Você está na página 1de 213

TabeladeContedo

Capitulo1ConfiguraoInicial______________________________________________________________1
Introduo

1
AplicandoconfiguraesbsicasemGeneralSetup

2
Identificandoeatribuindointerfaces

3
ConfigurandoaInterfaceWAN

6
ConfigurandoaInterfaceLAN

8
ConfigurandoInterfacesOpcionais

10
HabilitandooSecureShell(SSH)

12
GerandochavesRSAautorizada

13
ConfigurandooSSHcomautenticaodeChaveRSA

16
AcessandoporSecureShell(SSH)

17
Capitulo2ServiosEssenciais

19
Introduo

19
ConfigurandooServidorDHCP

20
CriandoDHCPcommapeamentosesttico

22
CriandooDHCPrelay

24
EspecificandoDNSalternativo

25
ConfigurandooDNSForwarder

27
ConfigurandoservidordeDNS/DCHPdedicado

28
ConfigurandoDNSdinmico

31
Capitulo3ConfiguraoGeral

33
Introduo

33
CriaodeAlias

33
CriaoderegrasemNATportforward

38
CriaoderegrasnoFirewall

41
Criandoagendamento

47
Acessoremotoaodesktop,usandoexemplocompleto

50
Capitulo4RedeprivadaVirtual(VPN)

55
Introduo

56
CriandoVPNemumtnelIPSec

56
ConfigurandooservioL2TPVPN

58
ConfigurandooservioOpenVPN

64
ConfigurandooservioPPTPVPN

69
Capitulo5ConfiguraesAvanadas

80
Introduo

80
CriandoumIPVirtual

80
CriandoregradeNAT1:1

85
CriandoumaregradeNAToutbound

88
CriandoGateway

91

Criandoumarotaesttica

92
ConfigurandooTrafficShaping

94
Interfacesdotipoponte

101
CriandoumaLANVirtual

102
CriandoumCaptivePortal

103
Capitulo6Redundncia,BalanceamentodecargaeFailover

108
Introduo

108
ConfigurandoMultiplasInterfaces

109
ConfigurandoobalanceamentodecargaemumamultiWAN

113
ConfigurandooFailoveremumamultiWAN

116
Configurandoumservidordewebcombalanceamentodecarga

119
ConfigurandoumservidorwebcomFailover

123
ConfigurandoumfirewallCARPcomFailover

126
Capitulo7ServioseManuteno

131
Introduo

132
HabilitandoOLSR

132
HabilitandoPPPoE

134
HabilitandoRIP

135
HabilitandoSNMP

136
HabilitandoUPnPeNATPMP

137
HabilitandoOpenNTPD

139
HabilitandoWakeOnLan(WOL)

140
Habilitandoologexterno(servidorsyslog)

142
UsandooPING

144
UsandooTraceroute

145
Fazerbackupdoarquivodeconfigurao

146
Restaurandooarquivodeconfigurao

148
AtualizaodoFirmwaredoUTM

150
Capitulo8Pacotes

153
InstalandooWebfilter

153
ConfigurandooWebfilter

156
AdicionandooDataClick179
ConfigurandooBluePexDataClick180
ApndiceAMonitoramentoeRegistros

190
Introduo

190
PersonalizarateladeStatusDashboard

190
Monitoramentodetrfegoemtemporeal

192
ConfigurandoSMTPdeemaildenotificao

193
Vendooslogsdosistema

195
Configurandoumservidordesyslogexterno

197
VisualizaesdegrficosRRD

198

VisualizaesdemapeamentosDHCP

204
Gerenciandoosservios206
MonitoramentodefiltrodepacotescomPfInfo

207
MonitoramentodetrfegocomPfTop

208
Monitoramentodeatividadesdosistema

208
Listadepacotesdisponveis

209
Informaesdeautoria

209

1
ConfiguraoInicial
Nessecapitulo,iremosabordar:

AplicandoconfiguraesbsicasemGeneralSetup
Identificandoeatribuindointerfaces
ConfigurandoaInterfaceWAN
ConfigurandoaInterfaceLAN
ConfigurandoInterfacesOpcionais
HabilitandooSecureShell(SSH)
GerandoChavesRSAAutorizada
ConfigurandooSSHcomautenticaodeChaveRSA
AcessandoporSecureShell(SSH)

Introduo
OUTMsebaseiabasicamenteempacketfilteretomadecisesdetodasassuasfunes,efoi
adicionadomaisumavariedadedeserviosderedesmaisusadas.

NessecapituloiremosabordarasdefiniesbsicasparaimplantaodoUTM.UmavezoUTM
instaladoeconfiguradodeacordocomodescritonessecaptulo,vocvaiterumfirewalloperacionalquevai
almdeumroteador.Emseunvelmaisbsico,umamaquinaUTMpodeserusadoparasubstituirum
roteadordomesticocomafuncionalidadequedeseja.Emconfiguraesmaisavanadas,UTMpodeserusado
paraestabelecerumtnelseguroparaumescritrioremoto,equilbriodecargadetrfego.Existem
realmentecentenasdeformasdeseconfigurarumUTM.
UmavezqueoUTMestinstalado,hduasmaneirasdeacessaroservidorremotamente,SSHeos
WebGUI(paineldecontrole),umaconexoSSHvociriaveromenuigualaovistosevocplugasseomonitor
noservidor,nomenudeopesdoSSHasopessobsicasemuitopoucodasconfiguraoalteradaaqui.
TodaconfiguraodescritaemcadacapitulodolivrofeitaatravsdainterfaceWebGUI(paineldecontrole),
quepodeseracessadaatravsdoendereodeipdequalquerinterfacequevocconfiguroudurantea
instalao(como192.168.1.1)
Pgina1de212

AplicandoConfiguraesbsicasemGeneral
Setup

NessemenuiremosabordarconfiguraesbsicasfeitasnoUTM.

Sepreparando...

Tudoqueprecisoparafazerasconfiguraesumabasedeinstalaobemfeitaeacessoao
WebGUI(paineldecontrole).Algumasdessasconfiguraespodemtersidoconfiguradasduranteainstalao
masnadaimpedequepossasermodificadaaqualquermomento.
Emumanovainstalaoascredenciaisdeacessopadro:
Usurio:admin
Senha:b1uepexutm

Comofazer
1. VemSystem|GeneralSetup.
2. DigiteumHostname.Essenomeserusadoparaacessaramaquinapelonomeenopeloendereo
deIP.Porexemplopodemosacessardigitandoapenashttp://UTMemvezdehttp://192.168.1.1:

3. DigiteodomnioemDomain.

4. ServidoresdeDNSpodemserespecificadosaqui.PorpadrooUTMvaiatuarcomoDNSprimrioe
essescamposficaroembranco.MasvocpodeusaroutrosservidoresdeDNS.ConsulteoDNS
alternativonoCapitulo2ServiosEssenciais,paramaioresinformaes.

Pgina2de212

5. MarcarAllowDNSserverlisttobeoverriddenbyDHCP/PPPonWAN.Issogarantequetodasas
solicitaesdeDNSquenosoresolvidasinternamente,vopassaraserresolvidaspeloservidorde
DNSdoseuprovedorISP.

6. DigiteoFusoHorrioemTimeZoneedeixeopadroNTPtimeservercomo0.pfsense.pool.ntp.org.

7. NomomentotemosapenasoTemapadro,Bluepex2.0.Osmenusdotopoagorasoestticoseno
vaidesaparecersevocpercorrerocontedodapgina.

Vejatambm...
ConfigurandoDNSForwardernocapitulo2ServiosEssenciais.
EspecificandoDNSalternativonocapitulo2ServiosEssenciais.

IdentificandoeatribuindoasInterfaces

Aquivamosdescrevercomoidentificareatribuirasconfiguraesapropriadasparacadainterfaceno
UTM.

SePreparando...

VocprecisaidentificaroendereoMACdecadaplacaEthernetnoseuUTMantesdeatribuiras
interfaces.

Comofazlo...
1. AcessaroconsoledamaquinafsicaatravsdomonitorouativaroSSHacessandoremotamente(Veja
ativandooSecureShell(SSH)paramaisdetalhes).
2. Atelainicialexibirumalistadeinterfaces,portasderedeeendereodeIP.

Pgina3de212


3. Escolhaaopo1AssignInterfaces.
4. PuleaconfiguraodeVLANsagora.VejaacriaodeVLANsnoCapitulo5ServiosEssenciaispara
maisinformao.

5. Atribuirparacadainterface,ainterfacedesuaescolhacorrespondenteaoendereoMACparacada
endereodainterfacenatela.

Pgina4de212

AcapacidadedeconfigurarapenasumainterfacenovoparaoUTM2.0,sendoquenasverses
anterioreseraprecisoWANeLAN.

Comoelefunciona...

UTMcomoqualqueroutrosistemaoperacionalparacomputador,usareferenciaparacadaPlacade
Redeatribuindovalornicoparacadainterface(fxp0,em0,em1,eassimpordiante).Essesidentificadores
estoassociadosaodriveridentificadopelosistemaparatornarfcilanossaidentificaonahoradeassociar
oMAC(00:80:0c:12:01:52).SendoassimumainterfaceumnomedadoacadaportaEthernet:fxp0=WAN,
LAN=em0,em1=DMZ,eassimpordiante.

Hmais...

Agoravocsabequalportaestadirecionadaparaqualinterface,vocpodegerenciarasfuturas
mudanasatravsdoWebGUI(paineldecontrole).IndoatInterfaces|(assign).
Pgina5de212

Vejatambm...

AcessandooSecureShellemSSH
ConfigurandointerfaceWAN
ConfigurandointerfaceLAN
ConfigurandoInterfaceOpcional

ConfigurandoWANinterface

AquivamosaprenderaconfiguraroWideAreaNetwork(WAN)nainterfaceexternadonossofirewall.

SePreparando...

AinterfaceWANqueconectaseufirewallainternet.Vocvaiprecisarconfigurarcorretamentea
WANinterface(comofoifeitonocapituloanterior)paraumaconexocomainternet.Noexemplovamos
usarummodemviacaboqueforneceacessointernetviaDHCP,masoUTMpodefazeroutrostiposde
conexo.

Comofazlo...
1.
2.
3.
4.

VatInterfaces|WAN.
MarqueEnableInterface.
EscolhaotipodeconfiguraodeendereoemType.
DeixeembrancooMACaddress.VocsvaiprecisarinserirendereoMACseforusarospoofing.O
seuprovedornopodeverificarseusendereosMAC,entoatribuindomanualmentevocvaiforaro
ProvedorfornecerumIPouumconjuntodiferentedeDNS.
5. DeixeMTU,MSS,Hostname,eAliasIPAddressembranco.

Pgina6de212


6. MarqueBlockprivatenetworks.EssaconfiguraonormalmentemarcadaemumasWAN
interface.
7. MarqueBlockbogonnetworks.EssaconfiguraonormalmentemarcadaemumasWANinterface.
8. CliqueemSave.

Comoelefunciona...

DevemosprimeirocriarumaconexocomainternetantesdecomearmosaconfiguraroUTMe
permitirquearedeconecteainternetatravsdele.Secolocarmosonossofirewallcomonicamaquinacom
acessodiretoainternet,estamosgarantindoumambienteseguro,estabelecendoumcontrolecompleto
sobreotrafegoquefluidentroeforadarede,todaotrafegodevepassaragorapelonossofirewallerespeitar
asnossasregras.

HMais...

AgorapodemosconectarocaboderededomodemnainterfaceWANquedefinimosnaconfigurao
anteriordoUTM.Umavezconectadoocaboderede,podemosverificarostatusdeconexonaportaWAN
emStatus|Interfaces:
Pgina7de212

Vejatambm...
IdentificandoaAtribuindoasinterfaces
ConfigurandointerfaceLAN
Configurandointerfaceopcional

ConfigurandoaInterfaceLAN
AquivamosaprenderaconfiguraroLocalAreaNetwork(LAN)interfaceinternadonossofirewall.

SePreparando...

AinterfaceLANusadaparaconectarseusdispositivosinternosemumaredeinternasegura.
necessrioconfigurarainterfaceLANcorretamente.

Comofazlo...
1.
2.
3.
4.

VatInterface|Lan.
MarqueEnableInterface.
EscolhaaconfiguraodeendereoemType.
DigiteseuipemIPaddressemascaradesubrede.DeixeGatwayemNone.

Pgina8de212


5. DeixeBlockprivatesnetworkeBlockbogonnetworksdesmarcadas.
6. CliqueemSave.

Comoelefunciona

Vocacaboudeconfigurarsuaprimeiraredeinterna.Sevocfezaconfiguraodeacordocomolivro,
agoravocjconheceosrequisitosmnimosparaumbomfuncionamentodeumfirewall!Vocjdefiniu
umaredeexterna(WAN)eumaredeinterna(LAN).Agoravocpodedefinirasregrasdetrafegoentreos
dois.

HMais...

AgoravocpodeconectarocaboderededaredeinternanainterfaceLANdoseuUTM.Issopermitira
quevocseconecteaoscomputadoresdaredeinterna.

Vejatambm...
IdentificandoaAtribuindoasinterfaces
ConfigurandointerfaceWAN
Configurandointerfaceopcional

Pgina9de212

ConfigurandoInterfaceOpcional

Aquiiremosdescrevercomocriareatribuirinterfacederedeopcionalnonossofirewall.

SePreparando...

Aredeopcionalquevocvaicriarnesseexemplo,serefereaumaDMZ.AidiadeusarZonaMilitar
Desmilitarizadadepermitirapassagemdetrafegodiretaouno.AidiadoDMZcontrolaresepararsede
outrasreas,seaplicaDMZnesseexemplo:
Trafegodeinternet|DMZTrafegoredeinterna

OtrafegodeinternetinseguropermitidoentrarnaDMZ,paraacessarumservidorwebporexemplo.
OtrafegodaLantambmpodeentrarnaDMZsequiseracessaroservidorwebtambm.Noentantooponto
chaveficanaultimaregranopermitindoaentradadeDMZnaredeinterna.

AredeDMZaredemenossegura,vamospermitiracessoexternosadeterminadoIP,para
configurarumaDMZouqualqueroutraredeopcional,vamosprecisardeoutrainterfacedisponvel.

Comofazlo...
1.
2.
3.
4.
5.

Vatumainterfacedisponvel,Interfaces|OPT1
MarqueEnableInterface.
EmDescriptiondigiteDMZ.
EscolhaaconfiguraodeendereoemType,noexemplofoiescolhidoStatic.
DigiteemIPAddressoipeselecioneotipodemascara.Usaremoso192.168.2.1eselecioneotipode
mascaraapartirde24nalista.
6. DeixeGatewayemNone.

Pgina10de212

7. DeixeBlockprivatesnetworkseBlockbogonnetworksdesmarcados.
8. CliqueemSave.

9. CliqueemApplyChanges.

Comoelefunciona

SuaredeDMZvaipermitiracessoexterno(WAN).SuaDMZtambmpermitiraacessoapartirdaLAN,
masnoteropermissodeenviartrafegoparaLAN.Issoirpermitirqueasrequisiesvindasdainternet
paraacessarrecursosdoseuDMZ(websites,email,assimpordiante)noenxerguemsuaredeinterna(LAN).

Hmais...

AgoravocpodeconectarumswitchligadointerfaceDMZparaseconectaremvariasmaquinas.Iria
ficarcomoodiagramaaseguir:

Vejatambm...
OIdentificandoaAtribuindoasinterfaces
OconfigurandointerfaceWAN
OconfigurandointerfaceLAN
Pgina11de212

HabilitandooSecureShell(SSH)

AquiiremosdescrevercomohabilitaroSecureShell(SSH)noUTM.

Sepreparando...

SSHumprotocoloderedequepermiteqcomunicaocriptografadaentredoisdispositivos.
AtivandooSSHpermitiacessoseguroparaoconsoledoUTMremotamente,comosevocestivessesentado
nafrentedoservidorcomoUTM.

Comofazlo...
1. VatSystem|Advanced|SecureShell.
2. MarqueEnableSecureShell.
3. VoceserasolicitadoafornecercredenciaisquandovocseconectarremotamenteporSSH(useo
mesmonomedeusurioesenhaquevocconectaporWebGUI),vocpodemarcarDisablepassword
loginforSecureShell.IssoirapermitirqvocusechaveRSA,vejamaisafrenteparamaiores
informaes.
4. DeixeSSHPortembranco,quevaiserusadoportapadro22.

5. CliqueemSavequeoserviodeSSHhabilitadoautomaticamente.

Comoelefunciona...

AtivandooSecureShellSSHpermitiaoUTMouvirasrequisiesdaporta22ouaportaquevoc
especificaremSSHPort.

Assimcomotodososservios.OservioSSHirouviremcadainterfacedisponvel.Assimcomooutros
servios,regrasdefirewallsousadasparapermitiroubloquearacessoaessesservios.ConsulteoCapitulo3
ConfiguraesGeral,paraobtermaisinformaesdecomoconfigurarregrasdefirewall.

Hmais...

MudandoomtododeautenticaodoSSHparausarchavesRSAumatimamaneiradeproteger
acessoaoseusistema.Vejaabaixoparamaisdetalhes.

AlmdissovocpodealteraraportaemqueoservidorescutaoSSH.Fazendoissovocpode
aumentaraseguranaaindamaisdoseusistema,reduzindoonumerodetentativasdeloginnoautorizado,
masprecisoselembrardaportaquevocalterouseno,noirpoderseconectarnovamente.

Pgina12de212

Vejatambm...
OGerandoChavesautorizadasRSA
OCriandoregrasdefirewallnoCapitulo3ConfiguraesGeral

GerandoChavesautorizadasRSA

AquivamosdescrevercomociarumachaveRSAautorizadaparaqueumusuriopossaseconectarao
UTMsemsersolicitadoumasenha.

Sepreparando...

UsuriosdeLinuxeMacteroqueterosshkeygeninstaladoemseusistema(quasetodasas
distribuiesjvminstaladoporpadroemseusistema).UsuriosdoWindowsteroquebaixareinstalara
ferramentaPuTTYgen.

Comofazlo...

GerandochavesSSHemcomputadoresLinux/Macdaseguintemaneira:
1. Abrirterminaledigite:
ssh-keygen
2. Guardarachavenolocalpadro/home/user/.ssheespecificarumasenha(opcional,mas
recomendado).
3. Suachavepublicaestalocalizadaagoraem/home/user/.ssh/id_rsa.pub

Pgina13de212


GerandochavesSSHemcomputadoresWindowsusandoPuTTYdaseguinteforma:
4. AbraPuTTYgenegereumpardechavespublica/privadaclicandonobotoGenerate.
5. Digiteumasenha(Opcional,masrecomendado)
6. CliqueemSavePrivateKeyeescolhaumlocalcomoC:\MyPrivateKey.ppk

7. Selecioneachavepublicaqfoigeradanacaixadetexto,copieecoleemumnovoarquivo,digamos
C:\MyPrivateKey.txt(NouseobotoSavepublickeyqueadicionacomentrioseoutros
camposquesoasvezesincompatveis).

Pgina14de212

Comoelefunciona...

ChavesRSAsetornaramumpadroparaprotegerasconexesdeCliente/Servidorparaqualquer
servio.Umclientegeraumpardearquivosumachaveprivadaeumachavepublica(umasenhaopcional
podeserusadaparamaiorsegurana),agoraqualqueradministradordoservidorpodeadicionarumachave
publicadeclientesemseusistema,eoclientepodeseautenticarnoservidorsemprecisardigitarumasenha.

Hmais...

AutenticaodechaveRSAmaisusadacomacessoSSH,emuitasvezessereferemaelacomo
ChavesSSH,masissonoverdade.ChaveRSAumaformadeseguranaquetambmpodeserusadaem
SSH.EmboramuitousadoemSSHelatambmpodeserusadacomoVPN,VoIP,FTP,eassimpordiante.

Vejatambm...
OHabilitandooSecureShell(SSH)
OGerandoChavesautorizadasRSA

Pgina15de212

ConfigurandoSSHcomautenticaode
chaveRSA

AquivamosdescrevercomoconfiguraroUTMparausarumachaveRSAemvezdesenhapara
autenticaoSSH.

Sepreparando...

CertifiquesequevocjativouoSSHejgerouumachavepublica.

Comofazlo...
1. VatSystem|Advanced|SecureShell
2. MarqueDisablepasswordloginforSecureShell(RSAkeyonly).

3. Editarousurioqueirassociarcomachavepublica,vemSystem|User|Manager|Edit
admin.
4. ColeemAuthorizedKeysachavepublicadoclienteRSA.Quandoeleforcolado,achavedeve
apareceremumanicalinha.Certifiquesedequeseueditordetextonoinsiraquaisquer
caracteresquealimentealinhadoespaoouentoaautenticaopodefalhar.

5. CliqueemSave.

Comoelefunciona...
QuandoumclienteseconectarporSSH,nosersolicitadoumasenha.Aoinvsdisso,oSSHusaa
suacopiadachavepublicaRSAparaenviarumacomparaocomachaveprivadadocliente
correspondente.

Hmais...
ChavesRSAprivadastambmpodemsersalvascriptografadasnamaquinadocliente.OclienteSSH
vaipedirumasenhaparadescriptografarachaveprivadaantesdeserusadaparaautenticao
comoservidor.

Pgina16de212

Vejatambm...
HabilitandooSecureShell(SSH)
GerandoChavesautorizadasRSA
AcessandooSecureShellemSSH

AcessandooSecureShellSSH
AquivamosdescrevercomoacessaroconsoledoUTMusandoclienteLinux,MacouWindows.

Sepreparando...
OSSHjdeveestarhabilitadoeconfiguradonoUTM.UsuriosdoLinux,MacterooclienteSSH
instaladoporpadro.OsusuriosWindowsteroqbaixaroPuTTY.

Comofazlo...
ConectandoviaSSHusandoclienteLinux/Mac:
1. Abraajaneladoterminaleexecute:
ssh admin@192.168.1.1
2. Sevocestiverusandoaconfiguraopadro,entosersolicitadoumasenha.
3. SevocestiverusandochavedeautenticaoRSA,vocvaiserconectadodiretamenteouser
solicitadoadigitarumasenhaassociadacomsuachave.Seprecisarespecificaralocalizaodo
seuarquivodechaveprivada,vocpodeusaraopoidessaforma:
ssh -i /home/matt/key/id_rsa admin@192.168.1.1
4. SevoceconfigurouoUTMparausarumaportadiferente,vocpodeespecificarusandoa
opop,igualoexemploaseguir:
ssh -p 12345 admin@192.168.1.1

ConectandoviaSSHusandoclienteWindowscomoPuTTY:
5. AbraoPuTTYedigiteoHostameouoIPdoservidor
6. Especifiqueumaportaalternativasehouveranecessidade,apadro22.
7. SevocusarachavedeautenticaoRSA.Procureoarquivodachaveprivadaem
Connection|SSH|Auth|Privatekeyfileforauthentication.

Pgina17de212


8. Vocvaiseconectaresersolicitadoumnomedeusurio.
9. Vocvaiterqdigitarumasenha,ousevocusarautenticaoporRSAvocvaiserconectado
diretamenteouvaisersolicitadoumasenhaparadescriptografarsuachaveprivada.

Comoelefunciona...
OSSHpermiteteracessoaoconsoledeconfiguraodoUTMapartirdequalquercomputador
quetenhaumclienteSSH.Vocpodeatacessaroconsoleapartirdoseutelefone,sevoc
instalaroclienteSSHnoseudispositivomvel.

Vejatambm...
OHabilitandooSecureShell(SSH)
OGerandoChavesautorizadasRSA
ConfigurandoSSHcomchavedeautenticaoRSA

Pgina18de212

2
ServiosEssenciais

Nessecapitulo,iremosabordar:

ConfigurandooServidorDHCP
CriandoDHCPcommapeamentoesttico
ConfigurandooDHCPrelay
EspecificandoDNSalternativo
ConfigurandooDNSForwarder
ConfigurandoservidordeDNS/DHCPdedicado
ConfigurandoDNSdinmico

Introduo
DepoisdeinstalaroUTMeexecutarospassosseconfiguraoinicial,temosagoraaestruturabsica
donossosistemafuncionando,atagoratemos:
Determinamosanecessidadedonossosistema
ConfiguramosoacessoporSSH
ConfiguramosaWAN,LANeoOpcionalDMZ
AgoraestamosprontosparacomearaconfigurarosserviosderedeessenciaisqueonossoUTMvai
proporcionar.
OserviodeDHCPpermitequeasestaespeguemendereosdeipautomaticamente.
OserviodeDNSconverteosIPsemnomeslegveisdeendereodeinternet,eviveversa.
OserviodeDNSdinmicopermiteoUTMatualizarautomaticamenteoregistroeDNSao
publicoassimqelemudar.

Pgina19de212

ConfigurandooservidorDHCP

AquiiremosdescrevercomoconfiguraroserviodeDHCPdoUTM.OserviodeDHCPatribuium
endereodeipaqualquerclienteqsolicitarum.

Sepreparando...

