Egileak: Jokin Uzkudun eta Israel Garcia  

 

Aurkibidea    Sarrera…………………………………………………………………………………………………. 

2 

Instalazioa……..……………………………………………………………………………………. 4 

Konfiguraketa……………………………………………………………………………………... 8 

Erabiltzaileak kudeatu………………………...……………………………………………… 17 

Kudeatzailea…………………………..……………………………………………………… 20 

NAT…………………………………………………………………………………………… 21 

Firewall……………………..……………………………………………………………… 24 

DHCP zerbitzaria………………………..……………………………………………… 25 

Proxya…………………………………………………………………………………… 27 

Gatibu ataria…………………………………..……………………………………… 31 

                       

1 

 

sarrera  

Zer da pfsense? ● FreeBSD sistema eragilean oinarrituta dagoen distribuzioa da ● Funtzio nagusia Firewall­a da ● Kode irekia dauka ● kudeaketa erraza web ingurunetik 

 Ekartzen Dituen Programak: 

● Suhesia ● Egoera taula ● NAT ● Karga oreka ● VPN (IPsec, OpenVPN, PPTP) ● PPPoE zerbitzaria ● DNS zerbitzaria ● Gatibu ataria ● DHCP zerbitzaria ● ... 

  

Beste Programa instalatzeko aukerak: 

PFsense­k pakete kudeatzaile bat dauka erabilgarritasun gehiago emateko. Gutxi gora behera 

70 modulu gehitu daitezke. gure kasuan, Squid proxy­a horrela instalatuko dugu. 

 Gure proiektua 

 Adibide bat egingo dugu pfsense­a hobeto azaltzeko erabiliko duguna.Sare kopurua 2 baino gehio eduki ditzazke.  

● 2 Sare edukiko ditugu: WAN eta LAN. ○ WAN interfazea: 10.2.0.15 (10.2.0.0/16 sarean) ○ LAN interfazea: 192.168.100.1 (192.168.100.0/24 sarean) 

 ● LAN sareko bezeroak DHCP erabiliz konektatuko dira 

 ● pfsense egin beharrekoa: 

○ Sare batetik bestera pasarela (gateway) ○ LAN sarea babestu kanpoko erasotik (Firewall) ○ LAN sareko bezeroei IP bat esleitu (DHCP) ○ LAN sareko bezeroak mugatu (Proxy) ○ LAN sareko WIFI bezeroak atzipena + barne sarea babestu (Captive portal) 

2 

 ● Jarraitutako sare egiturak 

 

  

  

  

3 

instalazioa  

● prestakuntza:   

● pfsense instalatzeko, ISO irudia behar dugu. Hemen duzue esteka irudia jaisteko 

○ Kontuan hartu behar duzue zuen prozesagailuaren arkitektura (AMD64 / i386 / netgate rcc­ve 2440) 

○ Irudia plataforma desberdinetatik instalatzea badago (cd, dvd, Flash pen drive…) 

 ● Zerbitzaria: 

○ Prozesagailua goian aipatutako arkitektura eduki behar du ■ abiadura: Gutxienez 500MHz / gomendagarria 1GHz 

○ RAM memoria ■ Gutxienez 256MB / gomendagarria  1GB 

○ Disko gogorra ■ Gutxienez 1GB 

○ Sare txartelak ■ 2 behar ditu gutxienez 

Informazio gehiago  

● Instalazioa Iturria 

 Irudia lortuta, euskarri fisikotik abiatu (Boot menu­a edo BIOS­etik aldatuta)  

○ Sarrerako menua agertuko da. Defektuz, BOOT Multi User [enter] sartzeko kontagailua dauka. Hau gelditzeko [espazioa] sakatu 

○ 1. aukera sakatu [enter]  

 

4 

○ 2.menua azalduko da aukera desberdinekin: ■ ( R ) letra sakatuta: Recovery mode­n sartzeko (berreskurapen 

moduan ■ ( I ) letra sakatuta: Installer­an sartuko gara ■ ( C ) letra sakatuta: Live moduan abiaraziko dugu 

 

  

○ 3.menua (instalatzeko aukerak) ■ Orokorrean defektuz dauden aukerak egokiak dira. Azkenekoa 

aukeratu eta [intro] sakatu  

  

 

5 

○ quick/easy  install aukeratu. KONTUZ: diska gogor osoa formateatuko du. 

