Livro PFsense

Livro do PfSense 2.0

Um guia prtico com exemplos ilustrados de configuraes,

para usurios iniciantes e avanados sobre o PfSense 2.0

Feito originalmente em ingls por Matt Williamson

Traduzido por Christopher Persaud

01/2012

Consideraes iniciais

Eu, como um usurio que admira, uso e curto o PfSense 2.0, vi que existem

poucas apostilas e livros em portugus referente a esse excelente sistema

operacional, como vi que esse livro muito bom e muito bem explicativo, decidi

refaz-lo passando para o Portugus, no sei se j foi feito isso, mas estou fazendo a

minha parte, espero que me desculpem por alguns erros de traduo, apesar de eu ter

um pouco de noo em ingls eu traduzi a maior parte pelo Tradutor do Google, mas

no passei para o livro ao p da letra, eu li e passei para o livro de uma forma mais

explicativa possvel, algumas palavras que se referem ao Sistema PfSense 2.0 mantive

em ingls (at o momento em que foi traduzido esse documento em 12/01/2012,

ainda no tinha sado o PfSense em portugus).

No quero tirar o mrito de toda a equipe que fez o livro originalmente j que

muito explicativo e ilustrativo, e aborda muitos recursos que com certeza muitos no

sabiam que existia ou como usar.

Espero ter ajudado, essa foi minha contribuio para a melhora do projeto

PfSense no Brasil.

Acessem o frum em portugus do PfSense para aperfeioar a aprendizado

http://forum.pfsense.org/index.php?board=12.0

Um Salve a toda equipe PfSense do Brasil!!

Copatilha cohecieto taz ais cescieto do ue se iagia

Tabela de Contedo

Capitulo 1 Configurao Inicial______________________________________________________________1 Introduo 1

Aplicando configuraes bsicas em General Setup 2

Identificando e atribuindo interfaces 3

Configurando a Interface WAN 6

Configurando a Interface LAN 8

Configurando Interfaces Opcionais 10

Habilitando o Secure Shell (SSH) 12

Gerando chaves RSA autorizada 14

Configurando o SSH com autenticao de Chave RSA 16

Acessando por Secure Shell (SSH) 18

Capitulo 2 Servios Essenciais 20 Introduo 20

Configurando o Servidor DHCP 20

Criando DHCP com mapeamentos esttico 23

Criando o DHCP relay 25

Especificando DNS alternativo 26

Configurando o DNS Forwarder 28

Configurando servidor de DNS/DCHP dedicado 30

Configurando DNS dinmico 32

Capitulo 3 Configurao Geral 35 Introduo 35

Criao de Alias 35

Criao de regras em NAT port forward 41

Criao de regras no Firewall 44

Criando agendamento 51

Acesso remoto ao desktop, usando exemplo completo 55

Capitulo 4 Rede privada Vi rtual (VPN) 60 Introduo 60

Criando VPN em um tnel IPSec 60

Configurando o servio L2TP VPN 63

Configurando o servio OpenVPN 69

Configurando o servio PPTP VPN 75

Capitulo 5 Configuraes Avanadas 87 Introduo 87

Criando um IP Virtual 87

Criando regra de NAT 1:1 93

Criando uma regra de NAT outbound 95

Criando Gateway 98

Criando uma rota esttica 100

Configurando o Traffic Shaping 102

Interfaces do tipo ponte 107

Criando uma LAN Virtual 108

Criando um Captive Portal 110

Capitulo 6 Redundncia, Balanceamento de carga e Failover 114 Introduo 114

Configurando Multiplas Interfaces 114

Configurando o balanceamento de carga em uma multi-WAN 119

Configurando o Failover em uma multi-WAN 122

Configurando um servidor de web com balanceamento de carga 125

Configurando um servidor web com Failover 129

Configurando um firewall CARP com Failover 132

Capitulo 7 Servios e Manuteno 139 Introduo 139

Habilitando OLSR 139

Habilitando PPPoE 141

Habilitando RIP 143

Habilitando SNMP 144

Habilitando UPnP e NAT-PMP 145

Habilitando OpenNTPD 147

Habilitando Wake On Lan (WOL) 148

Habilitando o log externo (servidor syslog) 151

Usando o PING 153

Usando o Traceroute 154

Fazer backup do arquivo de configurao 156

Restaurando o arquivo de configurao 159

Configurando o backup automtico do arquivo de configurao 161

Atualizao do Firmware do PfSense 162

Apndice A Monitoramento e Registros 168 Introduo 168

Personalizar a tela de Status Dashboard 168

Monitoramento de trfego em tempo real 170

Configurando SMTP de e-mail de notificao 171

Vendo os logs do sistema 173

Configurando um servidor de syslog externo 176

Visualizaes de grficos RRD 177

Visualizaes de mapeamentos DHCP 183

Monitoramento de filtro de pacotes com PfInfo 186

Monitoramento de trfego com PfTop 187

Monitoramento de atividades do sistema 188

Apndice B Determinar os requisitos de hardware 190 Introduo 190

Determinando o cenrio de implantao 190

Determinando os requisitos de rendimento 193

Determinando os requisitos das interfaces 194

Escolher o tipo de instalao 196

Melhor forma de uso 197

Informaes do tradutor 200

1

1 Configurao Inicial Nesse capitulo, iremos abordar:

Aplicando configuraes bsicas em General Setup Identificando e atribuindo interfaces Configurando a Interface WAN Configurando a Interface LAN Configurando Interfaces Opcionais Habilitando o Secure Shell (SSH) Gerando Chaves RSA Autorizada Configurando o SSH com autenticao de Chave RSA Acessando por Secure Shell (SSH)

)ntroduo PfSense um sistema operacional de cdigo aberto usado para transformar o computador em um

firewall, roteador. PfSense uma distribuio FreeBSD feita com base no projeto m0n0wall, uma distribuio

de firewall poderoso e leve. PfSense se baseia basicamente em m0n0wall e toma decises de todas as suas

funes, e foi adicionado mais uma variedade de servios de rede mais usadas.

Nesse capitulo iremos abordar as definies bsicas para implantao do PfSense; sendo um firewall,

roteador, ou at mesmo um AP sem fio! Uma vez o PfSense instalado e configurado de acordo com o descrito

nesse captulo, voc vai ter um firewall operacional q vai alm de um roteador. Em seu nvel mais bsico, uma

maquina PfSense pode ser usado para substituir um roteador domestico com a funcionalidade que deseja. Em

configuraes mais avanadas, PfSense pode ser usado para estabelecer um tnel seguro para um escritrio

remoto, equilbrio de carga de trfego. Existem realmente centenas de formas de se configurar um PfSense.

2

Uma vez o PfSense instalado, h duas maneiras de acessar o servidor remotamente, SSH e os WebGUI, uma

conexo SSH voc iria ver o menu igual ao visto se voc plugasse o monitor no servidor, no menu de opes

do SSH so bsicas e muito pouca configurao feita aqui. Toda configurao descrita em cada capitulo do

livro feita atravs da interface WebGUI, que pode ser acessada atravs do endereo de ip de qualquer

interface que voc configurou durante a instalao (como 192.168.1.1)

Aplicando Configuraes bsicas em General Setup Nessa receita iremos abordar configuraes bsicas feita no PfSense.

Se preparando...

Tudo que preciso pra fazer as configuraes uma base de instalado bem feita e acesso ao WebGUI.

Algumas dessas configuraes podem ter sido configuradas durante a instalao mas nada impede que possa

ser modificada a qualquer momento.

Em uma nova instalao as credencias de acesso padro:

Usurio: admin

Senha: pfsense

Como fazer 1. V em System | General Setup.

2. Digite um Hostname. Esse nome ser usado pra acessar a maquina pelo nome e no pelo endereo de

IP. Por exemplo podemos acessar digitando apenas http://pfsense em vez de http://192.168.1.1:

3. Digite o domnio em Domain.

3

4. Servidores de DNS podem ser especificados aqui. Por padro o PfSense vai atuar como DNS primrio e

esses campos ficaro em branco. Mas voc pode usar outros servidores de DNS. Consulte o DNS

alternativo no Capitulo 2 Servios Essenciais, para maiores informaes.

5. Marcar Allow DNS server list to be overridden by DHCP/PPP on WAN. Isso garante que todas as

solicitaes de DNS que no so resolvidas internamente, vo passar a ser resolvidas pelo servidor de

DNS do seu provedor ISP.

6. Digite o Fuso Horrio em Time Zone e deixe o padro NTP time server como 0.pfsense.pool.ntp.org.

7. Eu recomendo o Tema padro, Pfsense 2.0 o novo pfsense_ng. Os menus do topo agora so estticos e

no vai desaparecer se voc percorrer o contedo da pgina.

Veja tambm... Configurando DNS Forwarder no capitulo 2 Servios Essenciais. Especificando DNS alternativo no capitulo 2 Servios Essenciais. )dentificando e atribuindo as )nterfaces Aqui vamos descrever como identificar e atribuir as configuraes apropriadas para cada interface no

Pfsense.

4

Se Preparando...

Voc precisa identificar o endereo MAC de cada placa Ethernet no seu PfSense antes de atribuir as

interfaces.

Como faz-lo...

1. Acessar o console da maquina fsica atravs do monitor ou ativar o SSH acessando remotamente (Veja

ativando o Secure Shell(SSH) para mais detalhes).

2. A tela inicial exibir uma lista de interfaces, portas de rede e endereo de IP.

3. Escolha a opo 1 Assign Interfaces.

4. Pule a configurao de VLANs agora. Veja a criao de VLANs no Capitulo 5 Servios Essenciais para mais informao.

5

5. Atribuir para cada interface, a interface de sua escolha correspondente ao endereo MAC para cada

endereo da interface na tela.

A capacidade de configurar apenas uma interface novo para o PfSense 2.0, sendo que nas verses

anteriores era preciso WAN e LAN.

Como ele funciona...

PfSense como qualquer outro sistema operacional para computador, usa referencia pra cada Placa de

Rede atribuindo valor nico pra cada interface (fxp0, em0, em1, e assim por diante). Esses identificadores

esto associados ao driver identificado pelo sistema para tornar fcil a nossa identificao na hora de associar

o MAC (00:80:0c:12:01:52). Sendo assim uma interface um nome dado a cada porta Ethernet: fxp0=WAN,

LAN=em0, em1=DMZ, e assim por diante.

