附註:
- 此教學課程需要存取 Oracle Cloud。若要註冊免費帳戶,請參閱開始使用 Oracle Cloud Infrastructure Free Tier 。
- 它使用 Oracle Cloud Infrastructure 憑證、租用戶及區間的範例值。完成實驗室時,請將這些值取代為您雲端環境特有的值。
在 Oracle Cloud Infrastructure 中安裝 pfSense 防火牆
簡介
注意:Netgate 或 Oracle 不會在 Oracle Cloud Infrastructure 正式支援 pfSense。請先聯絡 pfSense 支援團隊,再嘗試此教學課程。
pfSense 是一種防火牆,可用於生產或測試用途,您可以在其中模擬 Oracle Cloud Infrastructure (OCI) 原生防火牆服務。此 pfSense 防火牆設定可在集線器內使用,並且支點 VCN 路由情況。
下圖說明當您完成部署與組態時,環境的外觀。
目標
- 在 OCI 內設定 pfSense 防火牆。我們會對路由和安全清單進行調整,以便能夠正確管理 pfSense 防火牆,並會進行一些 ICMP 測試來驗證連線。
必要條件
- 在我們開始在 OCI 內設定 pfSense 防火牆之前,請先讓另一個執行處理使用其 Web 瀏覽器連線至新的 pfSense 防火牆,以在 pfSense 防火牆上執行管理。在本教學課程中,我們已建立 Windows 執行處理來執行此操作。請確定您有類似的東西。
工作 1:下載 pfSense 影像
-
從 Netgate 網站下載 pfSense 映像檔。請務必下載
memstick-serial
版本。我們使用的映像檔檔案名稱為pfSense-CE-memstick-serial-2.7.2-RELEASE-amd64.img.gz
。如需詳細資訊,請參閱 Netgate 。- 影像的格式為
.gz
。 - 如果您使用 OS X,請在壓縮檔案上按一下滑鼠右鍵,然後按一下開啟方式。
- 選取封存公用程式 (預設) 以解壓縮影像。
- 影像的格式為
-
請注意,影像檔案名稱為
pfSense-CE-memstick-serial-2.7.2-RELEASE-amd64.img
。
作業 2:建立 OCI 物件儲存的儲存桶
在這項任務中,我們將建立一個 OCI Object Storage 貯體,用於上傳 pfSense 映像檔並用於建立自訂映像檔。
-
建立儲存桶。
- 按一下左上角的漢堡選單 (按)。
- 按一下儲存體 (Storage) 。
- 按一下儲存設定 (Bucket) 。
-
按一下建立儲存桶。
- 輸入時段名稱。
- 選取標準儲存層作為預設儲存層。
- 按一下建立。
-
請注意,儲存的儲存桶已建立。
工作 3:將 pfSense 映像檔上傳至儲存的儲存桶
-
上傳我們在「任務 1」中下載的影像。
- 向下捲動。
- 按一下上傳。
-
在上傳物件畫面中,輸入下列資訊。
- 輸入物件名稱前置碼。
- 選取標準作為儲存層。
- 按一下選取檔案,然後選取 pfSense 影像。
- 當您選取 pfSense 影像之後,就會在下列區段中看到該影像。
- 按一下上傳。
-
當 pfSense 映像檔上傳到儲存的儲存桶時,您可以監控進度。
- 完整上傳 pfSense 影像時,進度狀態將會是已完成。
- 按一下關閉。
工作 4:建立自訂影像
我們已上傳 pfSense 影像。現在,我們必須從此上傳的映像檔建立自訂 OCI 映像檔。此自訂 OCI 映像檔將用於建立 pfSense 防火牆執行處理。
-
建立自訂映像檔。
- 按一下左上角的漢堡選單 (按)。
- 按一下計算。
- 按一下自訂影像。
-
按一下匯入影像。
-
在匯入影像區段中,輸入下列資訊。
- 輸入 name 。
- 選取通用 Linux 作為作業系統。
- 選取從物件儲存的儲存桶匯入。
- 選取您上傳映像檔的儲存桶。
- 在物件名稱中,選取 pfSense 影像。
- 選取 VMDK 作為影像類型。
- 向下捲動。
-
將其他欄位保持為預設值,然後按一下匯入影像。
- 請注意,狀態為 IMPORTING 。
- 向下捲動。
- 請注意,狀態為進行中。
- 監督進度。
- 幾分鐘之後,狀態為 AVAILABLE ,狀態將會變更為成功 (Succeeded) 。
- 完成 % 將會是 100% 。
