Pfsense live firewall
Uvod
pfSnese vatrozid je aplikacija koja štiti informacijske sustave od opasnosti sa Interneta i opasnosti koje su moguće unutar organizacije. Vatrozid je napravljen u Linux okruženju. Licenca vatrozida je Open Source što zanči da je besplatan za korištenje Moguće distribucije vatrozida: Instalacija bez grafičkog sučelja,instalacija sa grafičkim sučeljem,pokretanje sa USB sticka i pokretanje sa LiveCD-a.
Minimalni zahtjevi za instalaciju su :
- CPU 100Mhz Pentium
- RAM – 128MB
- CD - ROM
- 1GB – HDD
Ovi zahtjevi nisu pogodni za sve računalne okoline. Minimalni zahtjevi za instalaciju ovise o verziji pfSense vatrozida koji se koristi. Za detaljne informacije pogledati na www.pfsense.or Za bilo koju od navedenih instalacija potrebno je napredno poznavanje računalnih mreža i mrežnih protokola. Sama instalacija je prilično jednostavna i uključuje odabir minimalno dvije mrežne kartice. Dvije mrežne kartice su obavezne na bilo kojem tipu vatrozida. Prva nam služi da kao sučelje koje gleda prema internetu WAN, a druga nam služi kao sučelje koje gleda prema lokalnoj mreži LAN. Broj mrežnih kartica ovisi o načinu na koji želimo postaviti lokalnu mrežu.
--BoženaPlantak 23:20, 10. lipnja 2013. (CEST)
Pristup postavkama pfSense vatrozida
Pristup postavkama vatrozida je moguć sa dva mjesta :
Putem konzole na samom računalu i putem Internet preglednika ( unutar URL unosimo ime ili IP adresu vatrozida)
Pristup putem konzole
Unutar konzole imamo informacije:
Koju verziju vatrozida koristimo (pfSense 2.0.2 ) Fizičku mrežnu karticu (em0) koja je dodijeljena WAN ili LAN sučelju i dodijeljena statička IP adresa
- 0.Izlaz iz konzole
- 1.Dodjeljivanje mrežnog sučelja
- 2.Dodjela IP adrese sučelju
- 3) Resetiranje lozinke za pristup web sučelju
- 4) Resetiranje na tvorničke postavke
- 5) Ponovno pokretanje sistema
- 6) Zaustavljanje sistema
- 7) Provjera mrežne konekcije ( PING )
- 8) Pristup Sehll-u
- 9) Pregled pravila koja se koriste na vatrozidu – dozvoli , zabrani
- 10) Pristup filtriranim dnevnicima vatrozida
- 11) Ponovno pokreni postavke putem web sučelja
- 12) Pristup shell-u kao razvojni inženjer
- 13) Nadogradnja putem konzole
- 14) Omogući sigurni Shell (sshd)
--BoženaPlantak 23:21, 10. lipnja 2013. (CEST)
Pristup putem Internet preglednika
Upisujemo unutar URL IP adresu ili ime vatrozida ( za upis imena vatrozida samo ime mora biti registrirano na DNS servisu).
Nakon čega se pojavljuje ekran za prijavu na vatrozid gdje unosimo korisničko ime i lozinku. Inicijalno korisničko ime i lozinka za pfSense vatrozid su:
Korisnik: admin
Lozinka: pfsense
Prilikom unošenja korisnika treba biti oprezan zbog toga što je sustav osjetljiv na velika i mala slova za razliku od Windows OS-a. Nakon inicijalne prijave na sustav preporuča se promjena korisničkog imena i lozinka.
--BoženaPlantak 23:21, 10. lipnja 2013. (CEST)
Pregled vatrozida iz grafičkog sučelja
Upravljačka konzola vatrozida se sastoji od nekoliko dijelova koji služe za: upravljanje, postavljane i nadzor vatrozida.
Kontrole su:
- Sistem
- Vatrozid
- Mrežna sučelja
- Servisi
- VPN ( Virtualne Privatne Mreže )
- Status
- Dijagnostika
- Pomoć
Osim kontrola na početnoj stranici nalazi se nadzorna ploča na kojoj se nalaze sistemski podaci i podaci o mrežnim sučeljima.
--BoženaPlantak 23:23, 10. lipnja 2013. (CEST)
Upravljačka kontrola sistem (system)
Odabirom na upravljačku kontrolu sistem otvara nam se padajući izbornik:
- Napredno postavljanje
- Upravljanje certifikatima
- Firmware
- Generalno postavljanje
- Izlaz iz aplikacije ( logout )
- Paketi ( instalacija dodatnih paketa za vatrozid )
- Rutanje ( Routing )
- Postavljanje pomoću čarobnjaka
- Upravljanje korisnicima
Napredno postavljanje ( Advanced )
Administratorski pristup ( Adimn Access ) – namijenjeno za napredne korisnike
Administratorski pristup sastoji se od dijela koji se odnosi na postavljane:
1.Preglednika ( webConfigurator )
2.Sigurnosne ljuske ( Secure Shell )
3.Serijskog terminala (Serial Terminal )
4.Opcije upravljačke konzole
Preglednik Postavke za preglednika su :
- Korištenje HTTP ili HTTPS protokola
- Korištenje određenog TCP porta
- Maksimalni broj procesa pokrenutih iz preglednika ( zadano je 2 )
- Omogući/onemogući redirekciju preglednika na određeni zadani port ( ako nije označeno port je uvijek 80 )
- Automatska autorizacija korisnika u pregledniku ( kučica nije označena – dopušteno je pregledniku da zapamti korisničko ime i lozinku )
- Autorizacijske poruke preglednika ( kada je kućica označena uspješno prijavljivanje na sustav neće biti zapisano u log )
- Anti-lockout ( kada kućica nije označena postavljanje vatrozida je dopušteno iz preglednika putem interneta bez obzira na pravila definirana unutar vatrozida)
- DNS Rebind provjera ( kada kućica nije označena sustav je zaštićen od DNS Rebind napada )
- Dodatna imena računala
- Preglednikova HTTP_REFERER prisila ( kada kućica nije označena postavljane iz preglednika je zaštićeno od HTTP_REFERER napada )
Sigurnosna ljuska ( Secure Shell )
- Omogući/onemogući sigurnosnu ljusku ( Secure Shell )
- Metoda Autentifikacije ( Omogući/onemogući korištenje lozinki za autorizaciju – koriste se RSA/DSA ključevi )
- SSH Port – zadani je 22
Serijska komunikacija
- Serijski terminal – Omogući/onemogući serijski port za spajanje sa postavkama 9600/8/N/1
Opcije upravljačke konzole
- Opcije konzole – omogući/onemogući da je konzola zaštićena lozinkom
--BoženaPlantak 20:04, 11. lipnja 2013. (CEST)
Vatrozid/NAT ( Network Address Translation )
Vatrozid/NAT sastoji se od naprednih postavki za vatrozid
- IP Do-Not-Fragment compatibility – Čisti pogrešne DF bitove umjesto da odbacuje pakete ( omogućuje komunikaciju između korisnika koji generiraju fragmentirane pakete i oni koji imaju DF bit postavljen )
- Nasumično generiranje id –ja kod IP adresa – umetanje jačeg ID unutar IP headera paketa koji prolaze kroz filter
- Mogućnosti optimizacije vatrozida – opcije se odbiru iz padajućeg izbornika ( normal , high-latency, aggressive, conservative ) , zadani je normal
- Onemogući vatrozid – onemogući filtriranje svih paketa ( ova mogućnost konvertira pfSense u routing platformu )
- Onemogući/Onemogući scrub vatrozida
- Maksimalna stanja vatrozida – ostaviti prazno za početne vrijednosti (47000 je početna vrijednost)
- Maksimalne tablice vatrozida – makismalni broj tablica za sistema kao što su alias, ssh zaključavanja…… ( ostaviti prazno za početne vrijednosti – 3000 je početna vrijednost )
- Maksimalni broj unosa u tablice vatrozida - ostaviti prazno za početne vrijednosti (200000 je početna vrijednost )
- Filter statičnih ruta – zaobići pravila vatrozida za promet na istom sučelju – omogući/onemogući ( odnosi se samo kada imamo definiranu minimalno jednu statičnu rutu)
- Onemogući automatsko kreiranje pravila za VPN – omogući/ onemogući automatsko kreiranje pravila za IPSec, PPTP protokole
- Onemogući reply-to – omogući/onemogući reply-to na svim WAN pravilima
- Onemogući Negate pravila – Omogući/onemogući negate pravila na pravilima za rutanje
--Vedran Gorički 15:03, 11. lipnja 2013. (CEST)
Mrežne postavke (Networking )
Sastoje se od : 1.IPv6 Opcija
2.Mrežna sučelja
IPv6 Opcija
- Dopusti IPv6 – ukoliko kućica nije označena sav promet IPv6 će biti blokiran
- IPv6 preko IPv4 tunela – Omogući/onemogući IPv4 NAT enkapsulaciju IPv6 paketa ( mogućnost tuneliranja IPv6 paketa preko IPv4 ruting infrastrukture)
Mrežna sučelja
- Device Pooling - Omogući/onemogući device pooling ( Device polling je tehnika koja dopušta sistemu da periodično podsjeti mrežne uređaje na nove podatke umjesto da se oslanja na stare)
- Hardware Checksum Offloading – Omogući/onemogući hardware checksum offload
- Hardware TCP Segmentation Offloading – Omogući/onemogući hardware TCP segmentation offload
- Hardvare Large Receive Offloading – Omogući/onemogući hardware large receive offload
- ARP Hnadling (Address Resolution Protocol ) – Omogući/onemogući slanje ARP poruka
--Vedran Gorički 15:03, 11. lipnja 2013. (CEST)
Raznoliko ( Micellaneous )
Sastoji se od: 1.Podrške za Proxy
2.Load Balancing
3.Štednje snage ( Power savings )
4.glxsb Crypto Akceleracije
5.IP sigurnosti
6.Rasporeda
7.Gateway monitoringa
Podrška za Proxy
- Proxy URL – upisivanje URL-a za pristup proxy iz vana
- Proxy Port – Postavke za port prilikom pristupanje preko URL-a ( zadani port je 8080 )
- Proxy Korisničko ime – postavljanje korisničkog imena da bi pristup bio moguć izvana
- Proxy Lozinke – postavljanje lozinke za korisnika da bi pristup bio moguć izvana
Load Balancing
- Load Balancing - koristi sticky veze – Omogući/onemogući
- Load Balancing – Omogući/onemogući mijenjanje zadanog gateway-a ( Automatska zamjena linka zadanog gateway-a ukoliko primarni padne )
Štednja snage ( Power Savings )
- PowerD – Omogući/onemogući PowerD ( Postavka koja nadzire potrošnju snage sustava i podešava potrošnju prema potrebama )
Glxbs Crypto Akcelerator
- Glxbs – Omogući/onemogući – glxbs ( AMD Geode LX sigurnosni blok će ubrzati neke kriptografske funkcije unutar sustava
IP Sigurnost
- Sigurnosne asocijacije – preferiraj starije IPSec Sas ( početna postavka je da ako se nekoliko SA-s podudara preferira se ona koja je najstarija)
- IPSec debuging – Pokreni racoon u modu za debagiranje ( pokreče racoon u modu za debagiranje tako da se generiraju mnogo opširniji logovi koji pomažu u otklanjanju grešaka)
- Maksimalni MMS – Omogući/onemogući MMS stezanje VPN prometa ( početna vrijednost je 1400 bajtova)
Raspored
- Stanja rasporeda –Omogući/onemogući ( početne postavke rasporeda čiste stanja konekcija koje postoje kada njihovo vrijeme ističe)
Gateway monitoring – Omogući/onemogući (početne postavke brišu stanja gateway linkova koji padnu)
--Vedran Gorički 15:15, 11. lipnja 2013. (CEST)
System Tunables
Sadrži sučelje za upravljanje postavljanjem različitih FreeBSD sysclt vrijednosti koje mijenjaju različita stanja sustava. Slika prikazuje samo dio mogućih postavki.
