LaFS Treinamentos

Tutorial do pfSense

NATAL/ RN
2015
Introdução

O presente tutorial foi desenvolvido pela LaFS Treinamentos e tem o objetivo de

mostrar passo a passo o caminho para a consulta de diversos serviços, realizar algumas tarefas
simples e até mesmo ensinar como fazer algumas configurações. A versão do pfSense usada para a
confecção deste foi a 2.2. Este tutorial conta com textos e imagens para ajudar seu entendimento.
Estão circuladas com uma elipse verde as partes que são o objetivo. Em partes que tenham mais de
um objetivo e consequentemente mais de uma elipse, elas foram colocadas em cores diferentes
para facilitar seu entendimento.
1 SISTEMA

1.1 - Consultar a versão do sistema

Para consultar a versão do pfSense você deve posicionar o cursor do mouse na guia
Status, depois descer o cursor até Dashboard, após realizar o clique aparecerá uma tela como a
imagem a seguir. A informação sobre a versão do sistema estará presente em System
information dentro da caixa Version.
1.2 Reiniciar o sistema

Para reinicializar o sistema você deve posicionar o cursor do mouse em Diagnostics,

depois descer até reboot, após realizar o clique uma pergunta aparecerá: are you sure you want to
reboot the system? A reinicialização do sistema não é imediata. Depois de entrar na página, o
usuário deverá confirmar se realmente quer reinicializar o sistema. Isso serve para evitar que ele
seja reinicializado acidentalmente pelo usuário, pois o mesmo poderia ter a intenção de clicar em
ping ou routes, por exemplo.
1.3 Desligar o sistema

O processo para desligar o sistema é muito parecido com o de reiniciar. Inicialmente

você deve posicionar o cursor do mouse na guia Diagnostics, descer até Halt system, depois de
efetuar o clique será mostrada a mesma pergunta (trocando reboot por halt) que mostra no
processo de reinicialização: are you sure you want to halt the system? Da mesma forma que ocorre
com o reboot, no desligamento do pfSense é solicitada a confirmação para desligar o sistema afim
de evitar os cliques acidentais também.
1.4 Alterar a senha do admin

A alteração da senha do sistema pode ser realizada posicionando o cursor do mouse na

guia System, descendo até User Manager, após ser realizado o clique aparecerá a tela de
gerenciamento dos usuários, para fazer alguma alteração em algum usuário basta clicar no 'e'
correspondente ao usuário que aparecerá uma tela parecida com a segunda mostrada a seguir.

Depois de clicar no 'e', você entrará na tela de gerenciamento do usuário escolhido e preenchendo o
campo password com a nova senha, confirmando-a logo abaixo na caixa confirmation e clicando em

Save, como mostram as próximas telas, a senha será alterada.

1.5 Realizar backup do sistema

Para realizar o backup do sistema você deve posicionar o cursor do mouse em

Diagnostics, depois descer até Backup/restore e clicar. O backup será feito através de um
arquivo .xml que deve ser baixado e armazenado em alguma mídia de armazenamento (HD, pen
drive etc). Para fazer isso basta clicar em Download configuration, selecionar a opção salvar e
escolher o local.
1.6 Realizar restore do sistema

Vamos realizar o processo de restauração do pfSense a partir de um backup externo

(backup feito de um pfsense, que foi ensinado na página anterior). Depois de se certificar que tem
o arquivo de configuração salvo, basta posicionar o cursor do mouse em cima de Diagnostics,
descer até Backup/restore e clicar. Aparecerá uma tela que possui dois campos: backup, e logo
abaixo restore. No campo restore clique em escolher..., navegue até onde o arquivo de
configuração está, selecione-o e clique em restore configuration. Depois que você clicar em
Restore configuration o servidor irá reiniciar.

Assim que ele reiniciar você deverá fazer login novamente. Lembre-se que as configurações são
restauradas para as do backup, ou seja, deve ser usados usuário e senha do backup. Se caso forem
os mesmos, será indiferente.
2 REDE

2.1 Consultar as configurações das interfaces de rede

Para consultar as configurações das interfaces de rede basta posicionar o cursor do

mouse em Status, descer até Interfaces e clicar. Será exibida uma tela parecida com esta, onde
terão as informações sobre as interfaces de rede presentes no pfSense.
2.2 Alterar a configuração de uma interface de rede

Para alterar as configurações de uma interface de rede basta posicionar o cursor do

mouse sobre a guia Interfaces, depois é só escolher qual interface você quer configurar. Caso
existam outras interface configuradas no pfSense, as mesmas irão aparecer nessa lista também.
2.3 Consultar as rotas

Para verificar as rotas do sistema, basta posicionar o cursor do mouse em cima de

