[Type the document title]
Bài Báo Cáo
Ụ Ụ M C L C
ươ SVTH:Tr ng Hoài Nhân _ 12200066_C12QM11 Page 1
ứ
Nghiên C u Và Báo Cáo PfSense
ộ ớ ế N i Dung Lý Thuy t i thi u PfSense Gi
ị ử ứ ụ ườ
ễ ệ ế ủ
ậ ớ ắ ầ
ệ ệ ộ ứ ẽ ẳ ầ ậ ậ
ạ ế ệ ể ả ỡ ừ t
t c kích c , t ộ ộ
ả ơ ữ ồ ằ Ứ ượ ổ ơ các m ng gia đình ể ấ ệ
c b sung trong m i phát hành nh m c i thi n h n n a ả năng linh ho t c a nó.
ị ỉ ử ộ ườ ỗ ợ ọ ở ị
ị ọ ị ồ ử ụ ỗ ạ ủ ị ng l a, pfSense h tr l c b i đ a ch ngu n và đ a ch ụ ế
ỉ ạ ế ậ
ầ ắ ủ ườ ọ ị
ng l a s ki m tra đ a ch IP mà l u l
ị ử
ộ
ẽ ề ộ
ườ ử ủ ng l a khóa các k t n i d a trên h
ể ộ ị
ỉ ộ ng l a thì m t hành ử ố ườ ng l a t ượ ị c d ch là: kh ệ ế ố ự ế ỉ ầ ế ị ạ ặ
ỏ
ệ ấ ể ộ ố ạ ế ớ ứ ụ ẫ
ử ụ
ứ
ượ ự ủ ả
ể ộ
ổ ự ệ ỗ ợ ệ
ế ớ ch ch có th th c hi n cân b ng l u l
ộ ạ ế ố ữ ố ể ự ằ ệ ượ ư ượ c l u l ể ự ị ể ỉ đ nh đ
I. A. ạ ng l a m nh và mi n phí, PfSense là m t ng d ng có ch c năng đ nh tuy n vào t ụ ề ự ị ỏ ạ ở ộ ạ ứ ng d ng này s cho phép b n m r ng m ng c a mình mà không b th a hi p v s ậ ộ ữ ả m0n0wall m i b t đ u ch p ch ng– đây là m t b o m t. B t đ u vào năm 2004, khi ệ ố ả ự d án b o m t t p trung vào các h th ng nhúng – pfSense đã có h n 1 tri u download ạ ượ ử ụ ở ấ ả c s d ng đ b o v các m ng đ n các và đ ớ ủ ủ ự ụ ạ m ng l n c a c a các công ty. ng d ng này có m t c ng đ ng phát tri n r t tích c c ề và nhi u tính năng đang đ ậ ự ổ ả tính b o m t, s n đ nh và kh ỉ đích, c ng ổ ớ ư cách m t t V i t ỉ ỉ ặ ổ ồ ngu n ho c c ng đích hay đ a ch IP. Cho ví d , n u chúng ta s d ng l c đ a ch ể ủ ị ấ ứ ượ ồ t l p đ a ch IP đ c ki m tra là subnet c a m ng bên trong thì b t c ngu n và thi ẽ ị ỉ đó s b phân tích và đ ượ ạ ừ đ a ch ị ượ ọ ấ ứ ư ượ c t o ra t ng hay b t c yêu c u nào đ l u l c l c ử ụ ử ế ỉ đích thì ộ ụ ng l a. N u chúng ta s d ng l c đ a ch ph thu c vào các nguyên t c c a t ỉ đích th a mãn các ế ị ư ượ ẽ ỏ ử ẽ ể ườ ng s đi, và n u đ a ch t ự ợ ẽ ượ ộ ắ ủ ườ đ ng thích h p s đ c th c thi. nguyên t c c a t ả năng P0F (passive operating ấ ữ t nh t là kh M t trong nh ng tính năng t ệ đi u hành ấ ề ấ ả năng l y d u vân tay h ạ system fingerprinting – t m đ ủ ế ố ệ đi u hành c a k t n i và ộ ụ đ ng h thụ đ ng), tính năng này s phát hi n m t cách th ộ ế ố ề ệ đi u hành c a nút đang k t n i. Nó cho phép t ế đ bridge ho c ạ ộ ặ cũng h trỗ ợ chính sách đ nh tuy n và có th ho t đ ng trong các ch ầ ở ữ ạ transparent, cho phép b n ch c n đ t pfSense gi a các thi t b m ng mà không c n ấ ổ đòi h i vi c c u hình b sung. pfSense cung c p network address