Linux

pfSense 2.0.3 –Transforme a sua máquina num router/firewalll

35 Comentários

Como sabemos, o sistema operativo Linux é bastante flexível e permite implementar facilmente muitos serviços fundamentais numa rede de dados. De referir que muitos dos equipamento activos de rede que conhecemos têm dentro o sistema operativo Linux “embrulhado” numa caixa bonita.

No  pplware já ensinamos como configurar vários servidores Web como por exemplo oCherokee, o Lighttpd e o popular Apache (todos eles com suporte para Apache + PHP e MySQL). Já conhecemos também a distribuição Vyatta e alguns serviços que disponibiliza (como por exemplo DHCP), entre outros serviços. Também já apresentamos o IPFire que permite implementar facilmente serviços de firewall, proxy, file server, VPN, etc.

Hoje vamos conhecer as novidades de pfSense 2.0.3 que permite transformar uma simples máquina num router/firewall.

pfsense_000

O pfSense é uma solução gratuita, baseada no FreeBSD, que permite transformar qualquer máquina num super e potente router/firewall. Esta plataforma é bastante popular e adaptável a qualquer cenário de rede de dados (ex. rede doméstica, rede empresarial, rede universitária, etc). pfsense_04 O projecto pfSense iniciou-se em 2004, como um fork do popular m0n0wal,  tendo como principal objectivo transformar um simples PC num router/firewalll e não dependendo de qualquer hardware específico.

Principais funcionalidades

Firewall

  • Filtragem por endereço IP de origem e destino, protocolo IP, porto de origem e destino para tráfego TCP e UDP
  • Capaz de limitar as ligações simultâneas para cada regra
  • pfSense permite filtrar ligações baseado no Sistema operativo que a iniciou.
  • Opção para registar (log) o tráfego correspondente a cada regra.
  • Política de routing altamente flexível, sendo possível selecionar o gateway associado com a regra (para balanceamento de carga, failover, múltiplas WAN, etc)
  • Permite a criação de grupos de IPs, redes e portos e usá-los na criação de regras. Isso ajuda a simplificar as redes de firewall e torna-as de fácil compreensão, especialmente em ambientes com múltiplos IPs públicos e diversos servidores.
  • Capacidade para operar em modo transparente na camada 2 – pode ligar interfaces em modo bridge e filtrar o tráfego entre elas, podendo configurar um firewall sem endereço IP
  • Normalização de pacotes

pfsense_01 Network Address Translation (NAT)

  • Redireccionamento de portos, incluindo faixas e a utilização de múltiplos IPs públicos
  • Redireccionamento 1:1 para o IP ou sub-redes inteiras
  • NAT de saída
  • Reflexão NAT

pfsense_02 Balanceamento de carga

  • Balanceamento de carga de saída – Balanceamento de carga de saída é utilizado com várias ligações WAN para fornecer balanceamento na carga e failover. O tráfego é direcionado para o gateway desejado ou uma pool de balanceamento de carga, configuração feita para cada regra de firewall
  • Balanceamento de carga de entrada – Balanceamento de carga de entrada é usado para distribuir a carga entre vários servidores, isto é comum usado em servidores web, servidores de email e outros. Os servidores que não respondem às solicitações ping ou ligações da porta TCP são removidos do pool.

VPN

  • O pfSense oferece três tipos de ligações para VPN, IPsec, OpenVPN, e PPTP.

Servidor PPPoE

  • O pfSense oferece um servidor PPPoE. Uma base de dados local pode ser usada, assim como RADIUS para autenticação com suporte opcional para accounting.

