Raspberry Pi pfSense Using a VM: Complete Guide to Building a Virtual Firewall

Raspberry Pi pfSense باستخدام VM: دليل كامل لبناء جدار حماية افتراضي

9 أبريل 2025

pfSense توزيعة برامج مجانية ومفتوحة المصدر لجدار الحماية والتوجيه، مبنية على نظام FreeBSD. صُممت لتوفير أمان شبكات وميزات توجيه على مستوى المؤسسات، مما يجعلها خيارًا شائعًا للشبكات المنزلية والشركات الصغيرة والكبيرة.

الميزات الرئيسية
• إمكانيات جدار الحماية وجهاز التوجيه - تنفيذ فحص الحزمة ذات الحالة (SPI) وNAT.
• دعم VPN: يدعم OpenVPN، وIPsec، وWireGuard للوصول عن بعد بشكل آمن.
• تشكيل حركة المرور (QoS): إعطاء الأولوية لاستخدام النطاق الترددي للتطبيقات الحرجة.
• اكتشاف التطفل والوقاية منه: يتكامل مع Snort وSuricata لمراقبة الأمان.
• إدارة DNS وDHCP: تعمل كمحلل DNS وخادم DHCP.
• توفر عالٍ وموازنة التحميل: يضمن التكرار ويوزع حركة المرور على الشبكة بكفاءة.
• بوابة الأسير والمصادقة: مفيدة للشبكات العامة وإدارة شبكات Wi-Fi للضيوف.

هام: لا يتم دعم pfSense رسميًا على الأنظمة المستندة إلى ARM، مما يعني أنك ستحتاج إلى الاعتماد على المحاكاة الافتراضية (على سبيل المثال، QEMU) لجعله يعمل

لماذا تستخدم pfSense على Raspberry Pi؟

التخصيص والمرونة

✔ تسمح الطبيعة مفتوحة المصدر لبرنامج pfSense بإنشاء نصوص وحزم وتكاملات مخصصة.
✔ يدعم Raspberry Pi أيضًا أدوات الشبكات الأخرى مثل Pi-hole و WireGuard و OpenVPN إلى جانب pfSense.
✔ يمكن تكوينه لأمان إنترنت الأشياء، أو حماية الشبكة المنزلية، أو شبكات VPN للمكاتب الصغيرة.

التوجيه الخفيف وجدار الحماية للشبكات الصغيرة
✔ يمكن استخدامه للأمان الأساسي للشبكة، وتصفية DNS، وتشكيل حركة المرور.
✔ يعمل بشكل جيد في البيئات ذات حركة المرور المنخفضة مثل أتمتة المنزل وأمان المنزل الذكي.
✔ يدعم إعدادات VPN لتوصيل الأجهزة البعيدة بشكل آمن.

جدار الحماية الاحتياطي وفشل الشبكة
✔ يمكن أن يعمل كجدار حماية ثانوي أو احتياطي في حالة فشل الجدار الأساسي.
✔ مفيد في حالات الطوارئ أو النشر السريع في شبكات الاختبار.
✔ يعمل بشكل جيد في سيناريوهات الشبكات الحافة حيث تكون هناك حاجة إلى حلول خفيفة الوزن.

القيود التي ينبغي مراعاتها
× قيود الأداء - قد يواجه معالج ARM وذاكرة الوصول العشوائي المحدودة في Raspberry Pi صعوبة في التعامل مع الشبكات عالية الإنتاجية.
× منافذ الشبكة المحدودة - يلزم وجود محول USB إلى Ethernet لإعدادات الواجهة المزدوجة.
× تكاليف المحاكاة الافتراضية - سيؤدي تشغيل pfSense على QEMU أو جهاز افتراضي آخر إلى استخدام موارد إضافية للنظام.
× غير مناسب للاستخدام المؤسسي - الأفضل للتطبيقات صغيرة الحجم، وليس الكبيرة

سيناريوهات العالم الحقيقي

جدار الحماية والأمان للشبكة المنزلية
تريد تأمين شبكة منزلك ضد التهديدات الإلكترونية وإدارة استخدام النطاق الترددي ومنع حركة المرور غير المرغوب فيها.

شبكة الأعمال الصغيرة والمكاتب البعيدة
يحتاج المكتب الصغير أو العامل عن بعد إلى جدار حماية آمن وفعال من حيث التكلفة لحماية البيانات الحساسة والسماح بالوصول عن بعد.

التعلم والتدريب على الأمن السيبراني
المختبرات يرغب طالب الأمن السيبراني أو المتخصص في تكنولوجيا المعلومات في بيئة واقعية لاختبار قواعد جدار الحماية وإعدادات VPN وأمان الشبكة.

