Home
Help
Search
Login
Register
OPNsense Forum
»
International Forums
»
Portuguese - Português
(Moderator:
juliocbc
) »
HOWTO - OPNsense na Oracle OCI
« previous
next »
Print
Pages: [
1
]
Author
Topic: HOWTO - OPNsense na Oracle OCI (Read 55 times)
ludarkstar99
Newbie
Posts: 22
Karma: 6
HOWTO - OPNsense na Oracle OCI
«
on:
November 05, 2024, 03:37:07 pm »
======================================================
=== OPNSENSE - CONFIGURAR INSTÂNCIA NA ORACLE OCI ===
======================================================
Responsável: ludarkstar99
Data: 22/09/2024
Versão: 1.0
======================================================
DESCRIÇÃO
Este projeto visa documentar o processo de executar um firewall personalizado na nuvem OCI, de forma a permitir que este firewall seja o centralizador dos acessos, entre diferentes VCNs e também atue como firewall de borda / DMZ.
JUSTIFICATIVA
A atual demanda surgiu da necessidade de atender a um novo cliente, cuja necessidade eminente seria substituir um firewall (grande marca aqui) atualmente sendo usado na nuvem OCI para publicar acessos NAT e VPN, em favor de um firewall OPNsense que fornecesse nível adequado de proteção de suas aplicações.
RESUMO
Devido a muitos desafios para concluir este projeto com sucesso, optamos por documentar como realizá-lo novamente, pois acreditamos que cada vez mais empresas vão adotar a nuvem como solução definitiva de infraestrutura, tanto por performance quanto por segurança para rodar suas cargas de trabalho, seja executando totalmente em nuvem pública ou no formato híbrido.
O projeto consistiu basicamente das seguintes etapas:
1. Criar uma subrede tipo pública chamada "DMZ" que conterá a instância de computação do firewall;
2. Criar um novo bucket ou usar um existente para upload de imagens personalizadas;
3. Fazer o download do arquivo do opnsense (nano), extrair e fazer upload para o bucket acima ([link](
https://mirror.ams1.nl.leaseweb.net/opnsense/releases/24.7/OPNsense-24.7-nano-amd64.img.bz2
))
4. Registrar uma imagem personalizada na OCI, sendo importada a partir do bucket acima
5. Realizar a reserva de um endereço IP público
6. Provisionar uma instância de computação com a imagem personalizada do firewall OPNsense
7. Atribuir o Firewall na subrede pública (DMZ) durante a criação da instância, atribuindo a ele o IP Público (reservado ou não)
8. Atribuir o firewall na(s) subrede(s) privada(s), para que tenha acesso às cargas de trabalho internas (não é obrigatório inserir uma interface de rede do firewall em cada subnet, você pode ter somente 1 LAN no firewall e apontar todas as tabelas de roteamento internas para esta interface de rede do firewall. Usar uma interface para cada subrede assimila melhor uma rede local tradicional e facilita o entendimento - seu e de seu cliente
)
9. Acessar a instância do firewall via Console OCI para realizar os ajustes iniciais e atribuições de placas de rede
10. Usar no firewall preferencialmente o último endereço IP disponível na subrede (geralmente xx.xx.xx.254)
11a. Desabilitar manualmente no firewall (editar /config/config.xml) as opções nodnsrebindcheck e nohttpreferercheck para que consiga acesso a webgui via internet, da seguinte maneira:
Code:
[Select]
<nodnsrebindcheck>1</nodnsrebindcheck>
<nohttpreferercheck>1</nohttpreferercheck>
11b. Reiniciar o firewall para aplicar a alteração, e acessá-lo pelo IP público.
11c. Certifique-se de ter liberado na SecurityList o acesso à porta 80/443 o firewall inicialmente.
12. Cada subrede deve ter sua própria tabela de roteamento, apontando a rota 0.0.0.0/0 para o IP privado do firewall naquela subnet
13. Configurar as policies/regras de acesso no próprio firewall
14. Configurar na instância do firewall (OCI) a isenção de verificação de origem/destino nas placas de rede (necessário para que a instância faça NAT)
15. Configurar regras stateless na SecurityList, passando tudo para o firewall quando externo → firewall ou interno → firewall
16. Criar no OPNsense os gateways para as redes internas (privadas/publicas) apontando para o gateway interno da própria OCI (geralmente o IP xx.xx.xx.001 de cada subnet).
OBSERVAÇÕES
- O endereço IP xx.xx.xx.001 sempre será usado para o gateway interno de cada subnet da OCI.
- Ex.: A instância interna Linux, aponta seu gateway para o ip xx.xx.xx.001, e este gateway usa o xx.xx.xx.254 (ip do firewall) como seu gateway, conforme definido na tabela de roteamento específica da subnet.
- O upload P/ a OCI não é lá grandes coisas. Mesmo sem o firewall fica entre 1~5 Mbps. Não se engane, o OPNsense não é o culpado do troughput baixo, e sim a Oracle.
- VPN Wireguard é mais estável site-a-site, se usada com roteamento dinâmico é melhor ainda para seu uptime.
INDICAÇÕES
- Habilitar GeoIP e fazer liberações somente para países dos quais se fazem negócios. Ex.: liberar NAT com origem apenas Brasil.
- Habilitar a proteção do Crowdsec
- Habilitar PING na WAN (ou não)
- Habilitar logs nas regras internas → internet ou internas → outras internas
LINKS ÚTEIS
- OCI Networking -
https://docs.oracle.com/en-us/iaas/Content/Network/Concepts/landing.htm
- OCI VCN e Subnets -
https://docs.oracle.com/en-us/iaas/Content/Network/Tasks/VCNs.htm
- OCI Virtual Network Interface Cards -
https://docs.oracle.com/en-us/iaas/Content/Network/Tasks/managingVNICs.htm
- OCI VCN Route Tables -
https://docs.oracle.com/en-us/iaas/Content/Network/Tasks/managingroutetables.htm#Overview_of_Routing_for_Your_VCN
That's all folks.
«
Last Edit: November 05, 2024, 03:52:35 pm by ludarkstar99
»
Logged
Print
Pages: [
1
]
« previous
next »
OPNsense Forum
»
International Forums
»
Portuguese - Português
(Moderator:
juliocbc
) »
HOWTO - OPNsense na Oracle OCI