OUTMspodeserconfiguradocomoumservidordeDHCPseainterfaceestivercomendereodeip
esttico.NesselivroiremosabordarainterfaceLANeDMZ,enoaWAN.OExemploabaixoaborda
configuraroservidorDHCPparaainterfaceDMZ.

Comofazlo...
1. VaServices|DHCPServer.
2. SelecioneaabaDMZ.
3. MarqueEnableDHCPServeronDMZinterface.

4. SelecioneemRangeosipsqueosclientespoderousar.Osipsdeveroestardentrodafaixadeip
contidaemAvailablerange.

5. CliqueemSaveparasalvarehabilitaroserviodeDHCP.
6. CliqueemApplyChangesnecessrioparaqueasalteraesentreemvigor.

Comoelefunciona...
OservidorDHCPaceitaassolicitaesderequerimentodeIP,eatribuiumipdisponvelsemque
hajaalgumproblemadeduplicidadedeIP.

Hmais...
UmservidorDHCPmandaumipdisponvelparaumclientequeestejasolicitando,provvelque
quandooclientefaanovamenteasolicitaooipqueoservidormandavaimudaracadapedido.
ParagarantirqueoclientesemprerecebaomesmoendereodeIPpodemoscriarum
mapeamentoestticodoDHCP.Vejanoprximoexemplo.

Pgina20de212

Negarclientesdesconhecidos

Habilitandoessaopogarantequeapenasosclientescommapeamentocadastradoiroreceber
endereosdeip.SolicitaesdeDHCPvindodeclientesnocadastradosseroignoradas.
diferentedoquemarcaraopoEnablestaticARPentriesondeosclientesdesconhecidosiroreceber
endereosdeip,masnovosercapazesdesecomunicarcomofirewalldenenhumaforma.

ServidordeDNS

VocpodeespecificarmanualmentequalDNSosclientesiroseratribudos.Sedeixarembrancoo
UTMiratribuiroDNSemumadasduasformas:
SeoDNSforwarderestiverhabilitado,oDNSvaiseroIPdainterfacelocaldoUTM,issoporqueoDNS
ForwardertornaaprpriamaquinaUTMemumservidorDNS.
SeoDNSforwarderestiverdesabilitado,entodeveroserconfiguradosemGeneralSetupos
endereosdeDNS.Eclaro,seAllowDNSserverlisttobeoverriddenbyDHCP/PPPonWANestiver
habilitadoemGeneralSetuposservidoresDNSseroobtidosatravsdaportaWAN.

Gateway
OgatewaydasmaquinasclientesporpadroseroipdainterfacelocalusadacomoservidordeDHCP,
maspodesermudadacolocandoumvalor,senecessrio.

DomainName

OnomededomnioconfiguradoemGeneralSetupvaiserusadocomopadromaspodeserusadoum
nomededomniodiferenteespecificadosehouveranecessidade.

DefaultLeaseTime

umvalorquepodeserusadoparaespecificarumtempomnimoqueexpireoacessoporDHCP.O
tempopadro7200segundos

MaximumLeaseTime
umvalorquepodeserusadoparaespecificarumtempomximoqueexpireoacessoporDHCP.O
tempopadro86400segundos.

FailoverPeerIP

SistemaquepodeconfigurarumendereodeipquesirvacomoFailOverdebalanceamentodecarga.
VejaaconfiguraodebalanceamentodecargaeFailOvernocapitulo6.

Pgina21de212

StaticARP

HabilitandooStaticArpvaipermitirquesomenteosipscadastradosnomapeamentoestticode
DHCPirosecomunicarcomofirewall.Clientesnocadastradosatpoderopegaripmasnose
comunicarocomofirewall.

IssodiferentedeDenyunknownclientesondeosipsquenoestocadastradosnemsequer
chegamapegarip.

DynamicDNS

PermitequeosclientessejamregistradosautomaticamentecomodomniodeDNSdinmico
especificado.

AdditionalBOOTP/DHCPOptions

Digiteumvalorasuaescolhaobedecendoasregraslistadasnessesite:
http://www.iana.org/assignments/bootpdhcpparameters/bootpdhcpparameters.xml

Vejatambm...
CriandomapeamentoestticoporDHCP
ConfiguraodebalanceamentodecargaeFailOvernocapitulo6.

CriandoDHCPcommapeamentoesttico

AquivamosdescrevercomoativareconfiguraromapeamentoestticodoDHCPnoUTM.O
mapeamentoestticogarantequeoclientesemprepegueomesmoIP.

Sepreparando...

ODHCPcommapeamentoestticosseaplicaparaasinterfacesqueutilizamoserviodeDHCP.

Comofazlo...
1. VatStatus|DHCPleasesentovocveralistadeclientesquefizeramarequisiodeippro
DHCP.

2. Entocliquenobotocomosmbolo+paraadicionaroipnomapeamentoesttico.
Pgina22de212

3. OendereoMACsercadastrado.
4. DigiteemIPaddressoipquevocdesejaatribuirparaaquelecliente,esseiptemqueestarfora
dosipscadastradosemRange,queessevaiseratribudoparaoutrosclientesquefizerema
requisiodeip.
5. DeixeoHostnamejpreconfigurado,ouentodigiteumasuaescolha.
6. EmDescriptiondigiteumadescrioquevocpossaidentificarocomputadordocliente.

7. CliqueemSave.
8. CliqueemApplyChanges,vatapginaDHCPServernofinaldapaginavocvaivero
mapeamentoquefoicriado.

Comoelefunciona...
QuandoumclientefazumarequisiodeipautomticonoservidorDHCPdoUTM,seo
endereoMACestivercadastradonomapeamentoentooclientepegaoipcadastradoreferente
aoMAC.SeoMACnoestivercadastradoentoatribudoumipaoclientedentrodagamadeip
cadastradoemRange.

Hmais...
OsipscadastradosnomapeamentoestticopodemservistosnapaginaDHCPServernaparte
inferiordapgina,vocvaiatServices|DHCPServer|Interfaceselecionandoaaba
correspondentedainterface.
Todososipsestticoscadastradosvocvernessatela,vocpodemodificar,remover,at
criarumnovoipestticoparaocliente,massevoccriarporaquioendereoMACvaiprecisar
seratribudomanualmente.

Pgina23de212


Vejatambm...
OConfigurandoservidorDHCP
OConfigurandoservidorDHCPrelay

ConfigurandooDHCPrelay

AquivamosconfiguraroDHCPpararetransmitirpedidosDHCPdeoutrodomnio.Especificandoo
DHCPrelaymaisumaalternativaparaconfiguraroDHCPnoUTM.

Sepreparando...

ODHCPrelayspodeserativadoseoserviodeDHCPdetodasasinterfacesestiverdesativado,voc
podedesativaroserviodaseguinteforma:
1.
2.
3.
4.

VatServices|DHCPServer|Interfaceselecionaaaba(aLANporexemplo).
DesmarqueaopoEnableDHCPServeronLANInterface.
CliqueemSave.
EcliqueemApplyChanges.

Comofazlo...
1. VatServices|DHCPrelay.
2. MarqueaopoEnableDHCPrelayonInterface.
3. SelecionequalinterfacevaiusaroDHCPrelay,sequiserselecionarmaisdeumainterfaceclique
nasduascomobotoctrlpressionado.
4. EmDestinationServerdigiteoendereodeipdoservidorDHCPquevocdesejausarcomo
destino.Vriosippodemserusadosdesdequesejamseparadosporvirgula.
5. CliqueemSave.
6. CliqueemApplyChanges.

Pgina24de212

Comoelefunciona...
OUTMpodeserconfiguradopararetransmitirumpedidodeDHCPfeitoaoutroservidorDHCP
existente,qualquerpedidodeDHCPserenviadoaoservidorcomoipconfiguradoemDHCPrelay
edevolvidaarespostaaoclientequerequisitou.

AppendCircuitIDandAgentIDtoRequests
MarcandoessaopooUTMpodetambmacrescentarnasrequisiesdeipsuaidentificao
juntoaopedidodeipsehouveranecessidade.

UsandooDHCPrelaypelainterfaceWAN
UsandooDHCPrelaypelainterfaceWANnofoiimplementadoataverso2.0doUTM
quandofoifeitoolivro.

Vejatambm...
OConfigurandoservidorDHCP
OConfigurandoservidorDHCPrelay

EspecificandoDNSalternativo

AquivamosdescrevercomousaroDNSalternativo,quesejadiferentedoconfiguradoporpadropelo
UTM.

Sepreparando...

QuandosetrataderesoluodenomesDNS,namaioriadosambientesfornecidapeloseuprovedor
deinternetISPatravsdaWAN.PorpadronoprecisodefinirnenhumDNS,porqueatribudopelo
prprioUTMseaopoAllowDNSserverlisttobeoverriddenbyDHCP/PPPonWANestivermarcada.Mas
seporalgummotivovocquiseratribuiroutroDNSalternativoterqueseguirosseguintepassos.

Comofazlo...
1. VemSystem|GeneralSetup
Pgina25de212

2. ODNSServersterqueconterasseguinteconfiguraes:
EspecificaroIPegatewayparacadalinhadoDNSServers.
DesmarqueAllowDNSserverlisttobeoverriddenbyDHCP/PPPonWAN.
3. CliqueemSave.
4. CliqueemApplyChanges.

Comoelefunciona...

OsservidoresDNSespecificadosmanualmentesempreteroprioridadeamenosseforsubstitudo
pelasseguintesopes.

OsservidoresDNSqueforamcolocadosnoexemplososervidorespblicosquepodemserusadospara
diagnosticarproblemasdeDNS.

UsandooDNSForwarder

SeoDNSForwarderestiverhabilitadopodemossubstituirosservidoresDNSpordomniosindividuais
ouatmesmodispositivosindividuais.ParasabermaisinformaesconsulteoConfigurandooDNS
Forwarder.ODNSForwardertempreferenciasobretodosospedidosdeDNS.

UsandooDNSdasuaWAN

QuandoAllowDNSserverlisttobeoverriddenbyDHCP/PPPonWANestivermarcado.OUTMusaro
DNSdaWANsefalharentopassarausarosDNSslistadoscadastrados.DepoisdoDNSForwardereleque
temprefernciasobreospedidosdeDNS.

Vejatambm...
OConfigurandoDNSForwarder.

Pgina26de212

ConfigurandooDNSForwarder

AquivamosdescrevercomoconfiguraroDNSForwardernoUTM.ODNSForwarderdoUTMpermite
agircomoumservidordeDNScomumasriedevantagens.

Sepreparando...

ODNSForwarderpermiteoUTMresolverospedidosdoDNSusandoohostnameobtidopeloservio
deDHCP,oumanualmentesevocinseriuasinformaesmanualmente.ODNSForwardertambempode
encaminhartodasassolicitaesdeDNSparaumdeterminadodomnioespecificadomanualmente.

Comofazlo...
1. VemServices|DNSForwarder|EnableDNSForwarder
2. SeRegisterDHCPleasesinDNSForwarderestivermarcado,todososdispositivosemStatus|
DHCPLeasesusarafunodoDNSForwarder.
3. SeRegisterDHCPstaticmappingsinDNSForwarderestivermarcado,todososdispositivos
conectadosemapeadosemqualquerabadeinterfaceemServices|DHCPServerusaroservidor
configurado.

4. EspecificandoindividualmenteemHostsestarusandoosregistrosdoDNS.Clicandonoboto+
vocadicionaumregistro,dispositivoscadastradosnessalistaterseupedidoimediatamente
devolvidotendopreferencia.
5. VocpodeespecificarumDNSemparticularemDomain,clicandonoboto+paraadicionarum
registro.Essesregistrossoverificadosimediatamentelogodepoisdosregistrosindividuaisacima,
porissoaquipodeterpreferenciaemregistrosexistentesemoutroslugares.

Pgina27de212


6. CliqueemSave.
7. CliqueemApplyChanges.

Comoelefunciona...
SeoDNSForwarderestivermarcado,elevaiterprioridadesobretodosospedidosdeDNS,a
respostavainaseguinteorigem:
1. Registrodedispositivosindividuais(Services|DNSForwarder).
2. Registrodedomniosespecficos(Services|DNSForwarder).
3. MapeamentodeDHCPesttico(Services|DHCPServer|Interface)selecioneaaba.
4. DHCPLeases(Status|DHCPLeases).

Vejatambm...
OConfigurandooservidorDHCP
OCriandooDHCPcommapeamentoesttico
OConfigurandooservidorDHCP/DNSdedicado

ConfigurandooservidorDHCP/DNS
dedicado

AquivamosdescrevercomoconfiguraroUTMcomDNSeDHCPdedicado

Comofazlo...
1. ConfigureoUTMcomoservidorDHCP.VejaConfigurandooservidorDHCP.
2. Crieummapeamentoestticoparacadadispositivoquevseconectarcomipautomticoemseu
sistema.
3. VemSystem|GeneralSetup
Pgina28de212

4. SecertifiquequenenhumoutroDNSestaconfiguradonalista.
5. MarqueaopoAllowDNSserverlisttobeoverriddenbyDHCP/PPPonWAN,nessemodoo
UTMvairesolverosnomesdeDNSvindodiretodainterfaceWAN.
6. CliqueemSave.
7. CliqueemApplyChangessenecessrio.

8. VatSystem|DNSForwarder
9. MarqueEnableDNSForwarder.
10. MarqueRegisterDHCPstaticmappingsinDNSForwarder.

11. CriarumregistroemHostparaqualquerdispositivoquepreciseserresolvido,masnopodeestar
nomapeamentoDHCP(eledeveserconfiguradoipmanualmente)

Pgina29de212

12. CriarumregistroemDomainparatodosospedidodeDNSquevocgostariaquefossedirecionado
paraumdeterminadodomnio.

13. CliqueemSave
14. CliqueemApplyChanges.

Comoelefunciona...
SeoDNSForwarderestiverhabilitado,todasassolicitaesdeDNSdecadainterfaceser
solicitadopeloUTM.RegistrosindividuaiscadastradosemHostvoserverificados,seelefor
correspondidoentoeleimediatamentedevolvido.

SehabilitaroRegisterDHCPStaticMappingsvocnoterquesepreocuparcomcriaoderegistros
DNSparaosdispositivos.EsseomeumtodopreferidodeusaroUTMcomoumservidordeDNS.Contando
queterquemapeartodososendereosdeipparacadadispositivodaredequeohostnameresolver
automaticamente.

Usandoessemtodonosvamosterqueadicionaroshostnameseipsdecomputadoresqueno
usaremDHCPquedevemserpoucosnarede.

RegistrandoemDHCPLeasesoDNSForwarder

SeRegisterDHCPLeasesinDNSForwarderestivermarcado,oUTMvairegistrarquaisquer
dispositivosquetiverumhostnameefizerumpedidodeDNS.Adesvantagemclaroquenemtodosos
dispositivosvoseconectarsenoestivercadastradonomapeamentoestticodoDHCP,euprefiroregistrar
todos.

Vejatambm...
OConfigurandooservidorDHCP
OCriandooDHCPcommapeamentoesttico
OConfigurandoDNSForwarder

Pgina30de212

ConfigurandoDNSDinmico

AquivamosdescrevercomoconfiguraroserviodeDNSdinmiconoUTM.

Sepreparando...

NoUTMjvemintegradooserviodeDNSdinmicopermitindoatualizarautomaticamentetodavez
quemudaoendereodeipdainterface.

Comofazlo...
1.
2.
3.
4.
5.

VemServices|DynamicDNS
CliquenaabaDynDNS
Cliquenoboto+paraadicionarumnovoregistro
EscolhaoServiceType(Ouseja,oprestadordeserviodeDNSdinmico)
EspecifiqueemInterfacetoMonitorainterfaceligadanainternetpelaqualdesejaconfigurar
(geralmenteusadaainterfaceWAN)
6. DigiteemHostnameonomequevoccriounoprovedordoDNSdinmico,noexemplooDynDNS
7. MarqueoWildcard,seforocaso
8. DigiteemusernameepasswordascredenciaisquevocconfigurounoprovedordeDNSdinmico,
noexemplooDynDNS.
9. DigiteemDescriptionumadescrioqualquerquevocpossareconhecerposteriormente.
10. CliqueemSave.
11. CliqueemApplyChanges.

Pgina31de212

Comoelefunciona...

Semprequeoendereodeipmudadainterface,oUTMautomaticamenteseconectacomoprovedor
deDNSdinmicousandoascredenciaiscadastradaseatualizatodososdados.

ServiosdeprovedoresdeDNSdinmicocadastrados

OUTMjvemcomosprovedoresdeDNSdinmicomaisusadosjcadastrados:

DNS0Matic
DynDNS
DHS
DyNS
easyDNS
Noip
ODS
ZoneEdit
Loopia
freeDN
DNSexit
OpenDNS
NameCheap

EspecificandoumservioalternativousandooRFC2136

MassevocquiserusarumprovedorDNSdinmicoquenoestejacadastrado,vocpodeusarele
desdequeobedeaaopadroRFC2136.VemServices|DynamicDNS|naabaRFC2136,emseguida
preenchanoscamposapropriadososdadosfornecidopeloseuprovedordeDNSdinmico.

Pgina32de212

3
ConfiguraoGeral

Nessecapitulo,iremosabordar:

CriaodeAlias
CriaoderegrasemNatportforward
Criaoderegrasnofirewall
Criandoagendamento
Acessoremotoaodesktop,usandoexemplocompleto

Introduo

Aprincipalfuncionalidadedequalquerfirewallacriaodeportas,regrasdesegurananofirewall,e
noUTMnodiferente.Estascaractersticas,eoutras,podemserencontradasnomenuFirewallnapagina
principaldaWebGUI.

Nestecapitulovamosexplicarcomoconfiguraressasregraseexplicarcadacaractersticasassociadasa
cadauma,depoisdeterfeitodetudoumpoucovocvaiveroquantofcilaconfiguraodofirewalldo
UTM.

CriandoAlias

Aquivamosexplicarcomousar,criar,editareexcluirAlias.OAliasforneceumgraudeseparaoentre
asregrasevaloresquepodemmudarnofuturo(porexemplo,endereosdeIP,portas,eassimpordiante).
semprebomusarAlias.

Comofazlo...
1.
2.
3.
4.
5.

VemFirewall|Aliases
Cliquenoboto+paraadicionarumnovoAlias.
EmNamedigiteonomedoAlias
EmDescriptiondigiteumadescrioprviadoquevocvaiquerernesseAlias
SelecioneumtipodeAliasemType.Suaconfiguraoaseguirvaisebasearnoquevoc
selecionar.
Pgina33de212

VejaquehmaistiposdeAlias,nasseesseguintesvamosverdetalhessobrecadaumadelas
(Host,Rede,UsuriosOpenVPN,URLetabelasURL)

6. CliqueemSave.
7. CliqueemApplyChanges.

Comoelefunciona...

UmAliasumlugardesuporteparaobterinformaesquepodemmudar.UmAliasdehostum
bomexemplo,podemoscriarumAliasdehostchamadoComputador1,eguardarumendereodeip
192.168.1.200.

PodemosentocriarvariasregrasdefirewalleNateusaronomeComputador1emvezde
especificamenteoendereodeIPdoComputador1.SeoendereodeipdoComputador1mudar,s
mudarnoAliasoipreferenteaoComputador1aoinvsdemudarinmerasregrascriadasparaaqueleip.

OsAliaspermitemeflexibilidadeetornasimplesalgumasmudanasfutura.semprebomusarAliases
semprequepossvel.

Hmais...

AdicionandoAliasdentrodeAlias,tambmumatimamaneiradegerenciaresimplificarregras.Para
mostraropoderdoAlias,digamosqueanossaorganizaotemumtelefoneVoIPnico,quedevese
comunicarcomonossoservidorVoIP.
UmexemplodessaregrasemAliasaseguinte:

Pgina34de212

Umexemplomelhor,usandoAlias,aseguinte:

UmexemploaindamelhorusandosubAlias,seguinte:

ComosubAliasnospermitemodificarfacilmentemaistelefones,bastamodificarumAlias.

HostAlias

SelecionandoHost(s)comotipodeAliaspermitequevoccrieumAliascontendoumoumais
endereosdeIP:

Pgina35de212

NetworkAlias

SelecionandoNetwork(s)comotipodeAlias,permitequevoccrieAliasumoumaistiposderedes
(ouseja,intervalosdeendereoderede).

PortAlias

SelecionePort(s)comotipodeAlias,permitequevoccriealiascomumoumaisportas:

URLAlias*

SelecionandoURLcomotipodeAlias,permitequevoccrieumoumaisaliascontendoURLs:

*Disponivelapenasnaverso2.0.3

Pgina36de212

URLTableAlias*

SelecionandoURLTablecomotipodeAlias,permitequevoccrieumaURLnicaapontandoparauma
grandelistadeendereos.Issomuitoimportantequandovocprecisaimportarumagrandelistade
endereosdeipse/ousubredes.
*Disponivelapenasnaverso2.0.3

UsandooAlias

OAliaspodeserusadoemqualquerlugarquevocvejaumacaixadetextodacorvermelha.Basta
comearadigitarqueoUTMvaiexibirqualquerAliasdisponvelcorrespondentecomotextoquevoc
comeouadigitar.

EditandooAlias

ParamodificarumAliasexistente,sigaessespassos:
1.
2.
3.
4.
5.

VatFirewall|Aliases
CliquenobotodeedioparaeditaroAlias
Faaasmudanasnecessrias
CliqueemSave
CliqueemApplyChanges.

DeletandoumAlias:
PararemoverumAliasexistente,sigaessespassos:
1. VatFirewall|Aliases.
2. CliquenobotodedeleteparadeletaroAlias
3. CliqueemSave
4. CliqueemApplyChanges

ImportandodadosemlotesnoAlias

ParaimportarumalistadevriosendereosIP,sigaestespassos:
1. VatFirewall|Aliases
2. CliquenobotodeimportaodeAliasparaimportaremlotes.
3. DigiteumnomeparaaimportaoemAliasName
Pgina37de212

4. DigiteumnomeparadescriodoAliasemDescription.
5. ColealistadeendereosquevocquerimportarumporlinhanoAlias

6. CliqueemSalvar.
7. CliqueemApplyChanges

Vejatambm...
OCriandoNatcomregradePortForward
OCriandoregrasdeFirewall.

CriandoNatcomregrasdePortForward

Aquivamosdescrevercomocriar,editareexcluirregrasdePortForward.

Sepreparando...

AcomplexidadedasregrasdePortForwardpodevariarmuito.Todososaspectosdeumaregrade
PortForwardsoaprofundadosmaisadiante.OseguintecenrioumexemplotpicodePortForwardpara
encaminharqualquersolicitaorecebidapelaweb(HTTP)paraumcomputadorjconfiguradocomoservidor
web

Comofazlo...
1.
2.
3.
4.

VatFirewall|NAT
SelecionaaabaPortForward.
Cliqueem+paraadicionarumaregradePortForward.
EmDestinationportrange,escolhaHTTPemfrometonacaixademenu
Pgina38de212

5. EmRedirecttargetIPespecifiqueoservidorwebdetrfegoparaqualvaiserencaminhado,pode
serporAliasouIP.
6. EmRedirecttargetPortescolhaHTTP.
7. DigiteumadescrioemDescription,noexemplousamosForwardHTTPtowebserver1
8. CliqueemSave.
9. CliqueemApplyChanges.

Porpadroumaregradefirewallcriadaparapermitirqueotrfegopasse,masmuitoimportante
lembrarqueasregrasdeNATeFirewallsodistintoseseparados.AsregrasdeNATservemparaencaminhar
otrfego,enquantoasregrasdefirewallsoparapermitiroubloquearotrfego.muitoimportantelembrar
quesporqueumaregraNATestaencaminhandoumtrfego,noquerdizerqueoFirewallnopossa
bloquearela.

Comoelefunciona...

TodootrfegopassaatravsdalistaderegrasdeNAT,comosseguintescritrios:

Interface
Protocolo
Origemeintervalosdeportasdeorigem
Destinoeintervalosdeportasdedestino

Setodootrfegocorrespondeatodososcritriosdestaregra,queotrfegoserredirecionadoparao
RedirecttargetIPeRedirecttargetportespecficos.
AssimcomotodasasregrasdoUTM,regrasdeNATsolidasdecimaparabaixo,aprimeiraregra
executadaimediatamenteeorestanteignorado.
Pgina39de212

Nossosexemplospodemserlidosassim:

Otrfegode:
AInternet(Interface:WAN)
Apartirdequalquercliente(Source)emqualquerporta(SourcePortRange)
Indopara:
NossoendereodeIPPublico(DestinationWANaddress)
Comumpedidodewebsite(Protocol:TCP,DestinationPortRange:HTTP)
Serredirecionadopara:
Umcomputadoremparticular(RedirectTargetIP:Webserver1)
Comomesmopedido(Protocol:TCP,RedirectTargetPort:HTTP)

Hmais...