6

H mais...

Agora voc sabe qual porta esta direcionada pra qual interface, voc pode gerenciar as futuras

mudanas atravs do WebGUI. Indo at Interfaces | (assign).

Veja tambm... O acessando o Secure Shell em SSH O configurando interface WAN O configurando interface LAN O configurando Interface Opcional Configurando WAN interface Aqui vamos aprender a configurar o Wide Area Network (WAN) na interface externa do nosso firewall.

Se Preparando...

A interface WAN que conecta seu firewall a internet. Voc vai precisar configurar corretamente a

WAN interface (como foi feito no capitulo anterior) pra uma conexo com a internet. No exemplo q vamos

usar um modem a cabo fornece acesso internet, mas o PfSense pode fazer outros tipos de conexo.

Como faz-lo...

1. V at Interfaces | WAN.

2. Marque Enable Interface.

3. Escolha o tipo de configurao de endereo em Type.

4. Deixe em branco o MAC address. Vo s ai peisa isei edeeo MAC se fo usa o spoofig. O seu provedor no pode verificar seus endereos MAC, ento atribuindo manualmente voc vai forcar o

Provedor fornecer um IP ou um conjunto diferente de DNS.

5. Deixe MTU, MSS, Hostname, e Alias IP Address em branco.

7

6. Marque Block private networks. Essa configurao normalmente marcada em uma s WAN

interface.

7. Marque Block bogon networks. Essa configurao normalmente marcada em uma s WAN interface.

8. Clique em Save.

8


Devemos primeiro criar uma conexo com a internet antes de comearmos a configurar o PfSense e

permitir q a rede conecte a internet atravs dele. Se colocarmos o nosso firewall como nica maquina com

acesso direto a internet, estamos garantindo um ambiente seguro, estabelecendo um controle completo

sobre o trafego que flui dentro e fora da rede, toda o trafego deve passar agora pelo nosso firewall e respeitar

as nossas regras.

H Mais...

Agora podemos conectar o cabo de rede do modem na interface WAN que definimos na configurao

anterior do PfSense. Uma vez conectado o cabo de rede, podemos verificar o status de conexo na porta WAN

em Status | Interfaces:

Veja tambm... O Identificando a Atribuindo as interfaces O configurando interface LAN O configurando interface opcional Configurando a )nterface LAN

Aqui vamos aprender a configurar o Local Area Network (LAN) interface interna do nosso firewall.

9

Se Preparando...

A interface LAN usada pra conectar seus dispositivos internos em uma rede interna segura.

necessrio configurar a interface LAN corretamente.

Como faz-lo...

1. V at Interface | Lan.


3. Escolha a configurao de endereo em Type.

4. Digite seu ip em IP address e mascara de subrede. Deixe Gatway em None.

5. Deixe Block privates network e Block bogon networks desmarcadas.

6. Clique em Save.

10

Como ele funciona Voc acabou de configurar sua primeira rede interna. Se voc fez a configurao de acordo com o livro,

agora voc j conhece os requisitos mnimos para um bom funcionamento de um firewall! Voc j definiu

uma rede externa (WAN) e uma rede interna (LAN). Agora voc pode definir as regras de trafego entre os

dois.

H Mais...

Agora voc pode conectar o cabo de rede da rede interna na interface LAN do seu PfSense. Isso

permitira q voc se conecte aos computadores da rede interna.

Veja tambm... O Identificando a Atribuindo as interfaces O configurando interface WAN O configurando interface opcional Configurando )nterface Opcional Aqui iremos descrever como criar e atribuir interface de rede opcional no nosso firewall.

Se Preparando...

A rede opcional que voc vai criar nesse exemplo, se refere a uma DMZ. A ideia de usar Zona Militar

Desmilitarizada de permitir a passagem de trafego direta ou no. A ideia do DMZ e controlada separada de

outras reas, se aplica DMZ nesse exemplo:

Trafego de internet | DMZ Trafego rede interna

O trafego de internet inseguro permitido entrar na DMZ, para acessar um servidor web por exemplo.

O trafego da Lan tambm pode entrar na DMZ se quiser acessar o servidor web tambm. No entanto o ponto

chave fica na ultima regra no permitindo a entrada de DMZ na rede interna.

A rede DMZ a rede menos segura, vamos permitir acesso externo s a determinado IP, para

configurar uma DMZ ou qualquer outra rede opcional, vamos precisar de outra interface disponvel.

Como faz-lo...

1. V at uma interface disponvel, Interfaces | OPT1


3. Em Description digite DMZ.

4. Escolha a configurao de endereo em Type, no exemplo foi escolhido Static.

5. Digite em IP Address o ip e selecione o tipo de mascara. Usaremos o 192.168.2.1 e selecione o tipo de

mascara a partir de 24 na lista.

6. Deixe Gatway em None.

11

7. Deixe Block privates networks e Block bogon networks desmarcados.

8. Clique em Save.

9. Clique em Apply Changes.

Como ele funciona Sua rede DMZ vai permitir acesso externo (WAN). Sua DMZ tambm permitira acesso a partir da LAN,

mas no tero permisso de enviar trafego para LAN. Isso ir permitir que as requisies vindas da internet

para acessar recursos do seu DMZ (websites, e-mail, assim por diante) no enxerguem sua rede interna (LAN).

12

H mais...

Agora voc pode conectar um switch ligado interface DMZ para se conectar em varias maquinas. Iria

ficar como o diagrama a seguir:

Veja tambm... O Identificando a Atribuindo as interfaces O configurando interface WAN O configurando interface LAN (abilitando o Secure Shell SS( Aqui iremos descrever como habilitar o Secure Shell (SSH) no PfSense.

13

Se preparando...

SSH um protocolo de rede que permite q comunicao criptografada entre dois dispositivos.

Ativando o SSH permiti acesso seguro para o console do PfSense remotamente, como se voc estivesse

sentado na frente do servidor com o PfSense.

Como faz-lo...

1. V at System | Advanced | Secure Shell.

2. Marque Enable Secure Shell.

3. Voce sera solicitado a fornecer credenciais quando voc se conectar remotamente por SSH (use o

mesmo nome de usurio e senha que voc conecta por WebGUI), voc pode marcar Disable password

login for Secure Shell. Isso ira permitir q voc use chave RSA, veja mais a frente para maiores

informaes.

4. Deixe SSH Port em branco, que vai ser usado porta padro 22.

5. Clique em Save que o servio de SSH eh habilitado automaticamente.


Ativando o Secure Shell SSH permiti ao PfSense ouvir as requisies da porta 22 ou a porta que voc

especificar em SSH Port.

Assim como todos os servios. O servio SSH ir ouvir em cada interface disponvel. Assim como outros

servios, regras de firewall so usadas para permitir ou bloquear acesso a esses servios. Consulte o Capitulo 3

Configuraes Geral, para obter mais informaes de como configurar regras de firewall.

H mais...

Mudando o mtodo de autenticao do SSH para usar chaves RSA uma tima maneira de proteger

acesso ao seu sistema. Veja abaixo para mais detalhes.

Alm disso voc pode alterar a porta em que o servidor escuta o SSH. Fazendo isso voc pode

aumentar a segurana ainda mais do seu sistema, reduzindo o numero de tentativas de login no autorizado,

mas preciso se lembrar da porta que voc alterou se no, no ir poder se conectar novamente.

Veja tambm... O Gerando Chaves autorizadas RSA O Criando regras de firewall no Capitulo 3 Configuraes Geral

14

Gerando Chaves autorizadas RSA

Aqui vamos descrever como ciar uma chave RSA autorizada para que um usurio possa se conectar ao

PfSense sem ser solicitado uma senha.

Se preparando...

Usurios de Linux e Mac tero que ter o ssh-keygen instalado em seu sistema (quase todas as

distribuies j vm instalado por padro em seu sistema). Usurios do Windows tero que baixar e instalar a

ferramenta PuTTYgen.

Como faz-lo...

Gerando chaves SSH em computadores Linux/Mac da seguinte maneira:

1. Abrir terminal e digite:

ssh-keygen

2. Guardar a chave no local padro /home/user/.ssh e especificar uma senha (opcional, mas

recomendado).

3. Sua chave publica esta localizada agora em /home/user/.ssh/id_rsa.pub

Gerando chaves SSH em computadores Windows usando PuTTY da seguinte forma:

4. Abra PuTTYgen e gere um par de chaves publica/privada clicando no boto Generate.

5. Digite uma senha (Opcional, mas recomendado)

15

6. Clique em Save Private Key e escolha um local como C:\MyPrivateKey.ppk

7. Selecione a chave publica q foi gerada na caixa de texto, copie e cole em um novo arquivo, digamos

C:\MyPrivateKey.txt (No use o boto Save public key que adiciona comentrios e outros

campos q so as vezes incompatveis).

16


Chaves RSA se tornaram um padro para proteger as conexes de Cliente/Servidor para qualquer

servio. Um cliente gera um par de arquivos uma chave privada e uma chave publica(uma senha opcional

pode ser usada para maior segurana), agora qualquer administrador do servidor pode adicionar uma chave

publica de clientes em seu sistema, e o cliente pode se autenticar no servidor sem precisar digitar uma senha.

H mais...

Autenticao de chave RSA mais usada com acesso SSH, e muitas vezes se referem a ela como

Chaves SSH, mas isso no verdade. Chave RSA uma forma de segurana que tambm pode ser usada em

SSH. Embora muito usado em SSH ela tambm pode ser usada como VPN, VoIP, FTP, e assim por diante.

Veja tambm... O Habilitando o Secure Shell (SSH) O Gerando Chaves autorizadas RSA Configurando SS( com autenticao de chave RSA

17

Aqui vamos descrever como configurar o PfSense para usar uma chave RSA em vez de senha para

autenticao SSH.

Se preparando...

Certifique-se que voc j ativou o SSH e j gerou uma chave publica.

Como faz-lo...

1. V at System | Advanced | Secure Shell

2. Marque Disable password login for Secure Shell (RSA key only).

3. Editar o usurio que ir associar com a chave publica, v em System | User | Manager | Edit

admin.

4. Cole em Authorized Keys a chave publica do cliente RSA. Quando ele for colado, a chave deve

aparecer em uma nica linha. Certifique-se de que seu editor de texto no insira quaisquer

caracteres que alimente a linha do espao ou ento a autenticao pode falhar.

