segunda-feira, 21 de agosto de 2023

PROCEDIMENTOS BÁSICOS - PFSENSE

 

PROCEDIMENTOS BÁSICOS - PFSENSE





Apresentação básica das funções.

1.1 – Neste guia iremos abordar algumas ações que devem ser tomadas no dia a dia normal de trabalho, não vamos falar sobre instalação ou implantação. Daremos ênfase a interfaces, WAN, LAN, servidor DHCP com endereçamento de IP, regras de firewall, NAT básico com associação de regras, controle de velocidade de banda e proxy (Cache) transparente.

2 – O Dashboard do Pfsense.

 

A apresentação do Pfsense sempre mostra os detalhes de acordo com o gosto administrador do Pfsense, por isso não podemos definir o que vai ou não aparecer. A imagem a seguir mostra a parte superior da tela inicial.




No primeiro momento da abertura do Pfsense essa será a tela de abertura que pode variar de acordo com configuração feita previamente. É recomendado deixar visível os serviços mais importantes, como status das interfaces principalmente as de internet, pois as de acesso ao firewall estará em modo UP pois certamente só será possível acessar caso as interfaces internas estiverem acessíveis. 


Cada menu desse leva você a uma infinidade de possibilidades de configurações, mas como dito antes abordarei apenas o necessário. Segue aqui a orientação de estudar para melhor entender como funciona cada recurso necessário na sua realidade. Por isso nunca será necessário usar todos os recursos disponíveis.


Interfaces de rede.

 

Podemos dizer que a forma como o Pfsense trata as interfaces é uma das melhores maneiras trabalhar por dá a possibilidade de escolher qual interface usar para qualquer serviço, ou seja, fica a seu critério para usar qualquer interface, o que importa a configuração da regra correta nas interfaces. Para acessar as configurações de interfaces de forma visível está no menu superior interfaces/assignments, vai abrir a tela a baixo:



Essa tela está todas as possíveis configurações possíveis para fazer, porem recomendo configurar apenas o necessário dentro da sua realidade, não configurar nada sem o conhecimento prévio.

 

Definindo uma NOVA interface como WAN.

 

Essa parte deste guia é muito importante, pois na configuração inicial do Pfsense ainda no console de instalação você só tem a possibilidade de escolher uma única interface WAN. A proposta aqui é adicionar uma segunda interface WAN que atuará como redundância. É a forma mais prática e funcional.

 

A primeira escolha a interface e defina a forma como ela vai se conectar na internet. Vamos tomar como exemplo o uso de IP estático que a forma mais utilizada pela maioria dos provedores de internet. Normalmente o provedor fornece os endereços IPs e máscara de rede. O que realmente difere essa interface das demais é a configuração de uma rota por meio de um gateway para interface. Por simples que seja essa percepção é importante pois ela define efetivamente que o Pfsense estará navegando por meio desta interface. 





Mais ainda falta uma configuração importante. Antes veja como definir as configurações mencionadas aqui. Definimos uma descrição configurando a interface para conectar de forma estática, e recomendo fortemente para não usar IPV6 em redes privadas.

Depois de realizar essa configuração da interface é preciso informar que alguma outra interface irá acessar a internet por meio dessa, isso é feito por meio de uma regra de firewall.

 

Obs.: No Pfsense que estamos usando para fazer esse guia tem duas interfaces WAN.

 

Configurações de NAT no Pfsense necessário quando estamos adicionando nova WAN, lembre-se, estamos configurando nova WAN com base numa outra existente, por observe com atenção todos os passos e imagens. A imagem a baixo é acessada no menu “Firewall”, na tela seguinte, clique na aba/menu “Outbound” (saída).

 



Não altere nada, absolutamente nada, apenas clique na opção para copiar a regra, vai abrir uma nova tela, nessa tela você altera. Observe que contornei de amarelo e mostrei como interface original ou única. Por que estamos partindo da ideia de que só temos um link e estamos adicionando a interface que nos referimos anteriormente, na imagem anterior.

 

Na tela seguinte observe que te mostra a interface “WAN1” mostrada a cima. Altere apenas essa interface que será a segunda ou próxima interface atuará como WAN também.


CONFIRMAR QUE A INTERFACE ESTÁ FAZENDO ROTA.