 

  

○ Instalatzen hasiko da  

   

○ Standart kernel aukeratuko dugu   

  

6 

○ Berrabiarazteko eskatzen digu Instalazioa bukatzen duenean  

  

Instalatzeko erabili duzun euskarri fisikoa lektoretik kendu eta disko gogorratik abiatuko gara, zerbitzaria konfiguratzen hasteko.      

                

7 

konfiguraketa   

● 1. abioa F1 tekla sakatu behar da abiatzeko  

  

○ Menu nagusia Irekiko da. Beheko irudian aukera desberdinak daude  

  

○ Lehendabiziko gauza Sare konfiguraketa egingo dugu (Ikus eskema)   

■ VLAN­ak konfiguratu nahi dugun galdetzen digu. Gure kasuan ez (n)  

 

8 

■ Ondoren, WAN interfazea zein den idatzi behar dugu (em0)  

  

■ Gero, LAN interfazea zein den Idatzi behar dugu (em1)  

  

■ Azkenik, baieztatu behar dugu  

  Bi interfaz­en rol­ak esleituta daude, Baino IP­a ipini dezakegu. WAN DHCP bezala utziko dugu (automatikoki bat esleituko zaio), Baino LAN sarekoa aldatuko dugu. Defektuz 192.168.1.1 dator  

● 2. aukera sakatu eta LAN (em1) aukeratuko dugu 2 zenbakia ipiniz  

  

● Eskuz ipiniko dugu IP berria, Eta maskara Bit kopurukin (255.255.255.0 = /24) 

 

9 

● IPv6 ipintzeko aukera ematen du   

  

● LAN sarean DHCP zerbitzaria martxan jarri nahi dugun galdetzen digu (bezeroak eskuz konfiguratuko dugu) 

 

  

● Azkenik, WEB interfaze berrabiarazteko eskatuko digu.  

  Pausu hauek amaitzerakoan, Makina bezero bat LAN sarean konektatuko dugu  

● Gure kasuan Lubuntu 15.04 bat da. Lehendabizi Sarea konfiguratuko dugu: (192.168.100.10)  Sakonduta 

 

  

● Sarea konfiguratuta (Nahi badezute terminaletik PING komandoa erabili zihurtatzeko) nabegadorea ireki eta Ondorengo IP­a jarriko dugu 

 

10 

 

  

● Ondorengo WEB orrialdea irekiko zaigu:  

  

● Logeatzeko defektuzko erabiltzailea eta pasahitza: Admin | pfsense  

  

● Nabegatzailetik konfiguratzen hasi gaitezke   

11 

  

● Lehenengo aldian sartzen garenean, konfiguraketa asistentea irekiko da   

  

● Next sakatu. GOLD zerbitzua erosteko iragarkia (Abantaila desberdinekin)  

  

● Next sakatu. Parametro orokorrak idazteko eskatuko digu (Ekipo­izena, Domeinu­izena, DNS­ak).  

 

12 

 ● Next sakatu. ordulari zerbitzaria eta Ordutegi gunea aukeratu ditzazkegu. 

 

  

● Next sakatu. WAN konfiguraziora joango gara (static/DHCP, MAC helbidea, IP eta Gateway helbideak… 

 

13 

  

  

● Beste konfigurazio motak agertzen dira ○ PPPoE ○ PPTP ○ RFC1918 ○ Block bogon 

  

14 

  

  

● Next sakatu. LAN konfiguratzeko azalduko da  

  

● Next sakatu. Azkenik, Administradore pasahitza aldatzeko aukera emango digu  

  

15 

● Next sakatu. ondorengo oharra azalduko da (eguneratu orrialdea aldaketak isladatzeko) 

 

  

  

● Beheko here sakatu. Dashboard ikusiko dugu  

  

● Bertan,zerbitzariaren informazio orokorra agertuko da  (ekipo izena, sistema, data, DNS, RAM / CPU erabilera…) 

16 

     

 ● Puntu honetan, Pfsense­aren zerbitzu nagusiak konfiguratzen hasi gaitezke. 

○ erabiltzaileen kudeatzea ○ Kudeatzailearen konfiguraketa ○ NAT ○ Firewall­a  ○ DHCP ○ Proxy ○ Gatibu ataria 

   

17 

Erabiltzaileak  kudeatu:  

● Erabiltzaileak kudeatzeko  /system>user Manager atalara joango gara  

  

● Erabiltzaile berri bat sortzeko, taularen eskubian dagoen “+” Laukia sakatu behar da. “x” laukia, sortutako erabiltzaile bat ezabatzeko balio du eta “e” laukia erabiltzaile bat moldatzeko baizik. 

