Escolar Documentos
Profissional Documentos
Cultura Documentos
Tutorial Pfsense PDF
Tutorial Pfsense PDF
Tutorial Pfsense PDF
Tutorial
rial desenvolvido como requisito
parcial para aprovao na
n disciplina de
Redes de Computadores
Comput II (Prof.
Rafael Reale) do Curso Tc. em
Informtica,, Modalidade Subsequente,
do Instituto
tuto Federal da Bahia
Campus Valena.
O que firewall?
Firewall pode ser definido como uma barreira de proteo, que controla o trfego de dados entre
seu computador e a Internet(ou entre a rede onde seu computador est instalado e a Internet).
Seu objetivo permitir somente a transmisso e a recepo de dados autorizados. Existem
firewalls baseados na combinao de hardware e software e firewalls baseados somente em
software. Este ltimo o tipo recomendado ao uso domstico e tambm o mais comum.
Explicando de maneira mais precisa, o firewall um mecanismo que atua como "defesa" de um
computador ou de uma rede, controlando o acesso ao sistema por meio de regras e a filtragem
de dados. A vantagem do uso de firewalls em redes, que somente um computador pode atuar
como firewall, no sendo necessrio instal-lo em cada mquina conectada.
Outra medida muito usada so os filtros por portas e aplicativos. Com eles, o firewall pode
determinar, exatamente, quais programas do seu computador podem ter acesso ao link de
internet ou no. As portas de comunicao tambm podem ser controladas da mesma forma,
permitindo que as portas mais visadas pelos malware sejam bloqueadas terminantemente.
O firewall que trabalha na filtragem de pacotes muito utilizado em redes pequenas ou de porte
mdio. Por meio de um conjunto de regras estabelecidas, esse tipo de firewall determina que
endereos IPs e dados possam estabelecer comunicao e/ou transmitir/receber dados. Alguns
sistemas ou servios podem ser liberados completamente (por exemplo, o servio de e-mail da
rede), enquanto outros so bloqueados por padro, por terem riscos elevados (como softwares
de mensagens instantneas, tal como o ICQ). O grande problema desse tipo de firewall, que
as regras aplicadas podem ser muito complexas e causar perda de desempenho da rede ou no
ser eficaz o suficiente.
Este tipo se restringe a trabalhar nas camadas TCP/IP, decidindo quais pacotes de dados
podem passar e quais no. Tais escolhas so regras baseadas nas informaes endereo IP
remoto, endereo IP do destinatrio, alm da porta TCP usada.
Quando devidamente configurado, esse tipo de firewall permite que somente "computadores
conhecidos troquem determinadas informaes entre si e tenham acesso a determinados
recursos". Um firewall assim, tambm capaz de analisar informaes sobre a conexo e notar
alteraes suspeitas, alm de ter a capacidade de analisar o contedo dos pacotes, o que
permite um controle ainda maior do que pode ou no ser acessvel.
Firewall de aplicao
Este tipo de firewall mais complexo, porm muito seguro, pois todas as aplicaes precisam de
um Proxy. Caso no haja, a aplicao simplesmente no funciona. Em casos assim, uma
soluo criar um "Proxy genrico", atravs de uma configurao que informa que
determinadas aplicaes usaro certas portas. Essa tarefa s bem realizada por
administradores de rede ou profissionais de comunicao qualificados.
O que squid?
O Squid um servidor proxy que suporta HTTP, HTTPS, FTP e outros. Ele reduz a utilizao da
conexo e melhora os tempos de resposta fazendo cache de requisies freqentes de pginas
web numa rede de computadores. Ele pode tambm ser usado como um Proxy reverso.
O Squid foi escrito originalmente para rodar em sistema operacional tipo Unix, mas ele tambm
funciona em sistemas Windows desde sua verso.
Servidor Proxy
No cache so armazenados os objetos da Internet (ex. dados de pginas web) disponveis
via protocolo HTTP, FTP e Gopher num sistema mais prximo ao do cliente.
