在 Oracle Cloud Infrastructure 中安裝 pfSense 防火牆

簡介

注意：Netgate 或 Oracle 不會在 Oracle Cloud Infrastructure 正式支援 pfSense。請先聯絡 pfSense 支援團隊，再嘗試此教學課程。

pfSense 是一種防火牆，可用於生產或測試用途，您可以在其中模擬 Oracle Cloud Infrastructure (OCI) 原生防火牆服務。此 pfSense 防火牆設定可在集線器內使用，並且支點 VCN 路由情況。

下圖說明當您完成部署與組態時，環境的外觀。

目標

在 OCI 內設定 pfSense 防火牆。我們會對路由和安全清單進行調整，以便能夠正確管理 pfSense 防火牆，並會進行一些 ICMP 測試來驗證連線。

必要條件

在我們開始在 OCI 內設定 pfSense 防火牆之前，請先讓另一個執行處理使用其 Web 瀏覽器連線至新的 pfSense 防火牆，以在 pfSense 防火牆上執行管理。在本教學課程中，我們已建立 Windows 執行處理來執行此操作。請確定您有類似的東西。

工作 1：下載 pfSense 影像

從 Netgate 網站下載 pfSense 映像檔。請務必下載 memstick-serial 版本。我們使用的映像檔檔案名稱為 pfSense-CE-memstick-serial-2.7.2-RELEASE-amd64.img.gz。如需詳細資訊，請參閱 Netgate 。
1. 影像的格式為 .gz。
2. 如果您使用 OS X，請在壓縮檔案上按一下滑鼠右鍵，然後按一下開啟方式。
3. 選取封存公用程式 (預設) 以解壓縮影像。
請注意，影像檔案名稱為 pfSense-CE-memstick-serial-2.7.2-RELEASE-amd64.img。

作業 2：建立 OCI 物件儲存的儲存桶

在這項任務中，我們將建立一個 OCI Object Storage 貯體，用於上傳 pfSense 映像檔並用於建立自訂映像檔。

建立儲存桶。
1. 按一下左上角的漢堡選單 (按)。
2. 按一下儲存體 (Storage) 。
3. 按一下儲存設定 (Bucket) 。
按一下建立儲存桶。
1. 輸入時段名稱。
2. 選取標準儲存層作為預設儲存層。
3. 按一下建立。
請注意，儲存的儲存桶已建立。

工作 3：將 pfSense 映像檔上傳至儲存的儲存桶

上傳我們在「任務 1」中下載的影像。
1. 向下捲動。
2. 按一下上傳。
在上傳物件畫面中，輸入下列資訊。
1. 輸入物件名稱前置碼。
2. 選取標準作為儲存層。
3. 按一下選取檔案，然後選取 pfSense 影像。
4. 當您選取 pfSense 影像之後，就會在下列區段中看到該影像。
5. 按一下上傳。
當 pfSense 映像檔上傳到儲存的儲存桶時，您可以監控進度。
1. 完整上傳 pfSense 影像時，進度狀態將會是已完成。
2. 按一下關閉。

工作 4：建立自訂影像

我們已上傳 pfSense 影像。現在，我們必須從此上傳的映像檔建立自訂 OCI 映像檔。此自訂 OCI 映像檔將用於建立 pfSense 防火牆執行處理。

建立自訂映像檔。
1. 按一下左上角的漢堡選單 (按)。
2. 按一下計算。
3. 按一下自訂影像。
按一下匯入影像。
在匯入影像區段中，輸入下列資訊。
1. 輸入 name 。
2. 選取通用 Linux 作為作業系統。
3. 選取從物件儲存的儲存桶匯入。
4. 選取您上傳映像檔的儲存桶。
5. 在物件名稱中，選取 pfSense 影像。
6. 選取 VMDK 作為影像類型。
7. 向下捲動。
將其他欄位保持為預設值，然後按一下匯入影像。
1. 請注意，狀態為 IMPORTING 。
2. 向下捲動。
1. 請注意，狀態為進行中。
2. 監督進度。
1. 幾分鐘之後，狀態為 AVAILABLE ，狀態將會變更為成功 (Succeeded) 。
2. 完成 % 將會是 100% 。