AsregrasdeNATpodemserconfiguradasusandoumavariedadedeopes:

Disabled:AtivaoudesativaaregradeNATmarcandoessaopo.
NoRDR(NOT):Ativandoessaopoirdesativaroredirecionamentodetrfego.
Interface:EspecificaainterfacequearegradeNATvaiserusada(amaisusadaaWAN)
Protocol:EspecificaotipodeprotocoloquevaiserusadonaregradeNAT.AmaisusadaTCP,UDP
ouTCP/UDP,masexistemtambmGREeESP.
Source:Normalmenteaorigemdeixadacomopadroany,masvocpodeespecificarumaoutra
fonte,senecessrio.
SourcePortRange:Geralmenteusadaporpadroany,masvocpodeespecificaroutraportase
houveranecessidade.
Destination:NamaioriadasvezesdeixadoovalorpadroqueaWAN(oendereopublico),mas
podeserusadaoutraalternativasehouveranecessidade.
DestinationPortRange:Essaaportadetrfegosolicitante.Sensestamosencaminhandootrfego
daweb,poderamosselecionarHTTP,tocomumquejvemnomenudropdown,masaescolha
(other),eespecificandoaporta80funcionariadamesmaforma.Poderamostambmpersonalizar
umaporta(vamosusarcomoexemploumencaminhamentodetrfegodotorrentenaporta46635)
lembresequevocpodeusarumAlias!
RedirectTargetIP:Aquioendereodocomputadorinternoquevaisertransmitidootrfegopara
ele.LembresequevocpodeusarumAlias!
RedirectTargetPort:Aquiaportadoipdocomputadorespecificadoemcima.Lembresequevoc
podeusarumAlias!
Description:Adescriofeitaaquivaiserautomaticamentecopiadaparaasregrasfirewall(precedidas
pelapalavraNAT)

Pgina40de212

NoXMLRPCSync:Marqueessaopoparaimpedirqueestaregrasejaaplicadaaqualquerfirewall
usandooCARP.ConsulteoFirewallCARPConfigurandoSeodefailovernoCaptulo6,redundncia,
balanceamentodecargaeFailoverparamaisdainformao.
NATReflection:usadoporpadronosistemaquasetodasasvezes,masNATReflectionpodeser
ativadooudesativadoporpadrosefornecessrio.
FilterRuleAssociation:SercriadoaregradefirewallassociadaaregradoNAT.

PortRedirection
Averdadeiraregradeencaminhamentodeportaquevaipassarotrfegoparamaquinada

redeinternausadatambmpelaportaconfigurada(ouseja,DestinationPortRangeeRedirect
targetportsecorrespondem).Noentantonoanadaqueimpeavocredirecionarparaumaporta
diferente,sequiser.Hduasrazesparavocquererfazerisso:
SeguranaporObscuridade:TodomundosabequeaportapadroHTTP80,masvamossuporque
voctemumwebsitesecretoquevocnoquerquesejaacessadafacilmente.Vocpodedefinirum
intervalodeportasdedestinoparaalgumaportaobscura(porexemplo:54321)entodaiemdiante
usaraportapadroHTTP80.Eosusuriosquequeiramacessarositeteroquedigitaroendereo
assimhttp://www.exemplo.com:54321
UmnicoendereodeIPpblico:Emambientesmenorescomapenasumendereopublico,vocno
vaipoderacessarduasmaquinasdistintasremotamenteporquevocstemumendereodeip
publico.EntovocpodecriarduasregrasdiferentesnoNAT.Oprimeiroiraredirecionaraporta
50001paraoComputador1usandoaporta3389,eosegundovairedirecionaraporta50002parao
Computador2usandoamesmaporta3389.FazendoissovocpodeacessaroComputador1:50001eo
Computador2:50002,eassimpordiante.Usandoomesmoippublico.

Vejatambm...
OCriandoAlias
OCriandoregrasdefirewall
OConfigurandoCARPfirewallfailoverrecipeinChapter6,Redundancy,Balanceamentode
Carga,eFailover

CriandoregrasdeFirewall

Aquivamosdescrevercomocriarumaregradefirewall

Sepreparando...

Comoexemplo,vamoscriarumaregradefirewallparapermitirotrfegowebencaminhadopelaNAT
(aregraquecriamosanteriormente).Sevocacompanhou,oNATquecriamos,automaticamentefoicriado
umaregraemFirewall,maspoderamosmarcarNoneemFilterRuleAssociationqueessaregranoiriaser
copiadaparaoFirewall.

Pgina41de212

Comofazlo...
1. VatFirewall|Rules.
2. SelecioneaabaWAN
3. Cliquenoboto+paraadicionarumanovaregradefirewall
4. EspecifiqueaWANInterface
5. EspecifiqueoProtocolTCP
6. EspecifiqueanyemSource
7. EspecifiqueanyemSourcePortRange
8. EspecifiqueWebserver1emDestination
9. EspecifiqueHTTPemDestinationPortRange
10. DigiteqdescriodaregraemDescription
11. CliqueemSave
12. CliqueemApplyChanges

Pgina42de212

Comoelefunciona...
TodootrfegopassapelalistaderegrasdeFirewall.Sequalquerpacotedetrfegocorrespondea
qualquercritriodequalquerregra,aregraseriaexecutada(eopacoteseriapermitidoounegado).
Essaregrapodeserlidacomo:"Qualquerportadequalquerclientenainternettempermissopara
acessaranossawebpelaportadoservidorque80".

Hmais...
Regrasdefirewallsoaltamenteconfigurveis.Detalhesdecadaopoderegradefirewallsoas
seguintes:
Action:otipodeaoquearegravaiter
o Pass:Seoscritriosforemcorrespondidos,apassagemdopacotepermitida.
o Block:Setodososcritriosforemcorrespondidos,apassagemdopacotebloqueada
(algunssereferemaelacomoDropSilencioso).
o Reject:Setodosospacotesforemcorrespondidos,apassagemdopacotedevolvidaao
remetente.
Disabled:Desativaaregrasemterqueapagala.
Interface:Seespecificadequalinterfaceotrfegovaiseroriginado,queestarsujeitoaessa
regra,geralmenteusadaaWAN.
Protocol:Correspondeotipodeprotocolo,variandodeacordocomotipoderegraquedefineo
trfego.
Source:geralmentemarcadoanyquandoserefereatrfegodeentrada.
SourcePortRange:geralmentemarcadoanyquandoserefereatrfegodeentrada.
Destination:AquiusadooAliasouoendereodeIPdocomputadorqueotrfegoesta
apontando.
DestinationPortRange:geralmenteaportadocomputadorqueatendeestetrfego.
Log:Habilitarologderegistrodopacotequecorrespondearegra.
Description:Digiteumadescrioquevocpossaidentificarfuturamente.

Raramentesabemosaportadeorigem!

Aoespecificarasregras,muitoimportantelembrarqueSourcePortRangequasesempredefinida
comoany.MuitasvezesaspessoascometemerrodeespecificarumSourcePortRange.Lembresequando
vocsolicitaumsite,vocestasolicitandoaporta80nocomputadordoservidorweb,eseucomputadorque
vaidecidirqueportasuavaiserabertaparareceberasolicitao.Estasuaportadeorigem,umaporta
sempreemmudana,quevocprovavelmentenovaisaberqualser.Assim99porcentodotempo,no
saberemosoSourcePortRange.

AordemdasregrasdoFirewall

AsregrasdoUTMsosempreavaliadasdecimaparabaixo.Muitosadministradoresincluiumaregra
muitoespecificanapartesuperiordasoutrasregraseasmaisgenricasnaparteinferior.Parareordenaruma
Pgina43de212

regra,cliquenaregraeentocliquenobotoquepareceumamonalinhadaregraquevocquercolocara
cimadela.

Duplicandoregrasdefirewall

Muitasvezes,agentepodequerercriarumanovaregramuitoparecidacomaregraexistente.Para
poupartemponspodemosduplicararegraefazerasalteraesespecificasclicandonoboto+.

RecursosAvanados

EsserecursonovoparaoUTM2.0,nasregrasdefirewalltemumaseochamadaAdvanced
Features,cadaumdosseguintesrecursospodemserespecificadoscomocritriosparaumaregra.Seumrecurso
avanadoespecificado,aregrasserexecutadaseforencontradaumacorrespondncia.Cliqueno
botoAvanadoparaexibirasseguintesdefiniesdeconfiguraoparacadafuno:
SourceOS:Estaopoiratentarcompararafontedotrfegocomosistemaoperacionaldo
dispositivo:

DiffservCodePoint: um mecanismo para fornecer Qualidade de Servio (QoS) de trfego de rede.


Podendo priorizar trfego com base nos valores especificados:

AdvancedOption:PermiteaopodeespecificaoavanadadoIP:

Pgina44de212


TCPFlags:Estessobitsdecontrolequeindicamdiversosestadosdeconexoouinformaessobre
comoumpacotedevesertratado.

StateType:Especificaummecanismoderastreamentoespecialsobreoestado

Pgina45de212

NoXMLRPCSync:ImpedequearegrasincronizecomoutrosmembrosdoCARP:

Schedule:Especificaumagendamentodoperodoqueessaregravaiservalida.Terquecadastraros
horriosemFirewall|Schedule.Entoapareceraqui:

Gateway:Sequiserdefiniroutrogatewaydiferentedoconfiguradocomopadro,entodefinaaqui:

In/Out:Especificarfilasalternativasdevelocidadeeinterfacesvirtuais:

Ackqueue/Queue:Especificarasalternativasdereconhecimentodefilasdevelocidades:

Layer7:EspecificaumaalternativadeLayer7:

Vejatambm...
CriaoderegrasemNatportforward
Criandoagendamento
CriandoAlias
Pgina46de212

Criandoagendamentos
Agoravamosdescrevercomocriarumaagenda

Sepreparando...
Aagendanospermiteconfigurarquandoasregrasentramemvigoresaem.Elassousadas
geralmentecomregrasdefirewall,masnaconcepoemgeralvaiserpermitidousarparamuitomais
funesnofuturoemversesposterioresdoUTM.Seumaregradofirewallespecificaumhorrio,a
regraentosativadaduranteesseperododetempo.Noexemploaseguir,vamosdefinirum
cronogramaparaonossohorriode9horasdamanhah5horasdatarde,horriocomercial.

Aocriarhorrios,essencialterofusohorrioconfiguradocorretamente,eotempode
sincronizaoconfiguradodevidamenteemumservidorconfivel.

Comofazlo...
1.
2.
3.
4.
5.
6.
7.
8.

VatFirewall|Schedules
Cliquenoboto+paracriarumanovaagenda
EmScheduleNamedigiteumnomedereferencia,oexemplousamosWorkHours.
DigiteemDescriptionadescrioparaquevocpossareconhecerquetipodehorriovocesta
configurando,noexemplousamosRegularworkweekhours.
NaseoMonthselecioneoms,cliqueemMon,Tue,Wed,ThueFriselecionandotodososdias
dasemanadetrabalho.
Especificar9horasdamanhemStartTimee17horasemStopTime.
DigiteemTimeRangeDescriptionadescriodohorrio,noexemplousouMondayFriday9am
5pm.
CliqueemAddTime.

Pgina47de212


9. NotequeotempoderepetioadicionadoemConfiguredRanges.

10. CliqueemSave.
11. CliqueemApplyChanges.

Comoelefunciona...
Umagendamentoassociadoaumaregrasservalidaduranteotempoespecificado.Parasaber
associarumaregradefirewallcomoagendamentoqueacabamosdecriar:
1. Editeumaregra,ouadicioneuma.
2. CliqueemScheduleAdvanced,entovnaopoScheduleeselecioneoagendamentoque
vocdesejausar,noexemplonsscriamosum.
3. EscolhaoagendamentoquecriamosWorkHoursnaopoSchedule.
Pgina48de212


4. CliqueemSave
5. CliqueemApplyChanges.

Hmais...
NoUTMvriosconesaparecemparaauxiliarnasinformaes,noagendamentotambm,os
conesnoagendamentoaparecemparainformarseoagendamentoestativououno.
Firewall|Schedules:agendamentosativadosaparecemcomumrelgio:

Firewall|Rules:Regrascomagendamentoativoaparecemumasetaverdenacoluna
Schedule,edizqualonomedoagendamento.
Regrascomagendamentosdesativados,nacolunaScheduleapareumxvermelho
comonomedoagendamento:

Seleodediaoudiasdasemana
AseleoMonthfuncionadeduasformas:
Selecionandodiasespecficos:Selecioneomscorretoecliquenosdiasespecficos(oano
irrelevante,qualquerdiaespecificadoserrepetidoemcadaano).

Pgina49de212

Selecionandodiasdasemana:Cliquenodiadasemana,selecionandotodososdiasdoms
referenteaquelediadasemana(omsirrelevante,odiadasemanavaisemprerepetirtodosos
meses).

Vejatambm...
CriandoAlias
CriaoderegrasemNatportforward
Criandoregrasdefirewall

AcessoremotoaoDesktopcomexemplo
completo

VamosdescreveraquicomoliberaroacessoatravsderegrasdefirewalldoUTM,oacessoremotoao
computadordaredeinternausandooacessoremotodaprpriaMicrosoftquevemnoWindowso(RDP).

Pgina50de212

Sepreparando...

Vamosdemonstracomocriarumaregradefirewallparaliberaroacessodoinicioaofim.Oexemploa
seguirvaimostrarcomoacessarumamaquinadaredeinterna,comopedidovindodainternet.Parafazer
issorequerasconfiguraesquevamospostaragora,valeressaltarqueasconfiguraesfeitasagoranos
vamosterquesaberalgunspontosqueforamtocadasnolivro:

DHCPServer
DHCPcommapeamentoestatico
DNSForwarder
Aliases
NATportforwarding
RegrasdeFirewall
Agendamentos

Comofazlo...
1. Vamoscadastrarocomputadornanossarede:
2. VatStatus|DHCPLeaseselocalizeocomputadorqueacaboudeentranarede.Cliqueno
boto+paraatribuirummapeamentoestticoparaele.

3. VamosatribuirumendereodeIPaele,emIPaddressdigite192.168.1.200,eemHostname,
digiteonomequevaiquereridentificarele,podeserLaptop1,edigiteemDescription,uma
descriodoLaptopparavocsaberqualquerolaptopquevocadicionou.

4. VamosagorafazercomquenossoDNSForwardersejaconfiguradoparatransmitir
automaticamenteaosclientescommapeamentoesttico,vaServices|DNSForwarder,para
quepossamoslocalizarcomfacilidadeocomputadorpelonome:

Pgina51de212


5. VamosagoracriarumAliasparaserusadocomoreferenciaaoseuIPdentrodoUTMemFirewall|
Aliases:

6. Vamoscriarumagendamentoparaaregrausandoomesmoquejcriamosafinalseusarmoso
agendamentoquesfuncionaemhorriocomercial,vaificarmaisprotegidocontraataque
externoquandonoestiveremhorriocomercial:

7. VamosagoracriarumaregranoNATparaencaminharospedidodeRDPvindodeforaparao
computadorqueacabamosdecadastrar,vaFirewall|NAT.Sepesquisarmosnainternetsobre
protocolodeacessoremotoaodesktopvamosverqueaportaaTCP3389(oUTMjvemcom
umprdefinidonosistemacomonomeMSRDP)

Pgina52de212


8. Agoravamoscriarumagendamentoparaqueessaregrafuncionedeacordocomohorrioque
criamos,vemFirewall|Rules:

9. CliqueemSave.
10. CliqueemApplyChanges.

Comoelefunciona...
AnossaregradeNATencaminhatodasassolicitaesRDPparaonossolaptop.AregraNAT
semprehabilitada.Masnaregradefirewallfazcomqueesseencaminhamentosfuncione
duranteohorrioespecificado

Hmais...
Paraaumentarasegurananspodemosfazermais,podemosrestringiroacessoliberandoapenas
nossoipdeacessoexterno,eseesseIPmudarentoteremosquemudaroAliasatualizandooIP
entosempreamosterumcontroledequandoapessoaacessou.CrieumAliascomoIPdo
escritrio:

Pgina53de212


EntopodemosmodificarnossaregradefirewallaplicandoospedidosprovenientesaoIPdanossaempresa
(lembresequeotrfegoquenocorrespondearegraanybloqueadoporpadro).Agoracomaassociao
doNATcomasregrasdefirewall,pelasregrasdefirewallnsnopoderamosmodificarafontediretamente.

EntovamosterquemodificardentrodoprprioNAT,cliquenaopoAdvanced,eespecifiqueoAlias
comoendereopublicodanossaempresa.

Entovamoschecarseessasmudanasforamalteradastambmemregrasdefirewall.

Pgina54de212

Vejatambm...

ConfigurandoservidorDHCPnoCapitulo2ServiosEssenciais
CriandoDHCPcommapeamentoestticonoCapitulo2ServiosEssenciais
ConfigurandoDNSdinmiconoCapitulo2ServiosEssenciais
CriandoAlias
CriandoNatPortForwarding
Criandoregrasdefirewall
Criandoagendamentos

4
RedePrivadaVirtual(VPN)

Nessecapituloiremosabordar:

CriandoVPNemumtnelIPSec
ConfigurandooservioL2TPVPN
ConfigurandooservioOpenVPN
ConfigurandooservioPPTPVPN

Pgina55de212

Introduo

VirtualPrivateNetworking(VPN)(VamosabordarnolivroessenomecomoRedePrivadaVirtual
(VPN))umsistemamodernomuitoeficaz.UmaconexoVPNpermitequeumusurioremotoconectecom
seguranaumaredeeuseosrecursoscomoseestivessenoprpriolocal.

ComtodasasvariedadesdeacessoVPN,OUTMtemquatroimplementaesmaisusadas,elasso
construdasdiretodentrodoOpenVPNqueestamigradocomooprotocoloVPN.Masnadaimpedequevoc
baixeumsoftwareasuaescolhadeVPNclienteparaqualquermaquinausandoWindows(suporteOpenVPN
novemnoWindows).IPSecmaiscomplexo,maistambmumaaplicaomuitopopulardoVPN.Servio
PPTPVPNeL2PTPVPNsomenosusadosentreosquatro,masseuusoaindabemgeneralizado.

NestecapitulovamosdescrevercomoconfiguraroUTMparausarqualquerumouasquatro
aplicaesVPNIPSec,L2TP,OpenVPN,ePPTP.

CriandoVPNemumtnelIPSec

AquivamosdescrevercomocriarumaVPNusandoumtnelIPSec.

Sepreparando...

IPSecmuitasvezesomtodopreferidoparaotipodeconexoredearede(opostoaoclientea
rede).Umcenriotpicomontaumaconexopermanenteeseguraentresedeefilial.

RedesconectadasatravsdeVPNdevemobrigatoriamenteusarsubredesdiferentes.Porexemplo,se
asduasredesusamsubredes192.168.1.0/24,oVPNnovaifuncionar.

Comofazlo...
1.
2.
3.
4.

VatVPN|Ipsec
Cliquenoboto+paracriarumtnelIPSec.
EspecifiqueemRemoteGatewayoIPpublicoouohostnamedogatewayremoto.
EemDescriptionadicioneumadescriodoseuIPSec

Pgina56de212


5.
6.
7.
8.

EmPreSharedKeydigitesuasenha
CliqueemSave
MarqueEnableIPsec.
CliqueemSave.

9. CliqueemApplyChanges.
10. VatFirewall|Rules
11. SelecioneaabaIPSec
12. Cliquenoboto+paraadicionarumanovaregranofirewall
Pgina57de212

13. EmDestinationselecioneLansubnet.
14. EmDestinationportselecioneany
15. EmDescription,ponhaumadescrioquevocpossareconheceraregra,nosusamosnoexemplo
AllowIPsectraffictoLAN.

16. CliqueemSave
17. CliqueemApplyChanges.

Comoelefunciona...
UmavezqueotnelIPSecfoiestabelecido,osclientesconectadosemqualquerumadasduas
redes,teroacessodeumaooutromesmoemsubredesdiferentescomoseestivenamesma
redefsica.

Vejatambm...
ConfigurandooservioL2TPVPN
ConfigurandooservioOpenVPN
ConfigurandooservioPPTPVPN

ConfigurandooservioL2TPVPN

AquivamosdescrevercomoconfiguraroUTMparaserservidorVPNL2TP

Sepreparando...

muitoimportanteentenderqueaocontrariodasoutrasimplementaesVPN,oL2TPnocriptografa
osdados.OL2TPsimplesmenteummtododeencapsulamentoquesdeveserusadoemredesj
confiveis,emconjuntodoIPsec.AgrandevantagemdoL2TPquepodeserusadocomredessemprecisar
deIP.

Comofazlo...
1. VemVPN|L2TP
2. NaabaConfiguration,marqueEnableL2TPServer.
Pgina58de212

3. EspecifiqueumIPsemusoemServeraddress.
4. EmRemoteaddressRangedigiteoiniciodafaixadeIPnousadadeendereoremoto.Onumero
deIPsquevaiserusadovaiestarindicadonaetapa6.
5. EmSubnetmaskespecifiqueotipodesubrede.
6. EmNumberofL2TPusersespecifiqueonumerodeusuriosqueiroseconectar.

7. CliqueemSave
8. CliquenaabaUsers.
9. Cliquenoboto+paraadicionarumnovousurio
10. Digiteousurioemusernameeasenhaempassword.

11. CliqueemSave.

12. VatFirewall|Rules
Pgina59de212

13. SelecioneaabaL2TPVPN
14. Cliquenoboto+paraadicionarumanovaregradefirewall
15. SelecioneemDestinationoLanSubnet
16. SelecioneemDestinationportrangeoany
17. DigiteemDescriptionumadescrioquevocpossaidentificarasuaregra,noexemplonos
usamosAllowL2TPClientstoLAN.
18. CliqueemSave.

19. CliqueemApplyChanges.

Comoelefunciona...
Oserviopermitequeusuriosconectemremotamenteainterfacederedeanossaescolhausando
oL2TP.Usandoesseserviocomoseoclienteestivesseusandoaredecomoseestivesse
fisicamentenolocal.

ConexodeumclienteusandoWindows7
ParacriarumaconexoVPNL2TPemumamaquinausandooWindows7:
1. AbraoPaineldeControle|RedeeInternet|Statusdetarefasderede,abraoCentralde
Redeecompartilhamento

Pgina60de212


2. CliqueConfigurarumanovaconexoderede

3. EscolhaConectaraumlocaldetrabalho.

Pgina61de212


4. EscolhaUsarminhaconexocomainternet(VPN):

Pgina62de212

5. DigiteemEndereonaInternetoendereodoservidordaredeaqualvocestaquerendose
conectar.SeoendereoL2TPquevocconfigurounoestaacessveldiretamente,vocter
quefazerumNATnoservidordirecionandootrfegoL2TP.

6. Digiteonomedeusurioesenhaquefoiconfiguradoantes:

Pgina63de212

7. CliquedepoisemConectar,oWindowsiradetectarautomaticamenteseoservidoresta
aceitandoaconexoL2TPouPPTP,evaiserconfiguradodeacordocomoselecionado.

Vejatambm...

ConfigurandoNATporForward,capitulo3ConfiguraoGeral
CriandoVPNemumtnelIPSec
ConfigurandooservioOpenVPN
ConfigurandooservioPPTPVPN

ConfigurandoserviodeOpenVPN

AquivamosdescrevercomoconfiguraroUTMparaaceitarconexesOpenVPN.

Comofazlo...
1. VatVPN|OpenVPN.
2. CliquenaabaWizards.
3. EmTypeofServer,selecioneLocalUserAccess.

4. CliqueemNext.
5. EmDescriptiveName,coloqueumnomeparaseuVPN,noexemplonosusamos
CertificadoOpenVPN,sereferindoaecertificadoCA.
6. EmCountryCodeusamosnoexemplooBR.
7. EmStateorProvince,nsusamosnoexemploSaoPaulo.
8. EmCity,nsusamosnoexemploLimeira.
9. EmOrganization,usamosnoexemploBluepexControleeSegurancaTI.
10. Noemailusamoscomoexemplosac@bluepex.com.
11. CliqueemAddnewCA.

Pgina64de212


12. DigiteemDescriptivename,umnomeonovocertificadodoservidor,noexemplousamoso
mesmoCertificadoOpenVPN.Acriaodessecertificadovaificarquaseidnticoaocriado
anteriormente.
13. EmCountryCodeusamosnoexemplooBR.
14. EmStateorProvince,nsusamosnoexemploSaoPaulo.
15. EmCity,nsusamosnoexemploLimeira.
16. EmOrganization,usamosnoexemploBluepexControleeSegurancaTI.
17. Noemailusamoscomoexemplosac@bluepex.com.
18. CliqueemCreatenewCertification.