5. Clique em Save.


Quando um cliente se conectar por SSH, no ser solicitado uma senha. Ao invs disso, o SSH usa a

sua copia da chave publica RSA para enviar uma comparao com a chave privada do cliente

correspondente.

H mais...

Chaves RSA privadas tambm podem ser salvas criptografadas na maquina do cliente. O cliente SSH

vai pedir uma senha pra descriptografar a chave privada antes de ser usada para autenticao com

o servidor.

Veja tambm... O Habilitando o Secure Shell (SSH) O Gerando Chaves autorizadas RSA

18

O acessando o Secure Shell em SSH Acessando o Secure Shell SS(

Aqui vamos descrever como acessar o console do PfSense usando cliente Linux, Mac ou Windows.

Se preparando...

O SSH j deve estar habilitado e configurado no PfSense. Usurios do Linux, Mac tero o cliente

SSH instalado por padro. Os usurios Windows tero q baixar o PuTTY.

Como faz-lo...

Conectando via SSH usando cliente Linux/Mac:

1. Abra a janela do terminal e execute:

ssh [email protected]

2. Se voc estiver usando a configurao padro, ento ser solicitado uma senha.

3. Se voc estiver usando chave de autenticao RSA, voc vai ser conectado diretamente ou ser

solicitado a digitar uma senha associada com sua chave. Se precisar especificar a localizao do

seu arquivo de chave privada, voc pode usar a opo i dessa forma: ssh -i /home/matt/key/id_rsa [email protected]

4. Se voce configurou o PfSense pra usar uma porta diferente, voc pode especificar usando a

opo p, igual o exemplo a seguir: ssh -p 12345 [email protected]

Conectando via SSH usando cliente Windows com o PuTTY:

5. Abra o PuTTY e digite o Hostame ou o IP do servidor

6. Especifique uma porta alternativa se houver a necessidade, a padro 22.

7. Se voc usar a chave de autenticao RSA. Procure o arquivo da chave privada em

Connection | SSH | Auth | Private key file for authentication.

19

8. Voc vai se conectar e ser solicitado um nome de usurio.

9. Voc vai ter q digitar uma senha, ou se voc usar autenticao por RSA voc vai ser conectado

diretamente ou vai ser solicitado uma senha pra descriptografar sua chave privada.


O SSH permite ter acesso ao console de configurao do PfSense a partir de qualquer

computador que tenha um cliente SSH. Voc pode at acessar o console a partir do seu

telefone, se voc instalar o cliente SSH no seu dispositivo mvel.

Veja tambm... O Habilitando o Secure Shell (SSH) O Gerando Chaves autorizadas RSA Configurando SSH com chave de autenticao RSA

20

2 Servios Essenciais

Nesse capitulo, iremos abordar:

Configurando o Servidor DHCP Criando DHCP com mapeamento esttico Configurando o DHCP relay Especificando DNS alternativo Configurando o DNS Forwarder Configurando servidor de DNS/DHCP dedicado Configurando DNS dinmico

)ntroduo Depois de instalar o PfSense e executar os passos se configurao inicial, temos agora a estrutura

bsica do nosso sistema funcionando, at agora temos: Determinamos a necessidade do nosso sistema Configuramos o acesso por SSH Configuramos a WAN, LAN e o Opcional DMZ Agora estamos prontos para comear a configurar os servios de rede essenciais que o nosso PfSense

vai proporcionar.

O servio de DHCP permite que as estaes peguem endereos de ip automaticamente. O servio de DNS converte os IPs em nomes legveis de endereo de internet, e vive-versa. O servio de DNS dinmico permite o PfSense atualizar automaticamente o registro e DNS ao publico assim q ele mudar.

Configurando o servidor D(CP

21

Aqui iremos descrever como configurar o servio de DHCP do PfSense. O servio de DHCP atribui um

endereo de ip a qualquer cliente q solicitar um.

Se preparando...

O PfSense s pode ser configurado como um servidor de DHCP se a interface estiver com endereo de

ip esttico. Nesse livro iremos abordar a interface LAN e DMZ, e no a WAN. O Exemplo abaixo aborda

configurar o servidor DHCP para a interface DMZ.

Como faz-lo...

1. V em Services | DHCP Server.

2. Selecione a aba DMZ.

3. Marque Enable DHCP Server on DMZ interface.

4. Selecione em Range os ips que os clientes podero usar. Os ips devero estar dentro da faixa de ip

contida em Available range.

5. Clique em Save para salvar e habilitar o servio de DHCP.

6. Clique em Apply Changes, necessrio para que as alteraes entre em vigor.


O servidor DHCP aceita as solicitaes de requerimento de IP, e atribui um ip disponvel sem que

haja algum problema de duplicidade de IP.

H mais...

Um servidor DHCP manda um ip disponvel pra um cliente que esteja solicitando, eh provvel que

quando o cliente faa novamente a solicitao o ip que o servidor manda vai mudar a cada pedido.

Para garantir que o cliente sempre receba o mesmo endereo de IP podemos criar um

mapeamento esttico do DHCP. Veja no prximo exemplo.

Negar clientes desconhecidos

Habilitando essa opo garante que apenas os clientes com mapeamento cadastrado iro receber

endereos de ip. Solicitaes de DHCP vindo de clientes no cadastrados sero ignorados.

22

diferente do que marcar a opo Enable static ARP entries onde os clientes desconhecidos iro receber

endereos de ip, mas no vo ser capazes de se comunicar com o firewall de nenhuma forma.

Servidor de DNS

Voc pode especificar manualmente qual DNS os clientes iro ser atribudos. Se deixar em branco o PfSense ir atribuir o DNS em uma das duas formas:

Se o DNS forwarder estiver habilitado, o DNS vai ser o IP da interface local do PfSense, isso porque o DNS Forwarder torna a prpria maquina PfSense em um servidor DNS. Se o DNS forwarder estiver desabilitado, ento devero ser configurados em General Setup os endereos de DNS. E claro, se Allow DNS server list to be overridden by DHCP/PPP on WAN estiver

habilitado em General Setup os servidores DNS sero obtidos atravs da porta WAN.

Gateway

O gateway das maquinas clientes por padro ser o ip da interface local usada como servidor de DHCP,

mas pode ser mudada colocando um valor, se necessrio.

Domain Name

O nome de domnio configurado em General Setup vai ser usado como padro mas pode ser usado um nome de domnio diferente especificado se houver a necessidade.

Default Lease Time

um valor que pode ser usado para especificar um tempo mnimo que expire o acesso por DHCP. O tempo padro 7200 segundos

Maximum Lease Time

um valor que pode ser usado para especificar um tempo maximo que expire o acesso por DHCP. O

tempo padro 86400 segundos.

Failover Peer IP

Sistema que pode configurar um endereo de ip que sirva como Fail-Over de balanceamento de carga. Veja a configurao de balanceamento de carga e Fail-Over no capitulo 6.

Static ARP

23

Habilitando o Static Arp vai permitir que somente os ips cadastrados no mapeamento esttico de DHCP iro se comunicar com o firewall. Clientes no cadastrados at podero pegar ip mas no se

comunicaro com o firewall.

Isso eh diferente de Deny unknown clientes onde os ips que no esto cadastrados nem se quer

chegam a pegar ip.

Dynamic DNS

Permite que os clientes sejam registrados automaticamente com o domnio de DNS dinmico especificado.

Additional BOOTP/DHCP Options

Digite um valor a sua escolha obedecendo as regras listadas nesse site: http://www.iana.org/assignments/bootp-dhcp-parameters/bootp-dhcp-parameters.xml

Veja tambm... Criando mapeamento esttico por DHCP Configurao de balanceamento de carga e Fail-Over no capitulo 6. Criando D(CP com mapeamento esttico Aqui vamos descrever como ativar e configurar o mapeamento esttico do DHCP no PfSense. O

mapeamento esttico garante que o cliente sempre pegue o mesmo IP.

Se preparando...

O DHCP com mapeamento esttico s se aplica para as interfaces que utilizam o servio de DHCP.

Como faz-lo...

1. V at Status | DHCP leases ento voc ver a lista de clientes que fizeram a requisio de ip pro

DHCP.

24

2. Ento clique no boto com o solo + pa adiioa o ip o apeaeto esttio. 3. O endereo MAC ser cadastrado.

4. Digite em IP address o ip que voc deseja atribuir para aquele cliente, esse ip tem que estar fora

dos ips cadastrados em Range, que esse vai ser atribudo pra outros clientes que fizerem a

requisio de ip.

5. Deixe o Hostname j pre configurado, ou ento digite um a sua escolha.

6. Em Description digite uma descrio que voc possa identificar o computador do cliente.

7. Clique em Save.

8. Clique em Apply Changes, v at a pgina DHCP Server no final da pagina voc vai ver o

mapeamento que foi criado.


Quando um cliente faz uma requisio de ip automtico no servidor DHCP do PfSense, se o

endereo MAC estiver cadastrado no mapeamento ento o cliente pega o ip cadastrado referente

ao MAC. Se o MAC no estiver cadastrado ento atribudo um ip ao cliente dentro da gama de ip

cadastrado em Range.

H mais...

Os ips cadastrados no mapeamento esttico podem ser vistos na pagina DHCP Server na parte

inferior da pgina, voc vai at Services | DHCP Server | Interface selecionando a aba

correspondente da interface.

Todos os ips estticos cadastrados voc ver nessa tela, voc pode modificar, remover, at

criar um novo ip esttico para o cliente, mas se voc criar por aqui o endereo MAC vai precisar

ser atribudo manualmente.

25

Veja tambm... O Configurando servidor DHCP O Configurando servidor DHCP relay Configurando o D(CP relay Aqui vamos configurar o DHCP para retransmitir pedidos DHCP de outro domnio. Especificando o

DHCP relay mais uma alternativa pra configurar o DHCP no PfSense.

Se preparando...

O DHCP relay s pode ser ativado se o servio de DHCP de todas as interfaces estiver desativado, voc

pode desativar o servio da seguinte forma:

1. V at Services | DHCP Server | Interface seleciona a aba (a LAN por exemplo).

2. Desmarque a opo Enable DHCP Server on LAN Interface.

3. Clique em Save.

4. E clique em Apply Changes.

Como faz-lo...