translation (NAT) và ế ổ tính năng chuy n ti p c ng, tuy nhiên ng d ng này v n còn m t s h n ch v i PointtoPoint Tunneling Protocol (PPTP), Generic Routing Encapsulation (GRE) và Session Initiation Protocol (SIP) khi s d ng NAT. c d a trên FreeBSD và giao th c Common Address Redundancy Protocol PfSense đ ị ằ ả năng d phòng b ng cách cho phép các qu n tr ự ấ (CARP) c a FreeBSD, cung c p kh ặ ự đ ng chuy n đ i d phòng. Vì ộ ử ề ườ viên nhóm hai ho c nhi u t ng l a vào m t nhóm t ằ ệ ộ ạ ế ố ề nó h tr nhi u k t n i m ng di n r ng (WAN) nên có th th c hi n vi c cân b ng ư ượ ở ỗ ỉ ả ng i. Tuy nhiên có m t h n ch v i nó t ạ phân ph i gi a hai k t n i WAN và b n không th ch ng cho qua ộ ế ố m t k t n i.
[Type the document title]
Bài Báo Cáo
ỗ ợ
ị ạ ế ố ử ụ ế ớ
ế ế ở đây th hi n ch thi u đi s h tr
ầ ư ể ệ ở ỗ ế ề
ế ế ẫ ượ xa. Ph n m m cũng thi u các tính năng IPSec nâng cao nh NAT ầ c bi ớ t đ n v i tên
Tính năng pfsense
ờ ớ ế ệ ế ộ ượ ạ ử ụ t ki m m t l ng l n th i gian n u b n s d ng chúng
ổ ộ ắ ạ ặ ể ượ ạ ử ụ
ạ ẽ
ạ ấ ề ề ụ ạ ầ ạ
ơ ệ ử ổ ộ ơ ặ ổ ở
ấ ế ổ ể
ộ ố ạ ế ớ ứ ụ ẫ
ế ầ ử ụ ế ậ ạ ổ
ể ấ ụ ặ ấ ụ ể ị
ủ
ế ể ặ ị ể ế ầ ổ
→ ủ ủ
ệ ố ả ạ ạ
ạ
ơ ư ặ ị ả ể ể ươ ấ
ụ ạ ấ ậ
ấ ạ
ế ờ
ể ượ ắ ữ ỉ ụ ể ể ấ ị ể ầ ặ
ấ ạ ộ c s p x p đ nó có ch ho t đ ng vào các th i đi m nh t ặ ấ ấ ộ ớ ặ PfSense h tr VPN trong s d ng Internet Protocol Security (IPSec), OpenVPN ho c ộ ố ạ ế PPTP. Do có m t s h n ch v i NAT nên IPSec VPN cũng b h n ch khi k t n i ự ỗ ợ cho các máy khách ạ thông qua NAT, h n ch ặ ừ ộ VPN di đ ng ho c t Traversal trong Internet key exchange (IKE), thành ph n v n đ NATT và Xauth. B. B.1. PfSense Aliases ạ ể Aliases có th giúp b n ti ộ m t cách chính xác ộ M t Aliases ng n cho phép b n s d ng cho m t host ,c ng ho c m ng có th đ c ử ụ ạ ư ử ụ s d ng khi t o các rules trong pfSense .S d ng Aliases s giúp b n cho phép b n l u ữ tr nhi u m c trong m t n i duy nh t có nghĩa là b n không c n t o ra nhi u rules cho nhóm các máy ho c c ng ẽ Vi c s a đ i rules tr nên d dàng h n. B.2. NAT PfSense cung c p network address translation (NAT) và tính năng chuy n ti p c ng, tuy nhiên ng d ng này v n còn m t s h n ch v i PointtoPoint Tunneling Protocol (PPTP), Generic Routing Encapsulation (GRE) và Session Initiation Protocol (SIP) khi ử ụ s d ng NAT. t l p NAT n u c n s d ng c ng Trong Firewall b n cũng có th c u hình các thi ế t chuy n ti p cho các d ch v ho c c u hình NAT tĩnh (1:1) cho các host c th . Thi ạ ế ố ậ l p m c đ nh c a NAT cho các k t n i outbound là automatic/dynamic, tuy