在 Oracle Cloud Infrastructure 中安装 pfSense 防火墙

简介

注：Netgate 或 Oracle 在 Oracle Cloud Infrastructure 上未正式支持 pfSense。请先与 pfSense 支持团队联系，然后再尝试本教程。

pfSense 是可用于生产或测试的防火墙，您可以在其中模拟 Oracle Cloud Infrastructure (OCI) 本机防火墙服务。此 pfSense 防火墙设置可以在中心服务器和分支 VCN 路由方案中使用。

下图显示了完成部署和配置后环境将如何运行。

目标

在 OCI 中设置 pfSense 防火墙。我们将对路由和安全列表进行调整，以便可以正确管理 pfSense 防火墙，并且我们将进行一些 ICMP 测试来验证连接。

先决条件

在 OCI 中设置 pfSense 防火墙之前，必须使用 Web 浏览器连接到新的 pfSense 防火墙以对 pfSense 防火墙执行管理的其他实例。在本教程中，我们创建了一个 Windows 实例来执行此操作。确保你有类似的东西。

任务 1：下载 pfSense 图像

从 Netgate 网站下载 pfSense 映像。确保下载 memstick-serial 版本。我们使用的映像的文件名是 pfSense-CE-memstick-serial-2.7.2-RELEASE-amd64.img.gz。有关更多信息，请参见 Netgate 。
1. 图像将采用 .gz 格式。
2. 如果使用的是 OS X，请右键单击压缩文件，然后单击打开方式。
3. 选择 Archive Utility (default) 以解压缩映像。
请注意，图像文件名是 pfSense-CE-memstick-serial-2.7.2-RELEASE-amd64.img。

任务 2：创建 OCI 对象存储桶

在此任务中，我们将创建 OCI 对象存储存储桶，该存储桶用于上载 pfSense 映像并用于创建定制映像。

创建存储桶。
1. 单击左上角的汉堡菜单（≡）。
2. 单击 Storage 。
3. 单击存储桶。
单击创建存储桶。
1. 输入组名称。
2. 选择 Standard（标准）存储层作为 Default Storage Tier（默认存储层）。
3. 单击创建。
请注意，存储桶已创建。

任务 3：将 pfSense 映像上载到存储桶

上载我们在任务 1 中下载的图像。
1. 向下滚动。
2. 单击上传。
在上载对象屏幕中，输入以下信息。
1. 输入对象名称前缀。
2. 选择 Standard 作为 Storage Tier 。
3. 单击选择文件，然后选择 pfSense 图像。
4. 选择了 pfSense 图像后，将在下一节中看到该图像。
5. 单击上传。
当 pfSense 映像上载到存储桶时，您可以监视进度。
1. pfSense 映像完全上载后，进度状态将为 Finished（已完成）。
2. 单击关闭。

任务 4：创建定制映像

我们已上载 pfSense 映像。现在，我们需要基于此上载的映像创建定制 OCI 映像。此定制 OCI 映像将用于创建 pfSense 防火墙实例。

创建定制映像。
1. 单击左上角的汉堡菜单（≡）。
2. 单击计算。
3. 单击定制映像。
单击导入图像。
在导入图像部分中，输入以下信息。
1. 输入 name 。
2. 选择 Generic Linux 作为 Operating system（操作系统）。
3. 选择从对象存储桶导入。
4. 选择上载映像的存储桶。
5. 在对象名称中，选择 pfSense 图像。
6. 选择 VMDK 作为映像类型。
7. 向下滚动。
保留其他字段的默认值，然后单击导入图像。
1. 请注意，状态为 IMPORTING 。
2. 向下滚动。
1. 请注意，状态为 In Progress 。
2. 监视进度。
1. 几分钟后，状态为 AVAILABLE ，状态将更改为 Succeeded 。
2. % Complete 将为 100% 。