1. V at Services | DHCP relay.

2. Marque a opo Enable DHCP relay on Interface.

3. Selecione qual interface vai usar o DHCP relay, se quiser selecionar mais de uma interface clique

as duas oo oto tl pessioado. 4. Em Destination Server digite o endereo de ip do servidor DHCP que voc deseja usar como

destino. Vrios ip podem ser usados desde que sejam separados por virgula.

5. Clique em Save.


26


O PfSense pode ser configurado para retransmitir um pedido de DHCP feito a outro servidor DHCP

existente, qualquer pedido de DHCP ser enviado ao servidor com o ip configurado em DHCP relay

e devolvida a resposta ao cliente que requisitou.

Append Circuit ID and Agent ID to Requests Marcando essa opo o PfSense pode tambm acrescentar nas requisies de ip sua

identificao junto ao pedido de ip se houver a necessidade.

Usando o DHCP relay pela interface WAN Usando o DHCP relay pela interface WAN no foi implementado at a verso 2.0 do PfSense

quando foi feito o livro.

Veja tambm... O Configurando servidor DHCP O Configurando servidor DHCP relay Especificando DNS alternativo Aqui vamos descrever como usar o DNS alternativo, que seja diferente do configurado por padro pelo

PfSense.

27

Se preparando...

Quando se trata de resoluo de nomes DNS, na maioria dos ambientes fornecida pelo seu provedor

de internet ISP atravs da WAN. Por padro no preciso definir nenhum DNS, porque atribudo pelo

prprio PfSense se a opo Allow DNS server list to be overridden by DHCP/PPP on WAN estiver marcada.

Mas se por algum motivo voc quiser atribuir outro DNS alternativo ter que seguir os seguinte passos.

Como faz-lo...

1. V em System | General Setup

2. O DNS Servers ter que conter as seguinte configuraes: Especificar o IP e gateway pra cada linha do DNS Servers. Desmarque Allow DNS server list to be overridden by DHCP/PPP on WAN. 3. Clique em Save.



Os servidores DNS especificados manualmente sempre tero prioridade a menos se for substitudo

pelas seguintes opes.

Os servidores DNS que foram colocados no exemplo so servidores pblicos que podem ser usados pra

diagnosticar problemas de DNS.

Usando o DNS Forwarder

Se o DNS Forwarder estiver habilitado podemos substituir os servidores DNS por domnios individuais

ou at mesmo dispositivos individuais. Para saber mais informaes consulte o Configurando o DNS

Forwarder. O DNS Forwarder tem preferencia sobre todos os pedidos de DNS.

Usando o DNS da sua WAN

28

Quando Allow DNS server list to be overridden by DHCP/PPP on WAN estiver marcado. O PfSense usa o DN da WAN se falha eto passa a usa os DNs listados adastados. Depois do DN Foade ele que tem preferncia sobre os pedidos de DNS.

Veja tambm... O Configurando DNS Forwarder. Configurando o DNS Forwarder Aqui vamos descrever como configurar o DNS Forwarder no PfSense. O DNS Forwarder do PfSense

permite agir como um servidor de DNS com uma srie de vantagens.

Se preparando...

O DNS Forwarder permite o PfSense resolver os pedidos do DNS usando o hostname obtido pelo

servio de DHCP, ou manualmente se voc inseriu as informaes manualmente. O DNS Forwarder tambem

pode encaminhar todas as solicitaes de DNS para um determinado domnio especificado manualmente.

Como faz-lo...

1. V em Services | DNS Forwarder | Enable DNS Forwarder

2. Se Register DHCP leases in DNS Forwarder estiver marcado, todos os dispositivos em Status |

DHCP Leases usar a funo do DNS Forwarder.

3. Se Register DHCP static mappings in DNS Forwarder estiver marcado, todos os dispositivos

conectados e mapeados em qualquer aba de interface em Services | DHCP Server usar o servidor

configurado.

4. Especificando individualmente em Hosts estar usando os registos do DN. Cliado o oto + voc adiciona um registro, dispositivos cadastrados nessa lista ter seu pedido imediatamente

devolvido tendo preferencia.

29

5. Voc pode especificar um DNS em particular em Domain, liado o oto + paa adiioa u registro. Esses registros so verificados imediatamente logo depois dos registros individuais a cima,

por isso aqui pode ter preferencia em registros existentes em outros lugares.

6. Clique em Save.



Se o DNS Forwarder estiver marcado, ele vai ter prioridade sobre todos os pedidos de DNS, a

resposta vai na seguinte orgem:

1. Registro de dispositivos individuais (Services | DNS Forwarder).

2. Registro de domnios especficos (Services | DNS Forwarder).

3. Mapeamento de DHCP esttico (Services | DHCP Server | Interface) selecione a aba.

4. DHCP Leases (Status | DHCP Leases).

Veja tambm... O Configurando o servidor DHCP O Criando o DHCP com mapeamento esttico O Configurando o servidor DHCP/DNS dedicado

30

Configurando o servidor D(CP/DNS dedicado Aqui vamos descrever como configurar o PfSense com DNS e DHCP dedicado

Como faz-lo...

1. Configure o PfSense como servidor DHCP. Veja Configurando o servidor DHCP.

2. Crie um mapeamento esttico para cada dispositivo que v se conectar com ip automtico em seu

sistema.

3. V em System | General Setup

4. Se certifique que nenhum outro DNS esta configurado na lista.

5. Marque a opo Allow DNS server list to be overridden by DHCP/PPP on WAN, nesse modo o

PfSense vai resolver os nomes de DNS vindo direto da interface WAN.

6. Clique em Save.

7. Clique em Apply Changes se necessrio.

8. V at System | DNS Forwarder

9. Marque Enable DNS Forwarder.

10. Marque Register DHCP static mappings in DNS Forwarder.

31

11. Criar um registro em Host pra qualquer dispositivo que precise ser resolvido, mas no pode estar

no mapeamento DHCP (ele deve ser configurado ip manualmente)

12. Criar um registro em Domain para todos os pedido de DNS que voc gostaria que fosse direcionado

pra um determinado domnio.

13. Clique em Save



Se o DNS Forwarder estiver habilitado, todas as solicitaes de DNS de cada interface ser

solicitado pelo PFsense. Registros individuais cadastrados em Host vo ser verificados, se ele for

correspondido ento ele imediatamente devolvido.

Se habilitar o Register DHCP Static Mappings voc no ter que se preocupar com criao de registros

DNS para os dispositivos. Esse o meu mtodo preferido de usar o PfSense como um servidor de DNS.

32

Contando que ter que mapear todos os endereos de ip pra cada dispositivo da rede que o hostname

resolver automaticamente.

Usando esse mtodo nos vamos ter que adicionar os hostnames e ips de computadores que no

usarem DHCP que devem ser poucos na rede.

Registrando em DHCP Leases o DNS Forwarder

Se Register DHCP Leases in DNS Forwarder estiver marcado, o PfSense vai registrar quaisquer dispositivos que tiver um hostname e fizer um pedido de DNS. A desvantagem claro que nem todos os

dispositivos vo se conectar se no estiver cadastrado no mapeamento esttico do DHCP, eu prefiro registrar

todos.

Veja tambm... O Configurando o servidor DHCP O Criando o DHCP com mapeamento esttico O Configurando DNS Forwarder Configurando DNS Dinmico Aqui vamos descrever como configurar o servio de DNS dinmico no PfSense.

Se preparando...

No PfSense j vem integrado o servio de DNS dinmico permitindo atualizar automaticamente toda

vez que muda o endereo de ip da interface.

Como faz-lo...

1. V em Services | Dynamic DNS

2. Clique na aba DynDNS

3. Cliue o oto + paa adiioa u oo egisto 4. Escolha o Service Type (Ou seja, o prestador de servio de DNS dinmico)

5. Especifique em Interface to Monitor a interface ligada na internet pela qual deseja configurar

(geralmente usada a interface WAN)

6. Digite em Hostname o nome que voc criou no provedor do DNS dinmico, no exemplo o

DynDNS

7. Marque o Wildcard, se for o caso

8. Digite em username e password as credenciais que voc configurou no provedor de DNS dinmico,

no exemplo o DynDNS.

9. Digite em Description uma descrio qualquer que voc possa reconhecer posteriormente.

10. Clique em Save.


33


Sempre que o endereo de ip muda da interface, o PfSense automaticamente se conecta com o

provedor de DNS dinmico usando as credenciais cadastradas e atualiza todos os dados.

Servios de provedores de DNS dinmico cadastrados

O PfSense j vem com os provedores de DNS dinmico mais usados j cadastrados:

DNS-0-Matic DynDNS DHS DyNS easyDNS No-ip ODS ZoneEdit Loopia freeDNS DNSexit

34

OpenDNS NameCheap Especificando um servio alternativo usando o RFC 2136

Mas se voc quiser usar um provedor DNS dinmico que no esteja cadastrado, voc pode usar ele desde que obedea ao padro RFC 2136. V em Services | Dynamic DNS | na aba RFC 2136, em seguida

preencha nos campos apropriados os dados fornecido pelo seu provedor de DNS dinmico.

35

3 Configurao Geral Nesse capitulo, iremos abordar:

Criao de Alias Criao de regras em Nat port forward Criao de regras no firewall Criando agendamento Acesso remoto ao desktop, usando exemplo completo )ntroduo A principal funcionalidade de qualquer firewall a criao de portas, regras de segurana no firewall, e no PfSense no diferente. Estas caractersticas, e outras, podem ser encontradas no menu Firewall na

pagina principal da WebGUI.

Neste capitulo vamos explicar como configurar essas regras e explicar cada caractersticas associadas a

cada uma, depois de ter feito de tudo um pouco voc vai ver o quanto fcil a configurao do firewall do

PfSense.

Criando Alias Aqui vamos explicar como usar, criar, editar e excluir Alias. O Alias fornece um grau de separao entre

as regras e valores que podem mudar no futuro (por exemplo, endereos de IP, portas, e assim por diante).

sempre bom usar Alias.

Como faz-lo...

1. V em Firewall | Aliases

2. Cliue o oto + para adicionar um novo Alias. 3. Em Name digite o nome do Alias

4. Em Description digite uma descrio prvia do que voc vai querer nesse Alias

5. Selecione um tipo de Alias em Type. Sua configurao a seguir vai se basear no que voc

selecionar.

