Proponha uma correção, faça uma sugestão
pfSense 2.0.3 –Transforme a sua máquina num router/firewalll
Como sabemos, o sistema operativo Linux é bastante flexível e permite implementar facilmente muitos serviços fundamentais numa rede de dados. De referir que muitos dos equipamento activos de rede que conhecemos têm dentro o sistema operativo Linux "embrulhado" numa caixa bonita.
No pplware já ensinamos como configurar vários servidores Web como por exemplo oCherokee, o Lighttpd e o popular Apache (todos eles com suporte para Apache + PHP e MySQL). Já conhecemos também a distribuição Vyatta e alguns serviços que disponibiliza (como por exemplo DHCP), entre outros serviços. Também já apresentamos o IPFire que permite implementar facilmente serviços de firewall, proxy, file server, VPN, etc.
Hoje vamos conhecer as novidades de pfSense 2.0.3 que permite transformar uma simples máquina num router/firewall.
O pfSense é uma solução gratuita, baseada no FreeBSD, que permite transformar qualquer máquina num super e potente router/firewall. Esta plataforma é bastante popular e adaptável a qualquer cenário de rede de dados (ex. rede doméstica, rede empresarial, rede universitária, etc). 
O projecto pfSense iniciou-se em 2004, como um fork do popular m0n0wal, tendo como principal objectivo transformar um simples PC num router/firewalll e não dependendo de qualquer hardware específico.
Principais funcionalidades
Firewall
- Filtragem por endereço IP de origem e destino, protocolo IP, porto de origem e destino para tráfego TCP e UDP
- Capaz de limitar as ligações simultâneas para cada regra
- pfSense permite filtrar ligações baseado no Sistema operativo que a iniciou.
- Opção para registar (log) o tráfego correspondente a cada regra.
- Política de routing altamente flexível, sendo possível selecionar o gateway associado com a regra (para balanceamento de carga, failover, múltiplas WAN, etc)
- Permite a criação de grupos de IPs, redes e portos e usá-los na criação de regras. Isso ajuda a simplificar as redes de firewall e torna-as de fácil compreensão, especialmente em ambientes com múltiplos IPs públicos e diversos servidores.
- Capacidade para operar em modo transparente na camada 2 - pode ligar interfaces em modo bridge e filtrar o tráfego entre elas, podendo configurar um firewall sem endereço IP
- Normalização de pacotes
Network Address Translation (NAT)
- Redireccionamento de portos, incluindo faixas e a utilização de múltiplos IPs públicos
- Redireccionamento 1:1 para o IP ou sub-redes inteiras
- NAT de saída
- Reflexão NAT
Balanceamento de carga
- Balanceamento de carga de saída - Balanceamento de carga de saída é utilizado com várias ligações WAN para fornecer balanceamento na carga e failover. O tráfego é direcionado para o gateway desejado ou uma pool de balanceamento de carga, configuração feita para cada regra de firewall
- Balanceamento de carga de entrada - Balanceamento de carga de entrada é usado para distribuir a carga entre vários servidores, isto é comum usado em servidores web, servidores de email e outros. Os servidores que não respondem às solicitações ping ou ligações da porta TCP são removidos do pool.
VPN
- O pfSense oferece três tipos de ligações para VPN, IPsec, OpenVPN, e PPTP.
Servidor PPPoE
- O pfSense oferece um servidor PPPoE. Uma base de dados local pode ser usada, assim como RADIUS para autenticação com suporte opcional para accounting.
