PfSense 2.x - Leonardo Damasceno

http://www.aiyonetwork.
com
www.centralit.com
http://www.aiyonetwork.com
Sumrio
1. Introduo 1.1 Segurana 1.2 pfSense 2. Instalao 2.1 Plataformas !i"e#$% &ull Install% 'm(edded) 2.2 *e+uisitos 2., Processo de instalao ,. -n.lise inicial /. #onfigurao inicial we() /.1 Setup 0i1ard 2. *econhecimento dos menus 2.1 $etalhamento dos menus 3. Interfaces de rede 3.1 -dicionar uma interface 3.2 'ditar uma interface 3., *emo"er uma interface 3./ #onfigurao da interface !-4 3.2 #onfigurao da interface 0-4 5. *egras de acesso e (lo+ueio 5.1 #riao de regra 5.2 'ditar% mo"er e desa(ilitar regras 6. -liases 6.1 6.2 6., #riar -liase 'ditar -liase *emo"er -liase
7. 4etwork -ddress 8ranslator 4-8) no pfSense 7.1 9tili1ao do 4-8 no pfSense 7.2 *edirecionamento de portas Port &orward)
2
7., 7./
#riao de 4-8 1:1 4-8 :ut(ound
1;. IP <irtual 1;.1 #onfigurao 11. Ser"ios 11.1 11.2 11., 11./ 11.2 11.3 11.5 11.6 12. <P4 12.1 12.2 12., 12./ 1,. @oS 1,.1 Pacotes Portal #apti"e $=#P Ser"er $4S &orwarder !oad >alance &ail:"er Pro?y Ser"er Snort #onceito PP8P :pen<P4 IPSec 8raffic Shaper
1/. Aonitoramento 1/.1 !ink 1/.2 Interfaces 1/., pf8op 1/./ Ping 1/.2 8raceroute 12. >ackup/*estore 12.1 >ackup 12.2 *estore
Crditos
Autor: !eonardo $amasceno Correo: !eonardo $amasceno Arte: Busta"o >rando
Contato: damasceno.lnx@gmail.com / leonardo.damasceno@centralit.me Website: www.centralit.me
1. Introduo
- utili1ao de um firewall em uma rede de computadores possui o o(Ceti"o (.sico de proteo relacionado a entrada e saDda de dados. -o iniciar uma auditoria ou um (re"e le"antamento de dados relacionados a integridade e segurana destes% de"eEse pensar em uma alternati"a para a seguran dos ati"os en"ol"idos em uma empresa ou em +ual+uer am(iente organi1acional.
1.1 Segurana
:s fatores (.sicos para a a+uisio de um firewall independente de +ual seCa% so representados pela proteo da rede local relacionado a parte lFgica com o tr.fego de dados. Auitos estudiosos di1em +ue uma rede segura G uma rede de computadores sem usu.rios. Beralmente% os usu.rios aCudam a a(rir (rechas +ue atG ento no e?istem% e isso G feito de ".rias formas% como acessando eEmail com "Drus% onde este a(rir. uma porta no computador do usu.rio em +uesto. '?istem ".rias falhas em softwares% +ue podem comprometer a rede de computadores como um todo% para isso ".rias com(inaHes de segurana podem ser feitas% como a adio de um firewall Cunto a um sniffer de rede% onde a rede de computadores estar. protegida com regras prGEdefinidas e com um fareCamento com ao de (lo+ueio para ameaas detectadas. 'stas no so as Inicas formas de manter o foco da segurana em um am(iente% pois ".rios cases de sucesso possuem apenas um simples firewall Simples no nome% e poderoso na configurao)% onde +uem far. o isolamento cada "e1 mais forte entre a rede local e a internet ser. o prFprio administrador da rede% definindo as polDticas e regras necess.rias para manter o am(iente. J impossD"el manter 1;;K #em por cento) de disponi(ilidade para +ual+uer sistema ou hardware% mas o +ue de"eEse pensar G +ue podeEse chegar perto disso% e +uando maior o potencial da rede de computadores maior a preocupao% ento a disponi(ilidade da mesma necessita de uma ateno com a segurana da informao tornando a integridade dos dados um fato.
1.2 pfSense : pfSense G um firewall e roteador utili1ado para a restrio e li(erao de dados na entrada e saDda de uma rede de computadores. 'ste G um frontEend para o pf Packet &ilter)% firewall padro de sistemas operacionals da famDlia >S$. : proCeto pfSense te"e seu inDcio em 2;;/ $ois mil e +uatro) como um fork do proCeto m;n;wall% porGm mais focado em instalaHes feitas em P# Personal #omputer). -o longo destes anos% o pfSense "em ganhando conhecimento do pI(lico da .rea e atualmente encontraEse na "erso 2.?.
http://www.aiyonetwork.com 'ste firewall G e?ecutado so(re o sistema operacional &ree>S$% e possui uma interface we( +ue torna o gerenciamento deste simples.
2. Instalao
2.1 Plataformas (Li eC!" #ull Install" $m%edded& Li e C! - "erso !i"e #$% d. a opo para +ue "ocL utili1ar o #$ no (oot% de modo +ue "ocL "ai acessar% configurare utili1ar o P&Sense% sem ter a necessidade de instalar o sistema em seu =$ ou #arto de memFria. Isso G Itil% principalmente para iniciantes +ue +uerem migrar de firewall% pois eles podem conhecer melhor o sistema antes de instalar. : #$ no G utili1ado apFs o (oot completo% porGm no G recomendado +ue "ocL tire o #$ en+uanto o sistema esti"er funcionando. #ull Install @uando o !i"e #$ G utili1ado% e?iste uma opo para +ue o sistema seCa instalado% essa opo G conhecida como M&ull InstallN. -pFs escolher essa opo% todo o seu =$ ser. so(rescrito% portanto se "ocL deseCa instalar o P&Sense em um =$ ou #arto de memFria% "erifi+ue antes se o mesmo encontraEse "a1io% ou com dados importantes. -tG hoCe% no G suportada a instalao de outro sistema operacional no mesmo dispositi"o em +ue o P&Sense esteCa% pois% $ual >oot no G suportado. $m%edded J recomendado a instalao em(edded para cartHes de memFria% e outros dispositi"os flash. 'sse tipo de instalao foi otimi1ada para e?ecutar o mDnimo de escrita para o disco. <ocL pode instalar essa "erso tanto no Aicrosoft 0indows +uanto no Bnu/!inu?. 8am(Gm tem a possi(ilidade de instalar no prFprio &ree>S$ ou em +ual+uer deri"ado do 9ni?. 2.2 'e(uisitos :s re+uisitos mDnimos de hardware para instalao do pfSense% so: #P9 E 1;; A=1 Pentium *-A E 126 A> *e+uisitos mDnimos para cada tipo de instalao:
Li e C! 9nidade de #$E*:A 9nidade flash 9S> ou unidade de dis+uete para arma1enar o ar+ui"o de configurao
3
Instalao em )! #$E*:A para a instalao inicial 1 B> =$
$m%edded 126 A> #arto &lash Porta serial para o console
O. na +uesto de compati(ilidade de hardware% o P&Sense suporta +ual+uer hardware +ue G suportado pela "erso do &ree>S$ em uso. -r+uiteturas como PowerP#% AIPS% -*A% SP-*# no so suportadas atG o momento. -tualmente% o P&Sense tra(alha com "ersHes de ,2 (its% porGm na "erso 2.;% ser. suportado 3/ (its. 2.* Pro+esso de instalao -o inserir o #$ de instalao do pfSense% a tela a(ai?o ser. "isuali1ada dando inDcio ao carregamento do #$ !oader:
-o aguardar alguns segundos para o carregamento do #$% a tela a(ai?o ser. "isuali1ada:
Por default a opo 1 9m) ser. utili1ada se nenhuma outra for escolhida durante os 1; de1) segundos de pra1o. #aso seCa teclado 1 9m) tam(Gm ser. carregada a opo default. '?istem outras opHes como por e?emplo% G possD"el carregar o pfSense sem o suporte -#PI% ou inici.Elo em modo seguro Safe Aode). -o carregar as pontuaHes da opo escolhida na imagem acima% ser. perguntado se G deseCada a instalao do pfSense ou a utili1ao dele atra"Gs do prFprio #$ sem necessidade de reali1ar nenhuma instalao:
4esta parte% e?istem trLs possi(ilidades de escolha: ' #om essa opo G possD"el entrar no modo de recuperao. I 9tili1ando essa opo geralmente a mais utili1ada) o sistema ser. instalado no =.$ e?istente no computador ou outro dispositi"o escolhido. C 'ssa opo G utili1ada para continuar no modo !i"e #$% ou seCa% o sistema no ser. instalado% continuar. e?ecutando a partir do #$.
9ma alternati"a a opo C G simplesmente dei?ar o tempo aca(ar de espera% ento o #$ continuar. a e?ecutar sem instalar nada. Se a opo I for escolhida% a tela a seguir ser. e?i(ida para iniciar a instalao do pfSense:
Por padro% o pfSense dei?a uma configurao (.sica e funcional +ue em +uase todos os casos o usu.rio +ue est. instalando o sistema no necessita alterar nada. 'nto% ao iniciar a instalao% escolha a opo A++ept t,ese Settings. - prF?ima tela refereEse ao tipo de instalao% +ue pode ser customi1ada ou padro Sendo essa f.cil e r.pida). 'sse tipo de instalao% f.cil e r.pida% G representada pela opo -ui+./$as0 Install como mostrado a(ai?o:
1;
9m a"iso G e?i(ido apFs a tela acima ser mostrada% e?plicando +ue todos os dados sero deletados do dispositi"o geralmente o =.$):
4este ponto% (asta escolher 12 para prosseguir com a instalao% desta forma o pfSense ser. instalado% e podeEse acompanhar o andamento como na imagem a(ai?o:
11
-ntes de finali1ar a instalao% G necess.rio especificar uma informao so(re o processador do computador em +uesto% pois G customi1ado a utili1ao do processamento por parte do pfSense% ento a tela a(ai?o ser. e?i(ida:
4a maioria dos casos% a primeira opo G escolhida S0mmetri+ multipro+essing .ernel (more t,an one pro+essor&% onde est. di1 +ue e?iste mais de um nIcleo para processar #omo em um #ore 2 $uo). Para finali1ar% G e?i(ida a tela onde G possD"el reali1ar o a
12
reiniciali1ao do computador% e C. comear a utili1ar o pfSense:
-o escolher a opo 'e%oot o computador ser. reiniciado% e o pfSense ser. carregado% mas antes G necess.rio "isuali1ar as informaHes para o primeiro acesso% +ue so e?i(idas na tela a(ai?o antes de reiniciar:
-o "isuali1ar a tela acima% as seguintes informaHes so ".lidas:
1,
IP de acesso : IP de acesso por padro G 172.136.1.1% ento antes de inserir o firewall na rede local% G recomendado "erificar se este IP no est. em uso para +ue no haCa nenhum conflito de rede. 9su.rio e senha : usu.rio para o acesso "ia we( G admin tendo a senha pfsense.
*. Anlise ini+ial
-o iniciar pela primeira "e1% G feita uma an.lise inicial pelo pfSense. So feitas algumas perguntas iniciais% como por e?emplo% +ual placa de rede do computador em +uesto ser. "oltada para a interface da rede local !-4) e +ual ser. "oltada para internet 0-4) e ainda e?iste a opo de utili1ar outras interfaces como 0-42% 0-4,% $AP e mais. 8am(Gm G feita a pergunta% se G deseC."el a utili1ao de <!-4% onde no G recomendada a utili1ao desta inicialmente. PodeEse "isuali1ar a +uesto das placas de rede a(ai?o:
4o caso e?i(ido acima% duas placas foram detectadas e reconhecidas como em3 e em1 com suas respecti"as descriHes de cada uma. !ogo% G feita a pergunta so(re a utili1ao de <!-4s% o +ue recomendaEse +ue seCa respondido n 4o). $epois de definir +uais placas de rede sero alocadas para cada interface inicial% G feita uma re"iso% em caso de erro (asta teclar n 4o) para "oltar e refa1er a configurao% ou teclar 0 Qes) para confirmar:
1/
$epois de confirmar% a tela inicial com todos os menus ser. e?i(ida:
12
'ssas opHes so descritas a(ai?o: !ogout SS= only) &a1 o logout% dei?ando o acesso li(erado "ia SS=. J importante frisar +ue apFs concluir os primeiros passos% "ocL no ter. o SS= ha(ilitado% G necess.rio acessar o P&Sense "ia we(% criar a configurao (.sica #om o Setup 0i1ard)% para ento li(erar o acesso atra"Gs de SS=. -ssign Interfaces 'ssa opo d. a possi(ilidade de configurar no"amente as interfaces !em(rando +ue elas foram configuradas ao longo da iniciali1ao do !i"e #$). Set interface s) IP address : P&Sense geralmente utili1a o IP 172.136.1.1 para a interface !-4% com a m.scara 2/ 222.222.222.;). PorGm% com essa opo G possD"el definir o ip e m.scara para !-4 e para a 0-4 : +ue no era possD"el em "ersHes anteriores para a interface 0-4% apenas "ia we()% para ento acessar "ia we( o endereo http://IP$'&I4I$: e efetuar a configurao (.sica. -teno para o final da configurao da !-4% onde G perguntado se deseCa configurar o $=#P para essa interface% +ue no momento G recomendado +ue "ocL responda no% utili1ando a tecla MnN. 'nto% ele ir. mostrar como acessar o firewall% com o endereo informado% como no formato citado acima. *eset we(#onfigurator password
13
#om essa opo o password para acesso R interface we( do P&Sense ser. resetado. : password padro G MpfsenseN% assim% se "ocL aca(ou de instalar o P&Sense% utili1e esse password para acessar% e usu.rio MadminN. -o final do Setup 0i1ard% G recomendado +ue "ocL modifi+ue o password como G pedido). *eset to factory defaults Para 1erar as configuraHes feitas atG o momento% (asta utili1ar essa opo. 8udo "oltar. para o ponto inicial% inclusi"e a senha de acesso. *e(oot system :po utili1ada para reiniciar o sistema 4a interface de gerenciamento "ia we(% "ocL tam(Gm tem essa opo) =alt system Para desligar o sistema% pode utili1ar essa opo #orrespondente ao comando ,alt do Bnu/!inu?) Ping host <ocL pode utili1ar o teste de ping. >asta colocar o ip% apFs escolher essa opo Shell 9tili1ando essa opo% "ocL tem acesso a linha de comando. Ser. mostrado o prompt% para +ue "ocL de fato acesse o sistema utili1ando comandos do &ree>S$. PorGm% "ale lem(rar de +ue o P&Sense G um &ree>S$ modificado% ento caso "ocL no consiga utili1ar um comando% pro"a"elmente G por+ue o comando foi retirado pela e+uipe do P&Sense P&top -+ui% "ocL pode ter a "isuali1ao em tempo real do estado do firewall% a +uantidade de dados en"iados e rece(idos e muito mais &ilter !ogs #om o filtro de logs% "ocL pode analisar o +ue acontece com o firewall 8am(Gm e?iste essa opo na interface we(% Status S System logs). 4esta opo G utili1ado o software tcpdump% conhecido de muitos administradores de redes% e (astante utili1ado no Bnu/!inu? *estart we(#onfigurator 'ssa opo "ai resetar toda a sua configurao% mas apenas da parte do gerenciador we( @ual+uer configurao feita no inDcio% como por e?emplo: #onfigurao do IP !-4)% A.scara. So as configuraHes +ue so feitas "ia terminal
15
pfSense $e"eloper Shell !inha de comando utili1ada para a linguagem P=P. J utili1ada por desen"ol"edores e usu.rios e?perientes. <ocL poder. e?ecutar cFdigos em P=P no conte?to do sistema +ue est. funcionando 9pgrade from console <ocL pode fa1er um update da "erso do seu P&Sense% (asta ter uma 9*! ou o ar+ui"o para atuali1ao 'na(le Secure Shell sshd) =a(ilita o acesso "ia SS= :("iamente% se ele foi ati"ado). <ale lem(rar% de +ue o P&Sense no utili1a o SS= ati"o como default. <ocL tem +ue acessar o menu System > Advanced para ati"ar a utili1ao do SS=
4. Configurao ini+ial (5e%&

