Firewall Pfsense Và Smoothwall(Linux)

KHOA CÔNG NGHỆ THÔNG TIN

=======0o0=======

BÁO CÁO THUYẾT TRÌNH LINUX

ĐỀ TÀI: 01

TÌM HIỂU FIREWALL PFSENSE VÀ SMOOTHWALL

 GVHD: Lê Ngọc Sơn.

 Nhóm Trình Bày:

 Nguyễn Chí Tâm-0964125.

 Đặng Quang Tân-0964127.

 Phân Công Công Việc:

Mssv

Họ Tên

Công việc

0964125

Nguyễn Chí Tâm

Tìm hiểu Smoothwall

4. Những hạn chế của Firewall... 2

II. Firewall pfSense. ... 3

1.Giới thiệu Firewall Pfsense:... 3

2. Một số chức năng chính của Firewall Pfsense: 2.1: Aliases. ... 3

2.2: Rules (Luật). ... 4

2.3: Firewall Schedules. ... 5

2.4: NAT. ... 6

2.5: Traffic shaper (Quản lý băng thông). . ... 7

2.6: Virtual Ips. ... 9 3.Một số dịch vụ của pfsense 3.1: captive portal ... 10 3.2: DHCP Server. ... 11 3.3: DHCP Relay. ... 12 3.4: Load Balancing. ... 13 3.5: VPN PPTP. Để sử dụng chức năng này bạn vào VPN => PPTP. ... 13 3.6: Một số chức năng khác. ... 15 4. Mô Hình. ... 15

5. Cài đặt Fimrewall pfsense, Cấu hình interface và DHCP server. ... 16

5.1: Cài Đặt Pfsense. ... 16

5.2: Cấu hình card mạng cho máy Pfsense. ... 26

5.3: Đặt IP và thiết lập DHCP cấp phát vào bên trong mạng LAN... 27

5.4: Máy Client xin IP do PFSENSE cấp phát ... 29

6. Tiến hành cấu hình một số dịch vụ trong Pfsense:………31

1. Giới thiệu Firewall Smoothwall. ... 63

2. Smoothwall Express có 3 mode hoạt động lúc cài đặt. ... 64

3. Các loại cấu hình Network. ... 64

4. Ưu điểm. ... 64 5. Hạn chế... 65 6. Một số chức năng trong Smoothwall. ... 65 6.1. Ip block: ... 65 6.2 . WebProxy: ... 66 6.3. Outgoing: ... 67 6.4. IDS: ... 68 6.5. Remote Access: ... 69 6.6. DHCP: ... 70 6.7. Timed Access: ... 71 6.8. Pop3 proxy: ... 72 6.9. Interface: ... 73 6.10. Time. ... 74 6.11. Static dns: ... 75 6.12. IM proxy. ... 76

7. Cài đặt và Cấu hình Smoothwall: ... 77

7.1. Cài Đặt: Cho đĩa cd hoặc file iso Smoothwall Express vào. ... 77

7.2.Cấu hình Smoothwall. ... 89

7.3. Cấu hình DHCP. ... 91

7.4. Cấu hình web proxy. ... 93

7.5. Cấu hình IDS(snort): ... 95

Firewall Trên Linux

Page 1

I.

Firmewall là gì?

1. Định nghĩa.

 Thuật ngữ Firewall có nguồn gốc từ một kỹ thuật thiết kế trong xây dựng để ngăn chặn, hạn chế hoả hoạn. Trong công nghệ mạng thông tin, Firewall là một kỹ thuật được tích hợp vào hệ thống mạng để chống sự truy cập trái phép, nhằm bảo vệ các nguồn thông tin nội bộ và hạn chế sự xâm nhập không mong muốn vào hệ thống. Cũng có thể hiểu Firewall là một cơ chế (mechanism) để bảo vệ mạng tin tưởng (Trusted network) khỏi các mạng không tin tưởng (Untrusted network).

 Thông thường Firewall được đặt giữa mạng bên trong (Intranet) của một công ty, tổ chức, ngành hay một quốc gia, và Internet. Vai trò chính là bảo mật thông tin, ngăn chặn sự truy nhập không mong muốn từ bên ngoài (Internet) và cấm truy nhập từ bên trong (Intranet) tới một số địa chỉ nhất định trên Internet.

 Internet FireWall là một tập hợp thiết bị (bao gồm phần cứng và phần mềm) giữa mạng của một tổ chức, một công ty, hay một quốc gia (Intranet) và Internet:

2. Chức năng.

Chức năng chính của Firewall là kiểm soát luồng thông tin giữa Intranet và Internet.

Intranet

_firewall

_Internet

Cụ thể:

 Cho phép hoặc cấm những dịch vụ từ bên trong truy nhập ra ngoài.

 Kiểm soát ngời sử dụng và việc truy nhập của ngời sử dụng.