Gráficos RRD Os gráficos pfSense RRD matêm o histórico das informações sobre o seguinte:
- Utilização da CPU
- Throughput total
- Estados da firewall
- Throughput individual para todas as interfaces
- Taxa de pacotes por segundo de todas as interfaces
- Tempo de resposta a ping do(s) gateway(s) da interface WAN
- Filas de traffic shaper em sistemas com priorização de tráfego permitido
DNS Dinâmico Um cliente DNS Dinâmico está incluído para que se possa registar o nosso endereço IP público com um número de serviços de DNA dinâmico:
- DynDNS
- DHS
- DyNS
- easyDNS
- No-IP
- ODS.org
- ZoneEdit
Captive Portal O Captive Portal permite que se force a autenticação, ou o redireccionamento para uma página de acesso à rede. Isto é normalmente usado em redes com Hotspot, mas também é amplamente utilizado em redes corporativas como uma camada adicional de segurança em wireless e acesso a Internet. DHCP Servidor e Relay
- PfSense inclui também funcionalidades DHCP server e relay
Principais novidades do pfSense 2.0.3
- Vários bugs corrigidos
- OpenSSL 0.9.8
- dnsmasq 2.65
- rsync 3.0.9
- links 2.7
- rrdtool 1.2.30
- PHP 5.2.17_13
- Várias melhorias no Captive Portal
- Melhorias no sistema de Logging
Verifique todas as novidades aqui
De referir que como o sistema traz também o OpenVPN, no inicio do ano a Apple Store ganhou a versão cliente que pode ser instalada a partir daqui.
Download: PfSense 2.0.3
Homepage: PfSense
Este artigo tem mais de um ano
Loading ...
Era mesmo isso que estava a procura para transformar um PC que está parado em algo útil 🙂 Vamos testar!
Kudos Pplware!
Outros do género:
Endian – http://www.endian.com
IPCop – http://www.ipcop.org
Boas, com isto posso por exemplo… usar uma maquina antiga (amd xp 2000+, 2gb de ram…) como router em vez do router thomson meo?
Se sim, as configurações são simples?
É que olhando para os prints, parece tudo demasiado complexo =\
Eu conheço uma grande opção. UNTANGLE.
Testado e comprovado! 🙂
Utilizaei para um projecto onde tinha cerca de 120 a 150 utilizadores numa maquina com um pentium III!
Boas.
Há uns 5 anos (+/- quando se iniciou o fork desta distro) instalei isto num pentium (uma máquina fraquita já à época) a servir uma escola (nos picos tinha uns 100 utilizadores simultâneos).
Tinha a funcionar o squid com blacklists, port forwarding, traffic shaping, VPN, e se bem me lembro também tinha VLANs.
Só me ficou a faltar colocar o SSO a funcionar ligado ao controlador de domínio.
Trabalhava lindamente sem um único problema, e tudo automatizado.
Antes de ter optado por esta experimentei (em sistemas de produção) o m0n0wall, ipcop e mais umas duas ou três distros de que já não me lembro o nome.
Nunca mais usei nenhuma outra solução de firewall opensource a não ser esta.
Ficam os meus 5 cêntimos.
Onde será que já vi isto escrito ?!!?! 16 de Outubro de 2012 🙂
Sugiro o uso tambem do BFW (BrazilFW) uma distro baseada no antigo Coyote, inclusive possui suporte a plugins, o que deixa ele ainda mais atrativo…
Muito bom post…
Agora vou desafiar-vos a ajudarem-me. Eu não sou nenhum especialista em redes por isso perdoem-me a minha ignorância, mas como gostava de implementar um pfsense venho pedir ajuda.
Tenho um DC (Win 2008) c/ AD e com os serviços de DNS+DHCP integrados. todos os utilizadores se autenticam na AD. Nesta estrutura como posso integrar o pfsense obrigando a todo o trafego a passar lá??
No DHCP atribuis a opção de Router ao IP do pfSense. 🙂
Podes explicar melhor como tudo isso funciona, ou então indicar-me algo que possa ler para perceber como tudo pode funcionar?
o Pfsense terá que ser configurado para servir de gateway da rede que queres controlar, podes usar para isso as opções da scope no DHCP Server:
http://goo.gl/29gr5
Desculpa a minha burrice, mas depois consigo autenticar os utilizadores na AD e filtrar o conteúdo web por utilizador?
