آشنایی با مفهوم رابط (Interface) در Pfsense

آشنایی با مفهوم رابط (Interface) در Pfsense: با پایان یافتن نصب PfSense، اولین گام پس از اجرای دوباره (Restart) سیستم عامل تازه نصب شدهاختصاص کارتهای شبکه موجود در ماشین PfSense به رابط های تعریف شده در نرم افزار PfSense است. رابط یک ابزار مفهومی برای دادن نقش های گوناگون به کارتهای شبکه نصب شده در ماشین است، برخی از مهمترین این نقش ها عبارتند از LAN ، WAN و OPT. کاربرد دیگر این مفهوم ارزشمند ساخت و مدیریت قواعد دیواره آتش به تفکیک هر رابط است. برای درک بهتر مفهوم رابط نیاز است بدانید که از دید امنیتی یک شبکه به سه بخش یا ناحیه اصلی تشکیل می شود:

۱-ناحیه داخلی (Internal) یا خصوصی (Private)

بخشی از شبکه است که مدیریت و مالکیت آن در اختیار ماست و امکان اعمال سیاست ها و خط مشی های امنیتی دقیق و نیز نظارت و دسترسی مستقیم به سخت افزار و نرم افزار های نصب شده در آن برای مدیران شبکه فراهم است. شبکه های محلی (LAN ) و شبکه های محلی بی سیم ( WLAN)، در این دسته قرار دارند. سرورها و سرویس های حساس و مهمی چون پایگاه داده، Active Directory و … در این ناحیه از شبکه جای خواهند گرفت. و قواعد بسیار سخت گیرانه ای برای ارتباط شبکه های ناامن خارجی به این ناحیه از شبکه در دیواره آتش ساخته می شود.

۲-ناحیه خارجی (External) یا عمومی (Public)

به هر شبکه جدا و مستقل از شبکه داخلی که مدیریت و مالکیت آن در اختیار ما نیست و در دست دیگری است شبکه خارجی گفته می شود، شبکه جهانی Internet یا هر شبکه دیگری که الزامات کسب و کار، قوانین و مقررات ملی یا بین المللی و سایر عوامل محیطی ما را ناگزیر از ارتباط و برهم کنش با آنها می کند در این گروه جای خواهند گرفت. تامین کنندگان و توزیع کنندگان عمده، سازمانهای دولتی و حتی گاهی بخشهای مستقل سازمان خودی نمونه هایی از این دست هستند. شبکه خارجی، به تمامی ناامن و غیر قابل اعتماد در نظر گرفته می شود.

۳-ناحیه غیر نظامی ( DMZ ) یا منطقه محیطی (Primeter)

به بخشی از شبکه گفته می شود که مدیریت و مالکیت آن در اختیار ماست و محل قرار گیری سرورها و سرویسهایی است که کاربران شبکه های نا امن خارجی مانند Internet، می توانند با آنها ارتباط برقرارکرده و از خدمات ارائه شده توسط آنها استفاده کنند. سرورهایی چون Web Server ، VPN Server و بطور کلی هر سرویسی که نیاز است تا توسط کاربران مستقر در یک شبکه خارجی مورد دستیابی قرار گیرد، در این ناحیه جای خواهد گرفت. به این دسته از سرورها سرورهای عمومی گفته می شود. مهم ترین علت پیش بینی این ناحیه، نیاز به حفظ امنیت شبکه داخلی است چرا که اگر سرورهای عمومی درون شبکه خصوصی قرار گیرند چنانجه این سرورها به هر دلیلی توسط یک مهاجم خارجی مورد نفوذ قرارگرفته و اختیار آنها در دستان مهاجم قرار گیرد، آنگاه تمامی سرورها و ماشینهای موجود در شبکه داخلی در معرض خطر قرار خواهند گرفت در حالی که اگر این شرایط برای سرورهای موجود در ناحیه DMZ پیش آید، خطر تنها متوجه ماشینهای موجود در این ناحیه خواهد بود و آسیب به ناحیه داخلی گسترش نخواهد یافت.

