PF Sende

http://www.aiyonetwork.
com
www.centralit.com
http://www.aiyonetwork.com
Sumrio
1. Introduo
1.1
Segurana
1.2
pfSense
2. Instalao
2.1
Plataformas (LiveCD, Full Install, Embedded)
2.2
Requisitos
2.3
Processo de instalao
3. Anlise inicial
4. Configurao inicial (web)
4.1
Setup Wizard
5. Reconhecimento dos menus
5.1
Detalhamento dos menus
6. Interfaces de rede
6.1
Adicionar uma interface
6.2
Editar uma interface
6.3
Remover uma interface
6.4
Configurao da interface LAN
6.5
Configurao da interface WAN
7. Regras de acesso e bloqueio
7.1
Criao de regra
7.2
Editar, mover e desabilitar regras
8. Aliases
8.1
8.2
8.3
Criar Aliase
Editar Aliase
Remover Aliase
9. Network Address Translator (NAT) no pfSense

9.1
Utilizao do NAT no pfSense
9.2
Redirecionamento de portas (Port Forward)
2
9.3
9.4
Criao de NAT 1:1

NAT Outbound
10. IP Virtual
10.1
Configurao
11. Servios
11.1
11.2
11.3
11.4
11.5
11.6
11.7
11.8
Pacotes
Portal Captive
DHCP Server
DNS Forwarder
Load Balance
FailOver
Proxy Server
Snort
12. VPN
12.1
12.2
12.3
12.4
Conceito
PPTP
OpenVPN
IPSec
13. QoS
13.1
Traffic Shaper
14. Monitoramento
14.1
Link
14.2
Interfaces
14.3
pfTop
14.4
Ping
14.5
Traceroute
15. Backup/Restore
15.1
Backup
15.2
Restore
Crditos
Autor: Leonardo Damasceno
Correo: Leonardo Damasceno
Arte: Gustavo Brando
Contato: damasceno.lnx@gmail.com / leonardo.damasceno@centralit.me
Website: www.centralit.me
1. Introduo
A utilizao de um firewall em uma rede de computadores possui o objetivo bsico de
proteo relacionado a entrada e sada de dados.
Ao iniciar uma auditoria ou um breve levantamento de dados relacionados a integridade e
segurana destes, deve-se pensar em uma alternativa para a seguran dos ativos envolvidos
em uma empresa ou em qualquer ambiente organizacional.
1.1 Segurana
Os fatores bsicos para a aquisio de um firewall independente de qual seja, so

representados pela proteo da rede local relacionado a parte lgica com o trfego de dados.
Muitos estudiosos dizem que uma rede segura uma rede de computadores sem usurios.
Geralmente, os usurios ajudam a abrir brechas que at ento no existem, e isso feito de
vrias formas, como acessando e-mail com vrus, onde este abrir uma porta no computador
do usurio em questo.
Existem vrias falhas em softwares, que podem comprometer a rede de computadores como
um todo, para isso vrias combinaes de segurana podem ser feitas, como a adio de um
firewall junto a um sniffer de rede, onde a rede de computadores estar protegida com
regras pr-definidas e com um farejamento com ao de bloqueio para ameaas detectadas.
Estas no so as nicas formas de manter o foco da segurana em um ambiente, pois vrios
cases de sucesso possuem apenas um simples firewall (Simples no nome, e poderoso na
configurao), onde quem far o isolamento cada vez mais forte entre a rede local e a
internet ser o prprio administrador da rede, definindo as polticas e regras necessrias para
manter o ambiente.
impossvel manter 100% (Cem por cento) de disponibilidade para qualquer sistema ou
hardware, mas o que deve-se pensar que pode-se chegar perto disso, e quando maior o
potencial da rede de computadores maior a preocupao, ento a disponibilidade da mesma
necessita de uma ateno com a segurana da informao tornando a integridade dos dados
um fato.
1.2 pfSense
O pfSense um firewall e roteador utilizado para a restrio e liberao de dados na entrada e sada
de uma rede de computadores. Este um front-end para o pf (Packet Filter), firewall padro de
sistemas operacionals da famlia BSD.
O projeto pfSense teve seu incio em 2004 (Dois mil e quatro) como um fork do projeto m0n0wall,
porm mais focado em instalaes feitas em PC (Personal Computer). Ao longo destes anos, o
pfSense vem ganhando conhecimento do pblico da rea e atualmente encontra-se na verso 2.x.
Este firewall executado sobre o sistema operacional FreeBSD, e possui uma interface web que
torna o gerenciamento deste simples.
2. Instalao
2.1 Plataformas (LiveCD, Full Install, Embedded)
Live CD
A verso Live CD, d a opo para que voc utilizar o CD no boot, de modo que voc vai
acessar, configurare utilizar o PFSense, sem ter a necessidade de instalar o sistema em seu
HD ou Carto de memria. Isso til, principalmente para iniciantes que querem migrar de
firewall, pois eles podem conhecer melhor o sistema antes de instalar. O CD no utilizado
aps o boot completo, porm no recomendado que voc tire o CD enquanto o sistema
estiver funcionando.
Full Install
Quando o Live CD utilizado, existe uma opo para que o sistema seja instalado, essa
opo conhecida como Full Install. Aps escolher essa opo, todo o seu HD ser
sobrescrito, portanto se voc deseja instalar o PFSense em um HD ou Carto de memria,
verifique antes se o mesmo encontra-se vazio, ou com dados importantes. At hoje, no
suportada a instalao de outro sistema operacional no mesmo dispositivo em que o
PFSense esteja, pois, Dual Boot no suportado.
Embedded
recomendado a instalao embedded para cartes de memria, e outros dispositivos flash.
Esse tipo de instalao foi otimizada para executar o mnimo de escrita para o disco. Voc
pode instalar essa verso tanto no Microsoft Windows quanto no Gnu/Linux. Tambm tem a
possibilidade de instalar no prprio FreeBSD ou em qualquer derivado do Unix.
2.2 Requisitos
Os requisitos mnimos de hardware para instalao do pfSense, so:
CPU - 100 MHz Pentium
RAM - 128 MB
Requisitos mnimos para cada tipo de instalao:
Live CD
Unidade de CD-ROM
Unidade flash USB ou unidade de disquete para armazenar o arquivo de
configurao
6
Instalao em HD
CD-ROM para a instalao inicial
1 GB HD
Embedded
128 MB Carto Flash
Porta serial para o console
J na questo de compatibilidade de hardware, o PFSense suporta qualquer hardware que

suportado pela verso do FreeBSD em uso. Arquiteturas como PowerPC, MIPS, ARM,
SPARC no so suportadas at o momento. Atualmente, o PFSense trabalha com verses de
32 bits, porm na verso 2.0, ser suportado 64 bits.
2.3 Processo de instalao
Ao inserir o CD de instalao do pfSense, a tela abaixo ser visualizada dando incio ao
carregamento do CD Loader:
Ao aguardar alguns segundos para o carregamento do CD, a tela abaixo ser visualizada:
Por default a opo 1 (Um) ser utilizada se nenhuma outra for escolhida durante os 10
(dez) segundos de prazo. Caso seja teclado 1 (Um) tambm ser carregada a opo default.
Existem outras opes como por exemplo, possvel carregar o pfSense sem o suporte
ACPI, ou inici-lo em modo seguro (Safe Mode).
Ao carregar as pontuaes da opo escolhida na imagem acima, ser perguntado se
desejada a instalao do pfSense ou a utilizao dele atravs do prprio CD sem
necessidade de realizar nenhuma instalao:
Nesta parte, existem trs possibilidades de escolha:
R
Com essa opo possvel entrar no modo de recuperao.
I
Utilizando essa opo (geralmente a mais utilizada) o sistema ser instalado no
H.D existente no computador ou outro dispositivo escolhido.
C
Essa opo utilizada para continuar no modo Live CD, ou seja, o sistema no
ser instalado, continuar executando a partir do CD.
Uma alternativa a opo C simplesmente deixar o tempo acabar de espera, ento o CD

continuar a executar sem instalar nada.
Se a opo I for escolhida, a tela a seguir ser exibida para iniciar a instalao do pfSense:
Por padro, o pfSense deixa uma configurao bsica e funcional que em quase todos os
casos o usurio que est instalando o sistema no necessita alterar nada. Ento, ao iniciar a
instalao, escolha a opo Accept these Settings.
A prxima tela refere-se ao tipo de instalao, que pode ser customizada ou padro (Sendo
essa fcil e rpida). Esse tipo de instalao, fcil e rpida, representada pela opo
Quick/Easy Install como mostrado abaixo:
10
Um aviso exibido aps a tela acima ser mostrada, explicando que todos os dados sero
deletados do dispositivo (geralmente o H.D):
Neste ponto, basta escolher OK para prosseguir com a instalao, desta forma o pfSense
ser instalado, e pode-se acompanhar o andamento como na imagem abaixo:
11
Antes de finalizar a instalao, necessrio especificar uma informao sobre o processador

do computador em questo, pois customizado a utilizao do processamento por parte do
pfSense, ento a tela abaixo ser exibida:
Na maioria dos casos, a primeira opo escolhida Symmetric multiprocessing kernel

(more than one processor), onde est diz que existe mais de um ncleo para processar
(Como em um Core 2 Duo). Para finalizar, exibida a tela onde possvel realizar o a
12
reinicializao do computador, e j comear a utilizar o pfSense:
Ao escolher a opo Reboot o computador ser reiniciado, e o pfSense ser carregado, mas
antes necessrio visualizar as informaes para o primeiro acesso, que so exibidas na tela
abaixo antes de reiniciar:
Ao visualizar a tela acima, as seguintes informaes so vlidas:
13
IP de acesso
O IP de acesso por padro 192.168.1.1, ento antes de inserir o firewall na rede
local, recomendado verificar se este IP no est em uso para que no haja
nenhum conflito de rede.
Usurio e senha
O usurio para o acesso via web admin tendo a senha pfsense.
3. Anlise inicial
Ao iniciar pela primeira vez, feita uma anlise inicial pelo pfSense. So feitas algumas
perguntas iniciais, como por exemplo, qual placa de rede do computador em questo ser
voltada para a interface da rede local (LAN) e qual ser voltada para internet (WAN) e ainda
existe a opo de utilizar outras interfaces como WAN2, WAN3, DMZ e mais. Tambm
feita a pergunta, se desejvel a utilizao de VLAN, onde no recomendada a utilizao
desta inicialmente. Pode-se visualizar a questo das placas de rede abaixo:
No caso exibido acima, duas placas foram detectadas e reconhecidas como em0 e em1 com
suas respectivas descries de cada uma. Logo, feita a pergunta sobre a utilizao de
VLANs, o que recomenda-se que seja respondido n (No).
Depois de definir quais placas de rede sero alocadas para cada interface inicial, feita uma
reviso, em caso de erro basta teclar n (No) para voltar e refazer a configurao, ou teclar y
(Yes) para confirmar:
14
Depois de confirmar, a tela inicial com todos os menus ser exibida:
15
Essas opes so descritas abaixo:
Logout (SSH only)

Faz o logout, deixando o acesso liberado via SSH. importante frisar que aps
concluir os primeiros passos, voc no ter o SSH habilitado, necessrio acessar
o PFSense via web, criar a configurao bsica (Com o Setup Wizard), para ento
liberar o acesso atravs de SSH.
Assign Interfaces
Essa opo d a possibilidade de configurar novamente as interfaces (Lembrando
que elas foram configuradas ao longo da inicializao do Live CD).
Set interface(s) IP address

