Palomuuri virtuaalikoneeseen

MikroPC:n 3/2010 artikkelissa "Palomuuri virtuaalikoneessa antaa mahdollisuuksia" varoitetaan, että Smoothwall-asennusprojektissa pitää olla tarkkana muutamassa yksityiskohdassa. Tämä ohje opastaa sudenkuoppien ohi.

Muussa käytössä olevaan windows-koneeseen voi asentaa virtuaalikoneen ja siihen linux-pohjaisen Smoothwall-palomuurin. Näin saavutetaan monia etuja.

Tämä ohje olettaa, että tulevaan palomuurikoneeseen on jo onnistuneesti asennettu vähintään kaksi fyysistä verkkokorttia. Modeemi on alussa kytketty sisäverkolle tarkoitettuun verkkosovittimeen.

Työpöydän etähallinta

Palvelinkonetta on mukava hallita verkon kautta etänä, koska ei tarvita ylimääräistä näyttöä, näppäimistöä ja hiirtä. Ilmaisia vaihtoehtoja etähallintaan on riittämiin. Esimerkiksi RealVNC Free Edition (http://www.realvnc.com/products/download.html) ja TightVNC (http://www.tightvnc.com/download.php) toimivat peruskäytössä hyvin. Ohjelmista asennetaan palvelinosa (server) hallittavaan päähän ja asiakasosa (client) yhteyttä muodostavaan koneeseen.

Asennuspakettien lataaminen

Virtualisoinnin mahdollistava VMware Server 1.0.10 löytyy osoitteesta http://register.vmware.com/content/download-1010.html. Saman sivun Register-linkistä tilataan VMware Serverin lisenssiavain, joka on kotikäytössä ilmainen. Avaimia kannattaa tilata samalla kertaa useampia, jottei jatkossa tarvitse uudelleen täyttää rekisteröintitietoja.

Smoothwallin asennuspaketin voi ladata osoitteesta http://www.smoothwall.org/get. Valitaan ylin asennuspaketti SmoothWall Express 3.0 SP1 (i386).

Kiinteiden ip-osoitteiden määrittäminen

Jatkossa on ehdottoman tärkeää, että Smoothwall-asennuksen pohjalla toimiva windows-kone löytyy aina samasta ip-osoitteesta, jotta siihen saa helposti yhteyden. Tämän vuoksi koneen sisäverkon puoleisen verkkosovittimen (Smoothwallissa GREEN-rajapinta) osoite määritetään manuaalisesti, ellei näin ole jo aiemmin tehty.

Katsotaan ensin nykyinen osoite komentokehotteen (Vistassa ja uudemmissa Start-valikko > pikahakuun cmd) komennolla ipconfig. Komennon tuloste voi olla sekava, mutta oikeat tiedot löytyvät mitä todennäköisimmin otsikon Local Area Connection alta. Etsitty ip-osoite on yksityistä muotoa eli 10.0.x.x, 192.168.x.x tai 172.16.x.x.

Mikäli osoite on jotain muuta, kuten 88.x.x.x tai 91.x.x.x, modeemin nat-osoitteenmuunnos ei ole käytössä. Modeemia ei tällöin tarvitse erikseen asettaa sillattuun tilaan, vaan se on siinä jo. Tässä tapauksessa verkkoadapterille voi antaa osoitetiedot esimerkkikuvan mukaan.

Ip-osoitteen vaihtaminen Windows Vistassa

Start-valikko > Control Panel > Network & Sharing Center > Manage network connections > tuplaklikataan oikeaa verkkoadapteria ja valitaan Properties > Internet Protocol Version 4 > täytetään kenttiin IP address ja Subnet mask tiedot, jotka vastaavat ipconfig-komennon tulostetta.

Default Gateway -kentän osoite on sama, joka myöhemmin asetetaan Smoothwallin sisäverkon ip-osoitteeksi. Tässä on syytä varoa, ettei tule määrittäneeksi modeemin omaa hallintaosoitetta yhdyskäytäväksi, vaan vaikkapa siitä seuraavan vapaan osoitteen. Vapaan osoitteen voi tarvittaessa tarkistaa ping-komennolla.