--Vedran Gorički 15:15, 11. lipnja 2013. (CEST)
Obavijesti ( Notifications )
Sastoji se od:
1. Growl
2. SMTP E-Mail
Growl
- Ime registracije – unos imena za registraciju sa Growl poslužiteljom ( zadani je PHP-Growl )
- Ime koje se koristi za obavještavanja – Unos imena ( zadanao je pfSense growl alert )
- IP adreas – unos IP adrese na koju želite da se šalju obavijesti
- Lozinka – unos lozinke za udaljeni growl uređaj za obaviještavanje
SMTP E-Mail
- E-Mail poslužitelj – FQDN ili IP adresa SMTP-a poslužitelja
- SMTP porti ili E-Mail poslužitelj – Omogući/onemogući SSL/TLS autentifikaciju ( unos porta za SMTP E-Mail poslužitelj)
- Izgled e-mail adrese – kako će izgledati e-mail adresa u polju FROM
- E-mail adresa za obavijesti – unos e-mail adrese na koju želite da se šalju obavijesti
- Korisničko ime za autentifikaciju e-maila za obavijesti ( opcionalno ) – unos korisničkog imena
- Lozinka za autentifikaciju e-maila za obavijesti ( opcionalno ) – unos lozinke
--BoženaPlantak 19:50, 11. lipnja 2013. (CEST)
Upravljanje certifikatima ( Certicifate Authority Manager )
CAs
Ovdje se nalazi popis certifikata kojima se vjeruje. Sastoji se od imena , internog imena , izdavatelja, certifikati ime raspoznavanja. Dodatni certifikati se mogu dodati pritiskom na plus koji se nalazi na desnoj strani ( slika gore ). Mogućnosti prilikom dodavanja certifikata:
- Opisno Ime
- Metoda:
1.Uvoz od postojećeg tijela za certifikate 2.Kreiranje unutarnjeg tijela za certifikate 3.Kreiranje srednjeg tijela za certifikate
Uvoz od postojećeg tijela za certifikate:
- Podaci za certifikat – unos podataka certifikata u X.509 PEM formatu
- Privatni ključ certifikata( opcionalan ) – unos privatnog ključa certifikata koji u većini slučajeva nije potreban , ali potreban ako želimo generirati Certificate Revocation List.
- Serijski broj za sljedeći certifikat – unos decimalnog broja koji se koristi kao serijski broj koji će biti kreiran od ovog tijela
Kreiranje unutarnje tijela za certifikate:
- Duljina ključa – 2048 bIts ( početna vrijednost)
- Vrijeme trajanja u danima – početna vrijednost 3650 dana
- Ime prepoznavanja:
- Kod zemlje
- State
- Država ili Provincija
- Grad
- Organizacija
- Email adresa
- Obično ime
Kreiranje srednjeg tijela za certifikate:
- Tijelo za potpisivanje certifikata
- Duljina ključa – 2048 bIts ( početna vrijednost)
- Vrijeme trajanja u danima – početna vrijednost 3650 dana
- Ime prepoznavanja:
- Kod zemlje
- Država ili Provincija
- Grad
- Organizacija
- Email adresa
- Obično ime
--BoženaPlantak 23:25, 10. lipnja 2013. (CEST)
Certifikati
U ovom dijelu nalazi se upravljanje certifikatima koji se nalaze unutar vatrozida.
Sastoji on nekoliko dijelova:
- Imena certifikata
- Izdavača certifikata
- Ime prepoznavanja
- Da li se koristi ili ne
Sa desne strane nalaze se kontrole za izvoz, brisanje i dodavanje certifikata. Dodavanje certifikata može koristiti tri metode:
- Uvoz postojećeg certifikata
- Kreiranje internog certifikata
- Kreiranje certifikata za potpis
Uvoz postojećeg certifikata
- Opisno ime
- Podaci za certifikat – unos podataka certifikata u X.509 PEM formatu
- Podaci privatnog ključa – unos podataka certifikata u X.509 PEM formatu
Kreiranje internog certifikata
- Opisno ime
- Mora biti definiran interno tijelo za izdavanje certifikata da bi mogli koristiti ovu opciju
Kreiranje certifikata za potpis
- Opisno ime
- Duljina ključa – 2048 bits ( početna vrijednost)
- Ime prepoznavanja:
- Kod zemlje
- Država ili Provincija
- Grad
- Organizacija
- Email adresa
- Obično ime
--Vedran Gorički 15:16, 11. lipnja 2013. (CEST)
Lista certifikata za opoziv
U ovome dijelu se nalazi lista certifikata koja je izdana. Ako nadzorno tijelo smatra certifikati mogu biti opozvani ,razlog opoziva mora biti opravdan. Sastoji se od imena , internog imena , certifikati, da li se koristi.
--BoženaPlantak 19:52, 11. lipnja 2013. (CEST)
Firmware
Sastoji se do tri dijela:
- Ručna nadogradnja
- Auto nadogradnja
- Postavke za nadogradnju
Ručna nadogradnja
Sastoji se od nalaženja novog firmware-a na službenim stranicama pfSense vatrozida i „upload“ novog firmware-a na vatrozid. Firmware mora biti sa ekstenzijom .tgz , jednom kada proces nadogradnje započne nije preporučljivo da se prekine.
--BoženaPlantak 20:07, 11. lipnja 2013. (CEST)
Auto nadogradnja
Auto nadogradnja automatski provjerava da li postoji nova verzija na službenim stranicama vatrozida i radi automatsku nadogradnju.
Postavke za nadogradnju
Sastoji se od : • Firmware grana • Nadogradnja
Firmware grana
Sadržava omogući/onemogući da se koristi URL poslužitelja koji sadrži novi firmware koji nije sa www.pfsense.org stranica. URL novih stranica se mora ručno upisati. Kod ovakvog tipa nadogradnji ne provjerava se digitalni potpis.
--BoženaPlantak 20:10, 11. lipnja 2013. (CEST)
Nadogradnja
Nadogradnja može koristiti firmware nadogradnje kojima nedostaje ili je neispravan digitalni potpis. Postoji opcija omogući/onemogući.
--BoženaPlantak 19:52, 11. lipnja 2013. (CEST)
Generalne postavke ( General Setup )
Sastoje se od :
- Sistemskih postavki
- Teme
Sistemske postavke
- Ime računala – unos imena računala ( zadano je pfSense )
- Ime domene – unos domene u kojoj se računalo nalazi ( zadano je localdomain )
- DNS Poslužitelji – unos IP adrese koju će sustav koristiti za pretvorbu IP adrese u ime.
