Escolar Documentos
Profissional Documentos
Cultura Documentos
Livro Pfsense 2.0pt
Livro Pfsense 2.0pt
Um guia prtico com exemplos ilustrados de configuraes, para usurios iniciantes e avanados sobre o PfSense 2.0
Feito originalmente em ingls por Matt Williamson Traduzido por Christopher Persaud
01/2012
Consideraes iniciais
Eu, como um usurio que admira, uso e curto o PfSense 2.0, vi que existem poucas apostilas e livros em portugus referente a esse excelente sistema operacional, como vi que esse livro muito bom e muito bem explicativo, decidi refaz-lo passando para o Portugus, no sei se j foi feito isso, mas estou fazendo a minha parte, espero que me desculpem por alguns erros de traduo, apesar de eu ter um pouco de noo em ingls eu traduzi a maior parte pelo Tradutor do Google, mas no passei para o livro ao p da letra, eu li e passei para o livro de uma forma mais explicativa possvel, algumas palavras que se referem ao Sistema PfSense 2.0 mantive em ingls (at o momento em que foi traduzido esse documento em 12/01/2012, ainda no tinha sado o PfSense em portugus). No quero tirar o mrito de toda a equipe que fez o livro originalmente j que muito explicativo e ilustrativo, e aborda muitos recursos que com certeza muitos no sabiam que existia ou como usar. Espero ter ajudado, essa foi minha contribuio para a melhora do projeto PfSense no Brasil.
Tabela de Contedo
Capitulo 1 Configurao Inicial______________________________________________________________1 Introduo 1 Aplicando configuraes bsicas em General Setup 2 Identificando e atribuindo interfaces 3 Configurando a Interface WAN 6 Configurando a Interface LAN 8 Configurando Interfaces Opcionais 10 Habilitando o Secure Shell (SSH) 12 Gerando chaves RSA autorizada 14 Configurando o SSH com autenticao de Chave RSA 16 Acessando por Secure Shell (SSH) 18 Capitulo 2 Servios Essenciais 20 Introduo 20 Configurando o Servidor DHCP 20 Criando DHCP com mapeamentos esttico 23 Criando o DHCP relay 25 Especificando DNS alternativo 26 Configurando o DNS Forwarder 28 Configurando servidor de DNS/DCHP dedicado 30 Configurando DNS dinmico 32 Capitulo 3 Configurao Geral 35 Introduo 35 Criao de Alias 35 Criao de regras em NAT port forward 41 Criao de regras no Firewall 44 Criando agendamento 51 Acesso remoto ao desktop, usando exemplo completo 55 Capitulo 4 Rede privada Vi rtual (VPN) 60 Introduo 60 Criando VPN em um tnel IPSec 60 Configurando o servio L2TP VPN 63 Configurando o servio OpenVPN 69 Configurando o servio PPTP VPN 75 Capitulo 5 Configuraes Avanadas 87 Introduo 87 Criando um IP Virtual 87 Criando regra de NAT 1:1 93 Criando uma regra de NAT outbound 95 Criando Gateway 98
Criando uma rota esttica Configurando o Traffic Shaping Interfaces do tipo ponte Criando uma LAN Virtual Criando um Captive Portal Capitulo 6 Redundncia, Balanceamento de carga e Failover Introduo Configurando Multiplas Interfaces Configurando o balanceamento de carga em uma multi-WAN Configurando o Failover em uma multi-WAN Configurando um servidor de web com balanceamento de carga Configurando um servidor web com Failover Configurando um firewall CARP com Failover Capitulo 7 Servios e Manuteno Introduo Habilitando OLSR Habilitando PPPoE Habilitando RIP Habilitando SNMP Habilitando UPnP e NAT-PMP Habilitando OpenNTPD Habilitando Wake On Lan (WOL) Habilitando o log externo (servidor syslog) Usando o PING Usando o Traceroute Fazer backup do arquivo de configurao Restaurando o arquivo de configurao Configurando o backup automtico do arquivo de configurao Atualizao do Firmware do PfSense Apndice A Monitoramento e Registros Introduo Personalizar a tela de Status Dashboard Monitoramento de trfego em tempo real Configurando SMTP de e-mail de notificao Vendo os logs do sistema Configurando um servidor de syslog externo Visualizaes de grficos RRD Visualizaes de mapeamentos DHCP Monitoramento de filtro de pacotes com PfInfo Monitoramento de trfego com PfTop Monitoramento de atividades do sistema
100 102 107 108 110 114 114 114 119 122 125 129 132 139 139 139 141 143 144 145 147 148 151 153 154 156 159 161 162 168 168 168 170 171 173 176 177 183 186 187 188
Apndice B Determinar os requisitos de hardware Introduo Determinando o cenrio de implantao Determinando os requisitos de rendimento Determinando os requisitos das interfaces Escolher o tipo de instalao Melhor forma de uso Informaes do tradutor
1
Configurao Inicial
Nesse capitulo, iremos abordar: Aplicando configuraes bsicas em General Setup Identificando e atribuindo interfaces Configurando a Interface WAN Configurando a Interface LAN Configurando Interfaces Opcionais Habilitando o Secure Shell (SSH) Gerando Chaves RSA Autorizada Configurando o SSH com autenticao de Chave RSA Acessando por Secure Shell (SSH)
Introduo
PfSense um sistema operacional de cdigo aberto usado para transformar o computador em um firewall, roteador. PfSense uma distribuio FreeBSD feita com base no projeto m0n0wall, uma distribuio de firewall poderoso e leve. PfSense se baseia basicamente em m0n0wall e toma decises de todas as suas funes, e foi adicionado mais uma variedade de servios de rede mais usadas. Nesse capitulo iremos abordar as definies bsicas para implantao do PfSense; sendo um firewall, roteador, ou at mesmo um AP sem fio! Uma vez o PfSense instalado e configurado de acordo com o descrito nesse captulo, voc vai ter um firewall operacional q vai alm de um roteador. Em seu nvel mais bsico, uma maquina PfSense pode ser usado para substituir um roteador domestico com a funcionalidade que deseja. Em configuraes mais avanadas, PfSense pode ser usado para estabelecer um tnel seguro para um escritrio remoto, equilbrio de carga de trfego. Existem realmente centenas de formas de se configurar um PfSense.
Uma vez o PfSense instalado, h duas maneiras de acessar o servidor remotamente, SSH e os WebGUI, uma conexo SSH voc iria ver o menu igual ao visto se voc plugasse o monitor no servidor, no menu de opes do SSH so bsicas e muito pouca configurao feita aqui. Toda configurao descrita em cada capitulo do livro feita atravs da interface WebGUI, que pode ser acessada atravs do endereo de ip de qualquer interface que voc configurou durante a instalao (como 192.168.1.1)
Se preparando...
Tudo que preciso pra fazer as configuraes uma base de instalado bem feita e acesso ao WebGUI. Algumas dessas configuraes podem ter sido configuradas durante a instalao mas nada impede que possa ser modificada a qualquer momento. Em uma nova instalao as credencias de acesso padro: Usurio: admin Senha: pfsense Como fazer 1. V em System | General Setup. 2. Digite um Hostname. Esse nome ser usado pra acessar a maquina pelo nome e no pelo endereo de IP. Por exemplo podemos acessar digitando apenas http://pfsense em vez de http://192.168.1.1:
4. Servidores de DNS podem ser especificados aqui. Por padro o PfSense vai atuar como DNS primrio e esses campos ficaro em branco. Mas voc pode usar outros servidores de DNS. Consulte o DNS alternativo no Capitulo 2 Servios Essenciais, para maiores informaes.
5. Marcar Allow DNS server list to be overridden by DHCP/PPP on WAN. Isso garante que todas as solicitaes de DNS que no so resolvidas internamente, vo passar a ser resolvidas pelo servidor de DNS do seu provedor ISP.
6. Digite o Fuso Horrio em Time Zone e deixe o padro NTP time server como 0.pfsense.pool.ntp.org.
7. Eu recomendo o Tema padro, Pfsense 2.0 o novo pfsense_ng. Os menus do topo agora so estticos e no vai desaparecer se voc percorrer o contedo da pgina.
Veja tambm...
Configurando DNS Forwarder no capitulo 2 Servios Essenciais. Especificando DNS alternativo no capitulo 2 Servios Essenciais.
Se Preparando...
Voc precisa identificar o endereo MAC de cada placa Ethernet no seu PfSense antes de atribuir as interfaces.
Como faz-lo...
1. Acessar o console da maquina fsica atravs do monitor ou ativar o SSH acessando remotamente (Veja ativando o Secure Shell(SSH) para mais detalhes). 2. A tela inicial exibir uma lista de interfaces, portas de rede e endereo de IP.
3. Escolha a opo 1 Assign Interfaces. 4. Pule a configurao de VLANs agora. Veja a criao de VLANs no Capitulo 5 Servios Essenciais para mais informao.
5. Atribuir para cada interface, a interface de sua escolha correspondente ao endereo MAC para cada endereo da interface na tela.
A capacidade de configurar apenas uma interface novo para o PfSense 2.0, sendo que nas verses anteriores era preciso WAN e LAN.
H mais...
Agora voc sabe qual porta esta direcionada pra qual interface, voc pode gerenciar as futuras mudanas atravs do WebGUI. Indo at Interfaces | (assign).
Veja tambm...
O acessando o Secure Shell em SSH O configurando interface WAN O configurando interface LAN O configurando Interface Opcional
Se Preparando...
A interface WAN que conecta seu firewall a internet. Voc vai precisar configurar corretamente a WAN interface (como foi feito no capitulo anterior) pra uma conexo com a internet. No exemplo q vamos usar um modem a cabo fornece acesso internet, mas o PfSense pode fazer outros tipos de conexo.
Como faz-lo...
1. 2. 3. 4. V at Interfaces | WAN. Marque Enable Interface. Escolha o tipo de configurao de endereo em Type. Deixe em branco o MAC address. Voc s vai precisar inserir endereo MAC se for usar o spoofing. O seu provedor no pode verificar seus endereos MAC, ento atribuindo manualmente voc vai forcar o Provedor fornecer um IP ou um conjunto diferente de DNS. 5. Deixe MTU, MSS, Hostname, e Alias IP Address em branco.
6. Marque Block private networks. Essa configurao normalmente marcada em uma s WAN interface. 7. Marque Block bogon networks. Essa configurao normalmente marcada em uma s WAN interface. 8. Clique em Save.
H Mais...
Agora podemos conectar o cabo de rede do modem na interface WAN que definimos na configurao anterior do PfSense. Uma vez conectado o cabo de rede, podemos verificar o status de conexo na porta WAN em Status | Interfaces:
Veja tambm...
O Identificando a Atribuindo as interfaces O configurando interface LAN O configurando interface opcional
Se Preparando...
A interface LAN usada pra conectar seus dispositivos internos em uma rede interna segura. necessrio configurar a interface LAN corretamente.
Como faz-lo...
1. 2. 3. 4. V at Interface | Lan. Marque Enable Interface. Escolha a configurao de endereo em Type. Digite seu ip em IP address e mascara de subrede. Deixe Gatway em None.
5. Deixe Block privates network e Block bogon networks desmarcadas. 6. Clique em Save.
H Mais...
Agora voc pode conectar o cabo de rede da rede interna na interface LAN do seu PfSense. Isso permitira q voc se conecte aos computadores da rede interna.
Veja tambm...
O Identificando a Atribuindo as interfaces O configurando interface WAN O configurando interface opcional
Se Preparando...
A rede opcional que voc vai criar nesse exemplo, se refere a uma DMZ. A ideia de usar Zona Militar Desmilitarizada de permitir a passagem de trafego direta ou no. A ideia do DMZ e controlada separada de outras reas, se aplica DMZ nesse exemplo: Trafego de internet | DMZ Trafego rede interna O trafego de internet inseguro permitido entrar na DMZ, para acessar um servidor web por exemplo. O trafego da Lan tambm pode entrar na DMZ se quiser acessar o servidor web tambm. No entanto o ponto chave fica na ultima regra no permitindo a entrada de DMZ na rede interna. A rede DMZ a rede menos segura, vamos permitir acesso externo s a determinado IP, para configurar uma DMZ ou qualquer outra rede opcional, vamos precisar de outra interface disponvel.
Como faz-lo...
1. 2. 3. 4. 5. V at uma interface disponvel, Interfaces | OPT1 Marque Enable Interface. Em Description digite DMZ. Escolha a configurao de endereo em Type, no exemplo foi escolhido Static. Digite em IP Address o ip e selecione o tipo de mascara. Usaremos o 192.168.2.1 e selecione o tipo de mascara a partir de 24 na lista. 6. Deixe Gatway em None.
10
7. Deixe Block privates networks e Block bogon networks desmarcados. 8. Clique em Save.
11
H mais...
Agora voc pode conectar um switch ligado interface DMZ para se conectar em varias maquinas. Iria ficar como o diagrama a seguir:
Veja tambm...
O Identificando a Atribuindo as interfaces O configurando interface WAN O configurando interface LAN
Se preparando...
SSH um protocolo de rede que permite q comunicao criptografada entre dois dispositivos. Ativando o SSH permiti acesso seguro para o console do PfSense remotamente, como se voc estivesse sentado na frente do servidor com o PfSense.
Como faz-lo...
1. V at System | Advanced | Secure Shell. 2. Marque Enable Secure Shell. 3. Voce sera solicitado a fornecer credenciais quando voc se conectar remotamente por SSH (use o mesmo nome de usurio e senha que voc conecta por WebGUI), voc pode marcar Disable password login for Secure Shell. Isso ira permitir q voc use chave RSA, veja mais a frente para maiores informaes. 4. Deixe SSH Port em branco, que vai ser usado porta padro 22.
H mais...
Mudando o mtodo de autenticao do SSH para usar chaves RSA uma tima maneira de proteger acesso ao seu sistema. Veja abaixo para mais detalhes. Alm disso voc pode alterar a porta em que o servidor escuta o SSH. Fazendo isso voc pode aumentar a segurana ainda mais do seu sistema, reduzindo o numero de tentativas de login no autorizado, mas preciso se lembrar da porta que voc alterou se no, no ir poder se conectar novamente.
Veja tambm...
O Gerando Chaves autorizadas RSA O Criando regras de firewall no Capitulo 3 Configuraes Geral 13
Se preparando...
Usurios de Linux e Mac tero que ter o ssh-keygen instalado em seu sistema (quase todas as distribuies j vm instalado por padro em seu sistema). Usurios do Windows tero que baixar e instalar a ferramenta PuTTYgen.
Como faz-lo...
Gerando chaves SSH em computadores Linux/Mac da seguinte maneira: 1. Abrir terminal e digite: ssh-keygen 2. Guardar a chave no local padro /home/user/.ssh e especificar uma senha (opcional, mas recomendado). 3. Sua chave publica esta localizada agora em /home/user/.ssh/id_rsa.pub
Gerando chaves SSH em computadores Windows usando PuTTY da seguinte forma: 4. Abra PuTTYgen e gere um par de chaves publica/privada clicando no boto Generate. 5. Digite uma senha (Opcional, mas recomendado) 14
7. Selecione a chave publica q foi gerada na caixa de texto, copie e cole em um novo arquivo, digamos C:\MyPrivateKey.txt (No use o boto Save public key que adiciona comentrios e outros campos q so as vezes incompatveis).
15
H mais...