任务 5：使用定制 pfSense 映像创建实例

创建实例。
1. 单击左上角的汉堡菜单（≡）。
2. 单击计算。
3. 单击实例。
1. 单击创建实例。
1. 输入实例名称。
2. 向下滚动。
单击更改图像。
1. 选择我的映像。
2. 选择自定义图像。
3. 向下滚动。
1. 选择在任务 4 中创建的自定义图像。
2. 单击选择图像。
1. 请注意，已选择 pfSense 映像。
2. 向下滚动。
1. 在主网络中，选择选择现有虚拟云网络。
2. 选择要附加到 pfSense 实例的 VCN 。
3. 在子网中，选择选择现有子网。
4. 选择要附加到 pfSense 实例的子网。
5. 向下滚动。
1. 选择 Manually assign private IPv4 address（手动分配专用 IPv4 地址）。
2. 输入 IPv4 地址。
3. 向下滚动。
1. 选择 No SSH Keys 。
2. 向下滚动。
单击创建。
请注意，状态为 PROVISIONING 。
几分钟后，状态将更改为正在运行。
下图展示了您创建的内容的可视化表示形式。

任务 6：在实例上安装 pfSense

我们需要执行 pfSense 防火墙的初始安装和设置。我们已经有正在运行的实例。

要安装 pfSense 防火墙软件，我们需要创建控制台连接。
1. 向下滚动。
2. 单击控制台连接。
3. 单击启动 Cloud Shell 连接。
请注意， Cloud Shell 窗口将打开。
将显示一些启动消息。按输入。
阅读版权消息，然后选择 Accept ，然后按 ENTER 键。
1. 选择 Install pfSense 。
2. 选择 OK ，然后按 ENTER 。
1. 选择 Manual Disk Setup (experts) 。
2. 选择 OK ，然后按 ENTER 。
1. 选择 da0 - 47 GB MBR 。
2. 选择创建，然后按 ENTER 。
1. 在类型中，输入 freebsd 。
2. 在大小中，输入 46 GB 。
3. 输入 Mountpoint 。
4. 选择 OK ，然后按 ENTER 。
1. 在 da0s4 中，选择 46 GB BSD 。
2. 选择创建，然后按 ENTER 。
1. 在 Type 中，输入 freebsd-ufs 。
2. 在大小中，输入 40 GB 。
3. 在 Mountpoint（挂载点）中，输入 / 。
4. 选择 OK ，然后按 ENTER 。
1. 请注意，挂载点是为 / 创建的。
2. 在 da0s4 中，输入 46 GB BSD 。
3. 选择创建，然后按 ENTER 。
1. 在 Type（类型）中，输入 freebsd-swap 。
2. 在大小中，输入 5770 MB 。
3. 输入 Mountpoint 。
4. 选择 OK ，然后按 ENTER 。
1. 请注意，挂载点是为交换创建的。
2. 选择完成并按 ENTER
选择 Commit ，然后按 ENTER 。
安装将开始初始化设置。

安装将执行快速校验和验证。

安装将执行归档提取。
您将收到消息 Could not locate an existing config.xml file！，因为这是新安装。
选择 Reboot ，然后按 ENTER 。
第一次重新引导后，您将获得一些配置选项来配置 WAN 接口。
对于 Should VLANS be set up ，输入 n 并按 ENTER 键。
对于 Enter the WAN interface name or 'a' for auto-detection (vtnet0 or a) ，输入 vtnet0。
在此设置中，我们将创建一个仅包含一个接口的防火墙，因此我们不会配置 LAN 接口，因此，对于 ENTER the LAN interface name or 'a' for auto-detection ，请按 ENTER 跳过此接口设置。
1. 验证 WAN 接口名称。
2. 对于 Do you want to continue ，输入 y 并按 ENTER 键。
请注意一些消息，配置将完成。
pfSense OS 将执行完全引导。
1. 您将看到 IP 地址将使用 DHCP 进行配置。
2. 请注意 pfSense 菜单以执行一些其他基本配置。