Pgina65de212


19. EmDescriptionvoccolocaadescrioquevocpossareconhecerfuturamente,noexemplonos
usamosConexaoOpenVPN.

20. DigiteemTunnerNetworkaconotaoemCIDR,issovaiserumafaixadeIPnousada(que
geralmentenomuitodiferentedaredequevocusa)como192.168.4.0/24.
21. DigiteemLocalNetworkaconotaoemCIDR,queosclientesvosercapazesdeacessar,que
geralmentearedeinternaLAN,192.168.1.0/24.
Pgina66de212

22. EspecifiqueemConcurrentConnections,onumeromximodeclientesqueiroseconectar.

23. CliquenobotoNext.
24. MarqueAddaruletopermittrafficfromclientsontheInternettotheOpenVPNserverprocess.
25. MarqueAddaruletoallowalltrafficfromconnectedclientstopassacrosstheVPN
tunnel:

26. CliquenobotaoNext.
Pgina67de212


27. DepoiscliquenobotaoFinish.

Comoelefunciona...

OserviopermitequeusuriosexternosusemoOpenVPNparaestabelecerumaconexosegurae
criptografadaemnossarede.OsusuriosseconectarousandoumclienteOpenVPN,eumavez
autenticado,ousurioteracessoaredecomoseestivessenolocalfisicamente.

AlgoritmosdeCriptografia
Escolheromelhoralgoritmodecriptografiaessencialparaomelhordesempenhodoseuhardware.
MuitasplacasdeexpansoVPN,comoaquelasencontradasemNetgateusandoAlixrequeremplacasAES
128CBC.Verifiquecomseufornecedordehardwareparaobtermaisdetalhes.

ExportandoClienteOpenVPN
HumpacotedeinstalaonoUTMchamadoOpenVPNClientExportUtility,quesimplificao
processodeconfigurao:
1. VatSystem|Packages
2. CliquenaabaAvailablePackages.
3. LocalizeOpenVPNClientExportUtility,ecliquenoboto+paracomearainstalao.

4. Opacotedepoisdebaixadoserinstaladoautomaticamente.

Pgina68de212


5. OpacotedepoisdeinstaladoserencontradonomenuVPN|OpenVPN.

Vejatambm...
CriandoVPNemumtnelIPSec
ConfigurandooservioPPTPVPN
ConfigurandooservioL2TPVPN

ConfigurandooservioPPTPVPN

AquivamosdescrevercomoconfiguraroUTMparareceberconexesPPTPVPN.

Comofazlo...
1.
2.
3.
4.

VatVPN|PPTP|abaConfiguration
MarqueEnablePPTPserver
EscolhaemNo.PPTPusers,onumerodeclientesqueiroseconectar
EmServeraddressdigiteumIPnousadoparaespecificaroendereoparaoservidorPPTP.O
PPTPdoservidorvaiescutaresseendereo.
5. EmRemoteaddressrange,digiteoiniciodosIPsdosclientesqueiroseconectar,lembresede
deixarumaquantidadedeIPssuficientereferenteaoquevoccolocouemNo.PPTPusers.

Pgina69de212


6. MarqueRequire128bitencryption.

7. CliqueemSave.
8. SelecioneaabaUsers.
9. Cliquenoboto+paraadicionarumusurio
10. Coloqueonomedeusurioemusernameeasenhaempassword.
11. CliqueemSave.

12. VatFirewall|Rules
13. SelecioneaabaPPTPVPN
14. Cliquenoboto+paracriarumanovaregradefirewall.
15. SelecioneemDestinationoLansubnet.
16. SelecioneemDestinationportrangeaopoany.
Pgina70de212

17. EmDescriptiondigiteumadescrioquevocpossareconhecerfuturamente,noexemplousamos
AllowPPTPClientstoLAN.
18. CliqueemSave.

19. CliqueemApplyChanges.

Comoelefunciona...
Oserviopermitequeusuriosexternosestabeleamumaconexoseguraecriptografadausando
oPPTP.OsusuriosiroseconectararedeusandoumclientePPTP,umavezautenticado,o
usurioteracessoaredecomoseestivesseconectadonoprpriolocal.

ConexodeumclienteusandoWindows7
ParacriarumaconexoVPNPPTPemumamaquinausandooWindows7:
8. AbraoPaineldeControle|RedeeInternet|Statusdetarefasderede,abraoCentralde
Redeecompartilhamento

9. CliqueConfigurarumanovaconexoderede
Pgina71de212


10. EscolhaConectaraumlocaldetrabalho.

11. EscolhaUsarminhaconexocomainternet(VPN):
Pgina72de212


12. DigiteemEndereonaInternetoendereodoservidordaredeaqualvocestaquerendose
conectar.SeoendereoL2TPquevocconfigurounoestaacessveldiretamente,vocter
quefazerumNATnoservidordirecionandootrfegoL2TP.

Pgina73de212

13. Digiteonomedeusurioesenhaquefoiconfiguradoantes:

CliquedepoisemConectar,oWindowsiradetectarautomaticamenteseoservidorestaaceitando
aconexoL2TPouPPTP,evaiserconfiguradodeacordocomoselecionado.

ConectandousandocomoclienteoUbuntu10.10

ExecuteosseguintespassosparacriarumaconexoPPTPVPNemumclienteusando
Ubuntu10.10(pornoterumcomputadorcomessesistemaoperacionalemportuguseu
mantiveosexemploseminglsdeacordocomasjanelasdeexemplo).
1. AbraSystem|Preferences|NetworkConnections
2. SelecioneaabaVPN|CliquenobotoAddparacriarumaconexoVPN.

Pgina74de212


3. SelecionePPTPecliqueemCreate...

4. EmConnectionnamedigiteumnomequevocpossaidenticar,noexemplousamosMatts
Network.
5. EmGatewaydigiteoipdoservidorquevocconfigurouoPPTPVPN.SeoIPnopodeser
acessadodiretamente,vocterqueconfiguraroNATcomportForward.

Pgina75de212


6. CliquemApply
7. CliqueemClose.
8. VemNetworkconnection,selecionenomenuVPNConnections|MattsNetwork

Pgina76de212

ConectandousandocomoclienteoMacOSx
ExecuteosseguintespassosparacriarumaconexoPPTPVPNemumclienteusandoMacOSx
(pornoterumcomputadorcomessesistemaoperacionalemportuguseumantiveosexemplos
eminglsdeacordocomasjanelasdeexemplo).
1. AbraSystemPreferences.

Pgina77de212


2. CliqueemNetwork

Pgina78de212

3.
4.
5.
6.

Cliquenoboto+paraadicionarumanovaconexoderede
SelecioneVPNemInterface.
SelecionePPTPemVPNType.
DigiteemServiceNameumnomededescrio,noexemplousamosMattsNetwork.

7. DigiteemServerAddressoipdoservidorquevocconfigurouoPPTPVPN.SeoIPnopodeser
acessadodiretamente,vocterqueconfigurarumNATportForward.
8. DigiteonomedeusuriocadastradoemAccountName.
9. CliqueemConnectqueaparecerumajanelapedindoasenha

Pgina79de212

Vejatambm...

CriandoVPNemumtnelIPSec
ConfigurandooservioL2TPVPN
ConfigurandooservioOpenVPN
ConfigurandooservioPPTPVPN

5
ConfiguraesAvanadas

Nessecapitulo,iremosabordar:
CriandoumIPVirtual
CriandoregradeNAT1:1
CriandoumaregradeNAToutbound
CriandoGateway
Criandoumarotaesttica
ConfigurandooTrafficShaping(QoS,QualidadedoServio)
Interfacesdotipoponte
CriandoumaLANVirtual
CriandoumCaptivePortal

Introduo

Aseguirvamosabordarrecursosavanadosderede,quenormalmenteseencontramemclasses
empresariais.NoentantocadaumdessesrecursosentodisponveisnaultimaversodoUTM.

CriandoumIPVirtual

AquivamosdescrevercomoconfigurarumendereodeIPvirtualnoUTM.

Sepreparando...

NoUTMvocpodecriarquatrotiposdistintosdeIPsvirtuais:
Pgina80de212

ProxyARP
CARP
Other
APAlias

UmtipocomumdeIPvirtualconfiguradocomoNAT1:1,nestecenriooIPvirtualdotipoOther
necessrio,oquevamosconfiguraragora:

Comofazlo...
1.
2.
3.
4.
5.
6.

VemFirewall|VirtualIPs
Cliquenoboto+eadicioneumnovoendereodeIPvirtual.
EmTypeescolhaOther.
EmInterfaceescolhaWAN
EmIPaddressdigiteoIPquevocdesejavirtualizar
AdicioneumadescrioquevocpossaidentificarposteriormenteemDescription.

7. CliqueemSave
8. CliqueemApplyChanges

Pgina81de212

Comoelefunciona...

OIPVirtual(vamosochamardeVIPdeagoraemdiante)dotipoOthertemasseguintes
caractersticas:
OtrfegospodeserencaminhadoparaessetipodeVIP;eoUTMnopodeusaressetipodeVIP
paraosseusprpriosservios.
OVIPpodeserusadoemumasubredediferentedoqueestasendousadopeloUTM.
OVIPnopoderesponderapings.

Hmais...
NsestamosconfigurandoumVIPdotipoOther.MasexistemmaistrstiposdeendereosVIPque
podemserconfiguradosnoUTM2.0.OsquatrotiposdeendereosVIPsosemelhantes,masmudam
algumaspropriedades,vamosveracomparao:
CARP
o Podeserusadoseencaminhadospelofirewall
o PodeusarotrfegoLayer2.
o PodemserusadosemcenrioscombalanceamentodecargaeFailOver
o Temqueestarnamesmasubrededainterface
o Elevairesponderapingsseconfiguradocorretamente
ProxyARP
o Spodesertransmitidapelofirewall
o PodeusarotrfegoLayer2.
o Podeestaremumasubredediferentedoqueainterface
o Nopoderesponderaospings
Other
o Spodesertransmitidapelofirewall
o Podeestaremumasubredediferentedoqueainterface
o Nopoderesponderaospings
IPAlias
o NovonoUTM2.0
o Spodeserusadoouencaminhadopelofirewall
o PermitequeosendereosIPsejamadicionadoscomoIPextranainterface.

ConfigurandoCARPcomoendereoVIP
1.
2.
3.
4.
5.
6.
7.
8.

VatFirewall|VirtualIPs
Cliquenoboto+paraadicionarumnovoendereoVIP
EmTypeescolhaCARP
EmInterfaceselecioneWAN
EmIPaddressdigiteoIPquevocdeseja
EmVirtualIPPassword,digiteumasenha
EscolhaumVHIDGroup
EscolhaumAdvertisingFrequency(0paratodos)
Pgina82de212

9. DigiteumadescrioquevocpossaidentificarfuturamenteemDescription.

10. CliqueemSave
11. CliqueemApplyChanges.

ConfigurandooProxyARPcomoendereoVIP
1.
2.
3.
4.
5.
6.
7.

VemFirewall|VirtualIPs
Cliquenoboto+paraadicionarumnovoendereoVIP
EmTypeescolhaProxyARP.
EmInterfaceselecioneWAN
SelecioneSingleAddressemType.
EmAddressdigiteoIP.
DigiteumadescrioemDescription.
Pgina83de212


8. CliqueemSave
9. CliqueemApplyChanges.

ConfigurandooIPAliascomoendereoVIP
1.
2.
3.
4.
5.
6.

VemFirewall|VirtualIPs
Cliquenoboto+paraadicionarumnovoendereoVIP
EmTypeescolhaIPAlias
EmInterfaceescolhaWAN.
EmIPaddressdigiteoIP
DigiteumadescrioemDescription.

Pgina84de212


7. CliqueemSave.
8. CliqueemApplyChanges.

Vejatambm...

CriandoregradeNAT1:1
CriandoumaregradeNAToutbound
Criandoumarotaesttica
CriandoumaLANVirtual

ConfigurandoregradeNAT1:1

AquivamosdescrevercomoconfigurarumaregradeNAT1:1.AregraNAT1:1usadaquandovoc
quiserassociarumendereodeIPpublicocomumamaquinadaredeinterna.TudoquefordestinadoaoIP
publicovaiserencaminhadoparamaquinadaredeinterna.
Pgina85de212

Comofazlo...
1.
2.
3.
4.
5.

VatFirewall|VirtualIP
NaabaVirtualIPs,cliquenoboto+paraadicionarumnovoVIP.
EmTypeselecioneProxyARP.
EmInterfaceselecioneWAN
NaopoIPaddress,emTypeselecioneSingleAddress,eemAddressdigiteoipexternoquevoc
desejaassociaraumamaquinadaredeinterna.
6. AdicioneumadescrioquevocpossareconhecermaistardeemDescription,noexemplonos
usamosMypublicIPaddress.

7. CliqueemSave.
8. CliqueemApplyChanges.
9. VemFirewall|NAT.
10. Selecioneaaba1:1
11. Cliquenoboto+paraadicionarumaregradeNAT1:1
12. EmInterfaceselecioneWAN
13. EmSourceselecioneany
14. EmDestination,especifiqueocomputadorinterno,nocasovamosusaroAlias.
15. DigiteemExternalSubnetoseuippublico
16. EmDescription,adicioneumadescrioquevocpossareconhecerposteriormente,noexemplo
usamosForwardallexternalrequeststoWebserver1.
17. EmNATFreflectiondeixeDisabled.

Pgina86de212


18. CliqueemSave.
19. CliqueemApplyChanges.

Comoelefunciona...
UmavezquefeitaumarelaodeNAT1:1estabelecida,todootrfegoserencaminhadoparao
endereodeIPinternouousubrede,comoseamaquinainternafossediretamenteconfigurado
comoIPpblico.IssomuitomaisfcildoquecriarumaregradePortForwardsetodootrfego
deentradaesadativerdestinadoamaquina.

Hmais...
Comomuitorecursosavanadosderede,orelacionamentobemsucedidodoNAT1:1requerouso
deVIPs.

Vejatambm...
CriandoumIPVirtual

Pgina87de212

CriandoumaregradeNAToutbound

AquivamosdescrevercomocriarumaregradeNAToutbound

Sepreparando...

UmaregradeNAToutbounddefinecomotraduziroqueumtrfegoderedeestadeixando.Issopode
parecerumconceitodifcildeentendernaprimeiravez,porqueamaioriadoscenriosderedeemgerals
entopreocupadosemsaberolocaldeondeospacotesestovindos,enosepreocupamemsabercomo
elessaem.

VamosdescreveragoracomousarumaregradeNAToutboundpararesolverumcenriocomumque
envolveonateamentoparaumamaquinacomvariasinterfaces.Vamossuporquetemosumnicoservidor
dedestinocomduasinterfaces,LANeDMZ,eofirewallUTMprotegeessasduasinterfaces.Usandoavelha
regradePortForward,encaminhandosolicitaesHTTPparaoservidoremsuainterfaceDMZ,oquebom.
Noentanto,quandotentamosencaminharsolicitaesSSHparaainterfaceLANdoservidor,otrfegochega
corretamente,mastentaresponderatravsdaredeDMZ.Issonoreconhecidocomovalidopelofirewalle
ficadandotempoperdidoquandosetentaconectar.

AsoluoelhedarcomospedidosSSHusandoumaregradeNAToutboundjuntocomumaregrade
NAT1:1,comovamosdescrever.

Comofazlo...
1.
2.
3.
4.
5.

VaFirewall|VirtualIPs
NaabaVirtualIPs,cliquenoboto+paraadicionarumnovoVIP.
EmTypeselecioneProxyARP
EmInterfaceselecioneWAN
NaopoIPaddress,emTypeselecioneSingleAddress,eemAddressdigiteoipexternoquevoc
desejaassociaraumamaquinadaredeinterna.
6. AdicioneumadescrioquevocpossareconhecermaistardeemDescription,noexemplonos
usamosMypublicIPaddress.
7. CliqueemSave
8. CliqueemApplyChanges

9. VatFirewall|NAT
Pgina88de212

10. CliquenaabaOutbound
11. SelecioneomodoAutomaticoutboundNATrulegeneration(IPsecpassthroughincluded).
12. Cliquenoboto+paraadicionarumnovomapeamentodeNAToutbound.
13. EscolhaInterfacequeamaquinavairesponder,nocasoaLAN.
14. EmSourceespecifiqueany
15. EmDestinationponhaoendereodoservidorqueiraresponder.
16. DeixeoTranslationparatratardaInterfaceAddresseespecificaraporta22pararesponderos
pedidosdeSSH.
17. EscrevaemDescriptionadescrioparavocidentificarfuturamente,noexemplo
usamosOutboundNATforWANClientstoServer1SSH.
18. CliqueemSave.
19. CliqueemApplyChanges.

20. VatFirewall|NAT
21. Cliquenaaba1:1
22. Cliquenoboto+paraadicionarummapeamentoNAT1:1
23. EmInterfaceescolhaWAN.
24. EmSourceescolhaany.
25. EspecifiqueemDestination,SingleHostouAlias,eforneceroendereoIPdoservidorqueesta
recebendoassolicitaes.
26. EspecifiqueoVIPquecriamosanteriormenteemExternalsubnet.
27. EmDescriptiondigiteumadescrioquepossareconhecernofuturo,noexemplocolocamos1:1
NATPublicIPtoServer1.
28. CliqueemSave
29. CliqueemApplyChanges.

Pgina89de212


30. VemFirewall|Rules
31. CliquenaabaWAN.
32. Cliquenoboto+paraadicionarumanoraregradefirewall.
33. EmSourceescolhaany
34. EmSourceportrangeescolhaany.
35. EmDestinationselecioneouSingleshostouAliasespecificandooendereodeIPdoservidorque
estlidandocomassolicitaes.
36. EmDestinationportrangeselecioneSSH.
37. EmDescriptiondigiteumadescrioqualquerquevocpossareconhecermaistarde,noexemplo
usamosAllowWANClientstoServer1SSH.
38. CliqueemSave.
39. CliqueemApplyChanges.

Comoelefunciona...

AregradeoutboundquecriamosavisaaoUTMparadirecionarotrfegodesadaatravsdainterface
LAN,independentementedequalinterfaceelaentrou.IssovaipermitirqueotrfegoSSHencontrasseo
caminhodecasamesmoseogatewaypadrodoservidorestiveremcontrainterface,nocaso(DMZ).
EnquantoissoassolicitaesHTTPqueforamconfiguradasatravsdoPortForwardingcontinuam
funcionandoperfeitamente.

Vejatambm...
CriandoumIPVirtual
CriandoregradeNAT1:1
CriaoderegrasemNatportForward

Pgina90de212

CriandoumGateway

AquivamosdescrevercomocriarumgatewaynoUTM.

Sepreparando...

Emgeral,asredescomumanicaligaoWAN,nonecessriomudarasconfiguraesdegateway;
opadrocriadopeloprprioUTMautomaticamentejosuficiente.Noentanto,asredesquepossuemmais
deumaconexodeinternetoutiraproveitodealgumasfuncionalidadesavanadas(porexemplo,rotas
estticas)terquedefinirumgatewaypersonalizado.

Comofazlo...
1.
2.
3.
4.
5.
6.

VaSystem|Routing
CliquenaabaGateways
Cliquenoboto+paraadicionarumnovogateway
SelecioneaInterfacedonovogateway
EmNamevocvaiespecificarumnomeparaessegateway(nopodeserespao)
EmGatewayespecifiqueoIPdogateway,esseIPtemqueserreconhecidopelainterfacequevoc
escolheunaetapa4.
7. EmMonitorIPvocpodeatribuirumIPalternativooudeixarembrancomesmo,fazendoissoo
sistemairacolocaromesmoIPdogatewaycomomonitorIP.
8. EmDescriptionvocvaicolocarumadescrioparaidentificarqualgatewayvoccriou,no
exemplousamosMyNewGateway.

9. CliqueemSave.
10. CliqueemApplyChanges.
Pgina91de212

Comoelefunciona...

Umgatewayumportalqueligaduasredes.OgatewayoquegeratrfegoentreaLANea
internet.SetivermosvariasconexesWAN(ouseja,mltiplasconexesparainternet)serianecessriodefinir
umgatewayparacadaum.

Hmais...

Vamosveragoracomocriargatewaysparafazerrotasestticas.Umarotaestticaumcaminhofeito
deumaredeparaoutra,otodootrfegoentreessasduasredesdevempassarporumgateway.

GruposdeGateway

OUTM2.0implementaumnovoconceitochamadoGruposdeGateway.Ogrupodegatewayuma
junodevriosgatewaysquepodemsertratadoscomoumaunidadeapartirdevariasoutras
funcionalidadesnosistema.

Gruposdegatewayiraparecernaportadeentradaemummenudropdown,comoemuma
definioderegradefirewall.

Vejatambm...
Criandoregrasdefirewall,capitulo3ConfiguraesGerais
ConfigurandointerfaceWAN,capitulo1ConfiguraesIniciais
Criandorotasestticas

Criandorotasestticas

AquivamosdescrevercomocriarumarotaestticanoUTM.

Sepreparando...

AsrotasestticasservemparaacessarredesquenosoacessveisatravsdogatewaypadroWAN,
maspodeseralcanadoindiretamenteatravsdeumainterfacediferente.Umexemplocomumpodeser
usadoemumagrandeempresacomvriosescritriosqueusamumaimpressoracompartilhada,spreciso
criarumarotaesttica.PodemosusaroUTMparacriaressarotaestticaparaumaredeinterna,emvezde
configurarumarotaestticaemcadapc.

Pgina92de212

Comofazlo...
1.
2.
3.
4.
5.
6.

VatSystem|Routing.
CliquenaabaGateways
Cliquenoboto+paraadicionarumnovogateway
SelecioneemInterfaceondevaificaronovogateway
DigiteemNameonomedoseugateway(nopodeterespao)
DigiteemIPAddressoIPdogateway,esseIPtemqueserreconhecidopelainterfaceselecionada
anteriormente.
7. EmMonitorIPvocpodeatribuirumIPalternativooudeixarembrancomesmo,fazendoissoo
sistemairacolocaromesmoIPdogatewaycomomonitorIP.
8. EmDescriptionvocvaicolocarumadescrioparaidentificarqualgatewayvoccriou,no
exemplousamosMyNewGateway.
9. CliqueemSave
10. CliqueemApplyChanges

11. VemSystem|Routing
12. CliquenaabaRoutes
13. Cliquenoboto+paraadicionarumanovarota
14. EmDestinationnetworkdigiteoendereodeIPdaredededestino
15. EmGatewayescolhaoquecriamosacima.
16. EmDescriptionescrevaalgoparadescreveraregra,noexemplousamosStaticrouteforshared
printernetwork.

17. CliqueemSave.
18. CliqueemApplyChanges.

Pgina93de212

Comoelefunciona...

Aodefinirumarotaesttica,temoumcaminhotraadoparanossarededeimpressoracompartilhada.
Nspodemosacessaragoraestaredeatravsdarotaestticacriada,eoferecerumaportadeentradapara
outrosusuriosdofirewall.

Vejatambm...
CriandoGateway

ConfigurandooTrafficShaping(QoS,
QualidadedoServio)

AquivamosdescrevercomoconfigurarocontroledebandanoUTM

Sepreparando...

OTrafficShaping,tambmconhecidocomoQoS,apriorizaoeotimizaodepacotesderede.
Priorizandoospacotesderededecertostiposdetrfegoemrelaoaoutros.Limitaopacotederedefixando
certoslimitesdevelocidadedecertostiposdetrfegoparacertosmomentos.Umadministradorpodequerer
priorizarospacotesdeVoIPsobretodososoutrosparagarantirquechamadastelefnicasnovoser
descartadasouinterrompidasdevidoaoaltotrfegoderede.Almdisso,podemostambmlimitaro
rendimentodoVoIPpara100kbps.EsseumexemplotipodeambientequerodaVoIP.

AseguirvamosusaroUTMparamoldarosacessosexternosusandooDesktopRemotodoprprio
Windows(MSRDP)queentramemnossarede.Assimpodemosnosassegurarquepodemosadministrar
nossosservidoresremotamentemesmoseotrfegoderedeestivermuitoalto.

Comofazlo...
1. VaFirewall|TrafficShaper
2. CliquenaabaWizards
3. NacolunaWizardfunctions,cliquenolinkreferenteaSingleWANmultiLAN.

Pgina94de212


4. EmEnternumberofLANtypeconnectionsdigiteonumerodeLans,nonossocasotemLANe
DMZ,entocolocamosnumero2.

5. EmLinkUploaddigiteavelocidadequeoseuprovedordeinternetforneceuparaupload,no
exemplousamos2.000Kbps(2Mbps),sevoctiverduvidafaaumtesteemsitesdevelocidade,
comoporexemplo:http://speedtest.net/
6. EmLinkDownloaddigiteavelocidadequeoseuprovedordeinternetforneceuparadownload,no
exemplousamos15.000Kbps(15Mbps),sevoctiverduvidafaaumtesteemsitesdevelocidade,
comoporexemplo:http://speedtest.net/

Pgina95de212


7. ApaginaseguinteusadaespecificamenteparaconfigurarapriorizaodetrfegodeVoIP,voc
podepularessaetapaclicandoemNext.

Pgina96de212


8. NaprximapaginasechamaPenaltyBox,nospermitelimitaravelocidadedeumdeterminado
endereodeIPouAlias.Issomuitotil,masnovamosteranecessidadedeusaressafunono
momento,vocpodeignorarclicaemNext.

