Was ist PfSense?
PfSense ist leistungsstark FreeBSD-basierter Softwarekomplex. Normalerweise wird es als Gateway verwendet. firewall, Traffic-Forwarder, Proxy usw. Obwohl es so ist FreeBSD „unter der Haube“ installiert, reicht der Browserzugriff für fast alle Verwaltungsvorgänge aus. Diese Einfachheit gepaart mit Leistungs- und Anpassungsmöglichkeiten sind seit langem die „Killerfunktionen“ von PfSense.
Was ist HAProxy?
HAProxy ist ein bekannter Open-Source-Load-Balancer. Ursprünglich war es für den Einbau konzipiert on Linux Server, aber jetzt könnte HAProxy auf vielen Routern, virtuellen Maschinen usw. der Unternehmensebene installiert werden. In diesem Artikel werde ich beschreiben, wie man HAProxy auf PfSense installiert firewall.
Vorbereitung der Infrastruktur
Um zu zeigen, wie HAProxy funktioniert, müssen Sie mindestens drei Server vorbereiten – zwei als „Inhalt enthalten“-Server und einen dritten als PfSense firewall und HAProxy-Balancer. Also, um dies zu tun:
- Melden Sie sich in Ihrem an ServerSpace client-Bereich und erstellen Sie isoliertes LAN;
- Stellen Sie drei Server bereit, einen davon unter PfSense, andere unter einem Betriebssystem, das Ihren Inhaltsanforderungen entspricht. Seien Sie vorsichtig, alle Server sollten sich in einem Rechenzentrum befinden. Schließlich sollten Sie eine Serverliste wie diese sehen;
- Schalten Sie alle drei Server aus und verbinden Sie sie mit dem privaten Netzwerk.
- Melden Sie sich bei Ihrem PfSense-Server an (Anmeldeinformationen finden Sie auf der Registerkarte „Serverstatus“ in cligehen Sie dann zu Schnittstellen > Zuweisungen Seite aufrufen und LAN-Schnittstelle dem freien Port zuweisen;
- Gehen Sie zu Schnittstellen > LAN Rufen Sie die Seite auf und nehmen Sie die Einstellungen gemäß den Informationen auf dem Server vor Einstellungen Tab;
- Da die Ports 80 und 443 von Backend-Servern verwendet werden, ändere ich den Port der PfSense-Webschnittstelle. Gehen Sie zu PfSense firewall Einstellungen und erstellen Sie eine Regel, um den Datenverkehr an jeden nicht verwendeten Port weiterzuleiten, und weisen Sie diesen Port dann zu System > Erweitert Seite als Web-Interface-Port;
- Gehen Sie über den „neuen“ Port zur PfSense-Schnittstelle und öffnen Sie sie firewall Einstellungen erneut vornehmen und eine Regel erstellen, um den gesamten „Intranet“-Verkehr zuzulassen;
- Die PfSense-Vorbereitung ist abgeschlossen. Jetzt ist es an der Zeit, die Inhaltsserver mit dem LAN zu verbinden. Hierfür stehen zwei Methoden zur Verfügung. Sie können die Konfigurationsdateien der Netzwerkschnittstellen ändern und neue Schnittstellen manuell hinzufügen. Am einfachsten ist es jedoch, das Server-Betriebssystem über neu zu erstellen client-Bereich nach der Verbindung mit dem LAN. Das Ergebnis ist dasselbe: Die „privaten“ IPs aller drei Server sind füreinander zugänglich.
HAProxy-Installation
Um HAProxy auf dem PfSense-Server zu installieren und zu konfigurieren, befolgen Sie bitte diese Schritte:
- Öffnen Sie die Weboberfläche Ihres Gateways und gehen Sie zu System > Paketmanager > Verfügbare Pakete Seite, suchen und installieren Sie die neueste verfügbare Version von HAProxy;
- Zeit, ein Backend zu erstellen. Besuchen Dienste > HAProxy > Backend Seite und nehmen Sie Einstellungen in Bezug auf die IPs Ihrer Backend-Server vor;
- Erstellen Sie ein Frontend. Gehen Sie einfach zu Dienste > HAProxy > Frontend, Legen Sie die WAN-Adresse als Frontend-Listener fest und „zeigen“ Sie sie auf das zuvor erstellte Backend.
- Gehen Sie zu Dienste > HAProxy > Einstellungen, Legen Sie das Limit für gleichzeitige Verbindungen fest und aktivieren Sie den Dienst.
Platzieren von Projektdateien und Durchsuchen von HAProxy
Schau einfach auf Dieser Artikel, und stellen Sie die Website wie im Abschnitt „Website-Bereitstellung“ vorbereitet bereit. Überprüfen Sie dann, wie im Abschnitt „Überprüfung des Balancers“ beschrieben. Das Ergebnis sollte ähnlich sein.
Sicherheitsoptimierung
Um die Sicherheit zu erhöhen, können Sie jeglichen Datenverkehr zu den Inhaltsservern über die „öffentliche“ Schnittstelle vollständig deaktivieren, mit Ausnahme des Datenverkehrs, der von Ihrer eigenen IP-Adresse kommt. Kehren Sie zurück zum ServerSpace client-Bereich, öffnen Sie dann die Einstellungen jedes Backend-Servers und fügen Sie zwei hinzu firewall Regeln – erlauben Sie Datenverkehr von Ihrer eigenen IP und verweigern Sie anderen. Seien Sie vorsichtig, um einen Zugriffsverlust zu vermeiden, sollten Sie „positive“ Regeln vor „negative“ setzen.
Zusammenfassung
Nachdem Sie dieses Material gelesen haben, wissen Sie, was PfSense ist und wie Sie das HAProxy-Plugin darauf installieren und sichern.