任务 7：连接到 pfSense Web 图形用户界面 (Web Graphic User Interface，GUI) 并完成初始设置

安装完成，现在我们需要连接到 pfSense 防火墙的 Web 界面。但在此之前，我们需要在 VCN 安全列表中打开一些端口。

添加入站规则。
1. 单击左上角的汉堡菜单（≡）。
2. 单击虚拟云网络或导航到网络和虚拟云网络。
选择 pfSense 防火墙附加到的 VCN。
1. 向下滚动。
2. 单击安全列表。
3. 单击 HUB-VCN 的默认安全列表。
单击添加入站规则以创建入站规则。
1. 在源类型中，输入 CIDR 。
2. 在源 CIDR 中，在此教程中输入 172.16.0.128/25。这是具有 Windows 实例的子网，我们将使用该子网通过浏览器连接到 pfSense 防火墙。
3. 在 IP Protocol 中，输入 TCP 。
4. 在目标端口范围中，输入 80,443。
5. 单击添加入站规则 。
请注意，系统添加了安全规则，以允许连接到 VCN 的安全列表上的 TCP/80 和 TCP/443 端口。这将允许您设置从 Windows 实例到此新的 pfSense 防火墙实例的 HTTP 和 HTTPS 连接。
1. 导航到计算和实例。
2. 记下您的 pfSense 防火墙 IP 地址。
1. 在 Windows 实例中，打开浏览器并使用 HTTPS 导航到 pfSense 防火墙 IP。
2. 单击高级。
单击继续。
1. 输入默认用户名 admin。
2. 输入默认密码为 pfsense。
3. 单击登录。
单击下一步。
单击下一步。
1. 输入主机名。
2. 输入域名或保留域名默认值。
3. 向下滚动。
单击下一步。
单击下一步。

注：如果您进入网络，这可能看起来有点奇怪，因为我们已指定在创建实例期间使用静态 IPv4 地址。在这种情况下，Oracle 的工作方式是在其 DHCP 服务器中保留静态 IP，并将此地址分配给 pfSense 防火墙。因此，pfSense 防火墙将始终获得相同的 IP 地址，但从 OCI 的角度来看，这将是静态 IP，从 pfSense 的角度来看，这将是 DHCP 地址。
1. 在配置 WAN 接口中，选择 DHCP 。
2. 向下滚动。
1. 保留所有 IP 地址设置默认值。
2. 向下滚动。
向下滚动。
单击下一步。
1. 请输入新的管理员口令。
2. 再次输入管理员口令。
3. 单击下一步。
单击重新加载。
请注意，pfSense 防火墙配置已重新加载。
向下滚动。
单击 Finish（完成）。
向下滚动。
单击接受。
单击关闭。
下图展示了您创建的内容的可视化表示。请注意，我们将使用 Windows 步进石连接到 pfSense 防火墙。
如果 pfSense 防火墙无法访问 Internet，则加载仪表盘页需要更长的时间。但这可以通过使用 OCI NAT 网关将 pfSense 防火墙连接到 Internet 来修复。
1. 请注意，pfSense 防火墙已安装且显示板可见。
2. 请注意，支持信息不可用。这是因为 pfSense 防火墙安装在专用子网上，并且此专用子网默认无法访问 Internet。
让我们将互联网流量路由到 NAT 网关。确保 VCN 中存在 NAT 网关。
1. 单击左上角的汉堡菜单（≡）。
2. 单击虚拟云网络或导航到网络和虚拟云网络。
选择 pfSense 防火墙连接到的 VCN 并选择 NAT 网关。
1. 单击路由表。
2. 单击 HUB-VCN 的默认路由表。
1. 请注意，默认路由表中的路由将向 Internet 网关路由所有流量。这对我们来说不可用，因为我们需要将专用子网的流量路由到 NAT 网关。
2. 单击 HUB-VCN 可从路由表详细信息页返回一页。
要将流量路由到特定子网的 NAT 网关，需要创建新的路由表并将该路由表连接到专用子网。单击创建路由表。
1. 输入名称。
2. 在目标类型中，输入 NAT 网关。
3. 在目标 CIDR 块中，输入 0.0.0.0/0。
4. 向下滚动。
1. 选择您已在 VCN 中可用的 NAT 网关。如果您没有 NAT 网关，请单击取消并创建 NAT 网关。
2. 单击创建。
1. 请注意，现在已创建通向 NAT 网关的静态路由。
2. 单击 HUB-VCN 可从路由表详细信息页返回一页。
请注意，您已创建一个新的路由表。