Gráficos RRD Os gráficos pfSense RRD matêm o histórico das informações sobre o seguinte:

  • Utilização da CPU
  • Throughput total
  • Estados da firewall
  • Throughput individual para todas as interfaces
  • Taxa de pacotes por segundo de todas as interfaces
  • Tempo de resposta a ping do(s) gateway(s) da interface WAN
  • Filas de traffic shaper em sistemas com priorização de tráfego permitido

pfsense_00 DNS Dinâmico Um cliente DNS Dinâmico está incluído para que se possa registar o nosso endereço IP público com um número de serviços de DNA dinâmico:

  • DynDNS
  • DHS
  • DyNS
  • easyDNS
  • No-IP
  • ODS.org
  • ZoneEdit

Captive Portal O Captive Portal permite que se force a autenticação, ou o redireccionamento para uma página de acesso à rede. Isto é normalmente usado em redes com Hotspot, mas também é amplamente utilizado em redes corporativas como uma camada adicional de segurança em wireless e acesso a Internet. DHCP Servidor e Relay

  • PfSense inclui também funcionalidades DHCP server e relay

pfsense_03Principais novidades do pfSense 2.0.3

  • Vários bugs corrigidos
  • OpenSSL 0.9.8
  • dnsmasq  2.65
  • rsync  3.0.9
  • links 2.7
  • rrdtool  1.2.30
  • PHP  5.2.17_13
  • Várias melhorias no Captive Portal
  • Melhorias no sistema de Logging

Verifique todas as novidades aqui

De referir que como o sistema traz também o OpenVPN, no inicio do ano a Apple Store ganhou a versão cliente que pode ser instalada a partir daqui.

Download: PfSense 2.0.3

Homepage:  PfSense

PUB
Autor: Pedro Pinto
Partilhar:
Tags:
firewall pfSense router

PUB.

Questão Semanal

Deveria haver uma marca obrigatória em todas as imagens geradas por IA?

Ver Resultados

Loading ... Loading …
Arquivo de Questões

PUB.

Velocímetro Pplware

Teste a velocidade da sua Internet
Pplware Classics…
Artigo anterior

Pplware Classics…
Nintendo no Iberanime LX 2013!
Próximo artigo

Nintendo no Iberanime LX 2013!
PUB

Comentários

35

Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *

  1. Avatar de Rafael Souto
    Rafael Souto

    Era mesmo isso que estava a procura para transformar um PC que está parado em algo útil 🙂 Vamos testar!

    Kudos Pplware!

    Responder
  2. Avatar de Carlos Vicente
    Carlos Vicente

    Outros do género:

    Endian – http://www.endian.com
    IPCop – http://www.ipcop.org

    Responder
  3. Avatar de Bruno
    Bruno

    Boas, com isto posso por exemplo… usar uma maquina antiga (amd xp 2000+, 2gb de ram…) como router em vez do router thomson meo?
    Se sim, as configurações são simples?
    É que olhando para os prints, parece tudo demasiado complexo =\

    Responder
  4. Avatar de Frede Silva
    Frede Silva

    Eu conheço uma grande opção. UNTANGLE.

    Responder
  5. Avatar de João Carreira
    João Carreira

    Testado e comprovado! 🙂
    Utilizaei para um projecto onde tinha cerca de 120 a 150 utilizadores numa maquina com um pentium III!

    Responder
  6. Avatar de Nuno Proença
    Nuno Proença

    Boas.
    Há uns 5 anos (+/- quando se iniciou o fork desta distro) instalei isto num pentium (uma máquina fraquita já à época) a servir uma escola (nos picos tinha uns 100 utilizadores simultâneos).
    Tinha a funcionar o squid com blacklists, port forwarding, traffic shaping, VPN, e se bem me lembro também tinha VLANs.
    Só me ficou a faltar colocar o SSO a funcionar ligado ao controlador de domínio.
    Trabalhava lindamente sem um único problema, e tudo automatizado.
    Antes de ter optado por esta experimentei (em sistemas de produção) o m0n0wall, ipcop e mais umas duas ou três distros de que já não me lembro o nome.
    Nunca mais usei nenhuma outra solução de firewall opensource a não ser esta.
    Ficam os meus 5 cêntimos.