Firewall Trên Linux

Page 2

 Kiểm soát địa chỉ truy nhập, cấm địa chỉ truy nhập.

 Theo dõi luồng dữ liệu mạng giữa bên trong (Intranet) và bên ngoài (Internet).

 …

3. Các thành phần của Firemwall

Firewall chuẩn bao gồm một hay nhiều các thành phần sau đây:

 Bộ lọc packet (packet-filtering router)

 Cổng ứng dụng (application-level gateway hay proxy server)

 Cổng mạch (circuite level gateway)

4. Những hạn chế của Firewall.

 Firewall kh«ng ®ñ th«ng minh nh- con ng-êi ®Ó cã thÓ ®äc hiÓu tõng lo¹i th«ng tin vµ ph©n tÝch néi dung tèt hay xÊu cña nã. Firewall chØ cã thÓ ng¨n chÆn sù x©m nhËp cña nh÷ng nguån th«ng tin kh«ng mong muèn nh-ng ph¶i x¸c ®Þnh râ c¸c th«ng sè ®Þa chØ.

 Firewall kh«ng thÓ ng¨n chÆn mét cuéc tÊn c«ng nÕu cuéc tÊn c«ng nµy kh«ng "®i qua" nã. Mét c¸ch cô thÓ, firewall kh«ng thÓ chèng l¹i mét cuéc tÊn c«ng tõ mét ®-êng dial-up, hoÆc sù rß rØ th«ng tin do d÷ liÖu bÞ sao chÐp bÊt hîp ph¸p lªn ®Üa mÒm.

 Firewall còng kh«ng thÓ chèng l¹i c¸c cuéc tÊn c«ng b»ng d÷ liÖu (data-driven attack). Khi cã mét sè ch-¬ng tr×nh ®-îc chuyÓn theo th- ®iÖn tö, v-ît qua firewall vµo trong m¹ng ®-îc b¶o vÖ vµ b¾t ®Çu ho¹t ®éng ë ®©y.

 Mét vÝ dô lµ c¸c virus m¸y tÝnh. Firewall kh«ng thÓ lµm nhiÖm vô rµ quÐt virus trªn c¸c d÷ liÖu ®-îc chuyÓn qua nã, do tèc ®é lµm viÖc, sù xuÊt hiÖn liªn tôc cña c¸c virus míi vµ do cã rÊt nhiÒu c¸ch ®Ó m· hãa d÷ liÖu, tho¸t khái kh¶ n¨ng kiÓm so¸t cña firewall.

Firewall Trên Linux

Page 3

II.

Firewall pfSense.

1. Giới thiệu Firewall Pfsense:

 Pfsense là một phiên bản mã nguồn mở, miễn phí, được tùy chỉnh cho bản phân phối FreeBSD để sử dụng như firewall hay router .

 Pfsense có thể được quản trị dễ dàng bằng giao diện web.

 Pfsense bao gồm rất nhiều tính năng và được ứng dụng rộng rãi từ SOHO cho tới các tổ

 PfSense là một gói phần mềm firewall hoàn chỉnh, nó có thể được cài đặt trên một PC hay một embedded PC.Với phần mềm miễn phí được phát triển trên phiên bản của FreeBSD, Pfsense được cài đặt đơn giản, tương thích với một PC cấu hình thấp.

 Đặc điểm cũng khá quan trọng là cấu hình để cài đặt và sử dụng phần mềm Pfsense không đòi hỏi phải cao như những phần mềm mới hiện nay. Chúng ta chỉ cần một máy tính P3, Ram 128, HDD 1GB thì cũng đủ để dựng nên một tường lửa Pfsense bảo vệ mạng bện trong

2.

Một số chức năng chính của Firewall Pfsense:

2.1: Aliases.

 Với tính năng này chúng ta có thể gom nhóm các ports, hosts hoặc Network(s) khác nhau và đặt cho chúng một cái tên chung để thiết lập nhưng quy tắc được dễ dàng và nhanh chóng hơn. Để vào Aliases của pfsense vào Firewall → Aliases.

Firewall Trên Linux

Page 4

 Các thành phần trong Aliases:

- Hosts : tạo nhóm các địa chỉ IP

- Network : tạo nhóm các mạng

- Port : Cho phép gom nhóm các port nhưng không cho phép tạo nhóm

các protocol. Các protocol được sử dụng trong các rule

2.2: Rules (Luật).

 Nơi lưu các rules (Luật) của Firewall. Để vào Rules của pfsense vào Firewall → Rules.

Firewall Trên Linux

Page 5

 Mặc định pfsense cho phép mọi trafic ra/vào hệ thống .Bạn phải tạo ra các rules để quản lí mạng bên trong firewall.

