Khi khi thực hiện bước các bước cấu hình cơ bản ban đầu tiên để cho  Pfsense ra được internet trong bài hướng dẫn cấu hình Pfsense trước thì ta cần hiểu các vấn đề sau.

Khi Pfsense hoạt động có thể ra được internet ok rồi, các máy client khi gán IP tĩnh để chạy thì đã ra internet ngon lành rồi thì tạm thời hài lòng bước thứ nhất, và câu hỏi đặt ra bây giờ ??? Cứ phải vô internet là phải gán IP tĩnh hay sao, có cách nào để mọi thứ tự động hay không ??? Mọi vấn đề đều có thể giải quyết đơn giản, nếu muốn tự động thì lỗi DHCP ra nói chuyện.

DHCP(Dynamic Host Configuration Protocol) là một giao thức quản lý mạng sử dụng trên TCP / IP mạng trong đó một máy chủ DHCP tự động gán một địa chỉ IP và các thông số cấu hình mạng khác để mỗi thiết bị trên mạng để họ có thể giao tiếp với các mạng IP khác.

OK tạm thời hiểu DHCP nó tự động cấp IP nhưng trong DHCP có  phần : DHCP Server và DHCP Relay.

DHCP Server Pfsense : Trên Pfsense thì DHCP Server hoạt động như thế nào ??? Cách thức hoạt động ra sao ???. Nó hoạt động độc lập có nghĩa là Pfsense nó chịu trách nhiệm cấp phát DHCP cho client, có nghĩa là trong Pfsense tạo ra 1 LAN thì tự động nó đứng ra cấp phát IP cho client và nó chịu trách nhiệm quản lý chính các range IP mà nó tạo ra.

DHCP Relay : nó như một anh chàng trung gian không chịu trách nhiệm chính trong việc cấp IP. Nhiêm vụ của nó chỉ nhận thông tin như 1 client nào đó yêu cầu cấp IP, nó sẽ chuyển thông tin yêu cầu này đến một server nào đó có trách nhiệm cấp IP và nó truyền thồng tin từ server về lại client.

Vậy trong Pfsense cấu hình DHCP Server như sau :
Vào menu : Services -> DHCP Server
     Enable : bật DHCP lên (DHCP chỉ có thể mở 1, nếu DHCP Relay đang Enable thì phải tắt đi mới Enable được DHCP Server và ngược lại)
    Range : Là dãy IP muốn cung cấp, giới hạn mỗi range phụ thuộc subnet mask.
    Available range : là hệ thống gợi ý sẵn range có thể dùng.


DNS Server : có thể mượn DNS google 8.8.8.8 8.8.4.4
 


Sau khi điền như trên lưu lại Restart Service mở cmd PC yêu cầu lại IP để test.

C:\Users\phamquangloc>ipconfig /release

C:\Users\phamquangloc>ipconfig /renew

Vậy trong Pfsense cấu hình DHCP Relay như sau :

Vào menu : Services -> DHCP Relay

Khi muốn sử dụng DHCP Relay nên tắt DHCP Server trước


Enable : Bật DHCP Relay
Interface : Chọn Lan (Áp dụng khi cần Server cấp DHCP cho LAN)
Destination Server : Nhập IP của máy chủ Server



OK thế là xong, chỉ việc bán cái qua cho Server làm việc quản lý vụ dhcp là xong, còn server làm dhcp thì sao thì có thể xem config ở bài DHCP Server 2012

Nhãn: Router - Firewall

Sau khi setup OS Pfsense vào một PC nào đó đáp ứng yêu cầu của bài hướng dẫn cài đặt pfsense xong thì bước cơ bản tiếp theo là config bước đầu tiên cho nó.

Bước đầu tiền config pfsense là sao ??? Theo tâm lý bất cứ ai khi cài pfsense chạy hoàn tất trên PC xong và dùng một PC hoặc laptop nằm trong mạng LAN connect được vào backend của Pfsense và làm cho máy client trong mạng LAN ra được internet là điều đầu tiên và bắt buộc phải làm được trước khi nói đến vấn đề cao xa.