Pgina97de212


9. EssaprximapaginasechamaPeertoPeer(P2P)Networking,vocpodediminuiraprioridadede
trfegoP2P,nessapaginaacercade20opesderedeP2Pmaispopularesparaserlimitadoo
trfego.ComononosinteressaessapartenomomentoentocliqueemNext.

10. NessaprximapaginaNetworkGames,vocpodeconfigurarotrfegoderedeliberadaaosjogos
online,nessapaginaacercade20jogosmaispopularesonlineparaserpriorizado.Comononos
interessaessapartenomomentoentocliqueemNext.
Pgina98de212


11. NapginafinalOtherApplications,nospermitemoldaroutrostiposcomunsdetrfego.Vamoster
queclicarnaopoEnable,parapermitirousodessaaplicao,emMSRDPvamosselecionar
Higherpriority,osoutrosvamosdeixarcomoDefault,ecliqueemNext.

Pgina99de212


12. CliqueemFInishparaaplicaranovaconfigurao.

Comoelefunciona...

UsandooWizarddoTrafficShapping,nsdefinimosumconjuntoderegrasquepriorizaotrfegodo
MSRDPacimadequalqueroutro.Mesmoquearedeestejacomtrfegopesado,sejacomusodaweb,VoIP
ouquantosmaistiver,nossaconexoMSRDPsempreficarestveleinterrupta,jquefoipriorizado.

Pgina100de212

Interfacesdotipoponte(bridge)

AquivamosdescrevercomofazerumapontejuntandoduasinterfacesnoUTM.Pontespermitemunir
duasredes.Porexemplo,oadministradorpodefazerumapontederedeentreumaredecomfioeumarede
semfio.

Comofazlo...
1.
2.
3.
4.
5.

VaInterfaces|(assign)
CliquenaabaBridge
Cliquenoboto+paraadicionarumanovaponte
EmMemberInterfaces,selecioneasinterfacescomoCtrlpressionado.
EmDescriptionvocvaidigitarumaidentificaoquepossareconhecerposteriormente,no
exemplonosusamosLANDMZBridge.

6. CliqueemSave

Comoelefunciona...

ApontecombinaduasinterfacesnofirewallemumaredenicadeLayer2.ALANeDMZestoagora
ligados.

Hmais...

CliqueemShowadvancedoptions,paraconfigurarqualquerumadessasseguintesopes:
RSTP/STP:Abiliteparaabriraarvoredeopes:
o Protocol
o STPInterfaces
Pgina101de212

o Validtime
o Forwardtime
o Hellotime
o Priority
o Holdcount
o Interfacepriority
o Pathcost
Cachesize
Cacheentryexpiretime
Spanport
Edgeports
AutoEdgeports
PTPports
AutoPTPports
Stickyports
Privateports

Vejatambm...
Identificandoeatribuindointerfaces,capitulo1ConfiguraoInicial.

CriandoLANVirtual

AquivamosdescrevercomocriarumaLANVirtualnoUTM.

Sepreparando...

AVLANpermitequmnicointerruptorfsicopossahospedarvariascamadasderede,separandoas
portascomtagsVLAN.AtagdeVLANdefineumaredevirtualseparada.OUTMpodeanexaremcadaVLAN,
definindotagsnasinterfacesdofirewall.

Comofazlo...
1.
2.
3.
4.

VatInterface|(assign)
CliquenaabaVLANs
Cliquenoboto+paraadicionarumanovaVLAN
NaopoParentInterface.Serefereaumaatribuiodeumainterfacedereferencia(observena
figuraabaixo).NestecasoaDMZfoiatribudacomovr2entovamosselecionarela.

Pgina102de212


5. NaopoVLANtag,ponhaumvalorentre14094
6. EmDescription,ponhaumnomeparareferencianoexemplonosusamosMyDMZvirtualLAN.

7. CliqueemSave.

Comoelefunciona...

TodosospacotesdestinadosouoriginadosdeVLANseromarcadoscomatagVLAN.assimqueo
UTMdiferenciaeledosoutrostrfegos,garantindoqueessetrfegovparaolugarcerto.

Vejatambm...
Identificandoeatribuindointerfaces,capitulo1ConfiguraoInicial.

CriandoumCaptivePortal

AquivamosdescrevercomocriarumCaptivePortalnoUTM.
Pgina103de212

Sepreparando...

OCaptivePortalumapaginawebqueexibidadepermissoaousurioantesdenavegarnaweb.
IssogeralmentevistoemambientescomerciaiscomoWiFiHotspotondevocdevepagarpeloservio
antesdenavegarnaweb.EmoutroscenriosoCaptivePortalusadoparaautenticaodousurio.

NessaexplicaovamosconfiguraroUTMparamostrarumCaptivePortaldeautenticaoantesque
ousurionaveguenawebpelaDMZ.

Comofazlo...
1.
2.
3.
4.

VaServices|CaptivePortal
NaabaCaptivePortal,cliqueemEnableCaptivePortal.
EmInterfaceescolhaainterfacequedesejausaroservio,nonossoexemplovamosusaroDMZ.
EmIdletimeout,nsselecionamos10minutos,clientesquepassaremmaistempoqueissosem
atividadenocomputador,assimqueeleacessardenovovaipedirousurioesenha.
5. EmHardtimeout,nsusamos60minutos,clientesqueestonavegandoounonocomputador
depoisde60minutosvaiaparecerumateladeusurioesenhaparaserdigitado,vocpodedeixar
embrancoparadesabilitaressaopo.
6. CliqueemEnablelogoutpopupwindow,paraqosusuriospossamdeslogarquandoterminar.
7. EmRedirectionURL,vocpodefazercomqueoclienteassimqueselogarsejadirecionadoauma
paginaquevocescolher,noexemplonosusamoshttp://www.google.com

Pgina104de212


8. EmAuthentication,escolhaLocalUserManager.

9. CliqueemSave.
10. VatSystem|UserManager
11. CliquenaabaUser
12. Cliquenaaba+paraadicionarumnovousurio
13. EmUsernamedigiteonomedeusurio
14. EmPassworddigiteumasenhadesejadaduasvezes.
15. EmFullNameponhaonomecompletodousurio

Pgina105de212


16. CliqueemSave

Comoelefunciona...

AtravsdeumacriaodoCaptivePortalnaDMZ,todousurioquetentarnavegarnawebterque
primeiroseautenticarcomonaimagemabaixo.Umavezautenticado,eleserdirecionadoparapaginado
Google,ondepodenavegarnawebobedecendoasregrasdetempopredefinidas,ondeteroquese
autenticarnovamente.

Hmais...

TodasastrspaginasdoCaptivePortal(login,logouteerro)podemserpersonalizadasparaatendero
padrodaorganizaoondefoiimplementadoosistema.Amaneiramaisfcildeserfeitoissosalvando
Pgina106de212

cadapaginacomoumarquivoeditaloasuamaneira(semmudarondeousuriovaicolocarsuas
credenciais),edepoisenvialousandoasopesnaparteinferiordapaginadoservioCaptivePortal.

Pgina107de212

6
Redundncia,Balanceamentodecarga,e
Failover
Nessecapitulo,iremosabordar:

ConfigurandomltiplasinterfacesWAN
ConfigurandoobalanceamentodecargaemumamultiWAN
ConfigurandooFailoveremumamultiWAN
Configurandoumservidordewebcombalanceamentodecarga
ConfigurandoumservidorwebcomFailover
ConfigurandoumfirewallCARPcomFailover

Introduo

Redundncia,balanceamentodecargaeFailoversoalgunsdosmaisavanadosrecursosderede
usadosnomomento.Algunsdessesserviossonecessriosemempresasdegrandeporte,algunsfirewallse
roteadoresnosocapazesdefazerisso.EclaroqueoUTMsuportatodoseles.

RedundnciadevariasinterfacesWAN(multiWAN)forneceumfirewallnicoparavariasconexesde
internet.OUTMpodeserconfiguradoparaequilbriodecargaouFailoverdeinterfacemultiWAN.
Balanceamentodecargavaidividirotrfegoentreasinterfacesdeinternet,quantooFailoverfazcomquese
umainterfacecaiaaoutraassume100%dotrfego,nofazendoainternetdaredeparar.

ObalanceamentodecargadoUTMpermitetiposdetrfegoespecficos(comotrfegonaweb)serem
distribudosentreosservidores.AcapacidadedecriarsuaprpriawebfarmfeitodiretonoUTM!

RedundnciadefirewallpermitequeosistemasobrevivaseamaquinadofirewallUTMvenhaaser
desligada.ParaissousamosumaconfiguraoCARP,oUTMpodeconfigurarumFailoverparapassaroacesso
automaticamenteparaumfirewalldebackup.

Pgina108de212

ConfigurandomltiplasinterfacesWAN

AquivamosdescrevercomoconfigurarmltiplasinterfacesWANnoUTM.

Sepreparando...

UmsistemadeUTMcomumanicainterfaceWANquaseplugandplaydesdeumgatewayatum
DNSpadro.NoentantoalgumasdescriesnessecapitulorequermltiplasconexesdeWANseos
gatewaysdevemserconfiguradosmanualmente.Asdescriesaseguirvovercomoconfigurarduas
interfacesWANquepodemserusadasmaistardecomobalanceamentodecargaredundanteeFailover.

AsseguintesinterfacesvoseconfiguradascomendereosdeIPsprivadosparafinsdeexemplo,mas
umaconfiguraorealexigiriaquecadainterfaceWANfosseconfiguradacorretamentedeacordocomas
informaesfornecidasporcadaprovedor.

Comofazlo...
1. VaSystem|Routing
2. SelecioneaabaGateways
3. TomenotaqueogatewaydanossainterfacepadroWANexistentefoicriadaautomaticamente,
porissoelaestadefinidacomodefault,quegeralmentedefinidacomodynamics.

Cliquenoboto+paraadicionarumnovogateway
4. EmInterfaceescolhaaconexojexistenteWAN
5. EmNamedigiteumnomeparaogateway
6. EmGatewaydigiteogatewaydainterface
7. MarqueDefaultGateway
8. EmDescriptiondigiteumadescrioparaseugateway,noexemplonsusamosWANGateway.

Pgina109de212


9. CliqueemSave.

10. Cliquenoboto+paraadicionarumnovoGateway
11. NaopoInterfaceescolhaanovainterfaceWAN.
12. EmNamedigiteumnomeparaogateway
13. EmGatewaydigiteogatewaydainterface
14. EmDescriptiondigiteumadescrioparaseugateway,noexemplonsusamosWAN2Gateway.

Pgina110de212


15. CliqueemSave
16. CliqueemApplyChanges

17. VaInterfaces|WAN
18. EmTypeescolhaStatic
19. EmIPAddressdigiteoIPdaWAN
20. EmGatewayselecioneogatewayquevoccrioureferenteWAN
21. MarqueBlockprivatenetworks
22. MarqueBlockbogonnetworks

Pgina111de212


23. CliqueemSave
24. VInterfaces|WAN2
25. EmTypeescolhaStatic

26. EmIPaddressdigiteoIPdaWAN2
27. EmGateway,selecioneogatewaycriadoreferenteaWAN2
28. MarqueBlockprivatenetworks
29. MarqueBlockbogonnetworks

30. CliqueemSave
31. CliqueemApplyChanges

Pgina112de212

Comoelefunciona...
ApenasaprimeirainterfaceWANquecriadapeloUTM,vaiterseugatewaypadrogerado
automaticamente.AocriarumgatewaymanualmenteparainterfaceWAN,comoacabamosde
fazer,entoagorapodemoscontinuarcomocapitulofazendoparaconfigurarosrecursosde
redundncia.

Hmais...
LembresesempredemarcarasopesdeBlockprivatenetworkseBlockbogonnetworksnas
redesdeinternet.

Vejatambm...

ConfigurandoaInterface,capitulo1ConfiguraoInicial.
Criandogateway,capitulo5Configuraesavanadas.
ConfigurandomultiWANcombalanceamentodecarga
ConfigurandomultiWANcomFailover

ConfigurandomultiWANcom
balanceamentodecarga

AquivamosdescrevercomoconfigurarobalanceamentodecargaemumnicosistemaUTM.

Sepreparando...

Aolongodessasinstrues,vamosconfigurarobalanceamentodecargadeduasinterfacesWAN
separadas.Entoterquesecertificarprimeiroseasduasinterfacesestocorretamenteconfiguradasse
guiandopelainstruomaisacima.

Todavezqueumbalanceamentodecargaentraemvigor,oFailoverautomaticamentetambmentra.
MassequisssemosativarsomenteoFailover,naprximaetapavamosdescrevercomofazer.

Comofazlo...
1. VaSystem|Routing
2. SelecioneaabaGroups
3. EmGroupnamedigiteumnome(essenomevaiseronomedoseugateway,enopodeter
espao)noexemplousamosLoadBalancedGroup
4. EmGatewayPriorityemambososgatewaysselecioneTier1
5. EmTriggerLevel,selecioneMemberDown
6. EmDescriptiondigiteumadescrioparaseubalanceamento.

Pgina113de212


7. CliqueemSave
8. CliqueemApplyChanges

9. VatSystem|Routing
10. EditeoWANgateway
11. EmMonitorIPvocpodeespecificarumendereodeIPexterno.Euparticularmentecolocoo
endereohttp://www.google.com.br,masvocpodeespecificaroendereoasuaescolha,pode
serummaispertodoseufirewall(algumipdentrodarededoseuprovedorporexemplo).
12. CliqueemSave.
13. EditeoWan2gateway
14. EmMonitorIPvocpodeespecificarumendereodeIPexterno.Euparticularmentecolocoo
endereohttp://www.google.com.br,masvocpodeespecificaroendereoasuaescolha,pode
serummaispertodoseufirewall(algumipdentrodarededoseuprovedorporexemplo).
15. CliqueemSave.
16. CliqueemApplyChanges.

Pgina114de212


17. VatFirewall|Rules
18. Cliquenoboto+paraadicionarumanovaregradefirewallnaabaLAN
19. EmaoselecionePass
20. EmInterfaceselecioneLAN
21. EmProtocolselecioneany
22. EmSourceselecioneLanSubnet
23. EmDestinationselecioneany
24. EmDescriptiondigiteumadescrio
25. EmAdvancedFeatures,naopoGatewaycliqueemAdvancedeiraparecerummenucoma
listadegatewayscriados
26. EmgatewayselecioneogatewayquecriamoslogoacimacomonomeLoadBalancedGroup
27. CliqueemSave
28. CliqueemApplyChanges

Comoelefunciona...

TodootrfegodeinternetquepassarpelaLANvaipassarpelonossogateway.AsduasWANs
configuradasvoteromesmonveldeprioridadevaialternarentresisimultaneamente.

Pgina115de212


Almdisso,nstambmconfiguramosoIPMonitor,comissooUTMsaberquandoumgateway
perdeaconexocomainternet,entoobalanceamentodecargaexcluiesselinkdeixandoooutroouos
outrosfuncionando,quemfazissooFailover,queentraemvigorautomaticamente.

Hmais...

NsdefinimosoTriggerLevel,comoMemberDown,mashvariasoutrasopes:
MemberDown:acionadoquandooendereoquecolocamosemIPmonitordeixaderesponderaos
pings.
PacketLoss:acionadoquandoospacotesqueviajamentreumdosgatewayssoperdidos.
HighLatency:ativadoquandoospacotesqueviajamentreumdosgatewaysficamcomuma
instabilidademuitoalta.
PacketLossorHighLatency:acionadoquandoospacotesqueviajamentreumdosgatewaysficam
comperdaouinstvel.

Vejatambm...
ConfigurandomltiplasinterfacesWAN

ConfigurandooFailoveremumamultiWAN

AquivamosdescrevercomoconfiguraroFailoveremumamultiWANusandosomenteumsistema
UTM.

Sepreparando...

Aolongodessadescrio,vamosconfiguraroFailoverparanossasduasinterfacesWANseparadas.
Entoterquesecertificarprimeiroseasduasinterfacesestocorretamenteconfiguradasseguiandopela
instruoanteriormentedita.

Comofazlo...
1. VaSystem|Routing
2. SelecioneaabaGroups
3. EmGroupnamedigiteumnome(essenomevaiseronomedoseugateway,enopodeter
espao)noexemplousamosFailoverGroup
4. EmGatewayPriorityselecioneseuWANGatewaycomoTier1.
5. EmGatewayPriorityselecioneseuWAN2GatewaycomoTier2.
6. EmTriggerLevelselecioneMemberDown
7. EmDescriptiondigiteumadescrioparaseuFailover.

Pgina116de212


8. CliqueemSave
9. CliqueemSaveChanges

10. VatSystem|Routing
11. EditeoWANgateway
12. EmMonitorIPvocpodeespecificarumendereodeIPexterno.Euparticularmentecolocoo
endereohttp://www.google.com.br,masvocpodeespecificaroendereoasuaescolha,pode
serummaispertodoseufirewall(algumipdentrodarededoseuprovedor,porexemplo).
13. CliqueemSave.
14. EditeoWan2gateway
15. EmMonitorIPvocpodeespecificarumendereodeIPexterno.Euparticularmentecolocoo
endereohttp://www.google.com.br,masvocpodeespecificaroendereoasuaescolha,pode
serummaispertodoseufirewall(algumipdentrodarededoseuprovedor,porexemplo).
16. CliqueemSave.
17. CliqueemApplyChanges.

Pgina117de212


18. VatFirewall|Rules
19. Cliquenoboto+paraadicionarumanovaregradefirewallnaabaLAN
20. EmaoselecionePass
21. EmInterfaceselecioneLAN
22. EmProtocolselecioneany
23. EmSourceselecioneLanSubnet
24. EmDestinationselecioneany
25. EmDescriptiondigiteumadescrio
26. EmAdvancedFeatures,naopoGatewaycliqueemAdvancedeiraparecerummenucoma
listadegatewayscriados
27. EmgatewayselecioneogatewayquecriamoslogoacimacomonomeFailoverGroup
28. CliqueemSave
29. CliqueemApplyChanges

Comoelefunciona...

TodootrfegodanossaLANvaipassarpelogatewayqueacabamosdecriar.Consisteemumgateway
dedoisnveisdeprioridadesseparadas,aredefuncionarapelogatewayTier1,quandoessegatewaypor

Pgina118de212

algummotivoficaroff,entoogatewayTier2assumeolugardogatewayprincipal,equandoTier1voltar
aonormal,osdoisgatewaysvoltamparaaposioinicial.

Hmais...

NsdefinimosoTriggerLevel,comoMemberDown,mashvariasoutrasopes:
MemberDown:acionadoquandooendereoquecolocamosemIPmonitordeixaderesponderaos
pings.
PacketLoss:acionadoquandoospacotesqueviajamentreumdosgatewayssoperdidos.
HighLatency:ativadoquandoospacotesqueviajamentreumdosgatewaysficamcomuma
instabilidademuitoalta.
PacketLossorHighLatency:acionadoquandoospacotesqueviajamentreumdosgatewaysficam
comperdaouinstvel.

Vejatambm...
ConfigurandomltiplasinterfacesWAN
ConfigurandoobalanceamentodecargaemumamultiWAN

Configurandoumservidorwebcom
balanceamentodecarga

AquivamosdescreverumpequenoserviodewebcombalanceadordecarganoUTM.

Sepreparando...

ObalanceadordecargapermitequeoUTMdistribuacertostiposdetrfegoparavariasmaquinasna
rede.UmusocomumdesserecursoparadistribuirsolicitaesHTTPdeentradaparavriosservidoresweb,
aseguirvamosdescrevercomoconfigurarobalanceadordecargaparacriarumserviodewebpriorizado.

Comofazlo...
1.
2.
3.
4.
5.
6.
7.

VServices|LoadBalancer
NaabaMonitor
Cliquenoboto+paraadicionarumnovoMonitor.
EmNamedigiteumnomeparaseumonitor
EmDescriptiondigiteumadescrioparaidentificarseumonitor
EmTypeselecioneHTTP.
naopoHost,aquivamosdigitarumendereodeIPquenousadonarede,paraseroIPdo
servidorvirtual.Oservidorvirtualvaiserconfiguradoparapassarospedidosparaosservidores
reaisdeweb,esseIPoquevaisermonitorado
8. EmHTTPCodeselecione200OK.

Pgina119de212


9. CliqueemSave
10. CliqueemApplyChanges.

11. CliquenaabaPools.
12. Cliquenoboto+paraadicionarumnovopool
13. SelecioneumnomeemName
14. EmModeselecioneLoadBalance
15. EmDescriptiondigiteumadescriopropoolquevocacaboudecriar
16. EmPortselecione80(poisestamoscriandoumbalanceadordecargadeumservidorweb)
17. EmMonitorselecioneomonitorquevocacaboudecriarcomonomeWebfarmMonitor.
18. EmServerIPAddressdigitecadaipdosservidoreswebecliqueemAddtopool.

Pgina120de212


19. CliqueemSave
20. CliqueemApplyChanges

21. CliquenaabaVirtualServers
22. Cliquenoboto+paraadicionarumnovoservidorvirtual
23. EmNamedigiteumnomeparaoseuservidorvirtual
24. EmDescriptiondigiteumadescrioparaoseuservidor
25. EmIPaddressdigiteoIPquevoccadastrouemMonitor.
26. EmPortdigiteaportaquevocquerusarnocaso80jqueumservidordeweb
27. EmVirtualServerPoolselecioneopoolquevoccriou,WebfarmPool

Pgina121de212


28. CliqueemSubmit
29. CliqueemApplyChanges

Comoelefunciona...
Nessasdescries,temosconfiguradooUTMparadividirotrfegodeentradasdeHTTP(porta80)entre
osdoisservidoreswebseparados.Opooldefinealocalizaodoservidorwebeomodoqueo
balanceamentodecargafeito(aocontrariodoFailover).NossoservidorvirtualdefineoendereodeIP,
vamosutilizaronossoNATeregrasdefirewallparaouvirospedidoHTTP,eoservidorvirtualvaisaber
dividircorretamenteasrequisiesatribudaspeloPool.Omonitorirverificaroestadoopool
periodicamentefazendoumpedidodeweb.UmavezqueopedidodirecionadoaoendereodeIPdo
servidorvirtual,vaiserdesligadoopool,sequalquerumdosdoisservidoresnorespondercomostatus
200OK.UmavezqueissoaconteceropoolvaidefiniroFailovertambm.

Hmais...
Stickyconnectionspodemserusadosparagarantirqueoclientesemprevaifazerpedidosparao
mesmoservidorduranteumperododetempo.SeoprximopedidoforfeitoapsotimeoutdoSticky
connections,elevaisermanuseadoporqualquerumdosdoisservidores.
Osdesenvolvedoresgeralmenteprecisamdesserecursoparagarantiraintegridadedosdados
especficosdoservidor(cacheInMemory),masnotoconfiveldoqueusarasessode
armazenamentocompartilhado.
Pgina122de212

Vejatambm...
CriandoregrasdeNATportForward,capitulo3ConfiguraoGeral
CriandoregrasdeFirewall,capitulo3ConfiguraoGeral
ConfigurandoservidorwebcomFailover

ConfigurandoumservidorwebcomFailover

AquivamosdescrevercomofazerumpequenoservidorwebcomafunodeFailover.

Sepreparando...

ObalanceadordecargatambmpermitequeoUTMenvieotrfegoparaumservidorFailoverquando
cairaconexo.

Comofazlo...
1.
2.
3.
4.
5.
6.
7.
8.

VaServices|LoadBalancer
CliquenaabaMonitor
Cliquenoboto+paraadicionarumnovomonitor
Emnamedigiteumnomeparaoseumonitor
EmDescriptiondigiteumadescrioquevocpossareconhecerseumonitor
NaopotypeselecioneHTTP
EmhostdigiteoIPdoseuservidorprimriodeweb
NaopoHTTPcodeselecione200OK

9. CliqueemSave
10. CliqueemApplyChange

Pgina123de212


11. CliquenaabaPools.
12. Cliquenoboto+paraadicionarumnovopool
13. Emnamedigiteumnomeparaopool
14. EmmodeselecioneManualFailover.
15. DigiteumadescrioparaoseupoolemDescription
16. Emportselecione80(jqueestamoscriandoumFailoverparaservidorweb)
17. EmMonitorselecioneomonitorquevocacaboudecriarcomonomeWebFailoverMonitor.
18. EmServerIPAddressdigiteoipdoseuservidorwebprimrio,ecliqueemAddpool,sevoc
repararoipvaiparalistadeEnable(default)
19. DepoisdigitenovamenteemServerIPAddress,squeagoravocvaidigitaroIPdoservidorweb
debackup,ecliqueemAddpool,sevocrepararoIPvaiparalistadePoolDisabled.

Pgina124de212

20. CliqueemSave
21. CliqueemApplyChanges

22. CliquenaabaVirtualServer.
23. Cliquenoboto+paraadicionarumnovoservidorvirtual
24. EmNamedigiteumnomeparaoseuservidorvirtual
25. DigiteemDescriptionumadescrioparaoseuservidorvirtual
26. EmIPaddressdigiteumIPquenotiverusonasuarede
27. Emportselecione80(jqueestamoscriandoumFailoverparaservidorweb)
28. EmVirtualServerPoolselecioneoPoolquevocacaboudecriar,noexemploo
WebFailoverPool.