Os navegadores podem ento usar o Squid local como um servidor Proxy HTTP, reduzindo o
tempo de acesso aos objetos e reduzindo a utilizao da conexo. Isto muito usado
por provedores no mundo todo para melhorar a velocidade de navegao para seus clientes e
tambm em LAN que compartilham a mesma conexo Internet. Ele pode
fornecer anonimato e segurana dado ser um intermedirio no acesso aos objetos. No entanto a
sua utilizao pode gerar preocupaes a respeito da privacidade, pois o Squid capaz de
armazenar registros sobre os acessos, incluindo URLs acedidas, a data e hora exatas, e quem
acedeu.
A aplicao cliente (ex. navegador) dever especificar explicitamente o servidor Proxy que quer
utilizar (tpico para os clientes de provedores), ou poder utilizar um Proxy transparente, em que
todos os pedidos HTTP para fora, so interceptados pelo Squid e todas as respostas so
armazenadas em cache, dessa forma no sendo necessrio configurar o navegador.
Squid tem algumas funcionalidades que permitem tornar as conexes annimas, tais como
desabilitar ou alterar campos especficos do cabealho dos pedidos HTTP do cliente. Se isto
feito e como, controlado pela pessoa que administra a mquina que corre o Squid. As pessoas
que requisitam pginas numa rede que usa Squid de forma transparente podem no saber que
esta informao est a ser registrada.
importante lembrar que no existe uma frmula ou receita pronta que indique passo-a-passo
como o PfSense deve ser a configurado. Pois, tudo depende da necessidade da aplicao do
mesmo. Neste caso, estaremos, inicialmente, demonstrando a criao da mquina virtual,
depois a instalao do PfSense na mquina criada e, em seguida, mostrando de maneira
simples algumas configuraes bsicas para proteo de uma rede.
Requisitos:
A seguir descreve os requisitos mnimos de hardware para Pfsense 1.2.x. Observe os requisitos
mnimos no so adequados para todos os ambientes.
Live CD
CD-ROM
USB flash drive ou disquete para armazenar arquivo de configurao
Incorporado
512 MB carto Compact Flash
porta de srie para o console
Para instalar o servidor do Pfsense utilizaremos uma mquina virtual, ela simula atravs de um software
um outro computador dentro do sistema operacional presente na mquina real, essa tcnica se chama
virtualizao e utilizaremos o VMware Workstation para tal.
1- No VMware criaremos uma nova maquina virtual na aba File > New Virtual Machine
2- Na janela que aparecer, deixe marcada a opo Typical (recomended) e clique em Next
3-Na janela abaixo, caso a imagem do Pfsense seja esteja gravada no CD escolha a opo Installer disc
e insira o CD no seu drive, mas como no o nosso caso escolheremos a ISO que foi baixada no site do
pfSense clicando em Browse
4- Encontre a imagem salva e clique em Abrir
7- Aqui escolha o nome da sua maquina virtual e o local de instalao pode deixar o local padro.
8- Aqui se escolhe o tamanho do HD da maquina virtual. Como no necessrio muito espao para a
instalao do sistema operacional, destinamos apenas 20GB. Deixe a opo Store virtual disk as a single
fie marcada e clique em Next.
13- Configure a nova placa de rede como Bridged, como mostra a imagem abaixo:
14- Agora a maquina virtual possui 2 placas de rede, a rescem-criada e configurada como Bridged e a
que j existia por padro do pfSense. D um clique na placa que j existia e configure-a como Host Only
como mostra a imagem abaixo:
Em seguida clique em Close
15- Mantenha a opo Power on this virtual machine after create one clique em Finish
Instalao
16- A maquina virtual ser iniciada. Essa a tela inicial de instalao do PfSense, para instalar digite i .
Ateno: Voc tem apenas 8 segundos para escolher sua opo.
17- Neste campo escolha a opo Accept these settings para aceitar as configuraes padres.
Porque agente no quer mudar o vdeo nem o teclado.