Sau khi vào đường dẫn IP được chỉ định của pfsense, đăng nhập lần đầu tiên sẽ có giao diện như sau
Đầu tiên đăng nhập theo địa chỉ : http://10.0.0.1



Chọn Next


Chọn Next


Nhập thông tin :
  Hostname : Tên server
  Domain: tên domain
  DNS : Có thể dùng DNS google, nếu có dns riêng có thể nhập vào
Sau khi nhập xong thông tin chọn Next


Bước này đến mục config WAN, không cần bận tâm gì nhiều chỉ xác định mục tiêu mình muốn để Wan thuộc loại nào thì lựa chọn 1 trong 2 :
DHCP : thì nó tự động và không bận tâm gì nhiều chỉ chọn SlectedType DHCP là xong.
Static : Không muốn nó tự động mà xác định IP luôn cho nó thì kéo xuống tìm mục Static IP configuration.
IP address : Gán IP Wan
Subnet Mask : Dựa vào lớp mạng phù hợp để chọn subnet
Uptream Getway : Nhập getway vào cho nó, hoặc có thể thêm sau ở interface.


RFC(Request for Comment) 1918 Network : Mục này muốn chặn mạng riêng (private )thì tick chặn, còn không thì bỏ qua, đa phần trong hệ thống mạng Lan không cần quan tâm nhiều đến.
Block bogon network : cũng tương tự như RFC 1918 nhưng là mạng public có thể bỏ tick phần này


Bước tiếp theo là đến mục LAN, thường mục này đã đăng nhập bằng web thì nó sẽ tự động nhận diện IP chỉ cần check lại nó nhận diện đúng theo yêu cầu hay không.


Cuối cùng nhập thông tin password vào là xong


Sau khi Reload lại là hệ thống sẽ tư động cập nhật mọi cấu hình vừa làm.




OK, thế là quá trình đã hoàn tất quá trình cấu hình tự động




Quá trình tự động trên hỗ trợ cấu hình các thông tin cơ bản nhất, sau khi hoàn thành bước trên cần vào một số mục chính kiểm tra và bổ xung vài chi tiết để cấu hình ra internet.

Hiện tại có 3 card mạng nhưng Pfsense chỉ nhận 2 nên cần mở add thêm 1 OTP1 lên(Cái này mục đích add vô trước sau này cần thì đụng tới ở các mục sau)
Interfaces ->Assignments


Sau khi giải quyết xong các phần card mạng bật lên hết rồi, giờ bắt đầu làm việc chính.

Interfaces ->Assignments -> Chọn Wan



Kiểm tra đã Enable chưa, IP type hay dhcp...



IPv4 Upstream gateway : Như đã nói ở trên cái này khá quan trọng nếu không thêm vào trước lúc cấu hình tự động đó thì thêm vào sau lúc này. Chỉ cần Add a new gateway rồi thêm vào là xong(Đây là cách thêm nhanh,cũng có thể vào System->Routing ->Add gateway)

Interfaces ->Assignments -> Chọn LAN
Tương tự như Wan ở trên ta vào LAN kiểm tra và bổ xung nếu cần thiết.


Điểm khác biệt là LAN kế thừa từ WAN nên mục IPv4 Upstream gateway để trống

Đối với OPT là DMZ thì tương tự như WAN nếu hệ thống sử dụng thêm 1 đường ISP nữa thì IPv4 UPstream gateway về gateway đường ISP backup đó.

Tiếp theo vào menu System -> General Setup
Chú ý 2 phần DNS Server và getway :
    DSN Server : Nhập các địa chỉ IP mà hệ thống sẽ sử dụng để phân giải DNS. Các địa chỉ này cũng được sử dụng cho dịch vụ DHCP, DNS Forwarder và DNS Resolver khi nó đã bật tính năng Query Forwarding DNS.
    Gateway : Tùy chọn gateway cho mỗi máy chủ DNS. Khi sử dụng nhiều kết nối WAN, phải có ít nhất một máy chủ DNS duy nhất trên mỗi cổng.