اکنون که با نواحی امنیتی آشنا شده ایم زمان آن است که با انواع رابط ها در نرم افزار PfSense آشنا شویم:

۱-LAN Interface

به اولین رابطی که وظیفه اتصال PfSense به ناحیه داخلی (خصوصی) شبکه را بر عهده دارد LAN Interface گفته می شود به طور معمول کارت شبکه فیزیکی نصب شده در ماشین Pfsense که ماشین را به طور مستقیم به شبکه محلی (LAN) موجود در ناحیه داخلی متصل می کند به این رابط اختصاص می یابد و دارای این نقش خواهد شد.

۲-OPT Interface

چنانچه در ناحیه داخلی افزون بر شبکه محلی (LAN)، شبکه مجزای دیگری چون شبکه محلی بی سیم (WLAN)، وجود داشته باشد و یا نیاز به پیش بینی ناحیه DMZ در شبکه است برای اتصالPfSense به این بخشها از OPT Interface یا رابط انتخابی استفاده می گردد که برمبنای تعداد رابط OPT مورد نیاز به صورت OPT1 ، OPT2 و … نامگذاری می گردد. بنابراین کارت های شبکه فیزیکی نصب شده در ماشین PfSense که ماشین را به صورت مستقیم به این شبکه های مجزای داخلی متصل خواهند کرد، نامزد اختصاص به این رابط بوده و پس از تخصیص دارای این نقش خواهند بود.

۳-WAN Interface

به رابطی که وظیفه اتصال PfSense به ناحیه خارجی (عمومی) شبکه را بر عهده دارد WAN Interface گفته می شود به طور معمول ناحیه عمومی همان شبکه جهانی Internet است . کارت شبکه فیزیکی نصب شده در ماشین Pfsense که ماشین را به به شبکه خارجی متصل می کند به این رابط اختصاص می یابد و دارای این نقش خواهد شد. ترافیک رسیده از شبکه جهانی اینترنت از طریق این رابط به PfSense وارد می شود. در حالتی که سازمان از قابلیت Multi WAN نرم افزار PfSense استفاده می کند و ماشین PfSense بیش از یک ارتباط فیزیکی با شبکه جهانی Internet دارد به رابط اولیه ای که وظیفه اتصال PfSense به Internet را بر عهده دارد WAN Interface گفته می شود.

۴-OPT WAN:

رابط OPT WAN به اتصال PfSense از طریق رابط OPT با شبکه خارجی که به طور معمول اینترنت است اشاره دارد.

 

 

اختصاص کارتهای شبکه به رابط ها

با پایان یافتن نصب PfSense، اولین گام پس از اجرای دوباره سیستم عامل تازه نصب شده، اختصاص کارتهای شبکه موجود در ماشین PfSense به رابط ها ست، بنا براین با نمایش یافتن صفحه زیر و با پیام مناسبی از کاربر خواسته می شود تا کارتهای شبکه شناسایی شده در ماشین را به رابط های LAN و WAN اختصاص دهد و آدرس IP، Subnet Mask و سایر تنظیمات مورد نیاز رابط را تعریف نماید.

همان گونه که در تصویر مشاهده می کنید Pfsense موفق به شناسایی سه عدد کارت شبکه شده و نام و آدرس سخت افزاری آنها را برای کاربر به نمایش گذاشته است. چنانچه نرم افزار وجود link در هریک از کارت های شبکه را تشخیص دهد، وضعیت وصل بودن (UP) و یا قطع بودن (Down) لینک را نیز نمایش می دهد. در سیستم عامل FreeBSD کارتهای شبکه شناسایی شده در ماشین براساس نام درایور شبکه استفاده شده نامگذاری می شوند. پس از نام، شماره ای است که از صفر شروع می گردد و با افزودن هر کارت شبکه که از همان درایور استفاده می کند، یک واحد به آن افزوده می شود. برای نمونه یکی از درایورهای شبکه متداول که برای کارتهای Intel Pro/100 استفاده می گردد، درایور fxp است. بنابراین اولین کارت شبکه Pro100 به نام fxp0 و دومین کارت شبکه Pro100 با نام fxp1 نامگذاری می شود. برخی دیگر از درایورهای شبکه معمول em و rl هستند که اولی مخصوص کارت شبکه Intel Pro1000 و دومی ویژه کارت شبکه Realtek 8129/8139 است بنابراین چنانچه ماشینی دارای یک کارت شبکه Intel Pro/1000 و یک کارت شبکه Realtek 8129/8139 باشد اولی با نام em0 و دومی با نام rl0 شناسایی می شوند.