Autenticao de chave RSA mais usada com acesso SSH, e muitas vezes se referem a ela como Chaves SSH, mas isso no verdade. Chave RSA uma forma de segurana que tambm pode ser usada em SSH. Embora muito usado em SSH ela tambm pode ser usada como VPN, VoIP, FTP, e assim por diante.
Veja tambm...
O Habilitando o Secure Shell (SSH) O Gerando Chaves autorizadas RSA
Aqui vamos descrever como configurar o PfSense para usar uma chave RSA em vez de senha para autenticao SSH.
Se preparando...
Certifique-se que voc j ativou o SSH e j gerou uma chave publica.
Como faz-lo...
1. V at System | Advanced | Secure Shell 2. Marque Disable password login for Secure Shell (RSA key only).
3. Editar o usurio que ir associar com a chave publica, v em System | User | Manager | Edit admin. 4. Cole em Authorized Keys a chave publica do cliente RSA. Quando ele for colado, a chave deve aparecer em uma nica linha. Certifique-se de que seu editor de texto no insira quaisquer caracteres que alimente a linha do espao ou ento a autenticao pode falhar.
5. Clique em Save.
H mais...
Chaves RSA privadas tambm podem ser salvas criptografadas na maquina do cliente. O cliente SSH vai pedir uma senha pra descriptografar a chave privada antes de ser usada para autenticao com o servidor.
Veja tambm...
O Habilitando o Secure Shell (SSH) O Gerando Chaves autorizadas RSA 17
Se preparando...
O SSH j deve estar habilitado e configurado no PfSense. Usurios do Linux, Mac tero o cliente SSH instalado por padro. Os usurios Windows tero q baixar o PuTTY.
Como faz-lo...
Conectando via SSH usando cliente Linux/Mac: 1. Abra a janela do terminal e execute: ssh admin@192.168.1.1 2. Se voc estiver usando a configurao padro, ento ser solicitado uma senha. 3. Se voc estiver usando chave de autenticao RSA, voc vai ser conectado diretamente ou ser solicitado a digitar uma senha associada com sua chave. Se precisar especificar a localizao do seu arquivo de chave privada, voc pode usar a opo i dessa forma: ssh -i /home/matt/key/id_rsa admin@192.168.1.1 4. Se voce configurou o PfSense pra usar uma porta diferente, voc pode especificar usando a opo p, igual o exemplo a seguir: ssh -p 12345 admin@192.168.1.1 Conectando via SSH usando cliente Windows com o PuTTY: 5. Abra o PuTTY e digite o Hostame ou o IP do servidor 6. Especifique uma porta alternativa se houver a necessidade, a padro 22. 7. Se voc usar a chave de autenticao RSA. Procure o arquivo da chave privada em Connection | SSH | Auth | Private key file for authentication.
18
8. Voc vai se conectar e ser solicitado um nome de usurio. 9. Voc vai ter q digitar uma senha, ou se voc usar autenticao por RSA voc vai ser conectado diretamente ou vai ser solicitado uma senha pra descriptografar sua chave privada.
Veja tambm...
O Habilitando o Secure Shell (SSH) O Gerando Chaves autorizadas RSA Configurando SSH com chave de autenticao RSA
19
2
Servios Essenciais
Nesse capitulo, iremos abordar: Configurando o Servidor DHCP Criando DHCP com mapeamento esttico Configurando o DHCP relay Especificando DNS alternativo Configurando o DNS Forwarder Configurando servidor de DNS/DHCP dedicado Configurando DNS dinmico
Introduo
Depois de instalar o PfSense e executar os passos se configurao inicial, temos agora a estrutura bsica do nosso sistema funcionando, at agora temos: Determinamos a necessidade do nosso sistema Configuramos o acesso por SSH Configuramos a WAN, LAN e o Opcional DMZ Agora estamos prontos para comear a configurar os servios de rede essenciais que o nosso PfSense vai proporcionar. O servio de DHCP permite que as estaes peguem endereos de ip automaticamente. O servio de DNS converte os IPs em nomes legveis de endereo de internet, e vive-versa. O servio de DNS dinmico permite o PfSense atualizar automaticamente o registro e DNS ao publico assim q ele mudar.
Aqui iremos descrever como configurar o servio de DHCP do PfSense. O servio de DHCP atribui um endereo de ip a qualquer cliente q solicitar um.
Se preparando...
O PfSense s pode ser configurado como um servidor de DHCP se a interface estiver com endereo de ip esttico. Nesse livro iremos abordar a interface LAN e DMZ, e no a WAN. O Exemplo abaixo aborda configurar o servidor DHCP para a interface DMZ.
Como faz-lo...
1. V em Services | DHCP Server. 2. Selecione a aba DMZ. 3. Marque Enable DHCP Server on DMZ interface.
4. Selecione em Range os ips que os clientes podero usar. Os ips devero estar dentro da faixa de ip contida em Available range.
5. Clique em Save para salvar e habilitar o servio de DHCP. 6. Clique em Apply Changes, necessrio para que as alteraes entre em vigor.
H mais...
Um servidor DHCP manda um ip disponvel pra um cliente que esteja solicitando, eh provvel que quando o cliente faa novamente a solicitao o ip que o servidor manda vai mudar a cada pedido. Para garantir que o cliente sempre receba o mesmo endereo de IP podemos criar um mapeamento esttico do DHCP. Veja no prximo exemplo.
21
diferente do que marcar a opo Enable static ARP entries onde os clientes desconhecidos iro receber endereos de ip, mas no vo ser capazes de se comunicar com o firewall de nenhuma forma.
Servidor de DNS
Voc pode especificar manualmente qual DNS os clientes iro ser atribudos. Se deixar em branco o PfSense ir atribuir o DNS em uma das duas formas: Se o DNS forwarder estiver habilitado, o DNS vai ser o IP da interface local do PfSense, isso porque o DNS Forwarder torna a prpria maquina PfSense em um servidor DNS. Se o DNS forwarder estiver desabilitado, ento devero ser configurados em General Setup os endereos de DNS. E claro, se Allow DNS server list to be overridden by DHCP/PPP on WAN estiver habilitado em General Setup os servidores DNS sero obtidos atravs da porta WAN.
Gateway
O gateway das maquinas clientes por padro ser o ip da interface local usada como servidor de DHCP, mas pode ser mudada colocando um valor, se necessrio.
Domain Name
O nome de domnio configurado em General Setup vai ser usado como padro mas pode ser usado um nome de domnio diferente especificado se houver a necessidade.
Failover Peer IP
Sistema que pode configurar um endereo de ip que sirva como Fail-Over de balanceamento de carga. Veja a configurao de balanceamento de carga e Fail-Over no capitulo 6.
Static ARP
22
Habilitando o Static Arp vai permitir que somente os ips cadastrados no mapeamento esttico de DHCP iro se comunicar com o firewall. Clientes no cadastrados at podero pegar ip mas no se comunicaro com o firewall. Isso eh diferente de Deny unknown clientes onde os ips que no esto cadastrados nem se quer chegam a pegar ip.
Dynamic DNS
Permite que os clientes sejam registrados automaticamente com o domnio de DNS dinmico especificado.
Veja tambm...
Criando mapeamento esttico por DHCP Configurao de balanceamento de carga e Fail-Over no capitulo 6.
Se preparando...
O DHCP com mapeamento esttico s se aplica para as interfaces que utilizam o servio de DHCP.
Como faz-lo...
1. V at Status | DHCP leases ento voc ver a lista de clientes que fizeram a requisio de ip pro DHCP.
23
2. Ento clique no boto com o smbolo + pra adicionar o ip no mapeamento esttico. 3. O endereo MAC ser cadastrado. 4. Digite em IP address o ip que voc deseja atribuir para aquele cliente, esse ip tem que estar fora dos ips cadastrados em Range, que esse vai ser atribudo pra outros clientes que fizerem a requisio de ip. 5. Deixe o Hostname j pre configurado, ou ento digite um a sua escolha. 6. Em Description digite uma descrio que voc possa identificar o computador do cliente.
7. Clique em Save. 8. Clique em Apply Changes, v at a pgina DHCP Server no final da pagina voc vai ver o mapeamento que foi criado.
H mais...
Os ips cadastrados no mapeamento esttico podem ser vistos na pagina DHCP Server na parte inferior da pgina, voc vai at Services | DHCP Server | Interface selecionando a aba correspondente da interface. Todos os ips estticos cadastrados voc ver nessa tela, voc pode modificar, remover, at criar um novo ip esttico para o cliente, mas se voc criar por aqui o endereo MAC vai precisar ser atribudo manualmente.
24
Veja tambm...
O Configurando servidor DHCP O Configurando servidor DHCP relay
Se preparando...
O DHCP relay s pode ser ativado se o servio de DHCP de todas as interfaces estiver desativado, voc pode desativar o servio da seguinte forma: 1. 2. 3. 4. V at Services | DHCP Server | Interface seleciona a aba (a LAN por exemplo). Desmarque a opo Enable DHCP Server on LAN Interface. Clique em Save. E clique em Apply Changes.
Como faz-lo...
1. V at Services | DHCP relay. 2. Marque a opo Enable DHCP relay on Interface. 3. Selecione qual interface vai usar o DHCP relay, se quiser selecionar mais de uma interface clique nas duas como boto ctrl pressionado. 4. Em Destination Server digite o endereo de ip do servidor DHCP que voc deseja usar como destino. Vrios ip podem ser usados desde que sejam separados por virgula. 5. Clique em Save. 6. Clique em Apply Changes. 25
Veja tambm...
O Configurando servidor DHCP O Configurando servidor DHCP relay
26
Se preparando...
Quando se trata de resoluo de nomes DNS, na maioria dos ambientes fornecida pelo seu provedor de internet ISP atravs da WAN. Por padro no preciso definir nenhum DNS, porque atribudo pelo prprio PfSense se a opo Allow DNS server list to be overridden by DHCP/PPP on WAN estiver marcada. Mas se por algum motivo voc quiser atribuir outro DNS alternativo ter que seguir os seguinte passos.
Como faz-lo...
1. V em System | General Setup 2. O DNS Servers ter que conter as seguinte configuraes: Especificar o IP e gateway pra cada linha do DNS Servers. Desmarque Allow DNS server list to be overridden by DHCP/PPP on WAN. 3. Clique em Save. 4. Clique em Apply Changes.
27
Quando Allow DNS server list to be overridden by DHCP/PPP on WAN estiver marcado. O PfSense usar o DNS da WAN se falhar ento passar a usar os DNSs listados cadastrados. Depois do DNS Forwarder ele que tem preferncia sobre os pedidos de DNS.
Veja tambm...
O Configurando DNS Forwarder.
Se preparando...
O DNS Forwarder permite o PfSense resolver os pedidos do DNS usando o hostname obtido pelo servio de DHCP, ou manualmente se voc inseriu as informaes manualmente. O DNS Forwarder tambem pode encaminhar todas as solicitaes de DNS para um determinado domnio especificado manualmente.
Como faz-lo...
1. V em Services | DNS Forwarder | Enable DNS Forwarder 2. Se Register DHCP leases in DNS Forwarder estiver marcado, todos os dispositivos em Status | DHCP Leases usar a funo do DNS Forwarder. 3. Se Register DHCP static mappings in DNS Forwarder estiver marcado, todos os dispositivos conectados e mapeados em qualquer aba de interface em Services | DHCP Server usar o servidor configurado.
4. Especificando individualmente em Hosts estar usando os registros do DNS. Clicando no boto + voc adiciona um registro, dispositivos cadastrados nessa lista ter seu pedido imediatamente devolvido tendo preferencia. 28
5. Voc pode especificar um DNS em particular em Domain, clicando no boto + para adicionar um registro. Esses registros so verificados imediatamente logo depois dos registros individuais a cima, por isso aqui pode ter preferencia em registros existentes em outros lugares.
Veja tambm...
O Configurando o servidor DHCP O Criando o DHCP com mapeamento esttico O Configurando o servidor DHCP/DNS dedicado
29
Como faz-lo...
1. Configure o PfSense como servidor DHCP. Veja Configurando o servidor DHCP. 2. Crie um mapeamento esttico para cada dispositivo que v se conectar com ip automtico em seu sistema. 3. V em System | General Setup 4. Se certifique que nenhum outro DNS esta configurado na lista. 5. Marque a opo Allow DNS server list to be overridden by DHCP/PPP on WAN, nesse modo o PfSense vai resolver os nomes de DNS vindo direto da interface WAN. 6. Clique em Save. 7. Clique em Apply Changes se necessrio.
8. V at System | DNS Forwarder 9. Marque Enable DNS Forwarder. 10. Marque Register DHCP static mappings in DNS Forwarder. 30
11. Criar um registro em Host pra qualquer dispositivo que precise ser resolvido, mas no pode estar no mapeamento DHCP (ele deve ser configurado ip manualmente) 12. Criar um registro em Domain para todos os pedido de DNS que voc gostaria que fosse direcionado pra um determinado domnio.
Contando que ter que mapear todos os endereos de ip pra cada dispositivo da rede que o hostname resolver automaticamente. Usando esse mtodo nos vamos ter que adicionar os hostnames e ips de computadores que no usarem DHCP que devem ser poucos na rede.
Veja tambm...
O Configurando o servidor DHCP O Criando o DHCP com mapeamento esttico O Configurando DNS Forwarder
Se preparando...
No PfSense j vem integrado o servio de DNS dinmico permitindo atualizar automaticamente toda vez que muda o endereo de ip da interface.
Como faz-lo...
1. 2. 3. 4. 5. V em Services | Dynamic DNS Clique na aba DynDNS Clique no boto + para adicionar um novo registro Escolha o Service Type (Ou seja, o prestador de servio de DNS dinmico) Especifique em Interface to Monitor a interface ligada na internet pela qual deseja configurar (geralmente usada a interface WAN) 6. Digite em Hostname o nome que voc criou no provedor do DNS dinmico, no exemplo o DynDNS 7. Marque o Wildcard, se for o caso 8. Digite em username e password as credenciais que voc configurou no provedor de DNS dinmico, no exemplo o DynDNS. 9. Digite em Description uma descrio qualquer que voc possa reconhecer posteriormente. 10. Clique em Save. 11. Clique em Apply Changes. 32
OpenDNS NameCheap
34
3
Configurao Geral
Nesse capitulo, iremos abordar: Criao de Alias Criao de regras em Nat port forward Criao de regras no firewall Criando agendamento Acesso remoto ao desktop, usando exemplo completo
Introduo
A principal funcionalidade de qualquer firewall a criao de portas, regras de segurana no firewall, e no PfSense no diferente. Estas caractersticas, e outras, podem ser encontradas no menu Firewall na pagina principal da WebGUI. Neste capitulo vamos explicar como configurar essas regras e explicar cada caractersticas associadas a cada uma, depois de ter feito de tudo um pouco voc vai ver o quanto fcil a configurao do firewall do PfSense.
Criando Alias
Aqui vamos explicar como usar, criar, editar e excluir Alias. O Alias fornece um grau de separao entre as regras e valores que podem mudar no futuro (por exemplo, endereos de IP, portas, e assim por diante). sempre bom usar Alias.
Como faz-lo...
1. 2. 3. 4. 5. V em Firewall | Aliases Clique no boto + para adicionar um novo Alias. Em Name digite o nome do Alias Em Description digite uma descrio prvia do que voc vai querer nesse Alias Selecione um tipo de Alias em Type. Sua configurao a seguir vai se basear no que voc selecionar. 35
Veja que a mais tipos de Alias, nas sees seguinte vamos ver detalhes sobre cada uma delas (Host, Rede, Usurios Open VPN, URL e tabelas URL)
H mais...
