PFSense – Configuração Acesso A Internet

Após as configuração básicas terem sido realizadas, vamos fazer com que nosso sistema de firewall tenha o primeiro acesso a internet. Nesse artigo ainda não trataremos de bloqueios ou rejeições de conexão. É só para orientar como deixar nosso sistema de segurança com acesso a WEB no modo básico, tratando o mínimo das regras.

Reconhecendo as Interfaces

Na imagem abaixo, podemos ver duas interfaces configuradas, a LAN e a WAN. Apesar do meu bloco de IP está apontando para um IP privado, devido a eu estar usando uma interface interna da minha rede, em um modo de produção o IP de WAN seria exibido um IP válido para internet. Então vamos simular que minha WAN está ligado diretamente ao meu ISP.

Essa tela pode ser visualizada pelo monitor da máquina virtual ou pelo monitor físico conectado em sua máquina física.

Com isso tenho:

• WAN: 192.168.0.131 – “Meu IP valido para internet”;
• LAN: 192.168.2.254 – “Meu IP da rede interna. Onde os computadores da minha empresa iram se comunicar”.

Não esquece de de utilizar nos exemplos os seus blocos de IP’s respectivamente.

Dashboard

Assim que inserimos nossas credenciais na tela de login, sendo acessado pelo endereço https://192.168.2.254, seria exibido o Dashboard do FW.

Nessa tela tem uma par de informações uteis, porém, não falaremos sobre ela agora, mas no momento vamos nos atentar ao bloco de informações Interfaces. São as mesmas informações que visualizamos na tela shell do nosso FW.

Acessando Firewall/Rules

Clique em Firewall/Rules, no menu do FW para acessarmos as regras das interfaces.

Vou dar uma informação que será muito útil para quem está começando a lidar com firewall, E é uma lógica, mas as vezes não nos atentamos. Lembre-se que quando temos interfaces que estão conectados diretamente aos nossos concentradores de borda (equipamentos que fazem conexão com a Internet, ou a rede fora de nosso ambiente), nossas WAN’s, trataremos as regras sempre como solicitações de entrada, acesso da Internet para nosso ambiente. E as interfaces que são internas LAN, WIFI entre outras, trataremos como solicitações de saída. Claro que podemos realizar bloqueios de vias opostas, mas para quem está começando tratar as regras dessa maneira será um bom começo para que suas políticas de entrada e saída funcionem como esperados e sem ocasionar confusão.

Clicando no item solicitado, por padrão será apresentado a guia de Rules/WAN, como estamos tratando uma solicitação de saída, onde as interfaces da nossa rede tem que ter acesso a internet. Temos que acessar a Rules/LAN, que pode ser feito clicando em LAN

Já temos algumas regras definidas automaticamente pelo FW. Nesse momento vamos realizar duas alterações.

A primeira regra não deve ser alterada!

• Alterar a segunda: iremos restringer que o acesso a LAN se limite a LAN;
• Rejeitar solicitações ao protocolo de IP IPv6;
• Incluir a regra de acesso a internet;

Não se preocupe com as informações exibida nas regras das Rules, pois explicarei essas regras no artigo que falaremos especificamente sobre as Rules. O mesmo vale para as informações que serão exibidas quando formos configurar nossa primeira regra.

Alterando A Regra Padrão Da LAN

Clicando no ícone do lápis na segunda regras, iremos para a alteração da regra de LAN. Deixe todos os campos como estão, alterando o seguinte bloco.

Em Destination iremos alterar o campo de Any para LAN net. Com isso estaremos dizendo que as solicitações da LAN estão autorizadas para LAN. Role a página até o final e clique em save

Alterando A Regra Padrão Da LAN IPv6

Agora iremos realizar a rejeição de pacotes do protocolo IPv6. Clicando no lápis da terceira regra. Iremos alterar o primeiro bloco do item Action de Pass para Reject. Role a página até o final e clique em save.

Na tela principal das Rules deve ter um aviso para que se aplique as configurações para que as regras entre em vigor. Após aplicar é bem provável que seu acesso a internet tenha sido interrompido.

Observe as Rules da interface LAN, devem ter essa aparência depois das alterações.

Criando Regra Permitir Acesso Dos Host’s LAN Para Internet

Se os passos foram seguidos a risca até aqui, as suas máquinas da rede LAN não estão mais acessando a internet. Vocês podem realizar teste fazendo um simples comando PING ou tentando navegar em qualquer site.

Agora vamos resolver esse problema criando a regra de permissão.

Existem vários modos de configurar essa regra, entretanto, usarei aquela que mais me agradar.

Clique no botão Add, o que tem um seta para baixo, e as opções para a nova regra será exibida. Veja a sequência de imagem abaixo, e configure o seu conforme os exemplos.

Não esquece de aplicar as novas regras clicando em Apply Changes, abra o seu navegador e tente surfa pela WEB.

Nosso próximos artigos sobre pfSense vamos tratar das configurações Avançadas.

Com essas quatros regras sabemos como está o trafego para cada destino.

• Nos temos a regra para o FW, que é a primeira regra;
• A regra entre a LAN, que é a segunda regra;
• A regra de bloqueio entre LAN no IPv6, que é a terceira regra e sem match;
• E a nossa regra de LAN para Internet com o gateway definido, sendo nossa última regra.

Se está gostando das postagens, se inscreva em nosso site para receber mais materiais de nosso blog, é grátis, você vai ser notificado quando novas postagens forem publicadas, recebendo assim mais conteúdos de qualidades e ainda vai dar aquela força pra nossa comunidade. E não esquece de compartilhar em suas redes sociais os botões estão no final desse página.

No final dessa página temos um campo onde você é bem vindo para deixar seus comentários. Pode ser uma opinião, elogios, críticas ou correções. Pode ficar a vontade para tirar suas dúvidas ou colaborar acrescentando algo que tenhamos deixado passar desapercebido.

Sua visita e feedback é muito importante para o nosso espaço.