Você está na página 1de 205

Livro do PfSense 2.

Um guia prtico com exemplos ilustrados de configuraes,


para usurios iniciantes e avanados sobre o PfSense 2.0

Feito originalmente em ingls por Matt Williamson


Traduzido por Christopher Persaud

01/2012

Consideraes iniciais
Eu, como um usurio que admira, uso e curto o PfSense 2.0, vi que existem
poucas apostilas e livros em portugus referente a esse excelente sistema
operacional, como vi que esse livro muito bom e muito bem explicativo, decidi
refaz-lo passando para o Portugus, no sei se j foi feito isso, mas estou fazendo a
minha parte, espero que me desculpem por alguns erros de traduo, apesar de eu ter
um pouco de noo em ingls eu traduzi a maior parte pelo Tradutor do Google, mas
no passei para o livro ao p da letra, eu li e passei para o livro de uma forma mais
explicativa possvel, algumas palavras que se referem ao Sistema PfSense 2.0 mantive
em ingls (at o momento em que foi traduzido esse documento em 12/01/2012,
ainda no tinha sado o PfSense em portugus).
No quero tirar o mrito de toda a equipe que fez o livro originalmente j que
muito explicativo e ilustrativo, e aborda muitos recursos que com certeza muitos no
sabiam que existia ou como usar.
Espero ter ajudado, essa foi minha contribuio para a melhora do projeto
PfSense no Brasil.

Acessem o frum em portugus do PfSense para aperfeioar a aprendizado


http://forum.pfsense.org/index.php?board=12.0

Um Salve a toda equipe PfSense do Brasil!!

Co pa tilha co heci e to t az

ais c esci e to do ue se i agi a

Tabela de Contedo
Capitulo 1 Configurao Inicial______________________________________________________________1
Introduo
1
Aplicando configuraes bsicas em General Setup
2
Identificando e atribuindo interfaces
3
Configurando a Interface WAN
6
Configurando a Interface LAN
8
Configurando Interfaces Opcionais
10
Habilitando o Secure Shell (SSH)
12
Gerando chaves RSA autorizada
14
Configurando o SSH com autenticao de Chave RSA
16
Acessando por Secure Shell (SSH)
18
Capitulo 2 Servios Essenciais
20
Introduo
20
Configurando o Servidor DHCP
20
Criando DHCP com mapeamentos esttico
23
Criando o DHCP relay
25
Especificando DNS alternativo
26
Configurando o DNS Forwarder
28
Configurando servidor de DNS/DCHP dedicado
30
Configurando DNS dinmico
32
Capitulo 3 Configurao Geral
35
Introduo
35
Criao de Alias
35
Criao de regras em NAT port forward
41
Criao de regras no Firewall
44
Criando agendamento
51
Acesso remoto ao desktop, usando exemplo completo
55
Capitulo 4 Rede privada Vi rtual (VPN)
60
Introduo
60
Criando VPN em um tnel IPSec
60
Configurando o servio L2TP VPN
63
Configurando o servio OpenVPN
69
Configurando o servio PPTP VPN
75
Capitulo 5 Configuraes Avanadas
87
Introduo
87
Criando um IP Virtual
87
Criando regra de NAT 1:1
93
Criando uma regra de NAT outbound
95
Criando Gateway
98

Criando uma rota esttica


Configurando o Traffic Shaping
Interfaces do tipo ponte
Criando uma LAN Virtual
Criando um Captive Portal
Capitulo 6 Redundncia, Balanceamento de carga e Failover
Introduo
Configurando Multiplas Interfaces
Configurando o balanceamento de carga em uma multi-WAN
Configurando o Failover em uma multi-WAN
Configurando um servidor de web com balanceamento de carga
Configurando um servidor web com Failover
Configurando um firewall CARP com Failover
Capitulo 7 Servios e Manuteno
Introduo
Habilitando OLSR
Habilitando PPPoE
Habilitando RIP
Habilitando SNMP
Habilitando UPnP e NAT-PMP
Habilitando OpenNTPD
Habilitando Wake On Lan (WOL)
Habilitando o log externo (servidor syslog)
Usando o PING
Usando o Traceroute
Fazer backup do arquivo de configurao
Restaurando o arquivo de configurao
Configurando o backup automtico do arquivo de configurao
Atualizao do Firmware do PfSense
Apndice A Monitoramento e Registros
Introduo
Personalizar a tela de Status Dashboard
Monitoramento de trfego em tempo real
Configurando SMTP de e-mail de notificao
Vendo os logs do sistema
Configurando um servidor de syslog externo
Visualizaes de grficos RRD
Visualizaes de mapeamentos DHCP
Monitoramento de filtro de pacotes com PfInfo
Monitoramento de trfego com PfTop
Monitoramento de atividades do sistema

100
102
107
108
110
114
114
114
119
122
125
129
132
139
139
139
141
143
144
145
147
148
151
153
154
156
159
161
162
168
168
168
170
171
173
176
177
183
186
187
188

Apndice B Determinar os requisitos de hardware


Introduo
Determinando o cenrio de implantao
Determinando os requisitos de rendimento
Determinando os requisitos das interfaces
Escolher o tipo de instalao
Melhor forma de uso
Informaes do tradutor

190
190
190
193
194
196
197
200

1
Configurao Inicial
Nesse capitulo, iremos abordar:

Aplicando configuraes bsicas em General Setup


Identificando e atribuindo interfaces
Configurando a Interface WAN
Configurando a Interface LAN
Configurando Interfaces Opcionais
Habilitando o Secure Shell (SSH)
Gerando Chaves RSA Autorizada
Configurando o SSH com autenticao de Chave RSA
Acessando por Secure Shell (SSH)

)ntroduo
PfSense um sistema operacional de cdigo aberto usado para transformar o computador em um
firewall, roteador. PfSense uma distribuio FreeBSD feita com base no projeto m0n0wall, uma distribuio
de firewall poderoso e leve. PfSense se baseia basicamente em m0n0wall e toma decises de todas as suas
funes, e foi adicionado mais uma variedade de servios de rede mais usadas.
Nesse capitulo iremos abordar as definies bsicas para implantao do PfSense; sendo um firewall,
roteador, ou at mesmo um AP sem fio! Uma vez o PfSense instalado e configurado de acordo com o descrito
nesse captulo, voc vai ter um firewall operacional q vai alm de um roteador. Em seu nvel mais bsico, uma
maquina PfSense pode ser usado para substituir um roteador domestico com a funcionalidade que deseja. Em
configuraes mais avanadas, PfSense pode ser usado para estabelecer um tnel seguro para um escritrio
remoto, equilbrio de carga de trfego. Existem realmente centenas de formas de se configurar um PfSense.

Uma vez o PfSense instalado, h duas maneiras de acessar o servidor remotamente, SSH e os WebGUI, uma
conexo SSH voc iria ver o menu igual ao visto se voc plugasse o monitor no servidor, no menu de opes
do SSH so bsicas e muito pouca configurao feita aqui. Toda configurao descrita em cada capitulo do
livro feita atravs da interface WebGUI, que pode ser acessada atravs do endereo de ip de qualquer
interface que voc configurou durante a instalao (como 192.168.1.1)

Aplicando Configuraes bsicas em


General Setup
Nessa receita iremos abordar configuraes bsicas feita no PfSense.

Se preparando...
Tudo que preciso pra fazer as configuraes uma base de instalado bem feita e acesso ao WebGUI.
Algumas dessas configuraes podem ter sido configuradas durante a instalao mas nada impede que possa
ser modificada a qualquer momento.
Em uma nova instalao as credencias de acesso padro:
Usurio: admin
Senha: pfsense
Como fazer
1. V em System | General Setup.
2. Digite um Hostname. Esse nome ser usado pra acessar a maquina pelo nome e no pelo endereo de
IP. Por exemplo podemos acessar digitando apenas http://pfsense em vez de http://192.168.1.1:

3. Digite o domnio em Domain.

4. Servidores de DNS podem ser especificados aqui. Por padro o PfSense vai atuar como DNS primrio e
esses campos ficaro em branco. Mas voc pode usar outros servidores de DNS. Consulte o DNS
alternativo no Capitulo 2 Servios Essenciais, para maiores informaes.

5. Marcar Allow DNS server list to be overridden by DHCP/PPP on WAN. Isso garante que todas as
solicitaes de DNS que no so resolvidas internamente, vo passar a ser resolvidas pelo servidor de
DNS do seu provedor ISP.

6. Digite o Fuso Horrio em Time Zone e deixe o padro NTP time server como 0.pfsense.pool.ntp.org.

7. Eu recomendo o Tema padro, Pfsense 2.0 o novo pfsense_ng. Os menus do topo agora so estticos e
no vai desaparecer se voc percorrer o contedo da pgina.

Veja tambm...

Configurando DNS Forwarder no capitulo 2 Servios Essenciais.


Especificando DNS alternativo no capitulo 2 Servios Essenciais.

)dentificando e atribuindo as )nterfaces


Aqui vamos descrever como identificar e atribuir as configuraes apropriadas para cada interface no
Pfsense.

Se Preparando...
Voc precisa identificar o endereo MAC de cada placa Ethernet no seu PfSense antes de atribuir as
interfaces.

Como faz-lo...
1. Acessar o console da maquina fsica atravs do monitor ou ativar o SSH acessando remotamente (Veja
ativando o Secure Shell(SSH) para mais detalhes).
2. A tela inicial exibir uma lista de interfaces, portas de rede e endereo de IP.

3. Escolha a opo 1 Assign Interfaces.


4. Pule a configurao de VLANs agora. Veja a criao de VLANs no Capitulo 5 Servios Essenciais para
mais informao.

5. Atribuir para cada interface, a interface de sua escolha correspondente ao endereo MAC para cada
endereo da interface na tela.

A capacidade de configurar apenas uma interface novo para o PfSense 2.0, sendo que nas verses
anteriores era preciso WAN e LAN.

Como ele funciona...


PfSense como qualquer outro sistema operacional para computador, usa referencia pra cada Placa de
Rede atribuindo valor nico pra cada interface (fxp0, em0, em1, e assim por diante). Esses identificadores
esto associados ao driver identificado pelo sistema para tornar fcil a nossa identificao na hora de associar
o MAC (00:80:0c:12:01:52). Sendo assim uma interface um nome dado a cada porta Ethernet: fxp0=WAN,
LAN=em0, em1=DMZ, e assim por diante.

H mais...
Agora voc sabe qual porta esta direcionada pra qual interface, voc pode gerenciar as futuras
mudanas atravs do WebGUI. Indo at Interfaces | (assign).

Veja tambm...

O acessando o Secure Shell em SSH


O configurando interface WAN
O configurando interface LAN
O configurando Interface Opcional

Configurando WAN interface


Aqui vamos aprender a configurar o Wide Area Network (WAN) na interface externa do nosso firewall.

Se Preparando...
A interface WAN que conecta seu firewall a internet. Voc vai precisar configurar corretamente a
WAN interface (como foi feito no capitulo anterior) pra uma conexo com a internet. No exemplo q vamos
usar um modem a cabo fornece acesso internet, mas o PfSense pode fazer outros tipos de conexo.

Como faz-lo...
1.
2.
3.
4.

V at Interfaces | WAN.
Marque Enable Interface.
Escolha o tipo de configurao de endereo em Type.
Deixe em branco o MAC address. Vo s ai p e isa i se i e de eo MAC se fo usa o spoofi g . O
seu provedor no pode verificar seus endereos MAC, ento atribuindo manualmente voc vai forcar o
Provedor fornecer um IP ou um conjunto diferente de DNS.
5. Deixe MTU, MSS, Hostname, e Alias IP Address em branco.

6. Marque Block private networks. Essa configurao normalmente marcada em uma s WAN
interface.
7. Marque Block bogon networks. Essa configurao normalmente marcada em uma s WAN interface.
8. Clique em Save.

Como ele funciona...


Devemos primeiro criar uma conexo com a internet antes de comearmos a configurar o PfSense e
permitir q a rede conecte a internet atravs dele. Se colocarmos o nosso firewall como nica maquina com
acesso direto a internet, estamos garantindo um ambiente seguro, estabelecendo um controle completo
sobre o trafego que flui dentro e fora da rede, toda o trafego deve passar agora pelo nosso firewall e respeitar
as nossas regras.

H Mais...
Agora podemos conectar o cabo de rede do modem na interface WAN que definimos na configurao
anterior do PfSense. Uma vez conectado o cabo de rede, podemos verificar o status de conexo na porta WAN
em Status | Interfaces:

Veja tambm...

O Identificando a Atribuindo as interfaces


O configurando interface LAN
O configurando interface opcional

Configurando a )nterface LAN


Aqui vamos aprender a configurar o Local Area Network (LAN) interface interna do nosso firewall.

Se Preparando...
A interface LAN usada pra conectar seus dispositivos internos em uma rede interna segura.
necessrio configurar a interface LAN corretamente.

Como faz-lo...
1.
2.
3.
4.

V at Interface | Lan.
Marque Enable Interface.
Escolha a configurao de endereo em Type.
Digite seu ip em IP address e mascara de subrede. Deixe Gatway em None.

5. Deixe Block privates network e Block bogon networks desmarcadas.


6. Clique em Save.

Como ele funciona


Voc acabou de configurar sua primeira rede interna. Se voc fez a configurao de acordo com o livro,
agora voc j conhece os requisitos mnimos para um bom funcionamento de um firewall! Voc j definiu
uma rede externa (WAN) e uma rede interna (LAN). Agora voc pode definir as regras de trafego entre os
dois.

H Mais...
Agora voc pode conectar o cabo de rede da rede interna na interface LAN do seu PfSense. Isso
permitira q voc se conecte aos computadores da rede interna.

Veja tambm...

O Identificando a Atribuindo as interfaces


O configurando interface WAN
O configurando interface opcional

Configurando )nterface Opcional


Aqui iremos descrever como criar e atribuir interface de rede opcional no nosso firewall.

Se Preparando...
A rede opcional que voc vai criar nesse exemplo, se refere a uma DMZ. A ideia de usar Zona Militar
Desmilitarizada de permitir a passagem de trafego direta ou no. A ideia do DMZ e controlada separada de
outras reas, se aplica DMZ nesse exemplo:
Trafego de internet | DMZ Trafego rede interna
O trafego de internet inseguro permitido entrar na DMZ, para acessar um servidor web por exemplo.
O trafego da Lan tambm pode entrar na DMZ se quiser acessar o servidor web tambm. No entanto o ponto
chave fica na ultima regra no permitindo a entrada de DMZ na rede interna.
A rede DMZ a rede menos segura, vamos permitir acesso externo s a determinado IP, para
configurar uma DMZ ou qualquer outra rede opcional, vamos precisar de outra interface disponvel.

Como faz-lo...
1.
2.
3.
4.
5.

V at uma interface disponvel, Interfaces | OPT1


Marque Enable Interface.
Em Description digite DMZ.
Escolha a configurao de endereo em Type, no exemplo foi escolhido Static.
Digite em IP Address o ip e selecione o tipo de mascara. Usaremos o 192.168.2.1 e selecione o tipo de
mascara a partir de 24 na lista.
6. Deixe Gatway em None.

10

7. Deixe Block privates networks e Block bogon networks desmarcados.


8. Clique em Save.

9. Clique em Apply Changes.

Como ele funciona


Sua rede DMZ vai permitir acesso externo (WAN). Sua DMZ tambm permitira acesso a partir da LAN,
mas no tero permisso de enviar trafego para LAN. Isso ir permitir que as requisies vindas da internet
para acessar recursos do seu DMZ (websites, e-mail, assim por diante) no enxerguem sua rede interna (LAN).
11

H mais...
Agora voc pode conectar um switch ligado interface DMZ para se conectar em varias maquinas. Iria
ficar como o diagrama a seguir:

Veja tambm...

O Identificando a Atribuindo as interfaces


O configurando interface WAN
O configurando interface LAN

(abilitando o Secure Shell SS(


Aqui iremos descrever como habilitar o Secure Shell (SSH) no PfSense.
12

Se preparando...
SSH um protocolo de rede que permite q comunicao criptografada entre dois dispositivos.
Ativando o SSH permiti acesso seguro para o console do PfSense remotamente, como se voc estivesse
sentado na frente do servidor com o PfSense.

Como faz-lo...
1. V at System | Advanced | Secure Shell.
2. Marque Enable Secure Shell.
3. Voce sera solicitado a fornecer credenciais quando voc se conectar remotamente por SSH (use o
mesmo nome de usurio e senha que voc conecta por WebGUI), voc pode marcar Disable password
login for Secure Shell. Isso ira permitir q voc use chave RSA, veja mais a frente para maiores
informaes.
4. Deixe SSH Port em branco, que vai ser usado porta padro 22.

5. Clique em Save que o servio de SSH eh habilitado automaticamente.

Como ele funciona...


Ativando o Secure Shell SSH permiti ao PfSense ouvir as requisies da porta 22 ou a porta que voc
especificar em SSH Port.
Assim como todos os servios. O servio SSH ir ouvir em cada interface disponvel. Assim como outros
servios, regras de firewall so usadas para permitir ou bloquear acesso a esses servios. Consulte o Capitulo 3
Configuraes Geral, para obter mais informaes de como configurar regras de firewall.

H mais...
Mudando o mtodo de autenticao do SSH para usar chaves RSA uma tima maneira de proteger
acesso ao seu sistema. Veja abaixo para mais detalhes.
Alm disso voc pode alterar a porta em que o servidor escuta o SSH. Fazendo isso voc pode
aumentar a segurana ainda mais do seu sistema, reduzindo o numero de tentativas de login no autorizado,
mas preciso se lembrar da porta que voc alterou se no, no ir poder se conectar novamente.

Veja tambm...

O Gerando Chaves autorizadas RSA


O Criando regras de firewall no Capitulo 3 Configuraes Geral
13

Gerando Chaves autorizadas RSA


Aqui vamos descrever como ciar uma chave RSA autorizada para que um usurio possa se conectar ao
PfSense sem ser solicitado uma senha.

Se preparando...
Usurios de Linux e Mac tero que ter o ssh-keygen instalado em seu sistema (quase todas as
distribuies j vm instalado por padro em seu sistema). Usurios do Windows tero que baixar e instalar a
ferramenta PuTTYgen.

Como faz-lo...
Gerando chaves SSH em computadores Linux/Mac da seguinte maneira:
1. Abrir terminal e digite:
ssh-keygen
2. Guardar a chave no local padro /home/user/.ssh e especificar uma senha (opcional, mas
recomendado).
3. Sua chave publica esta localizada agora em /home/user/.ssh/id_rsa.pub

Gerando chaves SSH em computadores Windows usando PuTTY da seguinte forma:


4. Abra PuTTYgen e gere um par de chaves publica/privada clicando no boto Generate.
5. Digite uma senha (Opcional, mas recomendado)
14

6. Clique em Save Private Key e escolha um local como C:\MyPrivateKey.ppk

7. Selecione a chave publica q foi gerada na caixa de texto, copie e cole em um novo arquivo, digamos
C:\MyPrivateKey.txt (No use o boto Save public key que adiciona comentrios e outros
campos q so as vezes incompatveis).

15

Como ele funciona...


Chaves RSA se tornaram um padro para proteger as conexes de Cliente/Servidor para qualquer
servio. Um cliente gera um par de arquivos uma chave privada e uma chave publica(uma senha opcional
pode ser usada para maior segurana), agora qualquer administrador do servidor pode adicionar uma chave
publica de clientes em seu sistema, e o cliente pode se autenticar no servidor sem precisar digitar uma senha.

H mais...
Autenticao de chave RSA mais usada com acesso SSH, e muitas vezes se referem a ela como
Chaves SSH, mas isso no verdade. Chave RSA uma forma de segurana que tambm pode ser usada em
SSH. Embora muito usado em SSH ela tambm pode ser usada como VPN, VoIP, FTP, e assim por diante.

Veja tambm...

O Habilitando o Secure Shell (SSH)


O Gerando Chaves autorizadas RSA

Configurando SS( com autenticao de


chave RSA
16

Aqui vamos descrever como configurar o PfSense para usar uma chave RSA em vez de senha para
autenticao SSH.

Se preparando...
Certifique-se que voc j ativou o SSH e j gerou uma chave publica.

Como faz-lo...
1. V at System | Advanced | Secure Shell
2. Marque Disable password login for Secure Shell (RSA key only).

3. Editar o usurio que ir associar com a chave publica, v em System | User | Manager | Edit
admin.
4. Cole em Authorized Keys a chave publica do cliente RSA. Quando ele for colado, a chave deve
aparecer em uma nica linha. Certifique-se de que seu editor de texto no insira quaisquer
caracteres que alimente a linha do espao ou ento a autenticao pode falhar.

5. Clique em Save.

Como ele funciona...


Quando um cliente se conectar por SSH, no ser solicitado uma senha. Ao invs disso, o SSH usa a
sua copia da chave publica RSA para enviar uma comparao com a chave privada do cliente
correspondente.

H mais...
Chaves RSA privadas tambm podem ser salvas criptografadas na maquina do cliente. O cliente SSH
vai pedir uma senha pra descriptografar a chave privada antes de ser usada para autenticao com
o servidor.

Veja tambm...

O Habilitando o Secure Shell (SSH)


O Gerando Chaves autorizadas RSA
17

O acessando o Secure Shell em SSH

Acessando o Secure Shell SS(


Aqui vamos descrever como acessar o console do PfSense usando cliente Linux, Mac ou Windows.

