PROCEDIMENTOS BÁSICOS - PFSENSE
Apresentação
básica das funções.
1.1 – Neste guia iremos abordar algumas ações que
devem ser tomadas no dia a dia normal de trabalho, não vamos falar sobre
instalação ou implantação. Daremos ênfase a interfaces, WAN, LAN, servidor DHCP
com endereçamento de IP, regras de firewall, NAT básico com associação de
regras, controle de velocidade de banda e proxy (Cache) transparente.
2 – O Dashboard do Pfsense.
A apresentação do Pfsense sempre mostra os detalhes de
acordo com o gosto administrador do Pfsense, por isso não podemos definir o que
vai ou não aparecer. A imagem a seguir mostra a parte superior da tela inicial.
No primeiro momento da abertura do Pfsense essa será a tela de abertura que pode variar de acordo com configuração feita previamente. É recomendado deixar visível os serviços mais importantes, como status das interfaces principalmente as de internet, pois as de acesso ao firewall estará em modo UP pois certamente só será possível acessar caso as interfaces internas estiverem acessíveis.
Cada menu desse leva você a uma infinidade de
possibilidades de configurações, mas como dito antes abordarei apenas o
necessário. Segue aqui a orientação de estudar para melhor entender como
funciona cada recurso necessário na sua realidade. Por isso nunca será
necessário usar todos os recursos disponíveis.
Interfaces
de rede.
Podemos dizer que a forma como o Pfsense trata as
interfaces é uma das melhores maneiras trabalhar por dá a possibilidade de
escolher qual interface usar para qualquer serviço, ou seja, fica a seu
critério para usar qualquer interface, o que importa a configuração da regra
correta nas interfaces. Para acessar as configurações de interfaces de forma
visível está no menu superior interfaces/assignments, vai abrir a tela a baixo:
Essa tela está todas
as possíveis configurações possíveis para fazer, porem recomendo configurar
apenas o necessário dentro da sua realidade, não configurar nada sem o
conhecimento prévio.
Definindo uma NOVA
interface como WAN.
Essa parte deste guia
é muito importante, pois na configuração inicial do Pfsense ainda no console de
instalação você só tem a possibilidade de escolher uma única interface WAN. A
proposta aqui é adicionar uma segunda interface WAN que atuará como redundância.
É a forma mais prática e funcional.
A primeira escolha a
interface e defina a forma como ela vai se conectar na internet. Vamos tomar
como exemplo o uso de IP estático que a forma mais utilizada pela maioria dos
provedores de internet. Normalmente o provedor fornece os endereços IPs e
máscara de rede. O que realmente difere essa interface das demais é a
configuração de uma rota por meio de um gateway para interface. Por simples que
seja essa percepção é importante pois ela define efetivamente que o Pfsense
estará navegando por meio desta interface.
Mais ainda falta uma
configuração importante. Antes veja como definir as configurações mencionadas
aqui. Definimos uma descrição configurando a interface para conectar de forma
estática, e recomendo fortemente para não usar IPV6 em redes privadas.
Depois de realizar
essa configuração da interface é preciso informar que alguma outra interface
irá acessar a internet por meio dessa, isso é feito por meio de uma regra de
firewall.
Obs.: No
Pfsense que estamos usando para fazer esse guia tem duas interfaces WAN.
Configurações de NAT
no Pfsense necessário quando estamos adicionando nova WAN, lembre-se, estamos
configurando nova WAN com base numa outra existente, por observe com atenção
todos os passos e imagens. A imagem a baixo é acessada no menu “Firewall”, na
tela seguinte, clique na aba/menu “Outbound” (saída).
Não altere nada,
absolutamente nada, apenas clique na opção para copiar a regra, vai abrir uma
nova tela, nessa tela você altera. Observe que contornei de amarelo e mostrei
como interface original ou única. Por que estamos partindo da ideia de que só
temos um link e estamos adicionando a interface que nos referimos
anteriormente, na imagem anterior.
Na tela seguinte
observe que te mostra a interface “WAN1” mostrada a cima. Altere apenas essa
interface que será a segunda ou próxima interface atuará como WAN também.
CONFIRMAR
QUE A INTERFACE ESTÁ FAZENDO ROTA.