17- Aps isso escolha uma das opes abaixo para instalar o Pfsense. A primeira opo Quick/Easy
Install, instala de maneira fcil e rpida. A opo Custom Install instala de maneira personalizada,
Rescue config. xml recupera as configuraes de uma outra instalao. Reboot reinicia, Exit sa da
tela de configurao.
Para esse tipo de instalao escolha a opo: Quick/Easy Install.
18- Em seguida, aparece uma tela de confirmao com a seguinte mensagem:
Aviso: Esta instalao ir apagar todo o contedo em seu disco rgido! Esta ao irreversvel, tem
certeza que deseja continuar?
Caso a instalao seja pelo Vmware no apagar as informaes em seu HD. Mas se a instalao for na
mquina real, certifique-se de fazer um backup do seus arquivos.
Aps isso clique em OK.
19- Em seguida aguarde o trmino da instalao.
20- Na tela de Install Kernel(s) selecione: Symmetric multiprocessing kernel (more thanone
processador) pressione: Enter. A segunda opo serve para instalar o kernel do sistema operacional
em dispositivos que no possuem sada de vdeo ou entrada para teclado. A terceira opo para
desenvolvedores que desejam fazer alteraes no cdigo.
21- Na tela abaixo avisa que sua mquina vai reiniciar, mas antes voc ter que retirar o cd e depois
clicar em Reboot. Como estamos instalando pelo Vmware, teremos que desconectar virtualmente.
22- Para isso clique no cd, no rodap do VMware e clique em desconectar. Em seguida volte a tela do
VMware e clique em Reboot.
23- Essa a tela inicial de configurao do PfSense. Nessa tela mostra as placas de rede instaladas,
sendo elas ( em0 e em1). E faz a seguinte pergunta ao usurio:Voc gostaria de configurar as redes
virtuais locais agora? (y;n). Nesse caso, digitaremos n.
24- Em seguida vamos desconectar o cabo da conexo com a internet e conectar para identificar a WAN.
Para isso clique no rodap do Vmware com o boto direito no cone de rede da bridge. E clique em
desconectar e logo em seguida conectar. Vai aparecer a seguinte mensagem na tela: - (em1: link state
changed to down) - (em1:link state changed to Up). Neste nosso caso a placa WAN em1.
25- Pronto, j identificamos quem a nossa placa WAN, digite em1 na tela para confirmar.
Como s temos duas placas a outra ser a LAN. Neste caso em0.
26- Digite em0 para confirmar a escolha.
27- Em seguida ir aparecer na tela as configuraes das placas. Sendo elas:
Wan -> em1
LAN-> em0
Depois aparece uma mensagem de confirmao, digite y , caso suas placas estejam configuradas
corretamente.
28- Nessa tela iremos alterar o endereo Ip da Lan. Digite sua opo. Nesse caso 2.
29- Como iremos alterar o Ip da Lan, digite o nmero 2 novamente, caso fosse da WAN seria 1, como
mostra a seguir:
30- Agora iremos digitar o ip desejado para nossa LAN. Nesse caso usaremos o seguinte Ip:
172.16.254.254. Pressione Enter em seguida.
31- Agora iremos escolher qual a mscara. Nesse caso ser 16 (Por padro). Mas dependendo do ip
digitado h as opes 24 e 8.
32- Logo em seguida aparecer uma mensagem: Voc deseja permitir o servidor DHCP na LAN?.
Digite y para confirmar.
33- Agora vamos configurar nossa faixa de endereamento IP. Comeando em: 172.16.0.100 e
terminando em 172.16.10.100.
34- Caso voc deseje converter a para HTTP da LAN para o webConfigurador do PFSense, digite y.
35- Pronto. Na tela ir aparecer uma mensagem de confirmao. Pressione Enter para continuar.
Iremos agora configurar nosso PC para aceitar o endereo IP que criamos isso ir criar uma conexo do
servidor para a mquina.
36- Abra as conexes locais do seu computador e procure a rede do Vmware.
Deixe a opo Allow DNS servers to be overriden by DHCP/PPP on WAN desabilitada, para que seja
utilizado apenas o servidor DNS selecionado acima.
47- Nos campos a seguir digite a nova senha de acesso do admnistrador do servidor.