- Omogući/onemogući da lista sa DNS poslužiteljima bude zaobiđena od strane DHCP/PPP na WAN sučelju
- Omogući/onemogući ne koristi DNS Forwarder ako DNS poslužitelj za vatrozid
- Postavke vremenske zone
- NTP vremenski poslužitelj – unos vremenskog poslužitelja za sinhronizaciju vremena ( zadano je 0.pfsense.pool.ntp.org )
Teme
Promjena izgleda teme za vatrozid
--BoženaPlantak 19:53, 11. lipnja 2013. (CEST)
Logout
Izlaz iz sustava
Usmjeravanje ( Ruting )
Sastoji se od:
- Gateways
- Routs
- Groups
--Vedran Gorički 15:18, 11. lipnja 2013. (CEST)
Gateways
Sadrži ime koje dodijelimo radi lakšeg raspoznavanja, mrežno sučelje kojem je dodijeljeno, gateway, monitor IP adrese i opisno polje. Sa desne strane nalazi se kontrola za dodavanje novog gateway-a.
--Vedran Gorički 15:18, 11. lipnja 2013. (CEST)
Dodavanje novog gateway-a
Postavke koje moramo upisati su :
- Mrežno sučelje na koje se odnosi (WAN ili LAN )
- Ime koje dodjeljujemo
- IP adresa Gatewaya
- Omogući / onemogući da je navedeni gateway zadani gateway
- Omogući/onemogući nadzor gateway-a ( Gateway Monotoring )
- IP adresa za nadzor – koristi se alternativna IP adresa za monitor linka, ovo se koristi kada gateway ne odgovara na ICMP echo ping zahtjeve
- Napredne opcije:
- Težina – od 1 do 5 kada se koristi grupa gateway-a
- Pragovi latencije od – do u milisekundama
- Prag gubitaka paketa od – do izražen u %
- Frekvencija isprobavanja – koliko često će biti poslan ICMP ping zahtjev u sekundama ( zadano je 1 )
- Down – broj loših proba prije oglašavanja alarma ( zadano je 10 )
- Opisno polje – koristi se lakšu identifikaciju
--Vedran Gorički 15:18, 11. lipnja 2013. (CEST)
Rute
Rute mogu biti dinamičke i statične, ovdje se dodaju statične rute. Sastoji se od imena mreže, gateway-a, mrežnog sučelja i opisnog polja. Sa desne strane nalazi se kontrola za dodavanje nove rute.
--Vedran Gorički 15:18, 11. lipnja 2013. (CEST)
Dodavanje nove statične rute
Sastoji se od:
- Mrežne destinacije ( IP adresa i subnet maske koja je izražena u bitovima ovdje )
- Gateway - odabira gateway-a na koji će se ruta primjenjivati
- Opisno polja – koristi se za lakšu identifikaciju
--Vedran Gorički 15:18, 11. lipnja 2013. (CEST)
Grupe gatewaya
Koriste se kod pravila vatrozida da bi se mogao omogućiti load balancing, failover, policy-based routing. Sastoji se od imena grupe , gateway-a , prioriteta, opisnog polja. Sa desne strane nalazi se kontrola za dodavanje nove grupe gatewaya. Dodavanje nove grupe gatewaya Sastoji se do:
- Imena grupe
- Prioriteta gateway-a – prioritet linka definira kojim redoslijedom će biti složen failover ili load balancing konekcije
- Nivo „okidača“ ( Trigger Level ) – na temelju kojeg događaja se koristi gateway prioritet:
- Member down
- Packet lost
- Visoka latencija
- Gubitak paketa ili visoka latencija
- Opisno polje – koristi se lakšu identifikaciju
--Vedran Gorički 15:18, 11. lipnja 2013. (CEST)
Čarobnjak za postavljanje vatrozida
Čarobnjak se koristi za inicijalno početno postavljanje vatrozida. Sastoji se od:
Generalni parametri
- Ime računala – zadano pfSense
- Ime domene – zadano localdomain
- Primarni DNS Server
- Sekundarni DNS Server
- Premosti DNS – omogući/onemogući ( mogućnost da DNS server bude premošten oda strane DHCP-a/PPP na WAN sučelju )
--BoženaPlantak 20:11, 11. lipnja 2013. (CEST)
Informacije o vremenskom serveru
- Ime vremenskog servera – zadano je 0.pfsense.pool.ntp.org
- Vremenska zona
--BoženaPlantak 20:11, 11. lipnja 2013. (CEST)
Postavke za Wide Area Network
- Postavljanje WAN sučelja - tip ( Static, DHCP, PPPoE, PPTP )
- Općenite postavke – MAC adresa mrežne kartice , MTU
- Postavke statične IP adrese – IP adresa računala , IP adresa gatewaya
- Postavljanje za DHCP klijenta – ime DHCP klijenta
- PPPoE postavke:
- Korisničko ime
- Lozinka
- Ime servisa
- Biranje na zahtijev – omogući/ onemogući
- Idle timeout – nakon koliko vremena mirovanja veze veza se prekida – izražava se u sekundama, ako se stavi 0 , ova opcija se onemogućuje
- PPTP postavke:
- Korisničko ime
- Lozinka
- Lokalna IP adresa
- Udaljena IP adresa
- Biranje na zahtijev – omogući/ onemogući
- Idle timeout – nakon koliko vremena mirovanja veze veza se prekida – izražava se u sekundama, ako se stavi 0 , ova opcija se onemogućuje
- RFC 1918 Mreže – omogući/onemogući – zaustavlja sav mrežni promet sa IP adresa koje su privatne prema RFC 1918 dokumentu
- Blokiraj bogon Mreže - omogući/onemogući - zaustavlja sav mrežni promet sa IP adresa koje su privatne ( ne prema RFC 1918 dokumentu ) ili koje nisu dodijeljene od IANA-e
--BoženaPlantak 20:12, 11. lipnja 2013. (CEST)
Postavke za Local Area Network mrežu
- LAN IP adresa – ako se koristi DHCP upisati dhcp
- Subnet maska – broj bitova odabrati iz padajućeg izbornika
--BoženaPlantak 20:12, 11. lipnja 2013. (CEST)
Postavljanje administratorske lozinke za upravljanje vatrozidom iz grafičkog sučelja
- Unos lozinke
- Ponovni unos lozinke
--BoženaPlantak 19:54, 11. lipnja 2013. (CEST)
Upravljanje korisnicima ( User Manager )
Služi za dodavanje mijenjanje i brisanje korisnika i grupa korisnika. Sastoji se od:
- Korisnika
- Grupa
- Postavki
- Poslužitelji
Korisnik
Prikaz svih korisnika i grupa kojima pripadaju. Sa desne strane nalazi se kontrola za dodavanje korisnika. Sastoji se od:
- Korisničkog imena
- Punog imena
- Da li je korisnik omogućen ili onemogućen
- Grupe
Dodavanje novog korisnika
Potrebno je korisničko ime, lozinka, puno ime , datum kada korisnik ističe, pripadnost grupi ( grupe kojima ne pripada i grupe kojima pripada), ključevi autorizacije (omogući/onemogući) IPSec Pre-Shared Key --BoženaPlantak 20:14, 11. lipnja 2013. (CEST)
Grupe
Pregled svih grupa koje su kreirane na vatrozidu, broj korisnika koliko svaka grupa ima i kontrola sa desne strane za kreiranje nove grupe.
Kreiranje nove grupe
Potrebno je definirati ime grupe, opis grupe i pripadnost grupi. --BoženaPlantak 20:14, 11. lipnja 2013. (CEST)
Postavke
Postavke koje se odnose na vrijeme sesije u mirovanju ( početna postavka je 4 sata ) i poslužitelja za autentifikaciju koji može biti lokalni ili na mreži. --BoženaPlantak 20:16, 11. lipnja 2013. (CEST)
Poslužitelji
Pregled poslužitelja za autentifikaciju. Sadrži kontrolu sa desne strane za dodavanje novog poslužitelja. Sastoji se od:
- Imena poslužitelja
- Tipa
- Imena računala
--BoženaPlantak 20:16, 11. lipnja 2013. (CEST)
Dodavanje novog poslužitelja
- Upis imena
- Tip – LDAP ili RADIUS
--Vedran Gorički 15:31, 11. lipnja 2013. (CEST)
Postavke LDAP poslužitelja
- IP adresa ili ime poslužitelja
- Port – zadani je 389
- Transport TCP- standard ili SSL enkripcija
- Verzija protokola – 2 ili 3
- Opseg pretraživanja – jedan nivo ili sve
- Autentifikacijski kontejneri
- Akreditacije za spajanje – koristiti anonimus za provjeru imena
- Korištenje predložaka:
- OpenLDAP
- MicrosoftAD
- Novell eDirectory
--Vedran Gorički 15:31, 11. lipnja 2013. (CEST)
Mrežna sučelja
Dodavanje i pregled mrežnih sučelja. Ovdje možete pregledati mrežna sučelja koja su dodana u inicijalnim postavkama ili možete dodati ovdje mrežno sučelje pomoću opcije dodavanje ( assign ).
Vidljiva su sučelja koja se dodijeljena WAN i LAN.