 ● Erabiltzailea Sortzeko beheko formularioa bete behar da (datuak orokorrak dira: 

Erabiltzaile Izena, pasahitza, Izen osoa, bukatze­data, taldeak...  

  

● bete, eta save sakatu aldaketak gordetzeko 

18 

● Atzera eramango gaitu, eta erabiltzaile berria taulan egongo da  

  

● Groups pestaina sakatu taldeak kudeatzeko  

  

● defektuz 2 talde sortuta daude: erabiltzaile guztiak eta administradoreak. Erabiltzaileak kudeatzen diren bezala, taldeak “+”, “x” eta “e” laukitxoak dituzte. “+” sakatu talde berria sortzeko 

 

  

● kasu honetan, taldearen izena, deskribapena eta zein erabiltzaile daude barruan aukeratu dezakegu. Save sakatu eta aurreko atalera joango gara 

 

 

19 

● Erabiltzaileen sesioa kudeatu dezakegu settings sakatuta. Bertan sesioaren iraute denbora eta autentikazio zerbitzaria aukeratu daitezke. Oinarrizko zerbitzaria Local Database da, hau da, sistema bera 

 

  

● Autentikazio zerbitzari berria ipini dezakegu servers pestainan. ikusi bakarra dagoela bakarrik (lokal­a) zerbitzari bat gehitzeko “+” sakatu 

 

  

● LDAP edo Radius izan daitezke. Gure kasuan local erabiliko dugu  

 Erabiltzaile atalakin bukatu dugu. orain administradore aukera garatukin hasiko gara.  

20 

● /System > advanced > Admin Access­era  joango gara  

  

● Aukera orokorrak agertzen dira eta bertan, web­administrari, Secure shell, serial komunikazioak eta konsola aukerak kudeatu ditzazkegu 

● Web konfigurazioan aukera asko daude, 3 aukera azalduko ditugu ○ HTTP edo HTTPS aukeratzeko ○ ze TCP portua erabiliko duen  ○ Zenbat erabiltzaile kudeatuko dute aldi berean zerbitzaria 

 

  

● ssh  

  

● Serie komunikazioa 

 

21 

Firewal / NAT  

● Aliases (Aliasak inf. )   

● Aliasak Lana errezten gaitu. Helbide, makina, portu multzo bat izendatu ditzazkegu Gero erregelak sortzeko garaian multzoak eginak ditugulako 

 ● /Firewall >Aliases sakatuko dugu 

 

  

● IP helbideak, Portuak eta URLak ipini daitezke. multzo bat sortzeko “+” laukitxoan sakatu 

 

  

● Datuak bete ondoren Save sakatu aldaketak gordetzeko  

○ Errorea eman dit alias­en NAME­n utxunerik ezin delako egon. konpontzeko LAN_ekipoak deitu dut. 

 ● Gordetzerakoan, aurreko orrialdera bultatuko gara, baino ohar bat agertuko 

zaigu. aliaseko lista aldatu egin dela, eta aldaketak isladatzeko “Apply Changes” Botoia sakatu behar da 

 

  

22 

  

● Portuekin berdina egingo dugu:  

    

● Adibide lista bat osatuko dugu (Gero firewall­a konfiguratzeko balioko diguna)  

       

23 

● NAT (Sare helbide itzulpena)  

● Gure kasuan NAT­en lana WAN saretik LAN sarera dijoan trafikoa bihuirtzea da, eta kontrakoa. Konfiguratzeko /Firewall > NAT sakatu behar dugu. 

●  2 gune nagusiak ditu ○  Sarrerakoa (Port Forward) ○ Irterakoak ( Outbound) 

● Sarrerako erregela sortzeko Port Forward + laukitxoa sakatu  

  

● Disabled: Erregela hau desgaituta edo ez ipini dezakegu ● Interface:  Baimendu edo Ezeztatuko dugun paketea ze saretik dator  ● Protocol: Erabilitako protokolari aplikatuko zaio erregela ● Destination Port range: Portu (protokolo) bat edo gehiago ezan daitezke 

 

  

● Beste erregelak bezala, zerbitzaria eguneratu behar da aplikatzeko  

  

24 

● Beste protokolo gehitu ditzakegu   

   

● Firewall (suebakia)  

● Firewall­a konfiguratzen hasteko /Firewall > Rules sakatu ● Lehendabizi, ikusi dezakegu sortutago NAT araua dagoeneko erregela bat 

dagoela. PFsense automatikoki egiten du. (WANeko 3. erregela)  