nhiên b n ể có th thay đ i ki u manual n u c n. B.3. Firewall Rules ể ậ Rules. N i l u các rules (Lu t) c a Firewall. Đ vào Rules c a pfsense vào Firewall ể ọ M c đ nh pfsense cho phép m i trafic ra/vào h th ng .B n ph i t o ra các rules đ qu n lí m ng bên trong firewall ấ ớ ng d u Đ add rules m i nh n vào bi u t ử ụ Ví d : T o rules C m truy c p web s d ng công 80 cho các máy LAN trong đó MayLan là tên Aliases .Sau khi t o xong nh n Save và Apply Changes. B.4. Firewall Schedules Các Firewall rules có th đ ị đ nh trong ngày ho c vào nh ng ngày nh t đ nh c th ho c các ngày trong tu n. ể ạ Đ t o m t Schedules m i vào Firewall > Schedules : Nh n d u +
ươ SVTH:Tr ng Hoài Nhân _ 12200066_C12QM11 Page 3
ờ ế ủ ừ ứ ẩ ừ ứ 8
ờ ờ ế
ấ
ị ế ừ ế ậ t l p t v a thi
ạ ả ễ
ố ế ố ạ ươ
ữ ệ
ế ề ề ả ử ụ i thi u th i gian tr .Khi s d ng nh ng gói d li u ACK đ i lên, đi u này cho phép ti n trình t
ọ ệ ủ
ủ ườ
ố ộ ố ộ ề ng truy n ề ng truy n
ộ ố ư ư ự ơ
ộ ố ứ ư ủ
ể ử ụ ấ ỳ ị ủ ả ỉ
ố ố ỗ
ế ư ể ể c s d ng đ cho phép pfSense đúng cách chuy n ti p l u
ượ ử ụ ệ ế ổ ư ữ ể
ụ ể ị
ế ớ ị ỉ
ụ ặ ượ ứ ườ ể ạ ử ị ng l a chính nó đ ch y các d ch v ho c đ ở c s d ng b i các b c t c
ạ
ể ượ ử ụ ủ c s d ng cho clustering (t
ế ộ ờ ườ ng l a ch failover ch đ ch ) ệ ử ng l a và t ủ ượ ộ ụ ạ ị Ví d :T o l ch tên GioLamViec c a tháng 12 T th hai đ n th b y và th i gian t gi đ n 17 gi ạ Sau khi t o xong nh n Add Time ướ ẽ ệ i s hi n ra l ch chi ti Bên d ấ Xong nh n Save. B.5. Traffic shaper ả ơ ệ Traffic Sharper giúp b n theo dõi và qu n lí băng thông m ng d dàng và hi u qu h n ố ộ ố ư i đa t c đ trong Traffic Shaping là ph ng pháp t i u hóa k t n i Internet. Nó tăng t ượ ắ ể ả ả ố ờ ữ ễ khi đ m b o t c s p ả ề ườ ứ ư ư ế i v x p th t u tiên trong đ ng truy n t ượ ế ụ ớ ố ộ ố i đa. đ c ti p t c v i t c đ t ấ ả ể C u hình Traffic Sharper đ qu n lý băng thông ở M giao di n Web c a Pfsense > ch n Firewall > Traffic Sharper ọ Ch n Next ậ ọ Ch n Inside là Lan > nh p vào t c đ download c a đ ủ ườ ậ ọ Outside ch n Wan và nh p vào t c đ Upload c a đ ọ Ch n Next ỗ ợ H tr Voice IP > Next ọ Ch n Next ỗ ợ ạ H tr m ng ngang hàng nh BitTorent , CuteMX, iMesh…. ế ỗ ợ ạ H tr m ng ch i game nh BattleNET , Xbox360 ,và m t s game tr c tuy n ụ ả Qu n lí băng thông c a m t s ng d ng khác nh Remote Service ,VPN, Messengers, Web,Mail , Miscellaneous. B.6. Virtual Ips ộ ộ ị M t Virtual IPs có th s d ng b t k đ a ch IP c a pfSense, đó không ph i là m t đ a ỉ ch IP chính. Trong các tình hu ng khác nhau, m i trong s đó