$epois de reali1ar a configurao inicial o firewall estar. funcionando% porGm G recomendado +ue tam(Gm seCa feita a configurao "ia we(% +ue pode completar algo +ue tenha sido feito "ia modo te?to. Para acessar o pfsense% (asta digitar https://IP$:&I*'0-!! ento ser. apresentada a tela de login:
16
#omo e?plicdo anteriormente% o login pode ser efetuado com o usu.rio admin e senha pfsense% feito isso (asta clicar em Login. -o efetuar login% o painel inicial ser. e?i(ido% mostrando informaHes dos sistema% e seus menus. -lgumas das informaHes mostradas no painel inicial so: #pu% memFria e utili1ao de disco% status das interfaces de rede e outros. 4.1 Setup 6i7ard Para reali1ar o setup "ia we(% e?iste o su(menu Setup 6i7ard +ue locali1aEse no menu S0stem. 'ste su(menu ir. guiar o usu.rio a reali1ar a configurao (.sica% lem(rando +ue algumas opHes C. estaro preenchidas pois foram feitas no inDcio do pfSense. Para iniciar% (asta clicar em 8e9t apFs escolher o su(menu Setup 6i7ard% ento a primeira tela ser. e?i(ida:
17
-s seguintes opHes precisam ser preenchidas: )ostname $efina o nome para o seu firewall !omain $efina em +ual domDnio o firewall "ai estar Primar0 !8S e Se+ondar0 !8S Ser er $efina o $4S prim.rio e secund.rio. 4este caso% geralmente apenas o $4S prim.rio G preenchido% como em nosso caso
: campo Se+ondar0 !8S Ser er no necessita ser preenchido% porGm caso e?ista um $4S secund.rio podeEse utili1ar esse campo para especificar este. - prF?ima tela refeEse a configurao do ser"idor de tempo% definindo data e hora do pfSense:
2;
: campo :ime ser er ,ostname no precisa ser alterado% C. o campo :ime7one necessita de alterao para o local onde o ser"idor se encontra. #omo por e?emplo Ameri+a/;a+eio. $epois desta etapa% um dos passos mais importantes para o funcionamento do pfSense% +ue G a configurao da iterface 0-4 @ue foi definida +ual placa de rede seria a interface 0-4 na interface em modo te?to% alocando cada placa de rede para ser 0-4 e !-4). J necess.rio o entendimento so(re a interface 0-4 +ue G utili1ada para a saDda atG a internet de sua rede local% portanto configure o IP correto e m.scara correta. J necess.rio preencher dois campos% e selecionar um. J necess.ria a escolha% se a interface ser. $=#P% PPPo'% PP8P ou Static. 'nto% para isso precisaEse conhecer como tra(alha a internet +ue chega atG o firewall% +ue em nosso caso possui um IP fi?o% ento em Sele+ted:0pe escolheEse Static. '?iste uma grande +uantidade de campos% mas precisaE se escolher apenas o 8ipo da interface% o IP/A.scara e tam(Gm o gateway% +ue no e?emplo a(ai?o ficaram da seguinte forma: Selected8ype: Static IP -ddress: 2;;.167.2,/.65 A.scara: 26 Bateway: 2;;.167.2,/.22,
- imagem ilustra a configurao a+ui feita:
21
-o finali1ar a configurao e clicar em 8e9t% G possD"el configurar o IP da interface !-4 caso alguma modificao seCa necess.ria J ".lido lem(rar +ue esta opo tam(Gm pode ser modificada no modo te?to):
4o e?emplo acima% o IP 172.136.1.22/ foi utili1ado com a m.scara 2/ 222.222.222.;). 9m dos Iltimos passos G redefinir uma senha% pois a senha pfsense logicamente no G confi."el pois G a padro:
22
$epois de definir a senha e repetir% ao clicar em 8e9t% o Iltimo passo G clicar em 'eload para +ue as configuraHes seCam aplicadas. $epois disso% (asta agurdar 12; segundos ou simplesmente acessar o endereo "ia we( no"amente.
<. 'e+on,e+imento dos menus