工作 5:使用自訂 pfSense 影像建立執行處理
-
建立執行處理。
- 按一下左上角的漢堡選單 (按)。
- 按一下計算。
- 按一下執行處理。
- 按一下建立執行處理。
- 輸入執行處理名稱。
- 向下捲動。
-
按一下變更影像。
- 選取我的影像。
- 選取自訂影像。
- 向下捲動。
- 選取在「任務 4」中建立的自訂影像。
- 按一下選取影像。
- 請注意,已選取 pfSense 影像。
- 向下捲動。
- 在主要網路中,選取選取現有的虛擬雲端網路。
- 選取要連附至 pfSense 執行處理的 VCN 。
- 在子網路中,選取選取現有的子網路。
- 選取要連附至 pfSense 執行處理的子網路。
- 向下捲動。
- 選取手動指定專用 IPv4 位址。
- 輸入 IPv4 位址。
- 向下捲動。
- 選取沒有 SSH 金鑰。
- 向下捲動。
-
按一下建立。
-
請注意,狀態為 PROVISIONING 。
-
幾分鐘之後,狀態將會變更為執行。
-
下圖說明您所建立內容的視覺表示法。
工作 6:在執行處理上安裝 pfSense
我們需要進行初始安裝及設定 pfSense 防火牆。我們已經有執行中的執行處理。
-
若要安裝 pfSense 防火牆軟體,我們需要建立主控台連線。
- 向下捲動。
- 按一下主控台連線。
- 按一下啟動 Cloud Shell 連線。
-
請注意, Cloud Shell 視窗將會開啟。
-
將會顯示一些啟動訊息。按 ENTER 。
-
讀取著作權訊息並選取接受,然後按 ENTER 。
- 選取安裝 pfSense 。
- 選取確定 (OK) ,然後按 ENTER 。
- 選取手動設定磁碟 (專家) 。
- 選取確定 (OK) ,然後按 ENTER 。
- 選取 da0 - 47 GB MBR 。
- 選取建立 (Create) ,然後按 ENTER 。
- 在類型中,輸入 freebsd 。
- 在大小中,輸入 46 GB 。
- 輸入掛載點。
- 選取確定 (OK) ,然後按 ENTER 。
- 在 da0s4 中,選取 46 GB BSD 。
- 選取建立 (Create) ,然後按 ENTER 。
- 在類型中,輸入 freebsd-ufs 。
- 在大小中,輸入 40 GB 。
- 在掛載點中,輸入 / 。
- 選取確定 (OK) ,然後按 ENTER 。
- 請注意,已為
/
建立掛載點。 - 在 da0s4 中,輸入 46 GB BSD 。
- 選取建立 (Create) ,然後按 ENTER 。
- 在類型中,輸入 freebsd-swap 。
- 在大小中,輸入 5770 MB 。
- 輸入掛載點。
- 選取確定 (OK) ,然後按 ENTER 。
- 請注意,已建立用於交換的掛載點。
- 選取完成 (Finish) ,然後按 ENTER
-
選取確認 (Commit) 並按 ENTER 。
-
安裝將會啟動初始化設定。
安裝會進行快速的總和檢查驗證。
安裝會進行封存擷取。
-
您會收到一則訊息找不到現有的
config.xml
檔案!,因為這是新的安裝。 -
選取重新開機,然後按 ENTER 。
-
在第一次重新啟動之後,會得到一些配置選項以配置 WAN 介面。
-
對於應設定 VLANS ,輸入 n 並按 ENTER 。
-
若為輸入 WAN 介面名稱或自動偵測 (vtnet0 或 a) 的 'a' ,請輸入
vtnet0
。 -
在此設定中,我們只建立一個具有一個介面的防火牆,因此不會配置 LAN 介面,因此,對於輸入 LAN 介面名稱或 'a' 代表自動偵測,請按 ENTER 以略過此介面設定。
- 驗證 WAN 介面名稱。
- 在要繼續嗎中,輸入 y 並按 ENTER 。
-
請注意某些訊息和組態將會完成。
-
pfSense 作業系統將執行完整啟動。
- 您會看到將使用 DHCP 配置 IP 位址。
- 請注意,pfSense 功能表會執行一些額外的基本組態。
作業 7:連線至 pfSense Web 圖形使用者介面 (GUI),並完成初始設定
安裝已完成,現在我們需要連線至 pfSense 防火牆的 Web 介面。但在此之前,我們必須先在 VCN 的安全清單中開啟一些連接埠。
-
新增輸入規則。
- 按一下左上角的漢堡選單 (按)。
- 按一下虛擬雲端網路,或瀏覽至網路和虛擬雲端網路。
-
選取您的 pfSense 防火牆所連附的 VCN。
