Lab cài đặt, cấu hình mạng doanh nghiệp với pfsense firewall
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (2.69 MB, 14 trang )
1. Mục đích
- Hiểu cách thức hoạt động của tường lửa và mối quan hệ của nó với các mạng bên
trong và bên ngồi.
- Giúp sinh viên có thể tự cài đặt, xây dựng một mạng doanh nghiệp với tường lửa
để kiểm sốt truy cập.
2. Tìm hiểu lý thuyết
2.1 Cấu hình mạng trong phần mềm mơ phỏng Vmware /Virtualbox
- Là nơi mà chúng ta có thể cấu hình mạng cho các máy ảo. - Có 3 loại card mạng
trong Vmware
Card bridge: card này sử dụng chính card mạng thật
Card NAT: card này sẽ Nat địa chỉ IP của máy thật ra một địa chỉ khác cho máy
ảo sử dụng. Card này cũng có thể kết nối ra bên ngoài Internet.
Host-only: kết nối với một card mạng ảo tương ứng ngoài máy thật mạng
VMnet Host-only và mạng vật lý hồn tồn tách biệt.
- Chúng ta có thể thêm, sửa, xóa card mạng, bật tắt DHCP, sửa dải địa chỉ ip,…
trong Virtual Network Editor.
2.2 Phần mềm Pfsense
- Pfsense là một ứng dụng có chức năng định tuyến vào tường lửa mạng và miễn
phí dựa trên nền tảng FreeBSD có chức năng định tuyến và tường lửa rất mạnh
- Các tính năng trong pfsense:
o Aliases: 1Aliases sẽ gom nhóm các IP, Port hoặc URL vào với nhau, 1 alias sẽ
cho phép thay thế 1 host, 1 dải mạng, nhiều IP riêng biệt hay 1 nhóm port, URL
o NAT:
Pfsense có hỗ trợ nat static dưới dạng nat 1:1. IP private được nat sẽ ln ra
ngồi bằng IP public tương ứng.
Nat outbound mặc định với Automatic outbound NAT rule generation.
o Firewall Rules: Là nơi lưu trữ tất cả các luật ra, vào trên pfsense. Mặc định
PfSense cho phép mọi kết nối ra, vào
o Traffic shaper: giúp quản trị mạng có thể tinh chỉnh, tối ưu hóa đường truyền
trong pfsense
o VPN: Pfsense cũng hỗ trợ VPN qua 4 giao thức: IPSec, L2TP, PPTP và
OpenVPN.
3) Thực hành
3.1) Cài đặt các máy ảo
a) Cài IP cho các máy trong cả 2 mạng
-) Tạo 2 card mạng với dải mạng 10.10.19.0/24 và LAN segment 192.168.100.0/24
-) Cài địa chỉ ip tĩnh cho máy Ubuntu Internal là 192.168.100.147
-) Cài địa chỉ ip tĩnh cho máy Window Server 2016 Internal là 192.168.100.201
-) Cài địa chỉ ip tĩnh cho máy Kali Internal là 192.168.100.3
-) Cài địa chỉ ip tĩnh cho máy Window 7 Internal là 192.168.100.5
-) Cài địa chỉ ip tĩnh cho máy Window Server External là 10.10.19.202
-) Cài địa chỉ ip tĩnh cho máy Kali External là 10.10.19.148
-) Cài đặt pfsense với địa chỉ ip là 10.10.19.1 và 192.168.100.1
-) Thiết lập interface cho cổng WAN và LAN của pfsense
b) Ping giữa các máy
-) Ubuntu Internal và Kali Internal
-) Ubuntu Internal và Window 7 Internal
-) Ubuntu Internal và Window Server Internal
-) Window Server External và Kali External
3.2) Cài đặt cấu hình pfsense firewall cho lưu lượng ICMP
a) Cấu hình ICMP cho phép các máy trong mạng Internal ping được ra các máy ở
mạng External, không cho phép ping vào trong mạng Internal.
-) Máy Ubuntu Internal có thể ping đến máy Window Server 2016 External cịn
máy Win Server khơng thể ping đến máy Ubuntu
-) Thiết lập rules để các máy External ping được đến interface 10.10.19.1
Trả lời câu hỏi:
- Trong giao diện mạng Internal có 2 cổng TCP được mở: Cổng 80(HTTP), Cổng
22(ssh)
- Trong giao diện mạng External có 1 cổng TCP được mở: Cổng 80(HTTP)
3.3) Cài đặt cấu hình pfsense firewall cho phép chuyển hướng lưu lượng tới
các máy trong mạng Internal
a) Cấu hình tường lửa cho phép 1 cổng và chuyển hướng lưu lượng:
-) Bật SSH trên máy pfsense
-) Cấu hình cho phép cổng SSH trên IP 192.168.100.147 được truy cập từ bên
ngồi thơng qua port forwarding.
-) Tạo Rules cho phép truy cập cổng 22 của máy Ubuntu Internal
-) Kiểm tra bằng cách truy cập ssh tới 10.10.19.1, rồi gõ ifconfig để kiểm tra IP
máy
-) Kiểm tra các cổng được phép truy cập trên mạng Internal bằng cách gõ lệnh trên
máy Kali Linux trong mạng Internal: nmap 192.168.100.1
