Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Tutorial do pfSense
NATAL/ RN
2015
Introdução
Para consultar a versão do pfSense você deve posicionar o cursor do mouse na guia
Status, depois descer o cursor até Dashboard, após realizar o clique aparecerá uma tela como a
imagem a seguir. A informação sobre a versão do sistema estará presente em System
information dentro da caixa Version.
1.2 Reiniciar o sistema
Depois de clicar no 'e', você entrará na tela de gerenciamento do usuário escolhido e preenchendo o
campo password com a nova senha, confirmando-a logo abaixo na caixa confirmation e clicando em
Assim que ele reiniciar você deverá fazer login novamente. Lembre-se que as configurações são
restauradas para as do backup, ou seja, deve ser usados usuário e senha do backup. Se caso forem
os mesmos, será indiferente.
2 REDE
Para alterar o(s) servidor(es) de DNS do sistema você deve posicionar o cursor do
mouse em cima de System, descer até General Setup e clicar. Será mostrada uma tela onde é
possível definir 4 servidores de DNS e o gateway que cada um usará.
2.6 Realizar um teste de ping
Host: destino que se quer alcançar. Pode ser usado IP, nome da máquina ou domínio.
Source Address: serve para escolher/simular a origem do ping. Caso você esteja na LAN e quer,
por exemplo, testar um ping da WAN, basta selecionar essa interface e efetuar o ping. Fazendo
isso, o pfSense irá simular que está na WAN sem que você precise se conectar a ela para isso.
Para realizar um teste de traceroute você deve posicionar o cursor do mouse em cima
de Diagnostics, depois descer até Traceroute e realizar o clique. A tela que é mostrada é
parecida com a do ping, porém tem algumas diferenças.
Host: destino que se quer alcançar. Pode ser usado IP, nome da máquina ou domínio.
Source Address: serve para escolher/simular a origem do ping. Caso você esteja na LAN e quer,
por exemplo, testar um ping da WAN, basta selecionar essa interface e efetuar o ping. Fazendo
isso, o pfSense irá simular que está na WAN sem que você precise se conectar a ela para isso.
Maximum number of hops: será o número máximo de saltos que o pacote poderá dar.
Reverse Address Lookup: Caso esteja marcada, o servidor tentará converter os IPs que ele
encontrar em nomes. Se desmarcada, o resultado será apenas IPs.
Depois de ter configurado de acordo com sua necessidade basta clicar em Traceroute.
2.8 Configurar uma reserva de IP no DHCP
Para configurar uma reserva de IP no DHCP você deve posicionar o mouse em cima de
Service, descer até DHCP Server e clicar. No fim da página tem um campo (DHCP Static Mappings
for this interface) onde você pode fazer essa reserva. Basta clicar no botão destacado na imagem a
seguir.
Depois de clicar no botão (+) você será direcionado para uma página que terá diversos campos
para serem preenchidos. Segue abaixo a descrição de alguns deles deles.
MAC address: nesse campo deve ser posto o MAC placa de rede da máquina;
Client identifier: nome que lhe ajudará a identificar o(s) usuário(s) da reserva;
DNS servers: define o(s) servidor(es) DNS que a máquina irá utilizar;
Os campos que não estão listados aqui podem ser ignorados. Alguns que estão listados também
podem, mas recomendamos que não os deixem.
2.9 Consultar os endereços entregues pelo servidor de DHCP (Dhcp leases)
Para verificar a lista de endereço que o servidor DHCP entregou você deve posicionar o
cursor do mouse em Status, depois descer até DHCP Leases e clicar. A tela que será exibida
mostra os IPs que foram distribuídos.
2.10 Analisar tráfego em uma interface pelo Traffic Graph
Para analisar o tráfego em uma interface você deve posicionar o cursor sobre Status,
descer até Traffic Graph e clicar. A tela que será exibida pode não atender sua necessidade, mas
você tem a opção de configurá-la. A seguir é ensinado como fazer isso.
Sort by: pode ser selecionado Bw in para os pacotes de entrada ou Bw out para os de saída;
Filter: pode ser feito um filtro local: pega só os endereços internos, remote: pega só os endereços
externos ou all: pega tanto os endereços internos como os externos;
Display: seleciona a identificação do host para o qual foi enviado ou do qual foi recebido dado(s).
3 FIREWALL
Para verificar as regras de firewall existentes no pfSense você deve posicionar o cursor
do mouse sobre Firewall, descer até Rules e clicar. Geralmente a primeira página exibida é a da
WAN, mas você pode ir para as configurações de outra interface, basta clicar sobre ela.
3.2 Alterar uma regra de firewall
Para alterar uma regra de firewall você deve primeiramente estar dentro das
configurações de firewall de alguma interface (ensinado na página anterior). Estando dentro dessa
interface você deve escolher qual regra quer editar, depois é só dar dois cliques em cima da rega ou
clicar no '+' correspondente a ela.
3.3 Exemplo de uma regra simples como bloquear protocolo HTTP
Para criar uma regra de firewall você deve posicionar o cursor do mouse em cima de
Firewall, descer até Rules e clicar. A tela que vai aparecer mostrará todas as regras da interface
selecionada. Você deve selecionar a interface na qual a regra será criada e clicar em '+'. Depois que
a tela aparecer você terá que configurar diversos campos. Eles são explicados a seguir.
Action: define a ação tomada pela regra. Pass: deixa passar, Block: bloqueia sem avisar a origem
e Reject: bloqueia e manda uma mensagem de erro para a origem.
TCP/IP Version: seleciona a versão do protocolo de internet. Pode ser IPv4 ou IPv6.
Source: diz para o pfsense de onde deverá ser a origem. A tabela a seguir explica cada elemento
da origem. Note que ela também pode ser usada para o campo destino (destination).