Assign
Dodjeljivanje mrežnog sučelja ( Interface assignments )
Sastoji se od:
- Pregled fizičkih mrežnih sučelja i njihove MAC adrese, kontrola za dodavanje sučelja
Grupe sučelja ( Interface Groups )
Sastoji se od:
- Imena
- Članova
- Opisa
- Kontrole za dodavanje grupe
Kontrola za dodavanje grupe
Sastoji se od :
- Imena grupe
- Opisa
- Član je kojeg mrežnog sučelja
Postavke za bežičnu mrežu ( Wireless )
Sastoji se od:
- Mrežnog sučelja
- Moda
- Opisa
- Kontrole za dodavanje mrežnog sučelja
Kontrola za dodavanje mrežnog sučelja
Sastoji se od:
- Roditeljskog sučelja
- Moda – Infrastrukturni BSS, Ad-hoc IBSS, Access Point
- Opisa
VLAN-ovi ( Virtualni Lanovi )
Sastoje se od:
- Mrežnog sučelja
- VLAN Tag-a
- Opisa
- Kontrole za dodavanje
Kontrola za dodavanje
Sastoji se od:
- Odabir mrežnog sučelja za VLAN
- VLAN Tag – brojčana oznaka od 1-4094
- Opis
--Vedran Gorički 15:19, 11. lipnja 2013. (CEST)
QinQ
Mrežni standard koji podržava Virtualne Lanove ( VLAN ) . Standard definira VLAN tagging za Ethernet okvire Sastoji se od :
- Mrežnog sučelja
- Taga
- QinQ članova
- Opisa
- Kontrole za dodavanje
Kontrola za dodavanje
Sastoji se od:
- Roditeljskog sučelja
- Tag prvog nivoa
- Mogućnost – omogući/onemogući QinQ grupna mrežna sučelja
- Opisa
- Koji su članovi QinQ
--Vedran Gorički 15:19, 11. lipnja 2013. (CEST)
PPP Point-to-Point protocol
Sastoji se od :
- Odabira vrste linka:
- PPP
- PPPoE
- PPTP
- L2TP
- Opisa
- Korisničkog imena
- Lozinke
--Vedran Gorički 15:20, 11. lipnja 2013. (CEST)
GRE – Generic Routing Encapsulation
Sastoji se do:
- Mrežnog sučelja
- Tunela kamo
- Opisa
- Kontrole za dodavanje
Kontrola za dodavanje
Sastoji se od:
- Roditeljskog sučelja
- GRE IP adrese
- GRE IP adrese lokalnog tunela
- Mobilnog tunela – omogući/onemogući koju vrstu enkapsulscijskog tunela da se koristi
- Tip pretraživanja rute – omogući/onemogući
- WCCP vrezija – omogući/onemogući – koji metodu WCCP enkapsulacije tunel bi trebao koristiti 1 ili 2
- Opis
--Vedran Gorički 15:20, 11. lipnja 2013. (CEST)
GIF
Sastoji se od:
- Mrežnog sučelja
- Tunela kamo
- Opisa
- Kontrole za dodavanje
--Vedran Gorički 15:22, 11. lipnja 2013. (CEST)
Kontrola za dodavanje
- Roditeljskog sučelja
- GIF udaljene IP adrese
- GIF IP adrese lokalnog tunela
- GIF IP adrese udaljenog tunela
- Rout Chaning – omogući/onemogući
- ENC prijateljsko ponašanje – omogući/onemogući
- Opis
--Vedran Gorički 15:22, 11. lipnja 2013. (CEST)
Bridges
Sastoji se od:
- Mrežnog sučelja
- Članova
- Opisa
- Kontrole za dodavanje
Kontrola za dodavanje
Sastoji se od:
- Sučelja članova
- Opisa
--Vedran Gorički 15:22, 11. lipnja 2013. (CEST)
LAGG – Link aggregation and link Failover Interfaces
Sastoji se od:
- Mrežnog sučelja
- Članova
- Opisa
- Kontrole za dodavanje
Kontrola za dodavanje
Sastoji se od:
- Roditeljskog sučelja
- LAG Proto :
- Failover
- Fec
- Lacp
- Loadbalance
- Roundrobin
- None
- Opis
--Vedran Gorički 15:22, 11. lipnja 2013. (CEST)
LAN I WAN sučelja
Postavke za WAN i LAN sučelja. Ukoliko neko od sučelja nije omogućeno potrebno je to učiniti. Sastoji se od:
- Općenite postavke koje sadržavaju:
- Opis
- Tip – koji može biti statički, DHCP, PPP, PPPoE, PPTP, L2TP
- MTU – početno 1500 bajtova
- MSS ( Maximum Size Segment )
- Brzina i duplex:
- Autoselect
- 1000baseT
- 1000baseT full-duplex
- 1000baseTX full-duplex
- 100baseTX
- 10baseT/UTP full-duplex
- 10baseT/UTP
- Postavke statične IP adrese:
- IP adresa i broj subnet bitova
- Privatne mreže:
- Blokiraj privatne mreže – omogući/onemogući
- Blokiraj bogon mreže
--Vedran Gorički 15:22, 11. lipnja 2013. (CEST)
Vatrozid ( Firewall )
Ovdje se nalaze postavke za vatrozid i podijeljene su u nekoliko grupa:
- Alias
- NAT ( Network Address Translation )
- Pravila
- Raspored
- Oblikovatelj prometa ( Traffic Shaper )
- Virtialne IP adrese
Alias
Alias služe kao „spremišta“ za stvarna imena računala, mreže ili portove. Ljudi lakše pamte proizvoljna imena nego npr. Ime računala vzfoi01.localdomain.hr , zbog toga koristimo alias imena. Dodavanje alias imena se sastoji od:
- Imena
- Opisa
- Tipa – na šta se odnosi ( mrežu, uređaj na mreži, portove, URL ili URL Tabelu)
- Uređaji na mreži – potrebno unijeti IP adresu i broj subnet bitova ili fuly qualified domain name (FQDM)
- Mreža - Potrebno unijeti IP adresu od – do i broj subnet bitova
- Portovi – Potrebno unijeti portove i odvajati ih zagradom
- URL – potrebno unijeti adrese
- URL Tablice – potrebno unijeti URL koji sadrži veliki broj IP adresa
NAT – Network Address Translation
Služi za pretvorbu jedne javne IP adrese u više privatnih IP adresa. Posljedica je nedostatka IPv4 javnih adresa. Sastoji se od se od .
- Port Forward
- 1:1
- Outbound
--Vedran Gorički 15:22, 11. lipnja 2013. (CEST)
Port forward
Služi za usmjeravanje određene aplikacije ili protokola da koristi određenu IP adresu i protokol Pregled pokazuje :
- If – mrežno sučelje
- Proto - protokol
- Scr.addr- izvorišna adresa
- Scr.ports – izvorišni port
- Dest.addr – odredišna adresa
- Dest.ports – odredišni port
- NAT IP – „natirana“ IP adresa
- NAT Ports – „natirani“ portovi
- Description – opisno polje
- Kontrola za dodavanje ili brisanje „natiranih“ pravila
--Vedran Gorički 15:22, 11. lipnja 2013. (CEST)
Dodavanje pravila za Port Forward
Potrebno je odrediti:
- Disabled - da li je pravilo onemogućeno ili omogućeno
- No RDR (NOT) - onemogući redirekciju za promet koji odgovara ovome pravilu
- Interface - odabir mrežnog sučelja iz padajućeg izbornika
- Odabir mrežnih protokola:
- TCP
- UDP
- TCP/UDP
- GRE
- ESP
- Izvorište koje se odnosi na IP adresu i port
- IP adresa :
- Any – bilo koja
- Single host ili alias
- Network – mreža
- PPTP Clients
- PPPoE Clients
- L2TP Clients
- WAN Subnets
- WAN Address
- Izvorišni raspon portova:
- ( other ) – sami definiramo port
- Any – bilo koji
- Pred definirani protokoli – (HTTP,HTTPS DNS, ICQ, ICMP……….)
- IP adresa :
- Odredište koje se odnosi na IP adresu i port
- IP adresa :
- Any – bilo koja
- Single host ili alias
- Network – mreža
- PPTP Clients
- PPPoE Clients
- L2TP Clients
- WAN Subnets
- WAN Address
- Izvorišni raspon portova:
- ( other ) – sami definiramo port
- Any – bilo koji
- Pred definirani – (HTTP,HTTPS DNS, ICQ, ICMP……….)
- IP adresa :
- Preusmjeravanje zadane IP adrese
- Preusmjeravanje – zadanog porta
- Opisno polje
- No XMLRPC Sync – omogući/onemogući – ovo sprečava pravila da se automatski sinhroniziraju sa ostalim CARP elementima
- NAT reflection :
- Sistemski zadano
- Omogući
- Onemogući
- Filter rule association – filtriranje sličnih pravila
Izgled NAT Port Forward Adrese
--Vedran Gorički 15:22, 11. lipnja 2013. (CEST)
NAT 1:1
Mapiranje jedne unutarnje IP adrese jednoj vanjskoj IP adresi Sastoji se do:
- Mrežnog sučelja
- Vanjske IP adrese
- Unutarnje IP adrese
- Odredišne IP adrese
- Opisno polje
- Kontrole za kreiranje NAT 1:1
--Vedran Gorički 15:22, 11. lipnja 2013. (CEST)
Kontrola za kreiranje NAT 1:1
Potrebno je odrediti:
- Disabled - da li je pravilo onemogućeno ili omogućeno
- Interface - odabir mrežnog sučelja iz padajućeg izbornika
- Vanjski subnet IP adresa – obično na WAN mrežnom sučelju
- Interna IP adresa:
- Omogući/onemoguć
- Any – bilo koja
- Single host ili alias
- Network – mreža
- PPTP Clients
- PPPoE Clients
- L2TP Clients
- WAN Subnets
- WAN Address
- Odredište
- Omogući/onemogući
- Any – bilo koja
- Single host ili alias
- Network – mreža
- PPTP Clients
- PPPoE Clients
- L2TP Clients
- WAN Subnets
- WAN Address
- Opisno polje
- NAT reflection :
- Sistemski zadano
- Omogući
- Onemogući
Izgled NAT 1:1
--Vedran Gorički 15:22, 11. lipnja 2013. (CEST)
Outbound NAT
Kod Outbound NAT pravila postoje dvije opcije:
- Automatic Outbound NAT – mogućnost da sav promet koji prođe kroz LAN Mrežno sučelje da se na njega automatski primjeni NAT.