Inicialmente% o reconhecimento dos menus se d. atra"Gs da primeira "isuali1ao% onde a (arra superior G e?i(ida com estes:
<.1 !etal,amento dos menus #om a "isuali1ao destes% G possD"el detalhar os menus da seguinte forma: System 9tili1ado para configuraHes relacionadas ao sistema #omo por e?emplo% SS=% nome% domDnio% =88PS% e outras possD"eis configuraHes do sistema). Interfaces J possD"el definir +uais placas de rede sero as interfaces de rede% e tam(Gm reali1ar a configurao destas% definindo IP% gateway e outras opHes. &irewall 'ste G o menu principal do pfSense% onde G possD"el definir +uais regras sero aplicadas% assim como a criao de conCunto de IPs% reali1ao de 4-8 'm trLs tipos)% controle de (anda e outros. Ser"ices 8odos os ser"ios so alocados neste menus% tais como $=#P% redirecionador de $4S e tam(Gm grande parte dos pacotes instalados posteriomente como S+uid% Snort e outros. <P4 -+ui so definidas como su(menus as <P4s suportadas pelo pfSense% como :pen<P4% PP8P e outros. Status 'ste menu G (astante importante% pois relata o status de ser"ios e do prFprio sistema. $iagnostics :s diagnFsticos do sistema% de rede e de ser"ios podem ser reali1ados atra"Gs deste menu% como a utili1ao do 8raceroute% >ackup e atG mesmo a "isuali1ao dos processos do sistema. =elp
2,
: menu de -Cuda pro"L uma "asta documentao so(re o sistema.
=. Interfa+es de rede
9ma placa de rede G reconhecida como uma interface de rede na maioria dos sistemas deri"ados do 9ni?. 4o Bnu/!inu? $eri"ado do Aini?)% uma placa de rede G considerada uma interface de rede% +ue G nomeada de ".rias formas% como eth;% wlan; e outros tipos. : pfSense considera uma placa de rede da mesma forma% sendo uma interface de rede% logo a nomenclatura da mesma depende do fa(ricante. : reconhecimento das placas de rede mais comuns% so detalhados a(ai?o: &a(ricante: *ealtek Aodelo: 6127/61,7 *econhecida como: rl '?emplo: 8rLs placas de rede adicionadas ao pfSense% so reconhecidas como: rl;% rl1% rl2. &a(ricante: Intel Aodelo: Pro/1;; *econhecida como: f?p '?emplo: 8rLs placas de rede adicionadas ao Pfsense% so reconhecidas como: f?p;% f?p1% f?p2. &a(ricante: Intel Aodelo: Pro/1;;; *econhecida como: em '?emplo: 8rLs placas de rede adicionadas ao Pfsense% so reconhecidas como: em;% em1% em2. &a(ricante: >roadcom Aodelo: <.rios *econhecida como: (ge '?emplo: 8rLs placas de rede adicionadas ao Pfsense% so reconhecidas como: (ge;% (ge1% (ge2.
=.1 Adi+ionar uma interfa+e -o adicionar uma placa de rede no computador onde o pfSense est. instalado% podeEse adicionar uma placa de rede de duas formas:
2/
4o modo te?to -o escolher a opo 1 9m)% as interfaces sero alocadas de acordo com sua escolha. - tela G igual a primeira imagem da an.lise inicial% porGm e?iste uma placa de rede a mais. 'nto% G feita a pergunta so(re a utili1ao de <!-4s% +ue como foi dito anteriomente% o indicado G responder +ue no% com a opo n. !ogo% as interfaces sero alocadas de acordo com as escolhas% como por e?emplo 0-4% !-4 e :P81. <ia we( 4o menu Interfa+es e?iste um su(menu chamado (assign&% onde G possD"el modificar as placas de rede de acordo com as interfaces% e tam(Gm G possD"el adicionar uma no"a interface se uma no"a placa de rede foi inserida atra"Gs do (oto
=.2 $ditar uma interfa+e Para editar uma interface% (asta ir ao mesmo menu citado anteriomente Interfa+es > (assign&) para ento% alocar +ual placa de rede ser. a 0-4% !-4 e assim por diante caso e?istam mais interfaces de rede.
=.* 'emo er uma interfa+e - remoo de uma interface G to f.cil +uanto adicionar uma% pois para reali1ar essa tarefa (asta clicar no (oto ao lado da interface deseCada Por e?emplo% :P81% :P82). =.4 Configurao da interfa+e LA8 'ssa interface G utili1ada para a rede local. 'm um caso pr.tico simples% a rede ficaria por tr.s dessa interface% assim% as regras de acesso para a rede e (lo+uei para a rede local seriam configuradas nessa interface. 4o caso da configurao desta% so poucas opHes% sendo assim% perce(eEse +ue no G necess.ria uma configurao comple?a (astando escolher o IP da !-4% a m.scara e depois confirmar% clicando em Sa e. -o finali1ar a configurao inicial do Setup 0i1ard% a imagem mais a(ai?o mostra como G e?i(ida a tela de configurao posterior% onde os campos mais importantes so preenchidos e e?plicados mais a(ai?o:
22
'na(le Se esta opo esti"er desmarcada% a interface no estar. em funcionamento. $escription $escrio da interface% +ue geralmente G definida como !-4 8ype 4a interface da rede local !-4)% geralmente G definida como Static% mas e?istem outras opHes% tais como $=#P% PPPo' e outras. IP address 'ste G o IP do firewall% onde este ser. o gateway dos demais computadores da rede local. -lGm disso% e?iste a opo ao lado +ue G utili1ada para a definio da m.scara de rede.
23
=.< Configurao da interfa+e 6A8 - interface 0-4 G utili1ada como saDda padro para a internet% logicamente esta tam(Gm pode ser utili1ada para uma determinada saDda atG outra rede. - configurao dela e?iste alguns campos +ue sero e?plicados mais a(ai?o de acordo com a imagem a seguir:
'na(le
25
Se esta opo esti"er desmarcada% a interface no estar. em funcionamento. $escription $escrio da interface% +ue geralmente G definida como !-4 8ype : tipo da interface depende do link de internet utili1ado. Se por algum moti"o um link com PPPo' seCa utili1ado% podeEse definir este tipo neste campo 8ype% onde ser. necess.rio especificar um usu.rio e senha para a cone?o. -lGm deste% e?istem outros tipos de cone?o como por $=#P. PorGm% a opo mais utili1ar G a Static% onde esta necessita da especificao do IP% m.scara de rede e o gateway respecti"o. IP address 'ste G o IP do firewall utili1ado pela interface 0-4. #aso seCa li(erado o acesso e?terno atra"Gs da internet% e uma regra li(ere este acesso% o IP utili1ado ser. o +ue est. sendo definido a+ui. -lGm do IP% G necess.rio definir a m.scara. Bateway 'ste ser. o respons."el direto por encaminhar +ual+uer re+uisio da !-4 para a internet. : gateway G definido na configurao inicial Setup 0i1ard)% pois se este no for definido a opo 4one 4enhum gateway) ser. a escolhida por default% e conse+uentemente no ir. reali1ar o encaminhamento para a internet das re+uisiHes internas. #aso necessite adicionar um gateway ou mais% podeEse utili1ar o menu S0stem > 'outing% onde a a(a ?ate5a0s lista% adiciona e remo"e os possD"eis gateways. Pri"ate 4etworks J recomendado no selecionar as opHes a(ai?o) >lock *&#1716 Pri"ate 4etworks 'sta opo adicionar uma regra na interface 0-4 para (lo+uear +ual+uer acesso com destino a 0-4 "indo de redes pri"adas registradas% como 172.136.?.? ou 1;.?.?.?. >lock (ogon 4etworks @uando essa opo G marcada% e?istir. um (lo+uei do tr.fego "indo de endereos IPs reser"ados Aas no da *&# 1716) ou ainda no definidos pela I-4- Internet -ssigned 4um(ers -uthority).
@. 'egras de a+esso e %lo(ueio -s regras so um meio de controle do +ue pode e no pode ser acessado relacionado a dados. PodeEse definir uma regra para cada caso% por e?emplo% se G necess.rio +ue a rede local no tenha acesso ao IP 2;;.2;;.165.2; apenas na porta 6;% (asta criar uma regra especDfica para isso. #om o pfSense G f.cil criar% editar e remo"er regras pois este fa1 uma listagem (.sica e clara% lFgico +ue isso ir. depender do administrador do firewall em +uesto. @uando se tem
26
".rias regras% G importante utili1ar o campo !es+ription% preenchendo com o te?to (em e?plicati"o da funcionalidade de cada regra. 'm resumo% podeEse pensar em regras de firewall e associar automaticamente R seguinte frase: MJ necess.rio definir o +ue pode e o +ue no pode ser acessado nesta rede de computadoresN. -o tratar diretamente com regras de acesso e (lo+ueio% o menu utili1ado G o #ire5all > 'ules% onde neste G possD"el "isuali1ar as regras e?istentes pelas interfaces% desta forma a "isuali1ao segmentada das regras se torna f.cil. 4este mesmo menu% G possD"el criar uma regra% editar ou atG mesmo e?cluir. -o acessar o menu citado acima% a tela a(ai?o e?i(e o conteIdo padro deste menu Se e?istem apenas a interface 0-4 e !-4):
Se as opHes ao final da p.gina de configurao da 0-4 >lock *&#1716 Pri"ate 4etworks e >lock (ogon networks) no foram desmarcadas% estas regras sero criadas. 4ote +ue estas regras so da interface 0-4% ou seCa o +ue ti"er origem da internet ou de onde a 0-4 esteCa. 4ote +ue e?iste uma diferena das outras "ersHes do pfsense para a 2.; <ersHes anteriores 1.2.2 e 1.2.,) so(re as a(as para utili1ao de regras. - a(a &loating foi criada com o o(Ceti"o de criar tipos especiais de regras% onde estas podem ser aplicadas em +ual+uer interface -penas uma interface% duas% trLs...) e tam(Gm em +ual+uer direo 'ntrada/SaDda) para configuraHes de filtros mais comple?os% porGm +uase nunca essa a(a ser. utili1ada. '?istem outras o(ser"aHes a serem feitas% como por e?emplo a +uesto dos sinais e dos (otHes.
27
4a tela das regras% G possD"el o(ser"ar ".rios sinais na (arra inferior com a e?plicao% e estes so aplicados na es+uerda das regras. '?iste o sinal de pass *egra feita para li(erar)% (lock *egra feita para (lo+uear)% reCect *egra feita para reCeitar)% log *egra feita com a inteno de arma1enar log so(re a utili1ao desta). @uando a respecti"a cor de cada sinal est. mais fraco do +ue o normal ao lado das regras% significa +ue elas esto desa(ilitadas. O. os (otHes ficam na direita% e estes so utili1ado para adicionar% mo"er% editar e remo"er uma regra.
@.1 Criao de regra -ntes de criar uma regra% G necess.rio entender como funciona o mGtodo de criao e a lFgica atra"Gs do pfsense. Por padro% o pfSense C. cria a saDda atra"Gs do 4-8 e uma regra para +ue a !-4 realmente consiga sair para +ual+uer local% inclusi"e para a internet. $e"eEse reali1ar um le"antamento de informaHes so(re a regra% como por e?emplo em sua funcionalidade de onde "em% para onde "ai% +uais so as portas% e +ual o gateway. 9m e?emplo (.sico de uma lFgica de regra% seria: Protocolo J necess.rio definir um protocolo para a regra% mesmo +ue esse protocolo seCa any 8odos os protocolos) :rigem - regra pretende li(erar o ser"idor de >ackup para en"iar cFpia destes para um local na internet% como forma de segurana. !ogo% a :rigem da regra ser. 172.136.1.1, IP do ser"idor de (ackup). Porta de origem -o en"iar a cFpia dos (ackups a porta utili1ada G a 22 <inte e dois)% onde neste e?emplo a cFpia est. sendo feita atra"Gs do software scp do Bnu/!inu?. $estino : ser"idor +ue rece(e as cFpias de >ackup encontraEse na internet com o IP 2;;.177.1/2.25% ento este IP ser. utili1ado como destino. Porta de destino - porta de destino ser. a mesma% mas G ".lido lem(rar +ue este ser"idor precisa aceitar cone?Hes nesta porta% logo% se e?istir um firewall no destino a porta 22 precisa estar li(erada para aceitar cone?Hes nesta. Bateway Beralmente o gateway utili1ado G o default% de saDda para a internet.
-o recolher essas informaHes% a lFgica comea a ser construDda% mas ento pode surgir a
,;
dI"ida relacionada as a(as. >om% e?istem trLs a(as atualmente% &loating% 0-4 e !-4% e +ual de"eEse usarT Para responder essa +uesto% lem(raEse sempre da origem% ento +ual G a origemT $e onde "ir. o pacoteT : ser"idor encontraEse na !-4% ento de"eEse criar essa regra na a(a !-4% mas se a regra fosse por e?emplo% parar li(erar +ue uma m.+uina na internet ti"esse acesso a rede local do firewall teria ento +ue criar uma regra para a li(erao na a(a 0-4. 'sta regra seria "isuali1ada da seguinte forma:
:s sinais anteriomente e?plicados podem ser "isuali1ados a es+uerda% onde a ao das duas regras e?istentes G de pass !i(erar). - primeira regra G default% e foi e?plicada anteriomente% onde esta tem o intuito de li(erar todo o acesso da !-4 para +ual+uer lugar% e recomendaEse +ue esta seCa remo"ida. O. a segunda regra foi adicionada seguindo o e?emplo citado acima. #om toda a teoria% ser. iniciada a pr.tica com a criao de uma regra% onde a e?plicao e imagens sero di"ididas em duas partes% pois no pfSense 2.; e?istem algumas configuraHes e o tipo de organi1ao diferente para a criao de uma regra +uando comparado as "ersHes antigas:
,1
- imagem acima ilustra e?atamente como G a primeira parte da criao de uma regra% os campos e opHes so e?plicados a(ai?o: A+tion $e"eEse definir se a utili1ao da regra ser. para ha(ilitar o acesso% (lo+uear ou reCeitar. J recomendado +ue se utili1e a opo Alo+. +uando deseCaEse (lo+uear o acesso% pois essa opo ir. MdroparN o acesso de forma silenciosa% en+uanto a opo 'eBe+t ir. en"iar uma resposta de negao 8#P e 9$P. O. para li(erar o
,2
acesso% e?iste apenas uma opo% Pass. !isa%led Se deseCaEse +ue a regra seCa adicionada% porGm% no seCa ha(ilitada% podeEse marcar essa opo. Interfa+e -+ui podeEse definir a +ual interface a regra ser. aplicada. Proto+ol $efina +ual o protocolo +ue ser. utili1ado para a regra. PodeEse utili1ar an0 para todos os protocolos. Sour+e PrecisaEse definir a origem da re+uisio% de onde "em o acesso. PodeEse definir uma rede% apenas um host% o endereo da interface% a su(net de uma interface% e atG mesmo a opo an0% para +ual+uer origem. 'm -d"anced podeEse definir +ual a porta de origem. !estination J necess.rio definir tanto uma origem como um destino para cada regra% mesmo +ue seCa any. -ssim como na opo Source% "ocL tam(Gm pode definir uma rede% apenas um host% o endereo da interface% e a su(net de uma interface. 'm -d"anced podeEse definir +ual a porta de destino. Log =a(ilitando essa opo% +ual+uer pacote +ue passe por esta regra% ser. direcionado para o log do pfSense. !es+ription 'ssa opo G uma das mais importantes% pois se "ocL tem um firewall com ".rias regras% G sempre (om definir uma descrio clara. Portanto neste campo de te?to% defina uma descrio para a sua regra. <ocL pode utili1ar atG 22 caracteres.
- segunta etapa :pHes a"anadas) no G necess.ria% pois a maior parte da configurao G feita pelas opHes definidas acima% mas G de e?trema importUncia o conhecimento destas:
,,
Sour+e 1S <ocL tam(Gm pode definir +ue a regra ser. aplicada% apenas para o sistema operacional selecionado nessa opo. $iffser" #ode Point J utili1ado como mecanismo para pro"L +ualidade de ser"io @oS) do tr.fego de rede. -d"anced :ptions :po utili1ada para uma maior especificao so(re as opHes a"anadas do IP. 8#P flags 9ma definio segundo o site oficial do pfSense G: -s su(opHes a+ui so controles de (its +ue indicam estados de cone?Hes diferentes ou informaHes so(re como o pacote de"e ser suportado. State 8ype 'specifica um mecanismo de rastreamento de estado particular. 4o VA!*P# Sync '"ita uma regra de sincroni1ar com outros mem(ros #-*P. Schedule PodeEse reali1ar um agendamento para a aplicao dessa regra% definindo os dias e as horas. Bateway PodeEse definir o gateway para esta regra% onde este geralmente no G alterado% determinado por padro o gateway default.
,/
In/:ut $efiniEse filas alternati"as e interfaces "irtuais nesta opo. -ck+ueue/@ueue 'specifica o reconhecimento alternati"o de filas. !ayer5 9tili1ado para identificar tr.fego na camada 5 sete) do modelo :SI. Pode ser acessado atra"Gs dos menus &irewall S 8raffic Shaper S !ayer5.
@.2 $ditar" mo er e desa%ilitar regras - edio de regras pode ser feita atra"Gs do (oto 'ditar% +ue G representado pela letra '. Para um melhor entendimento da utili1ao de regras perce(eEse os seguintes (otHes:
:s (otHes representam aHes% e ficam ao lado das regras criadas. -cima de +ual+uer regra% e?istem dois (otHes% *emo"er *epresentado pela letra ?) e adicionar *epresentado pelo sinal de W)% a(ai?o "Lm os (otHes referLntes as respecti"as regras% +ue neste caso so duas. J utili1ado um conCunto de +uatro aHes para cada regra como: Ao"er J utili1ada para mo"er uma regra para cima ou para (ai?o% sa(endo +ue as regras so interpretadas em ordem crescente. 'ditar :po utili1ada para editar a regra% sendo possD"el modificar os campos definidos na criao da mesma. *emo"er *emo"e uma regra e?istente.
,2
-dicionar -dicionar uma regra a(ai?o desta +ue foi utili1ada com o conCunto de (otHes.
-o final% e?istem mais trLs (otHes% Ao"er% *emo"er% e -dicionar% onde estes so utili1ados para aHes relacionadas ao final ou a todas regras. -o clicar em adicionar% uma regra ser. adicionar ao final de todas as outras. Se o (oto escolhido for o de remo"er% G necess.rio selecionar a regra ou as regras. Para mo"er para (ai?o% utili1aEse esse (oto do Itimo conCunto. -o criar uma regra% a opo !isa%le t,is rule no G selecionada% pois as regras so criadas para entrarem em funcionamento. -inda sim% se no foi desati"ada na criao% podeEse desati"ar uma regra clicando no sinal de ha(ilitado +ue G representado por uma seta (ranca com fundo "erde a es+uerda% e ao clicar a regra ficar. cin1a e seu sinal tam(Gm% significando +ue esta foi desa(ilitada:
Para ha(ilitar a regra% (asta clicar no Dcone +ue agora est. cin1a pois a regra est. desa(ilitada) ao lado da regra. J possD"el notar tam(Gm% +ue a regra acima a primeira regra) est. ha(ilitada.
C. Aliases
-liases so utili1ados como um nome para um conCunto de IPs% redes% portas% usu.rios :pen<P4% urls e ta(ela de urls. 9m e?emplo de sua utili1ao seria criar um aliase com o nome (ancos% onde seria criada uma regra para li(erao da !-4 sem passar pelo pro?y com destino ao alias (ancos% onde neste e?istiram ".rios IPs dos sites dos (ancos mais acessados% pois se no utili1ar um alias % ".rias regras sero criadas% sendo uma para cada endereo de cada respecti"o (anco. : menu para criao% edio e remoo de aliases pode ser acessado atra"Gs dos menus &irewall S -liases. C.1 Criar aliase
,3
-o acessar o menu citado acima% podeEse criar um aliase clicando no (oto com um sinal MWN. 'nto% as seguintes opHes so e?i(idas para a escolha e preenchimento: 4ame $efiniEse um nome para a utili1ao deste% pois ao criar uma regra G necess.rio especificar apenas o nome do aliase. $escription J indicado +ue a descrio do aliase seCa (em definida e clara. 8ype 'sta opo ir. definir a opo a(ai?o% onde G possD"el criar um conCunto de: =osts PodeEse especificar hosts para a aplicao de determinada regra. 9m e?emplo seria a criao de um aliase com este tipo% especificando os IPs dos ser"idores% pois estes no necessitam passar pelo pro?y% ento teriam acesso direto se na regra de criao a origem Source) fosse especificada com o aliase a+ui citado. 4etwork 9tili1ado para criar um conCunto de redes. Se deseCaEse +ue a rede local tenha acesso por e?emplo a outras redes% podeEse especificar as possD"eis redes neste aliase% e ento utili1ar uma regra de li(erao com origem Source) a partir da !-4 e destino $estination) para o aliase a+ui citado. Ports 8am(Gm G possD"el criar um conCunto de portas% como por e?emplo se da internet Source) G possD"el acessar o firewall $estination) nas portas 22%6;%21% ento sero criadas trLs regras% uma para cada porta se no for utili1ado um aliase. :pen<P4 9sers PodeEse criar um conCunto de usu.rios :pen<P4 com apenas um nome. 9*! J possD"el criar um conCunto de 9*!s para a aplicao de regras atra"Gs de um alias. 9*! 8a(le 8am(Gm G possD"el especificar uma 9*! contendo ".rios hosts% ou +ual+uer outro tipo a+ui permitido. #ampo de escolha : campo de escolha "aria com a opo selecionada em :0pe% logo os campos a(ai?os so e?i(idos de acordo com a seleo feita: =osts IP $efinio do IP +ue o alias ir. representar $escription $escrio do IP definido.
,5
4etwork 4etwork 4este campo G definida a rede utili1ada% como por e?emplo 172.136.,.;. #I$* J necess.rio definir a m.scara da rede definida no campo anterior. $escription $escrio da rede definida. Ports Port Porta utili1ada na criao do -lise. PodeEse definir um range de portas preenchendo este campo da seguinte forma ,;;:,77% logo as portas consideradas iro iniciar de ,;; atG ,77. $escription $escrio da porta definida. :pen<P4 9sers 9sername 'specificaEse o usu.rio utili1ado na <P4 neste campo. $escription $escrio do usu.rio preenchido. 9*! 9*! 'ste campo G utili1ado para definir +ual a url +ue ser. utili1ada para as regras futuramente criadas. 9m e?emplo seria www.google.com.(r. $escription $escrio da 9*! definida. 9*! 8a(le 9*! $efiniEse uma 9*! com uma larga lista de endereos.
9pdate &re+. J definido neste campo de +uanto em +uantos dias ser. feito um update na 9*! especificada. $escription $escrio da 9*! utili1ada.
$epois de definir as opHes para a criao de um aliase% (asta clicar em Sa e e depois aplicar. C.2 $ditar Aliase -pFs criar um aliase% a "isuali1ao pode ser feita atra"Gs do mesmo &irewall S -liases):
,6
'?istem os (otHes ao lado direito +ue reali1am aHes como adicionar% editar e remo"er aliases. Para editar (asta clicar em editar +ue possui a letra MeN. -pFs clicar no (oto% a mesma tela de adio de aliases ser. a(erta para a edio deste. C.* 'emo er Aliase #licando no (oto com a letra M?N% o aliase ao lado do (oto ser. e?cluDdo% portanto G importante ter noo do +ue est. sendo feito para +ue um aliase com grande +uantidade de informao no seCa deletado acidentalmente.
D. 8et5or. Address :ranslator (8A:& no pfSense