Destination: tomando por base a tabela acima, neste campo você deverá selecionar o destino que
o pfSense irá filtrar.
Destination port range: seleciona a porta de origem (from) e a de destino (to). Caso a porta
selecionada seja de algum serviço que ele já conhece ele já trará o nome do serviço
automaticamente.
Depois de ter compreendido todo esses elementos do firewall vamos criar uma regra que bloqueia o
protocolo HTTP.
Inicialmente precisamos definir qual interface vamos querer que o protocolo esteja bloqueado.
Iremos bloquear na LAN, então acesse Firewall>Rules>LAN e clique no '+' para criar uma nova
regra. Depois configure os campos como as informações dispostas abaixo.
Action: Block
Interface: LAN
Protocol: TCP
Source: any
Destination: any
No fim da página ou abaixo de description basta clicar em Save, você será direcionado para a
página das regras da interface. A regra foi criada, mas não está ativa. Para ativar a regra basta
clicar em Apply changes como mostra a figura abaixo.
Agora a regra está cria e ativa, porém o pfSense faz a filtragem de cima para baixo, ou seja, se
tiver alguma regra a cima da regra de bloqueio que libere o acesso de um host pelo protocolo HTTP,
o mesmo irá conseguir navegar normalmente, pois o sistema ao descer pelas regras verificou que
existe a liberação, liberou e parou de verificar, já que encontrou uma regra que lhe disse o que
fazer. Para solucionar isso você deve marcar a caixa destacada em azul e clicar na mão destacada
em laranja. Fazendo isso você estará colocando a regra para a primeira posição, que como vimos
fará com que seja lida primeiro que as outras.
Como foi feita uma alteração, é necessário aplicá-la. Depois de clicar em Apply changes basta testar.
3.4 Exemplo de um regra simples como liberar a porta HTTPS
Para criar uma regra de firewall você deve posicionar o cursor do mouse em cima de
Firewall, descer até Rules e clicar. A tela que vai aparecer mostrará todas as regras da interface
selecionada. Você deve selecionar a interface na qual a regra será criada e clicar em '+'. Depois que
a tela aparecer você terá que configurar diversos campos. Eles são explicados a seguir.
Action: define a ação tomada pela regra. Pass: deixa passar, Block: bloqueia sem avisar a origem
e Reject: bloquei e manda uma mensagem de erro para a origem.
TCP/IP Version: seleciona a versão do protocolo de internet. Pode ser IPv4 ou IPv6.
Source: diz para o pfsense de onde deverá ser a origem. A tabela a seguir explica cada elemento
da origem. Note que ela também pode ser usada para o campo destino (destination).
Destination: tomando por base a tabela acima, neste campo você deverá selecionar o destino que
o pfSense irá filtrar.
Destination port range: seleciona a porta de origem (from) e a de destino (to). Caso a porta
selecionada seja de algum serviço que ele já conhece ele já trará o nome do serviço
automaticamente.
Depois de ter compreendido todo esses elementos do firewall vamos criar uma regra que libera o
protocolo HTTPS.
Inicialmente precisamos definir qual interface vamos querer que o protocolo esteja bloqueado.
Iremos bloquear na LAN, então acesse Firewall>Rules>LAN e clique no '+' para criar uma nova
regra. Depois configure os campos como as informações dispostas abaixo.
Action: Pass
Interface: LAN
Protocol: TCP
Source: any
Destination: any
No fim da página ou abaixo de description basta clicar em Save, você será direcionado para a
página das regras da interface. A regra foi criada, mas não está ativa. Para ativar a regra basta
clicar em Apply changes como mostra a figura abaixo.
Agora a regra está cria e ativa, porém o pfsense faz a filtragem de cima para baixo, ou seja, se
tiver alguma regra a cima da regra de bloqueio que libere o acesso de um host pelo protocolo
HTTPS, o mesmo irá conseguir navegar normalmente, pois o sistema ao descer pelas regras
verificou que existe a liberação, liberou e parou de verificar, já que encontrou uma regra que lhe
disse o que fazer. Para solucionar isso você deve marcar a caixa destacada em azul e clicar na mão
destacada em laranja. Fazendo isso você estará colocando a regra para a primeira posição, que
como vimos fará com que seja lida primeiro que as outras.
Como foi feita uma alteração, é necessário aplicá-la. Depois de clicar em Apply changes basta testar.
3.5 Consultar as regas
Para consultar as regras você deve posicionar o cursor do mouse em cima de Firewall,
descer até Rules e clicar. Geralmente, você é direcionado para a WAN, porém se quiser ver as
regras de outra interface basta clicar sobre ela, que as regras correspondentes aparecerão.
4 OPENVPN
Para consultar o status dos túneis você deve posicionar o cursor do mouse sobre
Services, descer até openVPN e clicar. A tela que é mostrada traz o estado atualizado dos túneis
(status).
4.2 Procedimento para stop, start, restart de um túnell
Para parar (stop) a openVPN basta entrar no status (ensinado na página anterior),
depois de entrar na página você deve clicar no botão que possui um quadrado preto, como mostra
a tela seguinte.
Para iniciar o serviço (start) você deve clicar no botão verde, como está destacado na tela que
segue.
Para reiniciar o serviço (restart) você deve clicar no botão que está destacado na imagem abaixo.
5 CARP (ALTA DISPONIBILIDADE)
5.1 Consultar o status do CARP
Para consultar o status do CARP você deve posicionar o cursor do mouse sobre status,
descer até CARP (failover) e clicar. A tela que aparecerá irá conter o status do CARP. Se nas
células da coluna contiver um quadrado verde destacado na imagem abaixo, o serviço está ativo.