- 向下捲動。
- 按一下安全清單。
- 按一下 HUB-VCN 的預設安全清單。
-
按一下新增輸入規則以建立輸入規則。
- 在來源類型中,輸入 CIDR 。
- 在來源 CIDR 中,為此教學課程輸入
172.16.0.128/25
。這是含有 Windows 執行處理的子網路,我們將使用瀏覽器連線至 pfSense 防火牆。 - 在 IP 協定中,輸入 TCP 。
- 在目的地連接埠範圍中,輸入
80,443
。 - 按一下新增傳入規則 。
-
請注意,新增的安全規則可允許連附至 VCN 之安全清單上的 TCP/
80
和 TCP/443
連接埠。這可讓您設定從 Windows 執行處理到此新 pfSense 防火牆執行處理的 HTTP 和 HTTPS 連線。- 瀏覽至運算和執行處理。
- 記下您的 pfSense 防火牆 IP 位址。
- 在您的 Windows 執行處理中,開啟瀏覽器並使用 HTTPS 瀏覽至 pfSense 防火牆 IP。
- 請按一下進階。
-
按一下繼續。
- 輸入預設使用者名稱作為
admin
。 - 輸入預設密碼為
pfsense
。 - 按一下登入。
- 輸入預設使用者名稱作為
-
按下一步。
-
按下一步。
- 輸入主機名稱。
- 輸入網域名稱或保留網域名稱預設值。
- 向下捲動。
-
按下一步。
-
按下一步。
注意:如果您進入網路,這可能會有點奇怪,因為我們已在建立執行處理時指定使用靜態 IPv4 位址。在此特定情況下,Oracle 會將靜態 IP 保留在其 DHCP 伺服器中,並將此位址指定給 pfSense 防火牆。因此,pfSense 防火牆一律會取得相同的 IP 位址,但從 OCI 的角度來看,這將會是靜態 IP,從 pfSense 的角度來看,這將會是 DHCP 位址。
- 在設定 WAN 介面中,選取 DHCP 。
- 向下捲動。
- 預設保留所有 IP 位址設定。
- 向下捲動。
-
向下捲動。
-
按下一步。
- 輸入新的管理密碼。
- 再次輸入管理密碼。
- 按下一步。
-
按一下「重新載入」。
-
請注意,已重新載入 pfSense 防火牆配置。
-
向下捲動。
-
按一下完成。
-
向下捲動。
-
按一下接受。
-
按一下關閉。
-
下圖以視覺方式說明您所建立的項目。請注意,我們將使用 Windows 步進石材連接到 pfSense 防火牆。
-
如果 pfSense 防火牆無法連線網際網路,儀表板頁面將需要一些較長的載入時間。不過,您可以使用 OCI NAT 閘道將 pfSense 防火牆允許網際網路進行修正。
- 請注意,已安裝 pfSense 防火牆且可看見儀表板。
- 請注意,無法使用支援資訊。這是因為專用子網路上已安裝 pfSense 防火牆,而且此專用子網路預設無法連線網際網路。
-
讓我們將網際網路流量遞送至 NAT 閘道。請確定 VCN 中有 NAT 閘道。
- 按一下左上角的漢堡選單 (按)。
- 按一下虛擬雲端網路,或瀏覽至網路和虛擬雲端網路。
-
選取您的 pfSense 防火牆所連附且有 NAT 閘道的 VCN。
- 按一下路由表。
- 按一下 HUB-VCN 的預設路由表。
- 請注意,預設路由表有一個路由,會將所有流量遞送至網際網路閘道。我們不需要將專用子網路的流量遞送至 NAT 閘道,因此無法使用。
- 按一下 HUB-VCN ,從路由表詳細資訊頁面返回一頁。
-
若要將流量遞送至特定子網路的 NAT 閘道,我們必須建立新的路由表,然後將該路由表連附至專用子網路。按一下建立路由表。
- 輸入名稱。
- 在目標類型中,輸入 NAT 閘道。
- 在目的地 CIDR 區塊中,輸入
0.0.0.0/0
。 - 向下捲動。
- 選取 VCN 中已有可用的 NAT 閘道。如果您沒有 NAT 閘道,請按一下取消並建立 NAT 閘道。
- 按一下建立。
- 請注意,現在已建立通往 NAT 閘道的靜態路由。
- 按一下 HUB-VCN ,從路由表詳細資訊頁面返回一頁。
-
請注意,您已建立新的路由表。
-
現在是將該路由表連結至子網路的時候了。
- 按一下子網路。
- 按一下專用子網路,即目前連附至 pfSense 執行處理的子網路。
-
按一下編輯。
- 選取剛才建立的路由表。
- 按一下儲存變更。
-
請注意,專用子網路的路由表已經變更。
-
回到 Windows 執行處理。
- 重新整理頁面.