Adicionando Alias dentro de Alias, tambm uma tima maneira de gerenciar e simplificar regras. Para mostrar o poder do Alias, digamos que a nossa organizao tem um telefone VoIP nico, que deve se comunicar com o nosso servidor VoIP. Um exemplo dessa regra sem Alias a seguinte:
36
Com o sub-Alias nos permite modificar facilmente mais telefones, basta modificar um Alias.
Host Alias
Selecionando Host(s) como tipo de Alias permite que voc crie um Alias contendo um ou mais endereos de IP:
37
Network Alias
Selecionando Network(s) como tipo de Alias, permite que voc crie Alias um ou mais tipos de redes (ou seja, intervalos de endereo de rede).
Port Alias
Selecione Port(s) como tipo de Alias, permite que voc crie alias com um ou mais portas:
38
URL Alias
Selecionando URL como tipo de Alias, permite que voc crie um ou mais alias contendo URLs:
Usando o Alias
O Alias pode ser usado em qualquer lugar que voc veja uma caixa de texto da cor vermelha. Basta comear a digitar que o PfSense vai exibir qualquer Alias disponvel correspondente com o texto que voc comeou a digitar.
Editando o Alias
Para modificar um Alias existente, siga esses passos: 1. V at Firewall | Aliases 39
2. 3. 4. 5.
Clique no boto de edio para editar o Alias Faa as mudanas necessrias Clique em Save Clique em Apply Changes.
Deletando um Alias:
Para remover um Alias existente, siga esses passos: 1. V at Firewall | Aliases. 2. Clique no boto de delete para deletar o Alias 3. Clique em Save 4. Clique em Apply Changes
Veja tambm...
O Criando Nat com regra de Port Forward O Criando regras de Firewall. 40
Se preparando...
A complexidade das regras de Port Forward pode variar muito. Todos os aspectos de uma regra de Port Forward so aprofundados mais adiante. O seguinte cenrio um exemplo tpico de Port Forward para encaminhar qualquer solicitao recebida pela web (HTTP) para um computador j configurado como servidor web
Como faz-lo...
1. 2. 3. 4. 5. 6. 7. 8. 9. V at Firewall | NAT Seleciona a aba Port Forward. Clique em + para adicionar uma regra de Port Forward. Em Destination port range, escolha HTTP em from e to na caixa de menu Em Redirect target IP especifique o servidor web de trfego para qual vai ser encaminhado, pode ser por Alias ou IP. Em Redirect target Port escolha HTTP. Digite uma descrio em Description, no exemplo usamos Forward HTTP to webserver1 Clique em Save. Clique em Apply Changes.
41
Por padro uma regra de firewall criada para permitir que o trfego passe, mas muito importante lembrar que as regras de NAT e Firewall so distintos e separados. As regras de NAT servem para encaminhar o trfego, enquanto as regras de firewall so para permitir ou bloquear o trfego. muito importante lembrar que s porque uma regra NAT esta encaminhando um trfego, no quer dizer que o Firewall no possa bloquear ela.
Se todo o trfego corresponde a todos os critrios desta regra, que o trfego ser redirecionado para o Redirect target IP e Redirect target port especficos. Assim como todas as regras do PfSense, regras de NAT so lidas de cima para baixo, a primeira regra executada imediatamente e o restante ignorado. Nossos exemplos podem ser lidos assim: O trfego de: 42
A Internet (Interface: WAN) A partir de qualquer cliente (Source) em qualquer porta (Source Port Range) Indo para: Nosso endereo de IP Publico (Destination WAN address) Com um pedido de website (Protocol: TCP, Destination Port Range: HTTP) Ser redirecionado para: Um computador em particular (Redirect Target IP: Webserver1) Com o mesmo pedido (Protocol: TCP, Redirect Target Port: HTTP)
H mais...
As regras de NAT podem ser configuradas usando uma variedade de opes: Disabled: Ativa ou desativa a regra de NAT marcando essa opo. No RDR (NOT): Ativando essa opo ir desativar o redirecionamento de trfego. Interface: Especifica a interface que a regra de NAT vai ser usada (a mais usada a WAN) Protocol: Especifica o tipo de protocolo que vai ser usado na regra de NAT. A mais usada TCP, UDP ou TCP/UDP, mas existem tambm GRE e ESP. Source: Normalmente a origem deixada como padro any, mas voc pode especificar uma outra fonte, se necessrio. Source Port Range: Geralmente usada por padro any, mas voc pode especificar outra porta se houver a necessidade. Destination: Na maioria das vezes deixado o valor padro que a WAN (o endereo publico), mas pode ser usada outra alternativa se houver a necessidade. Destination Port Range: Essa a porta de trfego solicitante. Se ns estamos encaminhando o trfego da web, poderamos selecionar HTTP, to comum que j vem no menu drop-down, mas a escolha (other), e especificando a porta 80 funcionaria da mesma forma. Poderamos tambm personalizar uma porta (vamos usar como exemplo um encaminhamento de trfego do torrente na porta 46635) lembre-se que voc pode usar um Alias! Redirect Target IP: Aqui o endereo do computador interno que vai ser transmitido o trfego para ele. Lembre-se que voc pode usar um Alias! Redirect Target Port: Aqui a porta do ip do computador especificado em cima. Lembre-se que voc pode usar um Alias! Description: A descrio feita aqui vai ser automaticamente copiada para as regras firewall (precedidas pela palavra NAT) No XMLRPC Sync: Marque essa opo para impedir que esta regra seja aplicada a qualquer firewall usando o CARP. Consulte o Firewall CARP Configurando Seo de failover no Captulo 6, redundncia, balanceamento de carga e Failover para mais da informao. NAT Reflection: usado por padro no sistema quase todas as vezes, mas NAT Reflection pode ser ativado ou desativado por padro se for necessrio. Filter Rule Association: Ser criado a regra de firewall associada a regra do NAT. 43
Port Redirection
A verdadeira regra de encaminhamento de porta que vai passar o trfego para maquina da rede interna usada tambm pela porta configurada (ou seja, Destination Port Range e Redirect target port se correspondem). No entanto no a nada que impea voc redirecionar para uma porta diferente, se quiser. H duas razes para voc querer fazer isso: Segurana por Obscuridade: Todo mundo sabe que a porta padro HTTP 80, mas vamos supor que voc tem um website secreto que voc no quer que seja acessada facilmente. Voc pode definir um intervalo de portas de destino para alguma porta obscura (por exemplo: 54321) ento dai em diante usar a porta padro HTTP 80. E os usurios que queiram acessar o site tero que digitar o endereo assim http://www.exemplo.com:54321 Um nico endereo de IP pblico: Em ambientes menores com apenas um endereo publico, voc no vai poder acessar duas maquinas distintas remotamente porque voc s tem um endereo de ip publico. Ento voc pode criar duas regras diferentes no NAT. O primeiro ira redirecionar a porta 50001 para o Computador 1 usando a porta 3389, e o segundo vai redirecionar a porta 50002 para o Computador 2 usando a mesma porta 3389. Fazendo isso voc pode acessar o Computador1:50001 e o Computador2:50002, e assim por diante. Usando o mesmo ip publico.
Veja tambm...
O Criando Alias O Criando regras de firewall O Configurando CARP firewall failover recipe in Chapter 6, Redundancy, Balanceamento de Carga,e Failover
Se preparando...
Como exemplo, vamos criar uma regra de firewall para permitir o trfego web encaminhado pela NAT (a regra que criamos anteriormente). Se voc acompanhou, o NAT que criamos, automaticamente foi criado uma regra em Firewall, mas poderamos marcar None em Filter Rule Association que essa regra no iria ser copiada para o Firewall.
Como faz-lo...
1. 2. 3. 4. 5. 6. 7. V at Firewall | Rules. Selecione a aba WAN Clique no boto + para adicionar uma nova regra de firewall Especifique a WAN Interface Especifique o Protocol TCP Especifique any em Source Especifique any em Source Port Range 44
8. Especifique Webserver1 em Destination 9. Especifique HTTP em Destination Port Range 10. Digite q descrio da regra em Description 11. Clique em Save 12. Clique em Apply Changes
45
46
H mais...
Regras de firewall so altamente configurveis. Detalhes de cada opo de regra de firewall so as seguintes: Action: o tipo de ao que a regra vai ter o Pass: Se os critrios forem correspondidos, a passagem do pacote permitida. o Block: Se todos os critrios forem correspondidos, a passagem do pacote bloqueada (alguns se referem a ela como Drop Silencioso). o Reject: Se todos os pacotes forem correspondidos, a passagem do pacote devolvida ao remetente. Disabled: Desativa a regra sem ter que apaga-la. Interface: Se especifica de qual interface o trfego vai ser originado, que estar sujeito a essa regra, geralmente usada a WAN. Protocol: Corresponde o tipo de protocolo, variando de acordo com o tipo de regra que define o trfego. Source: geralmente marcado any quando se refere a trfego de entrada. Source Port Range: geralmente marcado any quando se refere a trfego de entrada. Destination: Aqui usado o Alias ou o endereo de IP do computador que o trfego esta apontando. Destination Port Range: geralmente a porta do computador que atende este trfego. Log: Habilitar o log de registro do pacote que corresponde a regra. Description: Digite uma descrio que voc possa identificar futuramente.
reordenar uma regra, clique na regra e ento clique no boto que parece uma mo na linha da regra que voc quer colocar a cima dela.
Recursos Avanados
Esse recurso novo para o PfSense 2.0, nas regras de firewall tem uma seo chamada Advanced Features, cada um dos seguintes recursos podem ser especificados como critrios para uma regra. Se um recurso avanado especificado, a regra s ser executada se for encontrada uma correspondncia. Clique no boto Avanado para exibir as seguintes definies de configurao para cada funo: Source OS: Esta opo ira tentar comparar a fonte do trfego com o sistema operacional do dispositivo:
Diffserv Code Point: um mecanismo para fornecer Qualidade de Servio (QoS) de trfego de rede. Podendo priorizar trfego com base nos valores especificados:
48
TCP Flags: Estes so bits de controle que indicam diversos estados de conexo ou informaes sobre como um pacote deve ser tratado.
49
No XMLRPC Sync: Impede que a regra sincronize com outros membros do CARP:
Schedule: Especifica um agendamento do perodo que essa regra vai ser valida. Ter que cadastrar os horrios em Firewall | Schedule. Ento aparecer aqui:
Gateway: Se quiser definir outro gateway diferente do configurado como padro, ento defina aqui:
Veja tambm...
Criao de regras em Nat port forward Criando agendamento Criando Alias 50
Criando agendamentos
Agora vamos descrever como criar uma agenda
Se preparando...
A agenda nos permite configurar quando as regras entram em vigor e saem. Elas so usadas geralmente com regras de firewall, mas na concepo em geral vai ser permitido usar para muito mais funes no futuro em verses posteriores do PfSense. Se uma regra do firewall especifica um horrio, a regra ento s ativada durante esse perodo de tempo. No exemplo a seguir, vamos definir um cronograma para o nosso horrio de 9 horas da manh ah 5 horas da tarde, horrio comercial. Ao criar horrios, essencial ter o fuso horrio configurado corretamente, e o tempo de sincronizao configurado devidamente em um servidor confivel.
Como faz-lo...
1. 2. 3. 4. 5. 6. 7. 8. V at Firewall | Schedules Clique no boto + para criar uma nova agenda Em Schedule Name digite um nome de referencia, o exemplo usamos WorkHours. Digite em Description a descrio para que voc possa reconhecer que tipo de horrio voc esta configurando, no exemplo usamos Regular work week hours. Na seo Month selecione o ms, clique em Mon, Tue, Wed, Thu e Fri selecionando todos os dias da semana de trabalho. Especificar 9 horas da manh em Start Time e 17 horas em Stop Time. Digite em Time Range Description a descrio do horrio, no exemplo usou Monday-Friday 9am5pm. Clique em Add Time.
51
2. Clique em Schedule Advanced, ento v na opo Schedule e selecione o agendamento que voc deseja usar, no exemplo ns s criamos um. 3. Escolha o agendamento que criamos WorkHours na opo Schedule.
H mais...
No PfSense vrios cones aparecem para auxiliar nas informaes, no agendamento tambm, os cones no agendamento aparecem para informar se o agendamento est ativou ou no. Firewall | Schedules: agendamentos ativados aparecem com um relgio:
Firewall | Rules: Regras com agendamento ativo aparecem uma seta verde na coluna Schedule, e diz qual o nome do agendamento. Regras com agendamentos desativados, na coluna Schedule apare um x vermelho com o nome do agendamento:
53
Selecionando dias da semana: Clique no dia da semana, selecionando todos os dias do ms referente aquele dia da semana (o ms irrelevante, o dia da semana vai sempre repetir todos os meses).
Veja tambm...
Criando Alias Criao de regras em Nat port forward Criando regras de firewall
54
Se preparando...
Vamos demonstra como criar uma regra de firewall para liberar o acesso do inicio ao fim. O exemplo a seguir vai mostrar como acessar uma maquina da rede interna, com o pedido vindo da internet. Para fazer isso requer as configuraes que vamos postar agora, vale ressaltar que as configuraes feitas agora nos vamos ter que saber alguns pontos que foram tocadas no livro: DHCP Server DHCP com mapeamento estatico DNS Forwarder Aliases NAT port forwarding Regras de Firewall Agendamentos
Como faz-lo...
1. Vamos cadastrar o computador na nossa rede: 2. V at Status | DHCP Leases e localize o computador que acabou de entra na rede. Clique no boto + para atribuir um mapeamento esttico para ele.
3. Vamos atribuir um endereo de IP a ele, em IP address digite 192.168.1.200, e em Hostname, digite o nome que vai querer identificar ele, pode ser Laptop1, e digite em Description, uma descrio do Laptop para voc saber qualquer o laptop que voc adicionou.
55
4. Vamos agora fazer com que nosso DNS Forwarder seja configurado para transmitir automaticamente aos clientes com mapeamento esttico, v a Services | DNS Forwarder, para que possamos localizar com facilidade o computador pelo nome:
5. Vamos agora criar um Alias para ser usado como referencia ao seu IP dentro do PfSense em Firewall | Aliases:
56
6. Vamos criar um agendamento para a regra usando o mesmo que j criamos afinal se usarmos o agendamento que s funciona em horrio comercial, vai ficar mais protegido contra ataque externo quando no estiver em horrio comercial:
7. Vamos agora criar uma regra no NAT para encaminhar os pedido de RDP vindo de fora para o computador que acabamos de cadastrar, v a Firewall | NAT. Se pesquisarmos na internet sobre protocolo de acesso remoto ao desktop vamos ver que a porta a TCP 3389 ( o PfSense j vem com um pr-definido no sistema com o nome MS RDP)
8. Agora vamos criar um agendamento para que essa regra funcione de acordo com o horrio que criamos, v a Firewall | Rules:
57
H mais...