إنترنت الأشياء وشبكة المنزل الذكي
الحماية يمتلك المستخدم أجهزة إنترنت الأشياء المتعددة (الأقفال الذكية والكاميرات وأجهزة ضبط الحرارة) ويريد عزلها عن شبكته الرئيسية لأسباب أمنية.

بوابة أسيرة منخفضة التكلفة لخدمة واي فاي للضيوف
ترغب شركة صغيرة (مقهى، Airbnb، مساحة عمل مشتركة) في توفير خدمة Wi-Fi آمنة للضيوف مع صفحة تسجيل دخول والتحكم في النطاق الترددي.

الشبكات الطرفية للمناطق النائية
يحتاج مكتب صغير أو شبكة مجتمعية في منطقة ريفية إلى إمكانيات شبكات أساسية دون الحاجة إلى الوصول إلى أجهزة باهظة الثمن.

تحديات تشغيل pfSense على Raspberry Pi

نظرًا لأن pfSense لا يمكن تشغيله بشكل أصلي، فهو يحتاج إلى جهاز ظاهري (VM) يستخدم QEMU أو VirtualBox أو أدوات مماثلة.

تتطلب محاكاة QEMU موارد كثيرة، مما يقلل من طاقة وحدة المعالجة المركزية المتاحة للمهام الشبكية.

يؤدي تشغيل pfSense افتراضيًا على Raspberry Pi OS إلى تعقيد إضافي في الإعداد والصيانة.

متطلبات

الأجهزة:
• Raspberry Pi 5 (ذاكرة وصول عشوائي بسعة 8 جيجابايت/16 جيجابايت) ( هام : أداء أفضل).
• تخزين: بطاقة microSD بسعة 16 جيجابايت/32 جيجابايت (الفئة 10 أو أفضل).
• شبكة: محول USB إلى Ethernet إضافي واحد على الأقل.
• مزود الطاقة: Raspberry Pi الرسمي 5 فولت/3 أمبير (USB-C) محول الطاقة.

برمجة:
• نظام تشغيل Raspberry Pi 64 بت (يعتمد على Debian).
• صورة ISO لـ pfSense: احصل على أحدث الأخبار إصدار مجتمع pfSense (CE) ISO من الموقع الرسمي: 🔗 https://www.pfsense.org/download/ . اختر بنية x86_64 (لأننا نستخدم المحاكاة الافتراضية).
• مدير الآلة الافتراضية: كيمو (خفيف الوزن وأفضل لنظام التشغيل Raspberry Pi)

دليل خطوة بخطوة

1. تحضير Raspberry Pi: تثبيت وتكوين نظام التشغيل Raspberry Pi، وتمكين SSH
• تثبيت نظام التشغيل Raspberry Pi OS: https://www.sunfounder.com/blogs/news/raspberry-pi-operation-system-complete-guide-to-versions-features-and-setup
• تمكين SSH: https://www.sunfounder.com/blogs/news/mastering-remote-control-unlocking-the-power-of-ssh-with-raspberry-pi
2. إعداد الجهاز الافتراضي: افتح المحطة الطرفية وقم بتشغيل:
sudo apt update وsudo apt upgrade -y
sudo apt install qemu-system-x86 qemu-utils bridge-utils -y
نحن بحاجة إلى إنشاء القرص الصلب الافتراضي لتثبيت pfSense.
qemu-img إنشاء -f qcow2 pfsense.qcow2 8G

الصورة 2.png__PID:d6521971-159f-4017-96d0-72e5afc21f12

3. ابدأ تشغيل الجهاز الافتراضي باستخدام pfSense ISO
قم بتشغيل الأمر التالي لبدء تشغيل برنامج التثبيت pfSense في QEMU:
نظام qemu-x86_64 \
-م 2048 \
-smp 2 \
-hda pfsense.qcow2 \
-cdrom pfSense-*.iso \
-التمهيد د \
-net nic -net user \
-net nic، النموذج = virtio -net tap، ifname = tap0، النص البرمجي = لا، النص البرمجي = لا \ -vga std

شرح المعلمات:
-m 2048 → يخصص 2 جيجابايت من ذاكرة الوصول العشوائي (RAM) لـ pfSense (يتم التعديل بناءً على الذاكرة المتوفرة).
-smp 2 → يقوم بتعيين 2 من أنوية وحدة المعالجة المركزية للحصول على أداء أفضل.
-hda pfsense.qcow2 → يستخدم القرص الافتراضي بحجم 8 جيجابايت الذي تم إنشاؤه مسبقًا.
-cdrom pfSense-*.iso → يقوم بتحميل ملف ISO الخاص بـ pfSense للتثبيت.
-boot d → التمهيد من القرص المضغوط (للتثبيت).
-net nic -net user → إنشاء شبكة افتراضية أساسية.
-net nic، النموذج = virtio
-net tap، ifname=tap0، script=no، downscript=no → ينشئ جسر شبكة افتراضي.

