Académique Documents
Professionnel Documents
Culture Documents
al
alm
l
m d
de
e um
u firewall
48
SEGURANA
49
Download e requisitos
Ao visitar a pgina de downloads para procurar um espelho de onde possa baixar a
ferramenta, talvez fique espantado com a
quantidade de arquivos disponveis (figura 1).
Normalmente, no entanto, tudo de que voc
vai precisar da imagem ISO de 100 MB com
o nome pfSense-2.0-RELEASE-i386.iso.gz, que
est no final da pgina. Se voc tem um sistema AMD64, faa o download da verso pfSense-2.0-RELEASE-amd64.iso.gz. Se voc gravar a
imagem em um CD, poderr fazer boot a partir
desta mdia tanto para chegar ao programa de
instalao quanto para executar um sistema diretamente do CD (modo Live, ou seja, sem necessidade de instalao). Neste segundo modo,
alguns recursos ficam indisponveis, de forma
que faz mais sentido instalar a distribuio no
computador ou em uma mquina virtual.
Voc tambm pode encontrar verses especficas para pendrives. Essas verses oferecem
50
Instalao
Aps fazer boot do Live CD, deixe o menu FreeBSD ao pressionar [Enter] ou espere por dez
segundos (figura 3). Se um problema ocorrer durante o processo de boot, tente outras opes de
boot. A opo 2 tenta fazer boot com os switches
ACPI desligados; a opo 4 o faz em modo de
segurana; e a opo 6 faz com que o FreeBSD
que alicera o boot entre em modo verbose (exibe na tela todos os passos que est realizando), de forma que voc identifique quaisquer
hardwares com comportamento inadequado.
Se tudo funcionar, o pfSense perguntar se
voc quer iniciar a instalao ou executar o sistema direto no CD (figura 4). uma boa ideia fazer
a escolha dentro do limite de dez segundos. Se
no o fizer, o pfSense automaticamente executar o sistema direto do CD. Se isso acontecer, voc
www.admin-magazine.com.br
ter de responder as mesmas perguntas que respondeu no primeiro boot feito no disco.
Ao escolher a opo de instalao, ser iniciado um assistente. Na primeira tela, possvel
aceitar os padres de fonte e teclado ao pressionar Accept these Settings (figura 5). Na verso Quick/Easy Install, confirme o prompt de segurana
e o assistente apagar o primeiro disco rgido,
configurando o pfSense no espao disponvel.
Essa a escolha certa no exemplo, uma vez que
vou instalar o pfSense em um computador de
laboratrio. Voc s precisar de uma instalao
personalizada (Custom) se quiser particionar e
configurar o disco manualmente.
Uma vez tendo o pfSense instalado no disco,
necessrio decidir qual kernel usar. Em um
PC padro, o primeiro item, Symmetric multiprocessing kernel, ser a escolha certa. O modo
Embedded kernel usado em sistemas embarcados que no tm tela (ou uma placa grfica) ou
teclado e o modo Developers kernel s interessante para desenvolvedores do pfSense.
Finalmente, voc precisa reiniciar a mquina, remover o CD e esperar que o pfSense
faa boot do disco. Voc ver um menu de
boot familiar, o qual pode pular pressionando
[Enter]. Aps um tempo, o pfSense mostrar
uma lista de interfaces de rede e perguntar
qual voc quer configurar como VPN. Isso s
ser necessrio se voc implementar o pfSense exclusivamente entre ou com VPNs. J que
voc pode configurar o recurso VPN de forma mais conveniente na interface web posteriormente, responda n para essa questo.
A prxima coisa que o pfSense quer saber
o nome da interface WAN (figura 6). A lista com
as interfaces de rede de grande ajuda aqui. Se
voc estiver em dvida, pode dizer ao pfSense
para identificar a interface correta sozinho. Para
tanto, desconecte todos os cabos de rede do computador, pressione a tecla [a], conecte o cabo da
WAN, pressione a tecla [Enter] e veja se o pfSense identificou a interface automaticamente. No
prximo passo, ser necessrio inserir o nome
das interfaces LAN com um procedimento similar. Se voc tem vrias interfaces, simplesmente
repita os passos tantas vezes quanto necessrio.