    Responder
  7. Avatar de Nuno Mendes
    Nuno Mendes

    Onde será que já vi isto escrito ?!!?! 16 de Outubro de 2012 🙂

    Responder
  8. Avatar de Aldebaran
    Aldebaran

    Sugiro o uso tambem do BFW (BrazilFW) uma distro baseada no antigo Coyote, inclusive possui suporte a plugins, o que deixa ele ainda mais atrativo…

    Responder
  9. Avatar de Carlos
    Carlos

    Muito bom post…
    Agora vou desafiar-vos a ajudarem-me. Eu não sou nenhum especialista em redes por isso perdoem-me a minha ignorância, mas como gostava de implementar um pfsense venho pedir ajuda.

    Tenho um DC (Win 2008) c/ AD e com os serviços de DNS+DHCP integrados. todos os utilizadores se autenticam na AD. Nesta estrutura como posso integrar o pfsense obrigando a todo o trafego a passar lá??

    Responder
    1. Avatar de Nuno Silva
      Nuno Silva

      No DHCP atribuis a opção de Router ao IP do pfSense. 🙂

      Responder
      1. Avatar de Carlos
        Carlos

        Podes explicar melhor como tudo isso funciona, ou então indicar-me algo que possa ler para perceber como tudo pode funcionar?

        Responder
        1. Avatar de Nuno Silva
          Nuno Silva

          o Pfsense terá que ser configurado para servir de gateway da rede que queres controlar, podes usar para isso as opções da scope no DHCP Server:

          http://goo.gl/29gr5

          Responder
          1. Avatar de Carlos
            Carlos

            Desculpa a minha burrice, mas depois consigo autenticar os utilizadores na AD e filtrar o conteúdo web por utilizador?

          2. Avatar de Nuno Silva
            Nuno Silva

            Autenticação na AD não tem nada a ver com a pfSense…no minimo terás de criar regras na pfSense se a rede dos utilizadores e a rede do servidor da AD estiverem forem diferentes para permitir o trafego.

            Por utilizador acho que não consegues especificar, podes definir as ACLS gerais por categoria de conteudo e depois criar “excepções às regras”!

        2. Avatar de JC
          JC

          Eu tive um problema semelhante, tens de ter atenção a prioridade dos servidores DNS, vamso supor que puseste o pfSense como Gateway, quando ele for dar ips tem que dizer para por como dns primario o windows server, depois entao pões o pfsense como secundario e assim sussecivamente, pois aquilo que vai acontecer, visto que é o pfsense a dar os ips, o cliente vai saltar directamente para a GW sem parar na ADS…
          Espero ter ajudado, Abraço

          Responder
  10. Avatar de Ricardo Barbosa
    Ricardo Barbosa

    pfsense é baseado em FreeBSD contudo lendo o artigo apenas no 4º parágrafo tal aparece mencionado. Isto após os primeiros paarágrafos falarem em Linux, o que induz os leitores a pensar que é mais uma distro de Linux.

    Linux =/= FreeBSD

    Sinceramente, actualizem o artigo e clarifiquem este ponto.

    Responder
  11. Avatar de Gonçalo
    Gonçalo

    É sem dúvida a minha Firewall/Router de eleição, prática, versátil, fácil de implementar, fácil de monitorizar e com funcionalidades extra que se podem adicionar, mediante as necessidades.

    Na minha perspectiva, muito melhor que o IPcop que usei antes de conhecer esta.

    Responder
    1. Avatar de Nuno Silva
      Nuno Silva

      A tua “cara” não me é estranha…

      Responder
    2. Avatar de sibilhato
      sibilhato

      Só uma pequena correcção , pfsense não é baseado em linux mas sim em freeBSD.
      Uso em ambiente empresarial já desde a versão 1.0 e é realmente muito fiável e leve.

      Cumprimentos

      Responder
  12. Avatar de Nuno Silva
    Nuno Silva

    Recomendo!