System, descer até Routing e clicar. Irá aparecer uma tela com os gateways da rede, porém as
rotas estão na em routes, é só clicar em Routes que serão mostradas as rotas.
2.4 Consultar os gateways

Para verificar os gateways do pfsense você deve posicionar o cursor do mouse em

System, depois descer até Routing e clicar. A tela que será mostrada conterá informações sobre
o(s) gateway(s) do pfSense.
2.5 Alterar os servidores de DNS do sistema

Para alterar o(s) servidor(es) de DNS do sistema você deve posicionar o cursor do
mouse em cima de System, descer até General Setup e clicar. Será mostrada uma tela onde é
possível definir 4 servidores de DNS e o gateway que cada um usará.
2.6 Realizar um teste de ping

Para realizar um ping através do pfSense você deve posicionar o mouse em

Diagnostics, descer até ping e clicar. Após configurar as opções basta clicar em ping.

Host: destino que se quer alcançar. Pode ser usado IP, nome da máquina ou domínio.

IP Protocol: Pode ser IPv4, IPv6 ou IPV4/IPV6 para ambos.

Source Address: serve para escolher/simular a origem do ping. Caso você esteja na LAN e quer,
por exemplo, testar um ping da WAN, basta selecionar essa interface e efetuar o ping. Fazendo
isso, o pfSense irá simular que está na WAN sem que você precise se conectar a ela para isso.

Count: serve para definir quantas vezes o ping será disparado.

2.7 Realizar um teste de traceroute

Para realizar um teste de traceroute você deve posicionar o cursor do mouse em cima
de Diagnostics, depois descer até Traceroute e realizar o clique. A tela que é mostrada é
parecida com a do ping, porém tem algumas diferenças.

Host: destino que se quer alcançar. Pode ser usado IP, nome da máquina ou domínio.

IP Protocol: Pode ser IPv4, IPv6 ou IPV4/IPV6 para ambos.

Source Address: serve para escolher/simular a origem do ping. Caso você esteja na LAN e quer,
por exemplo, testar um ping da WAN, basta selecionar essa interface e efetuar o ping. Fazendo
isso, o pfSense irá simular que está na WAN sem que você precise se conectar a ela para isso.

Maximum number of hops: será o número máximo de saltos que o pacote poderá dar.

Reverse Address Lookup: Caso esteja marcada, o servidor tentará converter os IPs que ele
encontrar em nomes. Se desmarcada, o resultado será apenas IPs.

Use ICMP: usará o protocolo ICMP.

Depois de ter configurado de acordo com sua necessidade basta clicar em Traceroute.
2.8 Configurar uma reserva de IP no DHCP

Para configurar uma reserva de IP no DHCP você deve posicionar o mouse em cima de
Service, descer até DHCP Server e clicar. No fim da página tem um campo (DHCP Static Mappings
for this interface) onde você pode fazer essa reserva. Basta clicar no botão destacado na imagem a
seguir.

Depois de clicar no botão (+) você será direcionado para uma página que terá diversos campos
para serem preenchidos. Segue abaixo a descrição de alguns deles deles.

MAC address: nesse campo deve ser posto o MAC placa de rede da máquina;

Client identifier: nome que lhe ajudará a identificar o(s) usuário(s) da reserva;

IP address: esse será o IP que o servidor irá entregar para o cliente;

Hostname: esse será o nome da máquina na reserva;

Description: descrição para a reserva

DNS servers: define o(s) servidor(es) DNS que a máquina irá utilizar;

Gateway: define o gateway que a máquina irá utilizar;

Domain name: especifica o nome do domínio.

Clique em Save no fim da página para salvar as configurações.

Os campos que não estão listados aqui podem ser ignorados. Alguns que estão listados também
podem, mas recomendamos que não os deixem.
2.9 Consultar os endereços entregues pelo servidor de DHCP (Dhcp leases)

Para verificar a lista de endereço que o servidor DHCP entregou você deve posicionar o
cursor do mouse em Status, depois descer até DHCP Leases e clicar. A tela que será exibida
mostra os IPs que foram distribuídos.
2.10 Analisar tráfego em uma interface pelo Traffic Graph

Para analisar o tráfego em uma interface você deve posicionar o cursor sobre Status,
descer até Traffic Graph e clicar. A tela que será exibida pode não atender sua necessidade, mas
você tem a opção de configurá-la. A seguir é ensinado como fazer isso.