Se preparando...
O SSH j deve estar habilitado e configurado no PfSense. Usurios do Linux, Mac tero o cliente
SSH instalado por padro. Os usurios Windows tero q baixar o PuTTY.

Como faz-lo...
Conectando via SSH usando cliente Linux/Mac:
1. Abra a janela do terminal e execute:
ssh admin@192.168.1.1
2. Se voc estiver usando a configurao padro, ento ser solicitado uma senha.
3. Se voc estiver usando chave de autenticao RSA, voc vai ser conectado diretamente ou ser
solicitado a digitar uma senha associada com sua chave. Se precisar especificar a localizao do
seu arquivo de chave privada, voc pode usar a opo i dessa forma:
ssh -i /home/matt/key/id_rsa admin@192.168.1.1
4. Se voce configurou o PfSense pra usar uma porta diferente, voc pode especificar usando a
opo p, igual o exemplo a seguir:
ssh -p 12345 admin@192.168.1.1
Conectando via SSH usando cliente Windows com o PuTTY:
5. Abra o PuTTY e digite o Hostame ou o IP do servidor
6. Especifique uma porta alternativa se houver a necessidade, a padro 22.
7. Se voc usar a chave de autenticao RSA. Procure o arquivo da chave privada em
Connection | SSH | Auth | Private key file for authentication.

18

8. Voc vai se conectar e ser solicitado um nome de usurio.


9. Voc vai ter q digitar uma senha, ou se voc usar autenticao por RSA voc vai ser conectado
diretamente ou vai ser solicitado uma senha pra descriptografar sua chave privada.

Como ele funciona...


O SSH permite ter acesso ao console de configurao do PfSense a partir de qualquer
computador que tenha um cliente SSH. Voc pode at acessar o console a partir do seu
telefone, se voc instalar o cliente SSH no seu dispositivo mvel.

Veja tambm...

O Habilitando o Secure Shell (SSH)


O Gerando Chaves autorizadas RSA
Configurando SSH com chave de autenticao RSA

19

2
Servios Essenciais
Nesse capitulo, iremos abordar:

Configurando o Servidor DHCP


Criando DHCP com mapeamento esttico
Configurando o DHCP relay
Especificando DNS alternativo
Configurando o DNS Forwarder
Configurando servidor de DNS/DHCP dedicado
Configurando DNS dinmico

)ntroduo
Depois de instalar o PfSense e executar os passos se configurao inicial, temos agora a estrutura
bsica do nosso sistema funcionando, at agora temos:
Determinamos a necessidade do nosso sistema
Configuramos o acesso por SSH
Configuramos a WAN, LAN e o Opcional DMZ
Agora estamos prontos para comear a configurar os servios de rede essenciais que o nosso PfSense
vai proporcionar.
O servio de DHCP permite que as estaes peguem endereos de ip automaticamente.
O servio de DNS converte os IPs em nomes legveis de endereo de internet, e vive-versa.
O servio de DNS dinmico permite o PfSense atualizar automaticamente o registro e DNS ao
publico assim q ele mudar.

Configurando o servidor D(CP


20

Aqui iremos descrever como configurar o servio de DHCP do PfSense. O servio de DHCP atribui um
endereo de ip a qualquer cliente q solicitar um.

Se preparando...
O PfSense s pode ser configurado como um servidor de DHCP se a interface estiver com endereo de
ip esttico. Nesse livro iremos abordar a interface LAN e DMZ, e no a WAN. O Exemplo abaixo aborda
configurar o servidor DHCP para a interface DMZ.

Como faz-lo...
1. V em Services | DHCP Server.
2. Selecione a aba DMZ.
3. Marque Enable DHCP Server on DMZ interface.

4. Selecione em Range os ips que os clientes podero usar. Os ips devero estar dentro da faixa de ip
contida em Available range.

5. Clique em Save para salvar e habilitar o servio de DHCP.


6. Clique em Apply Changes, necessrio para que as alteraes entre em vigor.

Como ele funciona...


O servidor DHCP aceita as solicitaes de requerimento de IP, e atribui um ip disponvel sem que
haja algum problema de duplicidade de IP.

H mais...
Um servidor DHCP manda um ip disponvel pra um cliente que esteja solicitando, eh provvel que
quando o cliente faa novamente a solicitao o ip que o servidor manda vai mudar a cada pedido.
Para garantir que o cliente sempre receba o mesmo endereo de IP podemos criar um
mapeamento esttico do DHCP. Veja no prximo exemplo.

Negar clientes desconhecidos


Habilitando essa opo garante que apenas os clientes com mapeamento cadastrado iro receber
endereos de ip. Solicitaes de DHCP vindo de clientes no cadastrados sero ignorados.

21

diferente do que marcar a opo Enable static ARP entries onde os clientes desconhecidos iro receber
endereos de ip, mas no vo ser capazes de se comunicar com o firewall de nenhuma forma.

Servidor de DNS
Voc pode especificar manualmente qual DNS os clientes iro ser atribudos. Se deixar em branco o
PfSense ir atribuir o DNS em uma das duas formas:
Se o DNS forwarder estiver habilitado, o DNS vai ser o IP da interface local do PfSense, isso porque o
DNS Forwarder torna a prpria maquina PfSense em um servidor DNS.
Se o DNS forwarder estiver desabilitado, ento devero ser configurados em General Setup os
endereos de DNS. E claro, se Allow DNS server list to be overridden by DHCP/PPP on WAN estiver
habilitado em General Setup os servidores DNS sero obtidos atravs da porta WAN.

Gateway
O gateway das maquinas clientes por padro ser o ip da interface local usada como servidor de DHCP,
mas pode ser mudada colocando um valor, se necessrio.

Domain Name
O nome de domnio configurado em General Setup vai ser usado como padro mas pode ser usado um
nome de domnio diferente especificado se houver a necessidade.

Default Lease Time


um valor que pode ser usado para especificar um tempo mnimo que expire o acesso por DHCP. O
tempo padro 7200 segundos

Maximum Lease Time


um valor que pode ser usado para especificar um tempo maximo que expire o acesso por DHCP. O
tempo padro 86400 segundos.

Failover Peer IP
Sistema que pode configurar um endereo de ip que sirva como Fail-Over de balanceamento de carga.
Veja a configurao de balanceamento de carga e Fail-Over no capitulo 6.

Static ARP

22

Habilitando o Static Arp vai permitir que somente os ips cadastrados no mapeamento esttico de
DHCP iro se comunicar com o firewall. Clientes no cadastrados at podero pegar ip mas no se
comunicaro com o firewall.
Isso eh diferente de Deny unknown clientes onde os ips que no esto cadastrados nem se quer
chegam a pegar ip.

Dynamic DNS
Permite que os clientes sejam registrados automaticamente com o domnio de DNS dinmico
especificado.

Additional BOOTP/DHCP Options


Digite um valor a sua escolha obedecendo as regras listadas nesse site:
http://www.iana.org/assignments/bootp-dhcp-parameters/bootp-dhcp-parameters.xml

Veja tambm...

Criando mapeamento esttico por DHCP


Configurao de balanceamento de carga e Fail-Over no capitulo 6.

Criando D(CP com mapeamento esttico


Aqui vamos descrever como ativar e configurar o mapeamento esttico do DHCP no PfSense. O
mapeamento esttico garante que o cliente sempre pegue o mesmo IP.

Se preparando...
O DHCP com mapeamento esttico s se aplica para as interfaces que utilizam o servio de DHCP.

Como faz-lo...
1. V at Status | DHCP leases ento voc ver a lista de clientes que fizeram a requisio de ip pro
DHCP.

23

2. Ento clique no boto com o s olo + p a adi io a o ip o apea e to estti o.


3. O endereo MAC ser cadastrado.
4. Digite em IP address o ip que voc deseja atribuir para aquele cliente, esse ip tem que estar fora
dos ips cadastrados em Range, que esse vai ser atribudo pra outros clientes que fizerem a
requisio de ip.
5. Deixe o Hostname j pre configurado, ou ento digite um a sua escolha.
6. Em Description digite uma descrio que voc possa identificar o computador do cliente.

7. Clique em Save.
8. Clique em Apply Changes, v at a pgina DHCP Server no final da pagina voc vai ver o
mapeamento que foi criado.

Como ele funciona...


Quando um cliente faz uma requisio de ip automtico no servidor DHCP do PfSense, se o
endereo MAC estiver cadastrado no mapeamento ento o cliente pega o ip cadastrado referente
ao MAC. Se o MAC no estiver cadastrado ento atribudo um ip ao cliente dentro da gama de ip
cadastrado em Range.

H mais...
Os ips cadastrados no mapeamento esttico podem ser vistos na pagina DHCP Server na parte
inferior da pgina, voc vai at Services | DHCP Server | Interface selecionando a aba
correspondente da interface.
Todos os ips estticos cadastrados voc ver nessa tela, voc pode modificar, remover, at
criar um novo ip esttico para o cliente, mas se voc criar por aqui o endereo MAC vai precisar
ser atribudo manualmente.

24

Veja tambm...

O Configurando servidor DHCP


O Configurando servidor DHCP relay

Configurando o D(CP relay


Aqui vamos configurar o DHCP para retransmitir pedidos DHCP de outro domnio. Especificando o
DHCP relay mais uma alternativa pra configurar o DHCP no PfSense.

Se preparando...
O DHCP relay s pode ser ativado se o servio de DHCP de todas as interfaces estiver desativado, voc
pode desativar o servio da seguinte forma:
1.
2.
3.
4.

V at Services | DHCP Server | Interface seleciona a aba (a LAN por exemplo).


Desmarque a opo Enable DHCP Server on LAN Interface.
Clique em Save.
E clique em Apply Changes.

Como faz-lo...
1. V at Services | DHCP relay.
2. Marque a opo Enable DHCP relay on Interface.
3. Selecione qual interface vai usar o DHCP relay, se quiser selecionar mais de uma interface clique
as duas o o oto t l p essio ado.
4. Em Destination Server digite o endereo de ip do servidor DHCP que voc deseja usar como
destino. Vrios ip podem ser usados desde que sejam separados por virgula.
5. Clique em Save.
6. Clique em Apply Changes.
25

Como ele funciona...


O PfSense pode ser configurado para retransmitir um pedido de DHCP feito a outro servidor DHCP
existente, qualquer pedido de DHCP ser enviado ao servidor com o ip configurado em DHCP relay
e devolvida a resposta ao cliente que requisitou.

Append Circuit ID and Agent ID to Requests


Marcando essa opo o PfSense pode tambm acrescentar nas requisies de ip sua
identificao junto ao pedido de ip se houver a necessidade.

Usando o DHCP relay pela interface WAN


Usando o DHCP relay pela interface WAN no foi implementado at a verso 2.0 do PfSense
quando foi feito o livro.

Veja tambm...

O Configurando servidor DHCP


O Configurando servidor DHCP relay

Especificando DNS alternativo


Aqui vamos descrever como usar o DNS alternativo, que seja diferente do configurado por padro pelo
PfSense.

26

Se preparando...
Quando se trata de resoluo de nomes DNS, na maioria dos ambientes fornecida pelo seu provedor
de internet ISP atravs da WAN. Por padro no preciso definir nenhum DNS, porque atribudo pelo
prprio PfSense se a opo Allow DNS server list to be overridden by DHCP/PPP on WAN estiver marcada.
Mas se por algum motivo voc quiser atribuir outro DNS alternativo ter que seguir os seguinte passos.

Como faz-lo...
1. V em System | General Setup
2. O DNS Servers ter que conter as seguinte configuraes:
Especificar o IP e gateway pra cada linha do DNS Servers.
Desmarque Allow DNS server list to be overridden by DHCP/PPP on WAN.
3. Clique em Save.
4. Clique em Apply Changes.

Como ele funciona...


Os servidores DNS especificados manualmente sempre tero prioridade a menos se for substitudo
pelas seguintes opes.
Os servidores DNS que foram colocados no exemplo so servidores pblicos que podem ser usados pra
diagnosticar problemas de DNS.

Usando o DNS Forwarder


Se o DNS Forwarder estiver habilitado podemos substituir os servidores DNS por domnios individuais
ou at mesmo dispositivos individuais. Para saber mais informaes consulte o Configurando o DNS
Forwarder. O DNS Forwarder tem preferencia sobre todos os pedidos de DNS.

Usando o DNS da sua WAN

27

Quando Allow DNS server list to be overridden by DHCP/PPP on WAN estiver marcado. O PfSense
usa o DN da WAN se falha e to passa a usa os DNs listados adast ados. Depois do DN Fo a de
ele que tem preferncia sobre os pedidos de DNS.

Veja tambm...

O Configurando DNS Forwarder.

Configurando o DNS Forwarder


Aqui vamos descrever como configurar o DNS Forwarder no PfSense. O DNS Forwarder do PfSense
permite agir como um servidor de DNS com uma srie de vantagens.

Se preparando...
O DNS Forwarder permite o PfSense resolver os pedidos do DNS usando o hostname obtido pelo
servio de DHCP, ou manualmente se voc inseriu as informaes manualmente. O DNS Forwarder tambem
pode encaminhar todas as solicitaes de DNS para um determinado domnio especificado manualmente.

Como faz-lo...
1. V em Services | DNS Forwarder | Enable DNS Forwarder
2. Se Register DHCP leases in DNS Forwarder estiver marcado, todos os dispositivos em Status |
DHCP Leases usar a funo do DNS Forwarder.
3. Se Register DHCP static mappings in DNS Forwarder estiver marcado, todos os dispositivos
conectados e mapeados em qualquer aba de interface em Services | DHCP Server usar o servidor
configurado.

4. Especificando individualmente em Hosts estar usando os regist os do DN. Cli a do o oto +


voc adiciona um registro, dispositivos cadastrados nessa lista ter seu pedido imediatamente
devolvido tendo preferencia.
28

5. Voc pode especificar um DNS em particular em Domain, li a do o oto + pa a adi io a u


registro. Esses registros so verificados imediatamente logo depois dos registros individuais a cima,
por isso aqui pode ter preferencia em registros existentes em outros lugares.

6. Clique em Save.
7. Clique em Apply Changes.

Como ele funciona...


Se o DNS Forwarder estiver marcado, ele vai ter prioridade sobre todos os pedidos de DNS, a
resposta vai na seguinte orgem:
1. Registro de dispositivos individuais (Services | DNS Forwarder).
2. Registro de domnios especficos (Services | DNS Forwarder).
3. Mapeamento de DHCP esttico (Services | DHCP Server | Interface) selecione a aba.
4. DHCP Leases (Status | DHCP Leases).

Veja tambm...

O Configurando o servidor DHCP


O Criando o DHCP com mapeamento esttico
O Configurando o servidor DHCP/DNS dedicado

29

Configurando o servidor D(CP/DNS


dedicado
Aqui vamos descrever como configurar o PfSense com DNS e DHCP dedicado

Como faz-lo...
1. Configure o PfSense como servidor DHCP. Veja Configurando o servidor DHCP.
2. Crie um mapeamento esttico para cada dispositivo que v se conectar com ip automtico em seu
sistema.
3. V em System | General Setup
4. Se certifique que nenhum outro DNS esta configurado na lista.
5. Marque a opo Allow DNS server list to be overridden by DHCP/PPP on WAN, nesse modo o
PfSense vai resolver os nomes de DNS vindo direto da interface WAN.
6. Clique em Save.
7. Clique em Apply Changes se necessrio.

8. V at System | DNS Forwarder


9. Marque Enable DNS Forwarder.
10. Marque Register DHCP static mappings in DNS Forwarder.
30

11. Criar um registro em Host pra qualquer dispositivo que precise ser resolvido, mas no pode estar
no mapeamento DHCP (ele deve ser configurado ip manualmente)
12. Criar um registro em Domain para todos os pedido de DNS que voc gostaria que fosse direcionado
pra um determinado domnio.

13. Clique em Save


14. Clique em Apply Changes.

Como ele funciona...


Se o DNS Forwarder estiver habilitado, todas as solicitaes de DNS de cada interface ser
solicitado pelo PFsense. Registros individuais cadastrados em Host vo ser verificados, se ele for
correspondido ento ele imediatamente devolvido.
Se habilitar o Register DHCP Static Mappings voc no ter que se preocupar com criao de registros
DNS para os dispositivos. Esse o meu mtodo preferido de usar o PfSense como um servidor de DNS.
31

Contando que ter que mapear todos os endereos de ip pra cada dispositivo da rede que o hostname
resolver automaticamente.
Usando esse mtodo nos vamos ter que adicionar os hostnames e ips de computadores que no
usarem DHCP que devem ser poucos na rede.

Registrando em DHCP Leases o DNS Forwarder


Se Register DHCP Leases in DNS Forwarder estiver marcado, o PfSense vai registrar quaisquer
dispositivos que tiver um hostname e fizer um pedido de DNS. A desvantagem claro que nem todos os
dispositivos vo se conectar se no estiver cadastrado no mapeamento esttico do DHCP, eu prefiro registrar
todos.

Veja tambm...

O Configurando o servidor DHCP


O Criando o DHCP com mapeamento esttico
O Configurando DNS Forwarder

Configurando DNS Dinmico


Aqui vamos descrever como configurar o servio de DNS dinmico no PfSense.

Se preparando...
No PfSense j vem integrado o servio de DNS dinmico permitindo atualizar automaticamente toda
vez que muda o endereo de ip da interface.

Como faz-lo...
1.
2.
3.
4.
5.

V em Services | Dynamic DNS


Clique na aba DynDNS
Cli ue o oto + pa a adi io a u
o o egist o
Escolha o Service Type (Ou seja, o prestador de servio de DNS dinmico)
Especifique em Interface to Monitor a interface ligada na internet pela qual deseja configurar
(geralmente usada a interface WAN)
6. Digite em Hostname o nome que voc criou no provedor do DNS dinmico, no exemplo o
DynDNS
7. Marque o Wildcard, se for o caso
8. Digite em username e password as credenciais que voc configurou no provedor de DNS dinmico,
no exemplo o DynDNS.
9. Digite em Description uma descrio qualquer que voc possa reconhecer posteriormente.
10. Clique em Save.
11. Clique em Apply Changes.
32

Como ele funciona...


Sempre que o endereo de ip muda da interface, o PfSense automaticamente se conecta com o
provedor de DNS dinmico usando as credenciais cadastradas e atualiza todos os dados.

Servios de provedores de DNS dinmico cadastrados


O PfSense j vem com os provedores de DNS dinmico mais usados j cadastrados:

DNS-0-Matic
DynDNS
DHS
DyNS
easyDNS
No-ip
ODS
ZoneEdit
Loopia
freeDNS
DNSexit
33

OpenDNS
NameCheap

Especificando um servio alternativo usando o RFC 2136


Mas se voc quiser usar um provedor DNS dinmico que no esteja cadastrado, voc pode usar ele
desde que obedea ao padro RFC 2136. V em Services | Dynamic DNS | na aba RFC 2136, em seguida
preencha nos campos apropriados os dados fornecido pelo seu provedor de DNS dinmico.

34

3
Configurao Geral
Nesse capitulo, iremos abordar:

Criao de Alias
Criao de regras em Nat port forward
Criao de regras no firewall
Criando agendamento
Acesso remoto ao desktop, usando exemplo completo

)ntroduo
A principal funcionalidade de qualquer firewall a criao de portas, regras de segurana no firewall, e
no PfSense no diferente. Estas caractersticas, e outras, podem ser encontradas no menu Firewall na
pagina principal da WebGUI.
Neste capitulo vamos explicar como configurar essas regras e explicar cada caractersticas associadas a
cada uma, depois de ter feito de tudo um pouco voc vai ver o quanto fcil a configurao do firewall do
PfSense.

Criando Alias
Aqui vamos explicar como usar, criar, editar e excluir Alias. O Alias fornece um grau de separao entre
as regras e valores que podem mudar no futuro (por exemplo, endereos de IP, portas, e assim por diante).
sempre bom usar Alias.

Como faz-lo...
1.
2.
3.
4.
5.

V em Firewall | Aliases
Cli ue o oto + para adicionar um novo Alias.
Em Name digite o nome do Alias
Em Description digite uma descrio prvia do que voc vai querer nesse Alias
Selecione um tipo de Alias em Type. Sua configurao a seguir vai se basear no que voc
selecionar.
35

Veja que a mais tipos de Alias, nas sees seguinte vamos ver detalhes sobre cada uma delas (Host,
Rede, Usurios Open VPN, URL e tabelas URL)

6. Clique em Save.
7. Clique em Apply Changes.

Como ele funciona...


Um Alias um lugar de suporte para obter informaes que podem mudar. Um Alias de host um
bom exemplo, podemos criar um Alias de host chamado Computer 1, e guardar um endereo de ip
192.168.1.200.
Podemos ento criar varias regras de firewall e Nat e usar o nome Computer 1 em vez de
especificamente o endereo de IP do Computer 1. Se o endereo de ip do Computer 1 mudar, s mudar no
Alias o ip referente ao Computer 1 ao invs de mudar inmeras regras criadas para aquele ip.
Os Alias permitem e flexibilidade e torna simples algumas mudanas futura. sempre bom usar Aliases
sempre que possvel.

H mais...
Adicionando Alias dentro de Alias, tambm uma tima maneira de gerenciar e simplificar regras. Para
mostrar o poder do Alias, digamos que a nossa organizao tem um telefone VoIP nico, que deve se
comunicar com o nosso servidor VoIP.
Um exemplo dessa regra sem Alias a seguinte:

36

Um exemplo melhor, usando Alias, a seguinte:

Um exemplo ainda melhor usando sub-Alias, seguinte:

Com o sub-Alias nos permite modificar facilmente mais telefones, basta modificar um Alias.