 Một số lựa chọn trong Destination và Source. - Any : tất cả

- Single host or alias: Một địa chỉ ip hoặc là một bí danh. - Lan subnet: Đường mạng Lan

- Network : Địa chỉ mạng

- Lan address: Tất cả địa chỉ mạng nội bộ - Wan address: Tất cả địa chỉ mạng bên ngoài

- PPTP clients: Các clients thực hiện kết nối VPN sử dụng giao thức PPTP - PPPoE clients: Các clients thực hiện kết nối VPN sử dụng giao thức PPPoE

2.3: Firewall Schedules.

 Các Firewall rules có thể được sắp xếp để nó có chỉ hoạt động vào các thời điểm nhất định trong ngày hoặc vào những ngày nhất định cụ thể hoặc các ngày trong tuần.

 Đây là một cơ chế rất hay vì nó thực tế với những yêu cầu của các doanh nghiệp muốn quản lí nhân viên sử dụng internet trong giò hành chính.

 Để tạo một Schedules mới vào Firewall => Schedules : Nhấn dấu +

 ví dụ: ở đây Tạo lịch tên GioLamViec của tháng 11 Từ thứ hai đến thứ bẩy và thời gian từ 7giờ đến 17 giờ.

Firewall Trên Linux

Page 6

 Sau khi tạo xong nhấn Add Time => Save.

2.4: NAT.

 Trong Firewall bạn cũng có thể cấu hình các thiết lập NAT nếu cần sử dụng cổng chuyển tiếp cho các dịch vụ hoặc cấu hình NAT tĩnh (1:1) cho các host cụ thể.

 Thiết lập mặc định của NAT cho các kết nối outbound là Automatic outboundt NAT…, tuy nhiên bạn có thể thay đổi kiểu Manual outboundt NAT… nếu cần.

 Ví dụ: ở đây ta NAT qua port 1723(PPTP) cho cấu hình VPN với IP NAT là: 192.168.2.100

Firewall Trên Linux

Page 7

2.5: Traffic shaper (Quản lý băng thông).

Với tính năng Traffic Sharper giúp bạn theo dõi và quản lí băng thông mạng dễ dàng và hiệu quả hơn.

 Để cấu hình Traffic Sharper ta chọn Firewall => Traffic Sharper =>Next

Firewall Trên Linux

Page 8

 Trong Traffic Sharper Hỗ trợ Voice IP.

 Hỗ trợ Hỗ trợ mạng ngang hàng như BitTorent , CuteMX,….

Firewall Trên Linux

Page 9

 Hỗ trợ mạng chơi game như BattleNET , Battlefield2,…và một số game trực tuyến

2.6: Virtual Ips.

Virtual IP được sử dụng để cho phép pfSense đúng cách chuyển tiếp lưu lượng cho những việc như chuyển tiếp cổng NAT, NAT Outbound, và NAT 1:1. Họ cũng cho phép các tính năng như failover, và có thể cho phép các dịch vụ trên router để gắn kết với địa chỉ IP khác nhau.

Firewall Trên Linux

Page 10

 Có thể được sử dụng bởi các bức tường lửa chính nó để chạy các dịch vụ hoặc được chuyển tiếp

 Tạo ra lớp 2 traffic cho các VIP

 Có thể được sử dụng cho clustering (tường lửa và tường lửa chủ failover chế độ chờ)

 Các VIP đã được trong cùng một subnet IP của giao diện thực

 Sẽ trả lời ICMP ping nếu được phép theo các quy tắc tường lửa.  Proxy ARP.

 Không thể được sử dụng bởi các bức tường lửa chính nó, nhưng có thể được chuyển tiếp

 Tạo ra lớp 2 giao thông cho các VIP

 Các VIP có thể được trong một subnet khác với IP của giao diện thực

 Không trả lời gói tin ICMP ping.  Other.

 Có thể được sử dụng nếu các tuyến đường cung cấp cho bạn VIP của bạn dù sao mà không cần thông báo lớp 2

 Không thể được sử dụng bởi các bức tường lửa chính nó, nhưng có thể được chuyển tiếp

 Các VIP có thể được trong một subnet khác với các giao diện IP

 Không trả lời ICMP Ping.

3. Một số dịch vụ của pfsense 3.1: captive portal

Captive portal cho phép admin có thể chuyển hướng client tới một trang web khác, từ trang web này client có thể phải chứng thực trước khi kết nối tới internet. Tính năng captive portal nằm ở mục Services/captive portal

Firewall Trên Linux

Page 11

 Captive portal: Tinh chỉnh các chức năng của Captive Portal.

- Enable captive portal: Đánh dấu chọn nếu muốn sử dụng captive portal. - Maximum concurrent connections:Giới hạn các connection trên mỗi

ip/user/mac

- Idle timeout:Nếu mỗi ip không còn truy cập mạng trong 1 thời gian xác định thì sẽ ngắt kết nối của ip/user/mac.