工作 5：使用自訂 pfSense 影像建立執行處理

建立執行處理。
1. 按一下左上角的漢堡選單 (按)。
2. 按一下計算。
3. 按一下執行處理。
1. 按一下建立執行處理。
1. 輸入執行處理名稱。
2. 向下捲動。
按一下變更影像。
1. 選取我的影像。
2. 選取自訂影像。
3. 向下捲動。
1. 選取在「任務 4」中建立的自訂影像。
2. 按一下選取影像。
1. 請注意，已選取 pfSense 影像。
2. 向下捲動。
1. 在主要網路中，選取選取現有的虛擬雲端網路。
2. 選取要連附至 pfSense 執行處理的 VCN 。
3. 在子網路中，選取選取現有的子網路。
4. 選取要連附至 pfSense 執行處理的子網路。
5. 向下捲動。
1. 選取手動指定專用 IPv4 位址。
2. 輸入 IPv4 位址。
3. 向下捲動。
1. 選取沒有 SSH 金鑰。
2. 向下捲動。
按一下建立。
請注意，狀態為 PROVISIONING 。
幾分鐘之後，狀態將會變更為執行。
下圖說明您所建立內容的視覺表示法。

工作 6：在執行處理上安裝 pfSense

我們需要進行初始安裝及設定 pfSense 防火牆。我們已經有執行中的執行處理。

若要安裝 pfSense 防火牆軟體，我們需要建立主控台連線。
1. 向下捲動。
2. 按一下主控台連線。
3. 按一下啟動 Cloud Shell 連線。
請注意， Cloud Shell 視窗將會開啟。
將會顯示一些啟動訊息。按 ENTER 。
讀取著作權訊息並選取接受，然後按 ENTER 。
1. 選取安裝 pfSense 。
2. 選取確定 (OK) ，然後按 ENTER 。
1. 選取手動設定磁碟 (專家) 。
2. 選取確定 (OK) ，然後按 ENTER 。
1. 選取 da0 - 47 GB MBR 。
2. 選取建立 (Create) ，然後按 ENTER 。
1. 在類型中，輸入 freebsd 。
2. 在大小中，輸入 46 GB 。
3. 輸入掛載點。
4. 選取確定 (OK) ，然後按 ENTER 。
1. 在 da0s4 中，選取 46 GB BSD 。
2. 選取建立 (Create) ，然後按 ENTER 。
1. 在類型中，輸入 freebsd-ufs 。
2. 在大小中，輸入 40 GB 。
3. 在掛載點中，輸入 / 。
4. 選取確定 (OK) ，然後按 ENTER 。
1. 請注意，已為 / 建立掛載點。
2. 在 da0s4 中，輸入 46 GB BSD 。
3. 選取建立 (Create) ，然後按 ENTER 。
1. 在類型中，輸入 freebsd-swap 。
2. 在大小中，輸入 5770 MB 。
3. 輸入掛載點。
4. 選取確定 (OK) ，然後按 ENTER 。
1. 請注意，已建立用於交換的掛載點。
2. 選取完成 (Finish) ，然後按 ENTER
選取確認 (Commit) 並按 ENTER 。
安裝將會啟動初始化設定。

安裝會進行快速的總和檢查驗證。

安裝會進行封存擷取。
您會收到一則訊息找不到現有的 config.xml 檔案！，因為這是新的安裝。
選取重新開機，然後按 ENTER 。
在第一次重新啟動之後，會得到一些配置選項以配置 WAN 介面。
對於應設定 VLANS ，輸入 n 並按 ENTER 。
若為輸入 WAN 介面名稱或自動偵測 (vtnet0 或 a) 的 'a' ，請輸入 vtnet0。
在此設定中，我們只建立一個具有一個介面的防火牆，因此不會配置 LAN 介面，因此，對於輸入 LAN 介面名稱或 'a' 代表自動偵測，請按 ENTER 以略過此介面設定。
1. 驗證 WAN 介面名稱。
2. 在要繼續嗎中，輸入 y 並按 ENTER 。
請注意某些訊息和組態將會完成。
pfSense 作業系統將執行完整啟動。
1. 您會看到將使用 DHCP 配置 IP 位址。
2. 請注意，pfSense 功能表會執行一些額外的基本組態。