Host Alias
Selecionando Host(s) como tipo de Alias permite que voc crie um Alias contendo um ou mais
endereos de IP:

37

Network Alias
Selecionando Network(s) como tipo de Alias, permite que voc crie Alias um ou mais tipos de redes
(ou seja, intervalos de endereo de rede).

Port Alias
Selecione Port(s) como tipo de Alias, permite que voc crie alias com um ou mais portas:

OpenVPN Users Alias


Selecione OpenVPN Users como tipo de Alias, permite que voc crie um ou mais nomes de usurios
OpenVPN.

38

URL Alias
Selecionando URL o o tipo de Alias, pe

ite ue o

ie u

ou

ais alias o te do URLs:

URL Table Alias


Selecionando URL Table como tipo de Alias, permite que voc crie uma URL nica apontando para uma
grande lista de endereos. Isso muito importante quando voc precisa importar uma grande lista de
endereos de ips e/ou subredes.

Usando o Alias
O Alias pode ser usado em qualquer lugar que voc veja uma caixa de texto da cor vermelha. Basta
comear a digitar que o PfSense vai exibir qualquer Alias disponvel correspondente com o texto que voc
comeou a digitar.

Editando o Alias
Para modificar um Alias existente, siga esses passos:
1. V at Firewall | Aliases
39

2.
3.
4.
5.

Cli ue o oto de edio pa a edita o Alias


Faa as mudanas necessrias
Clique em Save
Clique em Apply Changes.

Deletando um Alias:
Para remover um Alias existente, siga esses passos:
1. V at Firewall | Aliases.
2. Clique o oto de delete pa a deleta o Alias
3. Clique em Save
4. Clique em Apply Changes

Importando dados em lotes no Alias


Para importar uma lista de vrios endereos IP, siga estes passos:
1.
2.
3.
4.
5.

V at Firewall | Aliases
Clique no boto de importao de Alias para importar em lotes.
Digite um nome para a importao em Alias Name
Digite um nome para descrio do Alias em Description.
Cole a lista de endereos que voc quer importar um por linha no Alias

6. Clique em Salvar.
7. Clique em Apply Changes

Veja tambm...

O Criando Nat com regra de Port Forward


O Criando regras de Firewall.
40

Documento Oficial http://doc.pfsense.org/index.php/Aliases

Criando Nat com regras de Port Forward


Aqui vamos descrever como criar, editar e excluir regras de Port Forward.

Se preparando...
A complexidade das regras de Port Forward pode variar muito. Todos os aspectos de uma regra de
Port Forward so aprofundados mais adiante. O seguinte cenrio um exemplo tpico de Port Forward para
encaminhar qualquer solicitao recebida pela web (HTTP) para um computador j configurado como servidor
web

Como faz-lo...
1.
2.
3.
4.
5.
6.
7.
8.
9.

V at Firewall | NAT
Seleciona a aba Port Forward.
Cli ue e + pa a adi io a u a eg a de Po t Fo a d.
Em Destination port range, escolha HTTP em from e to na caixa de menu
Em Redirect target IP especifique o servidor web de trfego para qual vai ser encaminhado, pode
ser por Alias ou IP.
Em Redirect target Port escolha HTTP.
Digite uma descrio em Description, no exemplo usamos Forward HTTP to webserver1
Clique em Save.
Clique em Apply Changes.

41

Por padro uma regra de firewall criada para permitir que o trfego passe, mas muito importante
lembrar que as regras de NAT e Firewall so distintos e separados. As regras de NAT servem para encaminhar
o trfego, enquanto as regras de firewall so para permitir ou bloquear o trfego. muito importante lembrar
que s porque uma regra NAT esta encaminhando um trfego, no quer dizer que o Firewall no possa
bloquear ela.

Como ele funciona...


Todo o trfego passa atravs da lista de regras de NAT, com os seguintes critrios:

Interface
Protocolo
Origem e intervalos de portas de origem
Destino e intervalos de portas de destino

Se todo o trfego corresponde a todos os critrios desta regra, que o trfego ser redirecionado para o
Redirect target IP e Redirect target port especficos.
Assim como todas as regras do PfSense, regras de NAT so lidas de cima para baixo, a primeira regra
executada imediatamente e o restante ignorado.
Nossos exemplos podem ser lidos assim:
O trfego de:
42

A Internet (Interface: WAN)


A partir de qualquer cliente (Source) em qualquer porta (Source Port Range)
Indo para:
Nosso endereo de IP Publico (Destination WAN address)
Com um pedido de website (Protocol: TCP, Destination Port Range: HTTP)
Ser redirecionado para:
Um computador em particular (Redirect Target IP: Webserver1)
Com o mesmo pedido (Protocol: TCP, Redirect Target Port: HTTP)

H mais...
As regras de NAT podem ser configuradas usando uma variedade de opes:

Disabled: Ativa ou desativa a regra de NAT marcando essa opo.


No RDR (NOT): Ativando essa opo ir desativar o redirecionamento de trfego.
Interface: Especifica a interface que a regra de NAT vai ser usada (a mais usada a WAN)
Protocol: Especifica o tipo de protocolo que vai ser usado na regra de NAT. A mais usada TCP, UDP
ou TCP/UDP, mas existem tambm GRE e ESP.
Source: Normalmente a origem deixada como padro any, mas voc pode especificar uma outra
fonte, se necessrio.
Source Port Range: Geralmente usada por padro any, mas voc pode especificar outra porta se
houver a necessidade.
Destination: Na maioria das vezes deixado o valor padro que a WAN (o endereo publico), mas
pode ser usada outra alternativa se houver a necessidade.
Destination Port Range: Essa a porta de trfego solicitante. Se ns estamos encaminhando o trfego
da web, poderamos selecionar HTTP, to comum que j vem no menu drop-down, mas a escolha
(other), e especificando a porta 80 funcionaria da mesma forma. Poderamos tambm personalizar
uma porta (vamos usar como exemplo um encaminhamento de trfego do torrente na porta 46635)
lembre-se que voc pode usar um Alias!
Redirect Target IP: Aqui o endereo do computador interno que vai ser transmitido o trfego para
ele. Lembre-se que voc pode usar um Alias!
Redirect Target Port: Aqui a porta do ip do computador especificado em cima. Lembre-se que voc
pode usar um Alias!
Description: A descrio feita aqui vai ser automaticamente copiada para as regras firewall (precedidas
pela pala a NAT
No XMLRPC Sync: Marque essa opo para impedir que esta regra seja aplicada a qualquer firewall
usando o CARP. Consulte o Firewall CARP Configurando Seo de failover no Captulo 6, redundncia,
balanceamento de carga e Failover para mais da informao.
NAT Reflection: usado por padro no sistema quase todas as vezes, mas NAT Reflection pode ser
ativado ou desativado por padro se for necessrio.
Filter Rule Association: Ser criado a regra de firewall associada a regra do NAT.
43

Port Redirection
A verdadeira regra de encaminhamento de porta que vai passar o trfego para maquina da
rede interna usada tambm pela porta configurada (ou seja, Destination Port Range e Redirect
target port se correspondem). No entanto no a nada que impea voc redirecionar para uma porta
diferente, se quiser. H duas razes para voc querer fazer isso:
Segurana por Obscuridade: Todo mundo sabe que a porta padro HTTP 80, mas vamos supor que
o te u
e site se eto ue o
o ue ue seja a essada fa il e te. Vo pode defi i u
intervalo de portas de destino para alguma porta obscura (por exemplo: 54321) ento dai em diante
usar a porta padro HTTP 80. E os usurios que queiram acessar o site tero que digitar o endereo
assim http://www.exemplo.com:54321
Um nico endereo de IP pblico: Em ambientes menores com apenas um endereo publico, voc no
vai poder acessar duas maquinas distintas remotamente porque voc s tem um endereo de ip
publico. Ento voc pode criar duas regras diferentes no NAT. O primeiro ira redirecionar a porta
50001 para o Computador 1 usando a porta 3389, e o segundo vai redirecionar a porta 50002 para o
Computador 2 usando a mesma porta 3389. Fazendo isso voc pode acessar o Computador1:50001 e o
Computador2:50002, e assim por diante. Usando o mesmo ip publico.

Veja tambm...

O Criando Alias
O Criando regras de firewall
O Configurando CARP firewall failover recipe in Chapter 6, Redundancy, Balanceamento de
Carga,e Failover

Criando regras de Firewall


Aqui vamos descrever como criar uma regra de firewall

Se preparando...
Como exemplo, vamos criar uma regra de firewall para permitir o trfego web encaminhado pela NAT
(a regra que criamos anteriormente). Se voc acompanhou, o NAT que criamos, automaticamente foi criado
uma regra em Firewall, mas poderamos marcar None em Filter Rule Association que essa regra no iria ser
copiada para o Firewall.

Como faz-lo...
1.
2.
3.
4.
5.
6.
7.

V at Firewall | Rules.
Selecione a aba WAN
Cli ue o oto + pa a adi io a u a o a eg a de fi e all
Especifique a WAN Interface
Especifique o Protocol TCP
Especifique any em Source
Especifique any em Source Port Range
44

8. Especifique Webserver1 em Destination


9. Especifique HTTP em Destination Port Range
10. Digite q descrio da regra em Description
11. Clique em Save
12. Clique em Apply Changes

45

46

Como ele funciona...


Todo o trfego passa pela lista de regras de Firewall. Se qualquer pacote de trfego corresponde a
qualquer critrio de qualquer regra, a regra seria executada (e o pacote seria permitido ou negado).
Essa regra pode ser lida como: "Qualquer porta de qualquer cliente na internet tem permisso para
acessar a nossa web pela porta do servidor que 80".

H mais...
Regras de firewall so altamente configurveis. Detalhes de cada opo de regra de firewall so as
seguintes:
Action: o tipo de ao que a regra vai ter
o Pass: Se os critrios forem correspondidos, a passagem do pacote permitida.
o Block: Se todos os critrios forem correspondidos, a passagem do pacote bloqueada
(alguns se referem a ela como Drop Silencioso).
o Reject: Se todos os pacotes forem correspondidos, a passagem do pacote devolvida ao
remetente.
Disabled: Desativa a regra sem ter que apaga-la.
Interface: Se especifica de qual interface o trfego vai ser originado, que estar sujeito a essa
regra, geralmente usada a WAN.
Protocol: Corresponde o tipo de protocolo, variando de acordo com o tipo de regra que define o
trfego.
Source: geralmente marcado any quando se refere a trfego de entrada.
Source Port Range: geralmente marcado any quando se refere a trfego de entrada.
Destination: Aqui usado o Alias ou o endereo de IP do computador que o trfego esta
apontando.
Destination Port Range: geralmente a porta do computador que atende este trfego.
Log: Habilitar o log de registro do pacote que corresponde a regra.
Description: Digite uma descrio que voc possa identificar futuramente.

Raramente sabemos a porta de origem!


Ao especificar as regras, muito importante lembrar que Source Port Range quase sempre definida
como any. Muitas vezes as pessoas cometem erro de especificar um Source Port Range. Lembre-se quando
voc solicita um site, voc esta solicitando a porta 80 no computador do servidor web, e seu computador que
vai decidir que porta sua vai ser aberta para receber a solicitao. Esta sua porta de origem, uma porta
sempre em mudana, que voc provavelmente no vai saber qual ser. Assim 99 por cento do tempo, no
saberemos o Source Port Range.

A ordem das regras do Firewall


As regras do PfSense so sempre avaliadas de cima para baixo. Muitos administradores inclui uma
regra muito especifica na parte superior das outras regras e as mais genricas na parte inferior. Para
47

reordenar uma regra, clique na regra e ento clique no boto que parece uma mo na linha da regra que voc
quer colocar a cima dela.

Duplicando regras de firewall


Muitas vezes, a gente pode querer criar uma nova regra muito parecida com a regra existente. Para
poupa te po s pode os dupli a a eg a e faze as alte aes espe ifi as li a do o oto + .

Recursos Avanados
Esse recurso novo para o PfSense 2.0, nas regras de firewall tem uma seo chamada Advanced
Features, cada um dos seguintes recursos podem ser especificados como critrios para uma regra. Se um
recurso avanado especificado, a regra s ser executada se for encontrada uma correspondncia. Clique no
boto Avanado para exibir as seguintes definies de configurao para cada funo:
Source OS: Esta opo ira tentar comparar a fonte do trfego com o sistema operacional do
dispositivo:

Diffserv Code Point: um mecanismo para fornecer Qualidade de Servio (QoS) de trfego de rede.
Podendo priorizar trfego com base nos valores especificados:
Advanced Option: Permite a opo de especificao avanada do IP:

48

TCP Flags: Estes so bits de controle que indicam diversos estados de conexo ou informaes sobre
como um pacote deve ser tratado.

State Type: Especifica um mecanismo de rastreamento especial sobre o estado

49

No XMLRPC Sync: Impede que a regra sincronize com outros membros do CARP:
Schedule: Especifica um agendamento do perodo que essa regra vai ser valida. Ter que cadastrar os
horrios em Firewall | Schedule. Ento aparecer aqui:

Gateway: Se quiser definir outro gateway diferente do configurado como padro, ento defina aqui:

In/Out: Especificar filas alternativas de velocidade e interfaces virtuais:

Ackqueue/Queue: Especificar as alternativas de reconhecimento de filas de velocidades:


Layer7: Especifica uma alternativa de Layer7:

Veja tambm...

Criao de regras em Nat port forward


Criando agendamento
Criando Alias
50

Criando agendamentos
Agora vamos descrever como criar uma agenda

Se preparando...
A agenda nos permite configurar quando as regras entram em vigor e saem. Elas so usadas
geralmente com regras de firewall, mas na concepo em geral vai ser permitido usar para muito mais
funes no futuro em verses posteriores do PfSense. Se uma regra do firewall especifica um horrio,
a regra ento s ativada durante esse perodo de tempo. No exemplo a seguir, vamos definir um
cronograma para o nosso horrio de 9 horas da manh ah 5 horas da tarde, horrio comercial.
Ao criar horrios, essencial ter o fuso horrio configurado corretamente, e o tempo de
sincronizao configurado devidamente em um servidor confivel.

Como faz-lo...
1.
2.
3.
4.
5.
6.
7.
8.

V at Firewall | Schedules
Cli ue o oto + pa a ia u a o a age da
Em Schedule Name digite um nome de referencia, o exemplo usamos WorkHours.
Digite em Description a descrio para que voc possa reconhecer que tipo de horrio voc esta
configurando, no exemplo usamos Regular work week hours.
Na seo Month selecione o ms, clique em Mon, Tue, Wed, Thu e Fri selecionando todos os dias
da semana de trabalho.
Especificar 9 horas da manh em Start Time e 17 horas em Stop Time.
Digite em Time Range Description a descrio do horrio, no exemplo usou Monday-Friday 9am5pm.
Clique em Add Time.

51

9. Note que o tempo de repetio adicionado em Configured Ranges.

10. Clique em Save.


11. Clique em Apply Changes.

Como ele funciona...


Um agendamento associado a uma regra s ser valida durante o tempo especificado. Para saber
associar uma regra de firewall com o agendamento que acabamos de criar:
1. Edite uma regra, ou adicione uma.
52

2. Clique em Schedule Advanced, ento v na opo Schedule e selecione o agendamento que


voc deseja usar, no exemplo ns s criamos um.
3. Escolha o agendamento que criamos WorkHours na opo Schedule.

4. Clique em Save
5. Clique em Apply Changes.

H mais...
No PfSense vrios cones aparecem para auxiliar nas informaes, no agendamento tambm,
os cones no agendamento aparecem para informar se o agendamento est ativou ou no.
Firewall | Schedules: age da e tos ati ados apa e e o u
elgio :

Firewall | Rules: Reg as o age da e to ati o apa e e u a seta e de a olu a


Schedule, e diz qual o nome do agendamento.
Regras com agendamentos desativados, na coluna Schedule apa e u
e elho
com o nome do agendamento:

53

Seleo de dia ou dias da semana


A seleo Month funciona de duas formas:
Selecionando dias especficos: Selecione o ms correto e clique nos dias especficos (o ano
irrelevante, qualquer dia especificado ser repetido em cada ano).

Selecionando dias da semana: Clique no dia da semana, selecionando todos os dias do ms


referente aquele dia da semana (o ms irrelevante, o dia da semana vai sempre repetir todos os
meses).

Veja tambm...

Criando Alias
Criao de regras em Nat port forward
Criando regras de firewall

54

Acesso remoto ao Desktop com exemplo


completo
Vamos descrever aqui como liberar o acesso atravs de regras de firewall do PfSense, o acesso remoto
ao computador da rede interna usando o acesso remoto da prpria Microsoft que vem no Windows o (RDP).

Se preparando...
Vamos demonstra como criar uma regra de firewall para liberar o acesso do inicio ao fim. O exemplo a
seguir vai mostrar como acessar uma maquina da rede interna, com o pedido vindo da internet. Para fazer
isso requer as configuraes que vamos postar agora, vale ressaltar que as configuraes feitas agora nos
vamos ter que saber alguns pontos que foram tocadas no livro:

DHCP Server
DHCP com mapeamento estatico
DNS Forwarder
Aliases
NAT port forwarding
Regras de Firewall
Agendamentos

Como faz-lo...
1. Vamos cadastrar o computador na nossa rede:
2. V at Status | DHCP Leases e localize o computador que acabou de entra na rede. Clique no
oto + pa a at i ui u
apea e to estti o pa a ele.

3. Vamos atribuir um endereo de IP a ele, em IP address digite 192.168.1.200, e em Hostname,


digite o nome que vai querer identificar ele, pode ser Laptop1, e digite em Description, uma
descrio do Laptop para voc saber qualquer o laptop que voc adicionou.

55

4. Vamos agora fazer com que nosso DNS Forwarder seja configurado para transmitir
automaticamente aos clientes com mapeamento esttico, v a Services | DNS Forwarder, para
que possamos localizar com facilidade o computador pelo nome:

5. Vamos agora criar um Alias para ser usado como referencia ao seu IP dentro do PfSense em
Firewall | Aliases:

56

6. Vamos criar um agendamento para a regra usando o mesmo que j criamos afinal se usarmos o
agendamento que s funciona em horrio comercial, vai ficar mais protegido contra ataque
externo quando no estiver em horrio comercial:

7. Vamos agora criar uma regra no NAT para encaminhar os pedido de RDP vindo de fora para o
computador que acabamos de cadastrar, v a Firewall | NAT. Se pesquisarmos na internet sobre
p oto olo de a esso e oto ao desktop a os e ue a po ta a TCP 33
o Pfe se j e
com um pr-definido no sistema com o nome MS RDP)

8. Agora vamos criar um agendamento para que essa regra funcione de acordo com o horrio que
criamos, v a Firewall | Rules:

57

9. Clique em Save.
10. Clique em Apply Changes.

Como ele funciona...


A nossa regra de NAT encaminha todas as solicitaes RDP para o nosso laptop. A regra NAT
sempre habilitada. Mas na regra de firewall faz com que esse encaminhamento s funcione
durante o horrio especificado

H mais...
Para aumentar a segurana ns podemos fazer mais, podemos restringir o acesso liberando apenas
nosso ip de acesso externo, e se esse IP mudar ento teremos que mudar o Alias atualizando o IP
ento sempre amos ter um controle de quando a pessoa acessou. Crie um Alias com o IP do
escritrio:

Ento podemos modificar nossa regra de firewall aplicando os pedidos provenientes ao IP da nossa empresa
(lembre-se que o trfego que no corresponde a regra any bloqueado por padro). Agora com a associao
do NAT com as regras de firewall, pelas regras de firewall ns no poderamos modificar a fonte diretamente.
58

Ento vamos ter que modificar dentro do prprio NAT, clique na opo Advanced, e especifique o Alias
com o endereo publico da nossa empresa.

Ento vamos checar se essas mudanas foram alteradas tambm em regras de firewall.

Veja tambm...

Configurando servidor DHCP no Capitulo 2 Servios Essenciais


Criando DHCP com mapeamento esttico no Capitulo 2 Servios Essenciais
Configurando DNS dinmico no Capitulo 2 - Servios Essenciais
Criando Alias
Criando Nat Port Forwarding
Criando regras de firewall
Criando agendamentos

59

4
Rede Privada Virtual (VPN)
Nesse capitulo iremos abordar:

Criando VPN em um tnel IPSec


Configurando o servio L2TP VPN
Configurando o servio OpenVPN
Configurando o servio PPTP VPN

)ntroduo
Virtual Private Networking (VPN) (Vamos abordar no livro esse nome como Rede Privada Virtual
(VPN)) um sistema moderno muito eficaz. Uma conexo VPN permite que um usurio remoto conecte com
segurana uma rede e use os recursos como se estivesse no prprio local.
Com todas as variedades de acesso VPN, O PfSense tem quatro implementaes mais usadas, elas so
construdas direto dentro do OpenVPN que esta migrado como o protocolo VPN. Mas nada impede que voc
baixe um software a sua escolha de VPN cliente para qualquer maquina usando Windows (suporte OpenVPN
no vem no Windows). IPSec mais complexo, mais tambm uma aplicao muito popular do VPN. Servio
PPTP VPN e L2PTP VPN so menos usados entre os quatro, mas seu uso ainda bem generalizado.
Neste capitulo vamos descrever como configurar o PfSense para usar qualquer um ou as quatro
aplicaes VPN-IPSec, L2TP, OpenVPN, e PPTP.

