Автоматизируем pfsense через pfsense PHP Shell

pfsense

Продолжу свою серию статей об open source межсетевом экране pfsense. Хотелось бы затронуть тему автоматизации процесса настройки и перенастройки этого программного продукта. Веб интерфейс фаервола безусловно отлично продуман и функционален. Однако, в работе современных больших IT систем, этого зачастую бывает недостаточно. Для динамически быстро меняющейся инфраструктуры крайне необходима автоматизация всех ее элементов. А реализовать это через веб интерфейс крайне затруднительно и проблематично. Так же и элементы Информационной Безопасности в сети должны быть максимально автоматизироваться. Каких-то прямых и готовых инструментов для этого к сожалению нет. Но разработчики дают доступ к pfsense Dev shell или pfsense PHP Shell. Эта командная оболочка не радует обилием документации, но позволяет с помощью скриптов управлять межсетевыми экранами pfsense.

Сами разработчики не очень приветствуют использование данного инструмента. В интернете для автоматизации работы pfsense есть варианты с самописными модулями ansible, а также внешним модулем Rest API для pfsense. Но для меня эти инструменты показались недостаточно функциональны и опасны в использовании. Так с помощью Rest API — FauxAPI можно вносить изменения напрямую в конфигурационный файл /cf/conf/config.xml. По сути, все найстройки межсетевого экрана находятся в этом файле. Однако, любая ошибка или неточность при работе с данным файлом приводит к общему фейлу фаерволу и глобальным проблемам в его работе. Поэтому в продакшене использование такого подхода для меня кажется слишком рискованным. И наиболее адекватным для автоматизации видится обращение к функционалу pfsense PHP Shell.

Читать далее «Автоматизируем pfsense через pfsense PHP Shell»

Мониторим работу pfsense с помощью Zabbix

pfsense image

Мониторинг IT инфраструктуры важен для любой организации. Такие устройства или виртуальные аплаинса как межсетевые экраны обычно мониторятся с помощью Zabbix или похожего программного обеспечения. Вообще, в своем блоге выделено тему мониторинга я еще не поднимал. Тем не менее, это одно из важнейших направлений в работе администратора. С ним приходится работать любому нормальному ITшнику. Чем больше инфраструктура, с которой приходится работать, тем важнее роль системы мониторинга в ней. В современном мире, основные системы мониторинга, с которыми придется работать — это Zabbix и Prometheus. Если первый оптимален под статичную инфраструктуру, то второй больше используется в микросервисной архитектуре и облаках. Соответственно в этой статье мы рассмотрим, как наблюдать за основными параметрами работы межсетевых экранов pfsense.

Про межсетевые экраны pfsense писал уже несколько статей в блоге. Упомяну про Тонкости работы pfsense в среде vmware, и Сложный NAT на pfsense. Это уже третья статья из цикла о них. С учетом тех возможностей, которые дают эти опенсорсные фаерволы, а также их стабильной работы, я думаю это будет не последняя статья о них. Как упомянал выше, мониторинг является неотъемлимой частью любой IT системы. Поэтому отдельно и было решено написать эту статью о том, как следить за работой pfsense. Тут есть свои небольшие хитрости, которые позволят добиться желаемого результата.

Читать далее «Мониторим работу pfsense с помощью Zabbix»

Тонкости работы pfsense в среде vmware

pfsense

Pfsense — отличные опенсорсные межсетевые экраны. Я писал в своем блоге уже о них в статье «Сложный NAT на pfsense». В их процессе эксплуатации возникает ряд нюансов, про которые лучше знать заранее. И, учитывая их, заблаговременно планировать свою инфраструктуру. Между тем, виртуализация вычислительных ресурсов под управлением систем VMware преобладает в современном IT мире. С моей точки зрения и опыта, другие системы виртуализации не дают таких возможностей, а также удобства в работе. Все что написано в этой статье, почерпнуто из опыта работы на продуктах Vsphere. Тем не менее, я думаю, что это будет полезно, даже если Вы используете pfsense и в других виртуальных средах.

В статье расскажу о том, как избежать некоторых неприятных нюансов при работе с межсетевыми экранами pfsense. Это касается добавления новых сетевых интерфейсов в наш фаервол. Как оказалось это не совсем тривиальная задача. Потом затрону проблему с измененим очередности виртуальных сетевых интерфейсов после перенастройки фаервола. Также рассмотрим простоту и удобство кластеризации pfsense. И затронем проблему, которая возникает если в Вашей сети или сети Вашего провайдера работает также протокол VRRP.

Читать далее «Тонкости работы pfsense в среде vmware»

Сложный NAT на pfsense

pfsense image

Есть прекрасные коммерческие межсетевые экраны, такие как CheckPoint или Cisco ASA. Однако, среди Open Source решений есть такой отличный продукт, как pfSense, который составляет им серьезную конкуренцию. Он решает большинство аналогичных задач в области информационной безопасности по защите периметра сети. Для pfsense заявлена поддержка пропускной способности до 10 Гб/с. Для получения еще больших скоростей вендором предлагается приобретать платную версию данного фаервола. Но не в этом суть, и не об этом хотелось написать заметку. Упомяну для общей информации, что pfsense работает на базе FreeBSD. В последние годы, большинство разработчиков выбирает для своих продуктов Linux. Девелоперы pfsense тут являются одним из редких исключений. Данный опен сорсный фаервол по сути включает в себя ряд других общедоступных разработок. Но скомпилировано это очень грамотно и элегантно. И все вместе позволяет защищать свою сеть на высоком уровне без лишних платежей производителям.

Читать далее «Сложный NAT на pfsense»