Depois de todas as
configurações proposta devidamente feitas, obedecendo todas as determinações
neste guia, é preciso fazer uma validação para saber se realmente se esta
interface entre as que fazem rota e NAT no Pfsense. Isso é importante por que
em caso de queda de do link principal, o link atual esteja pronto para entrar
em ação, seja de forma direta com alteração de rota manual ou através de
failover ou loadbalance. Na barra de menus clicar em System\Routing, na tela
abaixo aparecerá apenas os links com função de roteamento.
Ainda na tela a cima
podemos vincular o gateway a um grupo de gateways que poderá ser usado como
balanceamento de carga, mas para proposta desse guia não é uma prioridade.
Trabalhando regras de
firewall.
Como o título sugere
iremos mostrar de forma simples de apenas uma regra sendo criada em uma
interface, para isso é óbvio que o menu a ser utilizado é o de firewall. Após
isso basta aplicar a ideia em qualquer interface.
IMPORTANTÍSSIMO
Antes de partir para
qual criação regras, você precisa compreender que o firewall no Pfsense exige
que se uma regra vai ser aplicada em uma determinada interface de origem em
direção a outro destino qualquer, WAN (destino) por exemplo, a regra
obrigatoriamente deverá ser criada na origem, seja liberação de IP, abertura de
porta etc. Caso contrário a regra não funcionará. Entendido essa parte,
passamos a diante.
Você clica em um dos botões verdes
para criar a regra, por que depois de criada você clicar e arrastar a regra
para cima ou para baixo.
Vai abrir a tela de
criação da regra veja as partes contornadas onde você escolhe a interface de
origem e de destino. Abro um ponto aqui para dizer que pode criar uma regra de
qualquer origem para qualquer destino a partir da tela que vai abrir, o que vai
fazer diferença será exatamente a origem e o destino. Vamos lá a imagem.
Essa tela eu dividi a
tela em três, mas é uma tela só. A interface de origem é onde a regra que está
sendo criada. Em Source (fonte) você vai definir a fonte de tráfego, pacote, etc.,
Mas por padrão usamos basicamente duas opções nessa configuração. Não confunda
fonte de dados, tráfegos, pacote com interface que hospedará a regra. “Single
host or alias” ou “ ‘nome da interface’ Address”. Em muitos casos é usado
“Any”, mas essa opção torna a conexão menos segura dependendo da interface,
torna o processo mais leve por falta de filtro, mas não é boa prática. Haverá
momentos que será usada dessa forma.
O destino segue a
mesma ideia. Resumindo faça o simples que funciona.
Concluindo essas
configurações, clicar em salvar e posteriormente em aplicar.
Essa breve
apresentação se aplica a criação de regra em qualquer interface. Evite criar
muitas regras desnecessárias que não serão usadas por estarem muitas vezes
feita corretamente, mas na interface errada.
Configuração
DHCP
A configuração aqui apresentada é apenas uma coisa simples sobre esse serviço de distribuição do IPs. A configuração mostrada na imagem mostra uma configuração básica suficiente para ter uma rede recebendo IP e funcionando sem DHCP estático, porém não irei abordar esse tipo de configuração.
Olhando para imagem a
cima quero destacar algo de suma importância é que o administrador do Pfsense
precisa saber a configuração de rede disponível para assim poder proceder com
disposição dos IPs que serão distribuídos para rede.
Algo a ser destacado
aqui é que não é recomendado que tenha mais de um servidor DHCP na mesma rede.
Nos primórdios da configuração de rede, quando isso acontecia toda rede parava,
atualmente pode acontecer a mesma coisa. Pode até funcionar temporariamente mas
pode parar e voltar novamente e ficar num loop de problemas que pode se
comportar de forma extremamente inconsistente. Outra coisa não mesmo importante
é que não pode em hipótese alguma ter o mesmo IP em dois equipamentos
diferentes. Isso faz com que os dois equipamentos parem de funcionar por causa
de um problema classificado como “Conflito de IP”.
Para um melhor
entendimento sobre DHCP recomendo um melhor estudo sobre o assunto.
Conclusão.
Essas configurações são suficiente para deixar o Pfsense que já estava instalado e com uma interface WAN funcionando, com outra adicionada, essas configurações básicas tem NAT, DHCP e firewall pronto.
Espero ter ajudado.
Nenhum comentário:
Postar um comentário