettere
0.0.0.0/0
. - In IP Protocol, immettere ICMP.
- Fare clic su Aggiungi regole di entrata.
-
Notare le regole ICMP che abbiamo appena aggiunto.
-
Nell'interfaccia di gestione del firewall pfSense fare clic su Firewall, Regole e Aggiungi per aggiungere una nuova regola.
-
Immettere le informazioni riportate di seguito.
- Azione: selezionare Passa.
- Protocollo: selezionare ICMP.
- Sottotipi ICMP: selezionare Qualsiasi.
- scorrere in Basso.
- Origine: selezionare Qualsiasi.
- Destinazione: selezionare Qualsiasi.
- Fare clic su Salva.
- Si noti che la nuova regola ICMP è in vigore.
- Fare clic su Apply Changes per eseguire il commit delle modifiche.
-
Applicazione delle modifiche completata.
- Nell'istanza di Windows, aprire il prompt dei comandi e provare a eseguire il ping sull'indirizzo IP del firewall pfSense.
- Si noti che i risultati del ping mostrano una perdita di pacchetto dello 0%.
-
Un altro test di ping che possiamo fare è dal firewall pfSense verso Internet.
- Fare clic su Diagnostica.
- Fare clic su Ping.
- In Nome host, immettere
8.8.8.8
. - Fare clic su Ping.
-
Si noti che i risultati del ping mostrano una perdita di pacchetto dello 0%.
-
L'immagine seguente illustra una rappresentazione visiva di ciò che è stato creato. Si noti che abbiamo anche aperto ICMP sulla lista di sicurezza predefinita.
Conferme
- Autore - Iwan Hoogendoorn (esperto di rete OCI)
Altre risorse di apprendimento
Esplora altri laboratori su docs.oracle.com/learn o accedi a più contenuti gratuiti sulla formazione su Oracle Learning YouTube channel. Inoltre, visita education.oracle.com/learning-explorer per diventare un Oracle Learning Explorer.
Per la documentazione del prodotto, visita l'Oracle Help Center.
Install a pfSense Firewall in Oracle Cloud Infrastructure
F99947-01
June 2024