现在，是时候将该路由表绑定到子网了。
1. 单击 Subnets（子网）。
2. 单击专用子网，即 pfSense 实例当前连接到的子网。
单击编辑。
1. 选择刚刚创建的路由表。
2. 单击 Save Changes（保存更改）。
请注意，专用子网的路由表已更改。
返回到 Windows 实例。
1. 刷新页。
2. 向下滚动。
单击接受。
单击关闭。
请注意， Netgate Services and Support 部分将更改。
仪表盘页的响应时间也将更快。
使用 pfSense Web 管理界面。
1. 单击防火墙。
2. 单击规则。
请注意 pfSense 防火墙的缺省规则。
下图展示了您创建的内容的可视化表示。
- 请注意，将使用 NAT 网关，以便 pfSense 防火墙可以与 Internet 进行通信。
- 请注意，我们还在默认安全列表中打开了 TCP/80 和 TCP/443 端口。

任务 8：验证与 Ping 的连接

使用 ping (ICMP) 验证连接是测试的良好起点。
1. 在 Windows 实例中，打开命令提示符并尝试 ping pfSense 防火墙 IP 地址。
2. 请注意，ping 结果显示 100% 数据包丢失。
要解决此问题，我们需要：
- 在附加到 VCN 的默认安全列表中打开 Internet 控制消息协议 (Internet Control Message Protocol，ICMP)。
- 在 pfSense 防火墙上打开 ICMP。
让我们先从默认安全列表开始。
1. 单击左上角的汉堡菜单（≡）。
2. 单击虚拟云网络或导航到网络和虚拟云网络。
选择 VCN，在其中连接 pfSense 防火墙并且具有 NAT 网关。
1. 向下滚动。
2. 单击安全列表。
3. 单击 HUB-VCN 的默认安全列表。
单击添加入站规则以创建入站规则。

在源类型中，输入 CIDR 。
在源 CIDR 中，输入 0.0.0.0/0。
在 IP Protocol 中，输入 ICMP 。
单击添加入站规则。

请注意我们刚刚添加的 ICMP 规则。
在 pfSense 防火墙管理界面中，单击防火墙、规则和添加以添加新规则。

输入以下信息。
1. 操作：选择通过。
2. Protocol（协议）：选择 ICMP 。
3. ICMP 子类型：选择任意。
4. 向下滚动。
1. 来源：选择任何。
2. 目标：选择任何。
3. 单击保存。
1. 请注意，新的 ICMP 规则已到位。
2. 单击应用更改提交更改。
请注意，更改已成功应用。
1. 在 Windows 实例中，打开命令提示符并尝试 ping pfSense 防火墙 IP 地址。
2. 请注意，ping 结果显示 0% 数据包丢失。
我们可以做的另一个 ping 测试是从 pfSense 防火墙到 Internet。
1. 单击诊断。
2. 单击 Ping 。
1. 在 Hostname（主机名）中，输入 8.8.8.8。
2. 单击 Ping 。
请注意，ping 结果显示 0% 数据包丢失。
下图展示了您创建的内容的可视化表示。请注意，我们还在默认安全列表中打开了 ICMP。