  

● Proto: ze protokoloa baimendu / ezeztatu ● Source: ze saretik etorriko den ● Port1 Port2: ze portutik datorren, ze portutik pasatzen uzten du ● Destination: Ze sarea/makina du helburu ● Gateway: ze pasarelatik pasako du 

 GOGORATU: Suhesi bat ondo eraikitzeko planifikazioa funtzezkoa da (sarearen egitura, makinak, zerbitzuak…)  

25 

DHCP zerbitzaria  

● DHCPzerbitzua ipiniko dugu LAN bezeroei IP bat esleitzeko. Aktibatzeko /Services>DHCP server­en sakatu  

 

  

● “enable DHCP server” tik­a sakatu aktibatzeko. Zerbitzaria konfiguratzen hasiko gara. Range atalean Banatuko dituen IP tarteak ipiniko dugu 

 

  

● Ondoren bezeroak beharko duen beste informazioa (DNS­ak, pasarela, esleipen denbora…) 

 

26 

● Aldaketak gorde, eta bezero bat konfiguratuko IP­a jasotzen duela ikusteko. Gure bezeroa hasieran IP estatiko ipini diogu pfsense­a konfiguratu ahal izateko 

 

  

● DHCP moduan ipini  

  

● Sarea edo ekipoa berabiarazi, eta IP­a ikusi ifconfig ­a  

  

● IP berria eman diola egiaztatu dugu (192.168.100.101)            

27 

squid proxy   iturria   

● Proxy bat instalatuko dugu.squid proxya instalatzeko, /system > package manager­ra joan behar dugu. 

 

  

● “Installed Packages­en” ikusi dezakegu oraindik beste paketerik ez dagoela instalatuta. Available Packages sakatuko dugu. 

 

   

● Kasu honetan, Ikus dezakegu pfsense­n deskargatzeko aukera dituen paketeak (Programak). Squid izenekoa aurkitu behar dugu Services sailean 

 

28 

  

● Instalatzeko, eskubian dagoen + laukitxoa sakatu, konfirmatzeko eskatuko digu. confirm sakatu. 

 

  

● Deskargatzen eta instalatzen hasiko da  

  

● Bukatzerakoan, menu nagusitik Konfiguraketa ikusteko esango digu  

  

● /Services> proxy server­era joan. Konfiguratzen hasi gaitezke  

 

29 

● Oinarrizko konfiguraketa ipini, eta gero froga bat egingo dugu. Hortarako:  

  

● Transparen proxy aktibatu eta logeoa baimendu  

  

● Gorde (save sakatuz) eta Frogatu  youtubera joan zaitezkela  

  

● Orain, arau bat sortuko dugu proxyan, youtube blokeatzeko. Access control sakatu. Ikusi dezakezue aukera desberdinak dituela. Baimendutako azpisareak, IP helbide askeak, bezeroak… 

 

  

● Gure kasuan BlackList bilatuko dugu. debekatutako web helbideak emen ipiniko ditugu 

 

 

30 

● Gorde, eta nabegatzailearekin frogatu youtubera sartzen. Proxya galarazi egiten du. 

 

  

● Oso inportantea da bezeroan proxy­a ondo konfiguratzea. Lubuntun nola eginten den erakutsiko dizuegu. Nabegadorea ireki (gure kasuan mozilla firefox (beste aukerak: IE, Chrome))  

 ● Menua ireki>preferences>Advanced>Network> settings eta bertan manual proxy 

configuration Zerbitzariaren IP ipini  

                 

31 

captives portal   

● Bukatzeko, Gatibu ataria konfiguratuko dugu. /Services > captive portal­era joango gara 

 

  

● Gune berria sortzeko “+” sakatu. Gunearen izena eta deskribapena jarriko ditugu. “continue” sakatu jarraitzeko 

 

  

● Aukera asko daude konfiguratzeko, Oinarrikoak erakutxiko dizuegu  

  

32 

● “Enable captive portal” sakatu ataria baieztatzeko, eta ze sare interfaz­a erabiliko duen 

 

  

● Konexioaren iraupena, inaktibitatea dagoenean (idle) edo orokorrean (hard)  

  

● Autentikazio mota. gure kasuan autentifikaziorik gabe izango da   

  

● Azkenik, hasierako orrialdearen HTML kodea aukeratuko dugu  

   

● Aldaketak gorde, eta ikusiko dugu nola sortu digun gunea  

 

33 

  

34