الصورة 3.png__PID:9a794727-dfb9-4cd6-9e81-57a124f96ecc

4. تثبيت pfSense : دليل خطوة بخطوة مع لقطات شاشة

الصورة 4.png__PID:b676e77c-4ea1-4259-bf7f-a5821494e70b

استخدم التكوين الافتراضي وحدد القرص الذي تريد تثبيت pfSense عليه.

الصورة 5.png__PID:8cd7945d-db26-4099-bbf8-6f3c0e96b19c الصورة 6.png__PID:bc787dbc-5e8e-4050-8d5d-3228d27d7283

5. قم بتشغيل VM مرة أخرى في المحطة الطرفية
qemu-system-x86_64 -m 2048 -smp 2 -hda pfsense.qcow2 -boot d -net nic -net user -net nic، الطراز=virtio -net tap، ifname=tap0، النص البرمجي=no، النص البرمجي=no - vga std
٦. بعد تشغيل الجهاز الافتراضي: افتح متصفح ويب على جهاز آخر. أدخل http://192.168.1.1 (عنوان IP الافتراضي لشبكة pfSense المحلية).
تسجيل الدخول باستخدام:
1. اسم المستخدم : admin
2. كلمة المرور: بي اف سينس

الصورة 7.png__PID:f853ed53-1827-480c-ac1f-476855384af0

التكوينات المتقدمة

✔ تقسيم الأنفاق (توجيه حركة المرور الانتقائي)
يسمح فقط لحركة مرور محددة بالمرور عبر شبكة VPN، بينما تستخدم حركة المرور الأخرى اتصال الإنترنت العادي. يُقلل استخدام النطاق الترددي ويُحسّن السرعة للتطبيقات غير المرتبطة بشبكة VPN.
✔ شبكة VPN متعددة المستخدمين WireGuard (أقران متعددون)
يتيح لعدة مستخدمين (عائلة، فريق، عاملون عن بُعد) الاتصال بشبكة VPN في الوقت نفسه. مثالي للشركات، أو الوصول المشترك، أو لأجهزة متعددة.
✔ DNS الديناميكي (DDNS) لتغيير عناوين IP العامة
يسمح لعملاء VPN بالاتصال حتى لو غيّر مزود خدمة الإنترنت عنوان IP العام الخاص بك بشكل متكرر. ضروري إذا لم يكن لديك عنوان IP عام ثابت.
✔ شبكة VPN من موقع إلى موقع (ربط شبكتين)
يربط شبكتين مختلفتين عبر WireGuard VPN (مثلاً، المنزل والمكتب). تمتع بالوصول الآمن إلى موارد الشبكة البعيدة (مشاركات الملفات، الطابعات، الخوادم).
✔ تشغيل شبكات VPN متعددة
يتيح لك الاتصال بموفري VPN متعددين في الوقت نفسه (مثلاً، مزود للعمل وآخر للاستخدام الشخصي). يُفيد هذا في فصل حركة البيانات بين خدمات VPN المختلفة.
✔ تقسيم شبكة VLAN (شبكة VPN آمنة من إنترنت الأشياء وشبكات الضيوف)
قد لا ترغب في أن يتمكن مستخدمو VPN من الوصول إلى جميع الأجهزة على شبكتك المنزلية. تسمح لك شبكات VLAN بفصل حركة المرور.

إعداد VPN (WireGuard)

1. انتقل إلى : النظام > مدير الحزم > الحزم المتوفرة.
2. ابحث عن "WireGuard" ، ثم انقر فوق تثبيت.
3. بعد التثبيت، انتقل إلى VPN > WireGuard.

الصورة 8.png__PID:a99e5579-103c-4edc-b648-75081a244d29

2.1 إنشاء نفق WireGuard (خادم VPN)
1. انتقل إلى : VPN > WireGuard > الأنفاق.
2. انقر + إضافة نفق.
3. قم بتكوين الإعدادات التالية:
ا مُمَكَّن ✅ (تم التحقق)
ا الوصف : WireGuard VPN الخادم
ا منفذ الاستماع: 51820 (منفذ WireGuard الافتراضي)
ا مفاتيح الواجهة: انقر فوق "إنشاء" (يؤدي ذلك إلى إنشاء زوج مفاتيح خاص/عام).
ا عنوان النفق: 192.168.1.23/24 (شبكة فرعية VPN للعملاء).
4. احفظ التغييرات وطبقها.