- Hard timeout: Giới hạn thời gian kết nối của mỗi ip/users/mac.

- Logout popup windows: Xuất hiện 1 popup thông báo cho ip/user/mac - Redirect URL: Địa chỉ URL mà người dùng sẽ được direct tới sau khi đăng

nhập

 Pass-though MAC: Các MAC address được cấu hình trong mục này sẽ được bỏ qua,không authentication.

 Allowed IP address: Các IP address được cấu hình sẽ không authentication.

 Users: Tạo local user để dùng kiểu authentication: local user

 File Manager: Upload trang quản lý của Captive portal lên pfsense.

Có 3 kiểu chứng thực client:

 No authentication: pfsense sẽ điều hướng người dùng tới 1 trang nhất định mà không chứng thực.

 Local user manager: pfsense hỗ trợ tạo user để chứng thực.

 Radius authentication: Chứng thực bằng radius server (Cần chỉ ra địa chỉ ip của radius, port, ...)

3.2: DHCP Server.

Dịch vụ này cho phép pfSense cấp địa chỉ IP và các thông tin cấu hình cho các client trong mạng LAN.

Firewall Trên Linux

Page 12

 Bật tính năng cấp IP động cho các máy client.

 Ta có thể gán địa chỉ IP vĩnh viễn cho bất cứ máy tính nào trên mạng.

3.3 : DHCP Relay.

 Dịch vụ này cho phép pfSense forward yêu cầu cấp IP của client nằm trong một subnet nào đó tới một DHCP server cho trước.

Firewall Trên Linux

Page 13

 Chỉ được phép chạy một trong dịch vụ DHCP server và DHCP relay

3.4: Load Balancing.

Với chức năng này bạn có thể điều phối mạng hay còn gọi là cân bằng tải mạng

Có 2 loại load balacing trên pfSense:

 Gateway load balancing: được dùng khi có nhiều kết nối WAN. Client bên trong LAN khi muốn kết nối ra ngoài Internet thì pfSense lựa chon card WAN để chuyển packet ra card đó giúp cho việc cân bằng tải cho đường truyền.

 Server load balancing: cho phép cân bằng tải cho các server của mình. Được dùng phổ biến cho các web server, mail server và server ko hoạt động nữa thì sẽ bị remove.

3.5: VPN PPTP.

Để sử dụng chức năng này bạn vào VPN => PPTP.

 Chọn Enable PPTP server để bật tính năng VPN

 Server address : Địa chỉ server mà client sẽ kết nối vào

Firewall Trên Linux

Page 14

 RADIUS : Chứng thực qua RADIUS

 Chọn Save và chuyển qua tab User để tạo tài khoản

 Cần Tạo Rules cho phép VPN client truy cập vào mạng

Firewall Trên Linux

Page 15

3.6: Một số chức năng khác.

 System Log: theo dõi mọi hoạt động của hệ thống pfSense và các dịch vụ mà pfsense cung cấp. Mọi hoạt động của hệ thống và dịch vụ đều được ghi lai.

 System Status: Liệt kê các thông tin và tình trạng của hệ thống.

 Service Status: Hiển thị trạng thái của tất cả các service co trong hệ thống. Mỗi service có hai trạng thái là: running, stopped

 Interface Status: hiển thị thông tin của tất cả card mạng.

 RRD Graph: Hiện thị các thông tin dưới dạng đồ thị.Các thông tin mà RRD Graph sẽ thể hiện là: System,Traffic,Packets,Quality,Queues.

4. Mô Hình.

 Ở mô hình này ta giả lập hai ROUTER ADSL1 và ROTER ADSL2 là 2 máy win2k3.

 Nhánh LAN thuộc đường mạng : 10.0.0.0/24.

 Ta có 2 nhánh WAN là: 192.168.1.0/24 và 192.168.2.0/24.

 Máy Firewall Pfsense có 3 card mạng: 1 card eth0 (host-only) dùng trong giao tiếp LAN (mạng bên trong) và 2 card Bright (eth1 và eth2) dùng giao tiếp WAN ( mạng bên ngoài)

 Router ADSL1: 192.168.1.200

Firewall Trên Linux

Page 16

 eth0: 10.0.0.10/24

 eth1: 192.168.1.100/24

 eth2: 192.168.2.100/24

5. Cài đặt Fimrewall pfsense, Cấu hình interface và DHCP server. 5.1: Cài Đặt Pfsense.

Trên máy tính cài Pfsense chúng ta bỏ đĩa pfSense-1.2.3-LiveCD.iso vào để cài đặt

 Màn hình Welcom to FreeBSD! Chào đón chúng ta đến với mã nguồn mở Firewall Pfsense.

Firewall Trên Linux

Page 17

 chọn 99 để bắt đầu quá trình cài đặt

 Chọn Accept these settings à Chấp nhận việc cài đặt Pfsense.