O PFSense geralmente utiliza o IP 192.168.1.1 para a interface LAN, com a
mscara 24 (255.255.255.0). Porm, com essa opo possvel definir o ip e
mscara para LAN e para a WAN (O que no era possvel em verses anteriores
para a interface WAN, apenas via web), para ento acessar via web o endereo
http://IPDEFINIDO e efetuar a configurao bsica. Ateno para o final da
configurao da LAN, onde perguntado se deseja configurar o DHCP para essa
interface, que no momento recomendado que voc responda no, utilizando a
tecla n. Ento, ele ir mostrar como acessar o firewall, com o endereo
informado, como no formato citado acima.
Reset webConfigurator password

16
Com essa opo o password para acesso interface web do PFSense ser
resetado. O password padro pfsense, assim, se voc acabou de instalar o
PFSense, utilize esse password para acessar, e usurio admin. Ao final do Setup
Wizard, recomendado que voc modifique o password (como pedido).
Reset to factory defaults

Para zerar as configuraes feitas at o momento, basta utilizar essa opo. Tudo
voltar para o ponto inicial, inclusive a senha de acesso.
Reboot system
Opo utilizada para reiniciar o sistema (Na interface de gerenciamento via web,
voc tambm tem essa opo)
Halt system
Para desligar o sistema, pode utilizar essa opo (Correspondente ao comando
halt do Gnu/Linux)
Ping host
Voc pode utilizar o teste de ping. Basta colocar o ip, aps escolher essa opo
Shell
Utilizando essa opo, voc tem acesso a linha de comando. Ser mostrado o
prompt, para que voc de fato acesse o sistema utilizando comandos do FreeBSD.
Porm, vale lembrar de que o PFSense um FreeBSD modificado, ento caso
voc no consiga utilizar um comando, provavelmente porque o comando foi
retirado pela equipe do PFSense
PFtop
Aqui, voc pode ter a visualizao em tempo real do estado do firewall, a
quantidade de dados enviados e recebidos e muito mais
Filter Logs
Com o filtro de logs, voc pode analisar o que acontece com o firewall (Tambm
existe essa opo na interface web, Status > System logs). Nesta opo utilizado
o software tcpdump, conhecido de muitos administradores de redes, e bastante
utilizado no Gnu/Linux
Restart webConfigurator
Essa opo vai resetar toda a sua configurao, mas apenas da parte do
gerenciador web Qualquer configurao feita no incio, como por exemplo:
Configurao do IP (LAN), Mscara. So as configuraes que so feitas via
terminal
17
pfSense Developer Shell

Linha de comando utilizada para a linguagem PHP. utilizada por
desenvolvedores e usurios experientes. Voc poder executar cdigos em PHP
no contexto do sistema que est funcionando
Upgrade from console

Voc pode fazer um update da verso do seu PFSense, basta ter uma URL ou o
arquivo para atualizao
Enable Secure Shell (sshd)

Habilita o acesso via SSH (Obviamente, se ele foi ativado). Vale lembrar, de que
o PFSense no utiliza o SSH ativo como default. Voc tem que acessar o menu
System > Advanced para ativar a utilizao do SSH
4. Configurao inicial (web)

Depois de realizar a configurao inicial o firewall estar funcionando, porm
recomendado que tambm seja feita a configurao via web, que pode completar algo que
tenha sido feito via modo texto. Para acessar o pfsense, basta digitar
https://IPDOFIREWALL ento ser apresentada a tela de login:
18
Como explicdo anteriormente, o login pode ser efetuado com o usurio admin e senha
pfsense, feito isso basta clicar em Login.
Ao efetuar login, o painel inicial ser exibido, mostrando informaes dos sistema, e seus
menus. Algumas das informaes mostradas no painel inicial so: Cpu, memria e
utilizao de disco, status das interfaces de rede e outros.
4.1 Setup Wizard
Para realizar o setup via web, existe o submenu Setup Wizard que localiza-se no menu
System. Este submenu ir guiar o usurio a realizar a configurao bsica, lembrando que
algumas opes j estaro preenchidas pois foram feitas no incio do pfSense.
Para iniciar, basta clicar em Next aps escolher o submenu Setup Wizard, ento a primeira
tela ser exibida:
19
As seguintes opes precisam ser preenchidas:
Hostname
Defina o nome para o seu firewall
Domain
Defina em qual domnio o firewall vai estar
Primary DNS e Secondary DNS Server

Defina o DNS primrio e secundrio. Neste caso, geralmente apenas o DNS
primrio preenchido, como em nosso caso
O campo Secondary DNS Server no necessita ser preenchido, porm caso exista um DNS
secundrio pode-se utilizar esse campo para especificar este.
A prxima tela refe-se a configurao do servidor de tempo, definindo data e hora do
pfSense:
20
O campo Time server hostname no precisa ser alterado, j o campo Timezone necessita
de alterao para o local onde o servidor se encontra. Como por exemplo America/Maceio.
Depois desta etapa, um dos passos mais importantes para o funcionamento do pfSense, que
a configurao da iterface WAN (Que foi definida qual placa de rede seria a interface
WAN na interface em modo texto, alocando cada placa de rede para ser WAN e LAN).
necessrio o entendimento sobre a interface WAN que utilizada para a sada at a internet
de sua rede local, portanto configure o IP correto e mscara correta.
necessrio preencher dois campos, e selecionar um. necessria a escolha, se a interface
ser DHCP, PPPoE, PPTP ou Static. Ento, para isso precisa-se conhecer como trabalha a
internet que chega at o firewall, que em nosso caso possui um IP fixo, ento em
SelectedType escolhe-se Static. Existe uma grande quantidade de campos, mas precisase escolher apenas o Tipo da interface, o IP/Mscara e tambm o gateway, que no exemplo
abaixo ficaram da seguinte forma:
SelectedType: Static
IP Address: 200.189.234.87
Mscara: 28
Gateway: 200.189.234.253
A imagem ilustra a configurao aqui feita:
21
Ao finalizar a configurao e clicar em Next, possvel configurar o IP da interface LAN

caso alguma modificao seja necessria ( vlido lembrar que esta opo tambm pode ser
modificada no modo texto):
No exemplo acima, o IP 192.168.1.254 foi utilizado com a mscara 24 (255.255.255.0).

Um dos ltimos passos redefinir uma senha, pois a senha pfsense logicamente no
confivel pois a padro:
22
Depois de definir a senha e repetir, ao clicar em Next, o ltimo passo clicar em Reload
para que as configuraes sejam aplicadas. Depois disso, basta agurdar 120 segundos ou
simplesmente acessar o endereo via web novamente.
5. Reconhecimento dos menus

Inicialmente, o reconhecimento dos menus se d atravs da primeira visualizao, onde a
barra superior exibida com estes:
5.1 Detalhamento dos menus

Com a visualizao destes, possvel detalhar os menus da seguinte forma:
System
Utilizado para configuraes relacionadas ao sistema (Como por exemplo, SSH,
nome, domnio, HTTPS, e outras possveis configuraes do sistema).
Interfaces
possvel definir quais placas de rede sero as interfaces de rede, e tambm
realizar a configurao destas, definindo IP, gateway e outras opes.
Firewall
Este o menu principal do pfSense, onde possvel definir quais regras sero
aplicadas, assim como a criao de conjunto de IPs, realizao de NAT (Em trs
tipos), controle de banda e outros.
Services
Todos os servios so alocados neste menus, tais como DHCP, redirecionador de
DNS e tambm grande parte dos pacotes instalados posteriomente como Squid,
Snort e outros.
VPN
Aqui so definidas como submenus as VPNs suportadas pelo pfSense, como
OpenVPN, PPTP e outros.
Status
Este menu bastante importante, pois relata o status de servios e do prprio
sistema.
Diagnostics
Os diagnsticos do sistema, de rede e de servios podem ser realizados atravs
deste menu, como a utilizao do Traceroute, Backup e at mesmo a visualizao
dos processos do sistema.
Help
23
O menu de Ajuda prov uma vasta documentao sobre o sistema.
6. Interfaces de rede
Uma placa de rede reconhecida como uma interface de rede na maioria dos sistemas
derivados do Unix. No Gnu/Linux (Derivado do Minix), uma placa de rede considerada
uma interface de rede, que nomeada de vrias formas, como eth0, wlan0 e outros tipos.
O pfSense considera uma placa de rede da mesma forma, sendo uma interface de rede, logo
a nomenclatura da mesma depende do fabricante. O reconhecimento das placas de rede mais
comuns, so detalhados abaixo:
Fabricante: Realtek
Modelo: 8129/8139
Reconhecida como: rl
Exemplo: Trs placas de rede adicionadas ao pfSense, so reconhecidas como:
rl0, rl1, rl2.
Fabricante: Intel
Modelo: Pro/100
Reconhecida como: fxp
Exemplo: Trs placas de rede adicionadas ao Pfsense, so reconhecidas como:
fxp0, fxp1, fxp2.
Fabricante: Intel
Modelo: Pro/1000
Reconhecida como: em
em0, em1, em2.
Fabricante: Broadcom
Modelo: Vrios
Reconhecida como: bge
bge0, bge1, bge2.
6.1 Adicionar uma interface

Ao adicionar uma placa de rede no computador onde o pfSense est instalado, pode-se
adicionar uma placa de rede de duas formas:
24
No modo texto
Ao escolher a opo 1 (Um), as interfaces sero alocadas de acordo com sua
escolha. A tela igual a primeira imagem da anlise inicial, porm existe uma
placa de rede a mais. Ento, feita a pergunta sobre a utilizao de VLANs, que
como foi dito anteriomente, o indicado responder que no, com a opo n.
Logo, as interfaces sero alocadas de acordo com as escolhas, como por exemplo
WAN, LAN e OPT1.
Via web
No menu Interfaces existe um submenu chamado (assign), onde possvel
modificar as placas de rede de acordo com as interfaces, e tambm possvel
adicionar uma nova interface se uma nova placa de rede foi inserida atravs do
boto
6.2 Editar uma interface

Para editar uma interface, basta ir ao mesmo menu citado anteriomente (Interfaces >
(assign)) para ento, alocar qual placa de rede ser a WAN, LAN e assim por diante caso
existam mais interfaces de rede.
6.3 Remover uma interface

A remoo de uma interface to fcil quanto adicionar uma, pois para realizar essa tarefa
basta clicar no boto
ao lado da interface desejada (Por exemplo, OPT1, OPT2).
6.4 Configurao da interface LAN
Essa interface utilizada para a rede local. Em um caso prtico simples, a rede ficaria por
trs dessa interface, assim, as regras de acesso para a rede e bloquei para a rede local seriam
configuradas nessa interface. No caso da configurao desta, so poucas opes, sendo
assim, percebe-se que no necessria uma configurao complexa bastando escolher o IP
da LAN, a mscara e depois confirmar, clicando em Save. Ao finalizar a configurao
inicial do Setup Wizard, a imagem mais abaixo mostra como exibida a tela de
configurao posterior, onde os campos mais importantes so preenchidos e explicados mais
abaixo:
25
Enable
Se esta opo estiver desmarcada, a interface no estar em funcionamento.
Description
Descrio da interface, que geralmente definida como LAN
Type
Na interface da rede local (LAN), geralmente definida como Static, mas existem
outras opes, tais como DHCP, PPPoE e outras.
IP address
Este o IP do firewall, onde este ser o gateway dos demais computadores da
rede local. Alm disso, existe a opo ao lado que utilizada para a definio da
mscara de rede.
26
6.5 Configurao da interface WAN

A interface WAN utilizada como sada padro para a internet, logicamente esta tambm
pode ser utilizada para uma determinada sada at outra rede. A configurao dela existe
alguns campos que sero explicados mais abaixo de acordo com a imagem a seguir:
Enable
27
Se esta opo estiver desmarcada, a interface no estar em funcionamento.