Para aumentar a segurana ns podemos fazer mais, podemos restringir o acesso liberando apenas nosso ip de acesso externo, e se esse IP mudar ento teremos que mudar o Alias atualizando o IP ento sempre amos ter um controle de quando a pessoa acessou. Crie um Alias com o IP do escritrio:
Ento podemos modificar nossa regra de firewall aplicando os pedidos provenientes ao IP da nossa empresa (lembre-se que o trfego que no corresponde a regra any bloqueado por padro). Agora com a associao do NAT com as regras de firewall, pelas regras de firewall ns no poderamos modificar a fonte diretamente. 58
Ento vamos ter que modificar dentro do prprio NAT, clique na opo Advanced, e especifique o Alias com o endereo publico da nossa empresa.
Ento vamos checar se essas mudanas foram alteradas tambm em regras de firewall.
Veja tambm...
Configurando servidor DHCP no Capitulo 2 Servios Essenciais Criando DHCP com mapeamento esttico no Capitulo 2 Servios Essenciais Configurando DNS dinmico no Capitulo 2 - Servios Essenciais Criando Alias Criando Nat Port Forwarding Criando regras de firewall Criando agendamentos
59
4
Rede Privada Virtual (VPN)
Nesse capitulo iremos abordar: Criando VPN em um tnel IPSec Configurando o servio L2TP VPN Configurando o servio OpenVPN Configurando o servio PPTP VPN
Introduo
Virtual Private Networking (VPN) (Vamos abordar no livro esse nome como Rede Privada Virtual (VPN)) um sistema moderno muito eficaz. Uma conexo VPN permite que um usurio remoto conecte com segurana uma rede e use os recursos como se estivesse no prprio local. Com todas as variedades de acesso VPN, O PfSense tem quatro implementaes mais usadas, elas so construdas direto dentro do OpenVPN que esta migrado como o protocolo VPN. Mas nada impede que voc baixe um software a sua escolha de VPN cliente para qualquer maquina usando Windows (suporte OpenVPN no vem no Windows). IPSec mais complexo, mais tambm uma aplicao muito popular do VPN. Servio PPTP VPN e L2PTP VPN so menos usados entre os quatro, mas seu uso ainda bem generalizado. Neste capitulo vamos descrever como configurar o PfSense para usar qualquer um ou as quatro aplicaes VPN-IPSec, L2TP, OpenVPN, e PPTP.
Se preparando...
IPSec muitas vezes o mtodo preferido para o tipo de conexo rede-a-rede ( oposto ao cliente-arede). Um cenrio tpico monta uma conexo permanente e segura entre sede e filial.
60
Redes conectadas atravs de VPN devem obrigatoriamente usar sub-redes diferentes. Por exemplo, se as duas redes usam sub-redes 192.168.1.0/24, o VPN no vai funcionar.
Como faz-lo...
1. 2. 3. 4. V at VPN | Ipsec Clique no boto + para criar um tnel IPSec. Especifique em Remote Gateway o IP publico ou o hostname do gateway remoto. E em Description adicione uma descrio do seu IPSec
5. 6. 7. 8.
Em Pre-Shared Key digite sua senha Clique em Save Marque Enable IPsec. Clique em Save.
61
9. Clique em Apply Changes. 10. V at Firewall | Rules 11. Selecione a aba IPSec 12. Clique no boto + para adicionar uma nova regra no firewall 13. Em Destination selecione Lan subnet. 14. Em Destination port selecione any 15. Em Description, ponha uma descrio que voc possa reconhecer a regra, nos usamos no exemplo Allow IPsec traffic to LAN.
62
Veja tambm...
Configurando o servio L2TP VPN Configurando o servio OpenVPN Configurando o servio PPTP VPN
Se preparando...
muito importante entender que ao contrario das outras implementaes VPN, o L2TP no criptografa os dados. O L2TP simplesmente um mtodo de encapsulamento que s deve ser usado em redes j confiveis, em conjunto do IPsec. A grande vantagem do L2TP que pode ser usado com redes sem precisar de IP.
Como faz-lo...
1. 2. 3. 4. V em VPN | L2TP Na aba Configuration, marque Enable L2TP Server. Especifique um IP sem uso em Server address. Em Remote address Range digite o inicio da faixa de IP no usada de endereo remoto. O numero de IPs que vai ser usado vai estar indicado na etapa 6. 5. Em Subnet mask especifique o tipo de subrede. 6. Em Number of L2TP users especifique o numero de usurios que iro se conectar.
63
7. Clique em Save 8. Clique na aba Users. 9. Clique no boto + para adicionar um novo usurio 10. Digite o usurio em username e a senha em password.
13. Selecione a aba L2TP VPN 14. Clique no boto + para adicionar uma nova regra de firewall 15. Selecione em Destination o LanSubnet 16. Selecione em Destination port range o any 17. Digite em Description uma descrio que voc possa identificar a sua regra, no exemplo nos usamos Allow L2TP Clients to LAN. 18. Clique em Save.
65
66
67
5. Digite em Endereo na Internet o endereo do servidor da rede a qual voc esta querendo se conectar. Se o endereo L2TP que voc configurou no esta acessvel diretamente, voc ter que fazer um NAT no servidor direcionando o trfego L2TP.
68
7. Clique depois em Conectar, o Windows ira detectar automaticamente se o servidor esta aceitando a conexo L2TP ou PPTP, e vai ser configurado de acordo com o selecionado.
Veja tambm...
Configurando NAT por Forward, capitulo 3 Configurao Geral Criando VPN em um tnel IPSec Configurando o servio OpenVPN Configurando o servio PPTP VPN
Como faz-lo...
1. V at VPN | OpenVPN. 2. Clique na aba Wizards. 3. Em Type of Server, selecione Local User Access.
4. Clique em Next. 5. Em Descriptive Name, coloque um nome para seu VPN, no exemplo nos usamos MyCaCert, se referindo ae certificado CA. 6. Em Country Code usamos no exemplo o USA. 7. Em State or Province, ns usamos no exemplo New York. 8. Em City, ns usamos no exemplo New York. 9. Em Organization, usamos no exemplo Blue Key Consulting. 10. No e-mail usamos como exemplo contact@example.com. 11. Clique em Add new CA.
69
12. Digite em Descriptive name, um nome o novo certificado do servidor, no exemplo usamos o mesmo MyCaCert. A criao desse certificado vai ficar quase idntico ao criado anteriormente. 13. Em Country Code usamos no exemplo o USA. 14. Em State or Province, ns usamos no exemplo New York. 15. Em City, ns usamos no exemplo New York. 16. Em Organization, usamos no exemplo Blue Key Consulting. 17. No e-mail usamos como exemplo contact@example.com. 18. Clique em Create new Certification.
70
19. Em Description voc coloca a descrio que voc possa reconhecer futuramente, no exemplo nos usamos My OpenVPN Connection.
20. Digite em Tunner Network a conotao em CIDR, isso vai ser uma faixa de IP no usada (que geralmente no muito diferente da rede que voc usa) como 192.168.4.0/24. 71
21. Digite em Local Network a conotao em CIDR, que os clientes vo ser capazes de acessar, que geralmente a rede interna LAN, 192.168.1.0/24. 22. Especifique em Concurrent Connections, o numero mximo de clientes que iro se conectar.
23. Clique no boto Next. 24. Marque Add a rule to permit traffic from clients on the Internet to the OpenVPN server process. 25. Marque Add a rule to allow all traffic from connected clients to pass across the VPN tunnel:
72
73
Algoritmos de Criptografia
Escolher o melhor algoritmo de criptografia essencial para o melhor desempenho do seu hardware. Muitas placas de expanso VPN, como aquelas encontradas em Netgate usando Alix requerem placas AES128-CBC. Verifique com seu fornecedor de hardware para obter mais detalhes.
Veja tambm...
Criando VPN em um tnel IPSec 74
Como faz-lo...
1. 2. 3. 4. V at VPN | PPTP | aba Configuration Marque Enable PPTP server Escolha em No. PPTP users, o numero de clientes que iro se conectar Em Server address digite um IP no usado para especificar o endereo para o servidor PPTP. O PPTP do servidor vai escutar esse endereo. 5. Em Remote address range, digite o inicio dos IPs dos clientes que iro se conectar, lembre-se de deixar uma quantidade de IP o suficiente referente ao que voc colocou em No. PPTP users.
75
7. Clique em Save. 8. Selecione a aba Users. 9. Clique no boto + para adicionar um usurio 10. Coloque o nome de usurio em username e a senha em password. 11. Clique em Save.
12. V at Firewall | Rules 13. Selecione a aba PPTP VPN 14. Clique no boto + para criar uma nova regra de firewall. 15. Selecione em Destination o Lansubnet. 16. Selecione em Destination port range a opo any. 17. Em Description digite uma descrio que voc possa reconhecer futuramente, no exemplo usamos Allow PPTP Clients to LAN. 18. Clique em Save.
76
77
12. Digite em Endereo na Internet o endereo do servidor da rede a qual voc esta querendo se conectar. Se o endereo L2TP que voc configurou no esta acessvel diretamente, voc ter que fazer um NAT no servidor direcionando o trfego L2TP.
79
Clique depois em Conectar, o Windows ira detectar automaticamente se o servidor esta aceitando a conexo L2TP ou PPTP, e vai ser configurado de acordo com o selecionado.
80
4. Em Connection name digite um nome que voc possa identicar, no exemplo usamos Matts Network. 5. Em Gateway digite o ip do servidor que voc configurou o PPTP VPN. Se o IP no pode ser acessado diretamente, voc ter que configurar o NAT com port Forward.
81
6. Cliquem Apply 7. Clique em Close. 8. V em Network connection, selecione no menu VPN Connections | Matts Network
82
83
2. Clique em Network
84
3. 4. 5. 6.
Clique no boto + para adicionar uma nova conexo de rede Selecione VPN em Interface. Selecione PPTP em VPN Type. Digite em Service Name um nome de descrio, no exemplo usamos Matts Network.
7. Digite em Server Address o ip do servidor que voc configurou o PPTP VPN. Se o IP no pode ser acessado diretamente, voc ter que configurar um NAT port Forward. 8. Digite o nome de usurio cadastrado em Account Name. 9. Clique em Connect que aparecer uma janela pedindo a senha
85
Veja tambm...
Criando VPN em um tnel IPSec Configurando o servio L2TP VPN Configurando o servio OpenVPN Configurando o servio PPTP VPN
86
5
Configuraes Avanadas
Nesse capitulo, iremos abordar: Criando um IP Virtual Criando regra de NAT 1:1 Criando uma regra de NAT outbound Criando Gateway Criando uma rota esttica Configurando o Traffic Shaping (QoS, Qualidade do Servio) Interfaces do tipo ponte Criando uma LAN Virtual Criando um Captive Portal
Introduo
A seguir vamos abordar recursos avanados de rede, que normalmente se encontram em classes empresariais. No entanto cada um desses recursos ento disponveis na ultima verso do PfSense.
Criando um IP Virtual
Aqui vamos descrever como configurar um endereo de IP virtual no PfSense.
Se preparando...
No PfSense voc pode criar quatro tipos distintos de IPs virtuais: Proxy ARP CARP Other AP Alias
87
Um tipo comum de IP virtual configurado como NAT 1:1, neste cenrio o IP virtual do tipo Other necessrio, o que vamos configurar agora:
Como faz-lo...
1. 2. 3. 4. 5. 6. V em Firewall | Virtual IPs Clique no boto + e adicione um novo endereo de IP virtual. Em Type escolha Other. Em Interface escolha WAN Em IP address digite o IP que voc deseja virtualizar Adicione uma descrio que voc possa identificar posteriormente em Description.
88
H mais...
Ns estamos configurando um VIP do tipo Other. Mas existem mais trs tipos de endereos VIP que podem ser configurados no PfSense 2.0. Os quatro tipos de endereos VIP so semelhantes, mas mudam algumas propriedades, vamos ver a comparao: CARP o Pode ser usados e encaminhados pelo firewall o Pode usar o trfego Layer 2. o Podem ser usados em cenrios com balanceamento de carga e Fail-Over o Tem que estar na mesma subrede da interface o Ele vai responder a pings se configurado corretamente Proxy ARP o S pode ser transmitida pelo firewall o Pode usar o trfego Layer 2. o Pode estar em uma subrede diferente do que a interface o No pode responder aos pings Other o S pode ser transmitida pelo firewall o Pode estar em uma subrede diferente do que a interface o No pode responder aos pings IP Alias o Novo no PfSense 2.0 o S pode ser usado ou encaminhado pelo firewall o Permite que os endereos IP sejam adicionados como IP extra na interface.
Veja tambm...
Criando regra de NAT 1:1 Criando uma regra de NAT outbound Criando uma rota esttica Criando uma LAN Virtual 92
Como faz-lo...
1. 2. 3. 4. 5. V at Firewall | Virtual IP Na aba Virtual IPs, clique no boto + para adicionar um novo VIP. Em Type selecione Proxy ARP. Em Interface selecione WAN Na opo IP address, em Type selecione Single Address, e em Address digite o ip externo que voc deseja associar a uma maquina da rede interna. 6. Adicione uma descrio que voc possa reconhecer mais tarde em Description, no exemplo nos usamos My public IP address.
7. Clique em Save. 8. Clique em Apply Changes. 9. V em Firewall | NAT. 10. Selecione a aba 1:1 11. Clique no boto + para adicionar uma regra de NAT 1:1 12. Em Interface selecione WAN 13. Em Source selecione any 14. Em Destination, especifique o computador interno, no caso vamos usar o Alias. 15. Digite em External Subnet o seu ip publico 16. Em Description, adicione uma descrio que voc possa reconhecer posteriormente, no exemplo usamos Forward all external requests to Webserver1. 17. Em NAT Freflection deixe Disabled.
93
H mais...
Como muito recursos avanados de rede, o relacionamento bem sucedido do NAT 1:1 requer o uso de VIPs.
Veja tambm...
Criando um IP Virtual
94
Se preparando...
Uma regra de NAT outbound define como traduzir o que um trfego de rede esta deixando. Isso pode parecer um conceito difcil de entender na primeira vez, porque a maioria dos cenrios de rede em geral s ento preocupados em saber o local de onde os pacotes esto vindos, e no se preocupam em saber como eles saem. Vamos descrever agora como usar uma regra de NAT outbound para resolver um cenrio comum que envolve o nateamento para uma maquina com varias interfaces. Vamos supor que temos um nico servidor de destino com duas interfaces, LAN e DMZ, e o firewall PfSense protege essas duas interfaces. Usando a velha regra de Port Forward, encaminhando solicitaes HTTP para o servidor em sua interface DMZ, o que bom. No entanto, quando tentamos encaminhar solicitaes SSH para a interface LAN do servidor, o trfego chega corretamente, mas tenta responder atravs da rede DMZ. Isso no reconhecido como valido pelo firewall e fica dando tempo perdido quando se tenta conectar. A soluo e lhe dar com os pedidos SSH usando uma regra de NAT outbound junto com uma regra de NAT 1:1, como vamos descrever.
Como faz-lo...
1. 2. 3. 4. 5. V a Firewall | Virtual IPs Na aba Virtual IPs, clique no boto + para adicionar um novo VIP. Em Type selecione Proxy ARP Em Interface selecione WAN Na opo IP address, em Type selecione Single Address, e em Address digite o ip externo que voc deseja associar a uma maquina da rede interna. 6. Adicione uma descrio que voc possa reconhecer mais tarde em Description, no exemplo nos usamos My public IP address. 7. Clique em Save 8. Clique em Apply Changes
95
9. V at Firewall | NAT 10. Clique na aba Outbound 11. Selecione o modo Automatic outbound NAT rule generation (IPsec passthrough included). 12. Clique no boto + para adicionar um novo mapeamento de NAT outbound . 13. Escolha Interface que a maquina vai responder, no caso a LAN. 14. Em Source especifique any 15. Em Destination ponha o endereo do servidor que ira responder. 16. Deixe o Translation para tratar da Interface Address e especificar a porta 22 para responder os pedidos de SSH. 17. Escreva em Description a descrio para voc identificar futuramente, no exemplo usamos Outbound NAT for WAN Clients to Server1 SSH. 18. Clique em Save. 19. Clique em Apply Changes.
