CONHECENDO E CONFIGURANDO O

PFSENSE PARTE 2

Aps a configurao bsica do sistema Pfsense (que aprendemos no

primeiro post da srie) vamos agora partir para outras configuraes
de rede do seu Pfsense antes de entrar na parte de firewall do
servidor.
Caso voc tenha mais de uma placa de rede ligada ao seu servidor
voc pode us-la para configurar uma DMZ ou LAN. Nas verses
anteriores do pfsense no era possvel fazer a instalao do sistema
se voc tivesse somente uma interface, porm isso hoje possvel. O
limite de placas de rede que voc pode ter delimitado pelo nmero
de slots do seu servidor/computador.
Atravs da interface web voc pode gerenciar suas interfaces, para
isso v em Interfaces Assignments.

Configurando Interface LAN

Para configurar sua LAN v em INTERFACE LAN, marque Enable

Interface, escolha o tipo de endereamento em Type,e logo abaixo
configure seu escopo de rede com endereo e mscara de rede.

Aqui voc pode configurar quantas interfaces LAN voc quiser, neste
passo mostrei a configurao de apenas uma rede LAN.
Se voc desejar pode configurar uma DMZ (zona desmilitarizada)
como uma interface opcional. A ideia de se usar DMZ que voc
pode permitir a passagem de trfego direto ou no pelo seu firewall,
pois a DMZ pode ser controlada separadamente de outras reas da
sua rede interna. Por exemplo, em sua DMZ voc pode permitir que
entre trfego inseguro para acessar sites na internet, a sua LAN
tambm poder acessar esse trfego inseguro atravs da sua DMZ,
porm a sua DMZ no est autorizada a acessar o trfego interno da
sua LAN, pois ela somente ir permitir acesso externo (WAN) e acesso
a partir da LAN, mas as requisies vindas da internet no tero
permisso de enviar trfego para sua rede LAN. Isso ir permitir que
as requisies vindas da internet para acessar recursos da sua DMZ
(websites, e-mail, assim por diante) no enxerguem sua rede interna
(LAN).
Para configurar sua DMZ como interface opcional v em Interfaces |
OPT1, marque enable interface, d a descrio da interface
como DMZ, por exemplo, e escolha o tipo de conexo
em Type, configure o escopo de rede da sua DMZ em IP
Address. Aps salve as configuraes.

Configurando Servidor DHCP

O PfSense s pode ser configurado como um servidor de DHCP se a
interface estiver com endereo de ip esttico. O Exemplo abaixo
aborda configurar o servidor DHCP para a interface DMZ. Para isso v
em Services | DHCP Server, selecione a aba DMZ e
marque Enable DHCP Server on DMZ interface. Selecione
o Range de IPs que os clientes podero usar. Clique em Save para
salvar e habilitar o servio de DHCP. Clique em Apply Changes, para
que as alteraes entrem em vigor.

Configurando Servidor DNS

Voc pode especificar manualmente qual DNS ser atribudo para
seus clientes de rede.

Se voc no configurar o servidor DNS o Pfsense ir atribuir o DNS em

uma das duas formas:
1) Se o DNS forwarder estiver habilitado, o DNS vai ser o IP da
interface local do PfSense, isso porque o DNS Forwardertorna a
prpria maquina PfSense em um servidor DNS.
2) Se o DNS forwarder estiver desabilitado, ento devero ser
configurados em General Setup os endereos de DNS, e se Allow
DNS server list to be overridden by DHCP/PPP on WAN estiver
habilitado em General Setup os servidores DNS sero obtidos
atravs da porta WAN.
Gateway
O gateway das maquinas clientes por padro ser o ip da interface
local usada como servidor de DHCP, mas isso pode ser mudado se
necessrio.
Default Lease Time
um valor que pode ser usado para especificar um tempo mnimo
que expire o acesso por DHCP. O tempo padro 7200 segundos
Maximum Lease Time
um valor que pode ser usado para especificar um tempo mximo
para que expire o acesso por DHCP. O tempo padro 86400
segundos.
Failover Peer IP
um sistema que pode configurar um endereo de ip que sirva como
Fail-Over de balanceamento de carga. Veremos como fazer
balanceamento de carga em outro posto deste tutorial.
Existem ainda outras configuraes de DHCP/DNS disponveis no
Pfsense, tais como, servidor dedicado de DHCP/DNS, DHCP com
mapeamento esttico, DHCP relay, que retransmite pedidos de IP de

outro domnio, DNS alternativo, DNS Forwarder e DNS dinmico,

porm no estarei mostrando a configurao destes servios pois a
idia aprendermos a configurar as regras de firewall e
balanceamento de carga disponveis no Pfsense. Caso algum queira
dicas de como funcionam estes servios a posso mostrar como so
feitas estas configuraes.
Aps estas configuraes de rede vamos ento configurar o acesso
por SSH no nosso pfsense e gerar chaves RSA.

Habilitando o Secure Shell

(SSH)
SSH um protocolo de rede que permite comunicao criptografada
entre dois dispositivos. Habilitando o SSH ser permitido o acesso
seguro para a console do Pfsense remotamente. Como todos os
servios do Pfsense, o SSH ir ouvir em cada interface disponvel no
seu sistema e estar sujeito s regras de firewall usadas para permitir
ou bloquear acesso a esse servio.
Para habilitar o SSH v em System Advanced Secure
Shell. Marque a opo Enable Secure Shell. Em SSH Port voc
pode especificar a porta de comunicao que ser usada para
requisies SSH, se voc deixar em branco ser usada a porta padro
22.
Voc ser solicitado a fornecer credenciais quando se conectar
remotamente por SSH, essas credencias so as que voc usa para se
conectar na interface web.