36

Veja que a mais tipos de Alias, nas sees seguinte vamos ver detalhes sobre cada uma delas (Host,

Rede, Usurios Open VPN, URL e tabelas URL)

6. Clique em Save.



Um Alias um lugar de suporte para obter informaes que podem mudar. Um Alias de host um

bom exemplo, podemos criar um Alias de host chamado Computer 1, e guardar um endereo de ip

192.168.1.200.

Podemos ento criar varias regras de firewall e Nat e usar o nome Computer 1 em vez de

especificamente o endereo de IP do Computer 1. Se o endereo de ip do Computer 1 mudar, s mudar no

Alias o ip referente ao Computer 1 ao invs de mudar inmeras regras criadas para aquele ip.

Os Alias permitem e flexibilidade e torna simples algumas mudanas futura. sempre bom usar Aliases

sempre que possvel.

H mais...

Adicionando Alias dentro de Alias, tambm uma tima maneira de gerenciar e simplificar regras. Para

mostrar o poder do Alias, digamos que a nossa organizao tem um telefone VoIP nico, que deve se

comunicar com o nosso servidor VoIP.

Um exemplo dessa regra sem Alias a seguinte:

37

Um exemplo melhor, usando Alias, a seguinte:

Um exemplo ainda melhor usando sub-Alias, seguinte:

Com o sub-Alias nos permite modificar facilmente mais telefones, basta modificar um Alias.

Host Alias

Selecionando Host(s) como tipo de Alias permite que voc crie um Alias contendo um ou mais endereos de IP:

38

Network Alias

Selecionando Network(s) como tipo de Alias, permite que voc crie Alias um ou mais tipos de redes

(ou seja, intervalos de endereo de rede).

Port Alias

Selecione Port(s) como tipo de Alias, permite que voc crie alias com um ou mais portas:

OpenVPN Users Alias

Selecione OpenVPN Users como tipo de Alias, permite que voc crie um ou mais nomes de usurios OpenVPN.

39

URL Alias

Selecionando URL oo tipo de Alias, peite ue o ie u ou ais alias otedo URLs:

URL Table Alias

Selecionando URL Table como tipo de Alias, permite que voc crie uma URL nica apontando para uma grande lista de endereos. Isso muito importante quando voc precisa importar uma grande lista de

endereos de ips e/ou subredes.

Usando o Alias

O Alias pode ser usado em qualquer lugar que voc veja uma caixa de texto da cor vermelha. Basta comear a digitar que o PfSense vai exibir qualquer Alias disponvel correspondente com o texto que voc

comeou a digitar.

Editando o Alias

Para modificar um Alias existente, siga esses passos:

1. V at Firewall | Aliases

40

2. Cliue o oto de edio paa edita o Alias 3. Faa as mudanas necessrias

4. Clique em Save


Deletando um Alias:

Para remover um Alias existente, siga esses passos:

1. V at Firewall | Aliases.

2. Clique o oto de delete paa deleta o Alias 3. Clique em Save

4. Clique em Apply Changes

Importando dados em lotes no Alias

Para importar uma lista de vrios endereos IP, siga estes passos:

1. V at Firewall | Aliases

2. Clique no boto de importao de Alias para importar em lotes.

3. Digite um nome para a importao em Alias Name

4. Digite um nome para descrio do Alias em Description.

5. Cole a lista de endereos que voc quer importar um por linha no Alias

6. Clique em Salvar.


Veja tambm... O Criando Nat com regra de Port Forward O Criando regras de Firewall.

41

Documento Oficial http://doc.pfsense.org/index.php/Aliases Criando Nat com regras de Port Forward Aqui vamos descrever como criar, editar e excluir regras de Port Forward.

Se preparando...

A complexidade das regras de Port Forward pode variar muito. Todos os aspectos de uma regra de

Port Forward so aprofundados mais adiante. O seguinte cenrio um exemplo tpico de Port Forward para

encaminhar qualquer solicitao recebida pela web (HTTP) para um computador j configurado como servidor

web

Como faz-lo...

1. V at Firewall | NAT

2. Seleciona a aba Port Forward.

3. Cliue e + paa adiioa ua ega de Pot Foad. 4. Em Destination port range, escolha HTTP em from e to na caixa de menu

5. Em Redirect target IP especifique o servidor web de trfego para qual vai ser encaminhado, pode

ser por Alias ou IP.

6. Em Redirect target Port escolha HTTP.

7. Digite uma descrio em Description, no exemplo usamos Forward HTTP to webserver1

8. Clique em Save.


42

Por padro uma regra de firewall criada para permitir que o trfego passe, mas muito importante

lembrar que as regras de NAT e Firewall so distintos e separados. As regras de NAT servem para encaminhar

o trfego, enquanto as regras de firewall so para permitir ou bloquear o trfego. muito importante lembrar

que s porque uma regra NAT esta encaminhando um trfego, no quer dizer que o Firewall no possa

bloquear ela.


Todo o trfego passa atravs da lista de regras de NAT, com os seguintes critrios:

Interface Protocolo Origem e intervalos de portas de origem Destino e intervalos de portas de destino Se todo o trfego corresponde a todos os critrios desta regra, que o trfego ser redirecionado para o

Redirect target IP e Redirect target port especficos.

Assim como todas as regras do PfSense, regras de NAT so lidas de cima para baixo, a primeira regra

executada imediatamente e o restante ignorado.

Nossos exemplos podem ser lidos assim:

O trfego de:

43

A Internet (Interface: WAN) A partir de qualquer cliente (Source) em qualquer porta (Source Port Range) Indo para:

Nosso endereo de IP Publico (Destination WAN address) Com um pedido de website (Protocol: TCP, Destination Port Range: HTTP) Ser redirecionado para:

Um computador em particular (Redirect Target IP: Webserver1) Com o mesmo pedido (Protocol: TCP, Redirect Target Port: HTTP) H mais...

As regras de NAT podem ser configuradas usando uma variedade de opes:

Disabled: Ativa ou desativa a regra de NAT marcando essa opo. No RDR (NOT): Ativando essa opo ir desativar o redirecionamento de trfego. Interface: Especifica a interface que a regra de NAT vai ser usada (a mais usada a WAN) Protocol: Especifica o tipo de protocolo que vai ser usado na regra de NAT. A mais usada TCP, UDP ou TCP/UDP, mas existem tambm GRE e ESP. Source: Normalmente a origem deixada como padro any, mas voc pode especificar uma outra fonte, se necessrio. Source Port Range: Geralmente usada por padro any, mas voc pode especificar outra porta se houver a necessidade. Destination: Na maioria das vezes deixado o valor padro que a WAN (o endereo publico), mas pode ser usada outra alternativa se houver a necessidade. Destination Port Range: Essa a porta de trfego solicitante. Se ns estamos encaminhando o trfego da web, poderamos selecionar HTTP, to comum que j vem no menu drop-down, mas a escolha

(other), e especificando a porta 80 funcionaria da mesma forma. Poderamos tambm personalizar

uma porta (vamos usar como exemplo um encaminhamento de trfego do torrente na porta 46635)

lembre-se que voc pode usar um Alias! Redirect Target IP: Aqui o endereo do computador interno que vai ser transmitido o trfego para ele. Lembre-se que voc pode usar um Alias! Redirect Target Port: Aqui a porta do ip do computador especificado em cima. Lembre-se que voc pode usar um Alias! Description: A descrio feita aqui vai ser automaticamente copiada para as regras firewall (precedidas pela palaa NAT No XMLRPC Sync: Marque essa opo para impedir que esta regra seja aplicada a qualquer firewall usando o CARP. Consulte o Firewall CARP Configurando Seo de failover no Captulo 6, redundncia,

balanceamento de carga e Failover para mais da informao. NAT Reflection: usado por padro no sistema quase todas as vezes, mas NAT Reflection pode ser ativado ou desativado por padro se for necessrio. Filter Rule Association: Ser criado a regra de firewall associada a regra do NAT.

44

Port Redirection A verdadeira regra de encaminhamento de porta que vai passar o trfego para maquina da rede interna usada tambm pela porta configurada (ou seja, Destination Port Range e Redirect

target port se correspondem). No entanto no a nada que impea voc redirecionar para uma porta

diferente, se quiser. H duas razes para voc querer fazer isso: Segurana por Obscuridade: Todo mundo sabe que a porta padro HTTP 80, mas vamos supor que o te u esite seeto ue o o ue ue seja aessada failete. Vo pode defii u intervalo de portas de destino para alguma porta obscura (por exemplo: 54321) ento dai em diante

usar a porta padro HTTP 80. E os usurios que queiram acessar o site tero que digitar o endereo

assim http://www.exemplo.com:54321 Um nico endereo de IP pblico: Em ambientes menores com apenas um endereo publico, voc no vai poder acessar duas maquinas distintas remotamente porque voc s tem um endereo de ip

publico. Ento voc pode criar duas regras diferentes no NAT. O primeiro ira redirecionar a porta

50001 para o Computador 1 usando a porta 3389, e o segundo vai redirecionar a porta 50002 para o

Computador 2 usando a mesma porta 3389. Fazendo isso voc pode acessar o Computador1:50001 e o

Computador2:50002, e assim por diante. Usando o mesmo ip publico.

Veja tambm... O Criando Alias O Criando regras de firewall O Configurando CARP firewall failover recipe in Chapter 6, Redundancy, Balanceamento de Carga,e Failover

Criando regras de Firewall Aqui vamos descrever como criar uma regra de firewall

Se preparando...

Como exemplo, vamos criar uma regra de firewall para permitir o trfego web encaminhado pela NAT

(a regra que criamos anteriormente). Se voc acompanhou, o NAT que criamos, automaticamente foi criado

uma regra em Firewall, mas poderamos marcar None em Filter Rule Association que essa regra no iria ser

copiada para o Firewall.

Como faz-lo...

1. V at Firewall | Rules.

2. Selecione a aba WAN

3. Cliue o oto + paa adiioa ua oa ega de fieall 4. Especifique a WAN Interface

5. Especifique o Protocol TCP

6. Especifique any em Source

7. Especifique any em Source Port Range

45

8. Especifique Webserver1 em Destination

9. Especifique HTTP em Destination Port Range

10. Digite q descrio da regra em Description

11. Clique em Save


47


Todo o trfego passa pela lista de regras de Firewall. Se qualquer pacote de trfego corresponde a

qualquer critrio de qualquer regra, a regra seria executada (e o pacote seria permitido ou negado).