    E utilizando o package do SquidGuard com uma blacklist, é o 2 em 1: firewall e controlo de conteúdos!

    Gosto também dos delimitadores de banda para aqueles utilizadores mais teimosos que, apesar de ser permitido, passam o dia a ver filmes no Youtube 😉

    Responder
    1. Avatar de JC
      JC

      Consegues filtrar conteudo HTTPS com o SquidGuard?

      Responder
      1. Avatar de Nuno Silva
        Nuno Silva

        A filtragem não é feita mediante o protocolo de comunicação do site, mas sim a sua reputação na blacklist (ou ausência de reputação na blacklist)

        Responder
  13. Avatar de DiogoS
    DiogoS

    nao percebo nada disto, é a primeira vez que ouco falar mesmo, expliquem-me uma coisa, isto dá para criar algum tipo de servidor? conectar a net lá de casa e transmitir por cabo e wireless?

    ou é para outra utilizacao que nao estou a ver…

    Expliquem como se fosse uma crianca mesmo =)

    Thx

    Responder
  14. Avatar de Redin
    Redin

    Penso que este artigo estará destinado a utilizadores que queiram criar uma rede e não propriamente para uma existente como aquele que a maioria de nos temos em casa.
    Ao falar de uma rede tipo ZON, Vodafone, Optimus, M4O etc, estamos a falar de redes onde o router já existe e como tal sendo fornecido por essas companhias. Esta alternativa aqui apresentada não estará propriamente dirigida a eles.
    Não estou a ver a possibilidade de conseguir ligações para telefone ou iptv por exemplo.
    Aguarde mais informações. obrigado.

    Responder
  15. Avatar de Ricardo Lino Olonca
    Ricardo Lino Olonca

    Muito boa essa ferramenta. Escrevi um artigo em meu blog.

    http://ricardoolonca.blogspot.com.br/2013/01/pfsense-um-software-completo-para-teu.html

    Responder
  16. Avatar de rtrex
    rtrex

    Começamos mal…

    “Como sabemos, o sistema operativo Linux..”

    Talvez PFsense é Freebsd e não Linux e não não é igual… é parecido em algumas coisas.

    Responder
  17. Avatar de jpng81
    jpng81

    Acho o pfsense espetacular.
    Mas falar apenas no pfsense não é suficiente, acho que para configurar o pfsense deveriam falar também a nível do “router” ou “modem” que a pessoa tenha para fazer a ligação á net.
    No meu caso ainda tenho um modem thomson dos antigos e fica logo a funcionar á primeira pois o pfsense obtem imediatamente o ip dado pelo dhcp do modem. Agora quando existe a situação que o utilizador apenas tem um “router” que portas ou configuração é preciso fazer … usar ou não usar DMZ … para não falar que determinados routers vêem com um firmware bastante limitado pelos ISP’s.
    Neste momento estou a deparar-me com um Router da Meo TG799nv que parece ser uma verdadeira dor de cabeça, pois nem sei como fazer com que o router funcione apenas como modem. E mesmo defenindo o ip do pfsense como DMZ estou a ter bastantes dificuldades em detectar qual dos dois me esta a bloquear ligações por SSH para dentro da rede.

    Responder
    1. Avatar de Nuno Silva
      Nuno Silva

      Antes de se meterem a configurar uma pfSense para casa, pensem “Eu preciso de uma pfSense? Se não souberem responder à pergunta, então é porque não precisam! Os modem routers dos ISP’s já fazem aquilo pelo qual pagamos, um acesso à internet com alguma segurança através da firewall interna do equipamento, todos os restantes cenários já tem um enquadramento empresarial e precisam de ser pensados com calma.
      Até à data estou satisfeito com a pfSense e ainda não tive necessidade de algo mais robusto, com a grande vantagem do dinheiro poupado (firewall, gestor de conteúdos (squidguard), gestor de tráfego (bandwithd), proxy reports, limitador de banda por utilizar/grupo)

      Responder
      1. Avatar de jpng81
        jpng81

        @Nuno Silva uso a nível pessoal para poder brincar e aprender como o pfsense funciona e também para implementar a nível empresarial (proxy squid com antivirus) com controlo de acesso a websites.

