Transcrição

Vamos dar início à configuração das regras dentro do pfSense, esse capítulo é importante para
entendermos a mecânica da criação das regras.

Vamos entender como criar regras para proteger a rede interna, e também verificar os acessos da
rede externa. Lembrando que, como já vimos anteriormente, temos o acesso inbound, que é da
rede externa para a interna, e o acesso outbound, que é da rede interna para a externa.

No nosso cenário, temos um servidor, que queremos proteger dos acessos da rede externa, e ao
mesmo tempo, temos que prover acesso do servidor para a internet:

Nessa imagem, devemos considerar que tudo o que está em vermelho é o lado inseguro do
firewall, e o que está em azul é o lado seguro.

Regras default

Será que conseguimos fazer acesso outbound? Ou seja, da nossa rede interna, acessar a internet?
Podemos testar isso no nosso servidor e ver que sim, conseguimos acessar tanto o protocolo
HTTP (porta 80), quanto o HTTPS (porta 443) e FTP (porta 21)! Mas como isso funciona, se
não criamos nenhuma regra no firewall? Aliás, sabemos que o conceito do firewall é bloquear
tudo, e liberar somente as exceções.

Podemos verificar isso nas regras, acessando o menu superior da interface web do pfSense e
clicando em Firewall -> Rules. Vemos que há duas abas, ou seja, podemos criar regras para a
rede externa (WAN) e rede interna (LAN).

Ao clicar na aba LAN, vemos que já há 3 regras criadas! Na primeira regra, vemos que é
permitido tudo o que estiver destinado ao LAN Adress (endereço de LAN, o IP 10.0.0.200), nas
portas 80, 443 e 22, por isso temos acesso à interface web (porta 443) e o SSH (porta 22), por
exemplo:

Mas essa prática não é a melhor, a melhor prática para administrar um firewall (principalmente
em ambientes corporativos) é ter somente algumas máquinas para acessá-lo, isto é, somente
alguns IPs podem acessar o firewall. Então podemos criar uma regra para que, ao invés de todo
mundo poder acessar o firewall, somente algumas máquinas (IPs) possam fazer isso (veremos
isso mais à frente).

As outras duas regras já criadas definem que tudo que tiver como origem a LAN net (rede
interna), de qualquer porta (representado pelo asterisco) pode acessar qualquer destino, em
qualquer porta. Por isso que do nosso servidor, temos acesso à internet, ou seja, se essa regra
não existisse, não teríamos acesso da rede interna ao servidor. Temos essa regra tanto para IPv4,
quanto para IPv6:

Então, quando instalamos o pfSense, ele por padrão já vem essas regras criadas para nos
facilitar, o acesso à internet é liberado, mas ninguém da internet pode acessar a rede interna, o
que já é uma grande proteção logo de início.
Criando apelidos

Antes de criarmos as regras, vamos acessar o menu superior da interface web do pfSense, e
clicar em Firewall -> Aliases. Esses apelidos nos ajudam bastante na hora de realizar o
mapeamento. Para não termos que ficar colocando toda hora os endereços de origem e destino,
entre outros, podemos criar apelidos para eles, e esses apelidos serão utilizados dentro das
regras.

Nas regras, vimos que há alguns apelidos criados, como LAN Adress e LAN net. Então vamos
criar mais alguns, primeiro para o nosso servidor, clicando em Add, e preenchendo alguns
campos.

Podemos colocar Server_teste no nome, por exemplo, uma descrição qualquer e o tipo Host(s).

No campo IP or FQDN, colocamos o IP do servidor, 10.0.0.100, clicamos em Save, e pronto, já
temos um alias para o servidor!

Mas após criar qualquer apelido, precisamos salvar essas alterações, clicando em Apply
changes:

Então no próximo vídeos, vamos criar as regras, dando a devida proteção para a rede interna.