Essa regra pode ser lida como: "Qualquer porta de qualquer cliente na internet tem permisso para

acessar a nossa web pela porta do servidor que 80".

H mais...

Regras de firewall so altamente configurveis. Detalhes de cada opo de regra de firewall so as

seguintes: Action: o tipo de ao que a regra vai ter o Pass: Se os critrios forem correspondidos, a passagem do pacote permitida.

o Block: Se todos os critrios forem correspondidos, a passagem do pacote bloqueada

(alguns se referem a ela como Drop Silencioso).

o Reject: Se todos os pacotes forem correspondidos, a passagem do pacote devolvida ao

remetente. Disabled: Desativa a regra sem ter que apaga-la. Interface: Se especifica de qual interface o trfego vai ser originado, que estar sujeito a essa regra, geralmente usada a WAN. Protocol: Corresponde o tipo de protocolo, variando de acordo com o tipo de regra que define o trfego. Source: geralmente marcado any quando se refere a trfego de entrada. Source Port Range: geralmente marcado any quando se refere a trfego de entrada. Destination: Aqui usado o Alias ou o endereo de IP do computador que o trfego esta apontando. Destination Port Range: geralmente a porta do computador que atende este trfego. Log: Habilitar o log de registro do pacote que corresponde a regra. Description: Digite uma descrio que voc possa identificar futuramente.

Raramente sabemos a porta de origem!

Ao especificar as regras, muito importante lembrar que Source Port Range quase sempre definida como any. Muitas vezes as pessoas cometem erro de especificar um Source Port Range. Lembre-se quando

voc solicita um site, voc esta solicitando a porta 80 no computador do servidor web, e seu computador que

vai decidir que porta sua vai ser aberta para receber a solicitao. Esta sua porta de origem, uma porta

sempre em mudana, que voc provavelmente no vai saber qual ser. Assim 99 por cento do tempo, no

saberemos o Source Port Range.

A ordem das regras do Firewall

As regras do PfSense so sempre avaliadas de cima para baixo. Muitos administradores inclui uma regra muito especifica na parte superior das outras regras e as mais genricas na parte inferior. Para

48

reordenar uma regra, clique na regra e ento clique no boto que parece uma mo na linha da regra que voc

quer colocar a cima dela.

Duplicando regras de firewall

Muitas vezes, a gente pode querer criar uma nova regra muito parecida com a regra existente. Para poupa tepo s podeos duplia a ega e faze as alteaes espeifias liado o oto +.

Recursos Avanados

Esse recurso novo para o PfSense 2.0, nas regras de firewall tem uma seo chamada Advanced Features, cada um dos seguintes recursos podem ser especificados como critrios para uma regra. Se um

recurso avanado especificado, a regra s ser executada se for encontrada uma correspondncia. Clique no

boto Avanado para exibir as seguintes definies de configurao para cada funo:

Source OS: Esta opo ira tentar comparar a fonte do trfego com o sistema operacional do dispositivo:

Diffserv Code Point: um mecanismo para fornecer Qualidade de Servio (QoS) de trfego de rede. Podendo priorizar trfego com base nos valores especificados:

Advanced Option: Permite a opo de especificao avanada do IP:

49

TCP Flags: Estes so bits de controle que indicam diversos estados de conexo ou informaes sobre como um pacote deve ser tratado.

State Type: Especifica um mecanismo de rastreamento especial sobre o estado

50

No XMLRPC Sync: Impede que a regra sincronize com outros membros do CARP: Schedule: Especifica um agendamento do perodo que essa regra vai ser valida. Ter que cadastrar os

horrios em Firewall | Schedule. Ento aparecer aqui:

Gateway: Se quiser definir outro gateway diferente do configurado como padro, ento defina aqui:

In/Out: Especificar filas alternativas de velocidade e interfaces virtuais:

Ackqueue/Queue: Especificar as alternativas de reconhecimento de filas de velocidades: Layer7: Especifica uma alternativa de Layer7:

Veja tambm... Criao de regras em Nat port forward Criando agendamento Criando Alias

51

Criando agendamentos Agora vamos descrever como criar uma agenda

Se preparando...

A agenda nos permite configurar quando as regras entram em vigor e saem. Elas so usadas

geralmente com regras de firewall, mas na concepo em geral vai ser permitido usar para muito mais

funes no futuro em verses posteriores do PfSense. Se uma regra do firewall especifica um horrio,

a regra ento s ativada durante esse perodo de tempo. No exemplo a seguir, vamos definir um

cronograma para o nosso horrio de 9 horas da manh ah 5 horas da tarde, horrio comercial.

Ao criar horrios, essencial ter o fuso horrio configurado corretamente, e o tempo de

sincronizao configurado devidamente em um servidor confivel.

Como faz-lo...

1. V at Firewall | Schedules

2. Cliue o oto + paa ia ua oa ageda 3. Em Schedule Name digite um nome de referencia, o exemplo usamos WorkHours.

4. Digite em Description a descrio para que voc possa reconhecer que tipo de horrio voc esta

configurando, no exemplo usamos Regular work week hours.

5. Na seo Month selecione o ms, clique em Mon, Tue, Wed, Thu e Fri selecionando todos os dias

da semana de trabalho.

6. Especificar 9 horas da manh em Start Time e 17 horas em Stop Time.

7. Digite em Time Range Description a descrio do horrio, no exemplo usou Monday-Friday 9am-

5pm.

8. Clique em Add Time.

52

9. Note que o tempo de repetio adicionado em Configured Ranges.

10. Clique em Save.



Um agendamento associado a uma regra s ser valida durante o tempo especificado. Para saber

associar uma regra de firewall com o agendamento que acabamos de criar:

1. Edite uma regra, ou adicione uma.

53

2. Clique em Schedule Advanced, ento v na opo Schedule e selecione o agendamento que

voc deseja usar, no exemplo ns s criamos um.

3. Escolha o agendamento que criamos WorkHours na opo Schedule.

4. Clique em Save


H mais...

No PfSense vrios cones aparecem para auxiliar nas informaes, no agendamento tambm,

os cones no agendamento aparecem para informar se o agendamento est ativou ou no. Firewall | Schedules: agedaetos atiados apaee o u elgio:

Firewall | Rules: Regas o agedaeto atio apaee ua seta ede a olua Schedule, e diz qual o nome do agendamento.

Regras com agendamentos desativados, na coluna Schedule apae u eelho com o nome do agendamento:

54

Seleo de dia ou dias da semana A seleo Month funciona de duas formas: Selecionando dias especficos: Selecione o ms correto e clique nos dias especficos (o ano

irrelevante, qualquer dia especificado ser repetido em cada ano).

Selecionando dias da semana: Clique no dia da semana, selecionando todos os dias do ms referente aquele dia da semana (o ms irrelevante, o dia da semana vai sempre repetir todos os

meses).

Veja tambm... Criando Alias Criao de regras em Nat port forward Criando regras de firewall

55

Acesso remoto ao Desktop com exemplo completo Vamos descrever aqui como liberar o acesso atravs de regras de firewall do PfSense, o acesso remoto

ao computador da rede interna usando o acesso remoto da prpria Microsoft que vem no Windows o (RDP).

Se preparando...

Vamos demonstra como criar uma regra de firewall para liberar o acesso do inicio ao fim. O exemplo a

seguir vai mostrar como acessar uma maquina da rede interna, com o pedido vindo da internet. Para fazer

isso requer as configuraes que vamos postar agora, vale ressaltar que as configuraes feitas agora nos

vamos ter que saber alguns pontos que foram tocadas no livro:

DHCP Server DHCP com mapeamento estatico DNS Forwarder Aliases NAT port forwarding Regras de Firewall Agendamentos Como faz-lo...

1. Vamos cadastrar o computador na nossa rede:

2. V at Status | DHCP Leases e localize o computador que acabou de entra na rede. Clique no

oto + paa atiui u apeaeto esttio paa ele.

3. Vamos atribuir um endereo de IP a ele, em IP address digite 192.168.1.200, e em Hostname,

digite o nome que vai querer identificar ele, pode ser Laptop1, e digite em Description, uma

descrio do Laptop para voc saber qualquer o laptop que voc adicionou.

56

4. Vamos agora fazer com que nosso DNS Forwarder seja configurado para transmitir

automaticamente aos clientes com mapeamento esttico, v a Services | DNS Forwarder, para

que possamos localizar com facilidade o computador pelo nome:

5. Vamos agora criar um Alias para ser usado como referencia ao seu IP dentro do PfSense em

Firewall | Aliases:

57

6. Vamos criar um agendamento para a regra usando o mesmo que j criamos afinal se usarmos o

agendamento que s funciona em horrio comercial, vai ficar mais protegido contra ataque

externo quando no estiver em horrio comercial:

7. Vamos agora criar uma regra no NAT para encaminhar os pedido de RDP vindo de fora para o

computador que acabamos de cadastrar, v a Firewall | NAT. Se pesquisarmos na internet sobre

potoolo de aesso eoto ao desktop aos e ue a pota a TCP 33 o Pfese j e com um pr-definido no sistema com o nome MS RDP)

8. Agora vamos criar um agendamento para que essa regra funcione de acordo com o horrio que

criamos, v a Firewall | Rules:

58

9. Clique em Save.



A nossa regra de NAT encaminha todas as solicitaes RDP para o nosso laptop. A regra NAT

sempre habilitada. Mas na regra de firewall faz com que esse encaminhamento s funcione

durante o horrio especificado

H mais...

Para aumentar a segurana ns podemos fazer mais, podemos restringir o acesso liberando apenas

nosso ip de acesso externo, e se esse IP mudar ento teremos que mudar o Alias atualizando o IP

ento sempre amos ter um controle de quando a pessoa acessou. Crie um Alias com o IP do

escritrio:

Ento podemos modificar nossa regra de firewall aplicando os pedidos provenientes ao IP da nossa empresa

(lembre-se que o trfego que no corresponde a regra any bloqueado por padro). Agora com a associao

do NAT com as regras de firewall, pelas regras de firewall ns no poderamos modificar a fonte diretamente.

59

Ento vamos ter que modificar dentro do prprio NAT, clique na opo Advanced, e especifique o Alias

com o endereo publico da nossa empresa.

Ento vamos checar se essas mudanas foram alteradas tambm em regras de firewall.

