Escolar Documentos
Profissional Documentos
Cultura Documentos
Projeto iniciado em 2004 por Chris Buechler e Ullrich Scott, sendo que Buechler é atualmente o
CTO (Chief Technology Officer) traduzido para Diretor Tecnológico da BSD Perimeter. Scott, é o
arquiteto chefe dessa mesma empresa onde, além de cofundador, é o principal desenvolvedor
do pfSense. A BSD Perimeter é a empresa oficial de desenvolvimento das soluções de
segurança, suporte comercial e consultoria para Appliances Firewalls baseados em m0n0wall e
pfSense para o mundo todo.
O pfSense é baseado na então conhecida plataforma UNIX FreeBSD, ele possui um servidor
web e suporta aplicações em PHP, proporcionando uma interação amigável entre usuário e
sistema, chamada de Dashboard. Esse conceito de configuração em modo gráfico (WEBGUI)
utiliza os mesmos recursos de um serviço web. Essa ideia foi aproveitada do sistema m0n0wall,
seu irmão mais velho. Ele é uma versão reduzida de tudo que o UNIX FreeBSD possui de
essencial para tecnologias em rede; o m0n0wall ocupa pouco mais que 8Mb de espaço; por ser
um sistema tão reduzido, é possível ser gravado diretamente em pequenos dispositivos em
estado sólido (O silício) embarcados em Hardwares Appliances, podendo ser instalado também
em HDs ou Compact Flashes.
A criação do pfSense, utilizando o FreeBSD como base de sua construção, foi motivada pelo
fato de que este UNIX era o único que dominava a tecnologia wireless de forma bastante
avançada, possuindo até mesmo suporte à criptografia do tipo WPA2, o que não era possível
em outros sistemas na época. A opção por um BSD foi muito bem sucedida, principalmente
porque o pfSense herdara a pilha TCP/IP da família de sistemas UNIX, que é considerada a de
melhor performance e a mais robusta já existente. E não era pra menos, pois ela foi criada na
própria plataforma BSD (Berkeley Software Distribution) para suprir as necessidades da então
extinta ARPANET, hoje a Internet, tornando-se um padrão mundial.
O sistema pfSense utiliza a mesma licença da família BSD, que por sua vez é baseada em
código aberto, possuindo poucas diferenças comparadas com as impostas por licenças como a
GNU/GPL e a Copyright, ao ponto de poder ser chamada de licença de domínio público. É
possível encontrar o termo da licença no site oficial da comunidade.
Apesar do pfSense ser um Unix não é necessário que o usuário seja expert nesta modalidade
de sistema. Por ser um sistema pré-programado, basta apenas que, após a instalação sejam
adicionadas as configurações necessárias utilizando um navegador web; todavia, o utilizador
deve possuir conhecimentos em protocolos e segurança de rede para configurá-lo
corretamente.
Para configurar este tipo de sistema não é necessário estar na presença do servidor, é possível
fazê-lo remotamente, bastando digitar o IP pré-configurado na barra de endereço de um
navegador web, quando será solicitado login e senha; após a autenticação, receberá a
Dashboard, ou painel de controle do sistema.
Por esse motivo o equipamento onde o pfSense foi instalado sequer precisará de um monitor,
teclado ou mouse, podendo ser acessado remotamente, de onde se fará toda configuração e
monitoramento do mesmo.
Além disso tudo, ainda é possível encaminhar os emails a uma terceira verificação antispam
como, por exemplo, mailscanner ou policydv2.
Para instalar o Postfix Mailrelay, por hora, faça isso pela shell texto com o comando:
# pkg_add -r MailScanner
Nota importante: NUNCA tente instalar o pacote policydv2 do freebsd, ele vai acabar com seu
pfsense. Se você planeja usar o policyd, faça isso em outro servidor ou em um jail.
Todas as opções da GUI tem links para o site do postfix(caso seja necessário entender melhor o
recurso que esta habilitando).
Habilita o serviço
Define em quais interfaces você vai usar
Define aonde você quer os logs
Configura os domínios locais
O pacote do mailscanner ainda está em desenvolvimento mas, assim que estiver pronto vai
oferecer ainda mais recursos na luta contra o SPAM.
Na aba ‘XML RPC SYNC’ você replica as configurações do postfix para quantos
pfsenses você quiser.
HAVP e SQUID
HAVP (HTTP Proxy antivírus) é um Proxy com um scanner do ClamAV antivírus. Os principais
objetivos são persistentes, sem bloquear downloads e com escaneamento suave do tráfego
HTTP. Ele pode ser usado com o Squid ou Autônomo.
HTTP Antivírus Proxy (Stopped) é o serviço principal do Antivírus, o Proxy em si, que depende
essencialmente da base de dados do Clamav e seu Motor (Engine). Antes de fazer o download
da base de dados do Clamav, para que o Serviço funcione, deve-se configurar o HAVP.
Aba HTTP Proxy e, na primeira opção Enable, cheque a caixa de seleção “Check this for enable
Proxy”.
Certifique-se que o HAVP está integrado ao Squid em Proxy Server: General setting, na opção
Custom Options no pé da página.
Setup
Squid:
Desativar proxy upstream (também auto-desativado por HAVP)
HAVP:
Selecione o modo Proxy campo como Parent for Squid e Save
Varrer o cache Squid com Antivírus: scanner de arquivo para a remoção de vírus em cache.
Se o planejamento para utilizar o modo Proxy Transparente: Squid transparente
(não exclua nenhum Squid Custom Options se existirem)
Setup
Squid:
Proxy Transparente off/ unchecked
Desativar X-Forward unchecked
Desativar VIA unchecked
HAVP:
Se proxy transparente é desejado, Selecione "Transparent" para o Modo de Proxy HAVP.
HAVP campo proxy pai (endereço LAN IP: squid port) ex. 192.168.0.1:3128
HAVP reenviar endereço IP verificado
Normalmente, os logs HAVP com Squid em vez de exibir endereço clientes exibi endereço
127.0.0.1. Como corrigir isso:
Squid:
Desmarque a opção Disable X-Forward
Desmarque a opção Disable VIA
Salve
HAVP:
Verifique Enable Forwarded IP
Salve