DNS-palvelimen osoitteeksi voidaan laittaa jo tässä vaiheessa Default gatewaytä vastaava osoite.

Esimerkki manuaalisesti määritetyistä ip-osoitetiedoista.

Varsinainen asennus

VMware Server 1.0.10 virtualisointialustaksi

Klikkaillaan asennusohjelma läpi seuraavin valinnoin:

- [Next]

- I Accept the terms in the license agreement [Next]

- Complete [Next]

- Setup has detected that Microsoft Internet Information Services (IIS)… [Ok]

- Windows can’t verify publisher of this driver software [Install this driver software anyway]

- Windows requires a digitaly signed driver [Close]

- syötetään rekisteröinnin yhteydessä saatu lisenssiavain [Enter]

- [Finish]

- käynnistetään Windows uudelleen.

VMware Serverin hallinta etänä

VMware Serveriä voidaan hallita verkosta toiselta koneelta, kunhan myös siinä on VMware Server asennettuna. VMware Server Consolessa Host name -kenttään syötetään hallittavan palvelimen ip-osoite. User name- ja Password-kenttiin syötetään kohdekoneen jonkin paikallisen profiilin tiedot tai vastaavasti domain-tunnukset, mikäli kone on toimialueella. Password-kenttä voidaan myös jättää tyhjäksi, mikäli salasanaa ei ole windows-profiiliin määritelty.

Virtuaalikoneen luonti

Valitaan Server Consolen päänäkymässä ikoni New Virtual Machine. Virtuaalikoneen tekemisessä avustavaan velhoon syötetään seuraavat valinnat:

- [Next]

- Virtual machine configuration: Custom [Next]

- Guest operating system: Linux, Version: Other Linux 2.6.x kernel [Next]

- Virtual machine name: Haluttu nimi, esimerkiksi Smoothwall, Location: haluttu tallennuspaikka [Next]

- Access rights: Make this virtual machine private [Next]

- Virtual machine account: Local system account, Startup / Shutdown options: On host startup: Power on virtual machine, On host shutdown: Power off virtual machine [Next]

- Processors: Number of processors: One (kysely vain, jos prosessorissa useampia ytimiä) [Next]

- Memory: käytössä olevien resurssien mukaan, esim. 256 MB [Next]

- Network connection: Use bridged networking [Next]

- I/O adapter types: SCSI Adapters: BusLogic [Next]

- Disk: Create a new virtual disk [Next]

- Virtual Disk Type: SCSI [Next]

- Disk capacity: Disk size (GB): 1 GB riittää hyvin, Allocate all disk space now [Next]

- Disk file: esim. Smoothwall.vmdk [Finish]

Virtuaaliset verkkosovittimet paikoilleen

- valitaan Server Consolen oletusnäkymässä tehty virtuaalikone ja klikataan painiketta Edit virtual machine settings

- [Add]

- uuden virtuaalilaitteen luomisessa avustava velho aukeaa [Next]

- valitaan listalta Ethernet Adapter [Next]

- valitaan Custom: Specific virtual network ja napataan valikosta VMnet 2

- [Finish]

- uusi verkkosovitin ilmestyy laitelistalle nimellä Ethernet 2

Liitetään virtuaalikoneen luomisen yhteydessä ilmestynyt Ethernet-niminen verkkosovitin virtuaaliverkkoon VMnet 3:

- klikataan virtuaalikoneen laitelistassa laitetta ”Ethernet”

- valitaan oikealta kohdasta Network connection vaihtoehto Custom: Specific virtual network ja valitaan listalta VMnet 3

Virtuaaliverkkojen (VMnet) numeroinnissa ei ole mitään maagista, eikä mikään estä valitsemasta VMnet-verkkoja toisin. Seuraavaksi tehtävässä virtuaaliverkkojen linkityksessä fyysisiin verkkoadaptereihin on vain otettava huomioon äsken tehdyt mahdollisesti poikkeavat valinnat.

