読者です 読者をやめる 読者になる 読者になる

CA MOBILE エンジニアブログ

株式会社シーエー・モバイルのエンジニアブログです

【旧ブログ】社内HACKイベントでオープンソースファイアウォール作ってみたよ

どうもです。インフラグループ pi★shiです。

若手エンジニアが企画してくれた社内イベント。

その名も HACKTION

Hack+Actionの造語で、週末に有志が集まって、自分たちが作りたいWebサービスやアプリを開発して発表するイベントです。

去年実施したエンジニア合宿がとても楽しく、同じように短い期間で集中して何かしらのプロダクトを発表したいという想いから若手エンジニアが中心となって、「ベンチャー魂」を持ち続けていこう!との趣旨で企画・運営しています。

こういった動きは、とっても、うれしいですねー

今回で2回目になるのですが、我々インフラシステムGも、負けじと勢いで乗っかってみました。 わたくしもエンジニアですので、この手のイベントは血が騒ぎます。

あいにく土曜日の数時間しか参加出来ませんでしたが、個人的に気になっていたオープンソースのソフトウェアファイアウォールを作ってみました。

今回利用したのはコチラ

pfSense

FreeBSDベースです。Linuxに染まりきった、わたくしには超久々の刺激です。 今回もVmwareESXi上にpfSenseインストールして色々さわってみようと思います。

◆手順はコチラ

インストール

Index of /pfSense/downloads/から適当なモノをダウンロード。ova転がってたので、pfSense-2.0.3-RELEASE-amd64.ova をチョイス。 そのままVSphere ClientからOVFテンプレートのデプロイであっという間にインスタンス完成。

初期設定

コンソールでの初期画面。最低限の設定しか出来ないっぽい。 まずはインターフェースにIP反映。こんなカンジで。

WAN - em0 (グローバルIP
LAN - em1 (ローカルIP)
f:id:cam-engineer:20150904164103p:plain

この状態からルーティング設定はおろかデフォルトゲートウェイの設定もできないのでシェルから設定することに。 デフォGWとDNS周り手動設定。

# route add default 【デフォルトGWアドレス】
# vi /etc/resolv.conf ・・・【ネームサーバIPアドレスを追記】```

ここまでやれば後はGUI上で設定出来るという。 前触ったvyattaはGUI対応は有料版のみ。 無料でGUI使えるってなかなか親切。

GUI管理画面
初期Username: admin
初期Password: pfsense
f:id:cam-engineer:20150904164250p:plain ログインしたら初期設定ウィザードが表示されますが先ほどIP設定/DNS周りをシェルから設定してますのでほとんど必要なし。
f:id:cam-engineer:20150904164310p:plain

詳細設定

ファイウォール周りの設定項目。オプションでSouce OSも選べる。地味に感心。
f:id:cam-engineer:20150904164329p:plain ロードバランサにもなるしVPNも張れます。ファイヤウォールだからNATもお手の物。
f:id:cam-engineer:20150904164359p:plain snortも簡単に入るのでIDSとしても使えます。ZabbixもnrpeもVanishもパッケージ用意されてるし至れり尽くせり。
f:id:cam-engineer:20150904164412p:plain vyattaも色々出来たけど予想以上に高性能ですね。ファイアウォールを謳ってるけど簡易UTMに近いかも。アンチウイルスとか使えればもっとUTM化しますね。

他の方が負荷検証とかvyattaとの比較とか実施して結果載せてるHPも結構あったので今回は割愛してますが、vyattaもpfSenseも両方使ってみたわたくしの所感としては単純なルーティングに特化させたい場合はvyatta使うかなぁと。NATやVPNはpfSenseでやらせてみようかなぁと。

ネットワークもどんどんオープンソース化が進んでるのでアプライアンス機器並べて使う環境に終止符が打たれる日も近いかもですね。 また、OpenDaylightの様にSDNのオープンソース化に向けた動きも今年から活発になってきているので今後もより一層アンテナ張って吸収し続けていきたいと思います。