Description
Descrio da interface, que geralmente definida como LAN
Type
O tipo da interface depende do link de internet utilizado. Se por algum motivo um
link com PPPoE seja utilizado, pode-se definir este tipo neste campo Type, onde
ser necessrio especificar um usurio e senha para a conexo. Alm deste,
existem outros tipos de conexo como por DHCP. Porm, a opo mais utilizar
a Static, onde esta necessita da especificao do IP, mscara de rede e o gateway
respectivo.
IP address
Este o IP do firewall utilizado pela interface WAN. Caso seja liberado o acesso
externo atravs da internet, e uma regra libere este acesso, o IP utilizado ser o
que est sendo definido aqui. Alm do IP, necessrio definir a mscara.
Gateway
Este ser o responsvel direto por encaminhar qualquer requisio da LAN para a
internet. O gateway definido na configurao inicial (Setup Wizard), pois se
este no for definido a opo None (Nenhum gateway) ser a escolhida por
default, e consequentemente no ir realizar o encaminhamento para a internet
das requisies internas. Caso necessite adicionar um gateway ou mais, pode-se
utilizar o menu System > Routing, onde a aba Gateways lista, adiciona e remove
os possveis gateways.
Private Networks ( recomendado no selecionar as opes abaixo)
Block RFC1918 Private Networks
Esta opo adicionar uma regra na interface WAN para bloquear qualquer
acesso com destino a WAN vindo de redes privadas registradas, como
192.168.x.x ou 10.x.x.x.
Block bogon Networks
Quando essa opo marcada, existir um bloquei do trfego vindo de
endereos IPs reservados (Mas no da RFC 1918) ou ainda no definidos pela
IANA (Internet Assigned Numbers Authority).
7. Regras de acesso e bloqueio

As regras so um meio de controle do que pode e no pode ser acessado relacionado a
dados. Pode-se definir uma regra para cada caso, por exemplo, se necessrio que a rede
local no tenha acesso ao IP 200.200.187.20 apenas na porta 80, basta criar uma regra
especfica para isso.
Com o pfSense fcil criar, editar e remover regras pois este faz uma listagem bsica e
clara, lgico que isso ir depender do administrador do firewall em questo. Quando se tem
28
vrias regras, importante utilizar o campo Description, preenchendo com o texto bem
explicativo da funcionalidade de cada regra.
Em resumo, pode-se pensar em regras de firewall e associar automaticamente seguinte
frase: necessrio definir o que pode e o que no pode ser acessado nesta rede de
computadores.
Ao tratar diretamente com regras de acesso e bloqueio, o menu utilizado o Firewall >
Rules, onde neste possvel visualizar as regras existentes pelas interfaces, desta forma a
visualizao segmentada das regras se torna fcil. Neste mesmo menu, possvel criar uma
regra, editar ou at mesmo excluir.
Ao acessar o menu citado acima, a tela abaixo exibe o contedo padro deste menu (Se
existem apenas a interface WAN e LAN):
Se as opes ao final da pgina de configurao da WAN (Block RFC1918 Private

Networks e Block bogon networks) no foram desmarcadas, estas regras sero criadas. Note
que estas regras so da interface WAN, ou seja o que tiver origem da internet ou de onde a
WAN esteja.
Note que existe uma diferena das outras verses do pfsense para a 2.0 (Verses anteriores
1.2.2 e 1.2.3) sobre as abas para utilizao de regras. A aba Floating foi criada com o
objetivo de criar tipos especiais de regras, onde estas podem ser aplicadas em qualquer
interface (Apenas uma interface, duas, trs...) e tambm em qualquer direo
(Entrada/Sada) para configuraes de filtros mais complexos, porm quase nunca essa aba
ser utilizada.
Existem outras observaes a serem feitas, como por exemplo a questo dos sinais e dos
botes.
29
Na tela das regras, possvel observar vrios sinais na barra inferior com a explicao, e
estes so aplicados na esquerda das regras. Existe o sinal de pass (Regra feita para liberar),
block (Regra feita para bloquear), reject (Regra feita para rejeitar), log (Regra feita com a
inteno de armazenar log sobre a utilizao desta). Quando a respectiva cor de cada sinal
est mais fraco do que o normal ao lado das regras, significa que elas esto desabilitadas.
J os botes ficam na direita, e estes so utilizado para adicionar, mover, editar e remover
uma regra.
7.1 Criao de regra

Antes de criar uma regra, necessrio entender como funciona o mtodo de criao e a
lgica atravs do pfsense. Por padro, o pfSense j cria a sada atravs do NAT e uma regra
para que a LAN realmente consiga sair para qualquer local, inclusive para a internet.
Deve-se realizar um levantamento de informaes sobre a regra, como por exemplo em sua
funcionalidade de onde vem, para onde vai, quais so as portas, e qual o gateway.
Um exemplo bsico de uma lgica de regra, seria:
Protocolo
necessrio definir um protocolo para a regra, mesmo que esse protocolo seja
any (Todos os protocolos)
Origem
A regra pretende liberar o servidor de Backup para enviar cpia destes para um
local na internet, como forma de segurana. Logo, a Origem da regra ser
192.168.1.13 (IP do servidor de backup).
Porta de origem
Ao enviar a cpia dos backups a porta utilizada a 22 (Vinte e dois), onde neste
exemplo a cpia est sendo feita atravs do software scp do Gnu/Linux.
Destino
O servidor que recebe as cpias de Backup encontra-se na internet com o IP
200.199.142.27, ento este IP ser utilizado como destino.
Porta de destino
A porta de destino ser a mesma, mas vlido lembrar que este servidor precisa
aceitar conexes nesta porta, logo, se existir um firewall no destino a porta 22
precisa estar liberada para aceitar conexes nesta.
Gateway
Geralmente o gateway utilizado o default, de sada para a internet.
Ao recolher essas informaes, a lgica comea a ser construda, mas ento pode surgir a
30
dvida relacionada as abas. Bom, existem trs abas atualmente, Floating, WAN e LAN, e
qual deve-se usar? Para responder essa questo, lembra-se sempre da origem, ento qual a
origem? De onde vir o pacote? O servidor encontra-se na LAN, ento deve-se criar essa
regra na aba LAN, mas se a regra fosse por exemplo, parar liberar que uma mquina na
internet tivesse acesso a rede local do firewall teria ento que criar uma regra para a
liberao na aba WAN.
Esta regra seria visualizada da seguinte forma:
Os sinais anteriomente explicados podem ser visualizados a esquerda, onde a ao das duas
regras existentes de pass (Liberar).
A primeira regra default, e foi explicada anteriomente, onde esta tem o intuito de liberar
todo o acesso da LAN para qualquer lugar, e recomenda-se que esta seja removida. J a
segunda regra foi adicionada seguindo o exemplo citado acima.
Com toda a teoria, ser iniciada a prtica com a criao de uma regra, onde a explicao e
imagens sero divididas em duas partes, pois no pfSense 2.0 existem algumas configuraes
e o tipo de organizao diferente para a criao de uma regra quando comparado as verses
antigas:
31
A imagem acima ilustra exatamente como a primeira parte da criao de uma regra, os
campos e opes so explicados abaixo:
Action
Deve-se definir se a utilizao da regra ser para habilitar o acesso, bloquear ou
rejeitar. recomendado que se utilize a opo Block quando deseja-se bloquear o
acesso, pois essa opo ir dropar o acesso de forma silenciosa, enquanto a
opo Reject ir enviar uma resposta de negao TCP e UDP. J para liberar o
32
acesso, existe apenas uma opo, Pass.
Disabled
Se deseja-se que a regra seja adicionada, porm, no seja habilitada, pode-se
marcar essa opo.
Interface
Aqui pode-se definir a qual interface a regra ser aplicada.
Protocol
Defina qual o protocolo que ser utilizado para a regra. Pode-se utilizar any para
todos os protocolos.
Source
Precisa-se definir a origem da requisio, de onde vem o acesso. Pode-se definir
uma rede, apenas um host, o endereo da interface, a subnet de uma interface, e
at mesmo a opo any, para qualquer origem. Em Advanced pode-se definir qual
a porta de origem.
Destination
necessrio definir tanto uma origem como um destino para cada regra, mesmo
que seja any. Assim como na opo Source, voc tambm pode definir uma rede,
apenas um host, o endereo da interface, e a subnet de uma interface. Em
Advanced pode-se definir qual a porta de destino.
Log
Habilitando essa opo, qualquer pacote que passe por esta regra, ser
direcionado para o log do pfSense.
Description
Essa opo uma das mais importantes, pois se voc tem um firewall com vrias
regras, sempre bom definir uma descrio clara. Portanto neste campo de texto,
defina uma descrio para a sua regra. Voc pode utilizar at 52 caracteres.
A segunta etapa (Opes avanadas) no necessria, pois a maior parte da configurao

feita pelas opes definidas acima, mas de extrema importncia o conhecimento destas:
33
Source OS
Voc tambm pode definir que a regra ser aplicada, apenas para o sistema
operacional selecionado nessa opo.
Diffserv Code Point
utilizado como mecanismo para prov qualidade de servio (QoS) do trfego de
rede.
Advanced Options
Opo utilizada para uma maior especificao sobre as opes avanadas do IP.
TCP flags
Uma definio segundo o site oficial do pfSense : As subopes aqui so
controles de bits que indicam estados de conexes diferentes ou informaes
sobre como o pacote deve ser suportado.
State Type
Especifica um mecanismo de rastreamento de estado particular.
No XMLRPC Sync
Evita uma regra de sincronizar com outros membros CARP.
Schedule
Pode-se realizar um agendamento para a aplicao dessa regra, definindo os dias
e as horas.
Gateway
Pode-se definir o gateway para esta regra, onde este geralmente no alterado,
determinado por padro o gateway default.
34
In/Out
Defini-se filas alternativas e interfaces virtuais nesta opo.
Ackqueue/Queue
Especifica o reconhecimento alternativo de filas.
Layer7
Utilizado para identificar trfego na camada 7 (sete) do modelo OSI. Pode ser
acessado atravs dos menus Firewall > Traffic Shaper > Layer7.
7.2 Editar, mover e desabilitar regras

