+1

[Network] Giới thiệu về PfSense

1. Giới thiệu về pfsense

Để bảo vệ hệ thống mạng thì ta có nhiều giải pháp như sử dụng router cisco, dùng firewall cứng, firewall mềm của microsoft như ISA … Những thiết bị như trên rất tốn kinh phí vì vậy đối với các doanh nghiệp vừa và nhỏ thì giải pháp firewall mềm mã nguồn mở là một phương án hiệu quả. Pfsense là một ứng dụng có chức năng định tuyến vào tường lửa mạng và miễn phí dựa trên nền tảng FreeBSD có chức năng định tuyến và tường lửa rất mạnh. Pfsense được cấu hình qua giao diện GUI trên nền web nên có thể quản lý một cách dễ dàng. Nó hỗ trợ lọc theo địa chỉ nguồn, đích, cũng như port nguồn hay port đích đồng thời hỗ trợ định tuyến và có thể hoạt động trong chế độ bridge hay transparent. Nếu sử dụng pfsense là gateway, ta cũng có thể thấy rõ việc hỗ trợ NAT và port forward trên pfsense cũng như thực hiện cân bằng tải hay failover trên các đường mạng.

2. Các tính năng trong pfsense

2.1 Aliases

Trong pfsense, firewall không thể có 1 rule gồm nhiều nhóm IP hoặc 1 nhóm port. Vì vậy, điều ta cần làm là gom nhóm các IP, Port hoặc URL vào thành 1 alias . Một alias sẽ cho phép thay thế 1 host, 1 dải mạng, nhiều IP riêng biệt hay 1 nhóm port, URL … Alias giúp ta tiết kiệm được phần lớn thời gian nếu bạn sử dụng một cách chính xác như thay vì sử dụng hàng loạt rule để thiết lập cho nhiều địa chỉ, ta có thể sử dụng 1 rule duy nhất để gom nhóm lại.

1-300x111.jpg

2.2 NAT

nat-300x104.jpg

Pfsense có hỗ trợ nat static dưới dạng nat 1:1. Điều kiện để thực hiện được nat 1:1 là ta phải có IP public. Khi thực hiện nat 1:1 thì IP private được nat sẽ luôn ra ngoài bằng IP public tương ứng và các port cũng tương ứng trên IP public.

nat-1.1-300x100.jpg

Pfsense hỗ trợ nat outbound mặc định với Automatic outbound NAT rule generation. Để cấu hình thủ công, ta chọn Manual Outbound NAT rule generation (AON - Advanced Outbound NAT) và xóa các rule mặc định của pfsense đi đồng thời cấu hình thêm các rule outbound.

outbound-300x246.jpg

Ngoài 3 kiểu Nat: port forward, 1:1 và outbound, pfsense còn hỗ trợ NAT Npt. Phương thức này thực hiện NAT đối với Ipv6.

2.3 Firewall Rules

Là nơi lưu trữ tất cả các luật ra, vào trên pfsense. Mặc định PfSense cho phép mọi kết nối ra, vào (tại cổng LAN có sẵn rule any à any). Ta phải tạo các rule để quản lý mạng bên trong.

ab-300x138.png

2.4 Traffic shaper

Đây là tính năng giúp quản trị mạng có thể tinh chỉnh, tối ưu hóa đường truyền trong pfsense. Trong pfsense, 1 đường truyền băng thông sẽ chia ra các hàng khác nhau. Có 7 loại hàng trong pfsense:

  • Hàng qACK: dành cho các gói ACK (gói xác nhận) trong giao thức TCP ở những ứng dụng chính cần được hỗ trợ như HTTP, SMTP … luồng thông tin ACK tương đối nhỏ nhưng lại rất cần thiết để duy trì tốc độ lưu thông lớn.

  • Hàng qVoIP: dành cho những loại lưu thông cần đảm bảo độ trễ nghiêm ngặt, thường dưới 10ms như VoIP, video conferences.