- 向下捲動。
-
按一下接受。
-
按一下關閉。
-
請注意, Netgate Services and Support 區段將會變更。
-
儀表板頁面的回應時間也會更快。
-
使用 pfSense Web 管理介面。
- 按一下防火牆。
- 按一下規則。
-
請注意 pfSense 防火牆的預設規則。
-
下圖以視覺方式說明您所建立的項目。
-
請注意,將會使用 NAT 閘道,讓 pfSense 防火牆可以與網際網路通訊。
-
請注意,我們也在預設安全清單中開啟了 TCP/
80
和 TCP/443
連接埠。
-
工作 8:使用偵測驗證連線
-
使用 ping (ICMP) 驗證連線是測試的良好起點。
- 在 Windows 執行處理中,開啟命令提示字元,然後嘗試偵測 pfSense 防火牆 IP 位址。
- 請注意,偵測結果會顯示 100% 封包遺失。
-
要解決這個問題,我們需要:
- 在連附至 VCN 的預設安全清單上開啟「網際網路控制訊息協定 (ICMP)」。
- 在 pfSense 防火牆上開啟 ICMP。
-
讓我們從預設安全清單開始。
- 按一下左上角的漢堡選單 (按)。
- 按一下虛擬雲端網路,或瀏覽至網路和虛擬雲端網路。
-
選取您的 pfSense 防火牆已連附並具有 NAT 閘道的 VCN。
- 向下捲動。
- 按一下安全清單。
- 按一下 HUB-VCN 的預設安全清單。
-
按一下新增輸入規則以建立輸入規則。
- 在來源類型中,輸入 CIDR 。
- 在來源 CIDR 中,輸入
0.0.0.0/0
。 - 在 IP 協定中,輸入 ICMP 。
- 按一下新增傳入規則。
-
請注意我們剛新增的 ICMP 規則。
-
在 pfSense 防火牆管理介面中,按一下防火牆、規則和新增以新增規則。
-
請輸入下列資訊。
- 動作:選取通過。
- 協定:選取 ICMP 。
- ICMP 子類型:選取任一。
- 向下捲動。
- 來源:選取任一。
- 目的地:選取任一。
- 按一下儲存。
- 請注意,新的 ICMP 規則已就緒。
- 按一下套用變更,確認變更。
-
請注意,已順利套用變更。
- 在 Windows 執行處理中,開啟命令提示字元,然後嘗試偵測 pfSense 防火牆 IP 位址。
- 請注意,偵測結果會顯示 0% 封包遺失。
-
我們可以進行的另一個 ping 測試是從 pfSense 防火牆邁向網際網路。
- 按一下診斷值。
- 按一下偵測。
- 在主機名稱中,輸入
8.8.8.8
。 - 按一下偵測。
-
請注意,偵測結果會顯示 0% 封包遺失。
-
下圖以視覺方式說明您所建立的項目。請注意,我們也已在預設安全清單中開啟 ICMP。
認可
- 作者 - Iwan Hoogendoorn (OCI 網路專家)
其他學習資源
瀏覽 docs.oracle.com/learn 的其他實驗室,或前往 Oracle Learning YouTube 頻道存取更多免費學習內容。此外,請造訪 education.oracle.com/learning-explorer 以成為 Oracle Learning Explorer。
如需產品文件,請造訪 Oracle Help Center 。
Install a pfSense Firewall in Oracle Cloud Infrastructure
F99952-01
June 2024