A edio de regras pode ser feita atravs do boto Editar, que representado pela letra E.
Para um melhor entendimento da utilizao de regras percebe-se os seguintes botes:
Os botes representam aes, e ficam ao lado das regras criadas. Acima de qualquer regra,
existem dois botes, Remover (Representado pela letra x) e adicionar (Representado pelo
sinal de +), abaixo vm os botes referntes as respectivas regras, que neste caso so duas.
utilizado um conjunto de quatro aes para cada regra como:
Mover
utilizada para mover uma regra para cima ou para baixo, sabendo que as regras
so interpretadas em ordem crescente.
Editar
Opo utilizada para editar a regra, sendo possvel modificar os campos definidos
na criao da mesma.
Remover
Remove uma regra existente.
35
Adicionar
Adicionar uma regra abaixo desta que foi utilizada com o conjunto de botes.
Ao final, existem mais trs botes, Mover, Remover, e Adicionar, onde estes so utilizados
para aes relacionadas ao final ou a todas regras. Ao clicar em adicionar, uma regra ser
adicionar ao final de todas as outras. Se o boto escolhido for o de remover, necessrio
selecionar a regra ou as regras. Para mover para baixo, utiliza-se esse boto do timo
conjunto.
Ao criar uma regra, a opo Disable this rule no selecionada, pois as regras so criadas
para entrarem em funcionamento. Ainda sim, se no foi desativada na criao, pode-se
desativar uma regra clicando no sinal de habilitado que representado por uma seta branca
com fundo verde a esquerda, e ao clicar a regra ficar cinza e seu sinal tambm,
significando que esta foi desabilitada:
Para habilitar a regra, basta clicar no cone que agora est cinza (pois a regra est
desabilitada) ao lado da regra. possvel notar tambm, que a regra acima (a primeira regra)
est habilitada.
8. Aliases
Aliases so utilizados como um nome para um conjunto de IPs, redes, portas, usurios
OpenVPN, urls e tabela de urls.
Um exemplo de sua utilizao seria criar um aliase com o nome bancos, onde seria criada
uma regra para liberao da LAN sem passar pelo proxy com destino ao alias bancos, onde
neste existiram vrios IPs dos sites dos bancos mais acessados, pois se no utilizar um alias ,
vrias regras sero criadas, sendo uma para cada endereo de cada respectivo banco. O
menu para criao, edio e remoo de aliases pode ser acessado atravs dos menus
Firewall > Aliases.
8.1 Criar aliase
36
Ao acessar o menu citado acima, pode-se criar um aliase clicando no boto com um sinal
+. Ento, as seguintes opes so exibidas para a escolha e preenchimento:
Name
Defini-se um nome para a utilizao deste, pois ao criar uma regra necessrio
especificar apenas o nome do aliase.
Description
indicado que a descrio do aliase seja bem definida e clara.
Type
Esta opo ir definir a opo abaixo, onde possvel criar um conjunto de:
Hosts
Pode-se especificar hosts para a aplicao de determinada regra. Um
exemplo seria a criao de um aliase com este tipo, especificando os IPs
dos servidores, pois estes no necessitam passar pelo proxy, ento teriam
acesso direto se na regra de criao a origem (Source) fosse especificada
com o aliase aqui citado.
Network
Utilizado para criar um conjunto de redes. Se deseja-se que a rede local
tenha acesso por exemplo a outras redes, pode-se especificar as possveis
redes neste aliase, e ento utilizar uma regra de liberao com origem
(Source) a partir da LAN e destino (Destination) para o aliase aqui citado.
Ports
Tambm possvel criar um conjunto de portas, como por exemplo se da
internet (Source) possvel acessar o firewall (Destination) nas portas
22,80,21, ento sero criadas trs regras, uma para cada porta se no for
utilizado um aliase.
OpenVPN Users
Pode-se criar um conjunto de usurios OpenVPN com apenas um nome.
URL
possvel criar um conjunto de URLs para a aplicao de regras atravs
de um alias.
URL Table
Tambm possvel especificar uma URL contendo vrios hosts, ou
qualquer outro tipo aqui permitido.
Campo de escolha
O campo de escolha varia com a opo selecionada em Type, logo os campos
abaixos so exibidos de acordo com a seleo feita:
Hosts
IP
Definio do IP que o alias ir representar
Description
Descrio do IP definido.
37
Network
Network
Neste campo definida a rede utilizada, como por exemplo
192.168.3.0.
CIDR
necessrio definir a mscara da rede definida no campo anterior.
Description
Descrio da rede definida.
Ports
Port
Porta utilizada na criao do Alise. Pode-se definir um range de portas
preenchendo este campo da seguinte forma 300:399, logo as portas
consideradas iro iniciar de 300 at 399.
Description
Descrio da porta definida.
OpenVPN Users
Username
Especifica-se o usurio utilizado na VPN neste campo.
Description
Descrio do usurio preenchido.
URL
URL
Este campo utilizado para definir qual a url que ser utilizada para as
regras futuramente criadas. Um exemplo seria www.google.com.br.
Description
Descrio da URL definida.
URL Table
URL
Defini-se uma URL com uma larga lista de endereos.
Update Freq.
definido neste campo de quanto em quantos dias ser feito um update na
URL especificada.
Description
Descrio da URL utilizada.
Depois de definir as opes para a criao de um aliase, basta clicar em Save e depois
aplicar.
8.2 Editar Aliase
Aps criar um aliase, a visualizao pode ser feita atravs do mesmo (Firewall > Aliases):
38
Existem os botes ao lado direito que realizam aes como adicionar, editar e remover
aliases. Para editar basta clicar em editar que possui a letra e. Aps clicar no boto, a
mesma tela de adio de aliases ser aberta para a edio deste.
8.3 Remover Aliase
Clicando no boto com a letra x, o aliase ao lado do boto ser excludo, portanto
importante ter noo do que est sendo feito para que um aliase com grande quantidade de
informao no seja deletado acidentalmente.
9. Network Address Translator (NAT) no pfSense

A utilizao do NAT em redes de computador algo bastante frequente, pois alm do
protocolo de internet Ipv4 no possuir IPs pblicos suficientes para todos os computadores
que hoje acessam a internet, os provedores nem sempre disponibilizam vrios IPs ao
finalizar um contrato e quando fornece o valor alto o suficente para fazer com que o
cliente prefira no ter esses IPs pblicos.
Qualquer computador que necessite acessar a internet precisa de um IP pblico, onde
atravs deste possvel se comunicar com outros computadores tambm na internet, porm,
como explicado anteriomente, existe uma dificuldade em suprir a necessidade de que todo
computador necessita de um IP pblico, pensando nisso foi criado o NAT, onde este realiza
uma traduo de endereos de rede para a sada at a internet e vice-versa.
Atravs do NAT, uma rede de computador 192.168.1.0 na mscara 255.255.255.0 pode
utilizar apenas um IP pblico para que por exemplo, 50 (cinquenta) computadores possam
acessar a internet sem a necessidade da utilizao de 50 (cinquenta) IPs pblicos.
Como dito anteriomente, o NAT trabalha em duas formas, sada e entrada. A sada
utilizada para a comunicao da LAN com qualquer computador existente na internet, e a
entrada (essa precisa ser configurada) diz que um IP pblico pode ser redirecionado para um
IP interno, um exemplo disso seria que um usurio na internet precisa acessar o site que est
hspedado na rede local em um servidor com o IP 192.168.1.5, sabendo que este IP no
pblico na internet, cria-se um NAT dizendo que por exemplo, o IP 200.199.145.20 ser
utilizado para redirecionar o usurio da internet para o IP interno.
39
9.1 Utilizao do NAT no pfSense

O pfSense automaticamente cria a sada padro (Outbound), desta forma s necessrio
configurar a entrada e quando preciso. Pode-se criar qualquer tipo de NAT no menu Firewall
> NAT, onde neste so visualizadas trs abas:
Port Forward
Pode-se efetuar um redirecionamento de portas atravs deste tipo de NAT. Assim,
especifica-se o IP externo (pblico) juntamente com a porta de acesso, o IP
interno com a porta interna. Um exemplo de utilizao seria com o IP
200.188.199.20 sendo acessado na porta 33, porm ser redirecionado para a rede
local, especificamente para o servidor de IP 192.168.1.19 na porta 22 (SSH).
1:1
Pronuncia-se um para um, onde necessrio especificar apenas um IP externo
(pblico) com sua respectiva mscara, e o IP interno. Ento todo trfego que
chegue at o IP pblico especificado, ser encaminhado para o IP interno
definido.
Outbound
possvel criar uma regra para a sada da LAN nesta aba, porm, como explicado
anteriormente, o pfSense j possui uma opo padro que serve justamente para
isso. recomendado que nada seja alterado nesta aba, mas caso seja necessrio
criar uma sada mais especfica.
9.2 Redirecionamento de portas (Port Forward)
Ao acessar o menu Firewall > NAT a aba Port Forward j selecionada por padro. Nesta
aba pode-se criar um redirecionamento clicando no boto add (com o sinal +), e as
seguintes opes sero exibidas para a escolha e preenchimento:
Interface
Selecione a interface onde a regra ser aplicada, geralmente sua interface de
sada, que por onde as requisies feitas pela internet chegam.
Protocol
Nesta opo, geralmente selecionado TCP, mas existem outras alternativas,
como UDP, TCP/UDP, GRE, ESP.
Source
possvel definir a origem da requisio atravs deste campo, assim como na
criao de uma regra.
Source port range
Pode-se definir a porta de origem ou um range de portas com incio e fim.
Destination
Destination port range
40
Redirect target IP
Preencha este campo definindo qual o IP local. Lembrando que ao tentar acessar o
IP externo, a requisio ser encaminhada para esse IP.
Redirect target port
Defina para qual porta a requisio ser encaminhada.
Description
Opo utilizada para inserir uma breve e clara descrio sobre a regra NAT
criada.
No XMLRPC Sync
Previne essa regra de ser aplicada a qualquer firewall redundante usando CARP.
NAT reflection
Essa opo utilizada para habilitar o redirecionamento de portas da interface
WAN para outras interfaces como a LAN. Geralmente utilizada a escolha
padro use system default.
Filter rule association
Com a escolha padro Add associated file rule, uma regra ser criada e
associada a esta regra NAT.
Um exemplo para criao mostrado na tela abaixo, onde foi determinado o destino como
192.168.1.10 que neste caso um servidor que poder ser acessado pela porta 22 (SSH)
atravs da internet. Foi utilizada o IP da interface WAN para o acesso:
41
9.3 Criao de NAT 1:1

Para este tipo de NAT so utilizados apenas dois IPs, um pblico e um privado sem a
necessidade de especificar qualquer porta.
42
As opes para a criao da regra NAT 1:1 so explicadas abaixo:
Interface
Interface utilizada para o NAT. Geralmente essa opo fica como WAN.
Source
Pode-se especificar a origem da requisio, porm, na maioria dos casos est
opo definida como any.
Destination
O destino definido como o IP interno para qual a requisio ser redirecionada.
External subnet
Neste campo definido o IP pblico. Os clientes na internet iro acessar este IP
para ento serem redirecionados para o IP interno.
Description
Este campo utilizado para definir uma breve e clara descrio sobre a regra
criada.
NAT reflection
Utilizada para o redirecionamento de portas, que neste caso no utilizado.
9.4 NAT Outbound