Autenticação na AD não tem nada a ver com a pfSense…no minimo terás de criar regras na pfSense se a rede dos utilizadores e a rede do servidor da AD estiverem forem diferentes para permitir o trafego.
Por utilizador acho que não consegues especificar, podes definir as ACLS gerais por categoria de conteudo e depois criar “excepções às regras”!
Eu tive um problema semelhante, tens de ter atenção a prioridade dos servidores DNS, vamso supor que puseste o pfSense como Gateway, quando ele for dar ips tem que dizer para por como dns primario o windows server, depois entao pões o pfsense como secundario e assim sussecivamente, pois aquilo que vai acontecer, visto que é o pfsense a dar os ips, o cliente vai saltar directamente para a GW sem parar na ADS…
Espero ter ajudado, Abraço
pfsense é baseado em FreeBSD contudo lendo o artigo apenas no 4º parágrafo tal aparece mencionado. Isto após os primeiros paarágrafos falarem em Linux, o que induz os leitores a pensar que é mais uma distro de Linux.
Linux =/= FreeBSD
Sinceramente, actualizem o artigo e clarifiquem este ponto.
É sem dúvida a minha Firewall/Router de eleição, prática, versátil, fácil de implementar, fácil de monitorizar e com funcionalidades extra que se podem adicionar, mediante as necessidades.
Na minha perspectiva, muito melhor que o IPcop que usei antes de conhecer esta.
A tua “cara” não me é estranha…
Só uma pequena correcção , pfsense não é baseado em linux mas sim em freeBSD.
Uso em ambiente empresarial já desde a versão 1.0 e é realmente muito fiável e leve.
Cumprimentos
Recomendo!
E utilizando o package do SquidGuard com uma blacklist, é o 2 em 1: firewall e controlo de conteúdos!
Gosto também dos delimitadores de banda para aqueles utilizadores mais teimosos que, apesar de ser permitido, passam o dia a ver filmes no Youtube 😉
Consegues filtrar conteudo HTTPS com o SquidGuard?
A filtragem não é feita mediante o protocolo de comunicação do site, mas sim a sua reputação na blacklist (ou ausência de reputação na blacklist)
nao percebo nada disto, é a primeira vez que ouco falar mesmo, expliquem-me uma coisa, isto dá para criar algum tipo de servidor? conectar a net lá de casa e transmitir por cabo e wireless?
ou é para outra utilizacao que nao estou a ver…
Expliquem como se fosse uma crianca mesmo =)
Thx
Penso que este artigo estará destinado a utilizadores que queiram criar uma rede e não propriamente para uma existente como aquele que a maioria de nos temos em casa.
Ao falar de uma rede tipo ZON, Vodafone, Optimus, M4O etc, estamos a falar de redes onde o router já existe e como tal sendo fornecido por essas companhias. Esta alternativa aqui apresentada não estará propriamente dirigida a eles.
Não estou a ver a possibilidade de conseguir ligações para telefone ou iptv por exemplo.
Aguarde mais informações. obrigado.
Muito boa essa ferramenta. Escrevi um artigo em meu blog.
http://ricardoolonca.blogspot.com.br/2013/01/pfsense-um-software-completo-para-teu.html
Começamos mal…
“Como sabemos, o sistema operativo Linux..”
Talvez PFsense é Freebsd e não Linux e não não é igual… é parecido em algumas coisas.
Acho o pfsense espetacular.
Mas falar apenas no pfsense não é suficiente, acho que para configurar o pfsense deveriam falar também a nível do “router” ou “modem” que a pessoa tenha para fazer a ligação á net.
No meu caso ainda tenho um modem thomson dos antigos e fica logo a funcionar á primeira pois o pfsense obtem imediatamente o ip dado pelo dhcp do modem. Agora quando existe a situação que o utilizador apenas tem um “router” que portas ou configuração é preciso fazer … usar ou não usar DMZ … para não falar que determinados routers vêem com um firmware bastante limitado pelos ISP’s.