96
20. V at Firewall | NAT 21. Clique na aba 1:1 22. Clique no boto + para adicionar um mapeamento NAT 1:1 23. Em Interface escolha WAN. 24. Em Source escolha any. 25. Especifique em Destination, Single Host ou Alias, e fornecer o endereo IP do servidor que esta recebendo as solicitaes. 26. Especifique o VIP que criamos anteriormente em External subnet. 27. Em Description digite uma descrio que possa reconhecer no futuro, no exemplo colocamos 1:1 NAT Public IP to Server1. 28. Clique em Save 29. Clique em Apply Changes.
30. V a Firewall | Rules 31. Clique na aba WAN. 32. Clique no boto + para adicionar uma nora regra de firewall. 33. Em Source escolha any 34. Em Source port range escolha any. 35. Em Destination selecione ou Singles host ou Alias especificando o endereo de IP do servidor que est lidando com as solicitaes. 36. Em Destination port range selecione SSH. 37. Em Description digite uma descrio qualquer que voc possa reconhecer mais tarde, no exemplo usamos Allow WAN Clients to Server1 SSH. 38. Clique em Save. 39. Clique em Apply Changes.
97
Veja tambm...
Criando um IP Virtual Criando regra de NAT 1:1 Criao de regras em Nat port Forward
Criando um Gateway
Aqui vamos descrever como criar um gateway no PfSense.
Se preparando...
Em geral, as redes com uma nica ligao WAN, no necessrio mudar as configuraes de gateway; o padro criado pelo prprio PfSense automaticamente j o suficiente. No entanto, as redes que possuem 98
mais de uma conexo de internet ou tira proveito de algumas funcionalidades avanadas (por exemplo, rotas estticas) ter que definir um gateway personalizado.
Como faz-lo...
1. 2. 3. 4. 5. 6. V a System | Routing Clique na aba Gateways Clique no boto + para adicionar um novo gateway Selecione a Interface do novo gateway Em Name voc vai especificar um nome para esse gateway (no pode ser espao) Em Gateway especifique o IP do gateway, esse IP tem que ser reconhecido pela interface que voc escolheu na etapa 4. 7. Em Monitor IP voc pode atribuir um IP alternativo ou deixar em branco mesmo, fazendo isso o sistema ira colocar o mesmo IP do gateway como monitor IP. 8. Em Description voc vai colocar uma descrio para identificar qual gateway voc criou, no exemplo usamos My New Gateway.
99
H mais...
Vamos ver agora como criar gateways para fazer rotas estticas. Uma rota esttica um caminho feito de uma rede para outra, o todo o trfego entre essas duas redes devem passar por um gateway.
Grupos de Gateway
O PfSense 2.0 implemente um novo conceito chamado Grupos de Gateway. O grupo de gateway uma juno de vrios gateways que podem ser tratados como uma unidade a partir de varias outras funcionalidades no sistema. Grupos de gateway ira aparecer na porta de entrada em um menu drop-down, como em uma definio de regra de firewall.
Veja tambm...
Criando regras de firewall, capitulo 3 Configuraes Gerais Configurando interface WAN, capitulo 1 Configuraes Iniciais Criando rotas estticas
Se preparando...
As rotas estticas servem para acessar redes que no so acessveis atravs do gateway padro WAN, mas pode ser alcanado indiretamente atravs de uma interface diferente. Um exemplo comum pode ser usado em uma grande empresa com vrios escritrios que usam uma impressora compartilhada, s preciso
100
criar uma rota esttica. Podemos usar o PfSense para criar essa rota esttica para uma rede interna, em vez de configurar uma rota esttica em cada pc.
Como faz-lo...
1. 2. 3. 4. 5. 6. V at System | Routing. Clique na aba Gateways Clique no boto + para adicionar um novo gateway Selecione em Interface onde vai ficar o novo gateway Digite em Name o nome do seu gateway (no pode ter espao) Digite em IP Address o IP do gateway, esse IP tem que ser reconhecido pela interface selecionada anteriormente. 7. Em Monitor IP voc pode atribuir um IP alternativo ou deixar em branco mesmo, fazendo isso o sistema ira colocar o mesmo IP do gateway como monitor IP. 8. Em Description voc vai colocar uma descrio para identificar qual gateway voc criou, no exemplo usamos My New Gateway. 9. Clique em Save 10. Clique em Apply Changes
11. V em System | Routing 12. Clique na aba Routes 13. Clique no boto + para adicionar uma nova rota 14. Em Destination network digite o endereo de IP da rede de destino 15. Em Gateway escolha o que criamos a cima. 16. Em Description escreva algo para descrever a regra, no exemplo usamos Static route for shared printer network.
101
Veja tambm...
Criando Gateway
Se preparando...
O Traffic Shaping, tambm conhecido como QoS, a priorizao e otimizao de pacotes de rede. Priorizando os pacotes de rede de certos tipos de trfego em relao a outros. Limita o pacote de rede fixando 102
certos limites de velocidade de certos tipos de trfego para certos momentos. Um administrador pode querer priorizar os pacotes de VoIP sobre todos os outros para garantir que chamadas telefnicas no vo ser descartadas ou interrompidas devido ao alto trfego de rede. Alm disso, podemos tambm limitar o rendimento do VoIP para 100kbps. Esse um exemplo tipo de ambiente que roda VoIP. A seguir vamos usar o PfSense para moldar os acessos externos usando o Desktop Remoto do prprio Windows (MSRDP) que entram em nossa rede. Assim podemos nos assegurar que podemos administrar nossos servidores remotamente mesmo se o trfego de rede estiver muito alto.
Como faz-lo...
1. V a Firewall | Traffic Shaper 2. Clique na aba Wizards 3. Na coluna Wizard functions, clique no link referente a Single WAN multi LAN.
4. Em Enter number of LAN type connections digite o numero de Lans, no nosso caso tem LAN e DMZ, ento colocamos numero 2.
5. Em Link Upload digite a velocidade que o seu provedor de internet forneceu para upload, no exemplo usamos 2.000Kbps (2Mbps), se voc tiver duvida faa um teste em sites de velocidade, como por exemplo: http://speedtest.net/ 6. Em Link Download digite a velocidade que o seu provedor de internet forneceu para download, no exemplo usamos 15.000Kbps (15Mbps), se voc tiver duvida faa um teste em sites de velocidade, como por exemplo: http://speedtest.net/
103
7. A pagina seguinte usada especificamente para configurar a priorizao de trfego de VoIP, voc pode pular essa etapa clicando em Next.
104
8. Na prxima pagina se chama PenaltyBox, nos permite limitar a velocidade de um determinado endereo de IP ou Alias. Isso muito til, mas no vamos ter a necessidade de usar essa funo no momento, voc pode ignorar clica em Next.
9. Essa prxima pagina se chama Peer to Peer (P2P) Networking, voc pode diminuir a prioridade de trfego P2P, nessa pagina a cerca de 20 opes de rede P2P mais populares para ser limitado o trfego. Como no nos interessa essa parte no momento ento clique em Next.
10. Nessa prxima pagina Network Games, voc pode configurar o trfego de rede liberada aos jogos online, nessa pagina a cerca de 20 jogos mais populares online para ser priorizado. Como no nos interessa essa parte no momento ento clique em Next. 105
11. Na pgina final Other Applications, nos permite morldar outros tipos comuns de trfego. Vamos ter que clicar na opo Enable, para permitir o uso dessa aplicao, em MSRDP vamos selecionar Higher priority, os outros vamos deixar como Default, e clique em Next.
106
Como faz-lo...
1. 2. 3. 4. 5. V a Interfaces | (assign) Clique na aba Bridge Clique no boto + para adicionar uma nova ponte Em Member Interfaces, selecione as interfaces com o Ctrl pressionado. Em Description voc vai digitar uma identificao que possa reconhecer posteriormente, no exemplo nos usamos LAN DMZ Bridge.
6. Clique em Save
107
H mais...
Clique em Show advanced options, para configurar qualquer uma dessas seguintes opes: RSTP/STP: Abilite para abrir a arvore de opes: o Protocol o STP Interfaces o Valid time o Forward time o Hello time o Priority o Hold count o Interface priority o Path cost Cache size Cache entry expire time Span port Edge ports Auto Edge ports PTP ports Auto PTP ports Sticky ports Private ports
Veja tambm...
Identificando e atribuindo interfaces, capitulo 1 Configurao Inicial.
Se preparando...
A VLAN permite q um nico interruptor fsico possa hospedar varias camadas de rede, separando as portas com tags VLAN. A tag de VLAN define uma rede virtual separada. O PfSense pode anexar em cada VLAN, definindo tags nas interfaces do firewall.
Como faz-lo...
1. 2. 3. 4. V at Interface | (assign) Clique na aba VLANs Clique no boto + para adicionar uma nova VLAN Na opo Parent Interface. Se refere a uma atribuio de uma interface de referencia (observe na figura a baixo). Neste caso a DMZ foi atribuda como vr2 ento vamos selecionar ela.
5. Na opo VLAN tag, ponha um valor entre 1-4094 6. Em Description, ponha um nome para referencia no exemplo nos usamos My DMZ virtual LAN.
7. Clique em Save.
109
Veja tambm...
Identificando e atribuindo interfaces, capitulo 1 Configurao Inicial.
Se preparando...
O Captive Portal uma pagina web que exibida de permisso ao usurio antes de navegar na web. Isso geralmente visto em ambientes comerciais como Wi-Fi Hotspot onde voc deve pagar pelo servio antes de navegar na web. Em outros cenrios o Captive Portal usado para autenticao do usurio. Nessa explicao vamos configurar o PfSense para mostrar um Captive Portal de autenticao antes que o usurio navegue na web pela DMZ.
Como faz-lo...
1. 2. 3. 4. V a Services | Captive Portal Na aba Captive Portal, clique em Enable Captive Portal. Em Interface escolha a interface que deseja usar o servio , no nosso exemplo vamos usar o DMZ. Em Idle timeout, ns selecionamos 10 minutos, clientes que passarem mais tempo que isso sem atividade no computador, assim que ele acessar de novo vai pedir o usurio e senha. 5. Em Hard timeout, ns usamos 60 minutos, clientes que esto navegando ou no no computador depois de 60 minutos vai aparecer uma tela de usurio e senha para ser digitado, voc pode deixar em branco para desabilitar essa opo. 6. Clique em Enable logout popup window, para q os usurios possam deslogar quando terminar. 7. Em Redirection URL, voc pode fazer com que o cliente assim que se logar seja direcionado a uma pagina que voc escolher, no exemplo nos usamos http://www.google.com 110
9. Clique em Save. 10. V at System | User Manager 11. Clique na aba User 12. Clique na aba + para adicionar um novo usurio 13. Em Username digite o nome de usurio 14. Em Password digite uma senha desejada duas vezes. 15. Em Full Name ponha o nome completo do usurio
111
112
H mais...
Todas as trs paginas do Captive Portal (login, logout e erro) podem ser personalizadas para atender o padro da organizao onde foi implementado o sistema. A maneira mais fcil de ser feito isso salvando cada pagina como um arquivo edita-lo a sua maneira (sem mudar onde o usurio vai colocar suas credenciais), e depois envia-lo usando as opes na parte inferior da pagina do servio Captive Portal.
113
6
Redundncia, Balanceamento de carga, e Failover
Nesse capitulo, iremos abordar: Configurando mltiplas interfaces WAN Configurando o balanceamento de carga em uma multi-WAN Configurando o Failover em uma multi-WAN Configurando um servidor de web com balanceamento de carga Configurando um servidor web com Failover Configurando um firewall CARP com Failover
Introduo
Redundncia, balanceamento de carga e Failover so alguns dos mais avanados recursos de rede usados no momento. Alguns desses servios so necessrios em empresas de grande porte, alguns firewalls e roteadores no so capazes de fazer isso. E claro que o PfSense suporta todos eles. Redundncia de varias interfaces WAN (multi-WAN) fornece um firewall nico para varias conexes de internet. O PfSense pode ser configurado para equilbrio de carga ou Failover de interface multi-WAN. Balanceamento de carga vai dividir o trfego entre as interfaces de internet, quanto o Failover faz com que se uma interface caia a outra assume 100% do trfego, no fazendo a internet da rede parar. O balanceamento de carga do PfSense permite tipos de trfego especficos (como trfego na web) serem distribudos entre os servidores. A capacidade de criar sua prpria webfarm feito direto no PfSense! Redundncia de firewall permite que o sistema sobreviva se a maquina do firewall PfSense venha a ser desligada. Para isso usamos uma configurao CARP, o PfSense pode configurar um Failover para passar o acesso automaticamente para um firewall de backup.
Se preparando...
Um sistema de PfSense com uma nica interface WAN quase plug-and-play desde um gateway at um DNS padro. No entanto algumas descries nesse capitulo requer mltiplas conexes de WANs e os gateways devem ser configurados manualmente. As descries a seguir vo ver como configurar duas interfaces WAN que podem ser usadas mais tarde como balanceamento de carga redundante e Failover. As seguintes interfaces vo se configuradas com endereos de IPs privados para fins de exemplo, mas uma configurao real exigiria que cada interface WAN fosse configurada corretamente de acordo com as informaes fornecidas por cada provedor.
Como faz-lo...
1. V a System | Routing 2. Selecione a aba Gateways 3. Tome nota que o gateway da nossa interface padro WAN existente foi criada automaticamente, por isso ela esta definida como default, que geralmente definida como dynamics.
4. 5. 6. 7. 8. 9.
Clique no boto + para adicionar um novo gateway Em Interface escolha a conexo j existente WAN Em Name digite um nome para o gateway Em Gateway digite o gateway da interface Marque Default Gateway Em Description digite uma descrio para seu gateway, no exemplo ns usamos WAN Gateway.
115
11. Clique no boto + para adicionar um novo Gateway 12. Na opo Interface escolha a nova interface WAN. 13. Em Name digite um nome para o gateway 14. Em Gateway digite o gateway da interface 15. Em Description digite uma descrio para seu gateway, no exemplo ns usamos WAN2 Gateway.
116
18. V a Interfaces | WAN 19. Em Type escolha Static 20. Em IP Address digite o IP da WAN 21. Em Gateway selecione o gateway que voc criou referente WAN 22. Marque Block private networks 23. Marque Block bogon networks
117
24. Clique em Save 25. V Interfaces | WAN2 26. Em Type escolha Static
27. Em IP address digite o IP da WAN2 28. Em Gateway, selecione o gateway criado referente a WAN2 29. Marque Block private networks 30. Marque Block bogon networks
118
H mais...
Lembre-se sempre de marcar as opes de Block private networks e Block bogon networks nas redes de internet.
Veja tambm...
Configurando a Interface, capitulo 1 Configurao Inicial. Criando gateway, capitulo 5 Configuraes avanadas. Configurando multi-WAN com balanceamento de carga Configurando multi-WAN com Failover
Se preparando...