- utili1ao do 4-8 em redes de computador G algo (astante fre+uente% pois alGm do protocolo de internet Ip"/ no possuir IPs pI(licos suficientes para todos os computadores +ue hoCe acessam a internet% os pro"edores nem sempre disponi(ili1am ".rios IPs ao finali1ar um contrato e +uando fornece o "alor G alto o suficente para fa1er com +ue o cliente prefira no ter esses IPs pI(licos. @ual+uer computador +ue necessite acessar a internet precisa de um IP pI(lico% onde atra"Gs deste G possD"el se comunicar com outros computadores tam(Gm na internet% porGm% como e?plicado anteriomente% e?iste uma dificuldade em suprir a necessidade de +ue todo computador necessita de um IP pI(lico% pensando nisso foi criado o 4-8% onde este reali1a uma traduo de endereos de rede para a saDda atG a internet e "iceE"ersa. -tra"Gs do 4-8% uma rede de computador 172.136.1.; na m.scara 222.222.222.; pode utili1ar apenas um IP pI(lico para +ue por e?emplo% 2; cin+uenta) computadores possam acessar a internet sem a necessidade da utili1ao de 2; cin+uenta) IPs pI(licos. #omo dito anteriomente% o 4-8 tra(alha em duas formas% saDda e entrada. - saDda G utili1ada para a comunicao da !-4 com +ual+uer computador e?istente na internet% e a entrada essa precisa ser configurada) di1 +ue um IP pI(lico pode ser redirecionado para um IP interno% um e?emplo disso seria +ue um usu.rio na internet precisa acessar o site +ue est. hFspedado na rede local em um ser"idor com o IP 172.136.1.2% sa(endo +ue este IP no G pI(lico na internet% criaEse um 4-8 di1endo +ue por e?emplo% o IP 2;;.177.1/2.2; ser. utili1ado para redirecionar o usu.rio da internet para o IP interno.
,7
D.1 Etili7ao do 8A: no pfSense : pfSense automaticamente cria a saDda padro :ut(ound)% desta forma sF G necess.rio configurar a entrada e +uando preciso. PodeEse criar +ual+uer tipo de 4-8 no menu &irewall S 4-8% onde neste so "isuali1adas trLs a(as: Port &orward PodeEse efetuar um redirecionamento de portas atra"Gs deste tipo de 4-8. -ssim% especificaEse o IP e?terno pI(lico) Cuntamente com a porta de acesso% o IP interno com a porta interna. 9m e?emplo de utili1ao seria com o IP 2;;.166.177.2; sendo acessado na porta ,,% porGm ser. redirecionado para a rede local% especificamente para o ser"idor de IP 172.136.1.17 na porta 22 SS=). 1:1 PronunciaEse um para um% onde G necess.rio especificar apenas um IP e?terno pI(lico) com sua respecti"a m.scara% e o IP interno. 'nto todo tr.fego +ue chegue atG o IP pI(lico especificado% ser. encaminhado para o IP interno definido. :ut(ound J possD"el criar uma regra para a saDda da !-4 nesta a(a% porGm% como e?plicado anteriormente% o pfSense C. possui uma opo padro +ue ser"e Custamente para isso. J recomendado +ue nada seCa alterado nesta a(a% mas caso seCa necess.rio criar uma saDda mais especDfica. D.2 'edire+ionamento de portas (Port #or5ard& -o acessar o menu &irewall S 4-8 a a(a Port &orward C. G selecionada por padro. 4esta a(a podeEse criar um redirecionamento clicando no (oto add com o sinal MWN)% e as seguintes opHes sero e?i(idas para a escolha e preenchimento: Interfa+e Selecione a interface onde a regra ser. aplicada% geralmente sua interface de saDda% +ue G por onde as re+uisiHes feitas pela internet chegam. Proto+ol 4esta opo% geralmente G selecionado :CP% mas e?istem outras alternati"as% como E!P% :CP/E!P% ?'$% $SP. Sour+e J possD"el definir a origem da re+uisio atra"Gs deste campo% assim como na criao de uma regra. Sour+e port range PodeEse definir a porta de origem ou um range de portas com inDcio e fim. !estination !estination port range
/;
'edire+t target IP Preencha este campo definindo +ual o IP local. !em(rando +ue ao tentar acessar o IP e?terno% a re+uisio ser. encaminhada para esse IP. 'edire+t target port $efina para +ual porta a re+uisio ser. encaminhada. !es+ription :po utili1ada para inserir uma (re"e e clara descrio so(re a regra 4-8 criada. 8o F;L'PC S0n+ Pre"ine essa regra de ser aplicada a +ual+uer firewall redundante usando #-*P. 8A: refle+tion 'ssa opo G utili1ada para ha(ilitar o redirecionamento de portas da interface 0-4 para outras interfaces como a !-4. Beralmente G utili1ada a escolha padro use s0stem default. #ilter rule asso+iation #om a escolha padro Add asso+iated file rule% uma regra ser. criada e associada a esta regra 4-8.
9m e?emplo para criao G mostrado na tela a(ai?o% onde foi determinado o destino como 172.136.1.1; +ue neste caso G um ser"idor +ue poder. ser acessado pela porta 22 SS=) atra"Gs da internet. &oi utili1ada o IP da interface 0-4 para o acesso:
/1
D.* Criao de 8A: 1:1 Para este tipo de 4-8 so utili1ados apenas dois IPs% um pI(lico e um pri"ado sem a necessidade de especificar +ual+uer porta.
/2
-s opHes para a criao da regra 4-8 1:1 so e?plicadas a(ai?o: Interfa+e Interface utili1ada para o 4-8. Beralmente essa opo fica como 0-4. Sour+e PodeEse especificar a origem da re+uisio% porGm% na maioria dos casos est. opo G definida como any. !estination : destino G definido como o IP interno para +ual a re+uisio ser. redirecionada. $9ternal su%net 4este campo G definido o IP pI(lico. :s clientes na internet iro acessar este IP para ento serem redirecionados para o IP interno. !es+ription 'ste campo G utili1ado para definir uma (re"e e clara descrio so(re a regra criada. 8A: refle+tion 9tili1ada para o redirecionamento de portas% +ue neste caso no G utili1ado.
D.4 8A: 1ut%ound Para +ual+uer "isuali1ao ou configurao de saDda% podeEse acessar a a(a :ut(ound +ue fica no menu &irewall S 4-8. Por padro% a saDda G feita automaticamente pelo prFprio pfSense% e possui a opo marcada por padro Automati+ out%ound 8A: rule generation
(IPse+ passt,roug, in+luded&. Para reali1ar uma configurao manual de saDda% a opo ;anual 1ut%ound 8A: rule generation (A18 G Ad an+ed 1ut%ound 8A:& G marcada% logo G necess.rio sal"ar e aplicar essa alterao. PodeEse "isuali1ar a(ai?o em ;appings se e?iste alguma configurao% onde tam(Gm G possD"el adicionar uma no"a clicando no (oto add com sim(olo MWN). -s opHes a serem definidas so as seguintes: Interface Interface utili1ada para a traduo de endereo% geralmente esta opo G utili1ada como 0-4. Protocol Protocolo utili1ado na regra para determinar +ue tipo de protocolo ser. utili1ado pela origem% na maioria dos casos G selecionada a opo any. Source 4a origem podeEse definir uma rede% IP utili1ando a opo como 4etwork e m.scara de rede ,2) e any para +ual+uer origem. $estination J necess.rio especificar o tipo de destino% mesmo +ue esse seCa any +ual+uer destino). 8ranslation /,
http://www.aiyonetwork.com - traduo pode ser feita para o IP da interface em +uesto% ou para um IP <irtual definido. 4o VA!*P# Sync
'"ita uma regra de sincroni1ar com outros mem(ros #-*P.