Firewall Trên Linux

Page 18

 chọn <Ad0:…> ổ cứng mà Pfsense cần cài đặt.

Firewall Trên Linux

Page 19

 Chọn Use this geometry à Định dạng Cylinders, Heads, Sectors theo chuẩn Pfsense.

Firewall Trên Linux

Page 20

 Format Ad0 Bắt đầu tiến hành định dạng theo thiết lập trên

 Chọn Partition Disk Tạo Partiton cho ổ cứng.

Firewall Trên Linux

Page 21

 Chọn Yes, Partition ad0 Xác nhận việc tạo Partition.

 Chọn OK.

Firewall Trên Linux

Page 22

 chọn ok

Firewall Trên Linux

Page 23

 chọn <Symmetric ….>

Firewall Trên Linux

Page 24

Firewall Trên Linux

Page 25

 chọn reboot để khởi động lại máy

Firewall Trên Linux

Page 26

5.2: Cấu hình card mạng cho máy Pfsense.

 Enter an Option : 1 Chọn số 1 để bắt đầu thiết lập các Interface.

Firewall Trên Linux

Page 27

 Gõ eM0 để thiết lập Interface LAN

 Gõ eM1 để thiết lập Interface WAN

 Gõ eM1 để thiết lập Interface opt1 (Interface WAN2)

 Sau khi thiết lập đủ Interface Chúng ta để trống à Enter. Chon “Y” để tiến hành quá trình thiết lập card mạng

5.3: Đặt IP và thiết lập DHCP cấp phát vào bên trong mạng LAN

Firewall Trên Linux

Page 28

 Đặt IP cho Interface LAN : 10.0.0.10 à IP Pfsense kết nối với Internel. Enter the new LAN subnet bit count : 24 à Enter.

 Chọn “Y” để thiết lập DHCP cấp phát IP cho các máy Client (Network Internal).

 Tạo Range IP bắt đầu à IP bắt đầu cấp phát cho Client : 10.0.0.50

Firewall Trên Linux

Page 29

 Sau khi hàn tất ta có IP card LAN là 10.0.0.10 và DHCP cấp range IP : 10.0.0.50 đến 10.10.10.100 cho các máy Client bên trong.

5.4: Máy Client xin IP do PFSENSE cấp phát

 Thực hiện lệnh : ipconfig/release

Firewall Trên Linux

Page 30

6. Tiến hành cấu hình một số dịch vụ trong Pfsense: 6.1: Cấu hình pfsense và cân bằng tải( load balancer). a. Cấu hình Pfsense

 Tại máy Client -> Cấu hình Pfsen bằng giao diện web Tên đăng nhập/ mật khẩu là: admin/pfsense

Firewall Trên Linux

Page 31

 Chọn Next

Firewall Trên Linux

Page 32

 Chọn Next.

Firewall Trên Linux

Page 33

 Đặt IP cho Interface WAN1.=> Chọn Next.

 Chọn Next.

Firewall Trên Linux

Page 34

 Thiết lập lại pass cho admin WebGui => Chọn Next

 Chọn Reload

 Chọn vào Pfsense -> Vào giao diện cấu hình Pfsense.

Firewall Trên Linux

Page 35

 Chọn OTP1 -> Thiết lập IP cho Interface WAN2

Firewall Trên Linux

Page 36

 Đặt IP cho Interface WAN2.

Firewall Trên Linux

Page 37

b. Cấu hình cân bằng tải

 Trong Services =>Chọn Load Balancer

 Chọn “+”

Firewall Trên Linux

Page 38

 Name => Load balancer. Type -> chọn Gateway. Tại Behavior => Chọn vào Load Balancing

 Đưa dang sách WAN vào danh sách Load balancing

Monitor IP => Wan’s Gateway. Interface => WAN. Sau đó nhấp Add to Pool

Firewall Trên Linux

Page 39

 Hai Default Gateway đã được đưa vào danh sách

 Thiết lập Rule cho quá trình Load Balancing. Vào Firewall => Rules

Firewall Trên Linux

Page 40

 Interface : WAN

 Gateway -> Chọn LOAD BALANCER. Destination : WAN1. Chọn Save

Firewall Trên Linux

Page 41

 Chọn Apply Changes

Firewall Trên Linux

Page 42

 Kiểm tra lại trạng thái Load Balancing vừa mới thiết lập. Vào Status => Load balancer

 Cơ chế Loab Balancing đang hoạt động tốt. Hai Line Internet đang ở chế độ Online.

Firewall Trên Linux

Page 43

Firewall Trên Linux

Page 44

 Server address : 192.168.2.100. Remote address range : 192.168.2.208/28

 Chọn Save.