Interface: pode ser selecionada as interfaces disponíveis no pfSense;

Sort by: pode ser selecionado Bw in para os pacotes de entrada ou Bw out para os de saída;

Filter: pode ser feito um filtro local: pega só os endereços internos, remote: pega só os endereços
externos ou all: pega tanto os endereços internos como os externos;

Display: seleciona a identificação do host para o qual foi enviado ou do qual foi recebido dado(s).
3 FIREWALL

3.1 Consultar as regras de firewall

Para verificar as regras de firewall existentes no pfSense você deve posicionar o cursor
do mouse sobre Firewall, descer até Rules e clicar. Geralmente a primeira página exibida é a da
WAN, mas você pode ir para as configurações de outra interface, basta clicar sobre ela.
3.2 Alterar uma regra de firewall

Para alterar uma regra de firewall você deve primeiramente estar dentro das
configurações de firewall de alguma interface (ensinado na página anterior). Estando dentro dessa
interface você deve escolher qual regra quer editar, depois é só dar dois cliques em cima da rega ou
clicar no '+' correspondente a ela.
3.3 Exemplo de uma regra simples como bloquear protocolo HTTP

Para criar uma regra de firewall você deve posicionar o cursor do mouse em cima de
Firewall, descer até Rules e clicar. A tela que vai aparecer mostrará todas as regras da interface
selecionada. Você deve selecionar a interface na qual a regra será criada e clicar em '+'. Depois que
a tela aparecer você terá que configurar diversos campos. Eles são explicados a seguir.

Action: define a ação tomada pela regra. Pass: deixa passar, Block: bloqueia sem avisar a origem
e Reject: bloqueia e manda uma mensagem de erro para a origem.

Disabled: marcando essa caixa, a regra será desativada.

Interface: define a interface a qual a regra irá funcionar.

TCP/IP Version: seleciona a versão do protocolo de internet. Pode ser IPv4 ou IPv6.

Protocol: define o protocolo que a regra irá filtrar.

Source: diz para o pfsense de onde deverá ser a origem. A tabela a seguir explica cada elemento
da origem. Note que ela também pode ser usada para o campo destino (destination).

Tipo da origem Descrição da origem

Any Qualquer origem
Single host or aliais Define um IP ou um aliais com origem
Network Trabalha com endereço de rede
PPTP clients Clientes da VPN do padrão PPTP
PPPoE clients Quando se está usando ISP com conexão discada
L2TP clients Quando se estiver usando conexão VPN do padrão L2TP
WAN net Trabalhará com a rede da WAN
WAN address Esse é o endereço da interface WAN do servidor
LAN net Trabalha com a rede da LAN
LAN address Trabalha com a interface LAN do servidor

Destination: tomando por base a tabela acima, neste campo você deverá selecionar o destino que
o pfSense irá filtrar.

Destination port range: seleciona a porta de origem (from) e a de destino (to). Caso a porta
selecionada seja de algum serviço que ele já conhece ele já trará o nome do serviço
automaticamente.

Log: quando ativo, faz o log da regra quando ela é usada.

Description: serve para fazer uma descrição da regra.

Depois de ter compreendido todo esses elementos do firewall vamos criar uma regra que bloqueia o
protocolo HTTP.

Inicialmente precisamos definir qual interface vamos querer que o protocolo esteja bloqueado.
Iremos bloquear na LAN, então acesse Firewall>Rules>LAN e clique no '+' para criar uma nova
regra. Depois configure os campos como as informações dispostas abaixo.

Action: Block

Disabled: não marque

Interface: LAN

TCP/IP Version: IPv4

Protocol: TCP

Source: any

Destination: any

Destination port range: HTTP (80)

Log: não marque

Description: bloqueio do protocolo HTTP

No fim da página ou abaixo de description basta clicar em Save, você será direcionado para a
página das regras da interface. A regra foi criada, mas não está ativa. Para ativar a regra basta
clicar em Apply changes como mostra a figura abaixo.

Agora a regra está cria e ativa, porém o pfSense faz a filtragem de cima para baixo, ou seja, se
tiver alguma regra a cima da regra de bloqueio que libere o acesso de um host pelo protocolo HTTP,
o mesmo irá conseguir navegar normalmente, pois o sistema ao descer pelas regras verificou que
existe a liberação, liberou e parou de verificar, já que encontrou uma regra que lhe disse o que
fazer. Para solucionar isso você deve marcar a caixa destacada em azul e clicar na mão destacada
em laranja. Fazendo isso você estará colocando a regra para a primeira posição, que como vimos
fará com que seja lida primeiro que as outras.

Como foi feita uma alteração, é necessário aplicá-la. Depois de clicar em Apply changes basta testar.
3.4 Exemplo de um regra simples como liberar a porta HTTPS

Para criar uma regra de firewall você deve posicionar o cursor do mouse em cima de
Firewall, descer até Rules e clicar. A tela que vai aparecer mostrará todas as regras da interface
selecionada. Você deve selecionar a interface na qual a regra será criada e clicar em '+'. Depois que
a tela aparecer você terá que configurar diversos campos. Eles são explicados a seguir.