có các tính năng riêng ủ c a nó. Virtual IP đ ọ ượ l ng cho nh ng vi c nh chuy n ti p c ng NAT, NAT Outbound, và NAT 1:1. H ể ư cũng cho phép các tính năng nh failover, và có th cho phép các d ch v trên router đ ắ g n k t v i đ a ch IP khác nhau. CARP ể ượ ử ụ Có th đ ế ể chuy n ti p ớ T o ra l p 2 traffic cho các VIP Có th đ Các VIP đã đ ườ ử ự c trong cùng m t subnet IP c a giao di n th c
[Type the document title]
Bài Báo Cáo
ắ ườ ế ượ c phép theo các quy t c t ử ng l a. i ICMP ping n u đ
ứ ườ ể ượ ử ư ể ể ượ ử ụ ở c s d ng b i các b c t ng l a chính nó, nh ng có th đ c chuy n
ộ ủ ệ ớ ự c trong m t subnet khác v i IP c a giao di n th c
ả ờ
ẽ ả ờ S tr l Proxy ARP Không th đ ti pế ớ ạ T o ra l p 2 giao thông cho các VIP ể ượ Các VIP có th đ Không tr l i gói tin ICMP ping. Khác
ấ ạ ủ ạ ế ườ ế c s d ng n u các tuy n đ ng cung c p cho b n VIP c a b n dù sao mà
ể ử ư ể ượ ứ ườ ớ ể ượ ử ụ c chuy n ở c s d ng b i các b c t ng l a chính nó, nh ng có th đ
ớ ộ ệ c trong m t subnet khác v i các giao di n IP
ể ượ i ICMP Ping.
ụ ả ờ ộ ố ị
ươ ộ ạ
ỉ ườ ạ ng m i ẵ ị
ả ơ
ậ ự ế ế ớ ẽ
ệ ủ ườ ượ c ng ở ỗ ườ ch ng ả ậ ả
ỉ
ụ ủ ượ ấ c c u hình trong m c này s đ ẽ ượ ỏ c b
ượ ấ ẽ c c u hình s không authentication.
ể ạ
ủ
ố ử ụ
ỗ i h n các connection trên m i ip/user/mac
ế ớ ạ ậ ẽ ạ ỗ ờ ị
ế ố ủ ớ ạ ờ ỗ ể ượ ử ụ Có th đ ầ không c n thông báo l p 2 Không th đ ti pế Các VIP có th đ Không tr l C. M t s d ch v pfsense C.1. Captive portal Captive portal là 1 tính năng thu c d ng flexible, ch có trên các firewall th ớ i dùng vào 1 trang web đ nh s n, l n. Tính năng này giúp redirect trình duy t c a ng ể ừ i dùng . Tính năng này tiên ti n h n các t đó giúp chúng ta có th qu n lý đ ư ể i dùng s thao tác tr c ti p v i 1 trang ki u đăng nh p nh WPA, WPA2 ư ể ứ web (http, https) ch không ph i là b ng đăng nh p khô khan nh ki u authentication WPA,WPA2. ằ ở ụ Tính năng captive portal n m m c Services/captive portal ứ Captive portal: Tinh ch nh các ch c năng c a Captive Portal. Passthough MAC: Các MAC address đ qua,không authentication. Allowed IP address: Các IP address đ ể Users: T o local user đ dùng ki u authentication: local user ả File Manager: Upload trang qu n lý c a Captive portal lên pfsense. ọ ấ Enable captive portal: Đánh d u ch n n u mu n s d ng captive portal. Maximum concurrent connections:Gi ế Idle timeout:N u m i ip không còn truy c p m ng trong 1 th i gian xác đ nh thì s ắ ế ố ủ ng t k t n i c a ip/user/mac. Hard timeout: Gi i h n th i gian k t n i c a m i ip/users/mac.