 Tab Users Chọn “+”

 Tạo User : VPN/1234 cho phép máy VPN Client kết nối VPN về máy VPN server

Firewall Trên Linux

Page 45

 Tạo Rule mở Port 1723

 Tab PPTP VPN Chọn “+”

Firewall Trên Linux

Page 46

 Interface : PPTP

 Gateway : LOAD BALANCER Description: vpn qua load balancer Chọn Save.

Firewall Trên Linux

Page 47

 Chọn Apply changes.

Firewall Trên Linux

Page 48

 Menu Firewall => NAT

 Giao diện NAT Chọn “+”

 Interface : chọn PPTP External address : any Protocal : TCP

Firewall Trên Linux

Page 49

 NAT IP : (IP WAN2 máy Pfsense)

Destination : Đặt tên cho việc mở Port VPN. Chọn Save

 Chọn Apply Changes.

Firewall Trên Linux

Page 50

c. Cấu hình VPN cho Client bên ngoài VPN về Pfsense.

 Trên máy Client (VPN Client) tạo New Connection Wizard

Firewall Trên Linux

Page 51

 Chọn : Virtual Private Network Connection

 Company Name : VPN

Firewall Trên Linux

Page 52

 Gõ IP WAN2 : 192.168.2.100

 Chọn My use only

Firewall Trên Linux

Page 53

 Chọn Finish

 Đăng nhập VPN server bằng User name/ pass là vpn:/1234

 Đăng nhập thành công

Firewall Trên Linux

Page 54

6.3. Quản lý băng thông với Traffic Sharper

 Menu Firewall -> Traffic Sharper

 Chọn Next

 Chọn Inside là Lan => nhập vào tốc độ download của đường truyền Outside chọn Wan =>nhập vào tốc độ Upload của đường truyền

Firewall Trên Linux

Page 55

 Chọn Next

Firewall Trên Linux

Page 56

 Chọn Next

 Chọn Next

 Check vào ô Prioritize Network gaming traffic Check thêm 1 cái Betle-net

Firewall Trên Linux

Page 57

 Chọn Next => Chọn Finish

Như vậy chúng ta đã cài đặt xong traffic Sharper và bắt đầu cấu hình

Firewall Trên Linux

Page 58

 Chọn Firewall -> Traffic Sharper sẽ có hình sau:

 Chọn Tab: Queues

Firewall Trên Linux

Page 59

 Check vào ô Upper limit Ô M2 nhập vào là 70%

apply changes để lưu lại. Chọn Save

Firewall Trên Linux

Page 60

 Check vào ô Upper limit Ô M2 nhập vào là 70%

apply changes để lưu lại. Chọn Save

Firewall Trên Linux

Page 61

 Quay lại tab Rules. Click dấu “+” để thêm 1 rules mới cho game Download. ví dụ cho game Kiếm Thế sử dụng giao thức TCP và cổng (port) 6041 -> 6047

 Phần Target: Chọn qGameDown / qGameUp In Interface: Chọn WAN

Out Interface: Chọn LAN

 Destination port range:From: ô nhập số 6041. ô To nhập số 6047 vào như hình Description: Nhập vào tên game .

Firewall Trên Linux

Page 62

 Tương tự Click dấu + để thêm 1 rules mới cho game upload Phần Target: Chọn qGameUp / qGameDown

In Interface: Chọn LAN Out Interface: Chọn WAN

 Destination port range: ô From nhập số 6041. Nhập số 6047 vào ô To như hình

Save -> Apply changes

 Các bước cấu hình băng thông đã xong.

Trong bài này chia băng thông thành 2 phần, 30% cho game và 70% cho các dịch vụ khác.

Firewall Trên Linux

Page 63

7. Đánh giá: a. Ưu điểm:

 Cấu hình dễ dàng với giao diện web.

 Miễn phí.

 Cóthể bổ sung thêm tính năng bằng gói dịch vụ cộng thêm. b. Hạn chế:

 Khi cấu hình đòi hỏi người dùng phải có một số kiến thức cơ bản.

 Vẫn chưa có tính năng lọc URL như các thiết bị thương mại.

 Phải trang bị thêm modem.

III. FIREWALL SMOOTHWALL.

Firewall Trên Linux

Page 64

 SmoothWall GPL Phát hành vào tháng 8 năm 2000, được phát triển bởi Lawrence Manning và Richard Morrell.

 Smoothwall Express là 1 firewall mã nguồn mở dựa trên nền tảng linux.

 Smoothwall Express được cấu hình qua giao diện Web dể sử dụng và cấu hình.

 Smoothwall Express cho phép bạn dễ dàng xây dựng 1 firewall để bảo về 1 hệ thống máy tính kết nối với internet.

 SmoothWall Express có thể làm việc với hầu hết mọi máy tính trên nền Intel Pentium.

 Đặc điểm cũng khá quan trọng là cấu hình để cài đặt và sử dụng phần mềm Smoothwall không đòi hỏi phải cao như những phần mềm mới hiện nay.