Veja tambm... Configurando servidor DHCP no Capitulo 2 Servios Essenciais Criando DHCP com mapeamento esttico no Capitulo 2 Servios Essenciais Configurando DNS dinmico no Capitulo 2 - Servios Essenciais Criando Alias Criando Nat Port Forwarding Criando regras de firewall Criando agendamentos

60

4 Rede Privada Virtual (VPN)

Nesse capitulo iremos abordar:

Criando VPN em um tnel IPSec Configurando o servio L2TP VPN Configurando o servio OpenVPN Configurando o servio PPTP VPN )ntroduo Virtual Private Networking (VPN) (Vamos abordar no livro esse nome como Rede Privada Virtual (VPN)) um sistema moderno muito eficaz. Uma conexo VPN permite que um usurio remoto conecte com

segurana uma rede e use os recursos como se estivesse no prprio local.

Com todas as variedades de acesso VPN, O PfSense tem quatro implementaes mais usadas, elas so

construdas direto dentro do OpenVPN que esta migrado como o protocolo VPN. Mas nada impede que voc

baixe um software a sua escolha de VPN cliente para qualquer maquina usando Windows (suporte OpenVPN

no vem no Windows). IPSec mais complexo, mais tambm uma aplicao muito popular do VPN. Servio

PPTP VPN e L2PTP VPN so menos usados entre os quatro, mas seu uso ainda bem generalizado.

Neste capitulo vamos descrever como configurar o PfSense para usar qualquer um ou as quatro

aplicaes VPN-IPSec, L2TP, OpenVPN, e PPTP.

Criando VPN em um tnel )PSec Aqui vamos descrever como criar uma VPN usando um tnel IPSec.

Se preparando...

IPSec muitas vezes o mtodo preferido para o tipo de conexo rede-a-rede ( oposto ao cliente-a-

rede). Um cenrio tpico monta uma conexo permanente e segura entre sede e filial.

61

Redes conectadas atravs de VPN devem obrigatoriamente usar sub-redes diferentes. Por exemplo, se

as duas redes usam sub-redes 192.168.1.0/24, o VPN no vai funcionar.

Como faz-lo...

1. V at VPN | Ipsec

2. Cliue o oto + paa ia u tel IPe. 3. Especifique em Remote Gateway o IP publico ou o hostname do gateway remoto.

4. E em Description adicione uma descrio do seu IPSec

5. Em Pre-Shared Key digite sua senha

6. Clique em Save

7. Marque Enable IPsec.

8. Clique em Save.

62


10. V at Firewall | Rules

11. Selecione a aba IPSec

12. Cliue o oto + paa adiioa ua oa ega o fieall 13. Em Destination selecione Lan subnet.

14. Em Destination port selecione any

15. Em Description, ponha uma descrio que voc possa reconhecer a regra, nos usamos no exemplo

Allow IPsec traffic to LAN.

63

16. Clique em Save



Uma vez que o tnel IPSec foi estabelecido, os clientes conectados em qualquer uma das duas

redes, tero acesso de um ao outro mesmo em sub-redes diferentes como se estive na mesma

rede fsica.

Veja tambm... Configurando o servio L2TP VPN Configurando o servio OpenVPN Configurando o servio PPTP VPN Configurando o servio LTP VPN Aqui vamos descrever como configurar o PfSense para ser servidor VPN L2TP

Se preparando...

muito importante entender que ao contrario das outras implementaes VPN, o L2TP no criptografa

os dados. O L2TP simplesmente um mtodo de encapsulamento que s deve ser usado em redes j

confiveis, em conjunto do IPsec. A grande vantagem do L2TP que pode ser usado com redes sem precisar

de IP.

Como faz-lo...

1. V em VPN | L2TP

2. Na aba Configuration, marque Enable L2TP Server.

3. Especifique um IP sem uso em Server address.

4. Em Remote address Range digite o inicio da faixa de IP no usada de endereo remoto. O numero

de IPs que vai ser usado vai estar indicado na etapa 6.

5. Em Subnet mask especifique o tipo de subrede.

6. Em Number of L2TP users especifique o numero de usurios que iro se conectar.

64

7. Clique em Save

8. Clique na aba Users.

9. Cliue o oto + paa adiioa u oo usuio 10. Digite o usurio em username e a senha em password.

11. Clique em Save.


65

13. Selecione a aba L2TP VPN

14. Cliue o oto + paa adiioa ua oa ega de fieall 15. Selecione em Destination o LanSubnet

16. Selecione em Destination port range o any

17. Digite em Description uma descrio que voc possa identificar a sua regra, no exemplo nos

usamos Allow L2TP Clients to LAN.

18. Clique em Save.



O servio permite que usurios conectem remotamente a interface de rede a nossa escolha usando

o L2TP. Usando esse servio como se o cliente estivesse usando a rede como se estivesse

fisicamente no local.

Conexo de um cliente usando Windows 7 Para criar uma conexo VPN L2TP em uma maquina usando o Windows 7:

1. Abra o Painel de Controle | Rede e Internet | Status de tarefas de rede, abra o Central de

Rede e compartilhamento

66

2. Clique Configurar uma nova conexo de rede

3. Escolha Conectar a um local de trabalho.

67

4. Escolha Usar minha conexo com a internet (VPN):

68

5. Digite em Endereo na Internet o endereo do servidor da rede a qual voc esta querendo se

conectar. Se o endereo L2TP que voc configurou no esta acessvel diretamente, voc ter

que fazer um NAT no servidor direcionando o trfego L2TP.

6. Digite o nome de usurio e senha que foi configurado antes:

69

7. Clique depois em Conectar, o Windows ira detectar automaticamente se o servidor esta

aceitando a conexo L2TP ou PPTP, e vai ser configurado de acordo com o selecionado.

Veja tambm... Configurando NAT por Forward, capitulo 3 Configurao Geral Criando VPN em um tnel IPSec Configurando o servio OpenVPN Configurando o servio PPTP VPN Configurando servio de OpenVPN Aqui vamos descrever como configurar o PfSense para aceitar conexes OpenVPN.

Como faz-lo...

1. V at VPN | OpenVPN.

2. Clique na aba Wizards.

3. Em Type of Server, selecione Local User Access.

4. Clique em Next.

5. Em Descriptive Name, coloque um nome para seu VPN, no exemplo nos usamos MyCaCert, se

referindo ae certificado CA.

6. Em Country Code usamos no exemplo o USA.

7. Em State or Province, ns usamos no exemplo New York.

8. Em City, ns usamos no exemplo New York.

9. Em Organization, usamos no exemplo Blue Key Consulting.

10. No e-mail usamos como exemplo [email protected].

11. Clique em Add new CA.

70

12. Digite em Descriptive name, um nome o novo certificado do servidor, no exemplo usamos o

mesmo MyCaCert. A criao desse certificado vai ficar quase idntico ao criado anteriormente.

13. Em Country Code usamos no exemplo o USA.

14. Em State or Province, ns usamos no exemplo New York.

15. Em City, ns usamos no exemplo New York.

16. Em Organization, usamos no exemplo Blue Key Consulting.

17. No e-mail usamos como exemplo [email protected].

18. Clique em Create new Certification.

71

19. Em Description voc coloca a descrio que voc possa reconhecer futuramente, no exemplo nos

usamos My OpenVPN Connection.

20. Digite em Tunner Network a conotao em CIDR, isso vai ser uma faixa de IP no usada (que

geralmente no muito diferente da rede que voc usa) como 192.168.4.0/24.

72

21. Digite em Local Network a conotao em CIDR, que os clientes vo ser capazes de acessar, que

geralmente a rede interna LAN, 192.168.1.0/24.

22. Especifique em Concurrent Connections, o numero mximo de clientes que iro se conectar.

23. Clique no boto Next.

24. Marque Add a rule to permit traffic from clients on the Internet to the OpenVPN server process.

25. Marque Add a rule to allow all traffic from connected clients to pass across the VPN

tunnel:

73

26. Clique no botao Next.

27. Depois clique no botao Finish.

74


O servio permite que usurios externos usem o OpenVPN para estabelecer uma conexo segura e

criptografada em nossa rede. Os usurios se conectaro usando um cliente OpenVPN, e uma vez

autenticado, o usurio ter acesso a rede como se estivesse no local fisicamente.

Algoritmos de Criptografia Escolher o melhor algoritmo de criptografia essencial para o melhor desempenho do seu hardware. Muitas placas de expanso VPN, como aquelas encontradas em Netgate usando Alix requerem placas AES-

128-CBC. Verifique com seu fornecedor de hardware para obter mais detalhes.

Exportando Cliente OpenVPN H um pacote de instalao no PfSense chamado OpenVPN Client Export Utility, que simplifica o processo de configurao:

1. V at System | Packages

2. Clique na aba Available Packages.

3. Localize OpenVPN Client Export Utility, e liue o oto +paa oea a istalao.

4. O pacote depois de baixado ser instalado automaticamente.

5. O pacote depois de instalado ser encontrado no menu VPN | OpenVPN.

Veja tambm... Criando VPN em um tnel IPSec

75

Configurando o servio PPTP VPN Configurando o servio L2TP VPN Configurando o servio PPTP VPN Aqui vamos descrever como configurar o PfSense para receber conexes PPTP VPN.

Como faz-lo...

1. V at VPN | PPTP | aba Configuration

2. Marque Enable PPTP server

3. Escolha em No. PPTP users, o numero de clientes que iro se conectar

4. Em Server address digite um IP no usado para especificar o endereo para o servidor PPTP. O

PPTP do servidor vai escutar esse endereo.

5. Em Remote address range, digite o inicio dos IPs dos clientes que iro se conectar, lembre-se de

deixar uma quantidade de IP o suficiente referente ao que voc colocou em No. PPTP users.

6. Marque Require 128-bit encryption.

76

7. Clique em Save.

8. Selecione a aba Users.

9. Cliue o oto + para adicionar um usurio 10. Coloque o nome de usurio em username e a senha em password.

11. Clique em Save.


13. Selecione a aba PPTP VPN

14. Cliue o oto + paa ia ua oa ega de fieall. 15. Selecione em Destination o Lansubnet.

16. Selecione em Destination port range a opo any.

17. Em Description digite uma descrio que voc possa reconhecer futuramente, no exemplo usamos

Allow PPTP Clients to LAN.