ươ SVTH:Tr ng Hoài Nhân _ 12200066_C12QM11 Page 5
ấ
ỉ ớ
ằ ế ậ ả ẽ ượ ướ i sau khi đăng nh p ở c direct t ế c router. B i vì pfsense qu n lý k t
ổ ẽ ị ấ ặ ị
ọ
ớ ườ ấ ị ẽ ề ướ ng ng ỗ ợ i dùng t i 1 trang nh t đ nh
ứ
ể ứ
ỉ ị ỉ ứ ỗ ợ ạ ự ằ
ồ ể ư ồ ấ
ạ ủ
ự ộ ạ ằ ị ỉ đ ng gán các đ a ch IP
ấ ọ ị ấ ứ ể ạ ặ ỉ
ả ủ ữ ể ặ i c a pfsense có nh ng đ c đi m
ụ ộ ằ ổ ị tính năng b ng gói d ch v c ng thêm.
ế
ẵ
ế ả ư ả t b cân b ng t i khác.
ọ ế ị ế ị ươ t b th ằ ạ ng m i.
ấ nhà s n xu t nh các thi ư ế ườ ử ụ ể ấ ỏ ứ ơ ả i s d ng ph i có ki n th c c b n v m ng đ c u hình.
ể ấ ể n vào nút đ thêm Pool ư ấ
ệ Logout popup windows: Xu t hi n 1 popup thông báo cho ip/user/mac ườ ị Redirect URL: Đ a ch URL mà ng i dùng s đ MAC filtering: Đánh d u vào n u pfsense n m tr ố ữ ệ n i theo MAC (m c đ nh). Mà khi d li u qua Router s b thay đ i mac address nên ẽ ấ ế ố ộ ườ ế n u timeout thì toàn b ng i dùng s m t k t n i. ể ự ứ ể Authentication: Ch n ki u ch ng th c. Pfsense h tr 3 ki u: No authentication: pfsense s đi u h ự mà không ch ng th c. ự Local user manager: pfsense h tr t o user đ ch ng th c. ủ ầ Radius authentication: Ch ng th c b ng radius server (C n ch ra đ a ch ip c a radius, port, ...). ọ ồ R i ch n browse trong portal page content r i up file này lên. R i b m SAVE đ l u i.ạ l ố Cu i cùng ta t o user trong tab user c a captive portal. C.2. DHCP Server ỉ DHCP Server ch nh c u hình cho m ng TCP/IP b ng cách t ạ cho khách hàng khi h vào m ng. ễ M c dù có th gán đ a ch IP vĩnh vi n cho b t c máy tính nào trên m ng. C.3. Load Balancer ứ Ch c năng cân băng t Ư ể u đi m ễ Mi n phí. Có khả năng b sung thêm ấ ặ ễ D cài đ t, c u hình. H n chạ ị ả Ph i trang b thêm modem n u không có s n. ượ ỗ ợ ừ Không đ c h tr t ư ẫ V n ch a có tính năng l c URL nh các thi ề ạ ả Đòi h i ng Đ c u hình load balancing vào Services > Load Balancer Ấ C u hình nh sau: Name: LoadBalancer Type: Gateway Behavior : Load Balancing
[Type the document title]
Bài Báo Cáo
ọ ọ ủ
ấ ấ ạ ầ i và n Apply Change
ấ ể
ọ
ọ ọ
ề
ể ể ườ ộ ườ ng truy n Offline.
ộ ườ
ị ộ ạ ể ộ ạ xa v i m t m ng LAN
ệ ố ừ i s d ng t ứ ạ
ế ả ượ ủ ể ể ế ng là Internet) đ k t ở ụ ở tr s trung tâm. ạ ố ng dây thuê bao s , VPN t o ra các ộ ổ ứ ớ ị ch c v i đ a đi m ặ ế ố ữ c truy n qua Internet gi a m ng riêng c a m t t
xa.