Se voc marcar Disable password login for Secure Shell, isso ir

permitir que voc use chave RSA para se conectar por SSH. Mudar o
mtodo de autenticao do SSH para usar chaves RSA uma tima
maneira de proteger acesso ao seu sistema. Alm disso voc pode
alterar a porta em que o servidor escuta o SSH aumentando ainda
mais a segurana do seu sistema.

Gerando Chaves Autorizadas

RSA
RSA um algoritmo de criptografia de dados. O RSA envolve um par
de chaves, sendo uma chave pblica, que pode ser conhecida por
todos e uma chave privada que deve ser mantida em sigilo. Toda
mensagem cifrada usando uma chave pblica s pode ser decifrada
usando a respectiva chave privada. A criptografia RSA atua
diretamente na internet, por exemplo, em mensagens de e mail, em
compras on-line, etc. Esse trfego de informao codificado e
recodificado pela criptografia RSA.O administrador do servidor pode
adicionar uma chave publica de clientes em seu sistema, e atravs
desta chave o cliente pode se autenticar no servidor sem precisar
digitar uma senha.
Autenticao de chave RSA mais usada com acesso SSH, e muitas
vezes se referem a ela como Chaves SSH, o que no certo. Chave
RSA uma forma de segurana que tambm pode ser usada em SSH.
Embora seja muito usada em SSH ela tambm pode ser usada em
VPN, VoIP, FTP, etc.

Para se conectar ao Pfsense atravs de uma chave RSA preciso que

usurios de sistemas Linux e MAC tenha instalado o servio sshkeygen, e usurio Windows podem usar a ferramenta PuTTYgen.

Gerando Chaves em sistemas

Linux/MAC
Abrir o terminal e digitar:
ssh-keygen
A chave ser guardad no local padro /home/user/.ssh. Voc
pode especificar uma senha, mesmo que seja opcional muito
recomendado. Sua chave publica est localizada em
home/user/.ssh/id_rsa.pub

Gerando Chaves no sistema

Windows
Abra PuTTYgen e gere um par de chaves publica/privada clicando no
boto Generate. Digite uma senha (opcional mas recomendado) e
clique em Save Private Key.

Aps gerar a chave, selecione-a na caixa de texto, copie e cole em

um novo arquivo, como por exemplo C:\ChaveRSA.txt.

Configurando SSH com

autenticao de chave RSA
Vamos agora configurar o PfSense para usar uma chave RSA em vez
de senha para autenticao SSH. Quando um cliente se conectar por
SSH, no ser solicitado uma senha, ao invs disso, o SSH usar a sua
copia da chave publica RSA para enviar uma comparao com a
chave privada do cliente correspondente. Chaves RSA privadas
tambm podem ser salvas criptografadas na maquina do cliente. O
cliente SSH vai pedir uma senha para descriptografar a chave privada
antes de ser usada para autenticao com o servidor.

Certifique-se que voc j ativou o SSH e j gerou uma chave publica.

V at System | Advanced | Secure Shell e marqueDisable
password login for Secure Shell (RSA key only).

Edite o usurio que ir associar com a chave publica, para isso v

em System | User | Manager | Edit admin.
Cole em Authorized Keys a chave publica do cliente RSA. Certifiquese de que seu editor de texto no inseriu nenhum caracter ou ento a
autenticao ir falhar. Clique em Save

Acessando o Secure Shell

(SSH)
Aps a criao das chaves RSA nos sistemas Linux/MAC e Windows,
vamos acessar o console do PfSense.
O SSH j deve estar habilitado e configurado no PfSense. Usurios do
Linux, Mac tero o cliente SSH instalado por padro. Os usurios
Windows tero q baixar o PuTTY.

Conectando via SSH usando

cliente Linux/Mac:
Abra o terminal e execute:
ssh admin@192.168.1.1 (substitua pelo endereo IP do seu
servidor)
Se voc estiver usando a configurao padro, ento ser solicitado
uma senha.
Se voc estiver usando chave de autenticao RSA, voc vai ser
conectado diretamente ou ser solicitado a digitar uma senha
associada com sua chave. Se precisar especificar a localizao do seu
arquivo de chave privada, voc pode usar a opo i dessa forma:

ssh -i /home/xxxxx/key/id_rsa admin@192.168.1.1

Se voc configurou o PfSense pra usar uma porta diferente, voc
pode especificar usando a opo p, igual o exemplo a seguir:
ssh -p 123 admin@192.168.1.1, onde 123 o nmero da porta
SSH do seu servidor

Conectando via SSH usando

cliente Windows com o PuTTY:
Abra o PuTTY e digite o Hostame ou o IP do servidor. Especifique uma
porta alternativa se houver a necessidade, a padro 22. Se voc
usar a chave de autenticao RSA, procure o arquivo da chave
privada em Connection | SSH | Auth | Private key file for
authentication.

Voc vai se conectar e ser solicitado um nome de usurio. Voc vai

ter que digitar uma senha, ou se voc usar autenticao por RSA voc

vai ser conectado diretamente ou vai ser solicitado uma senha pra
descriptografar sua chave privada.
Bom, por enquanto isso no prximo post vamos ver a criao de
Alias, Regras de NAT port forward e criao de regras de firewall.