تنظیمات و پیکربندی پیش فرض PfSense

۱- آدرس IPv4 در رابط WAN به صورت DHCP پیکربندی شده است.
۲- آدرس IPv6 در رابط WAN به صورت DHCP پیکربندی شده است. و می تواندIPv6 prefix delegation را نیز درخواست نماید.
۳- آدرس IPv4 در رابط LAN به صورت دستی پیکربندی می شود و مقدار پیش فرض آدرس IP و نقاب شبکه آن ۱۹۲٫۱۶۸٫۱٫۱/۲۴ است (۱۹۲٫۱۶۸٫۱٫۱ ۲۵۵٫۲۵۵٫۲۵۵٫۰).
۴- رابط LAN می تواند از یک delegated IPv6 address/prefix که از رابط WAN دریافت می کند استفاده کند.
۵- تمامی ترافیک ورودی به رابط WAN مسدود می شود، به بیانی دیگر به صورت پیش فرض اجازه برقراری هیچگونه ارتباطی از شبکه ناامن خارجی به شبکه داخلی یا منطقه DMZ داده نمی شود.
۶- تمامی ترافیک خروجی از رابط LAN مجاز شمرده می شود. به بیانی دیگر به صورت پیش فرض اجازه برقراری هرگونه ارتباطی از شبکه داخلی به شبکه خارجی یا شبکه DMZ داده می شود.
۷- تمامی ترافیک مربوط به IPv4 با مبدا شبکه داخلی که از رابط WAN خارج می گرددبه صورت پیش فرض NAT شده است.
۸- IPv4 DHCP Server فعال است.
۹- چنانچه یک prefix delegation از رابط WAN دریافت گردد و یا قابلیت SLAAC فعال باشد، PfSense می تواند همانند یک IPv6 DHCPv6 Server عمل کند.
۱۰- SSh غیر فعال است.
۱۱- نام کاربری مدیر سیستم admin و گذرواژه پیش فرض آن نیز pfsense است.
۱۲- رابط کاربری تحت وب (WebGUI) به صورت پیش فرض از پروتکل HTTPS و شماره پورت ۴۴۳ استفاده می کند.
۱۳- DNS Resolver فعال است و PfSense می تواند به درخواستهای DNS پاسخ دهد.

منبع:itpro.ir

 

https://www.favaafzar.com/5804/articles/%d8%af%d8%b1%da%a9-%d9%85%d8%b3%db%8c%d8%b1%db%8c%d8%a7%d8%a8%db%8c-%d8%aa%d8%b1%d8%a7%d9%81%db%8c%da%a9-%d8%b4%d8%a8%da%a9%d9%87-%d8%a7%db%8c-vmware.aspx

 

https://www.favaafzar.com/11828/news/%db%b5-%d8%aa%d9%88%d8%b2%db%8c%d8%b9-%d9%be%db%8c%d8%b4%d8%b1%d9%81%d8%aa%d9%87-%d9%84%db%8c%d9%86%d9%88%da%a9%d8%b3-%da%a9%d9%87-%d9%86%d8%a8%d8%a7%db%8c%d8%af-%d8%a7%d8%b2-%d8%a2%d9%86%d9%87%d8%a7.aspx

https://www.favaafzar.com/11620/articles/%d8%a7%d9%86%d9%88%d8%a7%d8%b9-%da%a9%d8%a7%d8%b1%d8%aa-%d8%b4%d8%a8%da%a9%d9%87.aspx

ارسال یک نظر

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *