Desplegar un firewall opensource pfSense
Esta guía le ayudará a desplegar su firewall opensource pfSense en el Cloud de Confianza en solo unos minutos.
Prerrequisitos
Los prerrequisitos para esta guía son los siguientes:
- Haber suscrito el producto Cloud Temple: debe disponer de su organización, su tenant y su acceso,
- Contar con los permisos sobre el módulo de compute.
Este documento describe los pasos a seguir para implementar un firewall virtual pfSense.
Desplegar un firewall open source pfSense
pfSense es un proyecto open source basado en freeBSD que permite implementar un firewall virtual.
Un firewall pfSense se administra a través de una interfaz web, por lo que es necesario disponer de una segunda máquina con una interfaz gráfica que tenga una dirección IP en la misma red LAN que el firewall para poder configurarlo.
Necesitaremos un conjunto de dos VM:
- la primera será la máquina en la que desplegaremos el firewall
- la segunda será la máquina desde la cual administraremos el firewall.
Solicitar la entrega de acceso a internet
El primer paso consiste en obtener la información de acceso a internet aquí. Debe contar con la siguiente información:
- prefijo público
- prefijo de interconexión
- puerta de enlace anycast
- rango de IP
- AS local
- AS de Cloud Temple
- temporizadores keepalive y el temporizador hold-time
- las direcciones de los servidores de rutas
Instalación y configuración de red de las interfaces
A continuación, puede desplegar su vm pfSense :
- Instalación del firewall desde la plantilla pfSense en la Consola :
- Configuración de las interfaces LAN y WAN del firewall : la interfaz WAN debe estar en su vLAN de internet, su IP se asignará dentro del rango IP que le fue proporcionado por el CDS, al igual que la gateway predeterminada.
- Instalación de la segunda máquina de gestión.
- Configuración de la interfaz de la VM de gestión : esta máquina debe estar en la misma red en la que se configuró la interfaz LAN del firewall.
Acceso al Firewall
Una vez que las dos VM están correctamente instaladas, el segundo paso consiste en acceder al firewall para comenzar su configuración.
- acceder a la interfaz web del firewall desde la vm de gestión :
- inicio de sesión predeterminado :
- nombre de usuario : admin
- contraseña : pfsense (no olvide cambiar la contraseña predeterminada)
Configuración del firewall
Este paso consiste en configurar los vecinos BGP del FW.
- en primer lugar, recuerde autorizar el flujo BGP en TCP 179 en 'Firewall > Rules' :
- vaya a 'services > FRR BGP' para comenzar la configuración de su sesión BGP :
- marque las dos primeras casillas e indique el número de su AS local y los timers tel que le hayan sido comunicados por el CDS.
Configuración de vecinos BGP
En Vecinos, haga clic en +Añadir para comenzar a crear sus vecinos BGP.
- Para cada vecino: ingrese su dirección IP en 'Opciones generales > Nombre/dirección'
- ingrese el AS remoto (correspondiente al número de AS de cloud temple) en las opciones básicas de la siguiente manera:
- y finalmente, en las opciones avanzadas, configure lo siguiente:
- marque la casilla que define el tipo de su vecino. En nuestro caso, es
un servidor de rutas:
- al final, no olvide guardar sus cambios haciendo clic en 'Guardar':
Verificación del estado de la sesión BGP con los vecinos
En Status, puede ver el estado de la sesión BGP que acaba de configurar
Asegúrese de que el BGP State esté en established.
Anunciar su prefijo público
Para anunciar su prefijo público, puede crear rutas en /32 y realizar la redistribución estática:
- en System > Routing > Static Routes : cree sus rutas estáticas en /32 estableciendo la Gateway en Null4- 127.0.0.1
- en Services > FRR package > BGP > Network Distribution : active la
redistributionlocal seleccionando IPV4 enReditributeFRR static routes.