- Manual/ Advanced Outbound NAT – Lista sa pravilima koja su sličan automatskim pravilima NAT , a mogu se editirati , brisati i dodavati.
- Sastoji se od :
- Interface –mrežnog sučelja
- Source - izvorište
- Source port – izvorišni port
- Destination – odredište
- Destination port –odredišni port
- NAT Address – NAT IP adresa
- NAT port
- Static Port – statični port
- Description –opisno polje
- Kontrola za kreiranje NAT pravila
--Vedran Gorički 15:22, 11. lipnja 2013. (CEST)
Kontrola za kreiranje NAT Outbound pravila
Sastoji se od:
- Disabled - da li je pravilo onemogućeno ili omogućeno
- Interface - odabir mrežnog sučelja iz padajućeg izbornika
- Odabir mrežnih protokola:
- any
- TCP
- UDP
- TCP/UDP
- ICMP
- GRE
- ESP
- AH
- IGMP
- carp
- pfsync
- Izvorište
- omogući/onemogući
- Type:
- Any
- Network
- Address – IP adresa
- Translation – pretvorba
- IP adresa koja može biti .
- IP adresa mrežnog sučelja
- Any – bilo koja
- Drugi Subnet koji je potrebno upisati
- Port
- Da li je port statičan
- IP adresa koja može biti .
- No XMLRPC Sync – omogući/onemogući – ovo sprečava pravila da se automatski sinhroniziraju sa ostalim CARP elementima
- Opisno polje
Izgled – NAT Outbound
--Vedran Gorički 15:22, 11. lipnja 2013. (CEST)
Pravila Vatrozida ( Rules )
Pravila vatrozida koriste nam za filtriranje mrežnog prometa sa WAN mrežnih sučelja na LAN mrežna sučelja i obratno sa mogućnošću odabira vremena u kojem se pravila provode. Ovdje određujemo gdje aplikacije i korisnici smiju pristupati. Sučelje se sastoji od sistemski dva kreirana pravila pass i block u tablici sa parametrima:
- ID
- Proto – protokol
- Source – izvorište
- Port
- Destination – odredište
- Port
- Gateway
- Queue
- Scheduel - raspored
- Descripton –opisno polje
- Kontrola za kreiranje pravila za pristup
Kontrola za kreiranje pravila za pristup
- Action – šta da pravilo učini:
- Pass –propusti
- Block – paket se „tiho“ ispušta
- Reject – paket se vrati pošiljatelju
- DIsabled – omogući/onemogući pravilo
- Interface – odabir mrežnog sučelja na koje se pravilo odnosi ( WAN LAN)
- Protokol – odabrati iz padajućeg izbornika:
- any
- TCP
- UDP
- TCP/UDP
- ICMP
- GRE
- ESP
- AH
- IGMP
- carp
- pfsync
- Izvorište
- Omugući/onemogući
- Any – bilo koja
- Single host ili alias
- Network – mreža
- PPTP Clients
- PPPoE Clients
- L2TP Clients
- WAN Subnets
- WAN Address
- Odredište
- Omogući/onemogući
- Any – bilo koja
- Single host ili alias
- Network – mreža
- PPTP Clients
- PPPoE Clients
- L2TP Clients
- WAN Subnets
- WAN Address
- Izvorišni raspon portova:
- ( other ) – sami definiramo port
- Any – bilo koji
- Pred definirani – (HTTP,HTTPS DNS, ICQ, ICMP……….)
- Log – omogući/onemogući – zapis događaja po pojedinom pravilu
- Description – opisno polje
Kreirano pravilo na vatrozidu
--BoženaPlantak 23:26, 10. lipnja 2013. (CEST)
Schedules – određivanje vremenskih raspona kada da se pravila vatrozida koriste
Vremenski raspon se sastoji od :
- Imena
- Vremenskog raspona
- Opisnog polja
- Kontrole za unos rasporeda
Izrada rasporeda sastoji se od:
- Imena rasporeda
- Opisnog polja
- Kalendara
- Vremena
- Opisa vremenskog raspona
- Pregleda pravila za moguće buduće promjene
Izgled vremenskog rasporeda izvršavanja pravila
--BoženaPlantak 19:56, 11. lipnja 2013. (CEST)
Trafic Shaper – oblikovanje prometa
Oblikovanje prometa je način kontrole mrežnog prometa da bi se optimizirale ili garantirale najbolje performanse , manje latencije, smanjenje neiskorištenog mrežnog bandwith-a. korištenje ovog modula vatrozida zahtjeva napredno poznavanje mreža i mrežnih protokola. Može se koristiti po :
- Mrežnom sučelju
- By Queue
- Limiter
- Layer 7
- Izrada pomoću čarobnjaka
--Vedran Gorički 15:29, 11. lipnja 2013. (CEST)
Mrežno sučelje
Izrada za mrežno sučelje se sastoji do nekoliko stvari koje korisnik mora ispuniti:
- Omogući/onemogući
- Ime
- ip vremenskog rasporeda:
- HFSC
- CBQ
- FAIRQ
- PRIQ
- Bandwith u Kbit/s
- Limit Queuq
- TBR size
- Queuq Actions
--Vedran Gorički 15:29, 11. lipnja 2013. (CEST)
Limiter
Izrada Limitera se sastoji do nekoliko stvari koje korisnik mora ispuniti:
- Omogući/onemogući
- Ime
- Bandwith u Kbit/s
- Mask
- Opisno polje
- Queuq Actions
--Vedran Gorički 15:29, 11. lipnja 2013. (CEST)
Layer7
Izrada Layer7 se sastoji do nekoliko stvari koje korisnik mora ispuniti:
- Omogući/onemogući
- Ime
- Bandwith u Kbit/s
- Opisno polje
- Pravilo - dodavanje jednog ili više pravila koja se odnose na :
- Protokol
- Strukturu
- Ponašanje
--Vedran Gorički 15:29, 11. lipnja 2013. (CEST)
Čarobnjak ( Wizard )
Korištenje čarobnjak uključuje odabir nekoliko različitih funkcija. Funkcije su sljedeće:
- Single Lan multi Wan
- Single Wan multi Lan
- Miltiple Lan/wan
- Dedicated Links
Izgled čarobnjaka traffic shaper
--BoženaPlantak 19:57, 11. lipnja 2013. (CEST)
Virtualne IP adrese
Virtualne IP adrese na vatrozidu se razlikuju od stvarnih IP adresa i najčešće se koriste za NAT , ali se mogu koristiti i za potrebe clusterbing, binding servisa kao što je DNS , load balancig itd. Pregled sučelja za virtualne IP adrese sastoji se od:
- Virtualne IP adrese
- Tipa
- Opisnog polja
- Kontrole za unos virtualne IP adrese
--Vedran Gorički 15:29, 11. lipnja 2013. (CEST)
Kreiranje virtualne adrese
Sastoji se od:
- Tipa koji može biti:
- Proxy ARP
- CARP
- Other
- IP Alias
- Mrežno sučelje
- IP adresa koja može bit :
- Jedna
- Cijela mreža
- Lozinka za virtualnu IP adresu
- VHID grupa
- Oglašavajuća frekvencija
- Opisno polje
Pregled kreirane virtualne IP adrese
--Vedran Gorički 15:29, 11. lipnja 2013. (CEST)
Servisi pfSense vatrozida ( Services )
pfSense vatrozid sadrži standardne mrežne servise primjerene za vatrozid. Servisi koji su na ovom vatrozidu su :
- Captive Portal
- DHCP Relay
- DHCP Server
- DNS Forwarder
- Dynamic DNS
- IGMP Porxy
- Load Balancer
- NTP
- OLSR
- PPPoE Server
- RIP
- SNMP
- Wake on Lan
Captive portal
Funkcija pfSense vatrozida koja radi finu filtraciju pristupa vatrozidu putem mreže. Postavke se odnose na nekoliko funkcija:
- Captive portal – generalne postavke za autentifikaciju
- Pass-Troug MAC – dopuštene MAC adrese koje smiju pristupiti vatrozidu
- Allowed IP adrese – dopuštene IP adrese koje smiju pristupiti vatrozidu
- Allowed Hostnames – dopuštena imena hostova koja smiju pristupiti vatrozidu
- Vouchers – pristupni kodovi za jednokratno korištenje
- File Manager upravljanje datotekama sa sadržajem za autentifikaciju na vatrozidu
Izgled Captive portala
--BoženaPlantak 20:47, 11. lipnja 2013. (CEST)
DHCP Server 8 Dynamic Host Configuration Protocol )
Služi za automatsku dodjelu IP adresa uređajima na računalnoj mreži. pfSense vatrozid ima mogućnost postavljanja DHCP Servisa. Za ovo je postavljanje potrebno je da jedno mrežno sučelje ima statičku IP adresu. Postavljanje se sastoji od:
- Omogući/onemogući DHCP poslužitelj na zadanom mrežnom sučelju
- Omogući/onemogući nepoznate klijente
- Mrežni subnet
- Subnet maska
- Raspon dodjele adresa
- WINS poslužitelj
- DNS poslužitelj
- Gateway
- Domensko ime
- Domenska lista za pretraživanje
- Zadano vrijeme iznajmljivanja IP adrese
- Maksimalno vrijeme iznajmljivanja IP adrese
- Statični ARP
- Dinamični DNS
- NTP Poslužitelj
- TFTP poslužitelj
- LDAP URI
- Omogući mrežno podizanje ( network booting )
- Dodatne BOOT/DHCP mogućnosti
Izgled DHCP Servera
--BoženaPlantak 20:47, 11. lipnja 2013. (CEST)
DHCP Relay
Koristi se dodjeljivanje IP automatskih adresa na drugim mrežama koji se nalaze iza usmjerivača mrežnog prometa ( rutera ). Koraci za kreiranje :
- Omogući/onemogući
- Omogući/onemogući kružni ID i ID agenta
- Odredišni server
Izgled DHCP Relay
--BoženaPlantak 20:48, 11. lipnja 2013. (CEST)
DNS Forwarder
Koristi se za prosljeđivanje DNS upita autoritativnim DNS poslužiteljima. Postavljanje ovog servisa se sastoji do:
- Omogući/onemogući DNS Forwarder
- Omogući/onemogući DHCP registracija izdanih IP adresa kod DNS forwardera
- Static DHCP – Omogući/onemogući registracija statičnih mapiranja kod DNS forwardera
- Prefer DHCP - Omogući/onemogući rješavanje DHCP mapriranja prvo
Izgled DNS Forwardera servisa
--BoženaPlantak 20:48, 11. lipnja 2013. (CEST)
Dynamic DNS
Dinamično obavještavanje ISP o vašem host imenu bez obzira na periodične promjene IP adrese. Postavljanje se sastoji do :
- Omogući/onemogući uslugu
- Tip servisa (DNS-O-Matic, DynDNS(dynamic), DynDNS(ststic), NO-IP ……..)