$escription $escrio da regra de 4-8 :u(ound criada.
$epois de reali1ar a configurao (asta clicar em Sa"e para sal"ar a regra.
//
13. IP Hirtual
-o utili1ar um IP pI(lico% geralmente este precisa ser associado a uma interface de rede% logo se necessitaEse utili1ar trLs IPs pI(licos ser. necess.ria a utili1ao de trLs placas de rede. -o utili1ar o pfSense no G necess.rio ter uma placa de rede para cada IP para utili1ar este como saDda ou entrada de dados% e?iste uma opo conhecida como IP <irtual +ue fa1 esta funo sem ter a necessidade de alocar uma interface de rede a um IP pI(lico. : acesso ao menu de configurao G feito atra"Gs de &irewall S <irtual IPs% e a partir deste podeEse "isuali1ar a a(a padro <irtual IPs e os IPs e?istentes% tam(Gm G possD"el criar% editar e remo"er +ual+uer um +ue esteCa listado alD. -tualmente e?istem trLs tipos de IP <irtual +ue podem ser criados:
Pro?y -*P 9tili1a a camada 2 dois) de tr.fego. Pode ser redirecionado apenas pelo firewall. Pode estar em uma su(rede diferente da interface. 4o responde a re+uisiHes I#AP. #-*P 9tili1a a camada 2 dois) de tr.fego. Pode ser utili1ado ou redirecionado pelo firewall. $e"eria ser utili1ado em cen.rios &ail:"er ou !oad >alance *esponde a re+uisiHes I#AP se configurado de forma correta. :ther Pode ser redirecionado apenas pelo firewall. Pode estar em uma su(rede diferente da interface. 4o responde a re+uisiHes I#AP. IP -lias Pode ser redirecionado apenas pelo firewall. Permite adicionar endereos IP e?tras a uma interface.
Beralmente o primeiro tipo Pro?y -*P) G o mais utili1ado. PodeEse "isuali1ar uma simples configurao a(ai?o:
/2
4o caso acima% foi especificado um Inico endereo% mas tam(Gm podeEse utili1ar uma rede como por e?emplo 2;;.177.1/2.;/26. 8odos os outros tipos de IP <irtual so configurados da mesma forma com e?ceo do #-*P% porGm sF possuem a opo de determinar um IP e no uma rede. -o configurar um IP <irtual do tipo #-*P G necess.rio especificar um password para a utili1ao deste no campo Hirtual IP Pass5ord% o nImero +ue G compartilhado no campo H)I! ?roup e a fre+uencia em Ad ertising #re(uen+0.
11. Ser ios

Por padro o pfSense oferece alguns ser"ios +ue so disponi(ili1ados a partir da prFpria instalao do firewall% estes so conhecidos como ser"ios integrados. #om esta integrao de ser"ios o pfSense disponi(ili1a no sF a funo (.sica de um firewall e router mas tam(Gm um gerenciador de ser"ios de rede% onde estes esto protegidos atra"Gs das regras criadas no firewall. 11.1 Pa+otes : pfSense disponi(ili1a di"ersos pacotes para serem instalados e integrados ao firewall% como por e?emplo:

S+uid Ser"io para pro?y de rede. !ightS+uid 'mite relatFrios de utili1ao do pro?y.
/3
Snort Sniffer utili1ado para "erificao de ameaas. &ree*adius 9tili1ado para criao de autenticao centrali1ada. 4map Pacote utili1ado para reali1ao de scanners de portas e informaHes so(re o al"o.
- "isuali1ao dos pacotes disponD"eis sF G possD"el se o acesso a internet est. de"idamente configurado% e podeEse acessar estes atra"Gs do menu S0stem > Pa+.ages. 11.2 Portal Capti e 'ste ser"io pro"L um portal de autenticao para acesso we( dos hosts da rede. 'ste ser"io G integrado ao firewall na instalao do pfSense. PodeEse acessar o portal de autenticao #apti"e Portal atra"Gs do menu Ser i+es > Capti e Portal. - a(a principal e padro G a #apti"e Portal% nesta so configuradas as opHes para o de"ido funcionamento do portal de autenticao% e suas opHes so descritas a(ai?o:

$na%le +apti e portal =a(ilita a utili1ao do portal de autenticao #apti"e Portal. Interfa+es 4esta opo G selecionada a interface na +ual o portal de autenticao ir. tra(alhar. 4a maioria dos casos a interface !-4 G selecionada. ;a9imum +on+urrent +onne+tions PodeEse definir a +uantidade de cone?Hes por IP neste campo% o padro so / +uatro) cone?Hes% desta maneira o cliente com o IP em +uesto no ir. consumir recursos desnecess.rios do firewall. Idle timeout #om esta opo um usu.rio inati"o pode ser automaticamente desconectado. )ard timeout : "alor deste campo ir. desconectar de forma forada um cliente conectado atra"Gs do portal de autenticao. PassGt,roug, +redits allo5ed per ;AC address 'ssa opo permite passar pelo portal de autenticao sem a necessidade de autenticar com um nImero limitado de "e1es por endereo A-#. 6aiting period to restore passGt,roug, +redits :s clientes tero seus passGt,roug, +redits disponD"eis restaurados para a contagem original depois dessa +uantidade de tempo desde a primeira utili1ao. 'eset 5aiting period on attempted a++ess Se esta opo for ha(ilitada% o periodo de espera G resetado para a durao original se o acesso for tentado +uando todos passGt,roug, +redits esti"erem
/5
esgotados. Logout popup 5indo5 PodeEse ha(ilitar essa opo para a(rir um popEup com ao de logout. J ".lido lem(rar +ue a maioria dos na"egadores (lo+ueiam +ual+uer tipo de popEup. 'edire+tion E'L -o efetuar o login o cliente pode ser redirecionado para uma url ao utili1ar essa opo. 9m e?emplo G redirecionar o cliente apFs o login para http://www.google.com.(r 'ssa opo sF ir. funcionar se e?istir o http:// antes do site). Con+urrent user logins #om essa opo% o portal de autenticao ir. limitar um login por conta de usu.rio. ;AC filtering #om essa opo G possD"el desa(ilitar o filtro de A-#. PassGt,roug, ;AC Auto $ntr0 $na%le PassGt,roug, ;AC automati+ additions J possD"el criar um tipo de passe li"re apFs a primeira autenticao com essa opo% desta forma o cliente +ue autenticar a primeira "e1 no precisar. autenticar no"amente pois uma entrada com seu A-# ser. criada. $na%le PassGt,roug, ;AC automati+ addition 5it, username : usu.rio ser. sal"o apFs a autenticao ser. sal"o. PerGuser %and5idt, restri+tion PodeEse definir um limite de (anda para a utili1ao do portal de autenticao com esta opo. J utili1ado ; 1ero) +uando essa opo G marcada mas no e?iste limite. Aut,enti+ation PodeEse utili1ar o portal sem autenticao ou com autenticao. So possD"eis trLs opHes: 8o Aut,enti+ation : portal ficar. sem autenticao +uando essa opo for selecionada. Lo+al Eser ;anager '?iste a possi(ilidade de utili1ar o portal com uma autenticao local% no prFprio pfsense podeEse gerenciar todas as contas. 'A!IES Aut,enti+ation 8am(Gm G possD"el integrar o portal a um tipo de autenticao centrali1ada com essa opo como o *-$I9S. ;AC address format 'ssa opo sF pode ser utili1ada +uando na opo -uthentication for selecionada como *-$I9S. 'ssa opo ir. modificar o formato do endereo A-# de todo o sistema *-$I9S. )::PS login Se esta opo for ha(ilitar o usu.rio e senha sero transferidos para o ser"idor de autenticao "ia =88PS. )::PS ser er name
/6
http://www.aiyonetwork.com J necess.rio especificar o nome do ser"idor =88PS% geralmente neste campo G
utili1ado o nome da empresa. )::PS +ertifi+ate PodeEse definir o certificado =88PS neste campo. )::PS pri ate .e0 4este campo a cha"e pri"ada G definida. )::PS intermediate +ertifi+ate 4este campo G definido o certificado de intermediao =88PS. Portal page +ontents J possD"el reali1ar o upload de uma p.gina para a autenticao do usu.rio ao tentar acessar a internet% desta forma a p.gina de acesso do portal seria personali1ada. Aut,enti+ation error page +ontents -o tentar efetuar o login% caso algum dado esteCa errado no login ou senha essa p.gina pode ser e?i(ida indicando erro. Logout page +ontents -o efetuar o login G possD"el e?i(ir uma p.gina para o cliente atra"Gs desta opo.
11.* !)CP Ser er Para criao de um ser"idor +ue distri(ua dinamicamente IPs de forma autom.tica podeEse acessar o menu Ser"ices S$=#P Ser"er% onde G possD"el configurar di"ersos ser"idores $=#P de acordo com a +uantidade de interfaces. >asicamente um ser"idor para distri(uio de IPs G configurado na a(a !-4 :nde este ser. aplicado de fato para a rede local) e ao clicar nesta as seguintes opHes para configurao do ser"idor so possD"eis:

$na%le !)CP ser er on LA8 interfa+e 'ssa opo ha(ilita a utili1ao do ser"idor $=#P na respecti"a interface. !en0 un.no5n +lients #om esta opo ha(ilitada apenas os clientes Mfi?osN com A-# e IP cadastrados mais a(ai?o iro rece(er M$=#P leasesN. 'ange 'sta opo define o range de IPs disponD"eis para a distri(uio. J importante o(ser"ar os campos acima Su%net% Su%net mas. e A aia%le range +ue mostram as informaHes para a definio desta opo. 6I8S ser ers 'sta opo G utili1ada para definir o ser"idor 0I4S 0indows Internet 4ame Ser"ice) da rede local se e?istir um). !8S ser ers PodeEse utili1ar essa opo com dois $4SXs ou dei?ar em (ranco. Se os campos no forem preenchidos o $4S +ue ser. distri(uDdo para os clientes ser. o IP do firewall% +ue +uando o cliente reali1ar uma consulta essa re+uisio ir. para o
/7
firewall e o firewall redirecionar. a consulta para o $4S real% logo seria um tipo de encaminhamento. ?ate5a0 'ssa opo G utili1ada para definir um gateway +ue ser. distri(uDdo para os clientes. Se nenhum gateway for especificado o IP da interface 4o caso a+ui e?emplificado% da !-4). !omain name PodeEse definir o domDnio de rede +ue ser. distri(uDdo para os clientes atra"Gs desta opo. !omain sear+, list : ser"idor $=#P pode pro"L uma lista de pes+uisa de domDnios com essa opo. !efault lease time #ontrola o tempo de reno"ao dos IPs. : tempo definido neste campo ser. utili1ado para uma "erificao constante dos minutos ou segundos definidos% desta forma% se o computador com o IP no esti"er mais em uso% este ser. disponi(ili1ado para +ual+uer outro computador da rede local. ;a9imum lease time 'sta opo controla o tempo m.?imo +ue um cliente pode ficar com um IP. #ailo er peer IP: 'ssa opo G utili1ada para manter um ser"idor pfsense com dhcp ati"o como (ackup. 'ssa opo G Itil apenas +uando utili1aEse #-*P. Stati+ A'P 'ssa opo funciona de forma similar ao negar endereos A-# desconhecidos de o(ter Mdhcp leasesN. !0nami+ !8S J possD"el utili1ar um $4S dinUmico de domDnio +ue ser. utili1ado para registrar nomes de clientes no ser"idor $4S com essa opo. 8:P ser ers Para inserir um ou mais ser"idores 48P 4etwork 8ime Protocol Ser"ers) (asta utili1ar essa opo clicando no (oto -d"anced. :#:P ser er #aso e?ista algum ser"idor 8&8P% podeEse especificaElo neste campo. L!AP E'I PodeEse integrar o ser"io de $=#P com o !$-P atra"Gs dessa opo. J necess.rio especificar o caminho completo !$-P 9*I% 9niform *esource Identifier) como por e?emplo ldap://ldap.e?emplo.com/dcYe?emplo%dcYcom $na%le net5or. %ooting PodeEse utili1ar essa opo para inserir os endereos IP das imagens de (oot disponD"eis e o nome da imagem de (oot. Additional A11:P/!)CP 1ptions @ual+uer outra opo para o ser"idor $=#P pode ser adicionada neste campo. lista dessas opHes G encontrada neste endereo http://www.iana.org/assignments/(ootpE dhcpEparameters/(ootpEdhcpE parameters.?ml
2;
11.4 !8S #or5arder PodeEse utili1ar um redirecionador de $4S para consultas a nomes. - utili1ao do $4S forwarder geralmente se fa1 presente +uando um cliente da rede local necessita consultar um nome de outra rede +ue possui uma ligao com a +ue o cliente se encontra. $esta forma% ao consultar por e?emplo desen".e?emplo.com.(r o IP retornado G 2;;.177.1/;.22% mas sa(endo +ue e?iste uma ligao desta rede com a outro +ue o ser"idor desen".e?emplo.com.(r pertence podeEse adicionar um redirecionamento de $4S e desta forma o nome seria resol"ido por e?emplo para 172.136./.2. !ogo% sua funo G resol"er o $4S e coloca em cache. Para configurar este redirecionador de dns (asta acessar o menu Ser"ices S $4S &orwarder:
-ntes de +ual+uer e?plicao G importante notar +ue a opo 'na(le $4S &orwarder est. marcada para a utili1ao do mesmo. 4este caso foi adicionado o host Cunto ao domDnio. 8am(Gm G possD"el adicionar um domDnio inteiro mais a(ai?o.
21
-o clicar no (oto para adicionar o host Cunto ao domDnio e?istem as seguintes opHes de configurao: )ost =ost +ue fa1 parte do domDnio. 8am(Gm considerada a primeira parte antes do ponto no nome% como por e?emplo desen" em desen".e?emplo.com.(r ou www em www.e?emplo.com.(r. !omain $omDnio no +ual o host se fa1 presente% no citado acima e?emplo.com.(r. IP address 'ndereo IP para o +ual o nome ser. resol"ido. 4o caso citado acima 172.136./.2. !es+ription 9ma (re"e descrio so(re o redirecionamento criado.
11.< Load Aalan+e 9ma pr.tica muito utili1ada +uando se tLm dois links de internet G criar um (alanceamento de carga para +ue a rede local no se torne lenta com o consumo de (anda. : pfSense disponi(ili1a uma ferramenta integrada para isso. 'm suas "ersHes anteriores a criao do !oad >alance era feita atra"Gs do menu Ser"ices S !oad (alance% mas em sua "erso 2.; a configurao G feita em System S *outing% segmentado +ual+uer configurao com este fim para uma melhor utili1ao. '?istem trLs a(as para a utili1ao no menu citado acima% Bateways% *outes e Broups. -s a(as utili1adas para a criao de um (alanceamento de carga so descritas a(ai?o: ?ate5a0s -(a utili1ada para a criao dos gateways a serem utili1ados pelas interfaces de saDda 0-4% 0-42% e outras). So utili1ados no mDnimo dois links para a reali1ao de um (alanceamento de carga% logo so necess.rios dois gateways. Para a criao de um gateway de"eEse clicar no (oto add para ento preencher e selecionar as seguintes opHes: Interface J utili1ada nesta opo a interface correspondente ao link de internet em +uesto. 4ame PodeEse definir um nome para o gateway em +uesto nesta opo. Bateway 4esta opo de"eEse definir de fato o gateway do link de internet. $efault Bateway
22
PodeEse marcar essa opo para +ue este seCa o gateway padro. Aonitor IP Para a "erificao do link de internet% se este est. ati"o ou no G reali1ado um teste de ping utili1ando o protocolo I#AP) para o IP de "erificao a+ui definido% se este no responder a re+uisio o link ser. considerado como inati"o. -d"anced PodeEse definir opHes a"anadas para a configurao do gateway% um e?emplo seria a definio da possD"el latLncia. $escription 4esta opo definiEse uma (re"e descrio do gateway. ?roups 9m grupo de gateways pode ser utili1ado para uma Cuno de links de internet com o o(Ceti"o de criar um !oad (alance ou um &ail:"er. Para a criao de um grupo de gateways (asta clicar no (oto add% e em seguida preencher e selecionar as opHes: Broup 4ame $e"eEse definir um nome para este grupo% como por e?emplo !oad>alance. Bateway Priority - prioridade a ser definida para o !oad >alance de"e ser de 1 um) para os dois gateways. 8rigger !e"el '?istem +uatro possi(ilidades nesta opo para a reali1ao de uma ao: Aem(er down @uando um dos gateways esti"er offline. Packet !oss @uando hou"er uma perda significati"a de pacotes. =igh !atency @uando uma alta latLncia for detectada em um dos gateways. Packet !oss or =igh !atency @uando uma perda de pacote ou uma alta latLncia for detectada. $escription $e"eEse definir uma (re"e descrio do grupo de gateways em +uesto.
2,
11.= #ail1 er 'sta tGcnica G utili1ada para efetuar uma redundUncia de links de internet% desta forma o segundo link de internet ir. ser"ir como uma espGcie de (ackup. : &ail:"er pode ser configurado atra"Gs do menu System S *outing. - configurao do &ail:"er G feita da mesma forma +ue a configurao do (alanceamento de carga com e?ceo da opo Bateway Priority +ue G selecionada na criao do grupo de gateways. -pFs efetuar a criao dos gateways - criao de gateways pode ser "isuali1ada no tFpico 11.2) de"eEse criar o grupo de gateways 8am(Gm pode ser "isuali1ado no tFpico 11.2)% porGm nesta opo de"e definir a prioridade dos gateways% onde o gateway principal ficar. com a prioridade 1 9m) e o gateway secund.rio Bateway respecti"o do link de internet utili1ado como (ackup) de"er. ficar com prioridade 2 $ois)% para um melhor entendimento podeEse "isuali1ar a parte da criao de um grupo de gateways para a utili1ao do &ail:"er a(ai?o:
J possD"el perce(er a prioridade dos gateways como 1 8ier 1) e 2 8ier 2) e ainda o 8rigger !e"el +ue foi definido como Aem(er $own% ou seCa% +uando o primeiro link esti"er com status offline o segundo ir. assumir. 11.@ Pro90 Ser er Para efetuar a instalao do ser"io pro?y integrado ao pfSense (asta acessar o menu System S Packages e locali1ar o pacote s+uid. -o locali1ar o pacote s+uid de"eEse clicar no (oto add ao lado do pacote para efetuar a instalao do mesmo% logo ser. feita a pergunta
2/
$o you really want to install this packageT Para continuar (asta clicar no (oto de resposta :Z. Iniciando a instalao ser. "isuali1ado o progresso:
-pFs efetuar a instalao do pacote S+uid o mesmo ser. encontrado para configurao no menu Ser"ices S Pro?y Ser"er. -o acessar o menu para configurao do ser"idor pro?y% a a(a Beneral ser. "isuali1ada por padro% porGm e?istem outras a(as para configurao onde estas so descritas a(ai?o: ?eneral 'sta G a a(a principal de configurao para o funcionamento do ser"idor pro?y. 4esta a(a so definidas ".rias opHes importantes% por e?emplo em +ual interface o pro?y ir. tra(alhar% onde os logs sero arma1enados ou se o pro?y ser. transparente% etc.
22
Epstream Pro90 Se G utili1ado um ser"idor de upstream essa a(a ir. ser Itil a partir da primeira opo +ue tr.s uma (oa descrio de sua funcionalidade: 8his option ena(les the pro?y ser"er to forward re+uests to an upstream ser"er 'ssa opo ha(ilita o ser"idor pro?y encaminhar re+uisiHes para um ser"idor upstream). Ca+,e ;gmt 'ssa a(a G utili1ada para o gerenciamento de cache do ser"idor pro?y. A++ess Control : controle de acesso G configutado nessa a(a% desta forma podeEse definir +ual a rede +ue poder. utili1ar o ser"idor pro?y% assim como os Ips +ue sero e?cluDdos de +ual+uer regra de (lo+ueio. PodeEse tam(Gm definir uma whitelist ou uma (lacklist. :raffi+ ;gmt : gerenciamento de tr.fego G feito nesta a(a% ".rias opHes so possD"eis como por e?emplo definir o tamanho m.?imo de download ou o m.?imo de upload por parte dos usu.rios do pro?y. Aut, Settings #aso no seCa marcada a opo 8ransparent Pro?y da a(a Beneral% a autenticao G possD"el de trLs formas: !ocal !$-P *-$I9S 48 $omain Lo+al Esers Se a autenticao selecionada for !ocal% essa a(a G utili1ada para definir os usu.rios e suas respecti"as senhas de acesso.
Para um melhor entendimento sero e?plicadas as opHes mais utili1adas em um ser"idor pro?y no pfSense: A%a ?eneral Pro?y interface J necess.ria a escolha da interface +ue o pro?y ir. tra(alhar. 4a maioria dos casos esta opo G selecionada como !-4. -llow users on interface 'ssa opo geralmente G marcada% pois esta li(era o uso de clientes nesta interface. 8ransparent pro?y '?iste a possi(ilidade da utili1ao do pro?y sem autenticao. 'ste tipo de pro?y G reconhecido como pro?y transparente% onde esta opo G marcada para esta utili1ao. 'na(led logging
23
'ssa opo ha(ilita a criao e arma1enamento de logs de acesso. !og store directory PodeEse definir nesta opo um outro diretFrio de arma1enamento para os logs% sa(endo +ue o padro G /"ar/s+uid/logs. Pro?y port - porta padro do pro?y G ,126% mas G possD"el alterar esta. <isi(le hostname 'ssa G a opo referente a 9*! +ue G e?i(ida nas mensagens de erro do pro?y. -dministrator eEmail 'sse G o eEmail fornecido para contato nas mensagens de erro. !anguage Idioma utili1ado para a "isuali1ao do Pro?y. 0hat to do with re+uests that ha"e whitespace characters in the 9*I 'ssa opo geralmente G dei?ada como padro strip)% para o tratamento de caracteres com espaos. 9se alternate $4SEser"ers for the pro?yEser"er PodeEse definir um ser"idor $4S alternati"o para o pro?y com esta opo. #ustom :ptions #aso seCa necess.rio definir alguma opo no ar+ui"o de configurao do pro?y% (asta digitar as opHes nesta cai?a de te?to.