ứ
ể ử ụ ọ ạ ể ậ
ẽ ế ố ị
ẽ ấ
ứ
ự ể ể ạ ả ọ
ạ
ạ
ạ ọ
ị ỉ
ọ ọ ề ề ề ấ ả ậ ẩ
Monitor IP: Ch n monitor IP c a gateway interface nào thì ph n ch n Interface name ươ ứ t ng ng , n vào add to pool . Save l Ấ Sang tab LAN, n vào d u + đ thêm rule Action ch n Pass Protocol ch n any Gateway: ch n LoadBalancer Save và Apply Rule Đ ki m tra vào Status / Load Balancer ề ng truy n đ u Online Hai đ ề Khi m t đ C.4. VPN trên Pfsense ạ ử ụ VPN là m t m ng riêng s d ng h th ng m ng công c ng (th ớ ườ ử ụ ố n i các đ a đi m ho c ng ư ườ ậ Thay vì dùng k t n i th t khá ph c t p nh đ ạ ề liên k t o đ ườ ử ụ ở ặ ho c ng i s d ng C.5. VPN PPTP Đ s d ng ch c năng này b n vào VPN / PPTP Ch n Enable PPTP server đ b t tính năng VPN ỉ Server address : Đ a ch server mà client s k t n i vào ế ố ỉ ả ị Remote address range :D i đ a ch IP s c p khi VPN Client k t n i RADIUS : Ch ng th c qua RADIUS Ch n Save và chuy n qua tab User đ t o tài kho n ạ Sau khi t o xong user ,b n vào Firewall Rules ậ T o Rules cho phép VPN client truy c p vào m ng Trên VPN Client ,trong Network Connections ch n Create a new connection Ch n Conect to the network at my workplace > Next Ch n Virtual Provate Network connection > Next ế ố Đi n tên cho k t n i VPN > Next ủ Đi n đ a ch IP c a VPN Server > Next Đi n tài kho n và m t kh u và nh n Connect.
ươ SVTH:Tr ng Hoài Nhân _ 12200066_C12QM11 Page 7
ạ
ạ ấ ạ ệ
ế ố
ộ ở ượ ấ c c p phát b i DHCP Server
ổ ổ
ị ỉ ẽ ấ
ặ ị ẽ ế ố ế
ọ ng th c mã hóa
ậ
ể ữ ệ ử ụ
ọ
ạ
ử ụ
ế ậ t l p VPN trên pfSense1
ổ ị
ủ
ươ ự ủ ề ấ ọ ng th c mã hóa và đi n Shared key c a pfsense1 vào và nh n Save.
ộ
N i Dung Th c Hành ặ Lab1:Cài đ t máy PfSense
ướ ẩ
C.6. OpenVPN Site to Site T o Share key cho pfsense Vào Diagnostics > Command: T i Execute Shell command ch y l nh : openvpn genkey secret /dev/stdout và nh n Execute ể ạ Đ t o k t n i Site to site vào VPN / OpenVPN ấ ạ T i Tab Server nh n ứ ử ụ Protocol : Giao th c s d ng cho VPN ế ố ằ Dynamic IP: Cho phép Client k t n i b ng IP đ ng đ ẽ ắ Local Port: C ng OpenVPN server s l ng nghe.M c đ nh là c ng 1194 Address pool: Đ a ch pfsense s c p phát cho Client. ạ Remote network: Khai báo m ng mà pfsense s k t n i đ n ươ ự ứ Cryptography: L a ch n ph Authentication method: Shared Key ủ Shared key: Nh p Shared Key c a pfsense LZO compression : Nén gói tin khi chuy n d li u s d ng LZO Ch n Save ế ố T o rules cho phép k t n i OpenVPN trên WAN Trên pfsense2 ấ ọ Vào VPN/OpenVPN ch n Tab Client nh n ứ Protocol : Giao th c mà server s d ng cho VPN ỉ ủ ị Server Address : Đ a ch c a Server OpenVPN ế ố Server port : C ng k t n i cho các thi ẽ ỉ Interface IP : Đ a ch IP mà server s gán cho Client ả Remote network:D i IP Internal c a pfsense1 ứ L a ch n ph ự II. A. ị A.1. Chu n Bẩ + 1 máy cài PfSense 2 card m ngạ + 1 máy client + ISO cài PfSense : pfsense_proxy_2.1 ặ A.2. H ng d n cài đ t Cho file iso Pfsense 2.1 vào
