Transcrição

No menu superior da interface web do pfSense, acessamos novamente Firewall -> Rules, e

clicamos na aba LAN, para definir as regras do acesso outbound.

Vamos clicar no botão Add com a seta para cima, e detalhar a criação de uma regra.

Regras do Firewall

Na sessão Edit Firewall Rules, temos as regras gerais do firewall:

Action: selecionamos se queremos deixar passar, bloquear ou rejeitar o pacote.

Disabled: marcamos a checkbox caso queiramos desabilitar a regra, mas sem removê-la da
lista de regras.
Interface: escolhemos entre WAN ou LAN.
Address Family: escolhemos a versão do protocolo de internet que a regra se aplica.
Protocol: escolhemos qual protocolo IP essa regra deve corresponder.

Origem

Na sessão Source, temos as regras do endereço de origem:

 Source: selecionamos de onde vem o acesso, podemos escolher por exemplo a LAN net,
que representa a nossa rede interna, ou até um alias que criamos (Single host or alias),
nesse caso o alias precisa ser especificado no campo Source Address.
Display Advanced: esse campo pode nos mostrar o campo Source port range, onde
podemos definir uma porta de origem, ou até um intervalo de portas, que a regra atenderá.

Destino

Na sessão Destination, temos as regras do endereço de destino:

Destination: selecionamos para onde vai o acesso, podemos escolher por exemplo a WAN
net, que representa a rede externa (internet), ou até um alias que criamos (Single host or
alias), nesse caso o alias precisa ser especificado no campo Destination Address.
Destination port range: nesse campo definimos uma porta de destino, ou até um intervalo
de portas, que a regra atenderá.

Por exemplo, se não quisermos que o nosso servidor tenha acesso FTP à internet, podemos
selecionar LAN net como origem e a porta 21 (do FTP) como porta de destino.

Opções extras

Na sessão Extra Options, temos a opção de criar um log da nossa regra (lembrando que esse log
ocupará espaço de armazenamento no firewall). Também podemos criar uma descrição da regra
e mais algumas opções avançadas:
Entendendo o funcionamento da regra

Ao clicar em Save, a regra aparecerá na lista de regras, mas não podemos nos esquecer de
aplicar as mudanças (clicando em Apply Changes).

As regras possuem uma sequência, o pacote entra no firewall e vai percorrendo as regras, se ele
se encaixar em uma regra, ela fará o programado, se não se encaixar, o pacote irá para a regra de
baixo, então a ordem das regras é algo muito importante.

Para excluir uma regra, basta clicar na lixeira à direita da mesma, sem esquecer, mais uma vez,
de clicar em Apply Changes após a mudança. E para desabilitar uma regra, clicamos
no check verde (a regra ficará levemente fosca, demonstrando que a mesma está desabilitada).

Criando as regras

Sendo assim, podemos criar regras mais corporativas para o nosso firewall. Todas elas terão
como origem a rede interna (LAN net):

Uma regra com destino ao DNS primário do Google (8.8.8.8) e protocolo UDP, na

porta 53 (DNS).
Uma regra com destino ao DNS secundário do Google (8.8.4.4) e protocolo UDP, na
porta 53 (DNS).
Uma regra com qualquer destino e protocolo TCP, na porta 80 (HTTP).
Uma regra com qualquer destino e protocolo TCP, na porta 443 (HTTPS).

Assim podemos desabilitar as regras que permitiam todo e qualquer acesso do nosso servidor à
internet.