Virtuaaliverkkojen linkitys

Virtuaaliverkkojen linkitys on ehkäpä projektin mielenkiintoisin vaihe. Siitä riippuu paljolti, saadaanko valmis tuotos toimimaan vai ei.

Käynnistetään palomuurikoneella Start-valikon kautta VMwaren Manage Virtual Networks -sovellus. Välilehdeltä Host Virtual Network Mapping nähdään VMnet-verkot, joille voidaan kullekin liittää oma fyysinen verkkosovittimensa.

Virtuaalikoneen laitelistalla näkyvät Ethernet-verkkosovittimet tunnistuvat myöhemmin Smoothwallin asennusohjelmassa numerojärjestyksessä. Näppärintä on asettaa kotiverkon puoleinen fyysinen verkkokortti laitteen Ethernet kanssa samaan VMnetiin. Tällöin Smoothwallin asennusohjelmassa ei voida enää mennä metsään. Oheisessa kuvassa Ethernet-laite on kytketty virtuaaliverkkoon VMnet 3 ja VMnet 3 on liitetty fyysisesti Realtekin gigabitin verkkokorttiin.

Virtuaaliverkkojen linkitys fyysisiin verkkosovittimiin.

Tcp/ip-protokolla pois isäntäkäyttöjärjestelmästä

Internetin suunnasta tuleva liikenne halutaan menevän Smoothwall-palomuurin läpi, ennen kuin se saapuu millekään kotiverkon koneelle. Tämän vuoksi VMware Serverin pohjalla toimivasta windows-isäntäkäyttöjärjestelmästä otetaan internetin puoleisesta verkkosovittimesta tcp/ip-protokolla pois käytöstä. Näin liikenne saadaan kulkemaan ikään kuin läpinäkyvästi windowsin ohi Smoothwallille asti.

Windows Vistassa: valitaan Start-valikko > Control Panel > Network & Sharing Center > Manage network connections > tuplaklikataan oikeaa verkkoadapteria ja valitaan Properties > jätetään valinta ainoastaan kohtaan VMware Bridge Protol.> OK.

Tcp/ip:n (ja muiden turhien protokollien) ottaminen pois käytöstä; kuvassa Windows XP.

Modeemi siltaavaan tilaan

Viimeistään tässä vaiheessa on sopiva hetki kirjautua modeemin web-hallintaan ja kytkeä sieltä siltaava tila (bridged mode) päälle. Asetus löytyy yleensä modeemin wan-asetuksista. Ongelmatilanteissa paras apu on modeemin ohjekirja.

Modeemi voidaan tilamuutoksen jälkeen kytkeä Smoothwall-koneen internetin puoleiseen verkkosovittimeen, koska sovittimelle ei ole määritelty tcp/ip-protokollaa käyttöön. Palomuurittomia työasemia sen sijaan modeemiin ei pidä kytkeä. Jatkossa kotiverkon laitteet liitetään kytkimeen, joka on kytketty Smoothwallin turvalliseen GREEN-rajapinnan verkkosovittimeen.

Smoothwallin asennus

Kun verkon vaatimat alkuvalmistelut on tehty, on aika siirtyä Smoothwallin asennukseen. Aikaisemmin ladatun Smoothwallin levykuvan käyttöönotto tehdään VMware Serverissä seuraavasti:

- klikataan VMware Server Consolen päänäkymässä Edit virtual machine settings

- valitaan laitelistalta CD-ROM ja sen jälkeen oikealta Use ISO image

- haetaan Browse-painikkeella aikaisemmin ladattu Smoothwallin asennuspaketti

- samalla voidaan myös poistaa levykeasema eli laite Floppy käytöstä painikkeella Remove, jotta turhilta virheilmoituksilta vältytään virtuaalikoneen käynnistyessä

Käynnistetään virtuaalikone klikkaamalla päänäkymässä Start this virtual machine. Virtuaalikoneen ikkunan pitää olla aktiivinen, jotta siihen voidaan syöttää näppäinkomentoja. Tarvittaessa hiiren kursori vapautetaan virtuaalikoneen käytöstä näppäinyhdistelmällä Ctrl + Alt.