الصورة 9.png__PID:230aff7a-d7f2-4e57-a1c2-98ed38b962d0

2.2 تعيين WireGuard كواجهة شبكة
1. اذهب الى الواجهات > المهام.
2. أضف واجهة WireGuard الجديدة (wg0).
3. قم بإعادة تسميته إلى WG_VPN، ثم حفظ وتطبيق التغييرات.

الصورة 10.png__PID:2c242485-681a-4ce1-bfb0-2ee32afc9e18

تكوين عميل VPN (نظير)
3.1 إضافة نظير (عميل بعيد)
1. انتقل إلى : VPN > WireGuard > Peers.
2. انقر + إضافة نظير.
3. قم بتكوين الإعدادات التالية:
ا مُمكّن ✅
ا الوصف : العميل 1 (الكمبيوتر المحمول، الهاتف، الخ.)
ا المفتاح العام : (اتركه فارغًا في الوقت الحالي، وسنقوم بإنشائه على العميل لاحقًا)
ا عناوين IP المسموح بها : 192.168.1.100/32 (تعيين عنوان IP ثابت لهذا العميل).
ا حافظ على الحياة: 25 (يمنع قطع اتصال NAT).
4. احفظ التغييرات وطبقها.

الصورة 12.png__PID:197317e5-c709-40d9-b3b5-ed215db5b091

مهم: نحن بحاجة إلى السماح لحركة مرور VPN عبر جدار الحماية الخاص بـ pfSense.

تحسين أداء pfSense على Raspberry Pi

الحد من تسجيل البيانات لتقليل تآكل بطاقة SD
في pfSense، انتقل إلى: النظام > متقدم > متنوع → تمكين "قرص RAM للسجلات"

تقليل استخدام وحدة المعالجة المركزية
تعديل أمر QEMU لتقليل الحمل: tasket -c 1 qemu-system-x86_64

القيود المحتملة
• اختناقات الأداء
• متطلبات الخبرة الفنية
• البدائل التي ينبغي النظر فيها

الاستنتاج حول هل pfSense على Raspberry Pi يستحق ذلك؟

✔ المختبرات المنزلية وبيئات التعلم.
✔ إعداد جدار الحماية الأساسي وشبكة VPN.
✔ جهاز توجيه خفيف الوزن للشبكات الصغيرة.
س الشبكات عالية السرعة (>500 ميجابايت في الثانية) - تحد الشبكات الافتراضية الخاصة بـ Raspberry Pi من معدل الإنتاجية.
س الاستخدام المؤسسي – أداء محدود مقارنة بأجهزة pfSense المخصصة.

نوصيك أيضًا بزيارة منشورات جدار الحماية الخاصة بنا مع Raspberry Pi
→ https://www.sunfounder.com/blogs/news/complete-guide-to-setting-up-a-raspberry-pi-as-a-firewall-how-to-configure-ipfire-on-your-lan
→ https://www.sunfounder.com/blogs/news/how-to-configure-the-firewall-in-raspberry-pi

خاتمة

يُعد إعداد pfSense على Raspberry Pi باستخدام جهاز افتراضي طريقة رائعة لاستكشاف ميزات أمان الشبكات المتقدمة بميزانية محدودة. مع أنه قد لا يُقدم أداء الأجهزة المخصصة، إلا أنه حل عملي للمختبرات المنزلية والشبكات الصغيرة وبيئات التعلم. غطينا في هذا الدليل الخطوات الأساسية للتثبيت وتحسين الأداء والتكوينات المتقدمة مثل WireGuard VPN. على الرغم من وجود قيود مثل تكاليف المحاكاة الافتراضية وقيود الأجهزة، يوفر هذا الإعداد مدخلاً مرنًا وبأسعار معقولة إلى مجال أمان الشبكات. أما بالنسبة للبيئات الأكثر تطلبًا، فقد يكون التفكير في جهاز pfSense مخصص خيارًا أفضل. بغض النظر عن ذلك، يُعد هذا المشروع تجربة قيّمة لأي شخص يتطلع إلى تحسين مهاراته في الشبكات وتجربة حلول مفتوحة المصدر متطورة.

إذا كنت مهتمًا بتوسيع نطاق معرفتك بجدران الحماية بشكل أكبر، فراجع أدلة أخرى حول تكوينات جدران الحماية باستخدام Raspberry Pi.

العودة إلى المدونة