29. CliqueemSubmit
30. CliqueemApplyChanges

Pgina125de212

Comoelefunciona...

Aolongodessasdescries,explicamoscomoconfiguraroUTMpararedirecionarotrfego
automaticamentedoservidorwebprimrioparaoservidorwebdebackupseoprimrioficaroffporalgum
motivo.OpooldefinealocalizaodosservidoreswebeomodoFailover(queocontrariode
balanceamentodecarga).EoservidorvirtualdefineoendereodeIP,evamosutilizaroNATeregrasde
firewallparaouvirospedidosHTTP,oservidorvirtualparaopoolquedefinimos.Omonitorverificaostatus
doservidorprincipalperiodicamentefazendopedidosweb.Searespostavoltar200OK,opoolvaiusaro
trfegodoservidorprimrio,casocontrarioelevaidirecionarotrfegoparaoservidordebackup.

Vejatambm...
CriandoNATdeportforward,capitulo3,ConfiguraoGeral
Criandoregrasdefirewall,capitulo3,ConfiguraoGeral
Configurandoservidorwebcombalanceamentodecarga

ConfigurandoumfirewallCARPcomFailover
AquivamosaprendercomoconfigurardoisfirewallsUTMparaFailover

Sepreparando...

Redundnciadehardwareprecisadeumhardwareadicionalclaro.ParaconfigurarumFailoverde
firewall,vamosprecisardeduasmaquinasUTM.Cadamquinatambmprecisadeumainterfaceadicional
dedicadoaoprocessodesincronizao(vamoschamardepfsync).Agoravamosdemonstrarcomousarduas
maquinasseparadascomUTM,cadaumacomtrsinterfaces(WAN,LANepfsync)

AsseguintesinterfacesseroconfiguradascomendereosdeIPsprivadosparaoexemplo,masem
umaconfiguraorealexigiriaparacadainterfaceWANserconfiguradacorretamentedeacordocomas
informaesfornecidaspeloprovedor.

Comofazlo...
1. Configureainterfacedanossaprimeiramaquina,oUTMprimriocomasseguintesinformaes:
o WAN:192.168.111.2
o SYNC:192.168.222.2
o LAN:192.168.1.2
2. Configureainterfacedanossasegundamaquina,oUTMsecundriocomasseguintesinformaes:
o WAN:192.168.111.3
o SYNC:192.168.222.3
o LAN:192.168.1.3
3. Emambasasmaquinas,adicionenofirewallaregradetrfegolivrenainterfaceSYNC:
1. VaFirewall|Rules
2. CliquenaabaInterfaceSYNC
3. Cliquenoboto+adicionandoumanovaregradefirewall
4. EmProtocolselecioneanyedigiteumadescrioemDescription
Pgina126de212

5. CliqueemSave
6. CiqueemApplyChanges

7. NamaquinaUTMsecundrioprecisamoshabilitarasincronizaoCARP,econfiguralo
apenascomobackup:
1. VaFirewall|VirutalIPs
2. CliquenaabaCARPSettings
3. MarqueSynchronizeEnabled.
4. EmSynchronizeInterfaceselecioneSYNC

Pgina127de212


8. CliqueemSave
9. Nsacabamosdeconfigurarofirewalldebackup
10. NamaquinaUTMprimrioprecisamoshabilitarasincronizaoCARP,econfiguralopara
atuarcomofirewallprincipal:
1. VemFirewall|VirtualIPs
2. CliquenaabaCARPSettings
3. MarqueSynchronizeEnabled
4. NaopoSynchronizeInterfaceselecioneSYNC

11. MarqueaopoSynchronizerules

12. MarqueaopoSynchronizenat

13. MarqueaopoSynchronizeVirtualIPs

14. EmSynchronizetoIPdigiteoIPdoservidorsecundrio
Pgina128de212

15. EmRemoteSystemPassworddigiteasenhadoUTMsecundrio

16. CliqueemSave
17. VamosagoraconfigurarumVIPparainterfaceWANnoUTMprimrio
1. VaFirewall|VirtualIPs
2. CliquenaabaVirtualIPs
3. Cliquenoboto+paraadicionarumnovoVIP
4. EmtypeselecioneCARP.
5. EmInterfaceselecioneWAN
6. EmIPaddressdigiteumendereodeIPnicodaWANqueserusadodurantetodoo
sistema,independentedosistemaprimrioousecundrioestarfuncionando.
7. EmVirtualIPPassworddigiteumasenha
8. EmVHIDGroupdeixeaopo1
9. EmAdvertisingFrequencydeixeaopo0
10. EmDescriptiondigiteumadescrioqualquer

11. CliqueemSave
Pgina129de212

12. CliqueemApplyChanges

18. VamosagoraconfigurarumVIPparainterfaceLANnoUTMprimrio
01. VaFirewall|VirtualIPs
02. CliquenaabaVirtualIPs
03. Cliquenoboto+paraadicionarumnovoVIP
04. EmtypeselecioneCARP.
05. EmInterfaceselecioneLAN
06. EmIPaddressdigiteumendereodeIPnicodaLANqueserusadocomogatewayns
clientesdarede,independentedosistemaprimrioousecundrioestarfuncionando.
07. EmVirtualIPPassworddigiteumasenha
08. EmVHIDGroupdeixeaopo2
09. EmAdvertisingFrequencydeixeaopo0
10. EmDescriptiondigiteumadescrioqualquer

11. CliqueemSave
12. CliqueemApplyChanges

Pgina130de212

Comoelefunciona...

AquifoidescritocomocriarumUTMFailoverusandoCARP.Osdoisfirewallssesincronizam
constantementeasregras,NATeconfiguraesdeIPs,demodoqueseoservidorprincipalpareouporalgum
motivofiqueoff,ooutroassumeseulugarautomaticamente.

OtruqueparaasincronizaoaconfiguraodoAdvertisingFrequencyentreoIPvirtualdecada
interface.OservidorprincipaltemumAdvertisingFrequencydefinidocomo0,entoquandoas
configuraessesincronizam,aAdvertisingFrequencyincrementadoparaoservidordebackup(ouseja,o
AdvertisingFrequency1).EassimqueoUTMconseguedistinguirasmaquinaseasconfiguraesde
sincronizao.

Vejatambm...
CriandoNATdeportforward,capitulo3,ConfiguraoGeral
Criandoregrasdefirewall,capitulo3,ConfiguraoGeral
CriandoVIP,capitulo5,ConfiguraesAvanadas

7
ServioseManuteno
Nessecapitulo,iremosabordar:

HabilitandoOLSR
HabilitandoPPPoE
HabilitandoRIP
HabilitandoSNMP
HabilitandoUPnPeNATPMP
HabilitandoOpenNTPD
Pgina131de212

HabilitandoWakeOnLan(WOL)
Habilitandoologexterno(syslogserver)
UsandooPING
Usandootracerout
Fazerbackupdoarquivodeconfigurao
Restaurandooarquivodeconfigurao
Configurandoobackupautomticodoarquivodeconfigurao
AtualizaodofirmwaredoUTM

Introduo

OUTMofereceumainfinidadedeserviosmodernosefuncionais.Nessecapitulovamosdescreveros
serviosmaisusadosemrelaomanuteno,descrevendoafuncionalidadeecomousarcadaumdeles.

Naprimeirametadedessecapitulovamosdescrevercomousarosserviosderedemaispopulares,
desdeSNMP,atcomousaropingeotracerout,descrevendocomousaressasferramentasindispensveis,
quejvemembutidasnainterfaceWEBdoUTM.Naoutrametadedocapitulovamosdescreverumservio
essencialqueosistemadebackup,restauraoeatualizaodoUTM.

HabilitandooOLSR

OOLSR(OptimizedLinkStateRouting),umprotocoloderoteamentodeIP,otimizandoaredesem
fio.quandoumaredeconstitudapordoisoumaisns,masoquetornaessesistemanicoamaneira
queessesnssecomunicamunscomosoutros.Osnstmmltiplasrotasemtodaarede,aumentandoa
confiabilidadefocandoemfalhasindividuaisemcadan.

AquivamosdescrevercomohabilitaroserviodeOLSR(OptimizedLinkStateRouting).

Comofazlo...
1.
2.
3.
4.

VaServices|OLSR
MarqueEnableOLSR.
Escolaainterface(vocpodeselecionarvariasinterfacescomobotoCtrlpressionado)
CliqueemSave

Pgina132de212

Comoelefunciona...

OOLSRpodeserconfiguradonaWebGUIdoUTM.OOLSRmuitousadoparaaumentara
confiabilidadeemserviosportteiscomoacessowireless,emserviosadhoc.

Hmais...

1.
2.
3.
4.
5.
6.

HabilitandooHTTPInfonspermitevisualizarecontrolaroestadodanossaredeOLSR:
VaServices|OLSR
MarqueEnableHTTPInfoPlugin.
DigiteemHTTPInfoPortaportaquevocvaiteracessoaoHTTPInfo
EmAllowedHost(s).digiteoipquevocvaiquererteracessoaoHTTPInfo
EmAllowedHost(s)Subnetdigiteamascaradesubrededesseip
CliqueemSave.

7. AbraqualquernavegadorparateracessoaoHTTPInfo:

Pgina133de212

HabilitandooPPPoE

PPPoEsignificaPointtoPointProtocoloverEthernet,umprotocolderedequepermiteencapsular
ProtocoloPointtoPoint(PPP)dentrodosframesdainterface.PPPoEpermitequedoisclientesremotos
possamligarseepassardadosentresi.

AquivamosdescrevercomohabilitaroPPPoEnoUTM.

Comofazlo...
1.
2.
3.
4.
5.
6.
7.
8.

VaServices|PPPoEServer
Cliquenoboto+paraadicionarumanovaestanciadePPPoE.
MarqueEnablePPPoEServer
EmInterfaceselecioneainterfacequevocdesejaconfigurar
EmSubnetMaskselecioneamascaradesubrede
EmNo.PPPoEUsersselecioneonumeromximodeclientesqueiroseconectar
EmServerAddressdigiteumIPnousadoqueoUTMvaiservirparaosclientesseconectarem.
EmRemoteAddressRangedefinirdequefaixadeIPvaiserusadoparateracessoaoPPPoE,levando
emconsideraoonumerodeclientesquevocdefiniunaetapa6.
9. EmDescriptiondigiteumadescrioparaseuserviodePPPoE
10. EmDNSServersdigiteumconjuntodeDNSoudeixeembrancoparaaceitaropadro
11. EmUser(s),cliquenoboto+paraadicionarumnovousurio.Digiteonomedeusurioem
username,asenhaempasswordeoIP

12. CliqueemSave.

Pgina134de212

13. CliqueemApplyChanges

Comoelefunciona...

OservioPPPoEusadogeralmenteparapreencherlacunasentreconexesPPP(dialup)econexes
Ethernet(bandalarga).Muitosprovedoresdeinternetqueusamsistemadedialupequeremusaressetipo
deautenticaoparaserviodebandalarga(PPPoE)eessesistemafazexatamenteisso.

HabilitandoRIP

RIPsignificaRoutingInformationProtocol,protocoloderoteamentodinnimopararedeslocaise
largasreasderede.

AquivamosmostrarcomohabilitaroserviodeRIPnoUTM

Comofazlo...
1. VServices|RIP
2. MarqueEnableRIP
3. Selecioneainterface(vocpodeselecionarmaisdeumainterfaceclicandonelascomoctrl
pressionado)
4. SelecioneaversodoRIPemRIPVersion
5. Sevocselecionouoaverso2entodigiteumasenhaemRIPv2password
6. CliqueemSave

Pgina135de212

Comoelefunciona...

OprotocoloRIPfoioprimeiroprotocoloderoteamentodinmicoquefoicriadotemoobjetivode
compartilharinformaesderoteamentoentrehostsUnix.OprotocoloRIPtransmiteumatabelade
roteamentocompletoemtodasasinterfacesativasemumperododegeralmente30segundos.

HabilitandooSNMP

OSNMPsignifica(SimpleNetworkManagementProtocol),umprotocolopadrodeSNMPpermite
queosclientesconsulteminformaesdestatusdemaquinasquetambmsuportamSNMP.

AquivamosdescrevercomohabilitaroserviodeSNMP.

Comofazlo...
1.
2.
3.
4.
5.
6.

VServices|SNMP
MarqueEnableSNMPDaemon
EmPollingPortvocpodeselecionarumaporta,masapadroUDP161
EmSystemLocationdigiteolocalquevocestconfigurando
EmSystemContactdigiteonomedeumcontato,podeseroseumesmo.
EmReadCommunityStringumasenhacomunitriaqueosclientesautorizadosaconsultar
informaesSNMPtmquedigitarapartirdesuasmaquinas.

7. EmSNMPModulesselecioneosmdulosquevocdesejaconsultar

8. CliqueemSave

Pgina136de212

Comoelefunciona...
AohabilitaroSNMPnoUTMosadministradorespodemconsultarinformaessobreosistemavital
doclienteSNMPdesuaescolha.

Hmais...

1.
2.
3.
4.
5.

SNMPtraps,soenviadospeloSNMP(comooUTM)paraosservidoresespecificadosquando
ocorreumeventosignificativo,ServidoresdeSNMPtrap,decidemcomoprocessaremanipulartal
evento,comoemailsdeumarededeadministrador.SNMPTraptilparaadministradoresderede
queprecisamreceberalertasrapidamente,aoinvsdeesperarpelociclodepoolingquetemum
potencialmuitolongoentopodedemorarmuito.

EspecificandoumSNMPtrapnoservidorUTM:
VServices|SNMP
MarqueEnableSNMPTraps
DigiteonomedoseuSNMPtrapemTrapServerName
DigiteaportaemTrapServerPort
DigiteumastringemSNMPTrapString

6. CliqueemSave

HabilitandoUPnPeNATPMP

UPnPeNATPMPsoimplementaestotalmentediferentesdosjvistos,elaautomatizao
mapeamentodeportasNAT.Essesprotocolossoprojetadosparapermitirqueclientespossamconfigurar
automaticamenteasregrasdeportForwarddeumroteadoroufirewall.Umexemplocomumdepermisso
UPnP,quandoumXbox360possaseconectaraoXboxLive.

GeralmenteosprotocolosUPnPsousadosemsistemasdaMicrosoft,enquantooNATPMPso
usadosemsistemasdaApple.

AquivamosdescrevercomohabilitaroUPnPeNATPMPnoUTM.

Comofazlo...
1. VServices|UPnPeNATPMP
2. MarqueEnableUPnP&NATPMP
3. MarqueouAllowUPnPPortMapping,ouAllowNATPMPPortMappingouosdois.
Pgina137de212

4. EmInterfacesselecioneainterface(sequiserselecionarmaisdeumaselecioneaoutrapressionandoo
botoCtrl)

5. CliqueemSave

Comoelefunciona...
AtivandooUPnPeNATPMPpermitequedispositivoscompatveispossamfuncionarcorretamenteem
umadeterminadaredesemanecessidadededefiniralgumaregraouportForwarding.

Hmais...
HmaisrecursosopcionaisdisponveisemserviosUPnPeNATPMPnoUTM:
EmMaximumDownloadSpeedvocpodedefinirquevelocidadededownloadseus
dispositivosusandooservioUPnPeNATPMPpodeusar
EmMaximumUploadSpeedvocpodedefinirquevelocidadedeuploadseusdispositivos
usandooservioUPnPeNATPMPpodeusar
EmOverridetheWANAddressvocpodeespecificarqualIPpodesubstituiraWAN
EmTrafficShapingQueuevocpodecolocarumshapingjconfigurado

MarqueEnableLogPacketsparahabilitaroslogsusadosporclientesUPnPeNATPMP
MarcandooSystemUptimevocvaiestarsubstituindoouptimedoserviodeUPnPeNATPMPpelo
uptimedoprpriosistema
MarcandooDefaultDenyAccessvocvaiestarnegandotodooacessovindodoUPnPeNATPMP

EmUserspecifiedpermissionsvocpodeespecificaratquatrousurioscompermisses.
Pgina138de212

AvisodeSegurana

Permitindoquedispositivospossammodificarsuasregrasdefirewall,issocontemumasriede
implicaesdesegurana.OfirewalldaMicrosoftosistemaISA(TMGomaisrecente)noapoiaesses
protocolos.Sevocprecisarhabilitaressesserviosestejacientedosriscos.Vocteriaquededicaruma
interfaceseparadaparaesseservio(otrfegoarriscadodemais).Vocpodevernasimagensqueeus
habilitooUPnPnainterfacepublica.Essainterfacesetratacomoinseguramastilparajogosequeclientes
naveguemnaweblivremente.

HabilitandooOpenNTPD

OserviovaiatenderassolicitaesOpenNTPD,dataehoraparaosclientessolicitarem.Aquivamos
descrevercomoativaroservioOpenNTPDnoUTM.

Comofazlo...
1. VServices|OpenNTPD
2. MarqueEnableparahabilitaroservioNTPD
3. EmInterfaceselecioneainterfaceparausaroservioNTPD(vocpodemarcarmaisdeuma
interface)

4. CliqueemSave

Pgina139de212

Comoelefunciona...

OOpenNTPDumaimplementaoopensourcedoservioNetworkTimeProtocol.Dispositivos
dentrodesuaredepodemagoraconsultarofirewallUTMcomNTPereceberdadosnotempoexatopartir
dele.

OclientepodelevaralgumashorasparasetornartotalmentesincronizadacomoservioOpenNTPD,
terqueserpaciente.

HabilitandooWakeOnLan(WOL)

OUTMpodeenviarumpacoteWakeOnlan(tambmconhecidocomopacotemgico)paraqueum
dispositivocompatvelpossaseracordado.AquivamosaprendercomousaresserecursonoUTM.

Comofazlo...
1. VaServices|WakeonLAN
2. EmInterface,selecioneainterfaceondeestoosdispositivosquevocdesejaacordar.
3. EmMACaddressdigiteoendereoMACdodispositivo

4. CliqueemSend

Comoelefunciona...

OservioWakeonLANvaienviarpacotesmgicosparaqualquerdispositivoligadoaredeque
suportemesserecursoconfiguradosparaWakeonLAN.Quandoumdispositivoconfiguradocorretamente
recebeumpacotemagico,ocomputadorvailigar.

Valeressaltarqueemcomputadoresmaisantigos,temqueserconfiguradocorretamenteessaopo
nabioseconectarumcaboespecialnaplacame.
Pgina140de212

Hmais...

1.
2.
3.
4.
5.

VocpodearmazenaroendereoMACdetodasasmaquinasdesuarede:
VServices|WakeonLAN
Cliquenoboto+paraadicionarumendereodeMACparausaroservioWOL.
EmInterfaceselecioneainterfaceondeestligadoodispositivo
EmMACaddressdigiteoendereoMACdocomputadoroudispositivo
EmDescriptiondigiteumadescrioparaodispositivo

6. CliqueemSave

7. CliquenoMACaddressdodispositivoquevocquermandaropacotemagico

Pgina141de212

Enviarpacotemagicoatodos

Emvezdeacordarcadaclienteumporum,vocpodeacordartodosdeumasvez,bastaclicarno
botoWakeallclients

Habilitandologexterno(syslogserver)

Osyslogumsistemapadronizadopararegistrartodootipodeinformao.Clientesysloge
implementaesdeservidoresexistemparatodososprincipaissistemasoperacionais

AmaioriadasdistribuiesLinuxjexecutaoserviosyslog,demodoqueconfigurarumservidor
centralizadosquestodedecidirqualmaquinausar,configurarumamaquinaparaexecutardadosdo
syslognarede,edepoisconfigurartodasasmaquinasdirecionandomensagensdesyslogparaoservidor.

AquivamosdescrevercomoconfiguraroUTMparaescreveroslogsparaumservidorsyslognarede.

Sepreparando...

ParaligarumamaquinaWindowsemumservidordesyslogcentralizado,dumaolhadanoServidor
deKiwiSyslogelogviewer

Comofazlo...
1.
2.
3.
4.

VStatus|SystemLogs
CliquenaabaSettings.
MarqueEnablesyslog'ingtoremotesyslogserver
Emremotesyslogserversvocpodedigitarattrsservidoresdelogremoto
Pgina142de212

5. MarqueEverythingparagravartodasasmensagens,oumarqueapenasoquelheinteressar.

6. CliqueemSave

Comoelefunciona...

Aoescreveroslogsparaumservidorexternosyslog,issopodeterumefeitomuitopositivosobreo
UTMjquenoconsomemuitamemoriaeespaoemdisco.

Hmais...

Sevocnoconfigurarumservidordelogexterno,voctemasseguintesopesderegistrointerno
disponveisnoUTM:
Mostrarlogsdeentradaemordeminversa(asmaisrecentesficamnotopo)
Numerodeentradadelogs
Logdepacotesbloqueadosnaregrapadro
Mostralogsdefiltros
DesabilitaagravaodearquivosdelogdodiscoparamemoriaRAM

Pgina143de212

Usandooping

OUTMhabilitaoserviodepingqueestainclusoemquasetodosossistemasoperacionais.Issopode
sertilparaosadministradoresfazeremtestedepingdoUTMparaoutramaquinaqualquerapartirde
qualquerinterfaceespecificada.AquivamosdescrevercomoconfiguraroserviodepingdoUTM.

Comofazlo...
1.
2.
3.
4.

VemDiagnostics|Ping
EmHostdigiteoendereodeIPouohostdoqualvocquerfazeroteste
EmInterfaceselecioneainterfacedaqualohostouoendereodeIPestaligado
Emcountselecioneaquantidadedepacotesquevocquerfazeroteste

5. CliquenobotoPing

Comoelefunciona...

Outilitriopingpermiteaosadministradoresfazertestedepingdequalquerinterface,paraqualquer
interface.OpingumaferramentaindispensveleterelanainterfacewebdoUTMumatimafuno.

Pgina144de212

Usandotraceroute

OUTMusaoserviodetracerouteinclusoemquasetodosossistemasoperacionais.Issopodesertil
paraadministradoresquequeiramrealizarumtracerouteadhoc

VamosdescreveragoracomousaroutilitriotraceroutedoUTM

Comofazlo...
1. VDiagnostics|Traceroute
2. EmhostdigiteoIPouohostquevocdesejatraararota
3. EmMaximumnumberofhopsvocpodeespecificaraquantidadedesaltosqueotraceroutepode
fazer
4. VocpodemarcaroUseICMPsequiser

5. Cliquenobototraceroute

Pgina145de212

Comoelefunciona...

Outilitriotraceroutepermiteaosadministradoresrealizarumrastreamentoderotasdiretamente
pelainterfaceweb.

Otraceroutepodelevarumtempolongoparaserconcludo.Vocpodeclicaremcancelaraqualquer
momento.

Fazerbackupdoarquivodeconfigurao

Fazerbackupdosarquivosdeconfiguraoumaparteessencialdequalqueradministrador.Aqui
vamosdescrevercomofazerobackupdoarquivodeconfiguraonoUTM.

Sepreparando...

OsarquivosdeconfiguraodoUTMsoarmazenadosemumformatodetextosimplesXMLpor
padro.Mastambmtemaopodesercriptografado.

Comofazlo...
1. VDiagnostics|Backup/Restore
Pgina146de212

2. CliquenaabaBackup/Restore
3. EmBackupreaselecioneAll.Paraobterobackupdetodaalistadeopes,sevocquiserfazer
backupdealgumasopessomente,confiraabaixoalistadereasdebackup.
4. DeixeDonotbackuppackageinformationdesmarcado,sevocmarcarnosersalvoalistade
pacotesinstaladosnoseuUTM.
5. DeixeDonotbackupRRDdatamarcado,sevocdeixardesmarcadovaisersalvotodoohistrico
detrfegofeitopeloUTM,ecomissooarquivovaificarmuitogrande,enoocaso.

6. CliqueemDownloadconfiguration.
7. Selecioneolocalquevocvaiquerersalvar.

Comoelefunciona...
OUTMpermitequeumadministradorpossatransferirconfiguraesfeitasnoUTMinteiroemum
arquivoniconoformatoXML,paraqualquerlugardoteucomputadorourede.

Hmais...
AlgumassenhasconfiguradasnoUTMvoaparecernoarquivoemtextopuro!Seissopodeser
umapreocupaoentonahoraquevocforfazerobackup,deixemarcadaaopoEncrypt
thisconfigurationfile,eentodigiteumasenhaemPassword.

Pgina147de212

reasdebackup

NaversoatualdoUTM2.0queolivrofoilanado,asseguintesreasparabackupestodisponveis:
ALL
Aliases
DNSForwarder
DHCPServer
FirewallRules
Interface
IPSec
NAT
PackageManager
PPTPServer
ScheduledTasks
Syslog
System
SystemTunables
SNMPServer

Restaurandoobackupdoarquivode
configurao

Aquivamosdescrevercomorestauraroarquivodebackupdasconfiguraessalvas.

Pgina148de212

Sepreparando...