Neste momento estou a deparar-me com um Router da Meo TG799nv que parece ser uma verdadeira dor de cabeça, pois nem sei como fazer com que o router funcione apenas como modem. E mesmo defenindo o ip do pfsense como DMZ estou a ter bastantes dificuldades em detectar qual dos dois me esta a bloquear ligações por SSH para dentro da rede.
Antes de se meterem a configurar uma pfSense para casa, pensem “Eu preciso de uma pfSense? Se não souberem responder à pergunta, então é porque não precisam! Os modem routers dos ISP’s já fazem aquilo pelo qual pagamos, um acesso à internet com alguma segurança através da firewall interna do equipamento, todos os restantes cenários já tem um enquadramento empresarial e precisam de ser pensados com calma.
Até à data estou satisfeito com a pfSense e ainda não tive necessidade de algo mais robusto, com a grande vantagem do dinheiro poupado (firewall, gestor de conteúdos (squidguard), gestor de tráfego (bandwithd), proxy reports, limitador de banda por utilizar/grupo)
@Nuno Silva uso a nível pessoal para poder brincar e aprender como o pfsense funciona e também para implementar a nível empresarial (proxy squid com antivirus) com controlo de acesso a websites.
Não digo que não, mas também a nível empresarial é possível configurar uma pfSense e testar…lembra-te que isto é um gateway, basta configurar e alterar no teu PC o default gateway para testar o comportamento.
A questão é que a nivel ‘doméstico’, todos temos ligações ditas comerciais, em que temos um modem/router/firewall em casa, ao meter mais um equipamento, ficas com 2 equipamentos para fazer troubleshooting caso algo falhe!
Na altura da implementação, uma maneira que usei para testar uma pfSense sem alterar nada na infraestrutura já em produção foi, depois de instalada e configurada, alterar no DHCP Server a opção Router para o IP da interface LAN da pfsense…não forcei os renews da lease, à medida que as leases expirassem os utilizadores iriam buscar o novo gateway da Pfsense!
(e vê-los a estrebuchar porque não podiam aceder a site X ou Y por causa da blacklist? Priceless 😛 )
Desculpe a ignorância mas não consigo gravar a imagem baixada em uma mídia de inicialização, diz que o formato da imagem não é suportado, já baixei vários arquivos la, dos muitos que estão disponíveis, porém quando extraio do do .GZ para uma pasta contendo a .img qqer programa de gravação dá esse erro mencionado acima.
Alguém poderia me ajudar?
O Servidor PPPoE permite configurar várias contas para autenticação e limitar cada conta a apenas uma máquina?
Olá amigos,
Onde trabalho, tenho duas empresas distintas mas usam a mesma LAN.
Minha ideia seria por o pfSense com 4 interfaces.
A 1ª e 2ª para meus links WAN (OI e GVT).
A 3ª e 4ª seria configuradas como LAN com faixas de IP diferentes onde ficaria uma pra cada empresa como no exemplo abaixo:
LAN1 > 192.168.1.1 (DHCP ATIVO)
LAN2 > 10.0.0.1 (DHCP ATIVO)
Isso é possível?
Tentei fazer um lab em casa pra testar mas a internet só funciona na LAN1.
Agradeço desde já pela ajuda!
Sim, é possível fazer. Só não entendi como “duas empresas usam a mesma vlan”. Cada interface “interna” no pfSense deve ficar em vlans fisicamente isoladas.
Olá Ricardo,
Até o momento não temos nenhuma VLAN, nem segurança alguma pra falar a verdade.
Estou estudando as possibilidades agora pois recentemente fomos vítima de ataques e nossas estão crescendo muito a cada dia que passa.
Irei revisar minhas configurações do pfsense em laboratório.
Obrigado.