A%a A++ess Control -llowed su(nets J necess.rio preencher +uais redes tero acesso para a utili1ao do pro?y nesta opo. 9nrestricted Ips PodeEse e?cluir da filtragem do pro?y alguns IPs nesta opo. >anned host addresses #om esta opo G possD"el definir os IPs +ue no tero acesso ao pro?y% sero (anidos. 0hitelist PodeEse definir domDnios li(erados para acesso dos usu.rios. Por padro o s+uid C. li(era todos os domDnios% logo sF G necess.rio utili1ar a opo a(ai?o% para (lo+uear determinados domDnios. >lacklist 'ssa opo G utili1ada para especificar os domDnios proi(idos. Beralmente so utili1ados domDnios de acordo com a polDtica da empresa% como sites adultos% sites com "Ddeos% onde estes iro consumir (oa parte da (anda se os usu.rios esti"erem acessando. A%a Aut, Settings -uthentication method
25
'ssa opo ir. definir +uais campos mais a(ai?o sero utili1ados. '?istem algumas opHes como: 4one% !ocal% !$-P% *-$I9S% 48 $omain. -uthentication ser"er IP do ser"idor de autenticao. -uthentication ser"er port Porta utili1ada para a comunicao com o ser"idor de autenticao. Lo+al Esers 9sername 9su.rio para utili1ao do pro?y. Password Senha para o usu.rio do pro?y. $escription >re"e descrio so(re o usu.rio.
11.C Snort : snort G um sniffer +ue pode ser integrado ao pfSense se ti"er seu pacote instalado atra"Gs do menu System S Packages. - funo de um sniffer G o(ser"ar o tr.fego da rede agindo de forma silenciosa para a coleta de dados. -o efetuar a instalao% este poder. ser encontrado em Ser i+es > Snort. PorGm% antes de acessar o menu para efetuar a configurao G not."el a mensagem +ue G e?i(ida ao finali1ar a instalao: Please visit the Snort settings tab and enter your oinkid code. Afterwards visit the update rules tab to download the snort rules. !ogo% de"eEse efetuar a configurao incial +ue a mensagem recomenda. -cesso o menu citado acima para a configurao do Snort e ento cli+ue na a(a ?lo%al Settings. -s seguintes opHes so e?i(idas: Install Snort.org rules J necess.rio o(ter o :inkcode% onde este G utili1ado para conhecimento de +uem est. utili1ando as regras do snort% logo% G necess.rio criar um login no site www.snort.org para ento conseguir um :inkcode. #om o cFdigo em mos% como este: d2,a(563f11cdd,/5667f;2f7(12f2311e2aa757% (asta adicionar este no campo
Code% e depois selecionar se sero instaladas as regras (.sicas ou premium% onde este G o recomendado% caso no tenha interesse (asta dei?ar a opo default marcada !o 81: Install. Install $mergingt,reats rules 'ssa opo G utili1ada se alGm das regras default deseC.Ese instalar as regras 'mergingthreats% essas so criadas pela comunidade e possuem ".rias opHes de filtro. Epdate rules automati+all0 J possD"el definir a atuali1ao autom.tica das regras atra"Gs desta opo. Por padro% as 26
http://www.aiyonetwork.com regras nunca so atuali1adas. Log !ire+tor0 Si7e Limit J possD"el definir o limite de tamanho do diretFrio utili1ado para arma1enar o log nesta opo. Por padro o tamanho definido G correspondente a 2;K do tamanho total do disco rDgido. 'emo e %lo+.ed ,osts e er0 'ssa opo G utili1ada para des(lo+uear hosts +ue ti"eram seu acesso negado e (lo+ueado pois caDram em algum filtro das regras e?istentes e selecionadas na configurao. Alerts file des+ription t0pe Por padro a opo #ELL G selecionada e recomendada% pois essa opo define como a descrio do alerta ser. e?i(ida no ar+ui"o de alertas. -o selecionar a opo default a descrio ter. uma melhor "isuali1ao% pois esta ser. completa. Se a outra opo S)1': for selecionada% o alerta no ser. totalmente e?i(ido% ao in"Gs disto ser. e?i(ido um pe+ueno alerta% como um resumo do fato ocorrido. 2eep snort settings after deinstall #om est. opo selecionada% ao desinstalar o pacote snort as opHes definidas sero sal"as. #aso este pacote seCa instalado no"amente as configuraHes sero restauradas. -o finali1ar a configurao desta a(a% (asta clicar em Sa e para sal"ar as configuraHes feitas atG ento. J necess.rio dar um update nas regras para +ue estas seCo de fato instaladas e disponi(ili1adas. Para efetuar este passo cli+ue em Epdates e no (oto Epdate rules% logo ser. iniciado o download destas. : prF?imo passo G clicar na primeira a(a% Snort Interfa+es% onde esta G utili1ada para especificar em +ual interface de rede o snort ir. tra(alhar. Para adicionar as informaHes necess.rias cli+ue no (oto utili1ado para adio com o Dcone MWN. -s opHes a(ai?o sero e?i(idas: $na%le =a(ilita o uso da interface +ue ser. definida na opo a(ai?o. Interfa+e 4esta opo definiEse em +ual interface o Snort ir. tra(alhar. Beralmente definise a interface de saDda 0-4) ou +ual+uer outra +ue tra(alhe diretamente com a saDda para a internet. !es+ription 'ste campo G utili1ado para definir uma (re"e descrio so(re a interface +ue ser. monitorada. Alo+. offenders =a(ilitando essa opo% +ual+uer alerta gerado pelo snort ser. automaticamente (lo+ueado atra"Gs do firewall. J necess.rio ter cuidado com o filtro definido pelo o snort% pois +ual+uer alerta gerado mesmo +ue por engano ter. um efeito de (lo+ueio.
'?istem outras opHes% porGm estas so as mais utili1adas para a definio da interface +ue ser. utili1ada pelo Snort.
12. HP8
27
- conecti"idade atra"Gs de <P4s tem o o(Ceti"o de interligar redes e hosts. >asicamente e?istem trLs mGtodos de interligao de redes e/ou hosts atra"Gs de <P4% onde estes podem ser definidos pelas possi(ilidades apresentadas de cada tipo de <P4:
)ostG)ost 4este tipo% G criada uma cone?o entre dois hosts para uma melhor comunicao. )ostG'ede 4este modelo% G criada uma cone?o onde um host ir. ter acesso atG uma rede. $esta forma% um host na internet pode criar uma cone?o% e atra"Gs de uma autenticao ou no% este ir. conseguir acesso atG a rede de computadores lFgica al"o. 'edeG'ede 'ste modelo G muito utili1ado em organi1aHes% onde estas possuem filiais. $esta forma% duas filiais podem estar conectadas 2/ <inte e +uatro) horas por dia% sem a necessidade de criar cone?o.
: pfSense C. disponi(ili1a apFs suas instalao alguns tipos de <P4% estes sero a(ordados nos respecti"os su(tFpicos a(ai?o.
12.1 PP:P
PointEtoEPoint 8unneling PP8P) G utili1ado para a criao de uma <P4 mais simples% pois esta no disponi(ili1a uma alta segurana como em outros protocolos% pois sF G possD"el configurar uma criptografia de 126 (its. >asicamente% o usu.rio cria uma cone?o do tipo <P4 PP8P% e ento conecta utili1ando um usu.rio e senha. - configurao G feita atra"Gs do menu HP8 > PP:P% e as opHes de configurao da a(a Configuration:
PP:P redire+tion -tra"Gs desta opo G possD"el encaminhar uma re+uisio de <P4 PP8P para outro ser"idor <P4% (astando definir o IP do ser"idor em +uesto. 8o. PP:P users -o ha(ilitar a utili1ao da <P4 PP8P atra"Gs da opo 'na(le PP8P ser"er% G possD"el definir um nImero de usu.rios para a <P4% onde por padro o nImero de usu.rios G igual a 13. Ser er address 'sta opo G utili1ada para definir um gateway para os clientes da <P4 PP8P. 'emote address range 9tili1aEse esta opo para definir +ual ser. o primeiro IP disponi(ili1ado para clientes da <P4. PP:P !8S Ser ers J possD"el utili1ar um ou dois ser"idores $4S +ue sero distri(uDdos para os clientes da <P4. 6I8S Ser er 3;
Se hou"er algum ser"idor 0I4S% esta opo G utili1ada para especificar este.
'A!IES - autenticao pode ser centrali1ada com a utili1ao de um ser"idor *-$I9S em rede% seCa ele em um ser"idor remoto ou no prFprio firewall com este ser"io pacote) instalado. 'e(uire 12CG%it en+r0ption -ti"a a criptografia de 126 (its.
12.2 1penHP8 'ste tipo de <P4 G considerada como *edeE*ede% onde G possD"el interligar unidades% como uma filial e sua matri1. J considerado um tipo seguro de transmitir dados com uma alta criptografia% este tipo de <P4 pode ser considerado uma Ftima opo para utili1ao em am(ientes corporati"os. Para efetuar a configurao de uma <P4 :pen<P4 no modelo a+ui apresentado% dois firewalls pfSense sero utili1ados% onde um far. o papel da matri1 e o outro da filial respecti"amente. - matri1 ser. o ser"idor :pen<P4% en+uanto a filial ser. apenas um cliente% desta forma G possD"el integrar ".rias filiais nesta <P4. Para iniciar% a configurao pela parte da matri1 tem inDcio com acesso ao menu HP8 > 1penHP8% ento a a(a a ser utili1ada ser. Server% clicando no (oto para adicionar o ser"idor% as seguintes opHes estaro disponD"eis: !isa%led J possD"el desa(ilitar o ser"idor mesmo na criao deste marcando esta opo. Ser er ;ode : modo do ser"idor geralmente G definido como Peer to Peer Shared key)% onde este ir. compartilhar uma cha"e gerada pelo prFprio pfSense% com o cliente. 'nto% estes dois iro se comunicar. PodeEse selecionar outro modo como Peer to Peer SS!/8!S)% *emote -ccess SS!/8!S). Proto+ol J necess.rio definir um protocolo 9$P ou 8#P)% onde geralmente o protocolo 9$P G selecionado. !e i+e ;ode 'sta opo por padro C. esta definida como tun% pois na maioria dos casos G utili1ada desta forma. Interfa+e 'sta opo geralmente G definida como 0-4% pois esta interface precisa ter cone?o direta com a interface de saDda do cliente. Lo+al port - porta local pode ser modificada% porGm G utili1ada por padro 1172. !es+ription
31
PodeEse definir uma descrio para a utili1ao da <P4 utili1ando esta opo. S,ared 2e0 -o selecionar a opo Ser"er Aode como Peer to Peer Shared key) algumas opHes no estaro mais disponD"eis% logo a opo shared key G e?i(ida% onde esta pode ser definida como -utomatically generate a shared key. $esta forma% o pfSense ir. gerar automaticamente uma cha"e de segurana. $n+r0ption algorit,m 9ma (oa criptografia G selecionada por padro% -'SE126E#># 126E(it)% porGm e?istem ".rias outras opHes para seleo. )ard5are Cr0pto J possD"el definir criptografia de hardware para o dispositi"o atra"Gs desta opo. :unnel 8et5or. J necess.rio definir uma rede para a comunicao pri"ada atra"Gs do tInel. PodeE se definir esta rede atra"Gs desta opo. Lo+al 8et5or. 4esta opo% definiEse a rede local% especificando a fai?a e a m.scara de rede. 'emote 8et5or. - definio da rede remota G feita nesta opo% onde se a rede cliente G representada por 172.136.1;.;/2/% esta precisa ser especificada no campo desta opo. Con+urrent +onne+tions 'sta opo G utili1ada para especificar o nImero m.?imo de clientes permitidos para conectar ao mesmo tempo no ser"idor. Compression J possD"el utili1ar a compresso no tInel utili1ando o algorDtimo !P:. :0peGofGSer i+e $efine um ca(ealho no pacote +ue ir. passar pelo tInel para comparar de forma correta com o "alor dos pacotes encapsulados. !upli+ate Conne+tions Permite ".rias cone?Hes ao mesmo tempo dos clientes +ue utili1am o mesmo nome. Ad an+ed PodeEse definir opHes a"anadas nesta opo% onde estas sero inseridas no ar+ui"o de configurao da <P4.
: Iltimo passo seria criar uma regra na interface de saDda do firewall onde o ser"idor <P4% onde seria li(erada a porta 117/ no protocolo 9$P :rigem). 12.* IPSe+ IPSec IP Security Protocol) G uma e?tenso do protocolo IP% onde este pro"L segurana no nD"el da camada IP para comunicaHes atra"Gs da Internet. 'ste G parte o(rigatFria do Ip"3% porGm% no Ip"/ o uso G opcional. J considerada uma Ftima opo% seno a melhor para a
32
interligao de unidades% utili1ao de <P4 no modelo redeErede. Para iniciar a configurao da interligao entre matri1 e filial% de"eEse acessar o menu HP8 > IPSe+% e ento clicar no (oto adicionar na a(a 8unnels para criar uma <P4 IPSec. !ogo% as opHes necess.rias para a criao e funcionamento da <P4 so listadas a(ai?o: Interfa+e - interface a+ui utili1ada precisa ter cone?o direta com a internet para a comunicao com a outra ponta da <P4% neste caso de"eEse utili1ar a interface 0-4 na maioria dos casos. 'emote gate5a0 'ste G definido pelo IP remoto do segundo firewall% onde G criada a cone?o ponte). !es+ription 'ste campo G utili1ado para inserir uma (re"e descrio da <P4 criada. PreGS,ared 2e0 $e"eEse definir um password para a segurana na comunicao entre as pontas da <P4.