2. Smoothwall Express có 3 mode hoạt động lúc cài đặt.

 Open: Smoothwall Express cho phép tất cả yêu cầu ra bên ngoài .

 Half-Open: Đây là mode mặc định, Smoothwall Express cho phép hầu hết các yều cầu ra bên ngoài và chặn cái yêu cầu có nguy hiểm tiềm tang.

 Closed: Smoothwall chặn tất cả yêu cầu ra bên ngoài

3. Các loại cấu hình Network.

 Green: là card mạng nối với đường mạng internal cần được bảo vệ.

 Red: là card mạng nối với Internet hoặc mạng external .

 Orange: là card mạng nối mới mạng DMZ.

 Purple : là card mạng nối với. mạng wireless .

4. Ưu điểm.

 Không đòi hỏi cấu hình máy cao.(một PC cũ 32-bit Intel hoặc i386,từ một cấu hình thấp như processor46,Intel Pentium với 128Mb bộ nhớ ram, 2Gb đĩa cứng cũng có thể cài đặt moothwall)

 Bảo vệ được các mạng cục bộ Lan từ những xâm nhập không cho phép từ bên ngoài mạng và chống virus Trojan

Firewall Trên Linux

Page 65

 Dễ cài đặt(ít kiến thức về GNU/Linux vẫn có thể cài đặt )

 Hỗ trợ nhiều loaị card mạng,modem và các loại phần cứng khác

 Hỗ trợ được nhiều cách kết nối mạng internet thong qua các ISP khác nhau

 Với SWE,quá trình thiết lập,khởi động ứng dụng dễ dàng

 Dễ xử dụng và quản lý thông qua một giao diện web

 Hỗ trợ hàng loặt tính năng, gồm: Proxy Server,IDS,Logging,Trafic Graphs,DHCP,VPN,Dynamic DNS,Port,Forwarding, Server Health and Access Control

5. Hạn chế.

 Chỉ hỗ trợ 1BXL và 1GB dung lượng bộ nhớ Ram.

 Smoothwall Express sẽ không thể giúp phục hồi bất cứ dữ liệu nào đã mất. Dữ liệu trên đĩa cứng sẽ bị xóa toàn bộ khi cài đặt

 Thiếu sự hỗ trợ kỹ thuật như các sản phẩm thương mại.

6. Một số chức năng trong Smoothwall.

6.1. Ip block:

 Cho phép bạn chặn các địa chỉ IP bên ngoài truy cập vào Smoothwall Server hay các máy tính bên trong.

Firewall Trên Linux

Page 66

 Các chế độ là Drop packet và Reject Packet và log

 Drop packet: Packet có địa chỉ IP trong block list sẽ bị hủy bỏ.  Reject packet: Trường hợp này nó sẻ hủy bỏ packet nhưng có

thông báo về cho máy nguồn.  Ngoài ra còn hỗ trợ ghi log.

6.2 . WebProxy:

 Sử dụng Web Proxy giúp cải thiện tốc độ truy cập, lướt web an toàn và hạn chế các trang web không mong muốn.

Firewall Trên Linux

Page 67

6.3. Outgoing:

 Bạn có thể cho phép, chặn hoặc giới hạn truy cập Internet dưa trên các card mạng bên trong .

 Các Outgoing rule mặc định có thể khác nhau tùy theo mode ban đầu lúc cài đặt bạn chọn là Open , Half-Open hay Closed

Firewall Trên Linux

Page 68

6.4. IDS:

 IDS có nhiệm vụ phát hiện các vi phạm an ninh bên ngoài mạng của bạn.

 Dịch vụ này chỉ phát hiện những xâm nhập nhưng nó không ngăn chặn chúng.

 IDS cũng có thể phân biệt giữa những tấn công từ bên trong (từ những người trong công ty) hay tấn công từ bên ngoài (từ các hacker).

Firewall Trên Linux

Page 69

6.5. Remote Access:

 Khi được kích hoạt, bạn có thể truy cập SmoothWall Express từ xa bằng cách sử dụng dịch vụ SSH.

Firewall Trên Linux

Page 70

6.6. DHCP:

 Cấu hình và kích hoạt dịch vụ DHCP của SmoothWall, tự động phân bổ địa chỉ IP mạng LAN cho các khách hàng mạng của bạn.

Firewall Trên Linux

Page 71

6.7. Timed Access:

 Smoothwall cho phép thiết lập cho/không cho truy tập Internet trong 1 khoảng thời gian cụ thể trong ngày đối với 1 nhóm cái máy cụ thể.

Firewall Trên Linux

Page 72

6.8. Pop3 proxy:

 SmoothWall Express có thể quét virus các email POP3 khi chúng được tải về từ mail server.