18. Clique em Save.


77


O servio permite que usurios externos estabeleam uma conexo segura e criptografada usando

o PPTP. Os usurios iro se conectar a rede usando um cliente PPTP, uma vez autenticado, o

usurio ter acesso a rede como se estivesse conectado no prprio local.

Conexo de um cliente usando Windows 7 Para criar uma conexo VPN PPTP em uma maquina usando o Windows 7:

8. Abra o Painel de Controle | Rede e Internet | Status de tarefas de rede, abra o Central de

Rede e compartilhamento

9. Clique Configurar uma nova conexo de rede

78

10. Escolha Conectar a um local de trabalho.

11. Escolha Usar minha conexo com a internet (VPN):

79

12. Digite em Endereo na Internet o endereo do servidor da rede a qual voc esta querendo se

conectar. Se o endereo L2TP que voc configurou no esta acessvel diretamente, voc ter

que fazer um NAT no servidor direcionando o trfego L2TP.

80

13. Digite o nome de usurio e senha que foi configurado antes:

Clique depois em Conectar, o Windows ira detectar automaticamente se o servidor esta aceitando

a conexo L2TP ou PPTP, e vai ser configurado de acordo com o selecionado.

Conectando usando como cliente o Ubuntu 10.10 Execute os seguintes passos para criar uma conexo PPTP VPN em um cliente usando Ubuntu 10.10 (por no ter um computador com esse sistema operacional em portugus eu

mantive os exemplos em ingls de acordo com as janelas de exemplo).

1. Abra System | Preferences | Network Connections

2. Selecione a aba VPN | Clique no boto Add para criar uma conexo VPN.

81

3. Selecione PPTP e clique em Create...

4. Em Connection name digite um nome que voc possa identicar, no exemplo usamos Matts

Network.

5. Em Gateway digite o ip do servidor que voc configurou o PPTP VPN. Se o IP no pode ser

acessado diretamente, voc ter que configurar o NAT com port Forward.

82

6. Cliquem Apply

7. Clique em Close.

8. V em Network connection, selecione no menu VPN Connections | Matts Network

83

Conectando usando como cliente o Mac OSx

Execute os seguintes passos para criar uma conexo PPTP VPN em um cliente usando Mac OSx

(por no ter um computador com esse sistema operacional em portugus eu mantive os exemplos

em ingls de acordo com as janelas de exemplo).

1. Abra System Preferences.

84

2. Clique em Network

85

3. Cliue o oto + paa adiioa ua oa oeo de ede 4. Selecione VPN em Interface.

5. Selecione PPTP em VPN Type.

6. Digite em Service Name um nome de descrio, no exemplo usamos Matts Network.

7. Digite em Server Address o ip do servidor que voc configurou o PPTP VPN. Se o IP no pode ser

acessado diretamente, voc ter que configurar um NAT port Forward.

8. Digite o nome de usurio cadastrado em Account Name.

9. Clique em Connect que aparecer uma janela pedindo a senha

86

Veja tambm... Criando VPN em um tnel IPSec Configurando o servio L2TP VPN Configurando o servio OpenVPN Configurando o servio PPTP VPN

87

5 Configuraes Avanadas

Nesse capitulo, iremos abordar: Criando um IP Virtual Criando regra de NAT 1:1 Criando uma regra de NAT outbound Criando Gateway Criando uma rota esttica Configurando o Traffic Shaping (QoS, Qualidade do Servio) Interfaces do tipo ponte Criando uma LAN Virtual Criando um Captive Portal )ntroduo A seguir vamos abordar recursos avanados de rede, que normalmente se encontram em classes

empresariais. No entanto cada um desses recursos ento disponveis na ultima verso do PfSense.

Criando um )P Virtual Aqui vamos descrever como configurar um endereo de IP virtual no PfSense.

Se preparando...

No PfSense voc pode criar quatro tipos distintos de IPs virtuais:

Proxy ARP CARP Other AP Alias

88

Um tipo comum de IP virtual configurado como NAT 1:1, neste cenrio o IP virtual do tipo Other

necessrio, o que vamos configurar agora:

Como faz-lo...

1. V em Firewall | Virtual IPs

2. Cliue o oto + e adiioe u oo edeeo de IP itual. 3. Em Type escolha Other.

4. Em Interface escolha WAN

5. Em IP address digite o IP que voc deseja virtualizar

6. Adicione uma descrio que voc possa identificar posteriormente em Description.

7. Clique em Save


89


O IP Virtual (vamos o chamar de VIP de agora em diante) do tipo Other tem as seguintes

caractersticas: O trfego s pode ser encaminhado para esse tipo de VIP; e o PfSense no pode usar esse tipo de VIP para os seus prprios servios. O VIP pode ser usado em uma subrede diferente do que esta sendo usado pelo PfSense. O VIP no pode responder a pings.

H mais...

Ns estamos configurando um VIP do tipo Other. Mas existem mais trs tipos de endereos VIP que

podem ser configurados no PfSense 2.0. Os quatro tipos de endereos VIP so semelhantes, mas

mudam algumas propriedades, vamos ver a comparao: CARP o Pode ser usados e encaminhados pelo firewall

o Pode usar o trfego Layer 2.

o Podem ser usados em cenrios com balanceamento de carga e Fail-Over

o Tem que estar na mesma subrede da interface

o Ele vai responder a pings se configurado corretamente Proxy ARP o S pode ser transmitida pelo firewall

o Pode usar o trfego Layer 2.

o Pode estar em uma subrede diferente do que a interface

o No pode responder aos pings Other o S pode ser transmitida pelo firewall

o Pode estar em uma subrede diferente do que a interface

o No pode responder aos pings IP Alias o Novo no PfSense 2.0

o S pode ser usado ou encaminhado pelo firewall

o Permite que os endereos IP sejam adicionados como IP extra na interface.

Configurando CARP como endereo VIP

1. V at Firewall | Virtual IPs

2. Cliue o oto + paa adicionar um novo endereo VIP 3. Em Type escolha CARP

4. Em Interface selecione WAN

5. Em IP address digite o IP que voc deseja

6. Em Virtual IP Password, digite uma senha

7. Escolha um VHID Group

8. Escolha um Advertising Frequency (0 para todos)

90

9. Digite uma descrio que voc possa identificar futuramente em Description.

10. Clique em Save


Configurando o Proxy ARP como endereo VIP 1. V em Firewall | Virtual IPs

2. Cliue o oto + paa adiioa u oo edeeo VIP 3. Em Type escolha Proxy ARP.


5. Selecione Single Address em Type.

6. Em Address digite o IP.

91

7. Digite uma descrio em Description.

8. Clique em Save


Configurando o IP Alias como endereo VIP 1. V em Firewall | Virtual IPs

2. Cliue o oto + para adicionar um novo endereo VIP 3. Em Type escolha IP Alias

4. Em Interface escolha WAN.

5. Em IP address digite o IP

92

6. Digite uma descrio em Description.

7. Clique em Save.


Veja tambm... Criando regra de NAT 1:1 Criando uma regra de NAT outbound Criando uma rota esttica Criando uma LAN Virtual

93

Configurando regra de NAT : Aqui vamos descrever como configurar uma regra de NAT 1:1. A regra NAT 1:1 usada quando voc

quiser associar um endereo de IP publico com uma maquina da rede interna. Tudo que for destinado ao IP

publico vai ser encaminhado para maquina da rede interna.

Como faz-lo...

1. V at Firewall | Virtual IP

2. Na aba Virtual IPs, liue o oto + paa adiioa u oo VIP. 3. Em Type selecione Proxy ARP.


5. Na opo IP address, em Type selecione Single Address, e em Address digite o ip externo que voc

deseja associar a uma maquina da rede interna.

6. Adicione uma descrio que voc possa reconhecer mais tarde em Description, no exemplo nos

usamos My public IP address.

7. Clique em Save.


9. V em Firewall | NAT.

10. Selecione a aba 1:1

11. Cliue o oto + paa adiioa ua ega de NAT 1:1 12. Em Interface selecione WAN

13. Em Source selecione any

14. Em Destination, especifique o computador interno, no caso vamos usar o Alias.

15. Digite em External Subnet o seu ip publico

16. Em Description, adicione uma descrio que voc possa reconhecer posteriormente, no exemplo

usamos Forward all external requests to Webserver1.

17. Em NAT Freflection deixe Disabled.

94

18. Clique em Save.



Uma vez que feita uma relao de NAT 1:1 estabelecida, todo o trfego ser encaminhado para o

endereo de IP internou ou subrede, como se a maquina interna fosse diretamente configurado

com o IP pblico. Isso muito mais fcil do que criar uma regra de Port Forward se todo o trfego

de entrada e sada tiver destinado a maquina.

H mais...

Como muito recursos avanados de rede, o relacionamento bem sucedido do NAT 1:1 requer o uso

de VIPs.

Veja tambm... Criando um IP Virtual

95

Criando uma regra de NAT outbound Aqui vamos descrever como criar uma regra de NAT outbound

Se preparando...

Uma regra de NAT outbound define como traduzir o que um trfego de rede esta deixando. Isso pode

parecer um conceito difcil de entender na primeira vez, porque a maioria dos cenrios de rede em geral s

ento preocupados em saber o local de onde os pacotes esto vindos, e no se preocupam em saber como

eles saem.

Vamos descrever agora como usar uma regra de NAT outbound para resolver um cenrio comum que

envolve o nateamento para uma maquina com varias interfaces. Vamos supor que temos um nico servidor

de destino com duas interfaces, LAN e DMZ, e o firewall PfSense protege essas duas interfaces. Usando a

velha regra de Port Forward, encaminhando solicitaes HTTP para o servidor em sua interface DMZ, o que

bom. No entanto, quando tentamos encaminhar solicitaes SSH para a interface LAN do servidor, o trfego

chega corretamente, mas tenta responder atravs da rede DMZ. Isso no reconhecido como valido pelo

firewall e fica dando tempo perdido quando se tenta conectar.

A soluo e lhe dar com os pedidos SSH usando uma regra de NAT outbound junto com uma regra de

NAT 1:1, como vamos descrever.

Como faz-lo...

1. V a Firewall | Virtual IPs

2. Na aba Virtual IPs, liue o oto + paa adiioa u oo VIP. 3. Em Type selecione Proxy ARP

4. Em I

Documents

Livro PFsense