Criando VPN em um tnel )PSec


Aqui vamos descrever como criar uma VPN usando um tnel IPSec.

Se preparando...
IPSec muitas vezes o mtodo preferido para o tipo de conexo rede-a-rede ( oposto ao cliente-arede). Um cenrio tpico monta uma conexo permanente e segura entre sede e filial.

60

Redes conectadas atravs de VPN devem obrigatoriamente usar sub-redes diferentes. Por exemplo, se
as duas redes usam sub-redes 192.168.1.0/24, o VPN no vai funcionar.

Como faz-lo...
1.
2.
3.
4.

V at VPN | Ipsec
Cli ue o oto + pa a ia u t el IPe .
Especifique em Remote Gateway o IP publico ou o hostname do gateway remoto.
E em Description adicione uma descrio do seu IPSec

5.
6.
7.
8.

Em Pre-Shared Key digite sua senha


Clique em Save
Marque Enable IPsec.
Clique em Save.

61

9. Clique em Apply Changes.


10. V at Firewall | Rules
11. Selecione a aba IPSec
12. Cli ue o oto + pa a adi io a u a o a eg a o fi e all
13. Em Destination selecione Lan subnet.
14. Em Destination port selecione any
15. Em Description, ponha uma descrio que voc possa reconhecer a regra, nos usamos no exemplo
Allow IPsec traffic to LAN.

62

16. Clique em Save


17. Clique em Apply Changes.

Como ele funciona...


Uma vez que o tnel IPSec foi estabelecido, os clientes conectados em qualquer uma das duas
redes, tero acesso de um ao outro mesmo em sub-redes diferentes como se estive na mesma
rede fsica.

Veja tambm...

Configurando o servio L2TP VPN


Configurando o servio OpenVPN
Configurando o servio PPTP VPN

Configurando o servio L TP VPN


Aqui vamos descrever como configurar o PfSense para ser servidor VPN L2TP

Se preparando...
muito importante entender que ao contrario das outras implementaes VPN, o L2TP no criptografa
os dados. O L2TP simplesmente um mtodo de encapsulamento que s deve ser usado em redes j
confiveis, em conjunto do IPsec. A grande vantagem do L2TP que pode ser usado com redes sem precisar
de IP.

Como faz-lo...
1.
2.
3.
4.

V em VPN | L2TP
Na aba Configuration, marque Enable L2TP Server.
Especifique um IP sem uso em Server address.
Em Remote address Range digite o inicio da faixa de IP no usada de endereo remoto. O numero
de IPs que vai ser usado vai estar indicado na etapa 6.
5. Em Subnet mask especifique o tipo de subrede.
6. Em Number of L2TP users especifique o numero de usurios que iro se conectar.

63

7. Clique em Save
8. Clique na aba Users.
9. Cli ue o oto + pa a adi io a u
o o usu io
10. Digite o usurio em username e a senha em password.

11. Clique em Save.

12. V at Firewall | Rules


64

13. Selecione a aba L2TP VPN


14. Cli ue o oto + pa a adi io a u a o a eg a de fi e all
15. Selecione em Destination o LanSubnet
16. Selecione em Destination port range o any
17. Digite em Description uma descrio que voc possa identificar a sua regra, no exemplo nos
usamos Allow L2TP Clients to LAN.
18. Clique em Save.

19. Clique em Apply Changes.

Como ele funciona...


O servio permite que usurios conectem remotamente a interface de rede a nossa escolha usando
o L2TP. Usando esse servio como se o cliente estivesse usando a rede como se estivesse
fisicamente no local.

Conexo de um cliente usando Windows 7


Para criar uma conexo VPN L2TP em uma maquina usando o Windows 7:
1. Abra o Painel de Controle | Rede e Internet | Status de tarefas de rede, abra o Central de
Rede e compartilhamento

65

2. Clique Configurar uma nova conexo de rede

3. Escolha Conectar a um local de trabalho.

66

4. Escolha Usar minha conexo com a internet (VPN):

67

5. Digite em Endereo na Internet o endereo do servidor da rede a qual voc esta querendo se
conectar. Se o endereo L2TP que voc configurou no esta acessvel diretamente, voc ter
que fazer um NAT no servidor direcionando o trfego L2TP.

6. Digite o nome de usurio e senha que foi configurado antes:

68

7. Clique depois em Conectar, o Windows ira detectar automaticamente se o servidor esta


aceitando a conexo L2TP ou PPTP, e vai ser configurado de acordo com o selecionado.

Veja tambm...

Configurando NAT por Forward, capitulo 3 Configurao Geral


Criando VPN em um tnel IPSec
Configurando o servio OpenVPN
Configurando o servio PPTP VPN

Configurando servio de OpenVPN


Aqui vamos descrever como configurar o PfSense para aceitar conexes OpenVPN.

Como faz-lo...
1. V at VPN | OpenVPN.
2. Clique na aba Wizards.
3. Em Type of Server, selecione Local User Access.

4. Clique em Next.
5. Em Descriptive Name, coloque um nome para seu VPN, no exemplo nos usamos MyCaCert, se
referindo ae certificado CA.
6. Em Country Code usamos no exemplo o USA.
7. Em State or Province, ns usamos no exemplo New York.
8. Em City, ns usamos no exemplo New York.
9. Em Organization, usamos no exemplo Blue Key Consulting.
10. No e-mail usamos como exemplo contact@example.com.
11. Clique em Add new CA.

69

12. Digite em Descriptive name, um nome o novo certificado do servidor, no exemplo usamos o
mesmo MyCaCert. A criao desse certificado vai ficar quase idntico ao criado anteriormente.
13. Em Country Code usamos no exemplo o USA.
14. Em State or Province, ns usamos no exemplo New York.
15. Em City, ns usamos no exemplo New York.
16. Em Organization, usamos no exemplo Blue Key Consulting.
17. No e-mail usamos como exemplo contact@example.com.
18. Clique em Create new Certification.

70

19. Em Description voc coloca a descrio que voc possa reconhecer futuramente, no exemplo nos
usamos My OpenVPN Connection.

20. Digite em Tunner Network a conotao em CIDR, isso vai ser uma faixa de IP no usada (que
geralmente no muito diferente da rede que voc usa) como 192.168.4.0/24.
71

21. Digite em Local Network a conotao em CIDR, que os clientes vo ser capazes de acessar, que
geralmente a rede interna LAN, 192.168.1.0/24.
22. Especifique em Concurrent Connections, o numero mximo de clientes que iro se conectar.

23. Clique no boto Next.


24. Marque Add a rule to permit traffic from clients on the Internet to the OpenVPN server process.
25. Marque Add a rule to allow all traffic from connected clients to pass across the VPN
tunnel:

72

26. Clique no botao Next.

27. Depois clique no botao Finish.

73

Como ele funciona...


O servio permite que usurios externos usem o OpenVPN para estabelecer uma conexo segura e
criptografada em nossa rede. Os usurios se conectaro usando um cliente OpenVPN, e uma vez
autenticado, o usurio ter acesso a rede como se estivesse no local fisicamente.

Algoritmos de Criptografia
Escolher o melhor algoritmo de criptografia essencial para o melhor desempenho do seu hardware.
Muitas placas de expanso VPN, como aquelas encontradas em Netgate usando Alix requerem placas AES128-CBC. Verifique com seu fornecedor de hardware para obter mais detalhes.

Exportando Cliente OpenVPN


H um pacote de instalao no PfSense chamado OpenVPN Client Export Utility, que simplifica o
processo de configurao:
1. V at System | Packages
2. Clique na aba Available Packages.
3. Localize OpenVPN Client Export Utility, e li ue o oto + pa a o ea a i stalao.

4. O pacote depois de baixado ser instalado automaticamente.

5. O pacote depois de instalado ser encontrado no menu VPN | OpenVPN.

Veja tambm...

Criando VPN em um tnel IPSec


74

Configurando o servio PPTP VPN


Configurando o servio L2TP VPN

Configurando o servio PPTP VPN


Aqui vamos descrever como configurar o PfSense para receber conexes PPTP VPN.

Como faz-lo...
1.
2.
3.
4.

V at VPN | PPTP | aba Configuration


Marque Enable PPTP server
Escolha em No. PPTP users, o numero de clientes que iro se conectar
Em Server address digite um IP no usado para especificar o endereo para o servidor PPTP. O
PPTP do servidor vai escutar esse endereo.
5. Em Remote address range, digite o inicio dos IPs dos clientes que iro se conectar, lembre-se de
deixar uma quantidade de IP o suficiente referente ao que voc colocou em No. PPTP users.

6. Marque Require 128-bit encryption.

75

7. Clique em Save.
8. Selecione a aba Users.
9. Cli ue o oto + para adicionar um usurio
10. Coloque o nome de usurio em username e a senha em password.
11. Clique em Save.

12. V at Firewall | Rules


13. Selecione a aba PPTP VPN
14. Cli ue o oto + pa a ia u a o a eg a de fi e all.
15. Selecione em Destination o Lansubnet.
16. Selecione em Destination port range a opo any.
17. Em Description digite uma descrio que voc possa reconhecer futuramente, no exemplo usamos
Allow PPTP Clients to LAN.
18. Clique em Save.

19. Clique em Apply Changes.

76

Como ele funciona...


O servio permite que usurios externos estabeleam uma conexo segura e criptografada usando
o PPTP. Os usurios iro se conectar a rede usando um cliente PPTP, uma vez autenticado, o
usurio ter acesso a rede como se estivesse conectado no prprio local.

Conexo de um cliente usando Windows 7


Para criar uma conexo VPN PPTP em uma maquina usando o Windows 7:
8. Abra o Painel de Controle | Rede e Internet | Status de tarefas de rede, abra o Central de
Rede e compartilhamento

9. Clique Configurar uma nova conexo de rede

77

10. Escolha Conectar a um local de trabalho.

11. Escolha Usar minha conexo com a internet (VPN):


78

12. Digite em Endereo na Internet o endereo do servidor da rede a qual voc esta querendo se
conectar. Se o endereo L2TP que voc configurou no esta acessvel diretamente, voc ter
que fazer um NAT no servidor direcionando o trfego L2TP.

79

13. Digite o nome de usurio e senha que foi configurado antes:

Clique depois em Conectar, o Windows ira detectar automaticamente se o servidor esta aceitando
a conexo L2TP ou PPTP, e vai ser configurado de acordo com o selecionado.

Conectando usando como cliente o Ubuntu 10.10


Execute os seguintes passos para criar uma conexo PPTP VPN em um cliente usando
Ubuntu 10.10 (por no ter um computador com esse sistema operacional em portugus eu
mantive os exemplos em ingls de acordo com as janelas de exemplo).
1. Abra System | Preferences | Network Connections
2. Selecione a aba VPN | Clique no boto Add para criar uma conexo VPN.

80

3. Selecione PPTP e clique em Create...

4. Em Connection name digite um nome que voc possa identicar, no exemplo usamos Matts
Network.
5. Em Gateway digite o ip do servidor que voc configurou o PPTP VPN. Se o IP no pode ser
acessado diretamente, voc ter que configurar o NAT com port Forward.

81

6. Cliquem Apply
7. Clique em Close.
8. V em Network connection, selecione no menu VPN Connections | Matts Network

82

Conectando usando como cliente o Mac OSx


Execute os seguintes passos para criar uma conexo PPTP VPN em um cliente usando Mac OSx
(por no ter um computador com esse sistema operacional em portugus eu mantive os exemplos
em ingls de acordo com as janelas de exemplo).
1. Abra System Preferences.

83

2. Clique em Network

84

3.
4.
5.
6.

Cli ue o oto + pa a adi io a u a o a o e o de ede


Selecione VPN em Interface.
Selecione PPTP em VPN Type.
Digite em Service Name um nome de descrio, no exemplo usamos Matts Network.

7. Digite em Server Address o ip do servidor que voc configurou o PPTP VPN. Se o IP no pode ser
acessado diretamente, voc ter que configurar um NAT port Forward.
8. Digite o nome de usurio cadastrado em Account Name.
9. Clique em Connect que aparecer uma janela pedindo a senha

85

Veja tambm...

Criando VPN em um tnel IPSec


Configurando o servio L2TP VPN
Configurando o servio OpenVPN
Configurando o servio PPTP VPN

86

5
Configuraes Avanadas
Nesse capitulo, iremos abordar:
Criando um IP Virtual
Criando regra de NAT 1:1
Criando uma regra de NAT outbound
Criando Gateway
Criando uma rota esttica
Configurando o Traffic Shaping (QoS, Qualidade do Servio)
Interfaces do tipo ponte
Criando uma LAN Virtual
Criando um Captive Portal

)ntroduo
A seguir vamos abordar recursos avanados de rede, que normalmente se encontram em classes
empresariais. No entanto cada um desses recursos ento disponveis na ultima verso do PfSense.

Criando um )P Virtual
Aqui vamos descrever como configurar um endereo de IP virtual no PfSense.

Se preparando...
No PfSense voc pode criar quatro tipos distintos de IPs virtuais:

Proxy ARP
CARP
Other
AP Alias

87

Um tipo comum de IP virtual configurado como NAT 1:1, neste cenrio o IP virtual do tipo Other
necessrio, o que vamos configurar agora:

Como faz-lo...
1.
2.
3.
4.
5.
6.

V em Firewall | Virtual IPs


Cli ue o oto + e adi io e u
o o e de eo de IP i tual.
Em Type escolha Other.
Em Interface escolha WAN
Em IP address digite o IP que voc deseja virtualizar
Adicione uma descrio que voc possa identificar posteriormente em Description.

7. Clique em Save
8. Clique em Apply Changes

88

Como ele funciona...


O IP Virtual (vamos o chamar de VIP de agora em diante) do tipo Other tem as seguintes
caractersticas:
O trfego s pode ser encaminhado para esse tipo de VIP; e o PfSense no pode usar esse tipo de VIP
para os seus prprios servios.
O VIP pode ser usado em uma subrede diferente do que esta sendo usado pelo PfSense.
O VIP no pode responder a pings.

H mais...
Ns estamos configurando um VIP do tipo Other. Mas existem mais trs tipos de endereos VIP que
podem ser configurados no PfSense 2.0. Os quatro tipos de endereos VIP so semelhantes, mas
mudam algumas propriedades, vamos ver a comparao:
CARP
o Pode ser usados e encaminhados pelo firewall
o Pode usar o trfego Layer 2.
o Podem ser usados em cenrios com balanceamento de carga e Fail-Over
o Tem que estar na mesma subrede da interface
o Ele vai responder a pings se configurado corretamente
Proxy ARP
o S pode ser transmitida pelo firewall
o Pode usar o trfego Layer 2.
o Pode estar em uma subrede diferente do que a interface
o No pode responder aos pings
Other
o S pode ser transmitida pelo firewall
o Pode estar em uma subrede diferente do que a interface
o No pode responder aos pings
IP Alias
o Novo no PfSense 2.0
o S pode ser usado ou encaminhado pelo firewall
o Permite que os endereos IP sejam adicionados como IP extra na interface.

Configurando CARP como endereo VIP


1.
2.
3.
4.
5.
6.
7.
8.

V at Firewall | Virtual IPs


Cli ue o oto + pa a adicionar um novo endereo VIP
Em Type escolha CARP
Em Interface selecione WAN
Em IP address digite o IP que voc deseja
Em Virtual IP Password, digite uma senha
Escolha um VHID Group
Escolha um Advertising Frequency (0 para todos)
89

9. Digite uma descrio que voc possa identificar futuramente em Description.

10. Clique em Save


11. Clique em Apply Changes.

Configurando o Proxy ARP como endereo VIP


1.
2.
3.
4.
5.
6.

V em Firewall | Virtual IPs


Cli ue o oto + pa a adi io a u
Em Type escolha Proxy ARP.
Em Interface selecione WAN
Selecione Single Address em Type.
Em Address digite o IP.

o o e de eo VIP

90

7. Digite uma descrio em Description.

8. Clique em Save
9. Clique em Apply Changes.

Configurando o IP Alias como endereo VIP


1.
2.
3.
4.
5.

V em Firewall | Virtual IPs


Cli ue o oto + para adicionar um novo endereo VIP
Em Type escolha IP Alias
Em Interface escolha WAN.
Em IP address digite o IP
91

6. Digite uma descrio em Description.

7. Clique em Save.
8. Clique em Apply Changes.

Veja tambm...

Criando regra de NAT 1:1


Criando uma regra de NAT outbound
Criando uma rota esttica
Criando uma LAN Virtual
92

Configurando regra de NAT :


Aqui vamos descrever como configurar uma regra de NAT 1:1. A regra NAT 1:1 usada quando voc
quiser associar um endereo de IP publico com uma maquina da rede interna. Tudo que for destinado ao IP
publico vai ser encaminhado para maquina da rede interna.

Como faz-lo...
1.
2.
3.
4.
5.

V at Firewall | Virtual IP
Na aba Virtual IPs, li ue o oto + pa a adi io a u
o o VIP.
Em Type selecione Proxy ARP.
Em Interface selecione WAN
Na opo IP address, em Type selecione Single Address, e em Address digite o ip externo que voc
deseja associar a uma maquina da rede interna.
6. Adicione uma descrio que voc possa reconhecer mais tarde em Description, no exemplo nos
usamos My public IP address.

7. Clique em Save.
8. Clique em Apply Changes.
9. V em Firewall | NAT.
10. Selecione a aba 1:1
11. Cli ue o oto + pa a adi io a u a eg a de NAT 1:1
12. Em Interface selecione WAN
13. Em Source selecione any
14. Em Destination, especifique o computador interno, no caso vamos usar o Alias.
15. Digite em External Subnet o seu ip publico
16. Em Description, adicione uma descrio que voc possa reconhecer posteriormente, no exemplo
usamos Forward all external requests to Webserver1.
17. Em NAT Freflection deixe Disabled.

93

18. Clique em Save.


19. Clique em Apply Changes.

Como ele funciona...


Uma vez que feita uma relao de NAT 1:1 estabelecida, todo o trfego ser encaminhado para o
endereo de IP internou ou subrede, como se a maquina interna fosse diretamente configurado
com o IP pblico. Isso muito mais fcil do que criar uma regra de Port Forward se todo o trfego
de entrada e sada tiver destinado a maquina.

H mais...
Como muito recursos avanados de rede, o relacionamento bem sucedido do NAT 1:1 requer o uso
de VIPs.

Veja tambm...

Criando um IP Virtual

94

Criando uma regra de NAT outbound


Aqui vamos descrever como criar uma regra de NAT outbound

Se preparando...
Uma regra de NAT outbound define como traduzir o que um trfego de rede esta deixando. Isso pode
parecer um conceito difcil de entender na primeira vez, porque a maioria dos cenrios de rede em geral s
ento preocupados em saber o local de onde os pacotes esto vindos, e no se preocupam em saber como
eles saem.
Vamos descrever agora como usar uma regra de NAT outbound para resolver um cenrio comum que
envolve o nateamento para uma maquina com varias interfaces. Vamos supor que temos um nico servidor
de destino com duas interfaces, LAN e DMZ, e o firewall PfSense protege essas duas interfaces. Usando a
velha regra de Port Forward, encaminhando solicitaes HTTP para o servidor em sua interface DMZ, o que
bom. No entanto, quando tentamos encaminhar solicitaes SSH para a interface LAN do servidor, o trfego
chega corretamente, mas tenta responder atravs da rede DMZ. Isso no reconhecido como valido pelo
firewall e fica dando tempo perdido quando se tenta conectar.
A soluo e lhe dar com os pedidos SSH usando uma regra de NAT outbound junto com uma regra de
NAT 1:1, como vamos descrever.

Como faz-lo...
1.
2.
3.
4.
5.

V a Firewall | Virtual IPs


Na aba Virtual IPs, li ue o oto + pa a adi io a u
o o VIP.
Em Type selecione Proxy ARP
Em Interface selecione WAN
Na opo IP address, em Type selecione Single Address, e em Address digite o ip externo que voc
deseja associar a uma maquina da rede interna.
6. Adicione uma descrio que voc possa reconhecer mais tarde em Description, no exemplo nos
usamos My public IP address.
7. Clique em Save
8. Clique em Apply Changes

95

9. V at Firewall | NAT
10. Clique na aba Outbound
11. Selecione o modo Automatic outbound NAT rule generation (IPsec passthrough included).
12. Cli ue o oto + pa a adi io a u
o o apea e to de NAT out ou d.
13. Escolha Interface que a maquina vai responder, no caso a LAN.
14. Em Source especifique any
15. Em Destination ponha o endereo do servidor que ira responder.
16. Deixe o Translation para tratar da Interface Address e especificar a porta 22 para responder os
pedidos de SSH.
17. Escreva em Description a descrio para voc identificar futuramente, no exemplo usamos
Outbound NAT for WAN Clients to Server1 SSH.
18. Clique em Save.
19. Clique em Apply Changes.

96

20. V at Firewall | NAT


21. Clique na aba 1:1
22. Cli ue o oto + pa a adi io a u
apea e to NAT 1:1
23. Em Interface escolha WAN.
24. Em Source escolha any.
25. Especifique em Destination, Single Host ou Alias, e fornecer o endereo IP do servidor que esta
recebendo as solicitaes.
26. Especifique o VIP que criamos anteriormente em External subnet.
27. Em Description digite uma descrio que possa reconhecer no futuro, no exemplo colocamos 1:1
NAT Public IP to Server1.
28. Clique em Save
29. Clique em Apply Changes.