  • Hàng qGames: dành cho những loại lưu thông cần đảm bảo độ trễ rất chặt chẽ, thường dưới 50ms như SSH, game online …

  • Hàng qOthersHigh: dành cho các loại ứng dụng quan trọng có tính tương tác rất cao, cần đáp ứng nhanh, cần độ trễ thấp như: NTP, DNS, SNMP …

  • Hàng qOthersDefault: dành cho các giao thức ứng dụng quan trọng có tính tương tác vừa, cần độ đáp ứng nhất định như HTTP, IMAP …

  • Hàng qOthersLow: dành cho các giao thức ứng dụng quan trọng nhưng có tính tương tác thấp như SMTP, POP3, FTP

  • Hàng qP2P: dành cho cho các ứng dụng không tương tác, không cần đáp ứng nhanh như bittorrent

Mặc định trong pfsense, các hàng sẽ có độ ưu tiên từ thấp đến cao: qP2P < qOthersLow < qOthersDefault < qOthersHigh < qGames < qACK < qVoIP.

traffic-shaper-300x193.jpg

Ta có thể chỉnh lại độ ưu tiên priority cũng như dung lượng băng thông bandwidth mặc định mà các hàng chiếm để nâng cao băng thông cho các hàng tương ứng.

Pfsense cũng hỗ trợ giới hạn tốc độ download/upload của 1 IP hoặc 1 dải IP với ta thiết lập thông số tại phần limiter. Firewall pfsense hỗ trợ chặn những ứng dụng chạy trên layer 7 – application trong mô hình OSI như sip, ftp, http … trong phần Layer 7.

limiter-300x235.jpg

layer-7-300x149.jpg

2.5 VPN

Một tính năng khác không thể thiếu đối với các gateway là VPN. Pfsense cũng hỗ trợ VPN qua 4 giao thức: IPSec, L2TP, PPTP và OpenVPN.

2.6 Monitor băng thông

Pfsense có rất nhiều plugin hỗ trợ monitor băng thông. Sau đây là 1 số plugin thông dụng:

RRD Graphs

Đây là tool mặc định có sẵn khi cài pfsense. Với RRD graphs, ta có thể theo dõi được trạng thái của server: memory, process … hay với băng thông của các đường truyền LAN, WAN …

rrd-300x207.jpg

Một nhược điểm của RRD Graphs là không theo dõi được dung lượng từng IP.

Lightsquid

Lightsquid là package hỗ trợ xem report trên pfsense sau khi đã cài gói squid.

lightsquid-238x300.jpg

Với Lightsquid, ta có thể check dung lượng mỗi IP sử dụng theo ngày. Tổng dung lượng ngày hôm đó sử dụng hay các trang web đã vào …

BandwidthD

1 plugin nữa có thể monitor dung lượng sử dụng của IP là BandwidthD.

bandwidthd-300x135.jpg

BandwidthD thống kê dữ liệu theo từng IP, dung lượng gửi, nhận, các giao thức sử dụng như FTP, HTTP …

Ntop

1 plugin thường được sử dụng nữa là Ntop. Với Ntop, ta có thể theo dõi băng thông hiện tại IP nào sử dụng lớn nhất, dung lượng tải của cổng, kết nối tới internet …

ntop_2-300x191.jpg

ntop-300x145.jpg

3. Tổng kết

Hoàn toàn miễn phí, giá cả là ưu thế vượt trội của tường lửa pfsense. Tuy nhiên, rẻ không có nghĩa là kém chất lượng, tường lửa pfsense hoạt động rất ổn định với hiệu năng cao, tối ưu hóa mã nguồn và hệ điều hành. Vì vậy pfsense không cần phần cứng phải mạnh. Pfsense hoạt động như một thiết bị mạng tổng hợp với đây đủ tính năng và sẵn sàng bất cứ lúc nào. Pfsense hỗ trợ rất nhiều plugin để thiết lập thêm các tính năng hữu ích mà người dùng thấy cần thiết. Như vậy, tường lửa pfSense là sự kết hợp hoàn hảo và mạnh mẽ, đem lại sự hợp lý cho các nhà tài chính, và sự tin tưởng cho các nhà quản trị.

tuong-lua-3-300x225.jpg

Với các tính năng, lợi ích và các ưu thế của mình, pfsense cho thấy đây là tường lửa đáng để các nhà quản trị mạng tìm hiểu và thử nghiệm sử dụng.


All rights reserved

Viblo
Hãy đăng ký một tài khoản Viblo để nhận được nhiều bài viết thú vị hơn.
Đăng kí