Para qualquer visualizao ou configurao de sada, pode-se acessar a aba Outbound que
fica no menu Firewall > NAT. Por padro, a sada feita automaticamente pelo prprio
pfSense, e possui a opo marcada por padro Automatic outbound NAT rule generation
(IPsec passthrough included).
Para realizar uma configurao manual de sada, a opo Manual Outbound NAT rule generation
(AON - Advanced Outbound NAT) marcada, logo necessrio salvar e aplicar essa alterao.
Pode-se visualizar abaixo em Mappings se existe alguma configurao, onde tambm possvel
adicionar uma nova clicando no boto add (com simbolo +). As opes a serem definidas so as
seguintes:
Interface
Interface utilizada para a traduo de endereo, geralmente esta opo utilizada como
WAN.
Protocol
Protocolo utilizado na regra para determinar que tipo de protocolo ser utilizado pela
origem, na maioria dos casos selecionada a opo any.
Source
Na origem pode-se definir uma rede, IP (utilizando a opo como Network e mscara de
rede 32) e any para qualquer origem.
Destination
necessrio especificar o tipo de destino, mesmo que esse seja any (qualquer destino).
Translation
43
A traduo pode ser feita para o IP da interface em questo, ou para um IP Virtual

definido.
No XMLRPC Sync
Evita uma regra de sincronizar com outros membros CARP.
Description
Descrio da regra de NAT Oubound criada.
Depois de realizar a configurao basta clicar em Save para salvar a regra.
44
10. IP Virtual
Ao utilizar um IP pblico, geralmente este precisa ser associado a uma interface de rede,
logo se necessita-se utilizar trs IPs pblicos ser necessria a utilizao de trs placas de
rede. Ao utilizar o pfSense no necessrio ter uma placa de rede para cada IP para utilizar
este como sada ou entrada de dados, existe uma opo conhecida como IP Virtual que faz
esta funo sem ter a necessidade de alocar uma interface de rede a um IP pblico.
O acesso ao menu de configurao feito atravs de Firewall > Virtual IPs, e a partir deste
pode-se visualizar a aba padro Virtual IPs e os IPs existentes, tambm possvel criar,
editar e remover qualquer um que esteja listado al. Atualmente existem trs tipos de IP
Virtual que podem ser criados:
Proxy ARP
Utiliza a camada 2 (dois) de trfego.
Pode ser redirecionado apenas pelo firewall.
Pode estar em uma subrede diferente da interface.
No responde a requisies ICMP.
CARP
Utiliza a camada 2 (dois) de trfego.
Pode ser utilizado ou redirecionado pelo firewall.
Deveria ser utilizado em cenrios FailOver ou Load Balance
Responde a requisies ICMP se configurado de forma correta.
Other
Pode estar em uma subrede diferente da interface.
No responde a requisies ICMP.
IP Alias
Permite adicionar endereos IP extras a uma interface.
Geralmente o primeiro tipo (Proxy ARP) o mais utilizado. Pode-se visualizar uma simples
configurao abaixo:
45
No caso acima, foi especificado um nico endereo, mas tambm pode-se utilizar uma rede
como por exemplo 200.199.145.0/28.
Todos os outros tipos de IP Virtual so configurados da mesma forma com exceo do
CARP, porm s possuem a opo de determinar um IP e no uma rede. Ao configurar um
IP Virtual do tipo CARP necessrio especificar um password para a utilizao deste no
campo Virtual IP Password, o nmero que compartilhado no campo VHID Group e a
frequencia em Advertising Frequency.
11. Servios
Por padro o pfSense oferece alguns servios que so disponibilizados a partir da prpria
instalao do firewall, estes so conhecidos como servios integrados. Com esta integrao
de servios o pfSense disponibiliza no s a funo bsica de um firewall e router mas
tambm um gerenciador de servios de rede, onde estes esto protegidos atravs das regras
criadas no firewall.
11.1 Pacotes
O pfSense disponibiliza diversos pacotes para serem instalados e integrados ao firewall,
como por exemplo:
Squid
Servio para proxy de rede.
LightSquid
Emite relatrios de utilizao do proxy.
46
Snort
Sniffer utilizado para verificao de ameaas.
FreeRadius
Utilizado para criao de autenticao centralizada.
Nmap
Pacote utilizado para realizao de scanners de portas e informaes sobre o alvo.
A visualizao dos pacotes disponveis s possvel se o acesso a internet est devidamente

configurado, e pode-se acessar estes atravs do menu System > Packages.
11.2 Portal Captive
Este servio prov um portal de autenticao para acesso web dos hosts da rede. Este
servio integrado ao firewall na instalao do pfSense. Pode-se acessar o portal de
autenticao Captive Portal atravs do menu Services > Captive Portal.
A aba principal e padro a Captive Portal, nesta so configuradas as opes para o devido
funcionamento do portal de autenticao, e suas opes so descritas abaixo:
Enable captive portal

Habilita a utilizao do portal de autenticao Captive Portal.
Interfaces
Nesta opo selecionada a interface na qual o portal de autenticao ir
trabalhar. Na maioria dos casos a interface LAN selecionada.
Maximum concurrent connections
Pode-se definir a quantidade de conexes por IP neste campo, o padro so 4
(quatro) conexes, desta maneira o cliente com o IP em questo no ir consumir
recursos desnecessrios do firewall.
Idle timeout
Com esta opo um usurio inativo pode ser automaticamente desconectado.
Hard timeout
O valor deste campo ir desconectar de forma forada um cliente conectado
atravs do portal de autenticao.
Pass-through credits allowed per MAC address
Essa opo permite passar pelo portal de autenticao sem a necessidade de
autenticar com um nmero limitado de vezes por endereo MAC.
Waiting period to restore pass-through credits
Os clientes tero seus pass-through credits disponveis restaurados para a
contagem original depois dessa quantidade de tempo desde a primeira utilizao.
Reset waiting period on attempted access
Se esta opo for habilitada, o periodo de espera resetado para a durao
original se o acesso for tentado quando todos pass-through credits estiverem
47
esgotados.
Logout popup window
Pode-se habilitar essa opo para abrir um pop-up com ao de logout. vlido
lembrar que a maioria dos navegadores bloqueiam qualquer tipo de pop-up.
Redirection URL
Ao efetuar o login o cliente pode ser redirecionado para uma url ao utilizar essa
opo. Um exemplo redirecionar o cliente aps o login para
http://www.google.com.br (Essa opo s ir funcionar se existir o http:// antes do
site).
Concurrent user logins
Com essa opo, o portal de autenticao ir limitar um login por conta de
usurio.
MAC filtering
Com essa opo possvel desabilitar o filtro de MAC.
Pass-through MAC Auto Entry
Enable Pass-through MAC automatic additions
possvel criar um tipo de passe livre aps a primeira autenticao com essa
opo, desta forma o cliente que autenticar a primeira vez no precisar
autenticar novamente pois uma entrada com seu MAC ser criada.
Enable Pass-through MAC automatic addition with username
O usurio ser salvo aps a autenticao ser salvo.
Per-user bandwidth restriction
Pode-se definir um limite de banda para a utilizao do portal de autenticao
com esta opo. utilizado 0 (zero) quando essa opo marcada mas no existe
limite.
Authentication
Pode-se utilizar o portal sem autenticao ou com autenticao. So possveis trs
opes:
No Authentication
O portal ficar sem autenticao quando essa opo for selecionada.
Local User Manager
Existe a possibilidade de utilizar o portal com uma autenticao local, no
prprio pfsense pode-se gerenciar todas as contas.
RADIUS Authentication
Tambm possvel integrar o portal a um tipo de autenticao centralizada
com essa opo como o RADIUS.
MAC address format
Essa opo s pode ser utilizada quando na opo Authentication for selecionada
como RADIUS. Essa opo ir modificar o formato do endereo MAC de todo o
sistema RADIUS.
HTTPS login
Se esta opo for habilitar o usurio e senha sero transferidos para o servidor de
autenticao via HTTPS.
HTTPS server name
48
necessrio especificar o nome do servidor HTTPS, geralmente neste campo
utilizado o nome da empresa.

HTTPS certificate
Pode-se definir o certificado HTTPS neste campo.
HTTPS private key
Neste campo a chave privada definida.
HTTPS intermediate certificate
Neste campo definido o certificado de intermediao HTTPS.
Portal page contents
possvel realizar o upload de uma pgina para a autenticao do usurio ao
tentar acessar a internet, desta forma a pgina de acesso do portal seria
personalizada.
Authentication error page contents
Ao tentar efetuar o login, caso algum dado esteja errado no login ou senha essa
pgina pode ser exibida indicando erro.
Logout page contents
Ao efetuar o login possvel exibir uma pgina para o cliente atravs desta opo.
11.3 DHCP Server

Para criao de um servidor que distribua dinamicamente IPs de forma automtica pode-se
acessar o menu Services >DHCP Server, onde possvel configurar diversos servidores
DHCP de acordo com a quantidade de interfaces.
Basicamente um servidor para distribuio de IPs configurado na aba LAN (Onde este
ser aplicado de fato para a rede local) e ao clicar nesta as seguintes opes para
configurao do servidor so possveis:
Enable DHCP server on LAN interface

Essa opo habilita a utilizao do servidor DHCP na respectiva interface.
Deny unknown clients
Com esta opo habilitada apenas os clientes fixos com MAC e IP cadastrados
mais abaixo iro receber DHCP leases.
Range
Esta opo define o range de IPs disponveis para a distribuio. importante
observar os campos acima Subnet, Subnet mask e Avaiable range que mostram
as informaes para a definio desta opo.
WINS servers
Esta opo utilizada para definir o servidor WINS (Windows Internet Name
Service) da rede local (se existir um).
DNS servers
Pode-se utilizar essa opo com dois DNS's ou deixar em branco. Se os campos
no forem preenchidos o DNS que ser distribudo para os clientes ser o IP do
firewall, que quando o cliente realizar uma consulta essa requisio ir para o
49
firewall e o firewall redirecionar a consulta para o DNS real, logo seria um tipo
de encaminhamento.
Gateway
Essa opo utilizada para definir um gateway que ser distribudo para os
clientes. Se nenhum gateway for especificado o IP da interface (No caso aqui
exemplificado, da LAN).
Domain name
Pode-se definir o domnio de rede que ser distribudo para os clientes atravs
desta opo.
Domain search list
O servidor DHCP pode prov uma lista de pesquisa de domnios com essa opo.
Default lease time
Controla o tempo de renovao dos IPs. O tempo definido neste campo ser
utilizado para uma verificao constante dos minutos ou segundos definidos,
desta forma, se o computador com o IP no estiver mais em uso, este ser
disponibilizado para qualquer outro computador da rede local.
Maximum lease time
Esta opo controla o tempo mximo que um cliente pode ficar com um IP.
Failover peer IP:
Essa opo utilizada para manter um servidor pfsense com dhcp ativo como
backup. Essa opo til apenas quando utiliza-se CARP.
Static ARP
Essa opo funciona de forma similar ao negar endereos MAC desconhecidos de
obter dhcp leases.
Dynamic DNS
possvel utilizar um DNS dinmico de domnio que ser utilizado para registrar
nomes de clientes no servidor DNS com essa opo.
NTP servers
Para inserir um ou mais servidores NTP (Network Time Protocol Servers) basta
utilizar essa opo clicando no boto Advanced.
TFTP server
Caso exista algum servidor TFTP, pode-se especifica-lo neste campo.
LDAP URI
Pode-se integrar o servio de DHCP com o LDAP atravs dessa opo.
necessrio especificar o caminho completo (LDAP URI, Uniform Resource
Identifier) como por exemplo ldap://ldap.exemplo.com/dc=exemplo,dc=com
Enable network booting
Pode-se utilizar essa opo para inserir os endereos IP das imagens de boot
disponveis e o nome da imagem de boot.
Additional BOOTP/DHCP Options
Qualquer outra opo para o servidor DHCP pode ser adicionada neste campo. A
lista dessas opes encontrada neste endereo
http://www.iana.org/assignments/bootp- dhcp-parameters/bootp-dhcpparameters.xml
50
11.4 DNS Forwarder