30. V a Firewall | Rules


31. Clique na aba WAN.
32. Cli ue o oto + pa a adi io a u a o a eg a de fi e all.
33. Em Source escolha any
34. Em Source port range escolha any.
35. Em Destination selecione ou Singles host ou Alias especificando o endereo de IP do servidor que
est lidando com as solicitaes.
36. Em Destination port range selecione SSH.
37. Em Description digite uma descrio qualquer que voc possa reconhecer mais tarde, no exemplo
usamos Allow WAN Clients to Server1 SSH.
38. Clique em Save.
39. Clique em Apply Changes.

97

Como ele funciona...


A regra de outbound que criamos avisa ao PfSense para direcionar o trfego de sada atravs da
interface LAN, independentemente de qual interface ela entrou. Isso vai permitir que o trfego SSH
encontrasse o caminho de casa mesmo se o gateway padro do servidor estiver em contra interface, no caso
(DMZ). Enquanto isso as solicitaes HTTP que foram configuradas atravs do Port Forwarding continuam
funcionando perfeitamente.

Veja tambm...

Criando um IP Virtual
Criando regra de NAT 1:1
Criao de regras em Nat port Forward

Criando um Gateway
Aqui vamos descrever como criar um gateway no PfSense.

Se preparando...
Em geral, as redes com uma nica ligao WAN, no necessrio mudar as configuraes de gateway;
o padro criado pelo prprio PfSense automaticamente j o suficiente. No entanto, as redes que possuem
98

mais de uma conexo de internet ou tira proveito de algumas funcionalidades avanadas (por exemplo, rotas
estticas) ter que definir um gateway personalizado.

Como faz-lo...
1.
2.
3.
4.
5.
6.

V a System | Routing
Clique na aba Gateways
Cli ue o oto + pa a adi io a u
o o gate a
Selecione a Interface do novo gateway
Em Name voc vai especificar um nome para esse gateway (no pode ser espao)
Em Gateway especifique o IP do gateway, esse IP tem que ser reconhecido pela interface que voc
escolheu na etapa 4.
7. Em Monitor IP voc pode atribuir um IP alternativo ou deixar em branco mesmo, fazendo isso o
sistema ira colocar o mesmo IP do gateway como monitor IP.
8. Em Description voc vai colocar uma descrio para identificar qual gateway voc criou, no
exemplo usamos My New Gateway.

9. Clique em Save.
10. Clique em Apply Changes.

99

Como ele funciona...


U gate a u po tal ue liga duas edes. O gate a eh o ue ge a t fego e t e a LAN e a
internet. Se tivermos varias conexes WAN (ou seja, mltiplas conexes para internet) seria necessrio definir
um gateway para cada um.

H mais...
Vamos ver agora como criar gateways para fazer rotas estticas. Uma rota esttica um caminho feito
de uma rede para outra, o todo o trfego entre essas duas redes devem passar por um gateway.

Grupos de Gateway
O PfSense 2.0 implemente um novo conceito chamado Grupos de Gateway. O grupo de gateway uma
juno de vrios gateways que podem ser tratados como uma unidade a partir de varias outras
funcionalidades no sistema.
Grupos de gateway ira aparecer na porta de entrada em um menu drop-down, como em uma
definio de regra de firewall.

Veja tambm...

Criando regras de firewall, capitulo 3 Configuraes Gerais


Configurando interface WAN, capitulo 1 Configuraes Iniciais
Criando rotas estticas

Criando rotas estticas


Aqui vamos descrever como criar uma rota esttica no PfSense.

Se preparando...
As rotas estticas servem para acessar redes que no so acessveis atravs do gateway padro WAN,
mas pode ser alcanado indiretamente atravs de uma interface diferente. Um exemplo comum pode ser
usado em uma grande empresa com vrios escritrios que usam uma impressora compartilhada, s preciso

100

criar uma rota esttica. Podemos usar o PfSense para criar essa rota esttica para uma rede interna, em vez
de configurar uma rota esttica em cada pc.

Como faz-lo...
1.
2.
3.
4.
5.
6.

V at System | Routing.
Clique na aba Gateways
Cli ue o oto + pa a adi io a u
o o gate a
Selecione em Interface onde vai ficar o novo gateway
Digite em Name o nome do seu gateway (no pode ter espao)
Digite em IP Address o IP do gateway, esse IP tem que ser reconhecido pela interface selecionada
anteriormente.
7. Em Monitor IP voc pode atribuir um IP alternativo ou deixar em branco mesmo, fazendo isso o
sistema ira colocar o mesmo IP do gateway como monitor IP.
8. Em Description voc vai colocar uma descrio para identificar qual gateway voc criou, no
exemplo usamos My New Gateway.
9. Clique em Save
10. Clique em Apply Changes

11. V em System | Routing


12. Clique na aba Routes
13. Cli ue o oto + pa a adi io a u a o a ota
14. Em Destination network digite o endereo de IP da rede de destino
15. Em Gateway escolha o que criamos a cima.
16. Em Description escreva algo para descrever a regra, no exemplo usamos Static route for shared
printer network.

101

17. Clique em Save.


18. Clique em Apply Changes.

Como ele funciona...


Ao definir uma rota esttica, temo um caminho traado para nossa rede de impressora compartilhada.
Ns podemos acessar agora esta rede atravs da rota esttica criada, e oferecer uma porta de entrada para
outros usurios do firewall.

Veja tambm...

Criando Gateway

Configurando o Traffic Shaping QoS,


Qualidade do Servio
Aqui vamos descrever como configurar o controle de banda no PfSense

Se preparando...
O Traffic Shaping, tambm conhecido como QoS, a priorizao e otimizao de pacotes de rede.
Priorizando os pacotes de rede de certos tipos de trfego em relao a outros. Limita o pacote de rede fixando
102

certos limites de velocidade de certos tipos de trfego para certos momentos. Um administrador pode querer
priorizar os pacotes de VoIP sobre todos os outros para garantir que chamadas telefnicas no vo ser
descartadas ou interrompidas devido ao alto trfego de rede. Alm disso, podemos tambm limitar o
rendimento do VoIP para 100kbps. Esse um exemplo tipo de ambiente que roda VoIP.
A seguir vamos usar o PfSense para moldar os acessos externos usando o Desktop Remoto do prprio
Windows (MSRDP) que entram em nossa rede. Assim podemos nos assegurar que podemos administrar
nossos servidores remotamente mesmo se o trfego de rede estiver muito alto.

Como faz-lo...
1. V a Firewall | Traffic Shaper
2. Clique na aba Wizards
3. Na coluna Wizard functions, clique no link referente a Single WAN multi LAN.

4. Em Enter number of LAN type connections digite o numero de Lans, no nosso caso tem LAN e
DMZ, ento colocamos numero 2.

5. Em Link Upload digite a velocidade que o seu provedor de internet forneceu para upload, no
exemplo usamos 2.000Kbps (2Mbps), se voc tiver duvida faa um teste em sites de velocidade,
como por exemplo: http://speedtest.net/
6. Em Link Download digite a velocidade que o seu provedor de internet forneceu para download, no
exemplo usamos 15.000Kbps (15Mbps), se voc tiver duvida faa um teste em sites de velocidade,
como por exemplo: http://speedtest.net/

103

7. A pagina seguinte usada especificamente para configurar a priorizao de trfego de VoIP, voc
pode pular essa etapa clicando em Next.

104

8. Na prxima pagina se chama PenaltyBox, nos permite limitar a velocidade de um determinado


endereo de IP ou Alias. Isso muito til, mas no vamos ter a necessidade de usar essa funo no
momento, voc pode ignorar clica em Next.

9. Essa prxima pagina se chama Peer to Peer (P2P) Networking, voc pode diminuir a prioridade de
trfego P2P, nessa pagina a cerca de 20 opes de rede P2P mais populares para ser limitado o
trfego. Como no nos interessa essa parte no momento ento clique em Next.

10. Nessa prxima pagina Network Games, voc pode configurar o trfego de rede liberada aos jogos
online, nessa pagina a cerca de 20 jogos mais populares online para ser priorizado. Como no nos
interessa essa parte no momento ento clique em Next.
105

11. Na pgina final Other Applications, nos permite morldar outros tipos comuns de trfego. Vamos
ter que clicar na opo Enable, para permitir o uso dessa aplicao, em MSRDP vamos selecionar
Higher priority, os outros vamos deixar como Default, e clique em Next.

12. Clique em FInish para aplicar a nova configurao.

106

Como ele funciona...


Usando o Wizard do Traffic Shapping, ns definimos um conjunto de regras que prioriza o trfego do
MSRDP acima de qualquer outro. Mesmo que a rede esteja com trfego pesado, seja com uso da web, VoIP
ou quantos mais tiver, nossa conexo MSRDP sempre ficar estvel e interrupta, j que foi priorizado.

)nterfaces do tipo ponte bridge


Aqui vamos descrever como fazer uma ponte juntando duas interfaces no PfSense. Pontes permitem
unir duas redes. Por exemplo, o administrador pode fazer uma ponte de rede entre uma rede com fio e uma
rede sem fio.

Como faz-lo...
1.
2.
3.
4.
5.

V a Interfaces | (assign)
Clique na aba Bridge
Cli ue o oto + pa a adi io a u a o a po te
Em Member Interfaces, selecione as interfaces com o Ctrl pressionado.
Em Description voc vai digitar uma identificao que possa reconhecer posteriormente, no
exemplo nos usamos LAN DMZ Bridge.

6. Clique em Save

107

Como ele funciona...


A ponte combina duas interfaces no firewall em uma rede nica de Layer-2. A LAN e DMZ esto agora
ligados.

H mais...
Clique em Show advanced options, para configurar qualquer uma dessas seguintes opes:
RSTP/STP: Abilite para abrir a arvore de opes:
o Protocol
o STP Interfaces
o Valid time
o Forward time
o Hello time
o Priority
o Hold count
o Interface priority
o Path cost
Cache size
Cache entry expire time
Span port
Edge ports
Auto Edge ports
PTP ports
Auto PTP ports
Sticky ports
Private ports

Veja tambm...

Identificando e atribuindo interfaces, capitulo 1 Configurao Inicial.

Criando LAN Virtual


108

Aqui vamos descrever como criar uma LAN Virtual no PfSense.

Se preparando...
A VLAN permite q um nico interruptor fsico possa hospedar varias camadas de rede, separando as
portas com tags VLAN. A tag de VLAN define uma rede virtual separada. O PfSense pode anexar em cada
VLAN, definindo tags nas interfaces do firewall.

Como faz-lo...
1.
2.
3.
4.

V at Interface | (assign)
Clique na aba VLANs
Cli ue o oto + pa a adi io a u a o a VLAN
Na opo Parent Interface. Se refere a uma atribuio de uma interface de referencia (observe na
figura a baixo). Neste caso a DMZ foi atribuda como vr2 ento vamos selecionar ela.

5. Na opo VLAN tag, ponha um valor entre 1-4094


6. Em Description, ponha um nome para referencia no exemplo nos usamos My DMZ virtual LAN.

7. Clique em Save.

109

Como ele funciona...


Todos os pacotes destinados ou originados de VLAN sero marcados com a tag VLAN. assim que o
PfSense diferencia ele dos outros trfegos, garantindo que esse trfego v para o lugar certo.

Veja tambm...

Identificando e atribuindo interfaces, capitulo 1 Configurao Inicial.

Criando um Captive Portal


Aqui vamos descrever como criar um Captive Portal no PfSense.

Se preparando...
O Captive Portal uma pagina web que exibida de permisso ao usurio antes de navegar na web.
Isso geralmente visto em ambientes comerciais como Wi-Fi Hotspot onde voc deve pagar pelo servio
antes de navegar na web. Em outros cenrios o Captive Portal usado para autenticao do usurio.
Nessa explicao vamos configurar o PfSense para mostrar um Captive Portal de autenticao antes
que o usurio navegue na web pela DMZ.

Como faz-lo...
1.
2.
3.
4.

V a Services | Captive Portal


Na aba Captive Portal, clique em Enable Captive Portal.
Em Interface escolha a interface que deseja usar o servio , no nosso exemplo vamos usar o DMZ.
Em Idle timeout, ns selecionamos 10 minutos, clientes que passarem mais tempo que isso sem
atividade no computador, assim que ele acessar de novo vai pedir o usurio e senha.
5. Em Hard timeout, ns usamos 60 minutos, clientes que esto navegando ou no no computador
depois de 60 minutos vai aparecer uma tela de usurio e senha para ser digitado, voc pode deixar
em branco para desabilitar essa opo.
6. Clique em Enable logout popup window, para q os usurios possam deslogar quando terminar.
7. Em Redirection URL, voc pode fazer com que o cliente assim que se logar seja direcionado a uma
pagina que voc escolher, no exemplo nos usamos http://www.google.com
110

8. Em Authentication, escolha Local User Manager.

9. Clique em Save.
10. V at System | User Manager
11. Clique na aba User
12. Cli ue a a a + para adicionar um novo usurio
13. Em Username digite o nome de usurio
14. Em Password digite uma senha desejada duas vezes.
15. Em Full Name ponha o nome completo do usurio

111

16. Clique em Save

Como ele funciona...


Atravs de uma criao do Captive Portal na DMZ, todo usurio que tentar navegar na web ter que
primeiro se autenticar como na imagem abaixo. Uma vez autenticado, ele ser direcionado para pagina do
Google, onde pode navegar na web obedecendo as regras de tempo predefinidas, onde tero que se
autenticar novamente.

112

H mais...
Todas as trs paginas do Captive Portal (login, logout e erro) podem ser personalizadas para atender o
padro da organizao onde foi implementado o sistema. A maneira mais fcil de ser feito isso salvando
cada pagina como um arquivo edita-lo a sua maneira (sem mudar onde o usurio vai colocar suas
credenciais), e depois envia-lo usando as opes na parte inferior da pagina do servio Captive Portal.

113

6
Redundncia, Balanceamento de carga, e
Failover
Nesse capitulo, iremos abordar:

Configurando mltiplas interfaces WAN


Configurando o balanceamento de carga em uma multi-WAN
Configurando o Failover em uma multi-WAN
Configurando um servidor de web com balanceamento de carga
Configurando um servidor web com Failover
Configurando um firewall CARP com Failover

)ntroduo
Redundncia, balanceamento de carga e Failover so alguns dos mais avanados recursos de rede
usados no momento. Alguns desses servios so necessrios em empresas de grande porte, alguns firewalls e
roteadores no so capazes de fazer isso. E claro que o PfSense suporta todos eles.
Redundncia de varias interfaces WAN (multi-WAN) fornece um firewall nico para varias conexes de
internet. O PfSense pode ser configurado para equilbrio de carga ou Failover de interface multi-WAN.
Balanceamento de carga vai dividir o trfego entre as interfaces de internet, quanto o Failover faz com que se
uma interface caia a outra assume 100% do trfego, no fazendo a internet da rede parar.
O balanceamento de carga do PfSense permite tipos de trfego especficos (como trfego na web)
serem distribudos entre os servidores. A capacidade de criar sua prpria webfarm feito direto no PfSense!
Redundncia de firewall permite que o sistema sobreviva se a maquina do firewall PfSense venha a ser
desligada. Para isso usamos uma configurao CARP, o PfSense pode configurar um Failover para passar o
acesso automaticamente para um firewall de backup.

Configurando mltiplas interfaces WAN


114

Aqui vamos descrever como configurar mltiplas interfaces WAN no PfSense.

Se preparando...
Um sistema de PfSense com uma nica interface WAN quase plug-and-play desde um gateway at
um DNS padro. No entanto algumas descries nesse capitulo requer mltiplas conexes de WANs e os
gateways devem ser configurados manualmente. As descries a seguir vo ver como configurar duas
interfaces WAN que podem ser usadas mais tarde como balanceamento de carga redundante e Failover.
As seguintes interfaces vo se configuradas com endereos de IPs privados para fins de exemplo, mas
uma configurao real exigiria que cada interface WAN fosse configurada corretamente de acordo com as
informaes fornecidas por cada provedor.

Como faz-lo...
1. V a System | Routing
2. Selecione a aba Gateways
3. Tome nota que o gateway da nossa interface padro WAN existente foi criada automaticamente,
por isso ela esta definida como default, que geralmente definida como dynamics.

4.
5.
6.
7.
8.
9.

Cli ue o oto + pa a adi io a u


o o gate a
Em Interface escolha a conexo j existente WAN
Em Name digite um nome para o gateway
Em Gateway digite o gateway da interface
Marque Default Gateway
Em Description digite uma descrio para seu gateway, no exemplo ns usamos WAN Gateway.

115

10. Clique em Save.

11. Cli ue o oto + pa a adicionar um novo Gateway


12. Na opo Interface escolha a nova interface WAN.
13. Em Name digite um nome para o gateway
14. Em Gateway digite o gateway da interface
15. Em Description digite uma descrio para seu gateway, no exemplo ns usamos WAN2 Gateway.

116

16. Clique em Save


17. Clique em Apply Changes

18. V a Interfaces | WAN


19. Em Type escolha Static
20. Em IP Address digite o IP da WAN
21. Em Gateway selecione o gateway que voc criou referente WAN
22. Marque Block private networks
23. Marque Block bogon networks

117

24. Clique em Save


25. V Interfaces | WAN2
26. Em Type escolha Static

27. Em IP address digite o IP da WAN2


28. Em Gateway, selecione o gateway criado referente a WAN2
29. Marque Block private networks
30. Marque Block bogon networks

118

31. Clique em Save


32. Clique em Apply Changes

Como ele funciona...


Apenas a primeira interface WAN que criada pelo PfSense, vai ter seu gateway padro gerado
automaticamente. Ao criar um gateway manualmente para interface WAN, como acabamos de
fazer, ento agora podemos continuar com o capitulo fazendo para configurar os recursos de
redundncia.

H mais...
Lembre-se sempre de marcar as opes de Block private networks e Block bogon networks nas
redes de internet.

Veja tambm...

Configurando a Interface, capitulo 1 Configurao Inicial.


Criando gateway, capitulo 5 Configuraes avanadas.
Configurando multi-WAN com balanceamento de carga
Configurando multi-WAN com Failover

Configurando multi-WAN com


balanceamento de carga
Aqui vamos descrever como configurar o balanceamento de carga em um nico sistema PfSense.

Se preparando...
Ao longo dessas instrues, vamos configurar o balanceamento de carga de duas interfaces WAN
separadas. Ento ter que se certificar primeiro se as duas interfaces esto corretamente configuradas se
guiando pela instruo mais a cima.
Toda vez que um balanceamento de carga entra em vigor, o Failover automaticamente tambm entra.
Mas se quisssemos ativar somente o Failover, na prxima etapa vamos descrever como fazer.

Como faz-lo...
1. V a System | Routing
2. Selecione a aba Groups
3. Em Group name digite um nome (esse nome vai ser o nome do seu gateway, e no pode ter
espao) no exemplo usamos LoadBalancedGroup
4. Em Gateway Priority em ambos os gateways selecione Tier1
5. Em Trigger Level, selecione Member Down
6. Em Description digite uma descrio para seu balanceamento.

119

7. Clique em Save
8. Clique em Apply Changes

9. V at System | Routing
10. Edite o WAN gateway
11. Em Monitor IP voc pode especificar um endereo de IP externo. Eu particularmente coloco o
endereo http://www.google.com.br, mas voc pode especificar o endereo a sua escolha, pode
ser um mais perto do seu firewall (algum ip dentro da rede do seu provedor por exemplo).
12. Clique em Save.
13. Edite o Wan2 gateway
14. Em Monitor IP voc pode especificar um endereo de IP externo. Eu particularmente coloco o
endereo http://www.google.com.br, mas voc pode especificar o endereo a sua escolha, pode
ser um mais perto do seu firewall (algum ip dentro da rede do seu provedor por exemplo).
15. Clique em Save.
16. Clique em Apply Changes.

120

17. V at Firewall | Rules


18. Cli ue o oto + pa a adi io a u a o a eg a de fi e all a a a LAN
19. Em ao selecione Pass
20. Em Interface selecione LAN
21. Em Protocol selecione any
22. Em Source selecione Lan Subnet
23. Em Destination selecione any
24. Em Description digite uma descrio
25. Em Advanced Features, na opo Gateway clique em Advanced e ir aparecer um menu com a
lista de gateways criados
26. Em gateway selecione o gateway que criamos logo a cima com o nome LoadBalancedGroup
27. Clique em Save
28. Clique em Apply Changes

121

Como ele funciona...


Todo o trfego de internet que passar pela LAN vai passar pelo nosso gateway. As duas WANs
configuradas vo ter o mesmo nvel de prioridade vai alternar entre si simultaneamente.
Alm disso, ns tambm configuramos o IP Monitor, com isso o PfSense saber quando um gateway
perde a conexo com a internet, ento o balanceamento de carga exclui esse link deixando o outro ou os
outros funcionando, quem faz isso o Failover, que entra em vigor automaticamente.

H mais...
Ns definimos o Trigger Level, como Member Down, mas h varias outras opes:
Member Down: acionado quando o endereo que colocamos em IP monitor deixa de responder
aos pings.
Packet Loss: acionado quando os pacotes que viajam entre um dos gateways so perdidos.
High Latency: ativado quando os pacotes que viajam entre um dos gateways ficam com uma
instabilidade muito alta.
Packet Loss or High Latency: acionado quando os pacotes que viajam entre um dos gateways ficam
com perda ou instvel.

Veja tambm...

Configurando mltiplas interfaces WAN

Configurando o Failover em uma multi-WAN


Aqui vamos descrever como configurar o Failover em uma multi-WAN usando somente um sistema
PfSense.