        Responder
        1. Avatar de Nuno Silva
          Nuno Silva

          Não digo que não, mas também a nível empresarial é possível configurar uma pfSense e testar…lembra-te que isto é um gateway, basta configurar e alterar no teu PC o default gateway para testar o comportamento.
          A questão é que a nivel ‘doméstico’, todos temos ligações ditas comerciais, em que temos um modem/router/firewall em casa, ao meter mais um equipamento, ficas com 2 equipamentos para fazer troubleshooting caso algo falhe!

          Na altura da implementação, uma maneira que usei para testar uma pfSense sem alterar nada na infraestrutura já em produção foi, depois de instalada e configurada, alterar no DHCP Server a opção Router para o IP da interface LAN da pfsense…não forcei os renews da lease, à medida que as leases expirassem os utilizadores iriam buscar o novo gateway da Pfsense!

          (e vê-los a estrebuchar porque não podiam aceder a site X ou Y por causa da blacklist? Priceless 😛 )

          Responder
  18. Avatar de Ricardo Valério
    Ricardo Valério

    Desculpe a ignorância mas não consigo gravar a imagem baixada em uma mídia de inicialização, diz que o formato da imagem não é suportado, já baixei vários arquivos la, dos muitos que estão disponíveis, porém quando extraio do do .GZ para uma pasta contendo a .img qqer programa de gravação dá esse erro mencionado acima.
    Alguém poderia me ajudar?

    Responder
  19. Avatar de Eduardo Caetano Silva
    Eduardo Caetano Silva

    O Servidor PPPoE permite configurar várias contas para autenticação e limitar cada conta a apenas uma máquina?

    Responder
  20. Avatar de Leandro
    Leandro

    Olá amigos,

    Onde trabalho, tenho duas empresas distintas mas usam a mesma LAN.

    Minha ideia seria por o pfSense com 4 interfaces.

    A 1ª e 2ª para meus links WAN (OI e GVT).

    A 3ª e 4ª seria configuradas como LAN com faixas de IP diferentes onde ficaria uma pra cada empresa como no exemplo abaixo:

    LAN1 > 192.168.1.1 (DHCP ATIVO)
    LAN2 > 10.0.0.1 (DHCP ATIVO)

    Isso é possível?

    Tentei fazer um lab em casa pra testar mas a internet só funciona na LAN1.

    Agradeço desde já pela ajuda!

    Responder
    1. Avatar de Ricardo Lino Olonca
      Ricardo Lino Olonca

      Sim, é possível fazer. Só não entendi como “duas empresas usam a mesma vlan”. Cada interface “interna” no pfSense deve ficar em vlans fisicamente isoladas.

      Responder
  21. Avatar de Leandro
    Leandro

    Olá Ricardo,

    Até o momento não temos nenhuma VLAN, nem segurança alguma pra falar a verdade.

    Estou estudando as possibilidades agora pois recentemente fomos vítima de ataques e nossas estão crescendo muito a cada dia que passa.

    Irei revisar minhas configurações do pfsense em laboratório.

    Obrigado.

    Responder
Aviso:

Todo e qualquer texto publicado na internet através deste sistema não reflete, necessariamente, a opinião deste site ou do(s) seu(s) autor(es). Os comentários publicados através deste sistema são de exclusiva e integral responsabilidade e autoria dos leitores que dele fizerem uso. A administração deste site reserva-se, desde já, no direito de excluir comentários e textos que julgar ofensivos, difamatórios, caluniosos, preconceituosos ou de alguma forma prejudiciais a terceiros. Textos de caráter promocional ou inseridos no sistema sem a devida identificação do seu autor (nome completo e endereço válido de email) também poderão ser excluídos.