ノート:
- このチュートリアルでは、Oracle Cloudへのアクセスが必要です。無料アカウントにサインアップするには、Oracle Cloud Infrastructure Free Tierの開始を参照してください。
- Oracle Cloud Infrastructureの資格証明、テナンシおよびコンパートメントに例の値を使用します。演習を終える際は、これらの値をクラウド環境に固有の値に置き換えてください。
Oracle Cloud InfrastructureへのpfSenseファイアウォールのインストール
イントロダクション
ノート: pfSenseは、NetgateまたはOracleによるOracle Cloud Infrastructureでは公式にサポートされていません。このチュートリアルを試す前に、pfSenseサポート・チームに連絡してください。
pfSenseは、Oracle Cloud Infrastructure (OCI)ネイティブ・ファイアウォール・サービスをシミュレートできる本番またはテスト目的で使用できるファイアウォールです。このpfSenseファイアウォール設定は、ハブおよびスポークVCNルーティング・シナリオ内で使用できます。
次の図は、デプロイメントおよび構成が終了したときに環境がどのように表示されるかを示しています。
目的
- OCI内でpfSenseファイアウォールを設定します。ルーティングおよびセキュリティ・リストを調整して、pfSenseファイアウォールを適切に管理できるようにし、ICMPテストを実行して接続を確認します。
前提条件
- OCI内でpfSenseファイアウォールの設定を開始する前に、Webブラウザを使用して新しいpfSenseファイアウォールに接続し、pfSenseファイアウォールで管理を実行できる別のインスタンスを持つことが重要です。このチュートリアルでは、これを行うためにWindowsインスタンスを作成しました。同じようなものがあることを確認してください。
タスク1: pfSenseイメージのダウンロード
-
NetgateのWebサイトからpfSenseイメージをダウンロードします。必ず
memstick-serial
バージョンをダウンロードしてください。使用しているイメージのファイル名はpfSense-CE-memstick-serial-2.7.2-RELEASE-amd64.img.gz
です。詳細は、Netgateを参照してください。- イメージは
.gz
形式になります。 - OS Xを使用している場合は、圧縮ファイルを右クリックして「次で開く」をクリックします。
- イメージを圧縮解除するには、「アーカイブ・ユーティリティ(デフォルト)」を選択します。
- イメージは
-
イメージ・ファイル名が
pfSense-CE-memstick-serial-2.7.2-RELEASE-amd64.img
であることに注意してください。
タスク2: OCIオブジェクト・ストレージ・バケットの作成
このタスクでは、pfSenseイメージのアップロードおよびカスタム・イメージの作成に使用するOCIオブジェクト・ストレージ・バケットを作成します。
-
ストレージ・バケットを作成します。
- 左上隅のハンバーガーメニュー(≡)をクリックします。
- 「ストレージ」をクリックします。
- 「バケット」をクリックします。
-
「バケットの作成」をクリックします。
- バケット名を入力します。
- 「標準」ストレージ層を「デフォルト・ストレージ層」として選択します。
- 「作成」をクリックします。
-
ストレージ・バケットが作成されていることを確認します。
タスク3: pfSenseイメージのストレージ・バケットへのアップロード
-
タスク1でダウンロードしたイメージをアップロードします。
- 下へスクロール
- 「アップロード」をクリックします。
-
「オブジェクトのアップロード」画面で、次の情報を入力します。
- 「オブジェクト名の接頭辞」と入力します。
- ストレージ層として標準を選択します。
- 「ファイルの選択」をクリックし、pfSenseイメージを選択します。
- pfSenseイメージを選択すると、次のセクションに表示されます。
- 「アップロード」をクリックします。
-
pfSenseイメージがストレージ・バケットにアップロードされている間は、進捗をモニターできます。
- pfSenseイメージが完全にアップロードされると、進捗ステータスは「終了」になります。
- 「閉じる」をクリックします。
タスク4: カスタム・イメージの作成