Disable DSN Forwarder : Theo mặc định, localhost (127.0.0.1) sẽ được sử dụng làm máy chủ DNS đầu tiên, nơi DNS Forwarder hoặc DNS Resolver được bật và thiết lập để lắng nghe trên localhost, vì vậy hệ thống có thể sử dụng dịch vụ DNS cục bộ để thực hiện tra cứu. Kiểm tra hộp này bỏ qua localhost từ danh sách các máy chủ DNS trong tệp resolv.conf.



Như vậy là hoàn tất cấu hình và cuối cùng là ping kiểm tra :
Diagnostics -> Ping : ping xem pfsense đã thông ra internet chưa, có thể ping theo LAN, WAN từng cái một để kiểm tra chắn chắn


Chỉ đơn thuần là cấu hình cho Pfsense ra internet , hiện tại chưa có DHCP nên client muốn dùng mạng cần gán IP tĩnh để test. Thế là xong bước dầu config, còn lại đủ điều kiện chiến các chức năng còn lại.

Nhãn: Router - Firewall

PfSense là một phần mềm tường lửa mã nguồn mở phát hành do Netgate, bộ định tuyến phân phối phần mềm máy tính dựa trên FreeBSD(Hệ điều hành mã nguồn mở). Nó được cài đặt trên một máy tính vật lý hoặc một máy ảo hoặc thiết bị của Netgate lưu mã nguồn bên trong để tạo ra một tường lửa, bộ định tuyến chuyên dụng cho mạng. Có thể được cấu hình và nâng cấp thông qua một giao diện web, và không đòi hỏi kiến ​​thức về hệ thống FreeBSD nằm dưới để quản lý. PfSense thường được triển khai như là một bức tường lửa, router, điểm truy cập không dây , máy chủ DHCP , máy chủ DNS , và như là một VPN điểm cuối. 


Nếu sài Pfsense thì phải làm sao, như ở trên thấy có nói gì về cài trực tiếp máy vật lý, máy ảo bla bla. Muốn sử dụng Firewall Pfsense có nhiều cách lựa chọn nhưng sau đây có 2 cách tối ưu nhất nên dùng.



Thứ nhất :
Mua PC về dựng lên và sử dụng, vậy giá cả nó như thế nào, yêu cầu ra sao.
Cài Firewall Pfsense nó không yêu cầu PC cao sang mạnh mẽ như i5,i7 Ram 32,16...
Yêu cầu tối thiểu :
 -CPU 600 MHz
 -RAM 512 MB
 -Disk drive (SSD, HDD, etc)
 -PCI Network 3 cái : 1 dùng WAN, 1 dùng LAN và 1 dùng DMZ (Có thể dùng 2 nếu bỏ qua DMZ)

Thứ hai : 
Nếu có điều kiện mua luôn thiết bị tích hợp sẵn Pfsense của Netgate thì quá tốt, trong danh sách thiết bị của hãng có nhiều lựa chọn phù hợp.
-SG-1000 : SOHO Network Remote Worker
-SG-3100 : SOHO Network Remote Worker
-SG-4860 : Medium Business SMB Network Gigabit Speeds
-XG-7100 1U : Medium Business Large Business Gigabit and 10 Gigabit Speeds
-XG-1537 1U : Medium Business Large Business Branch Offices
-XG-1541 1U : Medium Business Large Business Branch Offices
-XG-1541 1U HA : Medium Business Large Business Branch Offices


Cài đặt trên PC : 
Vào trang chủ download :

https://www.pfsense.org/download/

Sau khi tải về dùng Image Writer ghi ra USB để cài, nếu dùng CD thì ghi ra CD. Sau khi boot cứ next, next, enter ,enter khoản 15phút thế là xong.