Pode-se utilizar um redirecionador de DNS para consultas a nomes. A utilizao do DNS
forwarder geralmente se faz presente quando um cliente da rede local necessita consultar um
nome de outra rede que possui uma ligao com a que o cliente se encontra. Desta forma,
ao consultar por exemplo desenv.exemplo.com.br o IP retornado 200.199.140.22, mas
sabendo que existe uma ligao desta rede com a outro que o servidor
desenv.exemplo.com.br pertence pode-se adicionar um redirecionamento de DNS e desta
forma o nome seria resolvido por exemplo para 192.168.4.2. Logo, sua funo resolver o
DNS e coloca em cache.
Para configurar este redirecionador de dns basta acessar o menu Services > DNS Forwarder:
Antes de qualquer explicao importante notar que a opo Enable DNS Forwarder est
marcada para a utilizao do mesmo.
Neste caso foi adicionado o host junto ao domnio. Tambm possvel adicionar um
domnio inteiro mais abaixo.
51
Ao clicar no boto para adicionar o host junto ao domnio existem as seguintes opes de
configurao:
Host
Host que faz parte do domnio. Tambm considerada a primeira parte antes do
ponto no nome, como por exemplo desenv em desenv.exemplo.com.br ou www
em www.exemplo.com.br.
Domain
Domnio no qual o host se faz presente, no citado acima exemplo.com.br.
IP address
Endereo IP para o qual o nome ser resolvido. No caso citado acima
192.168.4.2.
Description
Uma breve descrio sobre o redirecionamento criado.
11.5 Load Balance

Uma prtica muito utilizada quando se tm dois links de internet criar um balanceamento
de carga para que a rede local no se torne lenta com o consumo de banda. O pfSense
disponibiliza uma ferramenta integrada para isso. Em suas verses anteriores a criao do
Load Balance era feita atravs do menu Services > Load balance, mas em sua verso 2.0 a
configurao feita em System > Routing, segmentado qualquer configurao com este fim
para uma melhor utilizao.
Existem trs abas para a utilizao no menu citado acima, Gateways, Routes e Groups. As
abas utilizadas para a criao de um balanceamento de carga so descritas abaixo:
Gateways
Aba utilizada para a criao dos gateways a serem utilizados pelas interfaces de
sada (WAN, WAN2, e outras). So utilizados no mnimo dois links para a
realizao de um balanceamento de carga, logo so necessrios dois gateways.
Para a criao de um gateway deve-se clicar no boto add para ento preencher e
selecionar as seguintes opes:
Interface
utilizada nesta opo a interface correspondente ao link de internet em
questo.
Name
Pode-se definir um nome para o gateway em questo nesta opo.
Gateway
Nesta opo deve-se definir de fato o gateway do link de internet.
Default Gateway
52
Pode-se marcar essa opo para que este seja o gateway padro.
Monitor IP
Para a verificao do link de internet, se este est ativo ou no realizado
um teste de ping (utilizando o protocolo ICMP) para o IP de verificao
aqui definido, se este no responder a requisio o link ser considerado
como inativo.
Advanced
Pode-se definir opes avanadas para a configurao do gateway, um
exemplo seria a definio da possvel latncia.
Description
Nesta opo defini-se uma breve descrio do gateway.
Groups
Um grupo de gateways pode ser utilizado para uma juno de links de internet
com o objetivo de criar um Load balance ou um FailOver. Para a criao de um
grupo de gateways basta clicar no boto add, e em seguida preencher e selecionar
as opes:
Group Name
Deve-se definir um nome para este grupo, como por exemplo
LoadBalance.
Gateway Priority
A prioridade a ser definida para o Load Balance deve ser de 1 (um) para os
dois gateways.
Trigger Level
Existem quatro possibilidades nesta opo para a realizao de uma ao:
Member down
Quando um dos gateways estiver offline.
Packet Loss
Quando houver uma perda significativa de pacotes.
High Latency
Quando uma alta latncia for detectada em um dos gateways.
Packet Loss or High Latency
Quando uma perda de pacote ou uma alta latncia for detectada.
Description
Deve-se definir uma breve descrio do grupo de gateways em questo.
53
11.6 FailOver
Esta tcnica utilizada para efetuar uma redundncia de links de internet, desta forma o
segundo link de internet ir servir como uma espcie de backup. O FailOver pode ser
configurado atravs do menu System > Routing.
A configurao do FailOver feita da mesma forma que a configurao do balanceamento
de carga com exceo da opo Gateway Priority que selecionada na criao do grupo de
gateways. Aps efetuar a criao dos gateways (A criao de gateways pode ser visualizada
no tpico 11.5) deve-se criar o grupo de gateways (Tambm pode ser visualizado no tpico
11.5), porm nesta opo deve definir a prioridade dos gateways, onde o gateway principal
ficar com a prioridade 1 (Um) e o gateway secundrio (Gateway respectivo do link de
internet utilizado como backup) dever ficar com prioridade 2 (Dois), para um melhor
entendimento pode-se visualizar a parte da criao de um grupo de gateways para a
utilizao do FailOver abaixo:
possvel perceber a prioridade dos gateways como 1 (Tier 1) e 2 (Tier 2) e ainda o Trigger
Level que foi definido como Member Down, ou seja, quando o primeiro link estiver com
status offline o segundo ir assumir.
11.7 Proxy Server
Para efetuar a instalao do servio proxy integrado ao pfSense basta acessar o menu
System > Packages e localizar o pacote squid. Ao localizar o pacote squid deve-se clicar no
boto add ao lado do pacote para efetuar a instalao do mesmo, logo ser feita a pergunta
54
Do you really want to install this package? Para continuar basta clicar no boto de resposta
OK. Iniciando a instalao ser visualizado o progresso:
Aps efetuar a instalao do pacote Squid o mesmo ser encontrado para configurao no
menu Services > Proxy Server. Ao acessar o menu para configurao do servidor proxy, a
aba General ser visualizada por padro, porm existem outras abas para configurao onde
estas so descritas abaixo:
General
Esta a aba principal de configurao para o funcionamento do servidor proxy.
Nesta aba so definidas vrias opes importantes, por exemplo em qual interface
o proxy ir trabalhar, onde os logs sero armazenados ou se o proxy ser
transparente, etc.
55
Upstream Proxy
Se utilizado um servidor de upstream essa aba ir ser til a partir da primeira
opo que trs uma boa descrio de sua funcionalidade: This option enables the
proxy server to forward requests to an upstream server (Essa opo habilita o
servidor proxy encaminhar requisies para um servidor upstream).
Cache Mgmt
Essa aba utilizada para o gerenciamento de cache do servidor proxy.
Access Control
O controle de acesso configutado nessa aba, desta forma pode-se definir qual a
rede que poder utilizar o servidor proxy, assim como os Ips que sero excludos
de qualquer regra de bloqueio. Pode-se tambm definir uma whitelist ou uma
blacklist.
Traffic Mgmt
O gerenciamento de trfego feito nesta aba, vrias opes so possveis como
por exemplo definir o tamanho mximo de download ou o mximo de upload por
parte dos usurios do proxy.
Auth Settings
Caso no seja marcada a opo Transparent Proxy da aba General, a autenticao
possvel de trs formas:
Local
LDAP
RADIUS
NT Domain
Local Users
Se a autenticao selecionada for Local, essa aba utilizada para definir os
usurios e suas respectivas senhas de acesso.
Para um melhor entendimento sero explicadas as opes mais utilizadas em um servidor

proxy no pfSense:
Aba General
Proxy interface
necessria a escolha da interface que o proxy ir trabalhar. Na maioria dos
casos esta opo selecionada como LAN.
Allow users on interface
Essa opo geralmente marcada, pois esta libera o uso de clientes nesta
interface.
Transparent proxy
Existe a possibilidade da utilizao do proxy sem autenticao. Este tipo de
proxy reconhecido como proxy transparente, onde esta opo marcada
para esta utilizao.
Enabled logging
56
Essa opo habilita a criao e armazenamento de logs de acesso.

Log store directory
Pode-se definir nesta opo um outro diretrio de armazenamento para os
logs, sabendo que o padro /var/squid/logs.
Proxy port
A porta padro do proxy 3128, mas possvel alterar esta.
Visible hostname
Essa a opo referente a URL que exibida nas mensagens de erro do proxy.
Administrator e-mail
Esse o e-mail fornecido para contato nas mensagens de erro.
Language
Idioma utilizado para a visualizao do Proxy.
What to do with requests that have whitespace characters in the URI
Essa opo geralmente deixada como padro (strip), para o tratamento de
caracteres com espaos.
Use alternate DNS-servers for the proxy-server
Pode-se definir um servidor DNS alternativo para o proxy com esta opo.
Custom Options
Caso seja necessrio definir alguma opo no arquivo de configurao do
proxy, basta digitar as opes nesta caixa de texto.
Aba Access Control

Allowed subnets
necessrio preencher quais redes tero acesso para a utilizao do proxy
nesta opo.
Unrestricted Ips
Pode-se excluir da filtragem do proxy alguns IPs nesta opo.
Banned host addresses
Com esta opo possvel definir os IPs que no tero acesso ao proxy, sero
banidos.
Whitelist
Pode-se definir domnios liberados para acesso dos usurios. Por padro o
squid j libera todos os domnios, logo s necessrio utilizar a opo abaixo,
para bloquear determinados domnios.
Blacklist
Essa opo utilizada para especificar os domnios proibidos. Geralmente so
utilizados domnios de acordo com a poltica da empresa, como sites adultos,
sites com vdeos, onde estes iro consumir boa parte da banda se os usurios
estiverem acessando.
Aba Auth Settings

Authentication method
57
Essa opo ir definir quais campos mais abaixo sero utilizados. Existem
algumas opes como: None, Local, LDAP, RADIUS, NT Domain.
Authentication server
IP do servidor de autenticao.
Authentication server port
Porta utilizada para a comunicao com o servidor de autenticao.
Local Users
Username
Usurio para utilizao do proxy.
Password
Senha para o usurio do proxy.
Description
Breve descrio sobre o usurio.
11.8 Snort
O snort um sniffer que pode ser integrado ao pfSense se tiver seu pacote instalado atravs
do menu System > Packages. A funo de um sniffer observar o trfego da rede agindo de
forma silenciosa para a coleta de dados. Ao efetuar a instalao, este poder ser encontrado
em Services > Snort. Porm, antes de acessar o menu para efetuar a configurao notvel
a mensagem que exibida ao finalizar a instalao:
Please visit the Snort settings tab and enter your oinkid code. Afterwards visit the update
rules tab to download the snort rules.
Logo, deve-se efetuar a configurao incial que a mensagem recomenda. Acesso o menu
citado acima para a configurao do Snort e ento clique na aba Global Settings. As
seguintes opes so exibidas:
Install Snort.org rules