pfSenseイメージをアップロードしました。次に、このアップロードされたイメージからカスタムOCIイメージを作成する必要があります。このカスタムOCIイメージは、pfSenseファイアウォール・インスタンスの作成に使用されます。
-
カスタム・イメージの作成
- 左上隅のハンバーガーメニュー(≡)をクリックします。
- 「計算」をクリックします。
- 「カスタム・イメージ」をクリックします。
-
「イメージのインポート」をクリックします。
-
「イメージのインポート」セクションで、次の情報を入力します。
- nameを入力します。
- 「オペレーティング・システム」として「汎用Linux」を選択します。
- 「オブジェクト・ストレージ・バケットからインポート」を選択します。
- イメージをアップロードしたストレージ・バケットを選択します。
- 「オブジェクト名」で、pfSenseイメージを選択します。
- 「イメージ・タイプ」として「VMDK」を選択します。
- 下へスクロール
-
他のフィールドはデフォルトのままにして、「イメージのインポート」をクリックします。
- ステータスが「インポート中」であることを確認します。
- 下へスクロール
- 状態が「In progress」であることを確認します。
- 進捗をモニターします。
- 数分後、ステータスは使用可能になり、状態は「成功」に変わります。
- 「%完了」は「100%」になります。
タスク5: カスタムpfSenseイメージを使用したインスタンスの作成
-
インスタンスの作成
- 左上隅のハンバーガーメニュー(≡)をクリックします。
- 「計算」をクリックします。
- 「インスタンス」をクリックします。
- 「インスタンスの作成」をクリックします。
- インスタンスの名前を入力します。
- 下へスクロール
-
「イメージの変更」をクリックします。
- 「マイ・イメージ」を選択します。
- 「カスタム・イメージ」を選択します。
- 下へスクロール
- タスク4で作成したカスタム・イメージを選択します。
- 「イメージの選択」をクリックします。
- pfSenseイメージが選択されていることを確認します。
- 下へスクロール
- 「プライマリ・ネットワーク」で、「既存の仮想クラウド・ネットワークを選択」を選択します。
- pfSenseインスタンスにアタッチするVCNを選択します。
- 「サブネット」で、「既存のサブネットを選択」を選択します。
- pfSenseインスタンスにアタッチするサブネットを選択します。
- 下へスクロール
- 「プライベートIPv4アドレスの手動割当て」を選択します。
- IPv4アドレスを入力します。
- 下へスクロール
- 「SSHキーなし」を選択します。
- 下へスクロール
-
「作成」をクリックします。
-
ステータスが「プロビジョニング中」であることを確認します。
-
数分後、ステータスは「実行中」に変わります。
-
次の図は、作成したものを視覚的に表現したものです。
タスク6: インスタンスへのpfSenseのインストール
pfSenseファイアウォールの初期インストールおよび設定を行う必要があります。すでに実行中のインスタンスがあります。
-
pfSenseファイアウォール・ソフトウェアをインストールするには、コンソール接続を作成する必要があります。
- 下へスクロール
- 「コンソール接続」をクリックします。
- 「Cloud Shell接続の起動」をクリックします。
-
「クラウド・シェル」ウィンドウが開きます。
-
いくつかの起動メッセージが表示されます。「入力」を押します。
-
著作権に関するメッセージを読み、「Accept」を選択してから、「ENTER」を押します。
- 「Install pfSense」を選択します。
- 「OK」を選択し、「ENTER」を押します。
- 「Manual Disk Setup (experts)」を選択します。
- 「OK」を選択し、「ENTER」を押します。
- da0 - 47 GB MBRを選択します。
- 「Create」を選択し、「ENTER」を押します。
- 「タイプ」に、freebsdと入力します。
- 「サイズ」に、46 GBと入力します。
- 「Mountpoint」と入力します。
- 「OK」を選択し、「ENTER」を押します。
- da0s4で、「46 GB BSD」を選択します。
- 「Create」を選択し、「ENTER」を押します。
- 「タイプ」に、freebsd-ufsと入力します。
- 「サイズ」に、40 GBと入力します。
- 「マウントポイント」に、/と入力します。
- 「OK」を選択し、「ENTER」を押します。
/
のマウント・ポイントが作成されていることを確認します。- da0s4に、46 GB BSDと入力します。