Ao longo dessas instrues, vamos configurar o balanceamento de carga de duas interfaces WAN separadas. Ento ter que se certificar primeiro se as duas interfaces esto corretamente configuradas se guiando pela instruo mais a cima. Toda vez que um balanceamento de carga entra em vigor, o Failover automaticamente tambm entra. Mas se quisssemos ativar somente o Failover, na prxima etapa vamos descrever como fazer.
Como faz-lo...
1. V a System | Routing 2. Selecione a aba Groups 3. Em Group name digite um nome (esse nome vai ser o nome do seu gateway, e no pode ter espao) no exemplo usamos LoadBalancedGroup 4. Em Gateway Priority em ambos os gateways selecione Tier1 5. Em Trigger Level, selecione Member Down 6. Em Description digite uma descrio para seu balanceamento.
119
9. V at System | Routing 10. Edite o WAN gateway 11. Em Monitor IP voc pode especificar um endereo de IP externo. Eu particularmente coloco o endereo http://www.google.com.br, mas voc pode especificar o endereo a sua escolha, pode ser um mais perto do seu firewall (algum ip dentro da rede do seu provedor por exemplo). 12. Clique em Save. 13. Edite o Wan2 gateway 14. Em Monitor IP voc pode especificar um endereo de IP externo. Eu particularmente coloco o endereo http://www.google.com.br, mas voc pode especificar o endereo a sua escolha, pode ser um mais perto do seu firewall (algum ip dentro da rede do seu provedor por exemplo). 15. Clique em Save. 16. Clique em Apply Changes.
120
17. V at Firewall | Rules 18. Clique no boto + para adicionar uma nova regra de firewall na aba LAN 19. Em ao selecione Pass 20. Em Interface selecione LAN 21. Em Protocol selecione any 22. Em Source selecione Lan Subnet 23. Em Destination selecione any 24. Em Description digite uma descrio 25. Em Advanced Features, na opo Gateway clique em Advanced e ir aparecer um menu com a lista de gateways criados 26. Em gateway selecione o gateway que criamos logo a cima com o nome LoadBalancedGroup 27. Clique em Save 28. Clique em Apply Changes
121
H mais...
Ns definimos o Trigger Level, como Member Down, mas h varias outras opes: Member Down: acionado quando o endereo que colocamos em IP monitor deixa de responder aos pings. Packet Loss: acionado quando os pacotes que viajam entre um dos gateways so perdidos. High Latency: ativado quando os pacotes que viajam entre um dos gateways ficam com uma instabilidade muito alta. Packet Loss or High Latency: acionado quando os pacotes que viajam entre um dos gateways ficam com perda ou instvel.
Veja tambm...
Configurando mltiplas interfaces WAN
Se preparando...
Ao longo dessa descrio, vamos configurar o Failover para nossas duas interfaces WAN separadas. Ento ter que se certificar primeiro se as duas interfaces esto corretamente configuradas se guiando pela instruo anteriormente dita.
Como faz-lo...
1. V a System | Routing 2. Selecione a aba Groups 3. Em Group name digite um nome (esse nome vai ser o nome do seu gateway, e no pode ter espao) no exemplo usamos FailoverGroup 4. Em Gateway Priority selecione seu WAN Gateway como Tier 1. 5. Em Gateway Priority selecione seu WAN2 Gateway como Tier 2. 6. Em Trigger Level selecione Member Down 7. Em Description digite uma descrio para seu Failover.
122
10. V at System | Routing 11. Edite o WAN gateway 12. Em Monitor IP voc pode especificar um endereo de IP externo. Eu particularmente coloco o endereo http://www.google.com.br, mas voc pode especificar o endereo a sua escolha, pode ser um mais perto do seu firewall (algum ip dentro da rede do seu provedor, por exemplo). 13. Clique em Save. 14. Edite o Wan2 gateway 15. Em Monitor IP voc pode especificar um endereo de IP externo. Eu particularmente coloco o endereo http://www.google.com.br, mas voc pode especificar o endereo a sua escolha, pode ser um mais perto do seu firewall (algum ip dentro da rede do seu provedor, por exemplo). 16. Clique em Save. 17. Clique em Apply Changes.
123
18. V at Firewall | Rules 19. Clique no boto + para adicionar uma nova regra de firewall na aba LAN 20. Em ao selecione Pass 21. Em Interface selecione LAN 22. Em Protocol selecione any 23. Em Source selecione Lan Subnet 24. Em Destination selecione any 25. Em Description digite uma descrio 26. Em Advanced Features, na opo Gateway clique em Advanced e ir aparecer um menu com a lista de gateways criados 27. Em gateway selecione o gateway que criamos logo a cima com o nome FailoverGroup 28. Clique em Save 29. Clique em Apply Changes
124
H mais...
Ns definimos o Trigger Level, como Member Down, mas h varias outras opes: Member Down: acionado quando o endereo que colocamos em IP monitor deixa de responder aos pings. Packet Loss: acionado quando os pacotes que viajam entre um dos gateways so perdidos. High Latency: ativado quando os pacotes que viajam entre um dos gateways ficam com uma instabilidade muito alta. Packet Loss or High Latency: acionado quando os pacotes que viajam entre um dos gateways ficam com perda ou instvel.
Veja tambm...
Configurando mltiplas interfaces WAN Configurando o balanceamento de carga em uma multi-WAN
Se preparando...
O balanceador de carga permite que o PfSense distribua certos tipos de trfego para varias maquinas na rede. Um uso comum desse recurso para distribuir solicitaes HTTP de entrada para vrios servidores web, a seguir vamos descrever como configurar o balanceador de carga para criar um servio de web priorizado.
Como faz-lo...
1. 2. 3. 4. 5. 6. 7. V Services | Load Balancer Na aba Monitor Clique no boto + para adicionar um novo Monitor. Em Name digite um nome para seu monitor Em Description digite uma descrio para identificar seu monitor Em Type selecione HTTP. na opo Host, aqui vamos digitar um endereo de IP que no usado na rede, para ser o IP do servidor virtual. O servidor virtual vai ser configurado para passar os pedidos para os servidores reais de web, esse IP o que vi ser monitorado 125
11. Clique na aba Pools. 12. Clique no boto + para adicionar um novo pool 13. Selecione um nome em Name 14. Em Mode selecione Load Balance 15. Em Description digite uma descrio pro pool que voc acabou de criar 16. Em Port selecione 80 (pois estamos criando um balanceador de carga de um servidor web) 17. Em Monitor selecione o monitor que voc acabou de criar com o nome WebfarmMonitor. 18. Em Server IP Address digite cada ip dos servidores web e clique em Add to pool.
126
21. Clique na aba Virtual Servers 22. Clique no boto + para adicionar um novo servidor virtual 23. Em Name digite um nome para o seu servidor virtual 24. Em Description digite uma descrio para o seu servidor 25. Em IP address digite o IP que voc cadastrou em Monitor. 26. Em Port digite a porta que voc quer usar no caso 80 j que um servidor de web 127
27. Em Virtual Server Pool selecione o pool que voc criou, WebfarmPool
128
H mais...
Sticky connections podem ser usados para garantir que o cliente sempre vai fazer pedidos para o mesmo servidor durante um perodo de tempo. Se o prximo pedido for feito aps o time out do Sticky connections, ele vai ser manuseado por qualquer um dos dois servidores. Os desenvolvedores geralmente precisam desse recurso para garantir a integridade dos dados especficos do servidor (cache InMemory), mas no to confivel do que usar a sesso de armazenamento compartilhado.
Veja tambm...
Criando regras de NAT port Forward, capitulo 3 Configurao Geral Criando regras de Firewall, capitulo 3 Configurao Geral Configurando servidor web com Failover
Se preparando...
O balanceador de carga tambm permite que o PfSense envie o trfego para um servidor Failover quando cair a conexo.
Como faz-lo...
1. 2. 3. 4. 5. 6. 7. 8. V a Services | Load Balancer Clique na aba Monitor Clique no boto + para adicionar um novo monitor Em name digite um nome para o seu monitor Em Description digite uma descrio que voc possa reconhecer seu monitor Na opo type selecione HTTP Em host digite o IP do seu servidor primrio de web Na opo HTTP code selecione 200 OK
129
11. Clique na aba Pools. 12. Clique no boto + para adicionar um novo pool 13. Em name digite um nome para o pool 14. Em mode selecione Manual Failover. 15. Digite uma descrio para o seu pool em Description 16. Em port selecione 80 (j que estamos criando um Failover para servidor web) 17. Em Monitor selecione o monitor que voc acabou de criar com o nome WebFailoverMonitor. 18. Em Server IP Address digite o ip do seu servidor web primrio, e clique em Add pool, se voc reparar o ip vai para lista de Enable (default) 19. Depois digite novamente em Server IP Address, s que agora voc vai digitar o IP do servidor web de backup, e clique em Add pool, se voc reparar o IP vai para lista de Pool Disabled.
130
22. Clique na aba Virtual Server. 23. Clique no boto + para adicionar um novo servidor virtual 24. Em Name digite um nome para o seu servidor virtual 25. Digite em Description uma descrio para o seu servidor virtual 26. Em IP address digite um IP que no tiver uso na sua rede 27. Em port selecione 80 (j que estamos criando um Failover para servidor web) 28. Em Virtual Server Pool selecione o Pool que voc acabou de criar, no exemplo o WebFailoverPool.
131
Veja tambm...
Criando NAT de port forward, capitulo 3, Configurao Geral Criando regras de firewall, capitulo 3, Configurao Geral Configurando servidor web com balanceamento de carga
Se preparando...
Redundncia de hardware precisa de um hardware adicional claro. Para configurar um Failover de firewall, vamos precisar de duas maquinas PfSense. Cada mquina tambm precisa de uma interface adicional dedicado ao processo de sincronizao (vamos chamar de pfsync). Agora vamos demonstrar como usar duas maquinas separadas com PfSense, cada uma com trs interfaces (WAN, LAN e pfsync) As seguintes interfaces sero configuradas com endereos de IPs privados para o exemplo, mas em uma configurao real exigiria para cada interface WAN ser configurada corretamente de acordo com as informaes fornecidas pelo provedor.
132
Como faz-lo...
1. Configure a interface da nossa primeira maquina, o PfSense primrio com as seguintes informaes: o WAN: 192.168.111.2 o SYNC: 192.168.222.2 o LAN: 192.168.1.2 2. Configure a interface da nossa segunda maquina, o PfSense secundrio com as seguintes informaes: o WAN: 192.168.111.3 o SYNC: 192.168.222.3 o LAN: 192.168.1.3 3. Em ambas as maquinas, adicione no firewall a regra de trfego livre na interface SYNC: 1. V a Firewall | Rules 2. Clique na aba Interface SYNC 3. Clique no boto + adicionando uma nova regra de firewall 4. Em Protocol selecione any e digite uma descrio em Description
133
7. Na maquina PfSense secundrio precisamos habilitar a sincronizao CARP, e configura-lo apenas como backup: 1. V a Firewall | Virutal IPs 2. Clique na aba CARP Settings 3. Marque Synchronize Enabled. 4. Em Synchronize Interface selecione SYNC
8. Clique em Save 9. Ns acabamos de configurar o firewall de backup 10. Na maquina PfSense primrio precisamos habilitar a sincronizao CARP, e configura-lo para atuar como firewall principal: 1. V em Firewall | Virtual IPs 2. Clique na aba CARP Settings 3. Marque Synchronize Enabled 134
14. Em Synchronize to IP digite o IP do servidor secundrio 15. Em Remote System Password digite a senha do pfsense secundrio
16. Clique em Save 17. Vamos agora configurar um VIP para interface WAN no PfSense primrio 1. V a Firewall | Virtual IPs 2. Clique na aba Virtual IPs 3. Clique no boto + para adicionar um novo VIP 4. Em type selecione CARP. 5. Em Interface selecione WAN
135
6. Em IP address digite um endereo de IP nico da WAN que ser usado durante todo o sistema, independente do sistema primrio ou secundrio estar funcionando. 7. Em Virtual IP Password digite uma senha 8. Em VHID Group deixe a opo 1 9. Em Advertising Frequency deixe a opo 0 10. Em Description digite uma descrio qualquer
18. Vamos agora configurar um VIP para interface LAN no PfSense primrio 01. V a Firewall | Virtual IPs 02. Clique na aba Virtual IPs 03. Clique no boto + para adicionar um novo VIP 136
04. Em type selecione CARP. 05. Em Interface selecione LAN 06. Em IP address digite um endereo de IP nico da LAN que ser usado como gateway ns clientes da rede, independente do sistema primrio ou secundrio estar funcionando. 07. Em Virtual IP Password digite uma senha 08. Em VHID Group deixe a opo 2 09. Em Advertising Frequency deixe a opo 0 10. Em Description digite uma descrio qualquer
137
Veja tambm...
Criando NAT de port forward, capitulo 3, Configurao Geral Criando regras de firewall, capitulo 3, Configurao Geral Criando VIP, capitulo 5, Configuraes Avanadas
138
7
Servios e Manuteno
Nesse capitulo, iremos abordar: Habilitando OLSR Habilitando PPPoE Habilitando RIP Habilitando SNMP Habilitando UPnP e NAT-PMP Habilitando OpenNTPD Habilitando Wake On Lan (WOL) Habilitando o log externo (syslog server) Usando o PING Usando o tracerout Fazer backup do arquivo de configurao Restaurando o arquivo de configurao Configurando o backup automtico do arquivo de configurao Atualizao do firmware do PfSense
Introduo
O PfSense oferece uma infinidade de servios modernos e funcionais. Nesse capitulo vamos descrever os servios mais usados em relao manuteno, descrevendo a funcionalidade e como usar cada um deles. Na primeira metade desse capitulo vamos descrever como usar os servios de rede mais populares, desde SNMP, at como usar o ping e o tracerout, descrevendo como usar essas ferramentas indispensveis, que j vem embutidas na interface WEB do PfSense. Na outra metade do capitulo vamos descrever um servio essencial que o sistema de backup, restaurao e atualizao do PfSense.
Habilitando o OLSR
O OLSR (Optimized Link State Routing), um protocolo de roteamento de IP, otimizando a rede sem fio. quando uma rede constituda por dois ou mais ns, mas o que torna esse sistema nico a maneira 139
que esses ns se comunicam uns com os outros. Os ns tm mltiplas rotas em toda a rede, aumentando a confiabilidade focando em falhas individuais em cada n. Aqui vamos descrever como habilitar o servio de OLSR (Optimized Link State Routing).
Como faz-lo...
1. 2. 3. 4. V a Services | OLSR Marque Enable OLSR. Escola a interface ( voc pode selecionar varias interfaces com o boto Ctrl pressionado) Clique em Save
H mais...
1. 2. 3. 4. 5. 6. Habilitando o HTTPInfo ns permite visualizar e controlar o estado da nossa rede OLSR: V a Services | OLSR Marque Enable HTTPInfo Plugin. Digite em HTTPInfo Port a porta que voc vai ter acesso ao HTTPInfo Em Allowed Host(s). digite o ip que voc vai querer ter acesso ao HTTPInfo Em Allowed Host(s) Subnet digite a mascara de subrede desse ip Clique em Save.
Habilitando o PPPoE
PPPoE significa Point-to-Point Protocol over Ethernet, eh um protocol de rede que permite encapsular Protocolo Point-to-Point (PPP) dentro dos frames da interface. PPPoE permite que dois clientes remotos possam ligar-se e passar dados entre si. Aqui vamos descrever como habilitar o PPPoE no PfSense.