necessrio obter o Oinkcode, onde este utilizado para conhecimento de quem
est utilizando as regras do snort, logo, necessrio criar um login no site
www.snort.org para ento conseguir um Oinkcode. Com o cdigo em mos, como
este: d53ab786f11cdd347889f05f9b15f2611e5aa979, basta adicionar este no campo
Code, e depois selecionar se sero instaladas as regras bsicas ou premium, onde este
o recomendado, caso no tenha interesse basta deixar a opo default marcada Do NOT
Install.
Install Emergingthreats rules
Essa opo utilizada se alm das regras default desej-se instalar as regras
Emergingthreats, essas so criadas pela comunidade e possuem vrias opes de filtro.
Update rules automatically
possvel definir a atualizao automtica das regras atravs desta opo. Por padro, as
58
regras nunca so atualizadas.
Log Directory Size Limit
possvel definir o limite de tamanho do diretrio utilizado para armazenar o log nesta
opo. Por padro o tamanho definido correspondente a 20% do tamanho total do
disco rgido.
Remove blocked hosts every
Essa opo utilizada para desbloquear hosts que tiveram seu acesso negado e
bloqueado pois caram em algum filtro das regras existentes e selecionadas na
configurao.
Alerts file description type
Por padro a opo FULL selecionada e recomendada, pois essa opo define como a
descrio do alerta ser exibida no arquivo de alertas. Ao selecionar a opo default a
descrio ter uma melhor visualizao, pois esta ser completa. Se a outra opo
SHORT for selecionada, o alerta no ser totalmente exibido, ao invs disto ser exibido
um pequeno alerta, como um resumo do fato ocorrido.
Keep snort settings after deinstall
Com est opo selecionada, ao desinstalar o pacote snort as opes definidas sero
salvas. Caso este pacote seja instalado novamente as configuraes sero restauradas.
Ao finalizar a configurao desta aba, basta clicar em Save para salvar as configuraes feitas at
ento. necessrio dar um update nas regras para que estas sejo de fato instaladas e
disponibilizadas. Para efetuar este passo clique em Updates e no boto Update rules, logo ser
iniciado o download destas.
O prximo passo clicar na primeira aba, Snort Interfaces, onde esta utilizada para especificar
em qual interface de rede o snort ir trabalhar. Para adicionar as informaes necessrias clique no
boto utilizado para adio com o cone +. As opes abaixo sero exibidas:
Enable
Habilita o uso da interface que ser definida na opo abaixo.
Interface
Nesta opo defini-se em qual interface o Snort ir trabalhar. Geralmente definise a
interface de sada (WAN) ou qualquer outra que trabalhe diretamente com a sada para a
internet.
Description
Este campo utilizado para definir uma breve descrio sobre a interface que ser
monitorada.
Block offenders
Habilitando essa opo, qualquer alerta gerado pelo snort ser automaticamente
bloqueado atravs do firewall. necessrio ter cuidado com o filtro definido pelo o
snort, pois qualquer alerta gerado mesmo que por engano ter um efeito de bloqueio.
Existem outras opes, porm estas so as mais utilizadas para a definio da interface que
ser utilizada pelo Snort.
12. VPN
59
A conectividade atravs de VPNs tem o objetivo de interligar redes e hosts. Basicamente existem
trs mtodos de interligao de redes e/ou hosts atravs de VPN, onde estes podem ser definidos
pelas possibilidades apresentadas de cada tipo de VPN:
Host-Host
Neste tipo, criada uma conexo entre dois hosts para uma melhor comunicao.
Host-Rede
Neste modelo, criada uma conexo onde um host ir ter acesso at uma rede. Desta
forma, um host na internet pode criar uma conexo, e atravs de uma autenticao ou
no, este ir conseguir acesso at a rede de computadores lgica alvo.
Rede-Rede
Este modelo muito utilizado em organizaes, onde estas possuem filiais. Desta forma,
duas filiais podem estar conectadas 24 (Vinte e quatro) horas por dia, sem a necessidade
de criar conexo.
O pfSense j disponibiliza aps suas instalao alguns tipos de VPN, estes sero abordados nos
respectivos subtpicos abaixo.
12.1 PPTP
Point-to-Point Tunneling (PPTP) utilizado para a criao de uma VPN mais simples, pois esta no
disponibiliza uma alta segurana como em outros protocolos, pois s possvel configurar uma
criptografia de 128 bits. Basicamente, o usurio cria uma conexo do tipo VPN PPTP, e ento
conecta utilizando um usurio e senha.
A configurao feita atravs do menu VPN > PPTP, e as opes de configurao da aba
Configuration:
PPTP redirection
Atravs desta opo possvel encaminhar uma requisio de VPN PPTP para outro
servidor VPN, bastando definir o IP do servidor em questo.
No. PPTP users
Ao habilitar a utilizao da VPN PPTP atravs da opo Enable PPTP server, possvel
definir um nmero de usurios para a VPN, onde por padro o nmero de usurios
igual a 16.
Server address
Esta opo utilizada para definir um gateway para os clientes da VPN PPTP.
Remote address range
Utiliza-se esta opo para definir qual ser o primeiro IP disponibilizado para clientes da
VPN.
PPTP DNS Servers
possvel utilizar um ou dois servidores DNS que sero distribudos para os clientes da
VPN.
WINS Server
60
Se houver algum servidor WINS, esta opo utilizada para especificar este.
RADIUS
A autenticao pode ser centralizada com a utilizao de um servidor RADIUS em rede,
seja ele em um servidor remoto ou no prprio firewall com este servio (pacote)
instalado.
Require 128-bit encryption
Ativa a criptografia de 128 bits.
12.2 OpenVPN
Este tipo de VPN considerada como Rede-Rede, onde possvel interligar unidades, como
uma filial e sua matriz. considerado um tipo seguro de transmitir dados com uma alta
criptografia, este tipo de VPN pode ser considerado uma tima opo para utilizao em
ambientes corporativos.
Para efetuar a configurao de uma VPN OpenVPN no modelo aqui apresentado, dois
firewalls pfSense sero utilizados, onde um far o papel da matriz e o outro da filial
respectivamente. A matriz ser o servidor OpenVPN, enquanto a filial ser apenas um
cliente, desta forma possvel integrar vrias filiais nesta VPN. Para iniciar, a configurao
pela parte da matriz tem incio com acesso ao menu VPN > OpenVPN, ento a aba a ser
utilizada ser Server, clicando no boto para adicionar o servidor, as seguintes opes
estaro disponveis:
Disabled
possvel desabilitar o servidor mesmo na criao deste marcando esta opo.
Server Mode
O modo do servidor geralmente definido como Peer to Peer (Shared key), onde
este ir compartilhar uma chave gerada pelo prprio pfSense, com o cliente.
Ento, estes dois iro se comunicar. Pode-se selecionar outro modo como Peer to
Peer (SSL/TLS), Remote Access (SSL/TLS).
Protocol
necessrio definir um protocolo (UDP ou TCP), onde geralmente o protocolo
UDP selecionado.
Device Mode
Esta opo por padro j esta definida como tun, pois na maioria dos casos
utilizada desta forma.
Interface
Esta opo geralmente definida como WAN, pois esta interface precisa ter
conexo direta com a interface de sada do cliente.
Local port
A porta local pode ser modificada, porm utilizada por padro 1195.
Description
61
Pode-se definir uma descrio para a utilizao da VPN utilizando esta opo.
Shared Key
Ao selecionar a opo Server Mode como Peer to Peer (Shared key) algumas
opes no estaro mais disponveis, logo a opo shared key exibida, onde esta
pode ser definida como Automatically generate a shared key. Desta forma, o
pfSense ir gerar automaticamente uma chave de segurana.
Encryption algorithm
Uma boa criptografia selecionada por padro, AES-128-CBC (128-bit), porm
existem vrias outras opes para seleo.
Hardware Crypto
possvel definir criptografia de hardware para o dispositivo atravs desta opo.
Tunnel Network
necessrio definir uma rede para a comunicao privada atravs do tnel. Podese definir esta rede atravs desta opo.
Local Network
Nesta opo, defini-se a rede local, especificando a faixa e a mscara de rede.
Remote Network
A definio da rede remota feita nesta opo, onde se a rede cliente
representada por 192.168.10.0/24, esta precisa ser especificada no campo desta
opo.
Concurrent connections
Esta opo utilizada para especificar o nmero mximo de clientes permitidos
para conectar ao mesmo tempo no servidor.
Compression
possvel utilizar a compresso no tnel utilizando o algortimo LZO.
Type-of-Service
Define um cabealho no pacote que ir passar pelo tnel para comparar de forma
correta com o valor dos pacotes encapsulados.
Duplicate Connections
Permite vrias conexes ao mesmo tempo dos clientes que utilizam o mesmo
nome.
Advanced
Pode-se definir opes avanadas nesta opo, onde estas sero inseridas no
arquivo de configurao da VPN.
O ltimo passo seria criar uma regra na interface de sada do firewall onde o servidor VPN,
onde seria liberada a porta 1194 no protocolo UDP (Origem).
12.3 IPSec
IPSec (IP Security Protocol) uma extenso do protocolo IP, onde este prov segurana no
nvel da camada IP para comunicaes atravs da Internet. Este parte obrigatria do Ipv6,
porm, no Ipv4 o uso opcional. considerada uma tima opo, seno a melhor para a
62
interligao de unidades, utilizao de VPN no modelo rede-rede.

Para iniciar a configurao da interligao entre matriz e filial, deve-se acessar o menu VPN
> IPSec, e ento clicar no boto adicionar na aba Tunnels para criar uma VPN IPSec. Logo,
as opes necessrias para a criao e funcionamento da VPN so listadas abaixo:
Interface
A interface aqui utilizada precisa ter conexo direta com a internet para a
comunicao com a outra ponta da VPN, neste caso deve-se utilizar a interface
WAN na maioria dos casos.
Remote gateway
Este definido pelo IP remoto do segundo firewall, onde criada a conexo
(ponte).
Description
Este campo utilizado para inserir uma breve descrio da VPN criada.
Pre-Shared Key
Deve-se definir um password para a segurana na comunicao entre as pontas da
VPN.
Aps finalizar a primeira etapa da configurao da VPN do tipo IPSec, deve-se clicar no
boto adicionar localizado abaixo da informao da VPN, desta forma deve-se clicar
novamente no boto exibido de adio, desta forma sero exibidas as opes para a
identificao da rede local e remota:
Mode
O modo definido como Tunnel, logo criado um tnel entre a rede local do
firewall atual e a rede local do firewall remoto.
Local Network
A rede local pode ser definida digitando o endereo de rede com sua respectiva
mscara ou simplesmente selecionando LAN subnet em Type.
Remote Network
Defini-se em Network na seleo da opo Type, ento deve-se definir o endereo
de rede e a mscara da rede remota.
Description
Deve-se inserir uma breve descrio sobre a rede remota que est sendo
configurada.
Ao finalizar esta configurao, deve-se clicar em Save para salvar as alteraes feitas. Para
finalizar a configurao da VPN e ento criar as regras necessrias necessrio habilitar a
VPN marcando a opo Enable IPSec e ento clicar em Apply changes.
Aps configurar de forma correta a VPN IPSec, deve-se criar uma regra na aba IPSec, onde
esta dever ter a funo de liberar a comunicao na interface. A configurao feita at
63
ento tem que ser efetuada nas duas pontas do tnel (Nos dois firewalls). Aps finalizar toda
a configurao, tanto da matriz quanto da filial, deve-se checar o status em Status > IPSec,
caso o sinal de funcionamento esteja diferente de verde, necessrio verficar a configurao
e tudo feito at ento, e ento iniciar clicando no boto especfico desta tela para tal ao.
13. QoS
QoS (Quality of Service), refere-se a vrios aspectos ligados a telefonia e redes de
computador. Este extremamente utilizado na limitao da navegao de redes, onde
possvel definir por exemplo a utilizao da banda atravs do download e upload que a rede
local poder utilizar.
13.1 Traffic Shaper
Para utilizar o Traffic Shaper no pfSense basta acessar o submenu Firewall > Traffic Shaper,
e efetuar a configurao para o controle de banda de acordo com a respectiva necessidade da
rede local, desta forma priorizando os pacotes necessrios. Geralmente a opo escolhida se
encontra na linha da coluna Single Wan multi Lan, definida pelo nome
traffic_shaper_wizard_multi_lan.xml. As opes por etapas so definidas abaixo:
Enter number of LAN type connections

Deve-se definir o nmero de redes existentes, como por exemplo 2 (dois), LAN e
DMZ.
Link Upload
Deve-se informar o tamanho da banda que ser utilizada para upload.
Link Download
Deve-se informar o tamanho da banda que ser utilizada para download.
LAN interface
Nesta opo deve-se definir a interface da rede local (LAN).
VoIP
As opes da prxima tela s so utilizadas quando se quer definir um QoS para
VoIP. Ento defini-se a velocidade de upload e download. Se no for o caso, basta
clicar em Next para prosseguir at a prxima etapa.
Penalty Box
Permite reduzir a prioridade de um endereo IP em particular ou de um alias.
Peer to Peer networking
possvel ter controle tambm sobre o trfego P2P nesta tela atravs das opes
que so apresentadas.
Network Games
Tambm possvel ter controle sobre jogos em rede atravs destas opes.
Raise or lower other Applications
Esta tela utilizada com a configurao respectiva da rede local para outras
64
aplicaes que no foram listadas nas telas anteriores.