- Ime hosta
- MX zapis
- Omogući/onemogući Wildcards
- Korisničko ime
- Lozinka
- Opisno polje
Izgled postavljanog dynamic DNS
--BoženaPlantak 20:48, 11. lipnja 2013. (CEST)
IGMP Proxy
Koristi se za slušanje mrežnog prometa između hostova i usmjerivača mrežnog prometa. Postavljanje se sastoji do :
- Odabira mrežnog sučelja
- Opisnog polja
- Tipa – Upstream Interface,Downsteram Interface
- Treshhold – definiranj TTL ( Time To Live )
- Mreže za koju se koristi
--Vedran Gorički 15:29, 11. lipnja 2013. (CEST)
Load Balancer
Koristi se za raspodjelu opterećenja rada poslužitelja. Sastoji se od tri taba:
- Pools
- Virtual servers
- Monitors
--Vedran Gorički 15:29, 11. lipnja 2013. (CEST)
Pools
Postavljanje pool za load balancer potrebno je:
- Ime
- Mod – load balanced ili Manual Failover
- Opisno polje
- Port
- Retry – koliko puta pokušava kontaktirati poslužitelj prije nego ga proglasi ugašenim
- Monitor – ICPM, TCP , HTTP, HTTPS, SMTP
- Members
Izgled Load Balanced Pool
--Vedran Gorički 15:29, 11. lipnja 2013. (CEST)
Virtual Servers =
Dodavanje zapisa virtualnih poslužitelja:
- Ime
- Opisno polje
- IP adresa
- Port
- Virtal server pool – prethodno napravljen
- Fall back pool
- Relay protokol
Izgled Virtual servers
--Vedran Gorički 15:29, 11. lipnja 2013. (CEST)
Monitors
Nadgledanje zadanih mrežnih protokola
--Vedran Gorički 15:29, 11. lipnja 2013. (CEST)
NTP – Network Time Protocol
Koristi se za sinhronizaciju vremena na računalima i mrežnim uređajima sa točnim vremenom sa internetskih poslužitelja. Postavljanje se sastoji od odabira mrežnog sučelja za sinhronizaciju vremena.
--Vedran Gorički 15:29, 11. lipnja 2013. (CEST)
OLSR Deamon – Optimized Link State Routing
Način implementacije dinamičkog mensh usmjeravanja mrežnog prometa . Nije raširen servis i pretežno se koristi za izgradnju bežičnih mensh mreža. Postavljanje se sastoji od :
- Omogući/onemogući
- Kvaliteta linka -0,1,2
- Odabir mrežnog sučelja
- Omogući/onemogući dodatak za HTTP port
- Dopušteni hostovi
- Dopušteni host podmreže
- Omogući/onemogući dinamički gateway
- Omogući/onemogući da se proglasi vatrozid kao dinamički gateway
- Porglašavanje dinamičkih lokalnih ruta za usmjeravanje mrežnog prometa
- Ping
- Poll
- Omogući/onemogući sigurni mod
- Sigurnosni ključ
--Vedran Gorički 15:29, 11. lipnja 2013. (CEST)
PPPoE Point-To-Point over Ethernet
Mrežni protokol koji se koristi za povezivanje usmjerivača mrežnog prometa sa ISP-om. Postavljanje se sastoji od :
- Omogući/onemogući PPPoE
- Odabrati mrežno sučelje
- Broj PPPoE korisnika
- IP adresa poslužitelja
- Zapis raspona IP adresa
- Opisno polje
- DNS poslužitelji
- RADIUS postavke
- Omogući/onemogući –korištenje RADIUS-a za autentifikaciju
- Omogući/onemogući –korištenje RADIUS accounting
- Omogući/onemogući – backup RADIUS poslužitelj
- RADIUS IP adresa
- RADIUS accounting update – nadogradnja u sekundama
- Izdane IP RADIUS adrese
- RADIUS primarni server – IP adresa i subnet maska
- RADIUS primarna dijeljena tajna – koristi se za autentifikaciju
- RADIUS sekundarni server – IP adresa i subnet maska
- RADIUS sekundarna dijeljena tajna – koristi se za autentifikaciju
- Korisnici – korisničko ime , lozinka, IP adresa
Izgled Postavki za PPPoE
--BoženaPlantak 19:58, 11. lipnja 2013. (CEST)
RIP – Routing Information Protocol
Mrežni protokol za usmjeravanje mrežnog prometa formalno definiran u dokumentu RFC 1058. RIP omogućuje usmjerivačima i radnim stanicama razmjenu informacija o usmjerivačkim smjerovima unutar Internet mreže. Postavljanje se sastoji od:
- Omogući/onemogući RIP deamon
- Odabir mrežnog sučelja
- Odabir verzije RIP protokola – RIPv1 ili RIPv2
- RIPv2 lozinka
--Vedran Gorički 15:29, 11. lipnja 2013. (CEST)
SNMP – Simple Network Managment Protocol
Mrežni protokol koji se najčešće koristi za nadzor i upravljanje mrežnim uređajima u TCP/IP mrežama. Postavljanje se sastoji od:
- Postavke za SNMP Deamon
- SNMP Traps
- Modeules
- Binding Interfaces
Postavke za SNMP Deamon
- Pooling port -zadani je 161
- Mjesto za prikupljanje podataka u sistemu
- Kontakt sistema
- Read Community string – zadani je public ( slično kao lozinka )
SNMP Traps
- Traps server – odabrati poslužitelja za skupljanje informacija
- Trap server port – odabrati port na poslužitelju
- Enter the SNMP trap string
--BoženaPlantak 20:50, 11. lipnja 2013. (CEST)
Modules
- MibII
- Netgrapf
- PF
- Host Resources ( Requires Mib II )
Binding Interfaces – odabrati mrežna sučelja
--BoženaPlantak 20:49, 11. lipnja 2013. (CEST)
Wake on LAN
Mogućnost paljenja računala putem računalne mreže. Postavljanje se sastoji od:
- Odabira mrežnog sučelja
- Upisivanje MAC adrese
--BoženaPlantak 20:50, 11. lipnja 2013. (CEST)
VPN Virtualne Privatne Mreže
Mrežni protokol koji omogućuje siguran rad mrežnim uređajima preko ne zaštićene Internetske mreže. Koristi razne enkripcijske protokole za komunikaciju i zaštitu podataka. pfSense vatrozid nudi mogućnost postavljanja za IPsec, L2TP, OpenVPN, PPTP protokole.
