router/pfsense
ESXiで下図のようなネットワークを構築した。
仮想マシンpfsense(192.168.0.72)に複数のNICを持たせ内部ルーターに仕立ててみた。
方法はいろいろありますが、こちらでは192.168.0.0/24からpfsenseを操作できる事を念頭に、加えNAT機能は外して、Firewall機能だけを使えるように作ってみた

2016y05m04d_114534690.png

初期化とIP付与

router/pfsense#fa8f2025のようにインストールを完了させます。既にインストールされていれば、
pfsenseのコンソール画面で「4)Reset to factory defaults」を選択して、工場出荷前状態にリセットします。

  • Enter an option: 4
  • You are about to reset the firewall to factory defaults.
    The firewall will reboot after resetting the configuration.
    All additional packages installed will be removed.
    Do you want to proceed [y|n]? y
    y」と入力

ここで再起動が行われます。
再起動が完了して、暫くするとpfsenseのコンソール画面に戻ります。
合計4つのNICを設けたのだが、wanとlanのみが勝手に決められる。
2016y05m04d_220953750.png
この設定からlanを外して、wanのipアドレスを192.168.0.72にします。
コンソール画面で「1)Reset to factory defaults」を選択して

  • Do you want to set up VLANs now [y|n]
    n」と入力
  • Enter the WAN interface name or 'a' for auto-detection
    (em0 em1 em2 em3 or a): em0
    em0」と入力
  • Enter the LAN interface name or 'a' for auto-detection
    NOTE: this enables full Firewalling/NAT mode.
    (em1 em2 em3 a or nothing if finished): <リターン>
    そのままリターン」と入力
  • Do you want to proceed [y|n]?
    y」と入力
  • Would you like to remove the LAN IP address and
    unload the interface now [y|n]?
    y」と入力

これでネットワークの再設定が行われ、wanのみが有効になりました。
2016y05m04d_222711767.png

ですが、DHCP由来のIPであるため固定IPの付与を行います。
コンソール画面で「2)Set interface(s) IP address」を選択して

  • Configure IPv4 address WAN interface via DHCP? (y/n)
    n」と入力
  • Enter the new WAN IPv4 address. Press <ENTER> for none:
    192.168.0.72」と入力
  • Enter the new WAN IPv4 subnet bit count (1 to 31):
    24」と入力
  • For a WAN, enter the new WAN IPv4 upstream gateway address.
    For a LAN, press <ENTER> for none:
    192.168.0.1」と入力
  • Configure IPv6 address WAN interface via DHCP6? (y/n)
    n」と入力
  • Enter the new WAN IPv6 address. Press <ENTER> for none:
    そのままリターン」と入力
  • Do you want to enable the DHCP server on WAN? (y/n)
    n」と入力
  • Do you want to revert to HTTP as the webConfigurator protocol? (y/n)
    y」と入力

これでDHCPで割り当てていたwanのアドレスが192.168.0.72に書き換えられた。

NAT無効化

wan側からpfsense(192.168.0.72)にwebブラウザでアクセスします。
初期状態ならアカウントはadmin、パスワードはpfsenseです。
ログイン直後から「pfSense Setup」画面になりますが、無視します。上部のpfsenseアイコンをクリックしてこのwizardから抜けてください。
*同様のものはメニュー「System」->「Setup Wizard」で行えます

NATを無効にするには、メニュー「Firewall」->「NAT」から「Outbound」タブを開きます。
そして、「General Logging Options」から「Disable Outbound NAT rule generation」を選択して「Save」を押下します。
2016y05m05d_000453574.png
引き続き表示される「Apply Changes」ボタンも押下します。

wan側からpfsenseへのアクセスルール付与

今現在wanしか定義されていません。なのでメニュー「Firewall」->「Rules」から「WAN」タブで表示されるwan側のルールに
2016y05m05d_001148047.png
Anti-Lockout Rule」が存在します。これによってwan側からpfsenseへのアクセスが許可されている。だが、このルールは、lanを追加すると消えます
なので、消えないルールを設けます。
「Add」ボタン(上下どっちも可)を押下して、Actionは「Pass」、Interfaceは「WAN」、Address Familyは「IPv4」、Protocolは「TCP」、sourceは、「any」で、Destinationは「WAN address」、Destination port rangeはFromが80でToも80、これで「Save」ボタンを押下します。
引き続き表示される「Apply Changes」ボタンも押下します。これでwanのルールは下図となる
2016y05m05d_002300067.png
*一番下にルールが追加された

LAN(192.168.1.0/24、192.168.2.0/24、192.168.3.0/24)の追加

メニュー「Interfaces」->「(assign)」を開きます。
「Available network ports:」行の「Add」ボタンを押下して、pfsenseにネットワークを追加します。
2016y05m05d_002918080.png

3つのネットワークを追加して、「Save」ボタンを押下します。
2016y05m05d_003320015.png
3つのネットワークだが名称がなんだか.....