Lưu ý : Phần quan trọng nhất khi cài hoàn thiện là cài đặt IP tương ứng mỗi card mạng để phân vùng đăng nhập và quản lý.

Sau khi cài đặt xong muốn thiết lập IP theo yêu cầu thì chọn số 2 : Set interface(s) IP Address


Nhập IP phù hợp với yêu cầu


Chọn Subnet Masks phù hợp


Còn lại cứ Enter, Enter, Đến mục DHCP , nếu muốn tự cấp thì chọn N ngược ại chọn Y thế là xong.
Tương tự với các card mạng còn lại.

Sau khi config IP hoàn tất chọn một máy tính hoặc laptop cùng mạng với Pfsense kết nối tới IP vừa config xong để đang nhập vào web để quản lý.


Mặc định user/password đang nhập là admin/pfsense



Nếu mua thiết bị của Netgate thì bỏ qua cài đặt PC, chỉ kết cắm cable internet vào phù hợp với các port và connect vào thì cũng tương tự như trên.

Nhãn: Router - Firewall

Như trên windows hỗ trợ sẵn các kỹ thuật quét sâu tích hợp sẵn ở bài hướng dẫn sử dụng Nbtstat thì có một công cụ khá gọn nhẹ do McAfee phát triển đó là SuperScan hiện tại đang có bản version 4, tool này hỗ trợ nhiều scan hữu ích và trong số đó có 1 tab Windows Enumeration hỗ trợ quét sâu về thông tin Netbios.


Tiếp xúc sâu vào SuperScan thì nó bao gồm các Enumeration type cần thiết như :

NetBios Name Table : tham khảo hướng dẫn sử dụng Nbtstat để biết thông tin và có bảng tham chiếu để biết rõ thông tin.

NULL Session : Có thể scan check thông tin các truy cập nặc danh

Mac Address : Có thể lấy được thông tin Mac Address  và số ID của Mac Address.



Workstation Type : Lấy được thông tin của máy trạm cần scan như số lượng User đang có,tên máy ...



User : Có thể lấy được thông tin các user đang có trên client.



Group : Check thông tin của group nếu có.


Remote Procedure Call (RPC) Endpoint dump : là các tiến trình ứng dụng chạy động đồng thời trên máy tính và nó trao đổi dữ liệu với nhau. Những danh sách ứng dụng này tương ứng là 1 Entry, và bên trong mỗi Entry sẽ cung cấp thông tin ID các interface,ID Object , thông tin các ID...


Account policies : Thậm chí nó có thể scan được quy định bảo mật của password như thời gian khoá, quy định độ dài password...


Shares : Các thông tin được share trên máy client


Domain : Kiểm tra thông tin của máy client khi scan sử dụng domain nào, thuộc quyền quản lý domain hay không.

Remote time of day : Thông tin ngày giờ, thời gian hoạt động


Logon Session : Biết được hiện trạng User nào đang sử dụng


Drives : Check trên client có bao nhiêu ổ đĩa Drives



Trusted Domain : Kiểm tra xem domain đang dùng, tên máy, đang dùng domain hay workgroup


Services : Liệt kê các dịch vụ trên client, biết dịch vụ nào đang chạy hoặc dừng, cái này giúp hỗ trợ từ xa 1 client nào đó có dính virut nào không khi quan sát trên service khá tốt.



Trong mục Option có thể nhập user/pass của một máy client nào đó để quá trình scan kỹ hơn, đối với Sysadmin muốn kiểm tra 1 client nào trong hệ thống của mình.



Ở trên đã đi sâu vào kiểm tra thông NetBios, có thể tham khảo thêm một số Tab tích hợp sẵn trong tool :
Scan Ip : 


Tool : Tổng hợp các ping request

Nhãn: Deep Scanning, Kali Linux, Scan Network