Se preparando...
Ao longo dessa descrio, vamos configurar o Failover para nossas duas interfaces WAN separadas.
Ento ter que se certificar primeiro se as duas interfaces esto corretamente configuradas se guiando pela
instruo anteriormente dita.

Como faz-lo...
1. V a System | Routing
2. Selecione a aba Groups
3. Em Group name digite um nome (esse nome vai ser o nome do seu gateway, e no pode ter
espao) no exemplo usamos FailoverGroup
4. Em Gateway Priority selecione seu WAN Gateway como Tier 1.
5. Em Gateway Priority selecione seu WAN2 Gateway como Tier 2.
6. Em Trigger Level selecione Member Down
7. Em Description digite uma descrio para seu Failover.

122

8. Clique em Save
9. Clique em Save Changes

10. V at System | Routing


11. Edite o WAN gateway
12. Em Monitor IP voc pode especificar um endereo de IP externo. Eu particularmente coloco o
endereo http://www.google.com.br, mas voc pode especificar o endereo a sua escolha, pode
ser um mais perto do seu firewall (algum ip dentro da rede do seu provedor, por exemplo).
13. Clique em Save.
14. Edite o Wan2 gateway
15. Em Monitor IP voc pode especificar um endereo de IP externo. Eu particularmente coloco o
endereo http://www.google.com.br, mas voc pode especificar o endereo a sua escolha, pode
ser um mais perto do seu firewall (algum ip dentro da rede do seu provedor, por exemplo).
16. Clique em Save.
17. Clique em Apply Changes.

123

18. V at Firewall | Rules


19. Cli ue o oto + pa a adi io a u a o a eg a de fi e all a a a LAN
20. Em ao selecione Pass
21. Em Interface selecione LAN
22. Em Protocol selecione any
23. Em Source selecione Lan Subnet
24. Em Destination selecione any
25. Em Description digite uma descrio
26. Em Advanced Features, na opo Gateway clique em Advanced e ir aparecer um menu com a
lista de gateways criados
27. Em gateway selecione o gateway que criamos logo a cima com o nome FailoverGroup
28. Clique em Save
29. Clique em Apply Changes

124

Como ele funciona...


Todo o trfego da nossa LAN vai passar pelo gateway que acabamos de criar. Consiste em um gateway
de dois nveis de prioridades separadas, a rede funcionara pelo gateway Tier 1, quando esse gateway por
algum motivo ficar off, ento o gateway Tier 2 assume o lugar do gateway principal, e quando Tier 1 voltar
ao normal, os dois gateways voltam para a posio inicial.

H mais...
Ns definimos o Trigger Level, como Member Down, mas h varias outras opes:
Member Down: acionado quando o endereo que colocamos em IP monitor deixa de responder
aos pings.
Packet Loss: acionado quando os pacotes que viajam entre um dos gateways so perdidos.
High Latency: ativado quando os pacotes que viajam entre um dos gateways ficam com uma
instabilidade muito alta.
Packet Loss or High Latency: acionado quando os pacotes que viajam entre um dos gateways ficam
com perda ou instvel.

Veja tambm...

Configurando mltiplas interfaces WAN


Configurando o balanceamento de carga em uma multi-WAN

Configurando um servidor web com


balanceamento de carga
Aqui vamos descrever um pequeno servio de web com balanceador de carga no PfSense.

Se preparando...
O balanceador de carga permite que o PfSense distribua certos tipos de trfego para varias maquinas
na rede. Um uso comum desse recurso para distribuir solicitaes HTTP de entrada para vrios servidores
web, a seguir vamos descrever como configurar o balanceador de carga para criar um servio de web
priorizado.

Como faz-lo...
1.
2.
3.
4.
5.
6.
7.

V Services | Load Balancer


Na aba Monitor
Cli ue o oto + para adicionar um novo Monitor.
Em Name digite um nome para seu monitor
Em Description digite uma descrio para identificar seu monitor
Em Type selecione HTTP.
na opo Host, aqui vamos digitar um endereo de IP que no usado na rede, para ser o IP do
servidor virtual. O servidor virtual vai ser configurado para passar os pedidos para os servidores
reais de web, esse IP o que vi ser monitorado
125

8. Em HTTP Code selecione 200 OK.

9. Clique em Save
10. Clique em Apply Changes.

11. Clique na aba Pools.


12. Cli ue o oto + pa a adi io a u
o o pool
13. Selecione um nome em Name
14. Em Mode selecione Load Balance
15. Em Description digite uma descrio pro pool que voc acabou de criar
16. Em Port selecione 80 (pois estamos criando um balanceador de carga de um servidor web)
17. Em Monitor selecione o monitor que voc acabou de criar com o nome WebfarmMonitor.
18. Em Server IP Address digite cada ip dos servidores web e clique em Add to pool.

126

19. Clique em Save


20. Clique em Apply Changes

21. Clique na aba Virtual Servers


22. Cli ue o oto + pa a adi io a u
o o se ido i tual
23. Em Name digite um nome para o seu servidor virtual
24. Em Description digite uma descrio para o seu servidor
25. Em IP address digite o IP que voc cadastrou em Monitor.
26. Em Port digite a porta que voc quer usar no caso 80 j que um servidor de web
127

27. Em Virtual Server Pool selecione o pool que voc criou, WebfarmPool

28. Clique em Submit


29. Clique em Apply Changes

Como ele funciona...


Nessas descries, temos configurado o PfSense para dividir o trfego de entradas de HTTP (porta 80)
entre os dois servidores web separados. O pool define a localizao do servidor web e o modo que o
balanceamento de carga feito (ao contrario do Failover). Nosso servidor virtual define o endereo de IP,
vamos utilizar o nosso NAT e regras de firewall para ouvir os pedido HTTP, e o servidor virtual vai saber
dividir corretamente as requisies atribudas pelo Pool. O monitor ir verificar o estado o pool
periodicamente fazendo um pedido de web. Uma vez que o pedido direcionado ao endereo de IP do
servidor virtual, vai ser desligado o pool, se qualquer um dos dois servidores no responder com o status
200 OK. Uma vez que isso acontecer o pool vai definir o Failover tambm.

128

H mais...
Sticky connections podem ser usados para garantir que o cliente sempre vai fazer pedidos para o
mesmo servidor durante um perodo de tempo. Se o prximo pedido for feito aps o time out do Sticky
connections, ele vai ser manuseado por qualquer um dos dois servidores.
Os desenvolvedores geralmente precisam desse recurso para garantir a integridade dos dados
especficos do servidor (cache InMemory), mas no to confivel do que usar a sesso de
armazenamento compartilhado.

Veja tambm...

Criando regras de NAT port Forward, capitulo 3 Configurao Geral


Criando regras de Firewall, capitulo 3 Configurao Geral
Configurando servidor web com Failover

Configurando um servidor web com Failover


Aqui vamos descrever como fazer um pequeno servidor web com a funo de Failover.

Se preparando...
O balanceador de carga tambm permite que o PfSense envie o trfego para um servidor Failover
quando cair a conexo.

Como faz-lo...
1.
2.
3.
4.
5.
6.
7.
8.

V a Services | Load Balancer


Clique na aba Monitor
Cli ue o oto + pa a adi io a u
o o o ito
Em name digite um nome para o seu monitor
Em Description digite uma descrio que voc possa reconhecer seu monitor
Na opo type selecione HTTP
Em host digite o IP do seu servidor primrio de web
Na opo HTTP code selecione 200 OK

129

9. Clique em Save
10. Clique em Apply Change

11. Clique na aba Pools.


12. Cli ue o oto + pa a adi io a u
o o pool
13. Em name digite um nome para o pool
14. Em mode selecione Manual Failover.
15. Digite uma descrio para o seu pool em Description
16. Em port selecione 80 (j que estamos criando um Failover para servidor web)
17. Em Monitor selecione o monitor que voc acabou de criar com o nome WebFailoverMonitor.
18. Em Server IP Address digite o ip do seu servidor web primrio, e clique em Add pool, se voc
reparar o ip vai para lista de Enable (default)
19. Depois digite novamente em Server IP Address, s que agora voc vai digitar o IP do servidor web
de backup, e clique em Add pool, se voc reparar o IP vai para lista de Pool Disabled.

130

20. Clique em Save


21. Clique em Apply Changes

22. Clique na aba Virtual Server.


23. Cli ue o oto + pa a adi io a u
o o se ido i tual
24. Em Name digite um nome para o seu servidor virtual
25. Digite em Description uma descrio para o seu servidor virtual
26. Em IP address digite um IP que no tiver uso na sua rede
27. Em port selecione 80 (j que estamos criando um Failover para servidor web)
28. Em Virtual Server Pool selecione o Pool que voc acabou de criar, no exemplo o
WebFailoverPool.

29. Clique em Submit


30. Clique em Apply Changes

131

Como ele funciona...


Ao longo dessas descries, explicamos como configurar o PfSense para redirecionar o trfego
automaticamente do servidor web primrio para o servidor web de backup se o primrio ficar off por algum
motivo. O pool define a localizao dos servidores web e o modo Failover (que o contrario de
balanceamento de carga). E o servidor virtual define o endereo de IP, e vamos utilizar o NAT e regras de
firewall para ouvir os pedidos HTTP, o servidor virtual para o pool que definimos. O monitor verifica o status
do servidor principal periodicamente fazendo pedidos web. Se a resposta voltar 200 OK, o pool vai usar o
trfego do servidor primrio, caso contrario ele vai direcionar o trfego para o servidor de backup.

Veja tambm...

Criando NAT de port forward, capitulo 3, Configurao Geral


Criando regras de firewall, capitulo 3, Configurao Geral
Configurando servidor web com balanceamento de carga

Configurando um firewall CARP com


Failover
Aqui vamos aprender como configurar dois firewalls PfSense para Failover

Se preparando...
Redundncia de hardware precisa de um hardware adicional claro. Para configurar um Failover de
firewall, vamos precisar de duas maquinas PfSense. Cada mquina tambm precisa de uma interface adicional
dedicado ao processo de sincronizao (vamos chamar de pfsync). Agora vamos demonstrar como usar duas
maquinas separadas com PfSense, cada uma com trs interfaces (WAN, LAN e pfsync)
As seguintes interfaces sero configuradas com endereos de IPs privados para o exemplo, mas em
uma configurao real exigiria para cada interface WAN ser configurada corretamente de acordo com as
informaes fornecidas pelo provedor.

132

Como faz-lo...
1. Configure a interface da nossa primeira maquina, o PfSense primrio com as seguintes
informaes:
o WAN: 192.168.111.2
o SYNC: 192.168.222.2
o LAN: 192.168.1.2
2. Configure a interface da nossa segunda maquina, o PfSense secundrio com as seguintes
informaes:
o WAN: 192.168.111.3
o SYNC: 192.168.222.3
o LAN: 192.168.1.3
3. Em ambas as maquinas, adicione no firewall a regra de trfego livre na interface SYNC:
1. V a Firewall | Rules
2. Clique na aba Interface SYNC
3. Cli ue o oto + adi io a do u a o a eg a de fi e all
4. Em Protocol selecione any e digite uma descrio em Description

5. Clique em Save
6. Cique em Apply Changes

133

7. Na maquina PfSense secundrio precisamos habilitar a sincronizao CARP, e configura-lo


apenas como backup:
1. V a Firewall | Virutal IPs
2. Clique na aba CARP Settings
3. Marque Synchronize Enabled.
4. Em Synchronize Interface selecione SYNC

8. Clique em Save
9. Ns acabamos de configurar o firewall de backup
10. Na maquina PfSense primrio precisamos habilitar a sincronizao CARP, e configura-lo para
atuar como firewall principal:
1. V em Firewall | Virtual IPs
2. Clique na aba CARP Settings
3. Marque Synchronize Enabled
134

4. Na opo Synchronize Interface selecione SYNC

11. Marque a opo Synchronize rules

12. Marque a opo Synchronize nat

13. Marque a opo Synchronize Virtual IPs

14. Em Synchronize to IP digite o IP do servidor secundrio


15. Em Remote System Password digite a senha do pfsense secundrio

16. Clique em Save


17. Vamos agora configurar um VIP para interface WAN no PfSense primrio
1. V a Firewall | Virtual IPs
2. Clique na aba Virtual IPs
3. Cli ue o oto + pa a adi io a u
o o VIP
4. Em type selecione CARP.
5. Em Interface selecione WAN

135

6. Em IP address digite um endereo de IP nico da WAN que ser usado durante todo o
sistema, independente do sistema primrio ou secundrio estar funcionando.
7. Em Virtual IP Password digite uma senha
8. Em VHID Group deixe a opo 1
9. Em Advertising Frequency deixe a opo 0
10. Em Description digite uma descrio qualquer

11. Clique em Save


12. Clique em Apply Changes

18. Vamos agora configurar um VIP para interface LAN no PfSense primrio
01. V a Firewall | Virtual IPs
02. Clique na aba Virtual IPs
03. Cli ue o oto + pa a adi io a u
o o VIP
136

04. Em type selecione CARP.


05. Em Interface selecione LAN
06. Em IP address digite um endereo de IP nico da LAN que ser usado como gateway ns
clientes da rede, independente do sistema primrio ou secundrio estar funcionando.
07. Em Virtual IP Password digite uma senha
08. Em VHID Group deixe a opo 2
09. Em Advertising Frequency deixe a opo 0
10. Em Description digite uma descrio qualquer

11. Clique em Save


12. Clique em Apply Changes

137

Como ele funciona...


Aqui foi descrito como criar um PfSense Failover usando CARP. Os dois firewalls se sincronizam
constantemente as regras, NAT e configuraes de IPs, de modo que se o servidor principal pare ou por algum
motivo fique off, o outro assume seu lugar automaticamente.
O truque para a sincronizao a configurao do Advertising Frequency entre o IP virtual de cada
interface. O servidor principal tem um Advertising Frequency definido como 0, ento quando as
configuraes se sincronizam, a Advertising Frequency incrementado para o servidor de backup (ou seja, o
Advertising Frequency 1). E assim que o PfSense consegue distinguir as maquinas e as configuraes de
sincronizao.

Veja tambm...

Criando NAT de port forward, capitulo 3, Configurao Geral


Criando regras de firewall, capitulo 3, Configurao Geral
Criando VIP, capitulo 5, Configuraes Avanadas

138

7
Servios e Manuteno
Nesse capitulo, iremos abordar:

Habilitando OLSR
Habilitando PPPoE
Habilitando RIP
Habilitando SNMP
Habilitando UPnP e NAT-PMP
Habilitando OpenNTPD
Habilitando Wake On Lan (WOL)
Habilitando o log externo (syslog server)
Usando o PING
Usando o tracerout
Fazer backup do arquivo de configurao
Restaurando o arquivo de configurao
Configurando o backup automtico do arquivo de configurao
Atualizao do firmware do PfSense

)ntroduo
O PfSense oferece uma infinidade de servios modernos e funcionais. Nesse capitulo vamos descrever
os servios mais usados em relao manuteno, descrevendo a funcionalidade e como usar cada um deles.
Na primeira metade desse capitulo vamos descrever como usar os servios de rede mais populares,
desde SNMP, at como usar o ping e o tracerout, descrevendo como usar essas ferramentas indispensveis,
que j vem embutidas na interface WEB do PfSense. Na outra metade do capitulo vamos descrever um servio
essencial que o sistema de backup, restaurao e atualizao do PfSense.

(abilitando o OLSR
O OLSR (Optimized Link State Routing), um protocolo de roteamento de IP, otimizando a rede sem
fio. quando uma rede constituda por dois ou mais ns, mas o que torna esse sistema nico a maneira
139

que esses ns se comunicam uns com os outros. Os ns tm mltiplas rotas em toda a rede, aumentando a
confiabilidade focando em falhas individuais em cada n.
Aqui vamos descrever como habilitar o servio de OLSR (Optimized Link State Routing).

Como faz-lo...
1.
2.
3.
4.

V a Services | OLSR
Marque Enable OLSR.
Escola a interface ( voc pode selecionar varias interfaces com o boto Ctrl pressionado)
Clique em Save

Como ele funciona...


O OLSR pode ser configurado na WebGUI do PfSense. O OLSR muito usado para aumentar a
confiabilidade em servios portteis como acesso wireless, em servios ad-hoc.

H mais...
1.
2.
3.
4.
5.
6.

Habilitando o HTTPInfo ns permite visualizar e controlar o estado da nossa rede OLSR:


V a Services | OLSR
Marque Enable HTTPInfo Plugin.
Digite em HTTPInfo Port a porta que voc vai ter acesso ao HTTPInfo
Em Allowed Host(s). digite o ip que voc vai querer ter acesso ao HTTPInfo
Em Allowed Host(s) Subnet digite a mascara de subrede desse ip
Clique em Save.

7. Abra qualquer navegador para ter acesso ao HTTPInfo:


140

(abilitando o PPPoE
PPPoE significa Point-to-Point Protocol over Ethernet, eh um protocol de rede que permite encapsular
Protocolo Point-to-Point (PPP) dentro dos frames da interface. PPPoE permite que dois clientes remotos
possam ligar-se e passar dados entre si.
Aqui vamos descrever como habilitar o PPPoE no PfSense.

Como faz-lo...
1.
2.
3.
4.
5.

V a Services | PPPoE Server


Cli ue o oto + pa a adi io a u a o a esta ia de PPPoE.
Marque Enable PPPoE Server
Em Interface selecione a interface que voc deseja configurar
Em Subnet Mask selecione a mascara de subrede
141

6. Em No. PPPoE Users selecione o numero mximo de clientes que iro se conectar
7. Em Server Address digite um IP no usado que o PfSense vai servir para os clientes se conectarem.
8. Em Remote Address Range definir de que faixa de IP vai ser usado para ter acesso ao PPPoE, levando
em considerao o numero de clientes que voc definiu na etapa 6.
9. Em Description digite uma descrio para seu servio de PPPoE
10. Em DNS Servers digite um conjunto de DNS ou deixe em branco para aceitar o padro
11. Em User(s), li ue o oto + pa a adi io a u
o o usu io. Digite o o e de usu io e
username, a senha em password e o IP

12. Clique em Save.

13. Clique em Apply Changes

142

Como ele funciona...


O servio PPPoE usado geralmente para preencher lacunas entre conexes PPP(dial-up) e conexes
Ethernet (banda-larga). Muitos provedores de internet que usam sistema de dial-up e querem usar esse tipo
de autenticao para servio de banda larga (PPPoE) e esse sistema faz exatamente isso.

(abilitando R)P
RIP significa Routing Information Protocol, protocolo de roteamento dinnimo para redes locais e
largas reas de rede.
Aqui vamos mostrar como habilitar o servio de RIP no PfSense

Como faz-lo...
1. V Services | RIP
2. Marque Enable RIP
3. Selecione a interface ( voc pode selecionar mais de uma interface clicando nelas com o ctrl
pressionado)
4. Selecione a verso do RIP em RIP Version
5. Se voc selecionou o a verso 2 ento digite uma senha em RIPv2 password
6. Clique em Save

Como ele funciona...


O protocolo RIP foi o primeiro protocolo de roteamento dinmico que foi criado tem o objetivo de
compartilhar informaes de roteamento entre hosts Unix. O protocolo RIP transmite uma tabela de
roteamento completo em todas as interfaces ativas em um perodo de geralmente 30 segundos.
143

(abilitando o SNMP
O SNMP significa (Simple Network Management Protocol), um protocolo padro de SNMP permite
que os clientes consultem informaes de status de maquinas que tambm suportam SNMP.
Aqui vamos descrever como habilitar o servio de SNMP.

Como faz-lo...
1.
2.
3.
4.
5.
6.

V Services | SNMP
Marque Enable SNMP Daemon
Em Polling Port voc pode selecionar uma porta, mas a padro UDP 161
Em System Location digite o local que voc est configurando
Em System Contact digite o nome de um contato, pode ser o seu mesmo.
Em Read Community String uma senha comunitria que os clientes autorizados a consultar
informaes SNMP tm que digitar a partir de suas maquinas.

7. Em SNMP Modules selecione os mdulos que voc deseja consultar

8. Clique em Save

Como ele funciona...


Ao habilitar o SNMP no PfSense os administradores podem consultar informaes sobre o sistema vital
do cliente SNMP de sua escolha.
144

H mais...

1.
2.
3.
4.
5.

SNMP traps, so enviados pelo SNMP (como o PfSense) para os servidores especificados
quando ocorre um evento significativo, Servidores de SNMP trap, decidem como processa e manipular
tal evento, como e-mails de uma rede de administrador. SNMP Trap til para administradores de
rede que precisam receber alertas rapidamente, ao invs de esperar pelo ciclo de pooling que tem um
potencial muito longo ento pode demorar muito.
Especificando um SNMP trap no servidor PfSense:
V Services | SNMP
Marque Enable SNMP Traps
Digite o nome do seu SNMP trap em Trap Server Name
Digite a porta em Trap Server Port
Digite uma string em SNMP Trap String

6. Clique em Save

Veja tambm...
Documentao sobre SNMP
http://doc.pfsense.org/index.php/SNMP_Daemon

(abilitando UPnP e NAT-PMP


UPnP e NAT-PMP so implementaes totalmente diferentes dos j vistos, ela automatiza o
mapeamento de portas NAT. Esses protocolos so projetados para permitir que clientes possam configurar
automaticamente as regras de port Forward de um roteador ou firewall. Um exemplo comum de permisso
UPnP , quando um Xbox 360 possa se conectar ao Xbox Live.
Geralmente os protocolos UPnP so usados em sistemas da Microsoft, enquanto o NAT-PMP so
usados em sistemas da Apple.
Aqui vamos descrever como habilitar o UPnP e NAT-PMP no PfSense.