RestauraodearquivosdeconfiguraoumaparteessencialnaadministraodeumUTM.Os
arquivosdeconfiguraosoarmazenadosemumformatodetextosimplesXMLpadro,mastambmpode
sercriptografadoseformarcadonoinstantequeforfeitodobackup.

Comofazlo...
1. VaDiagnostics|Backup/Restore
2. CliquenaabaBackup/Restore
3. EmRestorereaselecioneAll.Paraobterarestauraodetodaalistadeopes,sevocquiser
fazerarestauraodealgumasopessomente,confiraabaixoalistadereasderestaurao.

4. CliqueemRestoreconfigurationeespereoUTMreiniciar.

Comoelefunciona...

OUTMpermitequeumadministradorpossarestaurarasconfiguraesfeitasnoUTMapartirdeum
arquivoXML.

Hmais...

Seoarquivodeconfiguraofoicriptografadonahoradobackup,noesqueadedeixarmarcadaa
opoConfigurationfileisencrypted,edigiteasenhaquefoidigitadanahoradobackupemPassword

reasderestaurao
NaversoatualdoUTM2.0queolivrofoilanado,asseguintesreaspararestauraoesto
disponveis:
ALL
Aliases
CaptivePortal
Pgina149de212

CaptivePortalVouchers
DNSForwarder
DHCPServer
FirewallRules
Interface
IPSec
NAT
OpenVPN
PackageManager
PPTPServer
ScheduledTasks
StaticRoutes
Syslog
System
SystemTunables
SNMPServer
TrafficShaper
VLANs
WakeonLAN

AtualizaodofirmwaredoUTM
AquivamosdescrevercomoatualizarofirmwaredoUTM.

Sepreparando...

TemosquefazerobackupdoUTMantesdecomearaatualizao.

Comofazlo...
1. VaSystem|Firmware
2. CliquenaabaAutoUpdate
3. CliqueemInvokeAutoUpgrade

Pgina150de212


4. ObserveoStatusdodownload
5. Quandoodownloadestivercompleto,oUTMiraatualizarereiniciar
6. Noprimeirologinapsosistematerreiniciado,vamosserredirecionadoparaapginaPackage
Manager.

Comoelefunciona...

OUTMentraremcontatocomumserviowebhttp://snapshots.bluepex.com/parafazer
averificaodofirmwaremaisrecente,ebaixarsenecessrio.

Obs:AtualizaoAutomaticaestardisponvelapenasnaverso2.0.3

Hmais...

OUTMtambmpermiteaatualizaodofirmwaremanual,quevamosdescrevermaisabaixo:
1. Fazerodownloaddaversomaisrecenteem:ArquivodisponibilizadopeloSuporteBluepexpara
clientesquepossuemcontrato.

2. VSystem|Firmware
3. CliquenaabaManualUpdate
Pgina151de212


4. CliquenobotoEnablefirmwareupload
5. CliqueemBrowseparaselecionarolocalondeseencontraoarquivobaixado

6. CliqueemUpgradefirmware

Atualizaoemandamento
Qualquertentativadeacessarqualqueroponahoraqueosistemaestsendoatualizadovocser
redirecionadoparaumapaginaigualquevamosmostrarlogoabaixo:

Atalhoparaverificaraversodosistema
Pgina152de212

PodemosverificarqualaatualversodoUTM,umanotificaoVersionvaiaparecernatelaStatus
DashboardnapaginainicialdoUTM.

Vejatambm...
Fazerbackupdoarquivodeconfigurao

8
Pacotes
Nessecapitulo,iremosabordar:
InstalandoeconfigurandopacotedoProxyWebfilter
InstalandoeconfigurandopacoteDataclick

AdicionandoopacotedoWebfilter
AquivamosdescrevercomoinstalaropacotedoProxyWebfilterdoUTM.

Pgina153de212

Sepreparando...

TemosqueremoverqualquerversoanteriordopacotedoProxyWebfilterantesdecomearanova
instalao.
Obs:CasosejaaprimeirainstalaopularparaInstalandooPacote

Comofazlo...
1.
2.
3.
4.

VaSystem|Packages
CliquenaabaInstalledPackages
CliquenobotocomsmbolodepararemoverqualquerversoanteriordoProxyinstalada
Aofinalizararemoopasseparaoproximotpico

Instalandoopacote...
1.
2.
3.
4.

VaSystem|Packages
CliquenaabaAvailablePackages
Localizeopacotecomnome:BluepexWebfilter
Cliquenoboto+comoafigurabaixoparainstalaropacotedoWebfilter

5. Sersolicitadaaconfirmaodainstalaodopacote,cliqueemOK
6. EmseguidaoProxyinciarainstalao;Quandoainstalaoforfinalizadadeverexibirumatela
comoaimagemaseguir:

Pgina154de212

7. Apsfinalizadoainstalaoaseguintetelaserexibida:

Pgina155de212

ConfigurandoopacotedoWebfilter

Sepreparando...
AntesdeiniciarmosaconfiguraodoProxyWebfilter,devemosprimeiramentedefinirquala
maneiraqueiremostrabalharcomoProxyemnossoambiente.

OUTMtrabalhacom2tiposdeProxysendopossvelapenasutilizarummtodoemproduo:

1 ProxyTransparente
NestemtodooWebfilterirrealizarofiltrodasurlssemanecessidadedeincluirquaisquer
configuraesnonavegadordousurio.PormnestemtodooWebfiltersomentefiltraro
protocoloHTTPeaindasomenteserpossvelaconfiguraesdepolticadeacessoatravsde
IP.

2 ProxyAutenticado

NestemtodooWebfilterirrealizarofiltrodasurlscomanecessidadedeincluiconfigurao
nonavagedordosusurios.PormserpossvelofiltropelosprotocolosHTTP,HTTPSeFTP,e
aindarealizarapolticadeacessoatravsdeusurios,gruposeIPS.Nestemodoainda
podemosutililizaraintegraodeusuriosviabaseLocalouBaseRemotaimportandodeum
servidorLDAP,NTdomain,ADouRADIUS.

Comofazlo...

Apsadeifinicaodequalmtodoutilizar,inciaremosaconfiguraodoProxy
1 AcesseomenuDashboard|WebfilterouServices|Webfilter
2 Atelaabaixoserexibida:

Pgina156de212

3 PrimeiropassoexecutaraconfiguraodeacordocomamaneiracomooProxyirtrabalhar
4 ParaissocliquenobotoProxyServer
5 NaabaGeneraliremosselecionarqualinterfacesermonitoradapeloProxy,aquiopadro
selecionarmosainterfaceLAN
6 DepoissersolicitadoaopodePermitirsubredesdainterfaceestafundamentalparaquem
utilizarProxytransparente,jparaoautenticadonoselecioneaopo,poisinformaremosarede
maisadiante.
7 ProxyTransparente:somenteativeestaopocasoutilizeoProxycomotransparente.
8 BypassproxyforPrivateAddressSpace(RFC1918)destinationhabiliteestaopocasosua
seleosejadeProxytransparentepormnodesejaqueacessosaIPsprivadossejam
redirecionadospeloProxy.
9 BypassproxyforthesesourceIPs:NoencaminharparaoProxytransparenteosendereosde
origeminseridosnesseespao.
10 BypassproxyforthesedestinationIPs:NoredirecionarparaoProxytransparentesosendereos
dedestinocontidosnesteespao.
11 Proxyport:PortanoqualserutilizadoparaoProxyAutenticado
12 ICPport:PortanoqualoProxypoderenviaroureceberinformaesdecachedeproxiesvizinhos
13 Visiblehostname:InformaoqueserinformadanasmensagensdeerrodoProxy
14 Administratoremail:Endereodeemailqueserexibidanocontedodamensagemdeerrodo
Proxy.
15 Language:IdiomadasmensagensdeerrodoProxy.
16 DisableXForward:Retirainformaesdeendereoipehostnamedaestaonasmensagende
erro.
17 DisableVIA:RetiraalgumasinformaesdaRFC2616dasmensagensdoProxy
18 WhattodowithrequeststhathavewhitespacecharactersintheURI:DetalhacomooProxyir
conduzirnocasodeencontrarum(espao)nocasodeousurioinserirloemmeioaumaURL.
19 UsealternateDNSserversfortheproxyserver:LocalondepodemosinseriroDNSqueoProxyir
encaminharasrequisiesdeDNS,sendoquesepermanecerembrancoomesmoirredirecionar
paraoDNSpadrodoUTM.
20 UsealternateDNSserversfortheProxyserver:Semarcadairretirarinformaesdeversodo
ProxynasmensagensdeerrodoProxy.
21 CustomOptions:LocalondepodemosinseririnformaesnoProxyondeexigecerto
conhecimentonoservio,norecomendadoinserirnenhumainformaosenotiverconvicoda
mesma.

Pgina157de212


Pgina158de212

UpstreamProxy

NestemenupodemosredirecionarapolticadeacessodoWebfilterparaumservidorProxy
alternativo,destemodoasconfiraodepolticadeacessonoWebfilternoteroefeitoumavezque
apolticaserderesponsabilidadedoservidoralternativo.

1 ParaconfigurlocliquenaabaUpstreamProxy

2 Enableforwarding:Paraativaroredirecionamentodapolticadeacesso
3 Hostname:NomeouIPdoservidorProxyremoto
4 TCPPort:PortaqueoservidorProxyremotoresponde
5 ICPport:PortaqueoICPcachutiliza
6 Username:NomedousurioqueoWebfilterherdarapolticadoProxyremoto
7 Password:SenhadousuriodoProxyremoto

CacheManagement

MenuondepodemosgerenciarapolticadecachdoWebfilter.

1 Harddiskcachesize:TamanhodeespaoemdiscoqueoWebfilterusarparacach
2 Harddiskcachesystem:SistemadecachqueoWebfilteradotar
3 Harddiskcachelocation:DiretrioondesistemadecacheseencontrafisicamentenoUTM
4 Memorycachesize:QuantidadedememriaqueocachutilizarnohardwaredoUTM
5 Minimumobjectsize:Tamanhomnimodearquivoquenosergravadonocach
6 Maximumobjectsize:TamanhoMaximodearquivoquenosergravadonocache
Pgina159de212

7 MaximumobjectsizeinRAM:TamanhoMaximodearquivoqueseralocadonamemria
paraprocessamentodocach
8 Donotcach:Localondepodemosinserirasurlseipsquequeremosquesejacacheado
9 Enableofflinemode:OpoparadesabilitaroarmazenamentodecachdoWebfilter

Pgina160de212

AccessControl

LocalondepodemosconfigurarcertostiposdeexceesebloqueiosparaoProxy,almde
informarasredesquepossuempermissodeutilizaroProxy.

1 Allowedsubnets:RedesqueestoautorizadasautilizaremoProxy
2 UnrestrictedIPs:IPsquenoserofiltradospeloProxy
3 Bannedhostaddresses:IPsqueserobanidospeloProxy,todooacessobloqueado
4 Unrestrictedsites:SitesqueteroacessoliberadonoProxy,
5 Blacklist:endereosedomniosqueteroacessobloqueado
6 ExternalCacheManagers:Endereodoservidorquepodemosimportarosendereosem
cache
7 aclsafeports:PortasdoprotocoloHTTPpermitidaspeloservidorproxy
8 aclsslports:PortasdoprotocoloHTTPSpermitidaspeloservidorProxy

Pgina161de212

TrafficManagement

LocalondepodemosconfigurarlimitedebandaparaosHostsedeterminadasextensesde
arquivos.

1 Maximumdownloadsize:TamanhomximodearquivoqueoProxypermitirodownload
2 Maximumuploadsize:TamanhoMaximodearquivoqueoProxypermitiroupload
3 Overallbandwidththrottling:Limitedebandaglobalparatodososhosts.
4 Perhostthrottling:Essevalorespecificaalimitaodownloadporhost.
5 Throttleonlyspecificextensions:Limitedebandaparadeterminadasextensesde
arquivos
6 Throttlebinaryfiles:Limitedebandaparaarquivosbinarios
7 ThrottleCDimages:Limitedebandaparaextensesdearquivosnoformatodeimagens
como.vob,.iso...
8 Throttlemultimediafiles:Limitedebandaparaarquivosmultimedia
9 Throttleotherextensions:Limitedebandaparaoutrasextenses,separaporvirgula
10 FinishtransferiflessthanxKBremaining:Finalizaratransferenciasedeterminadonumero
emKbdoarquivoestiverrestando
11 AborttransferifmorethanxKBremaining:Abortaratransferenciasedeterminado
numeroemKbdoarquivoestiverrestante
12 Finishtransferifmorethanx%finished:Finalizaratransferenciasedeterminadonumero
em%estivercompletado

Pgina162de212

Authentication

Nestemenuserdeterminadoomtododeautenticaodosusurios,Local,LDAP,RADIUS,
NTdomain,SingleSingON.

Habilitandoquaisquerdestasopes,necessariamentedeverconfiguraroProxynonavegador
doshostsnaredeparaqueaautenticaoeofiltrodeURLSfuncionem.
OBS:ParaProxytransparenteestemenuficardesabilitado.

Diferenas:

Local:UtilizaromenuLocalUsers,ondeoadministradordevercadastrar
manualmenteologinesenhadecadausurioqueutilizaroProxy.

LDAP:utilizarumabaseremotadeusurioscomoumservidorLDAPouActive
Directorypararealizaraautenticaodosusurios.Nestemtodoousuriodever
logartodavezqueabrironavegadorparanavegar.
RADIUS:Servidordeautenticaoparacontroledeusurioesenha.Maioresdetalhese
definionaurl:http://pt.wikipedia.org/wiki/RADIUS
NTdomain:MetododeautenticaodeusuriosnoantigosistemaWindowsNTda
Microsoft.
SingleSingON:mtododeautenticaoembaseremotanossistemasdeActive
Directory,ondepermiteaparticipaodoUTMnodomniocorporativo,possibilitandoa
autenticaodosusuriosdeProxynomomentoqueomesmoautenticanoWindows.
Nestemtodonosersolicitadoaautenticaoquandoousurioabrironavegador,
pormnotiraaobrigatoriedadedeinseriroProxynomesmo,almdefuncionar
apenasparausuriosquelogamnodomnio.Parausuriosquenologamnodomnio
estemtodofuncionardamesmaformaqueoLDAP.
NONE:Nestemtodonosersolicitadoautenticaoparanenhumusurio,mesmo
comconfiguraodeProxynonavegador.Estemtodotambmsometeaceitar
configuraodepolticadeacessoporIP.

Pgina163de212

Pgina164de212

ConfigurandooProxynonavegador:

NavegadorMozilaFirefoxversoWindows:

1acesseomenuFerramentasOpes

2cliquenobotonocantosuperiordireitoAvanado

3cliquenaabaREDE

4cliquenobotoConfigurarConexo

5umanovajanelaserexibida,selecioneaopo:ConfiguraoManualdeProxy:

6NocampoHTTPdigite:ip_lan_utmenocampoporta:3128(portaconfiguradanowebfilter)

7Selecioneaopo:Usaresteproxyparatodososprotocolos

8EmseguidabastaclicarnobotoOK,edepoisOKnovamente;

NavegadorMozilaFirefoxversoLinux:

1acesseomenuEditarPreferncias

2cliquenobotonocantosuperiordireitoAvanado

3cliquenaabaREDE

4cliquenobotoConfigurarConexo

5umanovajanelaserexibida,selecioneaopo:ConfiguraoManualdeProxy:

6NocampoHTTPdigite:ip_lan_utmenocampoporta:3128(portaconfiguradanowebfilter)

7Selecioneaopo:Usaresteproxyparatodososprotocolos

8EmseguidabastaclicarnobotoOK,edepoisFechar;

Pgina165de212

NavegadorInternetExplorerversoWindowsapenas:

1CliquenomenuFerramentasOpesdaInternet;

2CliquenaABAConexes;

3CliquenobotoConfiguraesdaLAN;

4SelecioneaopoUsarumservidorproxypararedeLocal(estasconfiguraesnose
aplicamaconexesdialUPouVPN);

5Insiraoip_lan_utmeaporta3128(portaconfiguradanowebfilter)

6Selecionetambmaopo:NousarproxyparaendereosLocais;

7Certifiquesequeapenasestasduasopesestejamhabilitadasnestajanela;

8CliquenobotoAVANADAS;

9Selecioneaopo:Usaromesmoservidorproxyparatodososprotocolos;

10Paraencerrar,bastaclicarnobotoOKdetodasasJanelasemaberto;

NavegadorGoogleChromeversoLinux:

1Cliquenobotoqueseparececomoumachaveinglesanocantosuperiordireito;

2SelecioneaopoPreferncias;

3CliquenaopoConfiguraesAvanadas;

4EmseguidaselecioneobotoAlterarConfiguraesdeProxy;

5Umanovajanelaseraberta,nelahabiliteaopo:ConfiguraoManualdeProxy;

6Depoisselecioneaopo:Usaromesmoproxyparatodososprotocolos;

7InsiranocampoproxyHTTP:ip_lan_utmeporta:3128(portaconfiguradanowebfilter)

8EmseguidacliquenobotoFechar;
Pgina166de212

9Paraencerrarbastareiniciaronavegadoreverifiqueseomesmosolicitalogin;

NavegadorGoogleChromeversoWindows:

NohnecessidadedefazernenhumaconfiguraoseoInternetExplorerjestivar
configurado,poisomesmoherdaasconfiguraesdomesmo;

DetalheimportanteparaquemutilizaroInternetExplorer,deverinserironomedousurioda
seguinteforma:

dominio\nome_usuario
senha_usuario

Demaisnavegadoresnonecessitalogardestamaneira;

Configurandoosincronismodeusurios

DepoisquedefinimosomtodoqueutilizaremosoProxy,podemossincronizarosusurios
paracriaodosgruposparaaplicarmosapolticadeacesso.OmenuWebfilter|Userspermiteque
importamososusariosdeumservidorremoto(LDAPouAD)ouatmesmoimportarosusuriosde
umarquivonoformatoCSV.

Obs:CasoestejautilizandobaselocaldeusuriosomenuUserservirapenasparacadastrarosgrupos
deusurios,umavezquetodososusuriosjcadastradosnomenuProxyServer|LocalUsersj
seroexibidosautomaticamentenestemenuUsers.

Comofazlo...

1 AcessaromenuServices|WebfilterouDashboard|Webfilter
2 CliquenobotoUsers
3 EmseguidaselecioneaabaImport

Pgina167de212

4
5
6
7
8

Aquivocpodeescolherentresincronizarosusuriosdeumabaseremotaouimportaros
usuriosdeumarquivoCSV.
SesuaescolhafoiimportarumarquivoCSV,oarquivodeverseguirumformatoespecifico
paraaceitarosincronismodeusurios:descriousurio,login_usuario,senha
AopoOverwriteproxyusers:irsobreescreverosusuriosjimportadosanteriormente
equetiveremomesmonomeoulogin.
SesuaopofoiImportusersfromAD,selecioneaopoImportusersfromanActive
DirectoryserverthroughLDAP
Novasopesseroexibidas:

BastainserirasinformaesdeseuservidorAD/LDAPedepoiscliqueemSAVE

Pgina168de212

CriandoGruposdeUsuarios

1 SeasconfiguraesdoservidorAD/LDAPouseaimportaodeusuriosfoifeita
corretamente,vocconseguirvisualizarosusuriosimportadosnaabaUsers

2 EmseguidaselecioneaabaGroups
3 Agoracliquenocone+paraincluirumnovogrupo
4 Digiteumnomeparaseugrupoedescrio(opcional)edepoisvincluindoosusuariosque
faropartedogrupo.
5 EmseguidacliequeemSAVE

Pgina169de212

Obs:Grupossonecessriosparaaquelesquedesejamcriarumapolticadeacessoidnticapara
vriosusuriosquepertenceaummesmodepartamentooufunonaempresa.

Criandoumapolticadeacesso

DepoisdeconfiguraromtododeautenticaodoProxy,importarosusuriosecadastralos
emumgrupo,chegouahoradecriarmosapolticadeacessodestes.

Comofazlo...

1 SelecioneobotoContent
2 Cliquenocone+paraincluirmosumanovapolticadeacesso

Pgina170de212

3 Aquiondedefinimosparaquemaplicaremosequalserapolticadeacesso
4 Disabled:estaopoopcionalparaquemdesejadesabilitarapolticadepoisqueamesma
jestiversidocriada
5 Match:Localondedefinimosaquemaplicarapolticadeacesso.OndeALL=todos,User
names=usurios,UserGroups=grupos,IPAddress=IP,IPRange=intervalodeipsou
Subnet=rede.
6 Users:SevocselecionouaopoUsernamesemMatch,estaoposerativadapara
vocselecionaronomedosusuriosquedesejaaplicarapoltica.
7 Groups:SevocselecionouaopoUsergroupsemMatch,estaoposerativadapara
vocselecionaronomedosgruposquedesejaaplicarapoltica.
8 IPaddress:SevocselecionouaopoIPAddressemMatch,estaoposerativada
paravocinseriroendereoIPquedesejaaplicarapoltica.
9 Range:SevocselecionouaopoIPRangeemMatch,estaoposerativadaparavoc
inserirointervalodeIPsquedesejaaplicarapoltica.
10 Subnet:SevocselecionouaopoSubnetemMatch,estaoposerativadaparavoc
inserirafaixaderedequedesejaaplicarapoltica.
11 Action:Ouao,aquiondeselecionamoscomonossapolticairtrabalhar.OndeAllow
allcontent=Permitirtodoacesso,Blockallcontent=BloqueiatodooacessoeBlockthe
selectedcategories=Bloqueiaapenasascategoriasselecionadas.
12 Contentcategories:aquiqueselecionamosascategoriasquedesejamosqueoWebfilter
filtreasurlsdeacordocomcadacategoria.SegureateclaCTRLparaselecionarmaisde
uma.
13 Locallists:NestelocalondeselecionamosaWhitelisteBlacklist,seumaouambas
estiveremselecionadas,apolticairherdartodosossitesqueconstaremnasabas
correspondentes.
14 Customlists:SocategoriaspersonalizadasquepodemoscriarnoWebfilter,nelas
permitidocadastrarossitesmanualmenteeaindanoformatodeexpressesregulares.
Possuitrsopes:Allow=liberar,Block=BloquearouIgnore=Ignorar.
15 Activationperiods:Permiteaplicarapolticadeacessoemhorriosespecficos,basta
selecionarosquadradosqueindicamohorrio(cada30minutos)ediadasemana.
16 Description:Opcionalparaaquelesquedesejaminserirumadescrioparaapoltica
17 ParaencerrarcliqueemSAVE

Informaesimportantes

Asregrasdecontedosoavaliadasdeacordocomaespecificidade.
Asregrasmaisespecficassoavaliadasprimeiro.Aprecednciausurio>grupo>IP>subrede>
default.Ouseja,regrasporusuriosoavaliadasantesdasdegrupos,asdegrupossoavaliadasantesdasde
IP,eassimpordiante.Jregrasdomesmotipo,comoporexemplo,duasregrasporIP,soavaliadasna
ordememquesoespecificadas(ouseja,naordemqueaparecenateladeconfigurao).
Pgina171de212

Quandohumacesso,asregrassoavaliadas.Cadaregraavaliadadeacordocomsuaprecedncia.
Casoumaregratenhaumaespecificaodehorrio,aregrasconsideradaseohorrioatualestiver
dentrodoshorriosdescritosnaregra.Setiverespecificaodehorrioeohorrioatualnoestiverdentro
daespecificaodehorrio,aregrapuladaeaavaliaocontinuabuscandooutraregra.
Senenhumaregrabater,oacessoserliberado.Umavezqueumaregratenhabatido,oacesso
verificadodeacordocomoqueestespecificadonestaregra.Ascaractersticassoverificadasdeacordocom
outralistadeprecedncia:
customlists>tudobloqueado/liberado>whitelist/blacklist>listasdecontedo
Quandonomesmonvelvoctiverumacontradio,comoporexemplo,umaentradanawhitelistena
blacklistouemcustomlistsliberadasebloqueadas,valesempreoqueestnaliberada.Aliberaotem
precednciamaiorsobreobloqueio.
Traduodonomedecada
categoria:

advertisementbanners=anuncios
publicitarios

drugs=drogas

proxytunnels=Sitesdetuneisproxy

elearning=aprendizagem

recipes=receitas

entertainment=entreterimento

SearchEngine=sitesdebusca

esoterism=esoterismo

SectsandCults=seitasecultos

games=jogos

Shopping=compras

hacking=hackers

socialnetwork=redesocial(sitesde
relacionamentos)

airlines=companhiasaereas
animations=animaes
art=artes
health=saude
Sports=Esportes

auctions=leiles
jobsearch=buscadeempregos

TV=TV

Banking=bancos
magazines=revistas

Travelings=Viagens

blog=blogs
movies=filmes

Tutorials=Tutoriais

books=livros
music=musica

Video=Videos

car=carros
chat=batepapos

Nazismandhatecrimes=Nazismoe
crimesediondos

Violence=violencia

classfields=classificados

News=Noticias

Virtualcards=cartesvirtuais

comics=quadrinhos

Newspaper=Jornais

weapons=armas

curiosites=curiosidades

Pets=Animaisdeestimao

webportals=portaisweb

dating=encontros

photography=Fotografia

webmail=webmail

downloadssites=sitesdedownload

pornography=pornografia

Pgina172de212

Whitelist/Blacklist/CustomList

NestasopesiremosmostrarcomocadastrarumWhitelist,BlacklisteCustomListquepodem

ounoseremutilizadasnaspolticasdeacesso.