- 「Create」を選択し、「ENTER」を押します。
- 「タイプ」に、freebsd-swapと入力します。
- 「サイズ」に、5770 MBと入力します。
- 「Mountpoint」と入力します。
- 「OK」を選択し、「ENTER」を押します。
- マウントポイントがスワップ用に作成されていることを確認します。
- 「Finish」を選択し、「ENTER」を押します。
-
「Commit」を選択し、「ENTER」を押します。
-
インストールによって、設定の初期化が開始されます。
インストールでは、迅速なチェックサム検証が実行されます。
インストールによってアーカイブ抽出が実行されます。
-
新規インストールであるため、「Could not locate an existing
config.xml
file!」というメッセージが表示されます。 -
「Reboot」を選択し、「ENTER」を押します。
-
最初のリブート後、WANインタフェースを構成するためのいくつかの構成オプションが表示されます。
-
「Should VLANS be set up」に nと入力し、「ENTER」を押します。
-
「WANインタフェース名または自動検出(vtnet0またはa)の場合はa」に、
vtnet0
と入力します。 -
この設定では、1つのインタフェースのみを持つファイアウォールを作成しているため、LANインタフェースは構成しません。したがって、ENTER the LAN interface name or 'a' for auto-detectionの場合は、ENTERを押してこのインタフェースの設定をスキップします。
- WANインタフェース名を確認します。
- 「Do you want to proceed」に「y」と入力し、「ENTER」を押します。
-
いくつかのメッセージが表示され、構成が行われます。
-
pfSense OSはフル・ブートを実行します。
- IPアドレスはDHCPを使用して構成されます。
- 追加の基本構成を行うには、pfSenseメニューに注意してください。
タスク7: pfSense Webグラフィック・ユーザー・インタフェース(GUI)への接続および初期設定の完了
インストールが完了しました。ここでは、pfSenseファイアウォールのWebインタフェースに接続する必要があります。ただし、この前に、VCNのセキュリティ・リストでいくつかのポートを開く必要があります。
-
イングレス・ルールの追加
- 左上隅のハンバーガーメニュー(≡)をクリックします。
- 「Virtual Cloud Networks」をクリックするか、「ネットワーキング」および「Virtual Cloud Networks」に移動します。
-
pfSenseファイアウォールがアタッチされているVCNを選択します。
- 下へスクロール
- 「セキュリティ・リスト」をクリックします。
- 「Default Security List for HUB-VCN」をクリックします。
-
「イングレス・ルールの追加」をクリックして、イングレス・ルールを作成します。
- 「ソース・タイプ」に、CIDRと入力します。
- 「ソースCIDR」で、このチュートリアルに
172.16.0.128/25
と入力します。これは、ブラウザを使用してpfSenseファイアウォールに接続するために使用する、Windowsインスタンスを含むサブネットです。 - 「IPプロトコル」に、「TCP」と入力します。
- 「宛先ポート範囲」に、
80,443
と入力します。 - 「イングレス・ルールの追加」 をクリックします。
-
VCNにアタッチされているセキュリティ・リストのTCP/
80
およびTCP/443
ポートを許可するために、セキュリティ・ルールが追加されていることに注意してください。これにより、Windowsインスタンスからこの新しいpfSenseファイアウォール・インスタンスへのHTTPおよびHTTPS接続を設定できます。- コンピュートおよびインスタンスに移動します。
- pfSenseファイアウォールIPアドレスをノートにとります。
- Windowsインスタンスで、ブラウザを開き、HTTPSを使用してpfSenseファイアウォールIPに移動します。
- 「詳細設定」をクリックします。
-
「続行」をクリックします。
- デフォルトのユーザー名に
admin
を入力します。 - デフォルト・パスワードに
pfsense
と入力します。 - 「サインイン」をクリックします。
- デフォルトのユーザー名に
-
「次」をクリックします。
-
「次」をクリックします。
- ホスト名の入力
- ドメイン名を入力するか、ドメイン名をデフォルトのままにします。