作業 7：連線至 pfSense Web 圖形使用者介面 (GUI)，並完成初始設定

安裝已完成，現在我們需要連線至 pfSense 防火牆的 Web 介面。但在此之前，我們必須先在 VCN 的安全清單中開啟一些連接埠。

新增輸入規則。
1. 按一下左上角的漢堡選單 (按)。
2. 按一下虛擬雲端網路，或瀏覽至網路和虛擬雲端網路。
選取您的 pfSense 防火牆所連附的 VCN。
1. 向下捲動。
2. 按一下安全清單。
3. 按一下 HUB-VCN 的預設安全清單。
按一下新增輸入規則以建立輸入規則。
1. 在來源類型中，輸入 CIDR 。
2. 在來源 CIDR 中，為此教學課程輸入 172.16.0.128/25。這是含有 Windows 執行處理的子網路，我們將使用瀏覽器連線至 pfSense 防火牆。
3. 在 IP 協定中，輸入 TCP 。
4. 在目的地連接埠範圍中，輸入 80,443。
5. 按一下新增傳入規則 。
請注意，新增的安全規則可允許連附至 VCN 之安全清單上的 TCP/80 和 TCP/443 連接埠。這可讓您設定從 Windows 執行處理到此新 pfSense 防火牆執行處理的 HTTP 和 HTTPS 連線。
1. 瀏覽至運算和執行處理。
2. 記下您的 pfSense 防火牆 IP 位址。
1. 在您的 Windows 執行處理中，開啟瀏覽器並使用 HTTPS 瀏覽至 pfSense 防火牆 IP。
2. 請按一下進階。
按一下繼續。
1. 輸入預設使用者名稱作為 admin。
2. 輸入預設密碼為 pfsense。
3. 按一下登入。
按下一步。
按下一步。
1. 輸入主機名稱。
2. 輸入網域名稱或保留網域名稱預設值。
3. 向下捲動。
按下一步。
按下一步。

注意：如果您進入網路，這可能會有點奇怪，因為我們已在建立執行處理時指定使用靜態 IPv4 位址。在此特定情況下，Oracle 會將靜態 IP 保留在其 DHCP 伺服器中，並將此位址指定給 pfSense 防火牆。因此，pfSense 防火牆一律會取得相同的 IP 位址，但從 OCI 的角度來看，這將會是靜態 IP，從 pfSense 的角度來看，這將會是 DHCP 位址。
1. 在設定 WAN 介面中，選取 DHCP 。
2. 向下捲動。
1. 預設保留所有 IP 位址設定。
2. 向下捲動。
向下捲動。
按下一步。
1. 輸入新的管理密碼。
2. 再次輸入管理密碼。
3. 按下一步。
按一下「重新載入」。
請注意，已重新載入 pfSense 防火牆配置。
向下捲動。
按一下完成。
向下捲動。
按一下接受。
按一下關閉。
下圖以視覺方式說明您所建立的項目。請注意，我們將使用 Windows 步進石材連接到 pfSense 防火牆。
如果 pfSense 防火牆無法連線網際網路，儀表板頁面將需要一些較長的載入時間。不過，您可以使用 OCI NAT 閘道將 pfSense 防火牆允許網際網路進行修正。
1. 請注意，已安裝 pfSense 防火牆且可看見儀表板。
2. 請注意，無法使用支援資訊。這是因為專用子網路上已安裝 pfSense 防火牆，而且此專用子網路預設無法連線網際網路。
讓我們將網際網路流量遞送至 NAT 閘道。請確定 VCN 中有 NAT 閘道。
1. 按一下左上角的漢堡選單 (按)。
2. 按一下虛擬雲端網路，或瀏覽至網路和虛擬雲端網路。
選取您的 pfSense 防火牆所連附且有 NAT 閘道的 VCN。
1. 按一下路由表。
2. 按一下 HUB-VCN 的預設路由表。
1. 請注意，預設路由表有一個路由，會將所有流量遞送至網際網路閘道。我們不需要將專用子網路的流量遞送至 NAT 閘道，因此無法使用。
2. 按一下 HUB-VCN ，從路由表詳細資訊頁面返回一頁。
若要將流量遞送至特定子網路的 NAT 閘道，我們必須建立新的路由表，然後將該路由表連附至專用子網路。按一下建立路由表。
1. 輸入名稱。
2. 在目標類型中，輸入 NAT 閘道。
3. 在目的地 CIDR 區塊中，輸入 0.0.0.0/0。
4. 向下捲動。
1. 選取 VCN 中已有可用的 NAT 閘道。如果您沒有 NAT 閘道，請按一下取消並建立 NAT 閘道。
2. 按一下建立。
1. 請注意，現在已建立通往 NAT 閘道的靜態路由。
2. 按一下 HUB-VCN ，從路由表詳細資訊頁面返回一頁。
請注意，您已建立新的路由表。