Como faz-lo...
1. V Services | UPnP e NAT-PMP
145

2. Marque Enable UPnP & NAT-PMP


3. Marque ou Allow UPnP Port Mapping, ou Allow NAT-PMP Port Mapping ou os dois.
4. Em Interfaces selecione a interface (se quiser selecionar mais de uma selecione a outra pressionando o
boto Ctrl)

5. Clique em Save

Como ele funciona...


Ativando o UPnP e NAT-PMP permite que dispositivos compatveis possam funcionar corretamente em
uma determinada rede sem a necessidade de definir alguma regra ou port Forwarding.

H mais...
H mais recursos opcionais disponveis em servios UPnP e NAT-PMP no PfSense:
Em Maximum Download Speed voc pode definir que velocidade de download seus
dispositivos usando o servio UPnP e NAT-PMP pode usar
Em Maximum Upload Speed voc pode definir que velocidade de upload seus dispositivos
usando o servio UPnP e NAT-PMP pode usar
Em Override the WAN Address voc pode especificar qual IP pode substituir a WAN
Em Traffic Shaping Queue voc pode colocar um shaping j configurado

Marque Enable Log Packets para habilitar os logs usados por clientes UPnP e NAT-PMP
Marcando o System Uptime voc vai estar substituindo o uptime do servio de UPnP e NAT-PMP
pelo uptime do prprio sistema
Marcando o Default Deny Access voc vai estar negando todo o acesso vindo do UPnP e NAT-PMP
146

Em User specified permissions voc pode especificar at quatro usurios com permisses.

Aviso de Segurana
Permitindo que dispositivos possam modificar suas regras de firewall, isso contem uma serie de
implicaes de segurana. O firewall da Microsoft o sistema ISA (TMG o mais recente) no apoia esses
protocolos. Se voc precisar habilitar esses servios esteja ciente dos riscos. Voc teria que dedicar uma
interface separada para esse servio (o trfego arriscado de mais). Voc pode ver nas imagens que eu s
habilito o UPnP na interface publica. Essa interface se trata como insegura mas til para jogos e que clientes
naveguem na web livremente.
Documentao sobre UPnP no PfSense
http://doc.pfsense.org/index.php/What_is_UPNP%3F
Artigo sobre UPnP no Wikipedia
http://en.wikipedia.org/wiki/Universal_Plug_and_Play
Artigo sobre NAT-PMP no Wikipdia
http://en.wikipedia.org/wiki/NAT_Port_Mapping_Protocol

(abilitando o OpenNTPD
O servio vai atender as solicitaes OpenNTPD, data e hora para os clientes solicitarem. Aqui vamos
descrever como ativar o servio OpenNTPD no PfSense.

Como faz-lo...
1. V Services | OpenNTPD
2. Marque Enable para habilitar o servio NTPD
3. Em Interface selecione a interface para usar o servio NTPD (voc pode marcar mais de uma
interface)
147

4. Clique em Save

Como ele funciona...


O OpenNTPD uma implementao open-source do servio Network Time Protocol. Dispositivos
dentro de sua rede podem agora consultar o firewall PfSense com NTP e receber dados no tempo exato partir
dele.
O cliente pode levar algumas horas para se tornar totalmente sincronizada com o servio OpenNTPD,
ter que ser paciente.

Veja tambm...

Documentao sobre o PfSense NTPD


http://doc.pfsense.org/index.php/NTP_Server_%28OpenNTPD%29
OpenNTPD.org
http://www.openntpd.org/
Wikipedia OpenNTPD Article
http://en.wikipedia.org/wiki/OpenNTPD

(abilitando o Wake-On-Lan WOL


u

O PfSense pode enviar um pacote Wake-On-lan (tambm conhecido como pacote mgico) para que
dispositi o o pat el possa se a o dado . A ui a os ap e de o o usa esse e u so o Pfe se.

Como faz-lo...
1. V a Services | Wake on LAN
2. Em Interface, selecione a interface onde esto os dispositivos que voc deseja acordar.
3. Em MAC address digite o endereo MAC do dispositivo

148

4. Clique em Send

Como ele funciona...


O servio Wake-on-LAN ai e ia pa otes gi os pa a ual ue dispositi o ligado a rede que
suportem esse recurso configurados para Wake-on-LAN. Quando um dispositivo configurado corretamente
recebe um pacote magico, o computador vai ligar.
Vale ressaltar que em computadores mais antigos, tem que ser configurado corretamente essa opo
na bios e conectar um cabo especial na placa me.

H mais...
1.
2.
3.
4.
5.

Voc pode armazenar o endereo MAC de todas as maquinas de sua rede:


V Services | Wake on LAN
Cli ue o oto + pa a adi io a um endereo de MAC para usar o servio WOL.
Em Interface selecione a interface onde est ligado o dispositivo
Em MAC address digite o endereo MAC do computador ou dispositivo
Em Description digite uma descrio para o dispositivo

149

6. Clique em Save

7. Clique no MAC address do dispositivo que voc quer mandar o pacote magico

Enviar pacote magico a todos


150

Em vez de acordar cada cliente um por um, voc pode acordar todos de uma s vez, basta clicar no
oto Wake all lie ts

Veja tambm...

Documentao do PfSense Wake-on-LAN


http://doc.pfsense.org/index.php/Wake_on_LAN
Artigo no Wikipedia Wake-on-LAN
http://en.wikipedia.org/wiki/Wake-on-LAN

(abilitando log externo syslog server


O syslog um sistema padronizado para registrar todo o tipo de informao. Cliente syslog e
implementaes de servidores existem para todos os principais sistemas operacionais
A maioria das distribuies Linux j executa o servio syslog, de modo que configurar um servidor
centralizado s questo de decidir qual maquina usar, configurar uma maquina para executar dados do
syslog na rede, e depois configurar todas as maquinas direcionando mensagens de syslog para o servidor.
Aqui vamos descrever como configurar o PfSense para escrever os logs para um servidor syslog na
rede.
151

Se preparando...
Para ligar uma maquina Windows em um servidor de syslog centralizado, d uma olhada no Servidor
de Kiwi Syslog e log viewer

Como faz-lo...
1.
2.
3.
4.
5.

V Status | System Logs


Clique na aba Settings.
Marque Enable syslog'ing to remote syslog server
Em remote syslog servers voc pode digitar at trs servidores de log remoto
Marque Everything para gravar todas as mensagens, ou marque apenas o que lhe interessar.

6. Clique em Save

Como ele funciona...


Ao escrever os logs para um servidor externo syslog, isso pode ter um efeito muito positivo sobre o
PfSense j que no consome muita memoria e espao em disco.

H mais...
Se voc no configurar um servidor de log externo, voc tem as seguintes opes de registro interno
disponveis no PfSense:

Mostrar logs de entrada em ordem inversa ( as mais recentes ficam no topo)


Numero de entrada de logs
Log de pacotes bloqueados na regra padro
Mostra logs de filtros
Desabilita a gravao de arquivos de log do disco para memoria RAM

152

Veja tambm...

Documentao de Configurao de Log no PfSense


http://doc.pfsense.org/index.php/Log_Settings
Artigo no Wikipdia sobre Syslog
http://en.wikipedia.org/wiki/Syslog
Kiwi Syslog Server and Log Viewer
http://www.kiwisyslog.com/

Usando o ping
O PfSense habilita o servio de ping que esta incluso em quase todos os sistemas operacionais. Isso
pode ser til para os administradores fazerem teste de ping do PfSense para outra maquina qualquer a partir
de qualquer interface especificada. Aqui vamos descrever como configurar o servio de ping do PfSense.

Como faz-lo...
1.
2.
3.
4.

V em Diagnostics | Ping
Em Host digite o endereo de IP ou o host do qual voc quer fazer o teste
Em Interface selecione a interface da qual o host ou o endereo de IP esta ligado
Em count selecione a quantidade de pacotes que voc quer fazer o teste

153

5. Clique no boto Ping

Como ele funciona...


O utilitrio ping permite aos administradores fazer teste de ping de qualquer interface, para qualquer
interface. O ping uma ferramenta indispensvel e ter ela na interface web do PfSense uma tima funo.

Veja tambm...

Documentao do PfSense sobre Ping e Host


http://doc.pfsense.org/index.php/Ping_Host
Artigo no Wikipdia sobre Ping
http://en.wikipedia.org/wiki/Ping

Usando traceroute
O PfSense usa o servio de traceroute incluso em quase todos os sistemas operacionais. Isso pode ser
til para administradores que queiram realizar um traceroute ad-hoc
154

Vamos descrever agora como usar o utilitrio traceroute do PfSense

Como faz-lo...
1. V Diagnostics | Traceroute
2. Em host digite o IP ou o host que voc deseja traar a rota
3. Em Maximum number of hops voc pode especificar a quantidade de saltos que o traceroute pode
fazer
4. Voc pode marcar o Use ICMP se quiser

5. Clique no boto traceroute

155

Como ele funciona...


O utilitrio traceroute permite aos administradores realizar um rastreamento de rotas diretamente
pela interface web.
O traceroute pode levar um tempo longo para ser concludo. Voc pode clicar em cancelar a qualquer
momento.

Veja tambm...

Documentao do PfSense sobre Traceroute


http://doc.pfsense.org/index.php/Traceroute
Artigo no Wikipdia sobre o Traceroute
http://en.wikipedia.org/wiki/Traceroute

Fazer backup do arquivo de configurao


Fazer backup dos arquivos de configurao uma parte essencial de qualquer administrador. Aqui
vamos descrever como fazer o backup do arquivo de configurao no PfSense.

156

Se preparando...
Os arquivos de configurao do PfSense so armazenados em um formato de texto simples XML por
padro. Mas tambm tem a opo de ser criptografado.

Como faz-lo...
1. V Diagnostics | Backup/Restore
2. Clique na aba Backup/Restore
3. Em Backup rea selecione All. Para obter o backup de toda a lista de opes, se voc quiser fazer
backup de algumas opes somente, confira a baixo a lista de reas de backup.
4. Deixe Do not backup package information desmarcado, se voc marcar no ser salvo a lista de
pacotes instalados no seu PfSense.
5. Deixe Do not backup RRD data marcado, se voc deixar desmarcado vai ser salvo todo o histrico
de trfego feito pelo PfSense, e com isso o arquivo vai ficar muito grande, e no o caso.

6. Clique em Download configuration.


7. Selecione o local que voc vai querer salvar.

157

Como ele funciona...


O PfSense permite que um administrador possa transferir configuraes feitas no PfSense inteiro
em um arquivo nico no formato XML, para qualquer lugar do teu computador ou rede.

H mais...
Algumas senhas configuradas no PfSense vo aparecer no arquivo em texto puro! Se isso pode ser
uma preocupao ento na hora que voc for fazer o backup, deixe marcada a opo Encrypt
this configuration file, e ento digite uma senha em Password.

reas de backup
Na verso atual do PfSense 2.0 que o livro foi lanado, as seguintes reas para backup esto
disponveis:
ALL
Aliases
DNS Forwarder
DHCP Server
Firewall Rules
Interface
IPSec
NAT
Package Manager
PPTP Server
Scheduled Tasks
Syslog
System
System Tunables
158

SNMP Server

Veja tambm...

Documentao sobre configurao no PfSense sobre Backup/Restore


http://doc.pfsense.org/index.php/Configuration_Backup_and_Resto
re

Restaurando o backup do arquivo de


configurao
Aqui vamos descrever como restaurar o arquivo de backup das configuraes salvas.

Se preparando...
Restaurao de arquivos de configurao uma parte essencial na administrao de um PfSense. Os
arquivos de configurao so armazenados em um formato de texto simples XML padro, mas tambm pode
ser criptografado se for marcado no instante que for feito do backup.

Como faz-lo...
1. V a Diagnostics | Backup/Restore
2. Clique na aba Backup/Restore
3. Em Restore rea selecione All. Para obter a restaurao de toda a lista de opes, se voc quiser
fazer a restaurao de algumas opes somente, confira a baixo a lista de reas de restaurao.

4. Clique em Restore configuration e espere o PfSense reiniciar.

159

Como ele funciona...


O PfSense permite que um administrador possa restaurar as configuraes feitas no PfSense a partir
de um arquivo XML.

H mais...
Se o arquivo de configurao foi criptografado na hora do backup, no esquea de deixar marcada a
opo Configuration file is encrypted, e digite a senha que foi digitada na hora do backup em Password

reas de restaurao
Na verso atual do PfSense 2.0 que o livro foi lanado, as seguintes reas para restaurao esto
disponveis:
ALL
Aliases
Captive Portal
Captive Portal Vouchers
DNS Forwarder
DHCP Server
Firewall Rules
Interface
IPSec
NAT
OpenVPN
Package Manager
PPTP Server
Scheduled Tasks
Static Routes
Syslog
System
System Tunables
160

SNMP Server
Traffic Shaper
VLANs
Wake on LAN

Veja tambm...

Documentao sobre configurao no PfSense sobre Backup/Restore


http://doc.pfsense.org/index.php/Configuration_Backup_and_Resto
re

Configurando o backup automtico do


arquivo de configurao
Aqui vamos descrever como configurar o backup automtico do arquivo de configurao do PfSense

Se preparando...
Os usurios com uma assinatura de suporte PfSense pode configurar um backup automatizado para
servidores PfSense externo usando suas credenciais de login no portal.pfsense.org. Atualmente
somente assinantes pagos podem ter suporte a esse recurso.

Como faz-lo...
1.
2.
3.
4.
5.
6.
7.

V a Diagnostics | AutoConfigBackup
Clique na aba Settings
Digite seu nome de usurio em Subscription Username
Digite sua senha em Subscription Password
Confirme sua senha em Subscription Password
Digite sua senha criptografada em Encryption Password
Confirme sua senha criptografada Encryption Password

161

8. Clique em Save

Como ele funciona...


Backups automatizados podem agora ser armazenados de forma segura em um conjunto de
servidores externos. Isso conveniente quando que o administrador tenha um local externo para
backup das configuraes.

Veja tambm...

Documentao do PfSense sobre automatizao de Configurao de Backup


http://doc.pfsense.org/index.php/AutoConfigBackup
PfSense Portal Premium
https://portal.pfsense.org/

Atualizao do firmware do PfSense


Aqui vamos descrever como atualizar o firmware do PfSense.

Se preparando...
Temos que fazer o backup do PfSense antes de comear a atualizao.

Como faz-lo...
1. V a System | Firmware
2. Clique na aba Auto Update
162

3. Clique em Invoke Auto Upgrade

4. Observe o Status do download

5. Quando o download estiver completo, o PfSense ira atualizar e reiniciar

6. No primeiro login aps o sistema ter reiniciado, vamos ser redirecionado para a pgina Package
Manager.
163

Como ele funciona...


O PfSense entrar em contato com um servio web http://pfsense.org/ pra fazer a
verificao do firmware mais recente, e baixar se necessrio.

H mais...
O PfSense tambm permite a atualizao do firmware manual, que vamos descrever mais a baixo:
1. Fazer o download da verso mais recente em http://pfsense.org/

164

2. V System | Firmware
3. Clique na aba Manual Update

4. Clique no boto Enable firmware upload


5. Clique em Browse para selecionar o local onde se encontra o arquivo baixado

165

6. Clique em Upgrade firmware

Atualizao em andamento
Qualquer tentativa de acessar qualquer opo na hora que o sistema est sendo atualizado voc ser
redirecionado para uma pagina igual que vamos mostrar logo a baixo:

Atalho para atualizao do sistema


166

Quando uma nova verso do PfSense fica disponvel, uma notificao chamada Update available vai
aparecer na tela Status Dashboard na pagina inicial do PfSense.

Veja tambm...

Fazer backup do arquivo de configurao


Documentao do PfSense sobre atualizao do Firmware
http://doc.pfsense.org/index.php/Firmware_Updates

167

A
Monitoramento e Registros

Nesse capitulo, iremos abordar:


Personalizar a tela de Status Dashboard
Monitoramento de trfego em tempo real
Configurando SMTP de e-mail de notificao
Vendo os logs do sistema
Configurando um servidor de syslog externo
Visualizaes de grficos RRD
Visualizaes de mapeamentos DHCP
Monitoramento de filtro de pacotes com PfInfo
Monitoramento de trfego com PfTop
Monitoramento da atividade do sistema

)ntroduo
Uma vez que o PfSense esta instalado e funcionando, importante compreender a maneira correta de
monitoramento do sistema. Aprender a usar o monitor de Status e ferramentas de medio construdas pelo
prprio PfSense vai tornar a vida de um administrador muito mais fcil. Vamos descrever a seguir como
monitorar e visualizar a maioria dos recursos disponveis dentro do PfSense.

Personalizar a tela de Status Dashboard


Aqui vamos descrever como personalizar e configurar a tela de Status Dashboard

Como faz-lo...
1. V Status | Dashboard
2. Cli ue o oto + pa a adi io a u

o o idget

168

3. Cli ue o oto

ha e pa a faze o figu aes espe iais do idget

4. Cli ue o oto i i iza pa a e olhe o iget, ou li ue o oto fe ha pa a e o e o


widget da tela.
5. Voc pode clicar no titulo do widget e arrastar para mudar sua posio na tela

169

6. Clique em Save Settings


7. Clique em Apply Changes

Como ele funciona...


O painel de status entre muitos outros novos recursos so adicionados no PfSense 2.0.
Personalizando o painel para mostrar as informaes que somente lhe interessa, a administrao
fica muito mais fcil. Se configurado corretamente, o painel de status fica sendo a nica pagina que
voc precisa acessar para realizar muitas tarefas comuns.

H mais...
Muito dos widgets disponveis no painel de status tem um item correspondente a ele no menu
Status

Monitoramento de trfego em tempo real


Vamos configurar o monitoramento de entrada e sada de trfego em tempo real no PfSense.

Como faz-lo...
1. V a Status | Traffic Graph
2. Em Interface selecione a interface que voc deseja monitorar

170

Como ele funciona...


O Traffic graph mostra o trfego de informaes em tempo real do que passa da interface para
interface. E a tabela a direito do trfego mostra as informaes de trfego de cada dispositivo conectado
que esteja usando na rede.

Seu navegador deve suportar grficos SVG, eu recomendo o Mozilla Firefox que j vem instalado de
padro no navegador, mas se voc preferir usar outro navegador voc deve instalar o Adobe SVG Viewer.

Veja tambm...

Documentao sobre Traffic Graph no PfSense


http://doc.pfsense.org/index.php/Traffic_Graph
Adobe SVG Viewer
http://www.adobe.com/svg/viewer/install/

Configurando SMTP de e-mail de notificao


Aqui vamos descrever como configurar o SMTP para envio de e-mails de notificao

Se preparando...
Enviar e-mails do PfSense requer acesso a um servidor SMTP

Como faz-lo...
1. V System | Advanced
2. Clique na aba Notifications
3. Digite o IP ou o host do servidor de SMTP em IP Address of the E-Mail server
171

4.
5.
6.
7.

Digite a porta que o servidor de SMTP usa em SMTP Port of the E-Mail server
Digite o e-mail que voc esta usando como remetente em From e-Mail address
Digite o e-mail que voc quer mandar as notificaes em Notification E-Mail address
Digite o nome de usurio que voc usa para logar no e-mail de remetente em Notification
E-Mail auth username
8. Digite a senha que voc usa para logar no usurio digita a cima em Notification E-Mail auth
password

9. Clique em Save
10. Clique em Apply Changes

Como ele funciona...


O PfSense enviar uma notificao por e-mail utilizando as informaes fornecidas para notificar os
administradores de eventos significativos do sistema

H mais...
Uma vez que nossas configuraes so salvas, um teste de e-mail enviado automaticamente. Se
voc no receber o teste de e-mail, verifique os logs do sistema para maiores informaes. V Status |
System Logs | na aba System procure por algo relacionado a e-mails.

172

Vendo os logs do sistema


Aqui vamos descrever como visualizar os logs de evento do PfSense

Como faz-lo...
1.
2.
3.
4.
5.

V Status | System logs


Clique na aba Settings
Deixe marcado Show log entries in reverse order (newest entries on top).
Clique em Save
Clique na aba DHCP por exemplo para visualizar eventos mais recentes do DHCP

Como ele funciona...


O PfSense registra eventos significativos e registra-los internamente. O menu System logs permite ver
os logs gerados para ajudar a solucionar uma variedade de questes administrativas.
Nas seguintes sees descrevem como configurar os pontos de vista alternativos fornecidos pelo log
de eventos do firewall.

H mais...
As informaes de log so coletadas e exibidas para os seguintes servios:
System
Firewall
DHCP
173

Portal Auth
IPSec
PPP
VPN
Load Balancer
OpenVPN
OpenNTPD

Se o registro dos logs feito em um servidor de log externo, no haver nenhum dado nessa pgina.

Exibio normal de log do Firewall


Essa a tela normal de visualizao de log do Firewall

Exibio dinmica de log do Firewall


Essa a tela dinmica de visualizao de log do Firewall

174

Exibio em resumo de log do Firewall


Essa a tela de resumo de visualizao de log do Firewall

Veja tambm...

Configurando um servidor de syslog externo


Configurando um servidor de syslog externo
175

Configurando um servidor de syslog externo


Aqui vamos descrever como configurar o PfSense para usar um servidor de registro de log externo

Se preparando...
Para configurar o PfSense pra usar um servidor de registro de log externo, ns vamos precisar de um
servidor separado para fazer o registro dos logs. Aqui vamos descrever como configurar um syslog em cada
um dos principais sistemas operacionais.