- 下へスクロール
-
「次」をクリックします。
-
「次」をクリックします。
ノート:ネットワークを使用している場合は、インスタンスの作成時に静的IPv4アドレスを使用するように指定したため、少し奇妙に見えることがあります。この特定のケースでの動作方法は、OracleがDHCPサーバーで静的IPを予約し、このアドレスをpfSenseファイアウォールに割り当てることです。そのため、pfSenseファイアウォールは常に同じIPアドレスを取得しますが、OCIの観点から見ると、これは静的IPとなり、pfSenseの観点から見ると、これはDHCPアドレスになります。
- 「WANインタフェースの構成」で、「DHCP」を選択します。
- 下へスクロール
- すべてのIPアドレス設定をデフォルトのままにします。
- 下へスクロール
-
下へスクロール
-
「次」をクリックします。
- 新規管理パスワードを入力してください。
- 再度管理パスワードを入力してください。
- 「次」をクリックします。
-
「リロード」をクリックします。
-
pfSenseファイアウォール構成が再ロードされることに注意してください。
-
下へスクロール
-
「終了」をクリックします。
-
下へスクロール
-
「同意」をクリックします。
-
「閉じる」をクリックします。
-
次の図は、作成した内容を視覚的に示したものです。Windowsのステップ・ストーンを使用してpfSenseファイアウォールに接続することに注意してください。
-
pfSenseファイアウォールがインターネットにアクセスできない場合、ダッシュボード・ページのロードには少し時間がかかります。ただし、これを修正するには、OCI NATゲートウェイを使用してpfSenseファイアウォールをインターネットに許可します。
- pfSenseファイアウォールがインストールされ、ダッシュボードが表示されることに注意してください。
- サポート情報は利用できないことに注意してください。これは、pfSenseファイアウォールがプライベート・サブネットにインストールされており、このプライベート・サブネットはデフォルトでインターネットにアクセスできないためです。
-
インターネット・トラフィックをNATゲートウェイにルーティングします。VCNにNATゲートウェイが存在することを確認します。
- 左上隅のハンバーガーメニュー(≡)をクリックします。
- 「Virtual Cloud Networks」をクリックするか、「ネットワーキング」および「Virtual Cloud Networks」に移動します。
-
pfSenseファイアウォールがアタッチされ、NATゲートウェイが存在するVCNを選択します。
- 「ルート表」をクリックします。
- 「HUB-VCNのデフォルト・ルート表」をクリックします。
- デフォルトのルート表には、すべてのトラフィックをインターネット・ゲートウェイにルーティングするルートがあることに注意してください。プライベート・サブネットのトラフィックをNATゲートウェイにルーティングする必要があるため、これは使用できません。
- 「HUB-VCN」をクリックして、「ルート表の詳細」ページから1ページに戻ります。
-
トラフィックを特定のサブネットのNATゲートウェイにルーティングするには、新しいルート表を作成し、そのルート表をプライベート・サブネットにアタッチする必要があります。「ルート表の作成」をクリックします。
- 名前を入力します。
- 「ターゲット・タイプ」に、NAT Gatewayと入力します。
- 「宛先CIDRブロック」に、
0.0.0.0/0
と入力します。 - 下へスクロール
- VCNですでに使用可能なNAT Gatewayを選択します。NATゲートウェイがない場合は、「取消」をクリックしてNATゲートウェイを作成します。
- 「作成」をクリックします。
- NATゲートウェイへの静的ルートが作成されていることを確認します。
- 「HUB-VCN」をクリックして、「ルート表の詳細」ページから1ページに戻ります。
-
新しいルート表が作成されていることを確認します。
-
次に、そのルート表をサブネットにバインドします。
- 「サブネット」をクリックします。
- pfSenseインスタンスが現在アタッチされているサブネットである「プライベート・サブネット」をクリックします。
-
「編集」をクリックします。
- 作成したルート表を選択します。
- 「変更を保存」をクリックします。
-
プライベート・サブネットのルート表が変更されていることを確認します。
-
Windowsインスタンスに戻ります。
- ページをリフレッシュします。
- 下へスクロール
-
「同意」をクリックします。