Smoothwallin asennuksen vaiheet ruutukuvineen ovat kuvagalleriassa.

Smoothwallin käyttö ja hienosäätö

Kun Smoothwall on käynnistynyt, sen hallintapaneeliin pääsee web-selaimen kautta. Osoite on muotoa http://[smoothwallille äsken asennettaessa määritetty ip]:81, siis esimerkiksi http://192.168.0.1:81. Vaihtoehtoisesti salatun yhteyden muodostus onnistuisi osoitteella https://192.168.0.1:441. Hallintaan kirjaudutaan admin-tunnuksilla.

Ensimmäisenä on syytä tarkistaa, että vihreä töpselikuvake on nähtävillä käyttöliittymän etusivulla. Vihreä väri kertoo kaiken olevan kunnossa. Mahdollinen punainen kuvake sen sijaan viestii ongelmista. Ensiapua ongelmiin on tämän artikkelin lopussa.

Ennen varsinaista käyttöönottoa tehdään muutama toimenpide.

Smoothwallin päivitys: klikataan valikosta Maintanance > alhaalta Check for Updates > Update

Kellonajan päivittäminen internetistä: VMwaren päällä ajettavan Smoothwallin kello ei pysy ajassa, ellei sitä päivitä internetin kautta: Services > Time > Timezone: Europe/Helsinki, Network time retrieval: Enabled, Interval: 1 hour > Save. Tässä määritetty tunnin päivityssykli riittää mainiosti.

Smoothwallin ilmainen rekisteröinti: About > my smoothwall > Register. Rekisteröityneet käyttäjät saavat Smoothwall Admin Guide -oppaan, jonka avulla web-käyttöliittymä viimeistään tulee tutuksi. Samalla oman laitteistonsa voi ilmoittaa Smoothwallin tietokantaan.

Näiden temppujen jälkeen Smoothwall on valmis täyttämään tehtävänsä eli suojaamaan kotiverkkoa internetin vaaroilta. Tarkempaan käyttöön kannattaa tutustua Admin Guiden sekä Smoothwallin oman näppärän Help-toiminnon avulla. Lehden artikkelissa on esitelty muutamia Smoothwallin tärkeimpiä ominaisuuksia.

Entä jos Smoothwall näyttää punaista?

Ensimmäisenä vianselvitystoimena on syytä tarkistaa tehdyt VMnet-linkitykset virtuaalikoneesta sekä Manage virtual networks -sovelluksesta. Viittaako Ethernet ja Ethernet 2 oikeisiin verkkosovittimiin?

Todennäköisimmin ongelman aiheuttaa virtuaaliverkkosovittimien tunnistuminen tai paremminkin sen puute. Mikäli Smoothwallin web-hallintaan pääsee, valikosta Networking > interfaces näkyy kullanarvoista tietoa. Onko sekä GREEN- että RED-rajapinnoille löytynyt omat verkkosovittimensa (onko kummallakin osoite kohdassa MAC address)?

Mikäli ei, ensimmäisenä kannattaa kokeilla Smoothwallin uudelleen käynnistystä. Tämä voidaan tehdä web-hallinnasta valikosta Shutdown tai VMware Consolen kautta suoraan Smoothwallin komentoriviltä komennolla shutdown -r now.

Mikäli verkkosovittimet eivät vieläkään tunnistu oikein, niiden etsiminen uudelleen Smoothwallin asennusohjelman kautta voi auttaa. Asennusohjelman saa käyntiin komentoriviltä komennolla setup. Valitaan listalta Networking > Drivers and card assignments. Tarvittaessa Card assignment-valikossa voidaan valita oikea verkkosovitin listalta myös käsin (valinta Select > AMD PCnet32 and AMD PCnetPCI). Virtuaalisovitinta vastaavan AMD:n lisäksi myös muita verkkosovitintyyppejä kannattaa kokeilla ongelmatilanteessa.