[Type the document title]
Bài Báo Cáo
ọ ọ ch n card eM0 làm WAN ch n card eM1 làm LAN
ươ SVTH:Tr ng Hoài Nhân _ 12200066_C12QM11 Page 9
ể ọ Ch n 99 đ install
[Type the document title]
Bài Báo Cáo
ươ SVTH:Tr ng Hoài Nhân _ 12200066_C12QM11 Page 11
[Type the document title]
Bài Báo Cáo
ươ SVTH:Tr ng Hoài Nhân _ 12200066_C12QM11 Page 13
[Type the document title]
Bài Báo Cáo
ươ SVTH:Tr ng Hoài Nhân _ 12200066_C12QM11 Page 15
[Type the document title]
Bài Báo Cáo
ươ SVTH:Tr ng Hoài Nhân _ 12200066_C12QM11 Page 17
ằ Login vào Pfsense b ng user: admin /pass:pfsense
ặ ầ ế Cài đ t các gói c n thi t
[Type the document title]
Bài Báo Cáo
ấ Lab2:C u hình proxy cho pfsense
ư
ậ ườ ấ ậ ỉ ạ ạ ớ ng m ng, l p m ng truy c p internet.
ị ặ ừ B. ấ C m máy client truy c p vào nh ng trang web bi c m. C mấ đ a ch m ng, ặ Ch n t ạ đ khóa , ch n download .
ươ SVTH:Tr ng Hoài Nhân _ 12200066_C12QM11 Page 19
[Type the document title]
Bài Báo Cáo
ươ SVTH:Tr ng Hoài Nhân _ 12200066_C12QM11 Page 21
ặ
ề ấ ữ ậ
http://ithutech.net
ủ ả Ở đây ch n trang web tuoitre.vn, mp3.zing.vn. ẻ ả ừ T khóa mail, game,file dowload exe... và khi ta đăng nh p vào nh ng đi u c m s tr ề v trang qu n lý c a mình.
ỉ ạ ặ ị ườ ạ ạ ớ Ch n đ a ch m ng, đ ng m ng, l p m ng
[Type the document title]
Bài Báo Cáo
ươ SVTH:Tr ng Hoài Nhân _ 12200066_C12QM11 Page 23
[Type the document title]
Bài Báo Cáo
ươ SVTH:Tr ng Hoài Nhân _ 12200066_C12QM11 Page 25
ạ ị ở ộ Kh i đ ng l ụ i d ch v .
[Type the document title]
Bài Báo Cáo
ươ SVTH:Tr ng Hoài Nhân _ 12200066_C12QM11 Page 27
[Type the document title]
Bài Báo Cáo
ươ SVTH:Tr ng Hoài Nhân _ 12200066_C12QM11 Page 29
ậ Đây là khi ta đăng nh p vào trang web tuoitre.vn
ả ề ủ ả Tr v trang qu n lý c a mình http://ithutech.net
Lab3:Captive Portal (Local)
ệ ớ i thi u
ộ ạ ươ
ạ ng m i ẵ ị ỉ ườ
ả ơ
ự ế ế ớ ẽ ậ
ệ ủ ườ ượ c ng ở ỗ ườ ch ng ả ậ ả
ằ ở ụ ứ ủ ỉ C. C.1. Gi Captive portal là 1 tính năng thu c d ng flexible, ch có trên các firewall th ớ l n. Tính năng này giúp redirect trình duy t c a ng i dùng vào 1 trang web đ nh s n, ể ừ đó giúp chúng ta có th qu n lý đ t i dùng . Tính năng này tiên ti n h n các ư ể i dùng s thao tác tr c ti p v i 1 trang ki u đăng nh p nh WPA, WPA2 ư ể ứ web (http, https) ch không ph i là b ng đăng nh p khô khan nh ki u authentication WPA,WPA2. Tính năng captive portal n m m c Services/captive portal Captive portal: Tinh ch nh các ch c năng c a Captive Portal.