そして、この段階でwan側のルールから「Anti-Lockout Rule」が消える。
2016y05m05d_003704096.png
*「Block bogon networks」ルールは、「Interfaces」->「WAN」の「Block bogon networks」チェックを外すと消えます

これでpfsenseを再起動しても、wan側からアクセスできる。

LAN(192.168.1.0/24、192.168.2.0/24、192.168.3.0/24)へIPを設定

このIPが各LANでのデフォルトゲートウエイとなる。ネットワークを追加したので、メニュー「Interfaces」に「LAN」、「OPT1」、「OPT2」が表示されます。
まずは「LAN」を選び、Enableは「チェック」、IPv4 Configuration Typeは「Static IPv4」、IPv6 Configuration Typeは「None」で、IPv4 Addressは、「192.168.1.1」「24」、そして「Save」ボタンを押下する。
「OPT1」もほぼ同じだが、IPv4 Addressは「192.168.2.1」「24」とする。
「OPT2」も同様だが、IPv4 Addressは「192.168.3.1」「24」とする。
2016y05m05d_010856732.png
2016y05m05d_010657782.png

LAN(192.168.1.0/24、192.168.2.0/24、192.168.3.0/24)へのFirewallルールの設定

規定だとLANとされた 192.168.1.0/24 にはFirewallのルールが追加される。メニュー「Firewall」->「Rules」から
2016y05m05d_012049321.png
*LANの「Anti-Lockout Rule」は、メニュ「System」->「Advanced」のAnti-lockoutを有効にすると消えます
だが、OPT1やOPT2は何もルールが追加されていない。なのでLANと同じようなルールを設ける。
ただLANにはIPv6の定義が入っているが、使ってないので入れない。あとAnti-Lockout Ruleも不要なので入れない。
「OPT1」リンクを押下して、「Add」ボタンを押下する
「Edit Firewall Rule」の「Protocol」を「any」にして、「Source」を「OPT1」にして「Save」ボタンを押下する
2016y05m05d_012936547.png
2016y05m05d_012941558.png
引き続き表示される「Apply Changes」ボタンも押下します。

これでOPT1へのルールが追加されました。
2016y05m05d_013239147.png

同じ事をOPT2にも行います。

WAN(192.168.0.0/24)へのFirewallルールの設定

LAN、OPT1、OPT2と同じようにwanにも同様のルールを追加します。
2016y05m05d_223740614.png
本来これで「wan側からpfsenseへのアクセスルール付与」は上書きされるので削除して構わないかと

192.168.0.0/24ネットワーク

192.168.0.0/24には既にgateway(192.168.0.1)が存在するので、追加のルーティング情報を
192.168.0.0/24に所属するマシンに付与する必要がある。
dhcpでIPを配っているのなら、dhcp#obf6b5b2にて経路情報も配れる。
固定IPで配っているのなら下記コマンドで一時的に、ファイル(route-eth0)を作成して恒久的にすることができる。

[root@c ~]# ip route add 192.168.1.0/24 via 192.168.0.72 dev eth0   # bridge運用ならbr0
[root@c ~]# ip route add 192.168.2.0/24 via 192.168.0.72 dev eth0
[root@c ~]# ip route add 192.168.3.0/24 via 192.168.0.72 dev eth0
 
[root@c ~]# cat << _EOF_ >/etc/sysconfig/network-scripts/route-eth0
default via 192.168.0.1 dev eth0
192.168.1.0/24 via 192.168.0.72 dev eth0
192.168.2.0/24 via 192.168.0.72 dev eth0
192.168.3.0/24 via 192.168.0.72 dev eth0
_EOF_
[root@c ~]#

Default gatewayの調整

最後に大本の default gateway(192.168.0.1) の取り扱い。
こちらにも 192.168.{1,2,3}.0/24 のネットワークの宛先がどのIPになるのかを示す必要がある。
Default gatewayがリクエストを受けて、外に飛びまくって帰ってきたけど、戻し先が分からないのでは通信できません。
こちらではNECのルーターがDefault gatewayとして機能している。その設定画面を張る。
2016y05m05d_165737750.png


トップ   編集 添付 複製 名前変更     ヘルプ   最終更新のRSS
Last-modified: 2016-05-05 (木) 22:40:07 (1667d)