Action: define a ação tomada pela regra. Pass: deixa passar, Block: bloqueia sem avisar a origem
e Reject: bloquei e manda uma mensagem de erro para a origem.

Disabled: marcando essa caixa, a regra será desativada.

Interface: define a interface a qual a regra irá funcionar.

TCP/IP Version: seleciona a versão do protocolo de internet. Pode ser IPv4 ou IPv6.

Protocol: define o protocolo que a regra irá filtrar.

Source: diz para o pfsense de onde deverá ser a origem. A tabela a seguir explica cada elemento
da origem. Note que ela também pode ser usada para o campo destino (destination).

Tipo da origem Descrição da origem

Any Qualquer origem
Single host or aliais Define um IP ou um aliais com origem
Network Trabalha com endereço de rede
PPTP clients Clientes da VPN do padrão PPTP
PPPoE clients Quando se está usando ISP com conexão discada
L2TP clients Quando se estiver usando conexão VPN do padrão L2TP
WAN net Trabalhará com a rede da WAN
WAN address Esse é o endereço da interface WAN do servidor
LAN net Trabalha com a rede da LAN
LAN address Trabalha com a interface LAN do servidor

Destination: tomando por base a tabela acima, neste campo você deverá selecionar o destino que
o pfSense irá filtrar.

Destination port range: seleciona a porta de origem (from) e a de destino (to). Caso a porta
selecionada seja de algum serviço que ele já conhece ele já trará o nome do serviço
automaticamente.

Log: quando ativo, faz o log da regra quando ela é usada.

Description: serve para fazer uma descrição da regra.

Depois de ter compreendido todo esses elementos do firewall vamos criar uma regra que libera o
protocolo HTTPS.

Inicialmente precisamos definir qual interface vamos querer que o protocolo esteja bloqueado.
Iremos bloquear na LAN, então acesse Firewall>Rules>LAN e clique no '+' para criar uma nova
regra. Depois configure os campos como as informações dispostas abaixo.

Action: Pass

Disabled: não marque

Interface: LAN

TCP/IP Version: IPv4

Protocol: TCP

Source: any

Destination: any

Destination port range: HTTPS (443)

Log: não marque

Description: liberação do protocolo HTTPS

No fim da página ou abaixo de description basta clicar em Save, você será direcionado para a
página das regras da interface. A regra foi criada, mas não está ativa. Para ativar a regra basta
clicar em Apply changes como mostra a figura abaixo.

Agora a regra está cria e ativa, porém o pfsense faz a filtragem de cima para baixo, ou seja, se
tiver alguma regra a cima da regra de bloqueio que libere o acesso de um host pelo protocolo
HTTPS, o mesmo irá conseguir navegar normalmente, pois o sistema ao descer pelas regras
verificou que existe a liberação, liberou e parou de verificar, já que encontrou uma regra que lhe
disse o que fazer. Para solucionar isso você deve marcar a caixa destacada em azul e clicar na mão
destacada em laranja. Fazendo isso você estará colocando a regra para a primeira posição, que
como vimos fará com que seja lida primeiro que as outras.

Como foi feita uma alteração, é necessário aplicá-la. Depois de clicar em Apply changes basta testar.
3.5 Consultar as regas

Para consultar as regras você deve posicionar o cursor do mouse em cima de Firewall,
descer até Rules e clicar. Geralmente, você é direcionado para a WAN, porém se quiser ver as
regras de outra interface basta clicar sobre ela, que as regras correspondentes aparecerão.
4 OPENVPN

4.1 Consultar o status dos túneis

Para consultar o status dos túneis você deve posicionar o cursor do mouse sobre
Services, descer até openVPN e clicar. A tela que é mostrada traz o estado atualizado dos túneis
(status).
4.2 Procedimento para stop, start, restart de um túnell

Para parar (stop) a openVPN basta entrar no status (ensinado na página anterior),
depois de entrar na página você deve clicar no botão que possui um quadrado preto, como mostra
a tela seguinte.

Para iniciar o serviço (start) você deve clicar no botão verde, como está destacado na tela que
segue.

Para reiniciar o serviço (restart) você deve clicar no botão que está destacado na imagem abaixo.
5 CARP (ALTA DISPONIBILIDADE)
5.1 Consultar o status do CARP

Para consultar o status do CARP você deve posicionar o cursor do mouse sobre status,
descer até CARP (failover) e clicar. A tela que aparecerá irá conter o status do CARP. Se nas
células da coluna contiver um quadrado verde destacado na imagem abaixo, o serviço está ativo.