IPSec
Sastoji se od postavki za :
- Tunnels
- Mobile clients
- Pre-shared keys
--Vedran Gorički 15:29, 11. lipnja 2013. (CEST)
Tunnels
Kreiranje VPN tunela sastoji se od :
- Omogući/onemogući IPsec
- Kontrole za kreiranje IPsec koja sadržava :
- Disable – omogući/onemogući phase1 unos
- Odabir mrežnog sučelja
- IP adresa i javno ime udaljenog gateway-a
- Opisno polje
- Phase 1 Autentifikacija:
- Metoda autentifikacije – Mutuaul PSK , Mutual RSA
- Mod pregovaranja – Main , Aggressive
- My Identifier:
- My IP address
- IP address
- Distinguished name
- User distinguished name
- ASN.1 distinguished name
- KeyID tag
- Dynamic DNS
- Peer Identifier:
- Peer IP address
- IP address
- Distinguished name
- User distinguished name
- ASN.1 distinguished name
- KeyID tag
- Pre-Shared Key – ključ kolji se generira proizvoljno
- Policy Generation :
- Default
- On
- Off
- Require
- Unique
- Proposal Checking:
- Default
- Obey
- Strict
- Claim
- Exact
- Encription algorithm:
- AES
- Blowfish
- 3DES
- CAT128
- DES
- Hash algorithm
- SHA1
- MD5
- DH key group :
- 1 =768 bit
- 2 = 1024 bit
- 3 = 1536 bit
- Lifetime - zadano 28800 ssec
- Nat Traversal:
- Disable
- Enable
- Enforce
- Dead peer detection:
- Onemogući/omogući
- Razmak između peer potvrde – zadano 10 sec
- Dopušten broj istovremenih odbijanja prije prekida sesije – zadano 5
Izgled kreiranog VPN tunela
--Vedran Gorički 15:29, 11. lipnja 2013. (CEST)
Mobile Clients
Postavke za mobilne klijente odnose se na vanjske suradnike i korisnike koji nisu članovi organizacije , već im je potreban privremeni pristup putem VPN mreže. Potrebno je:
- IKE Extensions -/omogući/onemogući
- Extended Authentication:
- User Authentication – izvor : sistem
- Group Authentication – izvor : sistem
- Client configuration:
- Virtal adddress pool :
- Omogući/onemogući
- Zapis virtualne IP adrese
- Save Xauth Password – zapis lozinke za autentifikaciju ( potrebno samo za Cisco VPN klijente )
- Mrežni popis – omogući/onemogući
- DNS Default Domain – upis zadanog domenskog imena za DNS poslužitelj
- DNS poslužitelj – Omogući/onemogući DNS IP adrese
- WINS poslužitelj – Omogući/onemogući DNS IP adrese
- Phase2 PFS Group – Omogući/onemogući Phase2 PFS grupu klijentima
- Login Banner – Omogući/onemogući banner kod prijave klijentima
- Virtal adddress pool :
--Vedran Gorički 15:29, 11. lipnja 2013. (CEST)
Sastoje se od:
- Identifikatora
- Ključa
- Kontrole za dodavanje ključa:
Kontrola za dodavanje ključa je relativno jednostavna , potrebno je unijeti :
- Identifikator –IP adresa ili FQDN
- Pre-shared key – ključ koji se dijeli
--Vedran Gorički 15:29, 11. lipnja 2013. (CEST)
L2TP –Layer 2 Tunneling Protocol
Mrežni protokol koji se koristi kao potpora ta virtualne privaten mreže. Ne pruža enkripciju podataka sam po sebi već se oslanja na druge enkripcijske protokole. Postavljanje L2TP protokola:
- Isključi
- Uključi L2TP poslužitelj
- Odabir mrežnog sučelja
- Zapis IP adrese poslužitelja
- Zapis udaljenog raspona IP adresa
- Odabir subnet maske
- Broj L2TP korisnika
- Tajna – dodatno , samo ako se koristi
- Tip enkripcije –CHAP ili PAP
- IP adresa L2TP DNS poslužitelja
- IP adresa L2TP WINS poslužitelja
- RADIUS Poslužitelj:
- Omogući/onemogući
- Omogući/onemogući RADIUS Accounting
- IP adresa RADIUS poslužitelja
- Zapis RADIUS tajne kolja se dijeli
- RADIUS izdane IP adrese- omogući/onemogući izdavanje IP adresa putem RADIUS poslužitelja
--Vedran Gorički 15:29, 11. lipnja 2013. (CEST)
OpenVPN
OpneVPN je Open Source OpenSSL routed VPN koji se može koristiti za site-to-site VPN konekcije. Za postavljanje OpenVPN-a potrebno je odrediti poslužitelj , klijente i određene premosnice za klijente. Postavljanje ovakve vrste VPN-a moguće je i putem čarobnjaka.
--Vedran Gorički 15:29, 11. lipnja 2013. (CEST)
Postavke za poslužitelja i klijenta
Postavljanje poslužitelja se sastoji do :
- Generalnih informacija
- Kriptografske postavke
- Postavke tunela
- Napredne postavke
--Vedran Gorički 15:29, 11. lipnja 2013. (CEST)
Generalne informacije
Potrebno je :
- Omogući/onemogući poslužitelj
- Mod poslužitelja:
- Peer to Peer (SSl/TLS )
- Peer to Peer ( Shared key )
- Remote Access ( SSL/TLS )
- Remote Access ( User Auth )
- Remote Acces ( SSL/TLS + User Auth )
- Protokol:
- UDP
- TCP
- Device Mod:
- Turn
- Tap
- Odabir mrežnog sučelja
- Lokalni port – zadani je 1194
- Opisno polje
- Postavke koje se odnose na kilenta:
- IP adresa ili ime Proxy-a
- Proxy autentifikacija :
- None
- Basic
- Ntlm
- Server host neme resolution – omogući/onemogući
- Opisno polje
--Vedran Gorički 15:29, 11. lipnja 2013. (CEST)
Kriptografske postavke
Potrebno je:
- TLS Autentifikacija:
- Omogući/onemogući TLS autentifikaciju paketa
- Automatski generiraj ključ koji se dijeli za TLS autentifikaciju
- Peer Certifikate Authority – tijelo za dodjelu certifikata
- Peer Certificate Revocation list – lista certifikata koji se ne koriste
- Certifikat poslužitelja
- DH dužina parametra u bitovima -1024,2048,4096
- Odabir enkripcijskog algoritnma
- Hardverska kriptografija - ako je moguća
- Dubina certifikata:
- Do not Check
- One ( Client + Server )
- Two ( Client + Intermediate + Server )
- Three ( Client + 2xIntermediate+ Server )
- Four ( Client + 3xIntermediate+ Server )
- Five ( Client + 4xIntermediate+ Server )
--Vedran Gorički 15:29, 11. lipnja 2013. (CEST)
Postavke Tunela
Potrebno je:
- Zapis IP adrese tunela
- Preusmjeravanje gatewaya – omogući/onemogući
- Zapis IP adrese lokalne mreže
- Zapis IP adrese udaljene mreže
- Broj istovremenih konekcija
- Compression – omogući/onemogući Kompresiju paketa kroz tunel koristeći LZO algoritam
- Type-of-service– omogući/onemogući postavljanje TOS IP headera tunelskih paketa da se podudaraju sa enkapsuliranim paketima
- Duplicated Connections– omogući/onemogući više istovremenih konekcija sa klijenta koji koristi isto zajedničko ime
--Vedran Gorički 15:29, 11. lipnja 2013. (CEST)
Napredne postavke
Ove postavke se odnose na upisivanje ruta ukoliko ih znamo i mislimo da ih je potrebno upisivati. Određene premosnice za klijente Potrebno je:
- Disable – omogući/onemogući
- Common Name - ime x.509 certifikata koje se koristi
- Opisno polje
- Blokiranje konekcija – omogući/onemogući blokiranje konekcija na temelju common imena
- Tunnel Network – IP adresa mrežnog tunela
- Preusmjeravanje gatewaya – omogući/onemogući
- Definicije poslužitelja - omogući/onemogući spriječi da klijent dobije bilo kakve definicije od poslužitelja
- DNS zadano ime - omogući/onemogući klijentima DNS ime
- NTP poslužitelj - omogući/onemogući NTP listu poslužitelja klijentima
- NetBIOS mogućnosti - omogući/onemogući NetBIOS ove TCP/IP
- Napredne postavke se odnose na upisivanje ruta ukoliko ih znamo i mislimo da ih je potrebno upisivati.
--Vedran Gorički 15:29, 11. lipnja 2013. (CEST)
Postavljane OpenVPN putem čarobanjaka
Potrebno je :
- Odabrati tip servera :
- Local User Access
- LDAP
- RADIUS
- Kreiranje Novog izvršnog tijela za dodjelu certifikata i kreiranje certifikata( Certificate Authority ( CA )
- Descriptiv Name – ime koje će se koristiti za certifikate
- Duljina ključa u bitovima_ 512, 1024, 2048, 4096 bitova
- Lifetime – valjanost certifikata u danima – zadnao 3650
- Country code
- State or Province
- City
- Organization
- Upisivanje svih postavki za poslužitelj
- Postavljanje pravila vatrozida i pravila za OpenVPN
Pregled postavljenih OpenVPN postavki
Pregled pravila na vatrozidu
--BoženaPlantak 20:00, 11. lipnja 2013. (CEST)
PPTP – Point-to-Point Tunnleing Protocol
Mrežni protokol koji se koristi za implementaciju virtualnih privatnih mreža . Namjena ovog protokola je da pruži veću sigurnost i udaljeni pristup koji je kompatibilan sa tipičnim VPN proizvodima.