Novamente, o pfSense tem uma opo para deteco automtica. Aps registrar todos as placas
de rede, pressione a tecla [Enter] quando o sistema pedir uma nova placa. O pfSense lista todas
as configuraes. Se todas estiverem corretas,
pressione y. Quando o menu da figura 7 aparecer, voc conseguiu completar a instalao com
sucesso. O pfSense agora funcionar como uma
Admin Magazine #5 | Maro de 2012
SEGURANA
Figura 10 O painel de controle oferece diversas informaes teis sobre a situao atual do sistema.
Voc pode reorganizar os widgets clicando e
arrastando-os com o mouse.
51
Com a mo na massa
Nmeros
52
Regras
Ao analisar os campos Firewall/Rules, note que
o firewall bloqueia todos os pacotes de entrada da WAN por padro. De forma similar, todos os PCs na LAN possuem a permisso de
abrir conexes de sada. Para criar uma nova
regra, pressione o pequeno boto com sinal de
mais no canto superior direito. Isso o leva ao
formulrio onde ser possvel criar regras com
apenas alguns cliques (figura 13).
Tome cuidado, nesse caso, com duas armadilhas: todas as mquinas na LAN sempre
tm acesso ao computador com o pfSense por
conta de uma regra Anti-Lockout, que no editvel. Mesmo com a regra exibida na figura 13,
o computador com o endereo IP 192.168.1.66
ainda tinha a possibilidade de usar SSH para
logar na mquina servidora do pfSense (isso
presume que exista um acesso SSH habilitado).
Para evitar isso, voc pode desabilitar a regra
Anti-Lockout em System/Advanced ao desmarcar
a caixa correspondente. No entanto, isso significa correr o risco de bloquear seu prprio acesso ao sistema por conta de algum erro.
Alm disso, o firewall processa todas as regras de cima para baixo. A primeira regra vlida prevalece e o pfSense ignora todas as outras. Voc pode mover uma regra nessa lista ao
selecion-la e pressionar o cone com a seta at
Admin Magazine #5 | Maro de 2012
SEGURANA
Figura 14 A opo Expiration Date permite que voc defina a data em que o pfSense automaticamente
desabilitar a conta de usurio.
Departamento pessoal
Antes que seus usurios LAN comecem a
acessar a Internet, precisam estar autenticados
em uma pgina especial de portal digitando o
nome de usurio e senha. Para que isso acontea, primeiramente necessrio armazenar
essas credenciais no pfSense. Para as coisas ficarem mais fceis, vou usar o User Manager, um
gerenciador de usurios includo no pfSense,
Figura 15 Um usurio LAN precisa digitar um nome de usurio e senha para ter acesso Internet. Voc pode,
claro, modificar a aparncia dessa pgina.
53
Mais informaes
[1] pfSense: http://www.pfsense.org
[2] PF e Scrubbing: http://docstore.mik.ua/
manuals/openbsd/faq/pf/scrub.html
[3] Protocolo CARP: http://en.wikipedia.org/
wiki/Common_Address_Redundancy_Protocol
[4] Captive portal: http://en.wikipedia.
org/wiki/Captive_Portal
[5] Requisitos de hardware para o pfSense: http://
www.pfsense.org/index.php?option=com_
content&task=view&id=52&Itemid=49
[6] Wiki do pfSense: http://doc.pfsense.
org/index.php/Main_Page
[7] Dispositivos pfSense: http://www.pfsense.
org/index.php?option=com_content&task=
view&id=44&Itemid=50
54
Concluso
Nesse artigo, ofereci apenas uma viso geral sobre os recursos bsicos do pfSense, que muito
mais abrangente. Infelizmente, a documentao ainda fraca e o wiki um pouco pobre em
informaes [6] e tanto esse artigo quanto os
livros disponveis no mercado abordam verses mais antigas. Muito do contedo ainda
aplicvel e se voc est familiarizado com servios do tipo, encontrar os recursos de que
necessita intuitivamente. Alm disso, muitas
empresas comearam a oferecer hardware ou
dispositivos com o pfSense pr-instalado. Uma
lista de empresas recomendadas pelos desenvolvedores est disponvel no endereo [7].
www.admin-magazine.com.br