[Type the document title]
Bài Báo Cáo
ụ ượ ấ ẽ ượ ỏ c b c c u hình trong m c này s đ
ẽ ượ ấ c c u hình s không authentication.
ạ ể
ủ
ố ử ụ
ỗ i h n các connection trên m i ip/user/mac
ị ờ ỗ ạ ẽ ế ớ ạ ậ
ế ắ ế ố ủ
ỗ ờ ớ ạ ế ố ủ i h n th i gian k t n i c a m i ip/users/mac.
ấ
ớ ỉ
i sau khi đăng nh p ở
ẽ ượ ướ ậ ả ế ằ c direct t ế c router. B i vì pfsense qu n lý k t
ấ ặ ị ẽ ị ổ
ỗ ợ ọ
ẽ ề ướ ấ ị ườ ớ i 1 trang nh t đ nh i dùng t ng ng
ứ
ỗ ợ ạ ể ứ
ạ
Passthough MAC: Các MAC address đ qua,không authentication. Allowed IP address: Các IP address đ ể Users: T o local user đ dùng ki u authentication: local user ả File Manager: Upload trang qu n lý c a Captive portal lên pfsense. ọ ấ Enable captive portal: Đánh d u ch n n u mu n s d ng captive portal. Maximum concurrent connections:Gi Idle timeout:N u m i ip không còn truy c p m ng trong 1 th i gian xác đ nh thì s ng t k t n i c a ip/user/mac. Hard timeout: Gi ệ Logout popup windows: Xu t hi n 1 popup thông báo cho ip/user/mac ườ ị Redirect URL: Đ a ch URL mà ng i dùng s đ MAC filtering: Đánh d u vào n u pfsense n m tr ố ữ ệ n i theo MAC (m c đ nh). Mà khi d li u qua Router s b thay đ i mac address nên ẽ ấ ế ố ộ ườ ế i dùng s m t k t n i. n u timeout thì toàn b ng ể ự ứ ể Authentication: Ch n ki u ch ng th c. Pfsense h tr 3 ki u: No authentication: pfsense s đi u h ự mà không ch ng th c. ự Local user manager: pfsense h tr t o user đ ch ng th c. ự C.2. Th c hành T o user trong pfsense. User1/pass:123456 User2/pass:123456
ươ SVTH:Tr ng Hoài Nhân _ 12200066_C12QM11 Page 31
Vào Captive portal >new zones
ỏ Check vào local User manager , b check tai allow only user.
[Type the document title]
Bài Báo Cáo
ậ ặ ậ Đăng nh p vào google.com , khi đăng nh p sai user ho c password
ươ SVTH:Tr ng Hoài Nhân _ 12200066_C12QM11 Page 33
ớ vào trang http://google.com v i user2/pass:123456
[Type the document title]
Bài Báo Cáo
ậ Đăng nh p thành công
ữ ậ ằ Đây là nh ng máy dùng đã truy c p web b ng user1 và user2
ươ SVTH:Tr ng Hoài Nhân _ 12200066_C12QM11 Page 35
Lab4:Captive portal thông qua radius
DC
ạ ạ
D. ạ T o user và group cho máy T oạ radius client T o group captive T o 2 user : nhantruong1 và nhantruong2 Add 2 user vào group captive
[Type the document title]
Bài Báo Cáo
ư Vào network authentication service> radius client >new radius client Add ip:192.168.11.66(ip LAN cua may pfsense) L u shared secret
ươ SVTH:Tr ng Hoài Nhân _ 12200066_C12QM11 Page 37
Vào policies> new policies
[Type the document title]
Bài Báo Cáo
Add group captive vào policies.
Vào máy pfsense > captive portal>new zones
ươ SVTH:Tr ng Hoài Nhân _ 12200066_C12QM11 Page 39
ủ ầ
ặ ạ Vào authentication >check vào RADIUS authentication, check vào PAP Copy shared secret c a máy DC vào ph n shared secret Vào l ậ i google.com. khi đăng nh p sai user ho c password
ạ ớ Vào l i google.com v i user nhantruong1 và pass:P@ssword
[Type the document title]
Bài Báo Cáo
ươ SVTH:Tr ng Hoài Nhân _ 12200066_C12QM11 Page 41