-
「閉じる」をクリックします。
-
「Netgate Services and Support」セクションが変更されることに注意してください。
-
ダッシュボード・ページのレスポンス時間も短くなります。
-
pfSense Web管理インタフェースを使用します。
- 「Firewall」をクリックします。
- 「ルール」をクリックします。
-
pfSenseファイアウォールのデフォルト・ルールに注意してください。
-
次の図は、作成した内容を視覚的に示したものです。
-
pfSenseファイアウォールがインターネットと通信できるように、NATゲートウェイが使用されることに注意してください。
-
デフォルトのセキュリティ・リストでポートTCP/
80
およびTCP/443
も開いていることに注意してください。
-
タスク8: Pingを使用した接続の確認
-
ping (ICMP)を使用した接続の確認は、テストの開始点として適しています。
- Windowsインスタンスで、コマンド・プロンプトを開き、pfSenseファイアウォールのIPアドレスにpingを試行します。
- pingの結果に 100%パケット損失が表示されていることを確認します。
-
これを解決するには、次のことが必要です。
- VCNにアタッチされているデフォルトのセキュリティ・リストで、インターネット制御メッセージ・プロトコル(ICMP)を開きます。
- pfSenseファイアウォールでICMPを開きます。
-
まずはデフォルトのセキュリティ・リストから始めましょう。
- 左上隅のハンバーガーメニュー(≡)をクリックします。
- 「Virtual Cloud Networks」をクリックするか、「ネットワーキング」および「Virtual Cloud Networks」に移動します。
-
pfSenseファイアウォールがアタッチされ、NATゲートウェイがあるVCNを選択します。
- 下へスクロール
- 「セキュリティ・リスト」をクリックします。
- 「HUB-VCNのデフォルト・セキュリティ・リスト」をクリックします。
-
「イングレス・ルールの追加」をクリックして、イングレス・ルールを作成します。
- 「ソース・タイプ」に、CIDRと入力します。
- 「ソースCIDR」に、
0.0.0.0/0
と入力します。 - 「IP Protocol」に、「ICMP」と入力します。
- 「イングレス・ルールの追加」をクリックします。
-
追加したICMPルールを確認します。
-
pfSenseファイアウォール管理インタフェースで、「ファイアウォール」、「ルール」および「追加」をクリックして新しいルールを追加します。
-
次の情報を入力します
- 処置: 「パス」を選択します。
- プロトコル: 「ICMP」を選択します。
- ICMPサブタイプ: 「任意」を選択します。
- 下へスクロール
- ソース: 「任意」を選択します。
- 宛先: 「任意」を選択します。
- 「保存」をクリックします。
- 新しいICMPルールが適用されていることを確認します。
- 「変更の適用」をクリックして変更をコミットします。
-
変更が正常に適用されていることを確認します。
- Windowsインスタンスで、コマンド・プロンプトを開き、pfSenseファイアウォールのIPアドレスにpingを試行します。
- pingの結果に 0%パケット損失が表示されます。
-
もう1つのpingテストは、pfSenseファイアウォールからインターネットに向かうことです。
- 「診断」をクリックします。
- 「Ping」をクリックします。
- 「ホスト名」に、
8.8.8.8
と入力します。 - 「Ping」をクリックします。
-
pingの結果に 0%パケット損失が表示されます。
-
次の図は、作成した内容を視覚的に示したものです。デフォルトのセキュリティ・リストでICMPも開いていることに注意してください。
承認
- 著者 - Iwan Hoogendoorn (OCIネットワーク・スペシャリスト)
その他の学習リソース
docs.oracle.com/learnの他のラボをご覧いただくか、Oracle Learning YouTubeチャネルで無料のラーニング・コンテンツにアクセスしてください。また、education.oracle.com/learning-explorerにアクセスして、Oracle Learning Explorerになります。
製品ドキュメントは、Oracle Help Centerを参照してください。
Install a pfSense Firewall in Oracle Cloud Infrastructure
F99948-01
June 2024