Como faz-lo...
1. 2. 3. 4. 5. V a Services | PPPoE Server Clique no boto + para adicionar uma nova estancia de PPPoE. Marque Enable PPPoE Server Em Interface selecione a interface que voc deseja configurar Em Subnet Mask selecione a mascara de subrede 141
6. Em No. PPPoE Users selecione o numero mximo de clientes que iro se conectar 7. Em Server Address digite um IP no usado que o PfSense vai servir para os clientes se conectarem. 8. Em Remote Address Range definir de que faixa de IP vai ser usado para ter acesso ao PPPoE, levando em considerao o numero de clientes que voc definiu na etapa 6. 9. Em Description digite uma descrio para seu servio de PPPoE 10. Em DNS Servers digite um conjunto de DNS ou deixe em branco para aceitar o padro 11. Em User(s), clique no boto + para adicionar um novo usurio. Digite o nome de usurio em username, a senha em password e o IP
142
Habilitando RIP
RIP significa Routing Information Protocol, protocolo de roteamento dinnimo para redes locais e largas reas de rede. Aqui vamos mostrar como habilitar o servio de RIP no PfSense
Como faz-lo...
1. V Services | RIP 2. Marque Enable RIP 3. Selecione a interface ( voc pode selecionar mais de uma interface clicando nelas com o ctrl pressionado) 4. Selecione a verso do RIP em RIP Version 5. Se voc selecionou o a verso 2 ento digite uma senha em RIPv2 password 6. Clique em Save
Habilitando o SNMP
O SNMP significa (Simple Network Management Protocol), um protocolo padro de SNMP permite que os clientes consultem informaes de status de maquinas que tambm suportam SNMP. Aqui vamos descrever como habilitar o servio de SNMP.
Como faz-lo...
1. 2. 3. 4. 5. 6. V Services | SNMP Marque Enable SNMP Daemon Em Polling Port voc pode selecionar uma porta, mas a padro UDP 161 Em System Location digite o local que voc est configurando Em System Contact digite o nome de um contato, pode ser o seu mesmo. Em Read Community String uma senha comunitria que os clientes autorizados a consultar informaes SNMP tm que digitar a partir de suas maquinas.
8. Clique em Save
H mais...
SNMP traps, so enviados pelo SNMP (como o PfSense) para os servidores especificados quando ocorre um evento significativo, Servidores de SNMP trap, decidem como processa e manipular tal evento, como e-mails de uma rede de administrador. SNMP Trap til para administradores de rede que precisam receber alertas rapidamente, ao invs de esperar pelo ciclo de pooling que tem um potencial muito longo ento pode demorar muito. Especificando um SNMP trap no servidor PfSense: V Services | SNMP Marque Enable SNMP Traps Digite o nome do seu SNMP trap em Trap Server Name Digite a porta em Trap Server Port Digite uma string em SNMP Trap String
1. 2. 3. 4. 5.
6. Clique em Save
Veja tambm...
Documentao sobre SNMP http://doc.pfsense.org/index.php/SNMP_Daemon
Como faz-lo...
1. V Services | UPnP e NAT-PMP 145
2. Marque Enable UPnP & NAT-PMP 3. Marque ou Allow UPnP Port Mapping, ou Allow NAT-PMP Port Mapping ou os dois. 4. Em Interfaces selecione a interface (se quiser selecionar mais de uma selecione a outra pressionando o boto Ctrl)
5. Clique em Save
H mais...
H mais recursos opcionais disponveis em servios UPnP e NAT-PMP no PfSense: Em Maximum Download Speed voc pode definir que velocidade de download seus dispositivos usando o servio UPnP e NAT-PMP pode usar Em Maximum Upload Speed voc pode definir que velocidade de upload seus dispositivos usando o servio UPnP e NAT-PMP pode usar Em Override the WAN Address voc pode especificar qual IP pode substituir a WAN Em Traffic Shaping Queue voc pode colocar um shaping j configurado
Marque Enable Log Packets para habilitar os logs usados por clientes UPnP e NAT-PMP Marcando o System Uptime voc vai estar substituindo o uptime do servio de UPnP e NAT-PMP pelo uptime do prprio sistema Marcando o Default Deny Access voc vai estar negando todo o acesso vindo do UPnP e NAT-PMP
146
Em User specified permissions voc pode especificar at quatro usurios com permisses.
Aviso de Segurana
Permitindo que dispositivos possam modificar suas regras de firewall, isso contem uma serie de implicaes de segurana. O firewall da Microsoft o sistema ISA (TMG o mais recente) no apoia esses protocolos. Se voc precisar habilitar esses servios esteja ciente dos riscos. Voc teria que dedicar uma interface separada para esse servio (o trfego arriscado de mais). Voc pode ver nas imagens que eu s habilito o UPnP na interface publica. Essa interface se trata como insegura mas til para jogos e que clientes naveguem na web livremente. Documentao sobre UPnP no PfSense http://doc.pfsense.org/index.php/What_is_UPNP%3F Artigo sobre UPnP no Wikipedia http://en.wikipedia.org/wiki/Universal_Plug_and_Play Artigo sobre NAT-PMP no Wikipdia http://en.wikipedia.org/wiki/NAT_Port_Mapping_Protocol
Habilitando o OpenNTPD
O servio vai atender as solicitaes OpenNTPD, data e hora para os clientes solicitarem. Aqui vamos descrever como ativar o servio OpenNTPD no PfSense.
Como faz-lo...
1. V Services | OpenNTPD 2. Marque Enable para habilitar o servio NTPD 3. Em Interface selecione a interface para usar o servio NTPD (voc pode marcar mais de uma interface) 147
4. Clique em Save
Veja tambm...
Documentao sobre o PfSense NTPD http://doc.pfsense.org/index.php/NTP_Server_%28OpenNTPD%29 OpenNTPD.org http://www.openntpd.org/ Wikipedia OpenNTPD Article http://en.wikipedia.org/wiki/OpenNTPD
Como faz-lo...
1. V a Services | Wake on LAN 2. Em Interface, selecione a interface onde esto os dispositivos que voc deseja acordar. 3. Em MAC address digite o endereo MAC do dispositivo
148
4. Clique em Send
H mais...
1. 2. 3. 4. 5. Voc pode armazenar o endereo MAC de todas as maquinas de sua rede: V Services | Wake on LAN Clique no boto + para adicionar um endereo de MAC para usar o servio WOL. Em Interface selecione a interface onde est ligado o dispositivo Em MAC address digite o endereo MAC do computador ou dispositivo Em Description digite uma descrio para o dispositivo
149
6. Clique em Save
7. Clique no MAC address do dispositivo que voc quer mandar o pacote magico
Em vez de acordar cada cliente um por um, voc pode acordar todos de uma s vez, basta clicar no boto Wake all clients
Veja tambm...
Documentao do PfSense Wake-on-LAN http://doc.pfsense.org/index.php/Wake_on_LAN Artigo no Wikipedia Wake-on-LAN http://en.wikipedia.org/wiki/Wake-on-LAN
Se preparando...
Para ligar uma maquina Windows em um servidor de syslog centralizado, d uma olhada no Servidor de Kiwi Syslog e log viewer
Como faz-lo...
1. 2. 3. 4. 5. V Status | System Logs Clique na aba Settings. Marque Enable syslog'ing to remote syslog server Em remote syslog servers voc pode digitar at trs servidores de log remoto Marque Everything para gravar todas as mensagens, ou marque apenas o que lhe interessar.
6. Clique em Save
H mais...
Se voc no configurar um servidor de log externo, voc tem as seguintes opes de registro interno disponveis no PfSense: Mostrar logs de entrada em ordem inversa ( as mais recentes ficam no topo) Numero de entrada de logs Log de pacotes bloqueados na regra padro Mostra logs de filtros Desabilita a gravao de arquivos de log do disco para memoria RAM
152
Veja tambm...
Documentao de Configurao de Log no PfSense http://doc.pfsense.org/index.php/Log_Settings Artigo no Wikipdia sobre Syslog http://en.wikipedia.org/wiki/Syslog Kiwi Syslog Server and Log Viewer http://www.kiwisyslog.com/
Usando o ping
O PfSense habilita o servio de ping que esta incluso em quase todos os sistemas operacionais. Isso pode ser til para os administradores fazerem teste de ping do PfSense para outra maquina qualquer a partir de qualquer interface especificada. Aqui vamos descrever como configurar o servio de ping do PfSense.
Como faz-lo...
1. 2. 3. 4. V em Diagnostics | Ping Em Host digite o endereo de IP ou o host do qual voc quer fazer o teste Em Interface selecione a interface da qual o host ou o endereo de IP esta ligado Em count selecione a quantidade de pacotes que voc quer fazer o teste
153
Veja tambm...
Documentao do PfSense sobre Ping e Host http://doc.pfsense.org/index.php/Ping_Host Artigo no Wikipdia sobre Ping http://en.wikipedia.org/wiki/Ping
Usando traceroute
O PfSense usa o servio de traceroute incluso em quase todos os sistemas operacionais. Isso pode ser til para administradores que queiram realizar um traceroute ad-hoc 154
Como faz-lo...
1. V Diagnostics | Traceroute 2. Em host digite o IP ou o host que voc deseja traar a rota 3. Em Maximum number of hops voc pode especificar a quantidade de saltos que o traceroute pode fazer 4. Voc pode marcar o Use ICMP se quiser
155
Veja tambm...
Documentao do PfSense sobre Traceroute http://doc.pfsense.org/index.php/Traceroute Artigo no Wikipdia sobre o Traceroute http://en.wikipedia.org/wiki/Traceroute
156
Se preparando...
Os arquivos de configurao do PfSense so armazenados em um formato de texto simples XML por padro. Mas tambm tem a opo de ser criptografado.
Como faz-lo...
1. V Diagnostics | Backup/Restore 2. Clique na aba Backup/Restore 3. Em Backup rea selecione All. Para obter o backup de toda a lista de opes, se voc quiser fazer backup de algumas opes somente, confira a baixo a lista de reas de backup. 4. Deixe Do not backup package information desmarcado, se voc marcar no ser salvo a lista de pacotes instalados no seu PfSense. 5. Deixe Do not backup RRD data marcado, se voc deixar desmarcado vai ser salvo todo o histrico de trfego feito pelo PfSense, e com isso o arquivo vai ficar muito grande, e no o caso.
6. Clique em Download configuration. 7. Selecione o local que voc vai querer salvar.
157
H mais...
Algumas senhas configuradas no PfSense vo aparecer no arquivo em texto puro! Se isso pode ser uma preocupao ento na hora que voc for fazer o backup, deixe marcada a opo Encrypt this configuration file, e ento digite uma senha em Password.
reas de backup
Na verso atual do PfSense 2.0 que o livro foi lanado, as seguintes reas para backup esto disponveis: ALL Aliases DNS Forwarder DHCP Server Firewall Rules Interface IPSec NAT Package Manager PPTP Server Scheduled Tasks Syslog System System Tunables 158
SNMP Server
Veja tambm...
Documentao sobre configurao no PfSense sobre Backup/Restore http://doc.pfsense.org/index.php/Configuration_Backup_and_Resto re
Se preparando...
Restaurao de arquivos de configurao uma parte essencial na administrao de um PfSense. Os arquivos de configurao so armazenados em um formato de texto simples XML padro, mas tambm pode ser criptografado se for marcado no instante que for feito do backup.
Como faz-lo...
1. V a Diagnostics | Backup/Restore 2. Clique na aba Backup/Restore 3. Em Restore rea selecione All. Para obter a restaurao de toda a lista de opes, se voc quiser fazer a restaurao de algumas opes somente, confira a baixo a lista de reas de restaurao.
159
H mais...
Se o arquivo de configurao foi criptografado na hora do backup, no esquea de deixar marcada a opo Configuration file is encrypted, e digite a senha que foi digitada na hora do backup em Password
reas de restaurao
Na verso atual do PfSense 2.0 que o livro foi lanado, as seguintes reas para restaurao esto disponveis: ALL Aliases Captive Portal Captive Portal Vouchers DNS Forwarder DHCP Server Firewall Rules Interface IPSec NAT OpenVPN Package Manager PPTP Server Scheduled Tasks Static Routes Syslog System System Tunables 160
Veja tambm...
Documentao sobre configurao no PfSense sobre Backup/Restore http://doc.pfsense.org/index.php/Configuration_Backup_and_Resto re
Se preparando...
Os usurios com uma assinatura de suporte PfSense pode configurar um backup automatizado para servidores PfSense externo usando suas credenciais de login no portal.pfsense.org. Atualmente somente assinantes pagos podem ter suporte a esse recurso.
Como faz-lo...
1. 2. 3. 4. 5. 6. 7. V a Diagnostics | AutoConfigBackup Clique na aba Settings Digite seu nome de usurio em Subscription Username Digite sua senha em Subscription Password Confirme sua senha em Subscription Password Digite sua senha criptografada em Encryption Password Confirme sua senha criptografada Encryption Password
161
8. Clique em Save
Veja tambm...
Documentao do PfSense sobre automatizao de Configurao de Backup http://doc.pfsense.org/index.php/AutoConfigBackup PfSense Portal Premium https://portal.pfsense.org/
Se preparando...
Temos que fazer o backup do PfSense antes de comear a atualizao.
Como faz-lo...
1. V a System | Firmware 2. Clique na aba Auto Update 162
6. No primeiro login aps o sistema ter reiniciado, vamos ser redirecionado para a pgina Package Manager. 163
H mais...
O PfSense tambm permite a atualizao do firmware manual, que vamos descrever mais a baixo: 1. Fazer o download da verso mais recente em http://pfsense.org/
164
4. Clique no boto Enable firmware upload 5. Clique em Browse para selecionar o local onde se encontra o arquivo baixado
165
Atualizao em andamento
Qualquer tentativa de acessar qualquer opo na hora que o sistema est sendo atualizado voc ser redirecionado para uma pagina igual que vamos mostrar logo a baixo:
Quando uma nova verso do PfSense fica disponvel, uma notificao chamada Update available vai aparecer na tela Status Dashboard na pagina inicial do PfSense.
Veja tambm...
Fazer backup do arquivo de configurao Documentao do PfSense sobre atualizao do Firmware http://doc.pfsense.org/index.php/Firmware_Updates
167
A
Monitoramento e Registros
Nesse capitulo, iremos abordar: Personalizar a tela de Status Dashboard Monitoramento de trfego em tempo real Configurando SMTP de e-mail de notificao Vendo os logs do sistema Configurando um servidor de syslog externo Visualizaes de grficos RRD Visualizaes de mapeamentos DHCP Monitoramento de filtro de pacotes com PfInfo Monitoramento de trfego com PfTop Monitoramento da atividade do sistema
Introduo
Uma vez que o PfSense esta instalado e funcionando, importante compreender a maneira correta de monitoramento do sistema. Aprender a usar o monitor de Status e ferramentas de medio construdas pelo prprio PfSense vai tornar a vida de um administrador muito mais fcil. Vamos descrever a seguir como monitorar e visualizar a maioria dos recursos disponveis dentro do PfSense.
Como faz-lo...
1. V Status | Dashboard 2. Clique no boto + para adicionar um novo widget
168
4. Clique no boto minimizar para recolher o wiget, ou clique no boto fechar para remover o widget da tela. 5. Voc pode clicar no titulo do widget e arrastar para mudar sua posio na tela
169
H mais...