-pFs finali1ar a primeira etapa da configurao da <P4 do tipo IPSec% de"eEse clicar no (oto adicionar locali1ado a(ai?o da informao da <P4% desta forma de"eEse clicar no"amente no (oto e?i(ido de adio% desta forma sero e?i(idas as opHes para a identificao da rede local e remota: ;ode : modo G definido como 8unnel% logo G criado um tInel entre a rede local do firewall atual e a rede local do firewall remoto. Lo+al 8et5or. - rede local pode ser definida digitando o endereo de rede com sua respecti"a m.scara ou simplesmente selecionando !-4 su(net em 8ype. 'emote 8et5or. $efiniEse em 4etwork na seleo da opo 8ype% ento de"eEse definir o endereo de rede e a m.scara da rede remota. !es+ription $e"eEse inserir uma (re"e descrio so(re a rede remota +ue est. sendo configurada.
-o finali1ar esta configurao% de"eEse clicar em Sa"e para sal"ar as alteraHes feitas. Para finali1ar a configurao da <P4 e ento criar as regras necess.rias G necess.rio ha(ilitar a <P4 marcando a opo 'na(le IPSec e ento clicar em -pply changes. -pFs configurar de forma correta a <P4 IPSec% de"eEse criar uma regra na a(a IPSec% onde esta de"er. ter a funo de li(erar a comunicao na interface. - configurao feita atG
3,
ento tem +ue ser efetuada nas duas pontas do tInel 4os dois firewalls). -pFs finali1ar toda a configurao% tanto da matri1 +uanto da filial% de"eEse checar o status em Status S IPSec% caso o sinal de funcionamento esteCa diferente de "erde% G necess.rio "erficar a configurao e tudo feito atG ento% e ento iniciar clicando no (oto especDfico desta tela para tal ao.
1*. -oS
@oS @uality of Ser"ice)% refereEse a ".rios aspectos ligados a telefonia e redes de computador. 'ste G e?tremamente utili1ado na limitao da na"egao de redes% onde G possD"el definir por e?emplo a utili1ao da (anda atra"Gs do download e upload +ue a rede local poder. utili1ar. 1*.1 :raffi+ S,aper Para utili1ar o 8raffic Shaper no pfSense (asta acessar o su(menu &irewall S 8raffic Shaper% e efetuar a configurao para o controle de (anda de acordo com a respecti"a necessidade da rede local% desta forma priori1ando os pacotes necess.rios. Beralmente a opo escolhida se encontra na linha da coluna Single 0an multi !an% definida pelo nome traffic[shaper[wi1ard[multi[lan.?ml. -s opHes por etapas so definidas a(ai?o: $nter num%er of LA8 t0pe +onne+tions $e"eEse definir o nImero de redes e?istentes% como por e?emplo 2 dois)% !-4 e $AP. Lin. Epload $e"eEse informar o tamanho da (anda +ue ser. utili1ada para upload. Lin. !o5nload $e"eEse informar o tamanho da (anda +ue ser. utili1ada para download. LA8 interfa+e 8esta opo de eGse definir a interfa+e da rede lo+al (LA8&. HoIP -s opHes da prF?ima tela sF so utili1adas +uando se +uer definir um @oS para <oIP. 'nto definiEse a "elocidade de upload e download. Se no for o caso% (asta clicar em 4e?t para prosseguir atG a prF?ima etapa. Penalt0 Ao9 Permite redu1ir a prioridade de um endereo IP em particular ou de um alias. Peer to Peer net5or.ing J possD"el ter controle tam(Gm so(re o tr.fego P2P nesta tela atra"Gs das opHes +ue so apresentadas. 8et5or. ?ames 8am(Gm G possD"el ter controle so(re Cogos em rede atra"Gs destas opHes. *aise or lower other -pplications 'sta tela G utili1ada com a configurao respecti"a da rede local para outras
3/
aplicaHes +ue no foram listadas nas telas anteriores. Por fim% o (oto &inish G e?i(ido para ao clicar% finali1ar a configurao de @oS.
14. ;onitoramento
J de e?trema importUncia +ue e?ista um monitoramento "ia rede% mas tam(Gm G muito importante +ue o administrador da rede respons."el pelo firewall "erifi+ue os logs% acesso dos clientes% o status das interfaces e dos hosts% assim como os links de internet% porGm mais importante +ue isso G sa(er por onde comear +uando hou"er algum pro(lema. 'ste tFpico co(re os tipos possD"eis de monitoramento com o pfSense. 14.1 Lin. :s gateways criados no su(menu outing dentro do menu System podem ser "isuali1ados com seus respecti"os status atra"Gs do menu Status > !ateways% alGm de e?i(ir o status e outras informaHes como a +ual interface este gateway pertence% e tam(Gm +ual o IP +ue est. sendo utili1ado para monitorar se o gateway est. online ou no% outras a(as so e?i(idas para mostrar informaHes das rotas e os grupos de gateways. : pfSense tam(Gm apresenta gr.ficos dos links% para uma melhor an.lise do tr.fego. J possD"el "isuali1ar como anda o tr.fego relacionado ao upload e download de cada interface ou de todas atra"Gs do menu Status > " !raphs. - a(a 8raffic de"e ser selecionada para a e?i(io dos gr.ficos da utili1ao das interfaces:
: download G representado pela parte "ermelha do gr.fico% e o upload pela linha cin1a e?i(ida% onde outras informaHes podem ser "isuali1adas a(ai?o do gr.fico.
32
14.2 Interfa+es : su(menu Status>#nterfaces e?i(e informaHes so(re as interfaces reconhecidas pelo pfSense% onde atra"Gs deste G possD"el "irtuali1ar: Status Aostra o status da interface% onde esta pode estar up ou down no carrier). ;AC address : A-# da placa de rede so(re a interface em +uesto G e?i(ido a+ui. IP address -+ui% o IP G e?i(ido. Su%net mas. - m.scara de rede da interface pode ser "isuali1ada a+ui. ?ate5a0 : gateway G e?i(ido neste campo. ISP !8S ser ers :s ser"idores $4S so e?i(idos neste campo. In/out pa+.ets J possD"el "isuali1ar os pacotes +ue esto entrando e saDndo da rede de computadores atra"Gs do firewall a+ui. In/out pa+.ets (pass& 4este campo o filtro com os pacotes +ue ti"eram sua entrada permitida so e?i(idos a+ui. In/out pa+.ets (%lo+.& 4este campo so e?i(idos apenas os pacotes +ue ti"eram sua entrada e/ou saDda (lo+ueada. In/out errors Se hou"er algum erro na entrada ou saDda de pacotes% estes sero apresentados neste campo. Collisions Se hou"er alguma coliso entre pacotes% esta opo ir. e?i(ir estes.
14.* pf:op 'ste G utili1ado para monitorar a largura de (anda e o tr.fego de rede% onde G possD"el "er informaHes do tr.fego com origem% destino% status% pacotes e mais. '?istem ".rias opHes para a "isuali1ao das informaHes% onde a padro G representada por (ytes. J interessante utili1ar mais esta opo +ue o pfSense disponi(ili1a +uando pretendeEse o(ter informaHes de um IP em especDfico em uma "isuali1ao do tr.fego da rede sem gr.fico% pois todas informaHes so e?i(idas em tempo real% sem ter a necessidade de atuali1ar a p.gina e/ou entrar e sair dos menus para "isuali1ar os dados de forma atuali1ada:
33
14.4 Ping : ping G uma ferramenta (.sica +ue d. um retorno com uma resposta positi"a ou negati"a. 'ste geralmente G utili1ado para "erificar se h. ou no conecti"idade entre a comunicao do host de origem e o host de destino. 9m e?emplo (.sico% seria utili1ar essa ferramenta para en"iar pacotes ao google% desta forma se a resposta for positi"a% significa +ue o firewall est. conectado R internet. Para a utili1ao deste% de"eEse acessar o menu "iagnostics > Ping. 'ste e?emplo G e?i(ido na imagem a(ai?o:
4a imagem acima G possD"el perce(er +ue hou"e conecti"idade entre a origem interface !-4 do firewall) e o destino Site do google). -s opHes para a utili1ao desta ferramenta no modo gr.fico so definidas a(ai?o: )ost J o destino% para onde o firewall ir. en"iar pacotes para "erificar se h. retorno. Interfa+e 4esta opo definiEse +ual interface ser. utili1ar para "erificar a conecti"idade entre esta e o destino especificado.
35
Count 'sta opo especifica o nImero de saltos% a +uantidade de pacotes en"iados% +ue no caso da imagem acima foi definido o nImero , trLs).
J ".lido lem(rar +ue esta opo pode ser utili1ada tam(Gm na linha de comando com a opo 5 sete)% ou atra"Gs da opo 6 oito)% digitando o comando ping. 14.< :ra+eroute 8raceroute G utili1ado para "erificar o caminho% as rotas seguidas no caminho completo percorrido pelo pacote% este pode ser acessado atra"Gs do menu "iagnostics > $raceroute% a imagem a(ai?o detalha um e?emplo de utili1ao:
4este e?emplo G possD"el perce(er +ue h. uma perda de pacote apFs o host 2;;.177.62.7,% logo isso pode ser causado por um (lo+ueio com um simples firewall ou o host pode no estar em funcionamento com conecti"idade.
36
1<. Aa+.up/'estore
: pfSense disponi(ili1a uma opo +ue pode ser acessada atra"Gs do menu "iagnostics > %ackup& estore% onde atra"Gs deste G possD"el efetuar um (ackup de toda configurao ou parte desta para ento restaurar +uando necess.rio. - utili1ao desta ferramenta G de e?trema facilidade% e os su(tFpicos co(rem a utili1ao desta. 1<.1 Aa+.up -o acessar o respecti"o menu% podeEse efetuar o (ackup da configurao atual do firewall clicando no (oto $ownload #onfiguration% logo o (ackup poder. ser sal"o no computador utili1ado para acessar o firewall. PorGm% e?istem algumas opHes +ue pode customi1ar o (ackup: Aa+.up area Por padro% o (ackup G feito de toda a configurao% porGm G possD"el efetuar o (ackup por categorias% como por e?emplo% (ackup apenas da configurao das interfaces% das regras 4-8 ou atG mesmo apenas das informaHes do sistema. : ideal G +ue seCa feito um (ackup geral% e outros de cada categoria. !o not %a+.up pa+.age information 'ssa opo geralmente G utili1ada para diminuir um pouco o tamanho do (ackup% porGm G interessante +ue esta no seCa marcada% pois as informaHes dos pacotes so importantes para o sistema e para o administrador. $n+r0pt t,is +onfiguration file #om esta opo G possD"el criptografar o ar+ui"o de configurao% logo o (ackup ser. (em mais seguro. !o not %a+.up ''! data :s gr.ficos geralmente ocupam uma grande parte do espao utili1ado no =.$% logo o (ackup deles no G recomendado pois aumentar. o tamanho do ar+ui"o de (ackup.
1<.2 'estore -pFs efetuar o (ackup da configurao do firewall% G possD"el restaurar este utili1ando o mesmo menu: "iagnostics > %ackup& estore% utili1aEse as opHes em *estore configuration% onde estas so e?plicadas a(ai?o: *estore area $e"eEse definir +ual .rea ser. restaurada. 'm caso de restaurao de toda a configurao de"eEse selecionar -!! @ue C. G a opo padro). #onfiguration file is encrypted Se o ar+ui"o de (ackup for criptografado% de"eEse marcar esta opo.
37
-o selecionar o ar+ui"o% clicando em >rowse% o prF?imo passo G clicar no (oto *estore configuration% e logo as configuraHes sero restauradas.
5;

PfSense 2.x - Leonardo Damasceno

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

PfSense 2.x - Leonardo Damasceno

Enviado por

Direitos autorais:

Formatos disponíveis

http://www.aiyonetwork.

#riao de 4-8 1:1 4-8 :ut(ound

Instalao em )! #$E*:A para a instalao inicial 1 B> =$

$m%edded 126 A> #arto &lash Porta serial para o console

reiniciali1ao do computador% e C. comear a utili1ar o pfSense:

-o "isuali1ar a tela acima% as seguintes informaHes so ".lidas:

$epois de confirmar% a tela inicial com todos os menus ser. e?i(ida:

4. Configurao ini+ial (5e%&

- imagem ilustra a configurao a+ui feita:

<. 'e+on,e+imento dos menus

: menu de -Cuda pro"L uma "asta documentao so(re o sistema.

D. 8et5or. Address :ranslator (8A:& no pfSense

'"ita uma regra de sincroni1ar com outros mem(ros #-*P.

$epois de reali1ar a configurao (asta clicar em Sa"e para sal"ar a regra.

11. Ser ios

http://www.aiyonetwork.com J necess.rio especificar o nome do ser"idor =88PS% geralmente neste campo G

Você também pode gostar