Desplegar un firewall open source pfSense
Esta guía le ayudará a desplegar su firewall open source pfSense en la nube de Confianza en solo unos minutos.
Requis
Los requisitos para este guía son los siguientes:
- Tener suscrito al plan Cloud Temple: debe disponer de su organización, su inquilino y sus accesos,
- Tener permisos sobre el módulo compute.
Este documento describe los pasos a seguir para desplegar un firewall virtual pfSense.
Deploy a pfSense open source firewall
pfSense is an open source project based on FreeBSD that allows you to set up a virtual firewall.
A pfSense firewall is managed via a web interface, so you need a second machine with a graphical interface that has an IP address in the same LAN network as the firewall in order to configure it.
We will need a set of two VMs:
- The first one will be the machine where we deploy the firewall.
- The second one will be the machine from which we will administer the firewall.
Solicitar una entrega de acceso a Internet
El primer paso consiste en recuperar la información de acceso a Internet aquí.
Debe contar con la siguiente información:
- prefijo público
- prefijo de interconexión
- pasarela any-cast
- rango IP
- AS local
- AS de Cloud Temple
- temporizadores keepalive y temporizador hold-time
- las direcciones de los servidores de rutas
Instalación y configuración de interfaces de red
A continuación, puede desplegar su máquina virtual pfSense:
- Instalación del firewall a partir de la plantilla pfSense en Console:
- Configuración de las interfaces LAN y WAN del firewall: la interfaz WAN debe estar en su vLAN de internet, su dirección IP se tomará de la subred IP que le ha proporcionado el CDS, así como la puerta de enlace predeterminada.
- Instalación de la segunda máquina de gestión.
- Configuración de la interfaz de la VM de gestión: esta máquina debe estar en la misma red que la interfaz LAN del firewall.
Acceso al Firewall
Una vez que las dos máquinas virtuales estén correctamente instaladas, la segunda etapa consiste en acceder al firewall para comenzar su configuración.
- Acceder a la interfaz web del firewall desde la VM de gestión:
- Inicio de sesión por defecto:
- nombre de usuario: admin
- contraseña: pfsense (no olvide cambiar la contraseña predeterminada)
Configuración del firewall
Esta etapa consiste en configurar los vecinos BGP del FW.
- En primer lugar, asegúrese de permitir el tráfico BGP mediante TCP 179 en 'Firewall > Rules':
- Vaya a 'Servicios > FRR BGP' para comenzar la configuración de su sesión BGP:
- Marque las dos primeras casillas y especifique el número de su AS local y los tiempos que le fueron proporcionados por el CDS.
Configuración de los vecinos BGP
En la sección Neighbors, haga clic en +Add para comenzar a crear sus vecinos BGP.
- Para cada vecino: complete su dirección IP en 'Opciones generales > Nombre/dirección':
- Ingrese el AS remoto (correspondiente al número de AS de Cloud Temple) en las opciones básicas, de la siguiente manera:
- Por último, en las opciones avanzadas, realice lo siguiente:
- Marque la casilla que define el tipo de su vecino. En nuestro caso, se trata de un servidor de rutas:
- Finalmente, no olvide guardar sus modificaciones haciendo clic en 'Guardar':
Verificación del estado de la sesión BGP con los vecinos
En Status, puede ver el estado de la sesión BGP que acaba de configurar.
Asegúrese de que el Estado BGP esté en established.
Anunciar su prefijo público
Para anunciar su prefijo público, puede crear rutas en /32 y redistribuirlas como rutas estáticas:
- en System > Routing > Rutas estáticas : cree sus rutas estáticas en /32, estableciendo la Gateway en Null4- 127.0.0.1.
- en Services > Paquete FRR > BGP > Distribución de red : active la opción de
redistribuciónlocal, seleccionando IPV4 enRedistribuirrutas estáticas de FRR.