Muito dos widgets disponveis no painel de status tem um item correspondente a ele no menu Status
Como faz-lo...
1. V a Status | Traffic Graph 2. Em Interface selecione a interface que voc deseja monitorar
170
Seu navegador deve suportar grficos SVG, eu recomendo o Mozilla Firefox que j vem instalado de padro no navegador, mas se voc preferir usar outro navegador voc deve instalar o Adobe SVG Viewer.
Veja tambm...
Documentao sobre Traffic Graph no PfSense http://doc.pfsense.org/index.php/Traffic_Graph Adobe SVG Viewer http://www.adobe.com/svg/viewer/install/
Se preparando...
Enviar e-mails do PfSense requer acesso a um servidor SMTP
Como faz-lo...
1. V System | Advanced 2. Clique na aba Notifications 3. Digite o IP ou o host do servidor de SMTP em IP Address of the E-Mail server 171
4. 5. 6. 7.
Digite a porta que o servidor de SMTP usa em SMTP Port of the E-Mail server Digite o e-mail que voc esta usando como remetente em From e-Mail address Digite o e-mail que voc quer mandar as notificaes em Notification E-Mail address Digite o nome de usurio que voc usa para logar no e-mail de remetente em Notification E-Mail auth username 8. Digite a senha que voc usa para logar no usurio digita a cima em Notification E-Mail auth password
H mais...
Uma vez que nossas configuraes so salvas, um teste de e-mail enviado automaticamente. Se voc no receber o teste de e-mail, verifique os logs do sistema para maiores informaes. V Status | System Logs | na aba System procure por algo relacionado a e-mails.
172
Como faz-lo...
1. 2. 3. 4. 5. V Status | System logs Clique na aba Settings Deixe marcado Show log entries in reverse order (newest entries on top). Clique em Save Clique na aba DHCP por exemplo para visualizar eventos mais recentes do DHCP
H mais...
As informaes de log so coletadas e exibidas para os seguintes servios: System Firewall DHCP 173
Se o registro dos logs feito em um servidor de log externo, no haver nenhum dado nessa pgina.
174
Veja tambm...
Configurando um servidor de syslog externo Configurando um servidor de syslog externo 175
Se preparando...
Para configurar o PfSense pra usar um servidor de registro de log externo, ns vamos precisar de um servidor separado para fazer o registro dos logs. Aqui vamos descrever como configurar um syslog em cada um dos principais sistemas operacionais.
Como faz-lo...
1. 2. 3. 4. 5. V Status | System Logs Clique na aba Settings marque a opo Enable syslog'ing to remote syslog server Digite o IP do seu servidor externo Marque os tipos de eventos que devem ser gerados no servidor externo
Como faz-lo...
1. V Status | RRD Graphs 2. Clique na aba System 3. Voc pode selecionar o Grafs, Style e Period de acordo com o tipo de dados que voc quer exibir
177
System
Na aba System exibe informaes de hardware como: Throughput States Process Memory All
Traffic
Na aba Traffic exibe informaes sobre a rede de transferncia para cada uma das interfaces do sistema. Outbound WAN LAN Optional Interface(s) OpenVPN IPSec 178
All
Packets
Na aba Packets exibe informaes de pacotes de transferncia para cada umas das interfaces Outbound WAN LAN Optional Interface(s) OpenVPN IPSec All
179
Quality
Na aba Quality rene e exibe informaes de perda de pacotes para cada uma das interfaces do sistema Outbound WAN Gateway(s) All
180
VPN
Na aba VPN vai exibir as informaes de transferncia VPN OpenVPN IPSec PPTP All
181
Personalizado
Escolha qualquer grfico anterior para editar cada etapa
182
Como faz-lo...
1. V Status | DHCP Leases
2. Por padro s aparecem mapeamentos, ativos e estticos, para ver os mapeamentos expirados, clique no boto Show all configured leases
183
Gerenciando os servios
Aqui vamos descrever como gerenciar os servios em execuo no PfSense.
184
1. V Status | Services
185
Como faz-lo...
1. V Diagnostics | PfInfo
186
Como faz-lo...
Administradores de sistema podem usar o utilitrio PfTop para monitorar o trfego em tempo real da banda em uso. Os dados apresentados por esse utilitrio podem ser apresentados por qualquer um dos seguintes critrios: Bytes Age Destination Destination Port Expiration None 187
Veja tambm...
Documentao sobre Monitoramento de banda http://doc.pfsense.org/index.php/How_can_I_monitor_bandwidth_ usage%3F#pftop
Como faz-lo...
1. V Diagnostics | System Activity
Carga mdia Uptime Estatsticas de Processador Estatsticas de Memoria Estatsticas de uso do SWAP
189
B
Determinar os Requisitos de Hardware
Neste capitulo vamos bordar os seguintes tpicos: Determinando o cenrio de implantao Determinando os requisitos de rendimento Determinando os requisitos das interfaces Escolher o tipo de instalao Melhor forma de uso
Introduo
Se o nosso cenrio uma rede domestica de dois computadores ou um centro de dados corporativos com centenas de maquinas, essencial sabermos primeiro determinar exatamente a funo do nosso firewall. A versatilidade do PfSense ns apresenta uma grande variedade de opes de configurao, o PfSense vai ser instalado em um novo computador, mas como vamos ver, o PfSense oferece inmeras outras alternativas para atender as necessidades de qualquer ambiente de segurana.
Se preparando...
Aqui vamos descrever como entender o uso do diagrama para saber como o PfSense se encaixa em nosso ambiente. Como exemplo vamos usar o meu diagrama de rede que fao em casa. Esse diagrama um bom exemplo tpico de um escritrio pequeno (tirando os consoles de vdeo game) 190
Como faz-lo...
1. Vamos analisar nosso diagrama de rede
2. Neste cenrio de um pequeno escritrio, o firewall que temos no diagrama se encaixa perfeitamente. Esse o mais comum de todas as implantaes do PfSense.
191
Bloquear todos da DMZ para LAN: Nossa DMZ insegura, j que estamos permitindo que os usurios externos possam acessar o servidor web. Ento temos que bloquear todo o trfego que tentar acessar a nossa LAN pela DMZ. O PfSense tambm emprega muitas caractersticas de firewall avanadas, para acomodar as necessidades de redes mais complexas. O PfSense capaz de: Suporta dezenas de interfaces, se necessrio. Pode lidar com varias conexes mltipla de internet, no caso de uma ligao de internet primaria falhar. Failover de proteo, no caso se o firewall principal falhar Balanceamento de carga, para otimizar o trfego de rede.
H mais...
O PfSense altamente flexvel e pode ser tambm configurado como qualquer um dos seguinte dispositivos. importante notar que esses papeis so simplesmente servios que vamos usar na nossa implantao de firewall, mas em ambientes maiores pode ter a necessidade de fazer mais de um servidor para melhorar o desempenho. Roteador: Este a segunda implantao do PfSense mais comum. Um roteador determina o destino de um pacote e envia para o seu caminho, sem aplicar quaisquer regras de fierewall. Aplicao VPN: Um servidor VPN fornece conexes criptografadas de rede remota. O PfSense suporta todos os principais tipos de protocolos de rede virtual privada, como IPSec, PPTP, OpenVPN e L2TP. Aplicao DHCP: Um servidor DHCP atribui endereos de IP a clientes que solicitem. Aplicao DNS: Um servidor DNS associa o endereo ao nome de IP. muito mais fcil lembrar www.google.com do que 173.194.33.104 Aplicao VoIP: a telefonia digital, possvel fazer isso no PfSense usando o pacote FreeSWITCH. Aplicao de SNIFFER: Sniffers analisa os pacotes para o padro. Isso muitas vezes para detectar e impedir o trfego que tenta explorar vulnerabilidades conhecidas. O PfSense utiliza o pacote mais amplamente implantado sniffer na existncia, o Snort. Wireless Access Point: O PfSense pode ser implantado como um servidor access point de acesso wireless. O PfSense pode ser configurado como muito mais outros dispositivos de servidor, sendo implantado como uma aplicao de propsito especifico, s limitado pelo numero de pacotes suportados pela plataforma. Para mais informaes, leia a documentao do PfSense online: Implementaes comuns http://www.pfsense.org/index.php?option=com_content&ta sk=view&id=71&Itemid=81
192
Se preparando...
Vamos ter que preparar nossas necessidades, reunindo as seguintes informaes: A velocidade de conexo com a internet A velocidade de hardware de rede. Ver se a rede vai ser capaz de transferir 10, 100 ou 1000 Mbps. Qual velocidade de conexo liberado para cada usurio
Como faz-lo...
1. Vamos ver as diretrizes gerais de rendimento (disponvel em http://pfsense.com em Hardware | Seleo e dimensionamento) A taxa de transferncia do Poder de processamento Hardware do servidor PCI-e Firewall 10-20 Mbps 266-MHz CPU No 21-50 Mbps 500-MHz CPU No 51-200 Mbps 1-GHz CPU No 201-500 Mbps 2-GHz CPU Recomendado 501+ Mbps 3-GHz CPU Recomendado A tabela a seguir mostra os requisitos mnimos para determinados recursos opcionais: Caractersticas VPN Recursos adicionais Na transferncia criptografada o CPU fica com 20% do seu rendimento a menos, se voc tiver um processador com recursos baixos voc vai precisar de uma placa s para esse servio. Ambientes com um numero grande de usurios como mais que 100, voc vai precisar de uma placa com processamento maior j que a taxa de transferncia maior. O tamanho padro de entradas de tabela so 10.000, ocupando 10MB de RAM. Em grandes ambientes com centenas de milhares de entradas de tabela ser necessria uma quantidade de memoria RAM maior. um pacote usado para guardar e gerenciar cache de web, que requer um uso intensivo do HD e uma grande quantidade de armazenamento. No recomendado em uso embutido, j que usado um carto compacto e no tem muito espao. um pacote de deteco de intruso de sniffer requer no mnimo 512MB de RAM s para esse servio. um pacote de ferramentas de trfego de rede. Ser necessrio no mnimo 512MB de 193
RAM. 2. Agora, vamos determinar nossas prprias exigncias. Nossa empresa de mdio porte, tendo 100 usurios em media. Na nossa infraestrutura tem cabo CAT5 e um switch de 100Mbps. A maioria do nosso trfego em navegao web, e-mails e compartilhamento de arquivos pequenos. Nossa conexo de internet de 100Mbps, a nossa maior preocupao ser capaz de usar 100% do link. Queremos proporcionar um acesso VPN para acessarem de qualquer lugar, para no ter problemas na hora de conexo, para auxiliar ns usamos o Pacote Ntop para no ter problemas futuros e poder ter confiana em uma transferncia VPN. Por ltimo levando em considerao o dinheiro economizado por estar usando o PfSense que um sistema de cdigo aberto, vamos ter um computador adicional para servir como Failover. 3. Aqui vamos identificar nossas necessidades: Uma placa de rede de 1Gbps (incluindo cabos e switches) Rendimento da taxa de transferncia eh de 100Mbps A taxa de transferncia encriptada (VPN) de 20Mbps 1-GHz CPU, 1-GB RAM. A segunda maquina tem que ser idntica para ser usada como Failover.
H mais...
importante lembrar que certos recursos de firewall tem seu prprio recurso de hardware. Por exemplo, as conexes VPN exigem um processamento adicional e o pacote de web Squid no adequado para uma instalao embutida em disco compacto.
Se preparando...
Aqui vamos descrever uma analise do nosso diagrama de rede para entender como as interfaces da nossa rede vo funcionar. Como exemplo, vamos usar o diagrama de rede de casa, que basicamente usado em um pequeno escritrio.
Como faz-lo...
1. Vamos analisar o nosso diagrama de rede:
2. Podemos ver que nosso ambiente composto por 4 interfaces separadas: WAN (Wide Area Network): A internet LAN (Local Area Network): A rede interna primria DMZ (Zona Desmilitarizada): a nossa rede interna que permite o acesso externo ao servidor web, servidores de e-mail, e qualquer outro dispositivo liga a essa interface. WiFi (Para visitantes poderem acessar wireless): Ns criamos essa rede para aceitar novos acessos de convidados. Eles podem se conectar com senha ou no e navegar na web. Vamos considerar essa interface insegura j que qualquer pessoa vai poder se conectar, ento vamos definir regras para quem se conectar nessa interface no possa se comunicar com outras interfaces. evidente que nosso firewall tem quatro placas de rede.
195
Em uma opo alternativa o diagrama a cima poderia ser feito com duas interfaces (WAN e LAN) e duas VLANs (DMZ e WiFi).
H mais...
Tipicamente, uma placa de rede ter uma nica porta Ethernet. No entanto algumas placas de rede podem ter duas, quatro ou at mais portas em uma nica placa de rede. No firewall do nosso cenrio a cima pode funcionar tanto com quatro placas de rede com uma entrada Ethernet cada uma, ou uma placa de rede com quatro entradas Ethernet, nas duas alternativas funcionaria da mesma forma. Placa de rede com uma entrada Ethernet Placa de rede com quatro entradas Ethernet
196
Se preparando...
Cada recurso padro usado em uma plataforma de instalao pode ser usado em outra, mas certos pacotes no. O Squid por exemplo tem que ser instalado em uma instalao normal feita no prprio HD.
Como faz-lo...
1. Vamos rever os pacotes que decidimos instalar: Pacote NTop: uma ferramenta de analise de trfego. Ele requer um mnimo 512MB de RAM, mas no tem restrio quanto ao tipo de armazenamento. 2. Com base nessas informaes vamos fazer a instalao do PfSense em uma plataforma imbutida
H mais...
A forma de instalao do PfSense no HD feita atravs do CD. Mas se voc quiser apenas usar o PfSense sem precisar instalar voc tambm pode com o mesmo CD, dando boot por ele. Voc pode at salvar suas configuraes em um pendrive.
Se preparando...
mais fcil saber a melhor forma de uso do PfSense , se todos os pr-requisitos j foram obedecidos: Cenrio de implantao Requisitos de taxa de transferncia Requisitos de interfaces A plataforma de instalao 197
Como faz-lo...
Avaliando os diferentes tipos de uso do PfSense: 1. Uso pequeno: energia restrita, silencioso, um pequeno rendimento de impresso. 2. rea de trabalho: o hardware de um computador normal. Facilmente atualizvel de uso padro do PfSense. 3. Servidor: em ambientes maiores podem requerer um computador mais robusto do tipo Servidor. Considerando a necessidade da exigncia de um hardware especial. No nosso caso, precisamos de um rendimento moderado se no precisar usar pacotes que exigem hardware especial. Para ser usado em um baixo consumo de energia e em uma operao silenciosa para o nosso pequeno escritrio ento vamos usar uma forma de uso mais pequena.
H mais...
No h nada que impea do PfSense ser instalado em um notebook! O maior obstculo sem duvida seria no poder adicionar placas de rede, mas uma alternativa seria adicionar dispositivos USB com sada Ethernet. Assim como todos os projetos de cdigo aberto, ter primeiro que ver a compatibilidade do dispositivo antes de instalar o novo hardware.
Algumas pessoas realmente tiram um maior proveito do sistema usando em um pendrive. Testar uma nova verso do PfSense ou ento restaurar um backup, podendo somente trocar o carto de memoria. Mas na maioria dos desktops no vem com um leitor de carto, mas existem varias outros dispositivos semelhantes que podem ajudar:
199
200