Мониторинг IT инфраструктуры важен для любой организации. Такие устройства или виртуальные аплаинса как межсетевые экраны обычно мониторятся с помощью Zabbix или похожего программного обеспечения. Вообще, в своем блоге выделено тему мониторинга я еще не поднимал. Тем не менее, это одно из важнейших направлений в работе администратора. С ним приходится работать любому нормальному ITшнику. Чем больше инфраструктура, с которой приходится работать, тем важнее роль системы мониторинга в ней. В современном мире, основные системы мониторинга, с которыми придется работать – это Zabbix и Prometheus. Если первый оптимален под статичную инфраструктуру, то второй больше используется в микросервисной архитектуре и облаках. Соответственно в этой статье мы рассмотрим, как наблюдать за основными параметрами работы межсетевых экранов pfsense.
Про межсетевые экраны pfsense писал уже несколько статей в блоге. Упомяну про Тонкости работы pfsense в среде vmware, и Сложный NAT на pfsense. Это уже третья статья из цикла о них. С учетом тех возможностей, которые дают эти опенсорсные фаерволы, а также их стабильной работы, я думаю это будет не последняя статья о них. Как упомянал выше, мониторинг является неотъемлимой частью любой IT системы. Поэтому отдельно и было решено написать эту статью о том, как следить за работой pfsense. Тут есть свои небольшие хитрости, которые позволят добиться желаемого результата.
Настройка
Прежде всего нам нужно установить пакет агента Zabbix в pfsense. Легче всего это сделать через веб интерфейс межсетевого экрана. Выбираем в меню System-> Package Manager. Здесь происходит установка, удаление и обновление дополнительных пакетов межсетевого экрана. Каждый дополнительный пакет расширяет тот или иной функционал. В нашем конкретном случае, нам нужно пройти на вкладку Available Packages и найти пакет – zabbix-agent4.
Найдя нужный пакет, нажием на кнопку Install. После этого произойдет процесс установки пакета с соответствующим выводом сопутствующей информации. Это показано на скриншоте ниже.
После того, как произведена установка нужного нам пакета, неоходимо сконфигурировать его для взаимодействия с сервером Zabbix. Для этого заходим в Services -> Zabbix Agent 4.0. Здесь указываем IP адрес сервера Zabbix, а также интерффейс межсетевого экрана, на котором будет слушать пакеты агент и TCP порт, используемый для этого. Пример настройки представлен ниже.
После вышеприведенных манипуляций на межсетевом экране останется только добавить правило в фаерволе, которое разрешит серверу Zabbix обращаться по соответствующему порту на pfsense. Это делается в меню Firewalls -> Rules. После этого, необходимая настройка pfsense будет завершена.
Теперь нам нужно произвести конфигурацию сервера Zabbix. Прежде всего нам необходимо скачать специфичный шаблон для мониторинга pfsense. К сожалению, по умолчанию в сервере Zabbix такого шаблона нет. Вроде бы, можно использовать шаблон для FreeBSD. Но в данном шаблоне нет специфичных параметров для межсетевого фаервола. На просторах Интернета нашел неплохой шаблон, который позволит наблюдать за работой наших pfsense устройств. Его можно скачать по ссылке.
Когда нужный шаблон скачан, производим его импорт через веб интерфейс Zabbix. Это делается в Configurations -> Templates. Там нажимаем на кнопочку Import, выбираем нужный файл с рабочего компьютера и загружаем шаблон на сервер Zabbix.
Теперь создаем host pfsense в интерфейсе сервера Zabbix и добавляем шаблон OS pfsense во вкладке Templates. Скрншот этого представлен ниже.
После конфигурации нового хоста, ждем небольшой промежуток времени и начинаем получать данные с него в интерфейсе мониторинга. Примерный скриншот этого представлен ниже.
На этом, наверное, все. По вышеприведенным рекомендациям, Вы сможете легко подключить ваш виртуальный или хардварный pfsense к системе мониторинга Zabbix.
Заключение
При эксплуатации IT инфраструктуры мониторинг работы своих систем – важнейшая часть работы инженера или администратора. В статье мы рассмотрели способ настройки мониторинга основных параметров жизнедеятельности фаервола pfsense. В целом, этот процесс более менее задокументирован и прямолинеен. За исключением, специфичного шаблона Zabbix для мониторинга pfsense. Надеюсь, данный материал будет полезен всем фанатам опен сорс решений в области информационной безопасности.