Clique em Next.
48- Agora clique em Reload para o que sejam salvas as novas configuraes
49- Clique na segunda palavra here para continuar a configurao. (ou na primeira, para fazer uma
doao para a equipe Pfsense)
Instalao de pacotes
No pfSense possivel instalar novos pacotes, que adicionam novas funcionalidades ao servidor, vamos
aprender a instalar e configurar duas delas: Squid Como visto anteriormente ele tem a funo de proxy,
filtra conteudos da WAN que podero ser acessados na LAN e possui funo Proxy Cache, que
arnazena dados baixados da WEB no HD do servidor, para um acesso mais rpido atravs da rede local.
E o LightSquid que gera relatrios do squid.
Instalao concluda
54- Agora instale o Lightsquid, da mesma forma do anterior.
Configurao do Squid
55- Agora configuraremos o Squid para entrar nas suas configuraes v em Services> Proxy Server.
56- Na pagina do Squid escolha a interface LAN.
- Marque a opo Transparent Proxy para que no ter que informar o Squid na porta do navegador.
- Escolha o idioma dos avisos (Language- Portugus).
- Marcamos Alow users on interfaces para os usurios conectados interface selecionada no campo
"interface de Proxy 'ser permitido para usar o Proxy, ou seja, no haver necessidade de adicionar sub-
rede da interface para a lista de sub-redes permitidos.
- Escolhemos a porta (3128) Esta a porta do servidor Proxy ir escutar,
57- Gerenciamento do cache: O gerenciamento do cache uma ferramenta til para conexes de
internet lentas, pois armazena os ltimos dados baixados no HD do servidor, disponibilizando-os com
maior velocidade quando solicitados novamente.
- Na pgina do squid clique na aba Cache Mgnt
- Escolha o tamanho do disco reservado ao cache, (colocamos 1024mb).
- A memria RAM reservada ao cache (128mb).
- Tamanho mximo dos objetos armazenados (8192kb).
- E o tamanho mximo da memria RAM a ser utilizada por cada objeto (32kb [padro])
- Em (Memory replacement policy) escolha (GDSF) que poltica de substituio de memria determina
quais objetos so removidos da memria quando o espao necessrio.
- E em (Cache replacement policy ) escolha( LFUDA) que poltica de substituio do cache que
determina quais objetos so removidos da memria quando o espao necessrio.
58- Ainda na pagina do Squid, clique na aba controle de acesso (Access Control).
Nesta pagina voc pode determinar quais sites ou endereos IPs pode ou no ser acessados.
Neste exemplo bloqueamos o site google.com, logo os usurios no podero acess-lo.
Lightsquid
59- Para entrar na pagina de configurao do Lightsquid v em Status> Proxy report.
Relatrio detalhado.
Configurao Captive Portal (Portal de Autenticao)
62- Para acessar a tela do Captive Portal v em Services> Captive Portal.
63- Antes de tudo habilite este recurso, marcando Enable captive portal.
-Depois selecione a interface LAN para que a autenticao seja feita pelos usurios da rede local.
-Ative janela de logout, para que o usurio possa se desconectar, assim os minutos do seu Voucher no
sero gastos quando ele no estiver conectado.
-Escolha a pagina que o usurio ser redirecionado aps a autenticao.
-Altere a forma de autenticao (Authentication) para Local User Manager/Voucher
64- Para criar vouchers ou (Cdigos gerados para acesso a internet) v a aba Vouchers.
Clique em (Enable vouchers) para habilitar.
65- Para criar regras no vouchers Escolha quantos minutos cada ticket poder acessar e depois quantos
tickets deseja, coloque o nome da regra e clique em Save.
66- Para baixar os cdigos, volte para aba vouchers e clica no (i) ao lado da regra criada.
criada
Cdigos baixados
67- Tente acessar qualquer site, e uma janela como essa aparecer, pedindo o Voucher.
Insira um dos Vouchers criados no campo indicado e clique em continue.
68- Voc ser redirecionado para a pgina configurada pelo Captive portal.