Como faz-lo...
1.
2.
3.
4.
5.

V Status | System Logs


Clique na aba Settings
marque a opo Enable syslog'ing to remote syslog server
Digite o IP do seu servidor externo
Marque os tipos de eventos que devem ser gerados no servidor externo

6. Clique em Save
7. Clique em Apply Changes

Como ele funciona...


Uma vez configurado o PfSense enviar os logs dos eventos a um servidor externo, em vez de registralos localmente. Essa uma tima opo se voc quiser salvar mais recursos de logs em uma maquina com
capacidade de HD maior.

Executando um servio de syslog em um Linux/Mac OS


Quase todas as distribuies Linux e MAC j incluem um servio syslogd. Visite a pagina
seguinte para mais informaes http://linux.die.net/man/8/syslogd.
176

Executando um servio de syslog em um Windows


Fazendo download e instalando um Servidor Kiwi Syslog para Windows em
http://www.kiwisyslog.com.

Visualizaes de grficos RRD


Aqui vamos descrever como exibir grficos RRD no PfSense.

Como faz-lo...
1. V Status | RRD Graphs
2. Clique na aba System
3. Voc pode selecionar o Grafs, Style e Period de acordo com o tipo de dados que voc quer exibir

Como ele funciona...


O PfSense registra os dados do sistema usando o conjunto de ferramentas open-source RRD para
apresentar os dados graficamente na tela. Analisar os dados do sistema usando os grficos RRD e uma tima
maneira de monitorar e solucionar problemas administrativos.
O PfSense pode analisar e exibir as seguinte informaes no formato RRD

177

System
Na aba System exibe informaes de hardware como:
Throughput
States
Process
Memory
All

Traffic
Na aba Traffic exibe informaes sobre a rede de transferncia para cada uma das interfaces do
sistema.
Outbound
WAN
LAN
Optional Interface(s)
OpenVPN
IPSec
178

All

Packets
Na aba Packets exibe informaes de pacotes de transferncia para cada umas das interfaces

Outbound
WAN
LAN
Optional Interface(s)
OpenVPN
IPSec
All

179

Quality
Na aba Quality rene e exibe informaes de perda de pacotes para cada uma das interfaces do
sistema
Outbound
WAN
Gateway(s)
All

180

VPN
Na aba VPN vai exibir as informaes de transferncia VPN
OpenVPN
IPSec
PPTP
All

181

Personalizado
Escolha qualquer grfico anterior para editar cada etapa

182

Visualizaes de mapeamentos D(CP


Aqui vamos descrever como visualizar os mapeamentos DHCP do servidor

Como faz-lo...
1. V Status | DHCP Leases

2. Por padro s aparecem mapeamentos, ativos e estticos, para ver os mapeamentos expirados,
clique no boto Show all configured leases

183

Como ele funciona...


Quando for configurado com um servidor DHCP, o PfSense libera IP para qualquer dispositivo que fizer
a requisio. Essa pagina a primeira pagina que tem que ser vista quando no se consegue aderir um IP.

Adicionando um mapeamento de DHCP esttico


Se voc ver um IP na lista de IPs e quer cadastra-lo para sempre esse dispositivo pegar o mesmo IP,
ento temos ue adi io a u
apea e to estti o, pa a faze isso te
ue li a o oto + .

Envio de Wake on LAN no mapeamento


e e os u dispositi o e ue e os e ia u
apea e to li a do o oto
.

pa ote

gi o , pode os adi io a no

Gerenciando os servios
Aqui vamos descrever como gerenciar os servios em execuo no PfSense.

184

1. V Status | Services

2. Se quiser reiniciar um servio clique no boto Restart

3. Se quiser parar o servio clique no boto Stop

4. Se quiser startar um servio clique no boto Start

185

Como ele funciona...


O PfSense gerencia os pacotes de servios, podendo ser interrompidos e iniciados de forma
independente, til quando um administrador quiser reiniciar um servio ou derrubar todo o sistema.

Monitoramento de filtro de pacotes com


Pf)nfo
Aqui vamos descrever como exibir informaes de filtro de pacotes no PfSense

Como faz-lo...
1. V Diagnostics | PfInfo

186

Como ele funciona...


Voc encontrar as seguintes informaes apresentadas sobre filtro de pacotes
Estatsticas sobre as interfaces
Tabela de estatsticas do estado
Configuraes de limites de velocidade
Estado das regras
Contadores de bytes

Monitoramento de trfego com pfTop


Aqui vamos descrever como exibir o fluxo de trfego em tempo real com o utilitrio pfTop

Como faz-lo...
Administradores de sistema podem usar o utilitrio PfTop para monitorar o trfego em tempo real da
banda em uso. Os dados apresentados por esse utilitrio podem ser apresentados por qualquer um dos
seguintes critrios:

Bytes
Age
Destination
Destination Port
Expiration
None
187

Peak
Packets
Rate
Size
Source Port
Source

Veja tambm...

Documentao sobre Monitoramento de banda


http://doc.pfsense.org/index.php/How_can_I_monitor_bandwidth_
usage%3F#pftop

Monitoramento da atividade do sistema


Aqui vamos descrever como monitorar atividades do sistema PfSense

Como faz-lo...
1. V Diagnostics | System Activity

Como ele funciona...


Os administradores podem monitorar o sistema central do PfSense, incluindo os seguintes recursos:
O ID do ultimo processo (PID)
188

Carga mdia
Uptime
Estatsticas de Processador
Estatsticas de Memoria
Estatsticas de uso do SWAP

189

B
Determinar os Requisitos de
Hardware
Neste capitulo vamos bordar os seguintes tpicos:

Determinando o cenrio de implantao


Determinando os requisitos de rendimento
Determinando os requisitos das interfaces
Escolher o tipo de instalao
Melhor forma de uso

)ntroduo
Se o nosso cenrio uma rede domestica de dois computadores ou um centro de dados corporativos
com centenas de maquinas, essencial sabermos primeiro determinar exatamente a funo do nosso firewall.
A versatilidade do PfSense ns apresenta uma grande variedade de opes de configurao, o PfSense
vai ser instalado em um novo computador, mas como vamos ver, o PfSense oferece inmeras outras
alternativas para atender as necessidades de qualquer ambiente de segurana.

Determinando o cenrio de implantao


Aqui vamos descrever como determinar qual dos cenrios de implantao ser certo para nosso
ambiente de rede.

Se preparando...
Aqui vamos descrever como entender o uso do diagrama para saber como o PfSense se encaixa em
nosso ambiente. Como exemplo vamos usar o meu diagrama de rede que fao em casa. Esse diagrama um
bom exemplo tpico de um escritrio pequeno (tirando os consoles de vdeo game)
190

Como faz-lo...
1. Vamos analisar nosso diagrama de rede

2. Neste cenrio de um pequeno escritrio, o firewall que temos no diagrama se encaixa


perfeitamente. Esse o mais comum de todas as implantaes do PfSense.

Como ele funciona...


Um firewall captura todo o trfego que flui em uma interface. Vamos definir regras de firewall
baseado em como queremos que o trfego flua. Algumas regras comuns entre a maioria das redes
so:
Permitir tudo da LAN para WAN: Permite que os usurios tenham acesso externo,
usando servio de e-mails, e assim por diante.
Permite alguns da LAN para WAN: Permite a filtragem de sada de pacotes para limitar
o tipo de trfego autorizado a sair de uma rede restringindo os dados maliciosos.
Bloquear todos de WAN para LAN: No permite que dados externos entrem na nossa
rede privada.
Permitir trfego HTTP da LAN para DMZ: Permite que usurios internos possam acessar
o servidor web da nossa empresa
Permitir trfego HTTP da WAN para DMZ: Permite que usurios externos possam
acessar o servidor web da nossa empresa
191

Bloquear todos da DMZ para LAN: Nossa DMZ insegura, j que estamos permitindo
que os usurios externos possam acessar o servidor web. Ento temos que bloquear
todo o trfego que tentar acessar a nossa LAN pela DMZ.
O PfSense tambm emprega muitas caractersticas de firewall avanadas, para acomodar as
necessidades de redes mais complexas. O PfSense capaz de:
Suporta dezenas de interfaces, se necessrio.
Pode lidar com varias conexes mltipla de internet, no caso de uma ligao de internet
primaria falhar.
Failover de proteo, no caso se o firewall principal falhar
Balanceamento de carga, para otimizar o trfego de rede.

H mais...
O PfSense altamente flexvel e pode ser tambm configurado como qualquer um dos seguinte
dispositivos. importante notar que esses papeis so simplesmente servios que vamos usar na nossa
implantao de firewall, mas em ambientes maiores pode ter a necessidade de fazer mais de um servidor para
melhorar o desempenho.
Roteador: Este a segunda implantao do PfSense mais comum. Um roteador determina o
destino de um pacote e envia para o seu caminho, sem aplicar quaisquer regras de fierewall.
Aplicao VPN: Um servidor VPN fornece conexes criptografadas de rede remota. O PfSense
suporta todos os principais tipos de protocolos de rede virtual privada, como IPSec, PPTP,
OpenVPN e L2TP.
Aplicao DHCP: Um servidor DHCP atribui endereos de IP a clientes que solicitem.
Aplicao DNS: Um servidor DNS associa o endereo ao nome de IP. muito mais fcil lembrar
www.google.com do ue 173.194.33.104
Aplicao VoIP: a telefonia digital, possvel fazer isso no PfSense usando o pacote
FreeSWITCH.
Aplicao de SNIFFER: Sniffers analisa os pacotes para o padro. Isso muitas vezes para
detectar e impedir o trfego que tenta explorar vulnerabilidades conhecidas. O PfSense utiliza o
pacote mais amplamente implantado sniffer na existncia, o Snort.
Wireless Access Point: O PfSense pode ser implantado como um servidor access point de
acesso wireless.
O PfSense pode ser configurado como muito mais outros dispositivos de servidor, sendo implantado
como uma aplicao de propsito especifico, s limitado pelo numero de pacotes suportados pela
plataforma.
Para mais informaes, leia a documentao do PfSense online: Implementaes comuns
http://www.pfsense.org/index.php?option=com_content&ta
sk=view&id=71&Itemid=81

192

Determinando os requisitos de rendimento


Aqui vamos explicar como determinar os requisitos de rendimento e, posteriormente, os requisitos de
processamento e memoria necessria em nosso ambiente.

Se preparando...
Vamos ter que preparar nossas necessidades, reunindo as seguintes informaes:
A velocidade de conexo com a internet
A velocidade de hardware de rede. Ver se a rede vai ser capaz de transferir 10, 100 ou 1000 Mbps.
Qual velocidade de conexo liberado para cada usurio

Como faz-lo...
1. Vamos ver as diretrizes gerais de rendimento (disponvel em http://pfsense.com em
Hardware | Seleo e dimensionamento)
A taxa de transferncia do
Poder de processamento
Hardware do servidor PCI-e
Firewall
10-20 Mbps
266-MHz CPU
No
21-50 Mbps
500-MHz CPU
No
51-200 Mbps
1-GHz CPU
No
201-500 Mbps
2-GHz CPU
Recomendado
501+ Mbps
3-GHz CPU
Recomendado
A tabela a seguir mostra os requisitos mnimos para determinados recursos opcionais:
Caractersticas
VPN

Captive Portal
Tabelas em larga
escala
Pacote Squid

Pacote SNORT
Pacote NTop

Recursos adicionais
Na transferncia criptografada o CPU fica com 20% do seu rendimento a menos, se
voc tiver um processador com recursos baixos voc vai precisar de uma placa s para
esse servio.
Ambientes com um numero grande de usurios como mais que 100, voc vai precisar
de uma placa com processamento maior j que a taxa de transferncia maior.
O tamanho padro de entradas de tabela so 10.000, ocupando 10MB de RAM. Em
grandes ambientes com centenas de milhares de entradas de tabela ser necessria
uma quantidade de memoria RAM maior.
um pacote usado para guardar e gerenciar cache de web, que requer um uso
intensivo do HD e uma grande quantidade de armazenamento. No recomendado
em uso embutido, j que usado um carto compacto e no tem muito espao.
um pacote de deteco de intruso de sniffer requer no mnimo 512MB de RAM s
para esse servio.
um pacote de ferramentas de trfego de rede. Ser necessrio no mnimo 512MB de
193

RAM.
2. Agora, vamos determinar nossas prprias exigncias.
Nossa empresa de mdio porte, tendo 100 usurios em media. Na nossa infraestrutura
tem cabo CAT5 e um switch de 100Mbps. A maioria do nosso trfego em navegao web,
e-mails e compartilhamento de arquivos pequenos. Nossa conexo de internet de
100Mbps, a nossa maior preocupao ser capaz de usar 100% do link.
Queremos proporcionar um acesso VPN para acessarem de qualquer lugar, para no ter
problemas na hora de conexo, para auxiliar ns usamos o Pacote Ntop para no ter
problemas futuros e poder ter confiana em uma transferncia VPN.
Por ltimo levando em considerao o dinheiro economizado por estar usando o PfSense
que um sistema de cdigo aberto, vamos ter um computador adicional para servir como
Failover.
3. Aqui vamos identificar nossas necessidades:
Uma placa de rede de 1Gbps (incluindo cabos e switches)
Rendimento da taxa de transferncia eh de 100Mbps
A taxa de transferncia encriptada (VPN) de 20Mbps
1-GHz CPU, 1-GB RAM.
A segunda maquina tem que ser idntica para ser usada como Failover.

Como ele funciona...


A taxa de transferncia a quantidade de dados que podem ser processados em um determinado
momento. Vamos ter uma conexo de 100Mbps de internet de fibra tica, mas se nossa placa de rede s
puder processar 20Mbps ento essa vai ser nossa velocidade de internet.
A taxa de transferncia do firewall apenas um fator de trfego que passa pelo firewall. O trfego da
internet passa por esse requisito (LAN <| WAN). No entanto entre duas maquinas da rede interna, a
transferncia entre essas duas maquinas no vai passar pelo firewall.

H mais...
importante lembrar que certos recursos de firewall tem seu prprio recurso de hardware. Por
exemplo, as conexes VPN exigem um processamento adicional e o pacote de web Squid no adequado
para uma instalao embutida em disco compacto.

Lista de pacotes disponveis


Infelizmente, a lista de pacotes disponveis para o PfSense no mantida online. Uma vez o PfSense
instalado podemos ver os pacotes disponveis em System | Packages.

Determinando os requisitos das interfaces


Aqui vamos descrever como ajudar a determinar as necessidades da nossa interface atravs da analise
do nosso projeto de rede.
194

Se preparando...
Aqui vamos descrever uma analise do nosso diagrama de rede para entender como as interfaces da
nossa rede vo funcionar. Como exemplo, vamos usar o diagrama de rede de casa, que basicamente usado
em um pequeno escritrio.

Como faz-lo...
1. Vamos analisar o nosso diagrama de rede:

2. Podemos ver que nosso ambiente composto por 4 interfaces separadas:


WAN (Wide Area Network): A internet
LAN (Local Area Network): A rede interna primria
DMZ (Zona Desmilitarizada): a nossa rede interna que permite o acesso externo ao
servidor web, servidores de e-mail, e qualquer outro dispositivo liga a essa interface.
WiFi (Para visitantes poderem acessar wireless): Ns criamos essa rede para aceitar novos
acessos de convidados. Eles podem se conectar com senha ou no e navegar na web.
Vamos considerar essa interface insegura j que qualquer pessoa vai poder se conectar,
ento vamos definir regras para quem se conectar nessa interface no possa se comunicar
com outras interfaces.
evidente que nosso firewall tem quatro placas de rede.

195

Em uma opo alternativa o diagrama a cima poderia ser feito com duas interfaces (WAN e LAN) e duas
VLANs (DMZ e WiFi).

Como ele funciona...


O firewall requer uma placa de rede para cada interface separada. Isso garante uma separao fsica
do trfego de rede. Todo o trfego entre as redes forado a passar pelo firewall, onde as nossas regras vo
ser aplicadas e cumpridas. Por essa razo um firewall exige no mnimo duas placas de rede para funcionar
corretamente, uma para o trfego externo e outra para o trfego interno, cada interface opcional vai exigir
outra placa de rede que pode ser adicionada a qualquer momento.

H mais...
Tipicamente, uma placa de rede ter uma nica porta Ethernet. No entanto algumas placas de rede
podem ter duas, quatro ou at mais portas em uma nica placa de rede. No firewall do nosso cenrio a cima
pode funcionar tanto com quatro placas de rede com uma entrada Ethernet cada uma, ou uma placa de rede
com quatro entradas Ethernet, nas duas alternativas funcionaria da mesma forma.
Placa de rede com uma entrada Ethernet

Placa de rede com quatro entradas Ethernet

PfSense 2.0: Os requisitos de numero de interface mnimo


Isso novo na verso 2.0 do PfSense, pois agora permitido a instalao do PfSense 2.0 em um
computador com apenas uma placa de rede, que antes no era possvel (era obrigado ter duas placas).

Escolher o tipo de instalao


Aqui vamos descrever como escolher entre a verso normal ou embutida do PfSense.

196

Se preparando...
Cada recurso padro usado em uma plataforma de instalao pode ser usado em outra, mas certos
pacotes no. O Squid por exemplo tem que ser instalado em uma instalao normal feita no prprio HD.

Como faz-lo...
1. Vamos rever os pacotes que decidimos instalar:
Pacote NTop: uma ferramenta de analise de trfego. Ele requer um mnimo 512MB de RAM, mas
no tem restrio quanto ao tipo de armazenamento.
2. Com base nessas informaes vamos fazer a instalao do PfSense em uma plataforma imbutida

Como ele funciona...


A imagem padro foi feita para ser instalado em um disco rgido. A verso embutida feita para ser
instalado em dispositivos como um pendrive por exemplo. Mas pendrive tem um numero limitado de
gravaes durante sua vida til, por isso que a verso embutida do PfSense projetado para limitar o que ele
escreve no disco. Cada plataforma tem suas vantagens e desvantagens distintas:
Plataforma
Prs
Contra
Padro
Suporta todos os pacotes e funcionalidades.
Todo o HD deve ser exclusivo para o sistema
Grande quantidade de espao de
(dual boot no permitido).
armazenamento.
Requer um uso de energia maior.
Embutida
Tempos de resposta rpida.
Pendrives tem um numero limitado de
Os pendrives podem ser facilmente trocados, gravaes durante sua vida til.
por outro pendrive de backup ou com o
Nem todos os pacotes so suportados nesse
sistema j atualizado.
tipo de plataforma de instalao.
Requer pouca energia.
Silencioso

H mais...
A forma de instalao do PfSense no HD feita atravs do CD. Mas se voc quiser apenas usar o
PfSense sem precisar instalar voc tambm pode com o mesmo CD, dando boot por ele. Voc pode at salvar
suas configuraes em um pendrive.

Melhor forma de uso


Aqui vamos descrever como escolher a melhor configurao de hardware, baseado nas necessidades
do nosso firewall.

Se preparando...
mais fcil saber a melhor forma de uso do PfSense , se todos os pr-requisitos j foram obedecidos:

Cenrio de implantao
Requisitos de taxa de transferncia
Requisitos de interfaces
A plataforma de instalao
197

Como faz-lo...
Avaliando os diferentes tipos de uso do PfSense:
1. Uso pequeno: energia restrita, silencioso, um pequeno rendimento de impresso.
2. rea de trabalho: o hardware de um computador normal. Facilmente atualizvel de uso padro
do PfSense.
3. Servidor: em ambientes maiores podem requerer um computador mais robusto do tipo Servidor.
Considerando a necessidade da exigncia de um hardware especial. No nosso caso, precisamos de um
rendimento moderado se no precisar usar pacotes que exigem hardware especial. Para ser usado em um
baixo consumo de energia e em uma operao silenciosa para o nosso pequeno escritrio ento vamos usar
uma forma de uso mais pequena.

Como ele funciona...


A escolha da forma de uso tem haver com o ambiente de uso do PfSense. Cada ambiente varia a forma
de uso do PfSense. Graas a grande variedade de hardwares disponveis no mercado hoje, qualquer
implantao do PfSense pode ser possvel.

H mais...
No h nada que impea do PfSense ser instalado em um notebook! O maior obstculo sem duvida
seria no poder adicionar placas de rede, mas uma alternativa seria adicionar dispositivos USB com sada
Ethernet.
Assim como todos os projetos de cdigo aberto, ter primeiro que ver a compatibilidade do dispositivo
antes de instalar o novo hardware.

Instalando o PfSense em uma plataforma embutida em um


desktop/servidor/laptop
198

Algumas pessoas realmente tiram um maior proveito do sistema usando em um pendrive. Testar uma
nova verso do PfSense ou ento restaurar um backup, podendo somente trocar o carto de memoria. Mas
na maioria dos desktops no vem com um leitor de carto, mas existem varias outros dispositivos
semelhantes que podem ajudar:

Instando a verso padro no laptop


De todos os tipos de cenrios de instalaes diferentes, instalar a verso padro em um disco rgido do
laptop o desafio maior. Pois os aparelhos so pequenos, e as vezes no vem com leitor de cd, e as vezes no
tem entrada de vdeo externo para poder ser visto melhor, e vai precisar de uma entrada serial ou USB.

199

Traduzido por Christopher Persaud


E-mail: christopherpersaud@gmail.com
MSN: christopher@uze.com.br

200