Comofazlo...

1
2
3
4
5

CriandoumaWhitelist,acesseaabaWhitelist
Cliquenocone+paraincluirumnovosite
Insiraaurldesejadanoformatopadro:HTTP://nome_site.com.br
Depoisinsiraumadescrio(Opcional)
CliqueemSAVE

1
2
3
4
5

CriandoumaBlacklist,acesseaabaBlacklist
Cliquenocone+paraincluirumnovosite
Insiraaurldesejadanoformatopadro:HTTP://nome_site.com.br
Depoisinsiraumadescrio(Opcional)
CliqueemSAVE

Pgina173de212

1
2
3
4

5
6
7

CriandoumaCustomList,acesseaabaCustomList
Cliquenocone+paracriarumanovaCustomlist
Insiraumnomeparasuacustomlist
EmURLs,insiraasurlsesitesquefaropartedestalistapersonalizada.Nestecampo
podemoscadastrlosnoformatopadro:HTTP://nome_site.com.broucomoexpresso
regular:*nome_site*,.nome_site.,nome_site...
Lembrandoquetodasasurls,sitesouexpressesdeverosercadastradoslinhaporlinha
Digiteumadescrio(Opcional)
CliqueemSAVE

MenudeConfiguraes/Settings

EstemenunostrazalgumasopesdoWebfiltercomoredirecionarapginadebloqueioparaum
servidorwebremotoouaindadesabilitarofiltrodascategorias.

Pgina174de212

1 Enablecontentfilter:estaopoqueredirecionarapolticadeacessoparaobancode
dadosdascategoriasselecionadas
2 Redirecttocustomurl:Estaopopermitiroredirecionamentodapaginadebloqueio
paraumaurlqueestejaliberadaouparaumapginapersonalizadaemseuservidorweb.
3 CustomURL:Insiraaurlquedesejaredirecionarapginadebloqueio.

FiltrodeProtocolos

EsteserviofuncionaapenasparaaplicaesquepossuemconfiguraodeProxyconfiguradaseque
necessitamdemonitoramentopeloProxy.

Comofazlo...

1
2
3
4

AcesseobotoProtocols
Cliquenocone+paraincluirumapolticadeprotocolos
Disabled:Opoparadesabilitarobloqueiodeprotocolosdepoisdecriada
Match:Nestaoposelecionamosondeseraplicadoapolticadebloqueiodeprotocolos.
OndeAll=todos,IPAddress=IP,IPRange=intervalodeips,Subnet=rede.
5 IPaddress:SevocselecionouaopoIPaddressemMatch,estaoposerhabilitada
parainseriroendereoIPaseraplicadaapolticadeprotocolos.
6 Range:SevocselecionouaopoIPRangeemMatch,estaoposerhabilitadapara
inserirointervalodeIPsaseraplicadaapolticadeprotocolos.
7 Subnet:sevocselecionouaopoSubnetemMatch,estaoposerhabilitadapara
inserirafaixaderedeaseraplicadaapolticadeprotocolos.

Pgina175de212

8 Action:AoaseraplicadoparaWebfiltertratarosprotocolos.OndeAllowalltraffic=
permitirtodotrafego,Blockalltraffic=bloqueartodotrafegoeBlocktheselectedprotocol
=bloquearosprotocolosselecionados.
9 Protocols:Selecioneosprotocolosdasaplicaesdesejadas,segureateclaCTRLpara
selecionarmaisdeuma.
10 Description:Insiraumadescrio(Opcional)
11 CliqueemSAVE

Agoraquetodososmenusestoconfiguradosvamospartirparaconfiguraodorelatrio.

Pgina176de212

ConfigurandoRelatriosparaoWebfilter

O menu relatrio possui configuraes para informar o local do banco de dados onde ser
gravadotodososacessosdosusurios.ImportantesaberquenosmodelosUTM3000,4000e5000o
bancodedadosMysqljveminstaladonoprodutoesuaconfiguraotambmjvemconfigurada.J
osmodelosUTM1000,2000e2500deveseinstalarobancodedadosemumservidorremoto.Segue
abaixoalistadeverseshomologadasdoMYSQLemcadasistemaoperacional:
WindowsXPeWindows2003Server:MYSQLServer5.1.56
Windows7,WindowsVistaeWindows2008Server:MysqlServer5.5.9,MysqlServer5.5.16,Mysql
Server5.5.17ousuperior
SistemasoperacionaisLinux,FreebsdouUnix:Qualquerumadasversesacima

EmseguidaacesseoMYSQLClientqueinstaladojuntoaoserver.
InsiraocomandoabaixoparadaracessoremotoecriarousuariowebfilterparaqueoUTMpossa
acesslo:

grant all privileges on *.* to "webfilter"@"%" identified by "webfilter" with grant option;
flush privileges;

Comoconfiguralo...

1 AcesseomenuWebfilter|Reports
2 AcesseaguiaSettings
3 Databasefilter>Filteringoptions:Aquivocpodeselecionarentregravarembancoasextenses
dasimagensexibidasempginaegravaraurlcompletadositemaisasrefernciasdetodoslinks
contidosnosite.
4 Remotelogging>Useremotelogging:Selecioneestaopoparahabilitaragravaoderelatrios.
5 Servertype:Tipodebancodedadosasergravadoosrelatrios.DisponivelapenasemMYSQL.
6 Serveraddress:EndereoIPdoservidordebancodedados
7 Serverport:Portanoqualobancodedadosresponde

Pgina177de212

8 Serveruser:Usuariocriadonobancodedadoscompermissodeacessoparagravarosrelatrios
9 Serverpassword:Senhadousuriodebancodedados
10 Serverdatabase:Nomedadatabasedobancodedadosondeserogravadososrelatrios
11 CliqueemSAVEparaaplicarasconfiguraes

VejatambmadiconandoopacoteDATACLICKAgent
VejatambmconfigurandooDataclickClient

Pgina178de212

AdicionandoopacotedoDataclick
Sepreparando...
PrimeiramentetemosqueinstalaropacotedoBluepexDataclickAgentantesdecomearainstalao
doDataclickClient.

Comofazlo...
1.
2.
3.
4.

5.
6.
7.
8.

VaSystem|Packages
CliquenaabaAvailablePackages
Cliquenobotocomsmbolode+afrentedopacoteBluepexDATACLICKAgent
Aguardeatainstalaoserfinalizada

ApsfinalizadaainstalaoacesseomenuService|DataclickAgent
HabiliteaopoEnableBluePexDataclickAgent
EmseguidaselecioneainterfacedeondeoacessodoDATACLICKserrealizado.Ex:Lan
ClickemSAVEparaaplicar.

Pgina179de212

ConfigurandooBluepexDataclick
Sepreparando...

Antes de baixarmos o Bluepex DATACLICK precisamos definir o local onde ele ser instalado. O
Bluepex DATACLICK foi desenvolvido em JAVA e por esse motivo uma aplicao multiplataforma, sendo
possivel ser instalado em Windows e Linux, a nica exigncia ter a maquina virtual JAVA instalado no
sistema operacional. Por esse mesmo motivo devemos levar em considerao que uma aplicao JAVA
consome bastante memria RAM, onde equipamentos com pouca memria podem no garantir um
desempenhodesejadonomomentodeumapesquisaderelatrio.

Comofazlo...
1 AcesseomenuWebfilter|Reports
2 SelecioneaabaDATACLICK
3 CliqueemBaixarDATACLICK
4 Vocserredirecionadoparaapginadataclick.bluepex.com

5 CliqueemDownloadparabaixaroDATACLICK

Pgina180de212

6 SerosolicitadasinformaesdeemaildoclienteenmerodesriedoUTM

7 EmseguidacliqueemLogarseoseuloginforaceitoumnovobotoserexibido,casoamensagem
sejadeContatoInvalidosernecessrioentraemcontatocomnossosuportetcnicoeverificar
seucadastro.

8 AgoracliqueemDownload
9 Umajanelaparasalvaroarquivoserexibida

Pgina181de212

10 SelecioneAbrircomo:JAVA....edepoiscliqueemOK
11 AguardeamquinavirtualJAVAiniciarefinalizarainstalao

12 Depoisdefinalizadaainstalao,cliquenoconeBluepexDataclicknareadetrabalho

Pgina182de212

13 Parainiciarmosaconfigurao,cliquenoSistema|Configuraes|CadastrodeUTM
14 Serosolicitadasalgumasinformaesparaconfiguraodobancodedadosondeestogravados
osacessosdosusurios
15 Nome:descrioqueinformaonomedoUTMouequipamentoquetemoMYSQLinstalado
16 IPdoUTM:IPdoUTMouequipamentoquepossuioMYSQLinstalado
17 Usuario:nomedousuriodobancodedados
18 Senha:senhadousuriodobancodedados
19 UTMPadro:Selecioneestaoposevocdesejaqueobancocadastradosejaoprimeironalista
derelatrios,umavezquesepodecadastrarinmerosbancodedadosquecontenham
informaesdeacessodoWEBFILTER
20 CliqueemTestarConexoparatestaraconexodoDATACLICKcomobancodedados
21 EmseguidacliqueemSALVAR

Pgina183de212

VisualizandoosRelatrios

AntesdeexibirmososrelatriosoDATACLICKpermitequeinsiramumLogotipojuntoaosrelatrios
geradosporele,paraissobastaseguirmososseguintespassos:
1 CliqueemSistema|Configuraes|CadastrodeLogotipo
2 BastaclicarnobotoSelecionarArquivoparaumanovajanelaserexibida

3 Selecioneumaimagemnosformatos:GIF,JPEG,JPGouPNGeemseguidacliqueemAbrir
4 SeaimagemforcarregadacomsucessoserpossvelvisualizalanaPrvisualizaodaImagem

Pgina184de212


5 AgoraqueoLOGOTIPOfoicarregadonoDATACLICK,cliquenoconeINICIOaoladoesquerdo
6 ODATACLICKseparaseusrelatriosemdiretriosquedividemasatividadesem:Usuarios,
DominiosouCategorias,eaindaumRelatrioResumidocomconsumototal
7 AntesdesolicitarmosapesquisaderelatriosoDataclickfazumaconexocomoBancodeDados
parachecarseoservioestarodandoeseaintegridadedosdadosestintegra.Eleapresentaum
conenoformatodeumaesferabemaoladodonomedaconexopadroquefoiconfigurada,sea
mesmafordecorVerdesignificaquetantoobancoeasinformaesestointegras,seacorfor
Amarela significa que o banco esta funcionando, porm as informaes no banco esto
incompatveiscomaversodoDataclick,pormmesmoassimoDataclickconseguirexibilasem
algunsrelatrios,jseacorforVermelhaindicaqueobancodedadosestaparadoouaindaque
aestaoondeestainstaladooDataclicknoconsegueconexocomobancodedadosremoto.

Pgina185de212


8 Noprimeirodiretrioteremososrelatriosreferentesausuriosquenostrazosrelatrios:
AcessosporUsuariosSinttico,AcessosporUsuariosAnalitico,ConsumodeLinkporUsuarios,
AcessosporIPSinttico,AcessosporIPAnalitico,ConsumodeLinkporIP,Atividadespor
UsuarioseAtividadesporIP
9 SegueabaixoexemplosderelatriosdeAtividadesporusurio:

Pgina186de212


10 Nosegundodiretrioteremososrelatriosreferentesadomnioquenostrazosrelatrios:Sites
maisacessadosSinteticos,SitesmaisacessadosAnalitico,ConsumodeLinkporSiteeSitespor
usurios
11 SegueabaixoalgunsexemplosderelatriosdeAtividadespordomnios:

Pgina187de212


12 Noterceirodiretrioteremososrelatriosreferentesaatividadesporcategoriasquenostrazos
relatrios:AcessosporcategoriaeConsumodelinkporcategoria
13 SegueabaixoexemplosderelatriosporAtividadesporcategorias:

Pgina188de212


14 Depoisaindateremosumrelatrioresumidoqueinformaoconsumototaldebandautilizadopelo
Proxy.
15 Todososrelatriosapresentadospodemsersalvosemdiversosformatosdearquivosconformea
listaabaixo:
PDF
RTF
DOCX
XLS
CVS
JasperReports(jrprint)
HTMLeHTM
ODT
XML

Pgina189de212

A
MonitoramentoeRegistros

Nessecapitulo,iremosabordar:
PersonalizarateladeStatusDashboard
Monitoramentodetrfegoemtemporeal
ConfigurandoSMTPdeemaildenotificao
Vendooslogsdosistema
Configurandoumservidordesyslogexterno
VisualizaesdegrficosRRD
VisualizaesdemapeamentosDHCP
MonitoramentodefiltrodepacotescomPfInfo
MonitoramentodetrfegocomPfTop
Monitoramentodaatividadedosistema

Introduo

UmavezqueoUTMestainstaladoefuncionando,importantecompreenderamaneiracorretade
monitoramentodosistema.AprenderausaromonitordeStatuseferramentasdemedioconstrudaspelo
prprioUTMvaitornaravidadeumadministradormuitomaisfcil.Vamosdescreveraseguircomo
monitorarevisualizaramaioriadosrecursosdisponveisdentrodoUTM.

PersonalizarateladeStatusDashboard

AquivamosdescrevercomopersonalizareconfigurarateladeStatusDashboard

Comofazlo...
1. VStatus|Dashboard
2. Cliquenoboto+paraadicionarumnovowidget

Pgina190de212


3. Cliquenobotochaveparafazerconfiguraesespeciaisdowidget

4. Cliquenobotominimizarpararecolherowiget,oucliquenobotofecharpararemovero
widgetdatela.
Pgina191de212

5. Vocpodeclicarnotitulodowidgetearrastarparamudarsuaposionatela

6. CliqueemSaveSettings
7. CliqueemApplyChanges

Comoelefunciona...
OpaineldestatusentremuitosoutrosnovosrecursossoadicionadosnoUTM2.0.
Personalizandoopainelparamostrarasinformaesquesomentelheinteressa,aadministrao
ficamuitomaisfcil.Seconfiguradocorretamente,opaineldestatusficasendoanicapaginaque
vocprecisaacessarpararealizarmuitastarefascomuns.

Hmais...
Muitodoswidgetsdisponveisnopaineldestatustemumitemcorrespondenteaeleno
menuStatus

Monitoramentodetrfegoemtemporeal

VamosconfiguraromonitoramentodeentradaesadadetrfegoemtemporealnoUTM.

Comofazlo...
1. VaStatus|TrafficGraph
Pgina192de212

2. EmInterfaceselecioneainterfacequevocdesejamonitorar

Comoelefunciona...
OTrafficgraphmostraotrfegodeinformaesemtemporealdoquepassadainterfacepara
interface.Eatabelaadireitodotrfegomostraasinformaesdetrfegodecadadispositivoconectado
queestejausandonarede.

SeunavegadordevesuportargrficosSVG,eurecomendooMozillaFirefoxquejveminstaladode
padrononavegador,massevocpreferirusaroutronavegadorvocdeveinstalaroAdobeSVGViewer.

Vejatambm...
AdobeSVGViewer
http://www.adobe.com/svg/viewer/install/

ConfigurandoSMTPdeemaildenotificao
AquivamosdescrevercomoconfiguraroSMTPparaenviodeemailsdenotificao

Sepreparando...
EnviaremailsdoUTMrequeracessoaumservidorSMTP

Comofazlo...
1.
2.
3.
4.
5.

VSystem|Advanced
CliquenaabaNotifications
DigiteoIPouohostdoservidordeSMTPemIPAddressoftheEMailserver
DigiteaportaqueoservidordeSMTPusaemSMTPPortoftheEMailserver
DigiteoemailquevocestausandocomoremetenteemFromeMailaddress
Pgina193de212

6. DigiteoemailquevocquermandarasnotificaesemNotificationEMailaddress
7. DigiteonomedeusurioquevocusaparalogarnoemailderemetenteemNotification
EMailauthusername
8. DigiteasenhaquevocusaparalogarnousuriodigitaacimaemNotificationEMailauth
password

9. CliqueemSave
10. CliqueemApplyChanges

Comoelefunciona...
OUTMenviarumanotificaoporemailutilizandoasinformaesfornecidasparanotificaros
administradoresdeeventossignificativosdosistema

Hmais...
Umavezquenossasconfiguraessosalvas,umtestedeemailenviadoautomaticamente.Se
vocnoreceberotestedeemail,verifiqueoslogsdosistemaparamaioresinformaes.VStatus|
SystemLogs|naabaSystemprocureporalgorelacionadoaemails.

Pgina194de212

Vendooslogsdosistema

AquivamosdescrevercomovisualizaroslogsdeeventodoUTM

Comofazlo...
1.
2.
3.
4.
5.

VStatus|Systemlogs
CliquenaabaSettings
DeixemarcadoShowlogentriesinreverseorder(newestentriesontop).
CliqueemSave
CliquenaabaDHCPporexemploparavisualizareventosmaisrecentesdoDHCP

Comoelefunciona...

OUTMregistraeventossignificativoseregistralosinternamente.OmenuSystemlogspermiteveros
logsgeradosparaajudarasolucionarumavariedadedequestesadministrativas.

Nasseguintesseesdescrevemcomoconfigurarospontosdevistaalternativosfornecidospelolog
deeventosdofirewall.

Hmais...

Asinformaesdelogsocoletadaseexibidasparaosseguintesservios:
System
Firewall
DHCP
PortalAuth
IPSec
PPP
VPN
LoadBalancer
OpenVPN
OpenNTPD
Pgina195de212


Seoregistrodoslogsfeitoemumservidordelogexterno,nohavernenhumdadonessapgina.

ExibionormaldelogdoFirewall
EssaatelanormaldevisualizaodelogdoFirewall

ExibiodinmicadelogdoFirewall
EssaateladinmicadevisualizaodelogdoFirewall

Pgina196de212

ExibioemresumodelogdoFirewall
EssaateladeresumodevisualizaodelogdoFirewall

Vejatambm...
Configurandoumservidordesyslogexterno
Configurandoumservidordesyslogexterno

Configurandoumservidordesyslogexterno

AquivamosdescrevercomoconfiguraroUTMparausarumservidorderegistrodelogexterno

Sepreparando...

ParaconfiguraroUTMparausarumservidorderegistrodelogexterno,nsvamosprecisardeum
servidorseparadoparafazeroregistrodoslogs.Aquivamosdescrevercomoconfigurarumsyslogemcada
umdosprincipaissistemasoperacionais.

Comofazlo...
1.
2.
3.
4.

VStatus|SystemLogs
CliquenaabaSettings
marqueaopoEnablesyslog'ingtoremotesyslogserver
DigiteoIPdoseuservidorexterno
Pgina197de212

5. Marqueostiposdeeventosquedevemsergeradosnoservidorexterno

6. CliqueemSave
7. CliqueemApplyChanges

Comoelefunciona...
UmavezconfiguradooUTMenviaroslogsdoseventosaumservidorexterno,emvezderegistralos
localmente.Essaumatimaoposevocquisersalvarmaisrecursosdelogsemumamaquinacom
capacidadedeHDmaior.

ExecutandoumserviodesyslogemumLinux/MacOS

QuasetodasasdistribuiesLinuxeMACjincluemumserviosyslogd.Visiteapagina
seguinteparamaisinformaeshttp://linux.die.net/man/8/syslogd.

ExecutandoumserviodesyslogemumWindows

FazendodownloadeinstalandoumServidorKiwiSyslogparaWindowsem
http://www.kiwisyslog.com.

VisualizaesdegrficosRRD

AquivamosdescrevercomoexibirgrficosRRDnoUTM.

Comofazlo...
1. VStatus|RRDGraphs
2. CliquenaabaSystem
3. VocpodeselecionaroGrafs,StyleePerioddeacordocomotipodedadosquevocquerexibir

Pgina198de212

Comoelefunciona...

OUTMregistraosdadosdosistemausandooconjuntodeferramentasopensourceRRDpara
apresentarosdadosgraficamentenatela.AnalisarosdadosdosistemausandoosgrficosRRDeumatima
maneirademonitoraresolucionarproblemasadministrativos.

OUTMpodeanalisareexibirasseguinteinformaesnoformatoRRD

System
NaabaSystemexibeinformaesdehardwarecomo:
Throughput
States
Process
Memory
All

Pgina199de212

Traffic
NaabaTrafficexibeinformaessobrearededetransfernciaparacadaumadasinterfacesdo
sistema.
Outbound
WAN
LAN
OptionalInterface(s)
OpenVPN
IPSec
All

Pgina200de212

Packets
NaabaPacketsexibeinformaesdepacotesdetransfernciaparacadaumasdasinterfaces

Outbound
WAN
LAN
OptionalInterface(s)
OpenVPN
IPSec
All

Pgina201de212

Quality

NaabaQualityreneeexibeinformaesdeperdadepacotesparacadaumadasinterfacesdo
sistema
Outbound
WAN
Gateway(s)
All

Pgina202de212

VPN
NaabaVPNvaiexibirasinformaesdetransfernciaVPN
OpenVPN
IPSec
PPTP
All

Pgina203de212

Personalizado

Escolhaqualquergrficoanteriorparaeditarcadaetapa

VisualizaesdemapeamentosDHCP

AquivamosdescrevercomovisualizarosmapeamentosDHCPdoservidor

Comofazlo...
1. VStatus|DHCPLeases

2. Porpadrosaparecemmapeamentos,ativoseestticos,paraverosmapeamentosexpirados,
cliquenobotoShowallconfiguredleases

Pgina204de212

Comoelefunciona...

QuandoforconfiguradocomumservidorDHCP,oUTMliberaIPparaqualquerdispositivoquefizera
requisio.EssapaginaaprimeirapaginaquetemqueservistaquandonoseconsegueaderirumIP.

AdicionandoummapeamentodeDHCPesttico
SevocverumIPnalistadeIPsequercadastraloparasempreessedispositivopegaromesmoIP,
entotemosqueadicionarummapeamentoesttico,parafazerissotemqueclicarnoboto+.

EnviodeWakeonLANnomapeamento

Severmosumdispositivoequeremosenviarumpacotemgico,podemosadicionarno
mapeamentoclicandonobotow.

Pgina205de212

Gerenciandoosservios

AquivamosdescrevercomogerenciarosserviosemexecuonoUTM.
1. VStatus|Services

2. SequiserreiniciarumserviocliquenobotoRestart

3. SequiserpararoserviocliquenobotoStop

4. SequiserstartarumserviocliquenobotoStart

Pgina206de212

Comoelefunciona...

OUTMgerenciaospacotesdeservios,podendoserinterrompidoseiniciadosdeforma
independente,tilquandoumadministradorquiserreiniciarumservioouderrubartodoosistema.

Monitoramentodefiltrodepacotescom
PfInfo

AquivamosdescrevercomoexibirinformaesdefiltrodepacotesnoUTM

Comofazlo...
1. VDiagnostics|PfInfo

Comoelefunciona...

Vocencontrarasseguintesinformaesapresentadassobrefiltrodepacotes
Estatsticassobreasinterfaces
Pgina207de212

Tabeladeestatsticasdoestado
Configuraesdelimitesdevelocidade
Estadodasregras
Contadoresdebytes

MonitoramentodetrfegocompfTop

AquivamosdescrevercomoexibirofluxodetrfegoemtemporealcomoutilitriopfTop

Comofazlo...

AdministradoresdesistemapodemusaroutilitrioPfTopparamonitorarotrfegoemtemporealda
bandaemuso.Osdadosapresentadosporesseutilitriopodemserapresentadosporqualquerumdos
seguintescritrios:

Bytes
Age
Destination
DestinationPort
Expiration
None
Peak
Packets
Rate
Size
SourcePort
Source

Monitoramentodaatividadedosistema

AquivamosdescrevercomomonitoraratividadesdosistemaUTM

Comofazlo...
1. VDiagnostics|SystemActivity

Pgina208de212

Comoelefunciona...

OsadministradorespodemmonitorarosistemacentraldoUTM,incluindoosseguintesrecursos:
OIDdoultimoprocesso(PID)
Cargamdia
Uptime
EstatsticasdeProcessador
EstatsticasdeMemoria
EstatsticasdeusodoSWAP

Listadepacotesdisponveis

Infelizmente,alistadepacotesdisponveisparaoUTMnomantidaonline.UmavezoUTM
instaladopodemosverospacotesdisponveisemSystem|Packages.
FIM

ArquivooriginalcriadoporChristopherPersaud
TraduoeProduoJeanZangerolimo
ColaboraoThiagoOricoeGuilhermeCorbini
Email:jean.zangerolimo@bluepex.com

Pgina209de212