 

Depois de todas as configurações proposta devidamente feitas, obedecendo todas as determinações neste guia, é preciso fazer uma validação para saber se realmente se esta interface entre as que fazem rota e NAT no Pfsense. Isso é importante por que em caso de queda de do link principal, o link atual esteja pronto para entrar em ação, seja de forma direta com alteração de rota manual ou através de failover ou loadbalance. Na barra de menus clicar em System\Routing, na tela abaixo aparecerá apenas os links com função de roteamento.

Ainda na tela a cima podemos vincular o gateway a um grupo de gateways que poderá ser usado como balanceamento de carga, mas para proposta desse guia não é uma prioridade.

 

Trabalhando regras de firewall.

 

Como o título sugere iremos mostrar de forma simples de apenas uma regra sendo criada em uma interface, para isso é óbvio que o menu a ser utilizado é o de firewall. Após isso basta aplicar a ideia em qualquer interface.

 

IMPORTANTÍSSIMO

Antes de partir para qual criação regras, você precisa compreender que o firewall no Pfsense exige que se uma regra vai ser aplicada em uma determinada interface de origem em direção a outro destino qualquer, WAN (destino) por exemplo, a regra obrigatoriamente deverá ser criada na origem, seja liberação de IP, abertura de porta etc. Caso contrário a regra não funcionará. Entendido essa parte, passamos a diante.


Você clica em um dos botões verdes para criar a regra, por que depois de criada você clicar e arrastar a regra para cima ou para baixo.



Vai abrir a tela de criação da regra veja as partes contornadas onde você escolhe a interface de origem e de destino. Abro um ponto aqui para dizer que pode criar uma regra de qualquer origem para qualquer destino a partir da tela que vai abrir, o que vai fazer diferença será exatamente a origem e o destino. Vamos lá a imagem.

 


Essa tela eu dividi a tela em três, mas é uma tela só. A interface de origem é onde a regra que está sendo criada. Em Source (fonte) você vai definir a fonte de tráfego, pacote, etc., Mas por padrão usamos basicamente duas opções nessa configuração. Não confunda fonte de dados, tráfegos, pacote com interface que hospedará a regra. “Single host or alias” ou “ ‘nome da interface’ Address”. Em muitos casos é usado “Any”, mas essa opção torna a conexão menos segura dependendo da interface, torna o processo mais leve por falta de filtro, mas não é boa prática. Haverá momentos que será usada dessa forma.

 

O destino segue a mesma ideia. Resumindo faça o simples que funciona.

 

Concluindo essas configurações, clicar em salvar e posteriormente em aplicar.

 

Essa breve apresentação se aplica a criação de regra em qualquer interface. Evite criar muitas regras desnecessárias que não serão usadas por estarem muitas vezes feita corretamente, mas na interface errada.


Configuração DHCP

A configuração aqui apresentada é apenas uma coisa simples sobre esse serviço de distribuição do IPs. A configuração mostrada na imagem mostra uma configuração básica suficiente para ter uma rede recebendo IP e funcionando sem DHCP estático, porém não irei abordar esse tipo de configuração.


Olhando para imagem a cima quero destacar algo de suma importância é que o administrador do Pfsense precisa saber a configuração de rede disponível para assim poder proceder com disposição dos IPs que serão distribuídos para rede.

 

Algo a ser destacado aqui é que não é recomendado que tenha mais de um servidor DHCP na mesma rede. Nos primórdios da configuração de rede, quando isso acontecia toda rede parava, atualmente pode acontecer a mesma coisa. Pode até funcionar temporariamente mas pode parar e voltar novamente e ficar num loop de problemas que pode se comportar de forma extremamente inconsistente. Outra coisa não mesmo importante é que não pode em hipótese alguma ter o mesmo IP em dois equipamentos diferentes. Isso faz com que os dois equipamentos parem de funcionar por causa de um problema classificado como “Conflito de IP”.

 

Para um melhor entendimento sobre DHCP recomendo um melhor estudo sobre o assunto.


Conclusão.


Essas configurações são suficiente para deixar o Pfsense que já estava instalado e com uma interface WAN funcionando, com outra adicionada, essas configurações básicas tem NAT, DHCP e firewall pronto.


Espero ter ajudado.




Nenhum comentário:

NEOBUX

https://www.neobux.com/imagens/banner9/?u=arimateiab&u3=34402090