 Các email có chứa virus sẽ được thay thế bằng một email giải thích, trong đó có chứa thông tin chi tiết của email và bao gồm tên của virus được phát hiện

Firewall Trên Linux

Page 73

6.9. Interface:

 Đây là chỗ bạn có thể cấu hình và điều chỉnh địa chỉ của các interface Green, Orange, Purple, Red,DNS, Default getway…

Firewall Trên Linux

Page 74

6.10. Time.

 Bạn có thể cấu hình SmoothWall Express với ngày tháng và thời gian, đồng bộ hóa thời gian với server trong mạng.

Firewall Trên Linux

Page 75

6.11. Static dns:

 SmoothWall Express có thể tạo một bảng local hostname mà có thể được sử dụng bởi SmoothWall Express và các máy tính trên mạng Green và Purple.

 Dịch vụ DNS của SmoothWall Express phân giải hostname cho tất cả các máy sử dụng dịch vụ, bao gồm chính SmoothWall Express.

Firewall Trên Linux

Page 76

6.12. IM proxy.

 SmoothWall Express’s Instant Messenger (IM) proxy service cho phép bạn đăng nhập để trao đổi qua IM và chuyển file trên mạng Green và mạng Purple nếu nó được bật.

Firewall Trên Linux

Page 77

8. Cài đặt và Cấu hình Smoothwall: 7.1. Cài Đặt:

Cho đĩa cd hoặc file iso Smoothwall Express vào.

 màng hình giao diện Smoothwall Express .

 Nhấn enter để tiếp tục.

Firewall Trên Linux

Page 78

 Thông báo chèn cd smoothwall vao cdrom.

 Các chương trình cài đặt sẽ phân vùng ổ cứng và cài file hệ thống lên chúng

Firewall Trên Linux

Page 79

 việc cài đặt sẽ được thực hiện, nếu thành công sẽ hiện ra bản thông báo sau đây

Firewall Trên Linux

Page 80

 Nếu chọn yes, nghĩa là ta sẽ nâng cấp moothwall từ một bản smoothwall đã cài đặt sẵn.Chúng ta chọn NO để bắt đầu cấu hình cho smoothwall vừa được cài đặt.

 Chọn ngôn ngữ.

Firewall Trên Linux

Page 81

 Chế độ mặc định, Smoothwall Express cho phép hầu hết các yều cầu ra bên ngoài và chặn cái yêu cầu có nguy hiểm tiềm tàng.

Firewall Trên Linux

Page 82

 Chọn loại giao diện Green và Red.

 Cấu hình card mạng:

Firewall Trên Linux

Page 83

Firewall Trên Linux

Page 84

 Bật tính năng DHCP để card RED tự xin IP.

Firewall Trên Linux

Page 85

 Chọn probe.

Firewall Trên Linux

Page 86

 Điền DNS và gateway sau đó chọn ok.

Firewall Trên Linux

Page 87

 Bật tính năng DHCP.

Firewall Trên Linux

Page 88

 Đăt pass cho root.

Firewall Trên Linux

Page 89

 Dùng lệnh ifconfig để kiểm tra ip cuả eth0, eth1.

 Ping ra mạng thử.

7.2.Cấu hình Smoothwall.

Firewall Trên Linux

Page 90

 user name /pass là: admin /1234.

Firewall Trên Linux

Page 91

Firewall Trên Linux

Page 92

 Bên máy Client.

 Thực hiện xin IP.

Firewall Trên Linux

Page 93

7.4. Cấu hình web proxy.

 Ta cần Enabled chức năng này lên.

 Bên máy client ta tiến hành cấu hình LAN.

Firewall Trên Linux

Page 94

Firewall Trên Linux

Page 95

7.5. Cấu hình IDS(snort):

 Ta cần có oink code để update rules. Để lấy oink code bạn phải đăng ký 1 tài khoảng tại trang www.snort.org => đăng nhập sau đó copy oink code về.

Firewall Trên Linux

Page 96

 Điền oink code vào để update rules.

7.6. Bật tính năng SSH để remote access.

Firewall Trên Linux

Page 97

 Bên Client dùng remote vào Smoothwall bằng PUTTY.

Firewall Trên Linux

Page 98

7.7. Cài đặt thêm một số packet (gói) cho Smoothwall.

 Cài thêm một số tính năng như: advanced proxy, url filter, … Để cài đặt thêm những tính năng này ta vào trang:

Firewall Trên Linux

Page 99

 Nhấp chuột phải vào I agree with these terms. Chọn copy link location để copy link.

Firewall Trên Linux

Page 100

 Thực hiện lênh như trong hình để download URL filter.

 Tiến hành giải nén.

 Install gói URL filter.

b. Tương tự cho gói Advanced proxy.

Firewall Trên Linux

Page 101

c. Kiểm tra quá trình cài đặt.