Postavke PPTP poslužitelj
Potrebno je:
- Omogući/onemogući – redirekcija ulaznih PPTP konekcija na
- PPTP Redirekcija – Zapis IP adrese
- Omogući/onemogući – PPTP poslužitelj
- No.PPTP user – broji PPTP korisnika
- Server address – IP adresa poslužitelja
- Raspon adresa udaljenog pristupa
- PPTP DNS server – IP adresa
- WINS Server – OIP adresa
- RADIUS Poslužitelj:
- Omogući/onemogući
- Omogući/onemogući RADIUS Accounting
- IP adresa RADIUS poslužitelja
- Zapis RADIUS tajne kolja se dijeli
- Sekundarni RADIUS poslužitelj
- Sekundarna RADIUS tajna koja se dijeli
- Zahtijevaj 128-bit enkripciju – omogući/onemogući
Postavke PPTP klijenta
Potrebno je:
- Korisničko Ime
- Lozinka
- IP adresa – ako želite da se korisniku dodjeli posebna IP adresa
--BoženaPlantak 20:00, 11. lipnja 2013. (CEST)
Status
Opcija koja sadrži pregled neke od postavki koje smo dao sada napravili na vatrozidu i nove funkcije za nadzor i kontrolu sustva. Nakon postavljanja vatrozida glavni alat za nadzor mreže i mrežnog prometa kojim se služe Administratori sustava. Status sadržava pregled za sljedeće funkcije:
- CARP ( failover )
- Dashboard
- DHCP leases
- Filter Reload
- Gateways
- Interfaces
- IPSec
- Load Balancer
- NTP
- OpenVPN
- Queues
- RRD graph
- Services
- System Logs
- Traffic Graph
Prikaz funkcija koje nisu prikazane u dosadašnjim postavkama
CARP ( Common Address Redundancy Protocol )
Gateways
Prikaz definiranih mrežnih izlaza na Internet
Interfaces
Prikaz detaljnih informacija za pojedino mrežno sučelje
Load Balancer
Prikaz raspodjele opterečenja poslužitelja
RDD Graphs
Prikazuju nekoliko različitih grafikona koji se odnose na sistem, promet, pakete, kvalitetu, vlastita izrada grafikona, postavke za grafikone. Svi grafovi imaju mogućnost prikaza: U stilovima:
- Inverse
- Absolute
U periodu:
- Absolute Timespan
- Current Period
- Previous period
Sistemski grafikon pokazuje :
- Procesor
- Memoriju
- Stanja
- Throughput
- Allgraphs
- Absolute Timespan
Mrežni grafikon i grfikon paketa pokazuju:
- Mrežno sučelje
- IPSec
- Outbound
- Allgraphs
Grafikon kvalitete pokazuje:
- Mrežno sučelje
- Outbound
- Allgraphs
Postavke za grafikone:
- Omogući/onemogući RRD Graphs
- Zadana kategorija:
- Sistem
- Traffic
- Packets
- Quality
- Queues
- Captive portal
- Zadani stil:
- Inverse
- Absolute
- Zadani period:
- Absolute Timespan
- Current Period
- Previous period
Prikaz grafikona:
--Vedran Gorički 15:29, 11. lipnja 2013. (CEST)
Services
Instalirani servisi
Sistem Logs
Zapisi koji se odnose na rad sustava i podijeljeni su u nekoliko najvažnijih kategorija:
- Sistem
- Firewall
- DHCP
- Portal Auth
- IPSec
- PPP
- VPN
- Load Balancer
- OpenVPN
- NTP
- Wireless
- Settings
Prikaz sistemskih zapisa
Prikaz zapisa vatrozida
Postavke zapisa ( Settings )
Postavke koje se odnose na zapisivanje događaja u sistemu. Ovdje možemo podesiti kako i što želimo da se zapisuje. Potrebno je:
- Omogući/onemogući – zapis u obrnutom redosljedu
- Broj prikazanih zapisa – zadano je 50
- Omogući/onemogući – raw filter zapis
- Omogući/onemogući – zapis događaja u RAM memoriju
- Omogući/onemogući – zapis događaja na udaljeni poslužitelj:
- IP adresa servera
- Omogući/onemogući:
- Sistemske događaje
- Događaje na vatrozidu
- Događaje DHCP servisa
- Događaje portala za autentifikaciju
- VPN događaje
- Događaje Gateway Monitora
- Događaje Load Balancer
- Događaje bežične mreže
- Zapisuj sve događaja
--Vedran Gorički 15:29, 11. lipnja 2013. (CEST)
Traffic Graph
Graf koji uživo prikazuje mrežni promet po pojedinom sučelju.
--Vedran Gorički 15:29, 11. lipnja 2013. (CEST)
Diagnostics
Funkcija koja omogućuje upravljanje sistemom i korištenje mrežnih alata za detekciju ispravnosti rada mreže. Ova funkcija prikazuje :
- ARP Table
- Authentication
- Backup/Restore
- Comand Prompt
- DNS lookup
- Edit File
- Factory Defaults
- Halt System
- Limiter info
- Packet Capture
- pfInfo
- pfTop
- Ping
- Reboot
- Routes
- SMART Status
- Statesa
- States Summary
- System Activity
- Tables
- Traceroute
ARP Table
Tablica koja prikazuje sve MAC adrese
--BoženaPlantak 20:58, 11. lipnja 2013. (CEST)
Authentication
Autentifikacijski poslužitelj – potrebno korisničko ime i lozinka
--Vedran Gorički 15:29, 11. lipnja 2013. (CEST)
Backup/restore
Backup podataka
U XML formatu koji mogu biti:
- ALL
- DNS Forwarder
- Firewall Rules
- Interfaces
- IPSec
- PPTP Server
- Scheduel Task
- System
- System tn+unables
- SNMP Server
- Omogući/onemogući:
- Ne backupiraj podatke o paktetu
- Kriptiraj konfiguracijsku datoteku
- Ne backupiraj RRD podatke
--BoženaPlantak 20:58, 11. lipnja 2013. (CEST)
Restore
Vračanje podataka iz XML Datoteke
--BoženaPlantak 20:58, 11. lipnja 2013. (CEST)
Command Prompt
Izvršavanje naredbi iz komandne linije. Možemo izvršavati Shell naredbe i PHP naredbe.
--BoženaPlantak 20:52, 11. lipnja 2013. (CEST)
DNS Lookup
Pretvaranje DNS imena u IP adresu
--BoženaPlantak 20:52, 11. lipnja 2013. (CEST)
Edit File
Editiranje sistemskih datoteka
Factory Defaults
Vračanje tvornički postavki
--BoženaPlantak 20:52, 11. lipnja 2013. (CEST)
Halt System
Gašenje sustava
--BoženaPlantak 20:53, 11. lipnja 2013. (CEST)
Limiter Info
Informacije o limiteru
--BoženaPlantak 20:53, 11. lipnja 2013. (CEST)
Packet Capture
Alat za hvatanje i pregled mrežnih paketa. Postavljanje se sastoji od :
- Odabir mrežnog sučelja
- Odabira vrste IP adrese –Ipv4, IPv6; Anny
- IP adresa Hosta
- Port
- Duljina paktea
- Broj
- Nivo detalja – Normal, medium, high, full
- Povrati DNS lookup
--Vedran Gorički 15:29, 11. lipnja 2013. (CEST)
pfInfo
Informacije vezane za filter paketa. Ovdje će biti prikazane velike količine podataka o načinu rada filtera paketa.
--Vgoricki 14:10, 11. lipnja 2013. (CEST)
pfTop
Monitor za protok mrežnog prometa na vatrozidu. Sortiranje se može vršiti prema:
- Age
- Bytes
- Destination Host
- Destination Port
- Expry
- None
- Peak
- Packet
- Rate
- Size
- Sorce Port
- Source Host
--Vedran Gorički 15:29, 11. lipnja 2013. (CEST)
Ping
Mrežni alat koji se koristi da se vidi dali je određeni host dostupan unutar računalne mreže. Potrebno je unijeti:
- Host name
- Mrežno sučelje
- Count – zadano je 3
--BoženaPlantak 20:53, 11. lipnja 2013. (CEST)
Reboot
Ponovno pokretanje sistema
--BoženaPlantak 20:54, 11. lipnja 2013. (CEST)
Routes
Prikaz ip ruting tablica za IPv4 i IPv6 koje se trenutno nalaze na vatrozidu.
--BoženaPlantak 20:54, 11. lipnja 2013. (CEST)
S.M.A.R.T. Monitor Tools
Set alata za pregled ispravnosti hardvera i pregled zapisa o događajima. Monitro je podjeljen u četiri dijela:
- Informacije/Test:
- Info
- Helath
- SMART Capabilities
- Attributes
- All
- Perform Sefl test:
- Offline
- Short
- Long
- Conveyance ( ATA Disks only )
- View Logs:
- Error Self Test
- Abort Test
--Vedran Gorički 15:29, 11. lipnja 2013. (CEST)
States
Prikaz stanja između izvora i destinacije
--BoženaPlantak 20:55, 11. lipnja 2013. (CEST)
States Table Summary
Sumarna tablica stanja koja prikazuje stanja po:
- Izvorišnoj IP adresi
- Odredišnoj IP adresi
- Totalu po IP adresi
- Po paru IP adresa
--BoženaPlantak 20:55, 11. lipnja 2013. (CEST)
System Activity
Zapisi o trenutnoj sistemskoj aktivnosti
--BoženaPlantak 20:55, 11. lipnja 2013. (CEST)
Tables
Tablice koje prikazujuIPV4 i IPv6 adrese te se mogu sortirati prema:
- Bogons
- Sshlockout
- Snort2c
- Virusprot
--BoženaPlantak 20:56, 11. lipnja 2013. (CEST)
Traceroute
Dijagnostički alat za prikaz rute preko mrežnih usmjerivača na računalnoj mreži. Potrebno je upisati :
- ime ili IP adresu hosta
- Maksimalni broj skokova – zadano je 18
- Koristi ICMP – omogući/onemogući
--BoženaPlantak 20:56, 11. lipnja 2013. (CEST)
Help
Informacije vezane za vatrozid. Ovdje možete pronaći sljedeće:
- About this page – informacije vezane o trenutnoj stranici na kojoj se nalazite
- Bug database- baza podataka sa znanim bugovuima
- Developers Wiki – Informacije vezane za razvoj pfSense vatrozida
- Documentation – dokumentacija vatrozida
- FreeBSD Handbook
- Paid Support – stranice za korisnike koji plačaju podršku
- pfSense book – knjiga vatrozida
- Search portal –pretraživanje portalapfSense
- User Forum korisnički forum
--BoženaPlantak 20:56, 11. lipnja 2013. (CEST)