現在是將該路由表連結至子網路的時候了。
1. 按一下子網路。
2. 按一下專用子網路，即目前連附至 pfSense 執行處理的子網路。
按一下編輯。
1. 選取剛才建立的路由表。
2. 按一下儲存變更。
請注意，專用子網路的路由表已經變更。
回到 Windows 執行處理。
1. 重新整理頁面.
2. 向下捲動。
按一下接受。
按一下關閉。
請注意， Netgate Services and Support 區段將會變更。
儀表板頁面的回應時間也會更快。
使用 pfSense Web 管理介面。
1. 按一下防火牆。
2. 按一下規則。
請注意 pfSense 防火牆的預設規則。
下圖以視覺方式說明您所建立的項目。
- 請注意，將會使用 NAT 閘道，讓 pfSense 防火牆可以與網際網路通訊。
- 請注意，我們也在預設安全清單中開啟了 TCP/80 和 TCP/443 連接埠。

工作 8：使用偵測驗證連線

使用 ping (ICMP) 驗證連線是測試的良好起點。
1. 在 Windows 執行處理中，開啟命令提示字元，然後嘗試偵測 pfSense 防火牆 IP 位址。
2. 請注意，偵測結果會顯示 100% 封包遺失。
要解決這個問題，我們需要：
- 在連附至 VCN 的預設安全清單上開啟「網際網路控制訊息協定 (ICMP)」。
- 在 pfSense 防火牆上開啟 ICMP。
讓我們從預設安全清單開始。
1. 按一下左上角的漢堡選單 (按)。
2. 按一下虛擬雲端網路，或瀏覽至網路和虛擬雲端網路。
選取您的 pfSense 防火牆已連附並具有 NAT 閘道的 VCN。
1. 向下捲動。
2. 按一下安全清單。
3. 按一下 HUB-VCN 的預設安全清單。
按一下新增輸入規則以建立輸入規則。

在來源類型中，輸入 CIDR 。
在來源 CIDR 中，輸入 0.0.0.0/0。
在 IP 協定中，輸入 ICMP 。
按一下新增傳入規則。

請注意我們剛新增的 ICMP 規則。
在 pfSense 防火牆管理介面中，按一下防火牆、規則和新增以新增規則。

請輸入下列資訊。
1. 動作：選取通過。
2. 協定：選取 ICMP 。
3. ICMP 子類型：選取任一。
4. 向下捲動。
1. 來源：選取任一。
2. 目的地：選取任一。
3. 按一下儲存。
1. 請注意，新的 ICMP 規則已就緒。
2. 按一下套用變更，確認變更。
請注意，已順利套用變更。
1. 在 Windows 執行處理中，開啟命令提示字元，然後嘗試偵測 pfSense 防火牆 IP 位址。
2. 請注意，偵測結果會顯示 0% 封包遺失。
我們可以進行的另一個 ping 測試是從 pfSense 防火牆邁向網際網路。
1. 按一下診斷值。
2. 按一下偵測。
1. 在主機名稱中，輸入 8.8.8.8。
2. 按一下偵測。
請注意，偵測結果會顯示 0% 封包遺失。
下圖以視覺方式說明您所建立的項目。請注意，我們也已在預設安全清單中開啟 ICMP。