Por fim, o boto Finish exibido para ao clicar, finalizar a configurao de QoS.
14. Monitoramento
de extrema importncia que exista um monitoramento via rede, mas tambm muito
importante que o administrador da rede responsvel pelo firewall verifique os logs, acesso
dos clientes, o status das interfaces e dos hosts, assim como os links de internet, porm mais
importante que isso saber por onde comear quando houver algum problema. Este tpico
cobre os tipos possveis de monitoramento com o pfSense.
14.1 Link
Os gateways criados no submenu Routing dentro do menu System podem ser visualizados
com seus respectivos status atravs do menu Status > Gateways, alm de exibir o status e
outras informaes como a qual interface este gateway pertence, e tambm qual o IP que
est sendo utilizado para monitorar se o gateway est online ou no, outras abas so
exibidas para mostrar informaes das rotas e os grupos de gateways.
O pfSense tambm apresenta grficos dos links, para uma melhor anlise do trfego.
possvel visualizar como anda o trfego relacionado ao upload e download de cada interface
ou de todas atravs do menu Status > RRD Graphs. A aba Traffic deve ser selecionada para
a exibio dos grficos da utilizao das interfaces:
O download representado pela parte vermelha do grfico, e o upload pela linha cinza
exibida, onde outras informaes podem ser visualizadas abaixo do grfico.
65
14.2 Interfaces
O submenu Status>Interfaces exibe informaes sobre as interfaces reconhecidas pelo
pfSense, onde atravs deste possvel virtualizar:
Status
Mostra o status da interface, onde esta pode estar up ou down (no carrier).
MAC address
O MAC da placa de rede sobre a interface em questo exibido aqui.
IP address
Aqui, o IP exibido.
Subnet mask
A mscara de rede da interface pode ser visualizada aqui.
Gateway
O gateway exibido neste campo.
ISP DNS servers
Os servidores DNS so exibidos neste campo.
In/out packets
possvel visualizar os pacotes que esto entrando e sando da rede de
computadores atravs do firewall aqui.
In/out packets (pass)
Neste campo o filtro com os pacotes que tiveram sua entrada permitida so
exibidos aqui.
In/out packets (block)
Neste campo so exibidos apenas os pacotes que tiveram sua entrada e/ou sada
bloqueada.
In/out errors
Se houver algum erro na entrada ou sada de pacotes, estes sero apresentados
neste campo.
Collisions
Se houver alguma coliso entre pacotes, esta opo ir exibir estes.
14.3 pfTop
Este utilizado para monitorar a largura de banda e o trfego de rede, onde possvel ver
informaes do trfego com origem, destino, status, pacotes e mais. Existem vrias opes
para a visualizao das informaes, onde a padro representada por bytes. interessante
utilizar mais esta opo que o pfSense disponibiliza quando pretende-se obter informaes
de um IP em especfico em uma visualizao do trfego da rede sem grfico, pois todas
informaes so exibidas em tempo real, sem ter a necessidade de atualizar a pgina e/ou
entrar e sair dos menus para visualizar os dados de forma atualizada:
66
14.4 Ping
O ping uma ferramenta bsica que d um retorno com uma resposta positiva ou negativa.
Este geralmente utilizado para verificar se h ou no conectividade entre a comunicao
do host de origem e o host de destino. Um exemplo bsico, seria utilizar essa ferramenta
para enviar pacotes ao google, desta forma se a resposta for positiva, significa que o firewall
est conectado internet. Para a utilizao deste, deve-se acessar o menu Diagnostics >
Ping. Este exemplo exibido na imagem abaixo:
Na imagem acima possvel perceber que houve conectividade entre a origem (interface
LAN do firewall) e o destino (Site do google). As opes para a utilizao desta ferramenta
no modo grfico so definidas abaixo:
Host
o destino, para onde o firewall ir enviar pacotes para verificar se h retorno.
Interface
Nesta opo defini-se qual interface ser utilizar para verificar a conectividade
entre esta e o destino especificado.
67
Count
Esta opo especifica o nmero de saltos, a quantidade de pacotes enviados, que
no caso da imagem acima foi definido o nmero 3 (trs).
vlido lembrar que esta opo pode ser utilizada tambm na linha de comando com a
opo 7 (sete), ou atravs da opo 8 (oito), digitando o comando ping.
14.5 Traceroute
Traceroute utilizado para verificar o caminho, as rotas seguidas no caminho completo
percorrido pelo pacote, este pode ser acessado atravs do menu Diagnostics > Traceroute, a
imagem abaixo detalha um exemplo de utilizao:
Neste exemplo possvel perceber que h uma perda de pacote aps o host 200.199.82.93,
logo isso pode ser causado por um bloqueio com um simples firewall ou o host pode no
estar em funcionamento com conectividade.
68
15. Backup/Restore
O pfSense disponibiliza uma opo que pode ser acessada atravs do menu Diagnostics >
Backup/Restore, onde atravs deste possvel efetuar um backup de toda configurao ou
parte desta para ento restaurar quando necessrio. A utilizao desta ferramenta de
extrema facilidade, e os subtpicos cobrem a utilizao desta.
15.1 Backup
Ao acessar o respectivo menu, pode-se efetuar o backup da configurao atual do firewall
clicando no boto Download Configuration, logo o backup poder ser salvo no computador
utilizado para acessar o firewall. Porm, existem algumas opes que pode customizar o
backup:
Backup area
Por padro, o backup feito de toda a configurao, porm possvel efetuar o
backup por categorias, como por exemplo, backup apenas da configurao das
interfaces, das regras NAT ou at mesmo apenas das informaes do sistema. O
ideal que seja feito um backup geral, e outros de cada categoria.
Do not backup package information
Essa opo geralmente utilizada para diminuir um pouco o tamanho do backup,
porm interessante que esta no seja marcada, pois as informaes dos pacotes
so importantes para o sistema e para o administrador.
Encrypt this configuration file
Com esta opo possvel criptografar o arquivo de configurao, logo o backup
ser bem mais seguro.
Do not backup RRD data
Os grficos geralmente ocupam uma grande parte do espao utilizado no H.D,
logo o backup deles no recomendado pois aumentar o tamanho do arquivo de
backup.
15.2 Restore
Aps efetuar o backup da configurao do firewall, possvel restaurar este utilizando o
mesmo menu: Diagnostics > Backup/Restore, utiliza-se as opes em Restore
configuration, onde estas so explicadas abaixo:
Restore area
Deve-se definir qual rea ser restaurada. Em caso de restaurao de toda a
configurao deve-se selecionar ALL (Que j a opo padro).
Configuration file is encrypted
Se o arquivo de backup for criptografado, deve-se marcar esta opo.
69
Ao selecionar o arquivo, clicando em Browse, o prximo passo clicar no boto Restore

configuration, e logo as configuraes sero restauradas.
70

PF Sende

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

PF Sende

Uploaded by

Copyright:

Available Formats

http://www.aiyonetwork.

9. Network Address Translator (NAT) no pfSense

Criao de NAT 1:1

Os fatores bsicos para a aquisio de um firewall independente de qual seja, so

J na questo de compatibilidade de hardware, o PFSense suporta qualquer hardware que

Nesta parte, existem trs possibilidades de escolha:

Uma alternativa a opo C simplesmente deixar o tempo acabar de espera, ento o CD

Antes de finalizar a instalao, necessrio especificar uma informao sobre o processador

Na maioria dos casos, a primeira opo escolhida Symmetric multiprocessing kernel

reinicializao do computador, e j comear a utilizar o pfSense:

Ao visualizar a tela acima, as seguintes informaes so vlidas:

Depois de confirmar, a tela inicial com todos os menus ser exibida:

Essas opes so descritas abaixo:

Logout (SSH only)

Set interface(s) IP address

Reset webConfigurator password

Reset to factory defaults

pfSense Developer Shell

Upgrade from console

Enable Secure Shell (sshd)

4. Configurao inicial (web)

As seguintes opes precisam ser preenchidas:

Primary DNS e Secondary DNS Server

A imagem ilustra a configurao aqui feita:

Ao finalizar a configurao e clicar em Next, possvel configurar o IP da interface LAN

No exemplo acima, o IP 192.168.1.254 foi utilizado com a mscara 24 (255.255.255.0).

5. Reconhecimento dos menus

5.1 Detalhamento dos menus

O menu de Ajuda prov uma vasta documentao sobre o sistema.

6.1 Adicionar uma interface

6.2 Editar uma interface

6.3 Remover uma interface

6.5 Configurao da interface WAN

Se esta opo estiver desmarcada, a interface no estar em funcionamento.

7. Regras de acesso e bloqueio

Se as opes ao final da pgina de configurao da WAN (Block RFC1918 Private

7.1 Criao de regra

acesso, existe apenas uma opo, Pass.

A segunta etapa (Opes avanadas) no necessria, pois a maior parte da configurao

7.2 Editar, mover e desabilitar regras

9. Network Address Translator (NAT) no pfSense

9.1 Utilizao do NAT no pfSense

Destination port range

9.3 Criao de NAT 1:1

As opes para a criao da regra NAT 1:1 so explicadas abaixo:

9.4 NAT Outbound

A traduo pode ser feita para o IP da interface em questo, ou para um IP Virtual

Evita uma regra de sincronizar com outros membros CARP.

Depois de realizar a configurao basta clicar em Save para salvar a regra.

A visualizao dos pacotes disponveis s possvel se o acesso a internet est devidamente

Enable captive portal

utilizado o nome da empresa.

11.3 DHCP Server

Enable DHCP server on LAN interface

11.4 DNS Forwarder

11.5 Load Balance

Para um melhor entendimento sero explicadas as opes mais utilizadas em um servidor

Essa opo habilita a criao e armazenamento de logs de acesso.

Aba Access Control

Aba Auth Settings

Install Snort.org rules

interligao de unidades, utilizao de VPN no modelo rede-rede.

Enter number of LAN type connections