Instalando e configurando o pfSense

 

 

Neste post iremos tratar da instalação e configuração da solução de UTM OpenSource “pfSense”, o qual pode ser instalado em qualquer computador simples ou em forma de máquina virtual, seja no XenServer, no Vmware, VirtrualBox, Hyper-V ou em qualquer outro Hypervisor e pequenas aplicações de virtualização que dê suporte a virtualização de sistemas BSD.

São dois vídeos que  abordam os conceitos básicos: Instalação, Configuração de Interfaces, Criação de Regras, Instalação de Pacotes, NAT, Filtro de conteúdo usando Web Filter (SquidGuard) e Monitoramento de Tráfego.

pfSense é baseado em FreeBSD, outro sistema operacional variante do Unix, assim como é o Linux, mais informações e até mídia .ISO para baixar, bem como um Virtual Apliance pronto para Vmware, você encontra em http://www.pfsense.org

Espero que gostem e que os videos sejam uteis para todos aqueles que assistirem, deixem suas críticas e duvidas no site para que assim este trabalho que venho fazendo possa ser cada vez mais aprimorado.

 

Instalando pfSense RC3

Configurando o pfSense RC3

 

 

Ivanildo Galvão

Consultor de Tecnologia

Twitter: @ivanildogalvao

Professor e Consultor em Infraestrutura e Segurança da Informação.

Facebook Twitter LinkedIn Google+ Skype 

Professor e Consultor em Infraestrutura e Segurança da Informação.

63 comentários

1 menção

Pular para o formulário de comentário

    • Alexandre Minoru em 6 de julho de 2012 às 21:03
    • Responder

    Ivanildo, to com uma instalação fresquinha do pfSense 8.0.2 aqui. Configurei meu load balance (2 fibras), dhcp, etc. Navego normal, EXCETO na globo.com, twitter e vários outros sites.

    Rodei em tudo aqui e não acho uma solução.
    Pode me ajudar com uma orientação?

    Valeu!

    1. Desculpa a demora. Isso é novo, navegar em todos os sites, menos em alguns específicos ? Você chegou a mudar as configurações de TIER, mantendo apenas como Failover, talvez seja algo semelhante ao que os bancos fazem. Em internet com Load Balance, como o IP é trocado a cada acesso ou ao clicar nos links de um site, os bancos derrubam a conexão por achar que é ataque, neste caso é melhor usar o Failover, TIER1 para um link e TIER2 para o outro link que só será acionado, caso o TIER1 falhe.

      Mas pode ser DNS também, ou até mesmo problema de rota !

        • Hugo em 1 de novembro de 2012 às 13:36
        • Responder

        Ivanildo, blza?

        Baixei os arquivos porém não consigo abrir. Tentei várias programas zip e todos dão erro de CRC.

        Como eu faço para abrir os arquivos?

        Abraço,

        Hugo

    • Santo em 11 de janeiro de 2013 às 7:09
    • Responder

    Bom dia Ivanildo,
    Não sei se já teve esta condição mas já tentou dar um unic certificado HTTPS, para tds os sites abaixo que estao em um servidor na DMZ do pfsense, seria interessante sei que é algo diferente quase improvavel mas interessante de se pesquisar

    1. Olá, não fiz ainda, mas com certeza é um assunto interessante para ir atrás, valeu a dica !

    • Anderson em 15 de maio de 2013 às 18:40
    • Responder

    Ivanildo boa noite.

    Amigo estou com uma duvida, estou instalando o pf e eu devo estar conecta na web para configuração de wan e lan…pois instalo e nao consigo acessar a interface pela web.
    Abraços

    1. Olá Anderson,

      Não necessariamente, mas ajuda no momento da configuração e testes !

    • Lucas em 22 de junho de 2013 às 19:35
    • Responder

    Boa Noite ivanildo, muito bom seus videos. Comecei usar o pfsense a pouco tempo para testar e achei bem robusto. Antes eu usava o BFW 3.0.

    Estou com duvidas aqui para bloqueio de determinados sites que utilizam https. No BFW o pessoal desenvolveu um script para bloqueio dos sites e também tinha opção de colocar os ips que iriam passar pelo filtro. Você ja utilizou alguma forma parecido no pfsens para bloqueio do facebook por exemplo?

    1. Sim, você precisa criar uma regra de firewall negando saída via https para os números IP do Facebook, ou então trabalha com lista negra, vou fazer um vídeo sobre isso e postar em breve, ainda esta semana !

    • Aurelio em 26 de julho de 2013 às 13:18
    • Responder

    Ivanildo gostaria de saber se o PFsense consigo fazer full cache? do youtube etc. obrigado

    1. Rapaz, nunca configurei !

    • Marcelo Pontes em 10 de setembro de 2013 às 0:23
    • Responder

    Bom dia Ivanildo

    Sou novo no assunto pfsense.

    Não consigo fazer minha rede navegar na internet ,faço autenticar adsl , monto a rede com dhcpd todomundo ganha ip e nada ja fiz passo a passo da sua video aula no youtube mesmo assim nao consigo fazer minha rede navegar , será que o amigo teria um passo a passo …oiu melhor uma dica
    Éminha primera semana com PFSENSE , essa rede tem 5 computadores deposi vou subri o squid com proxy transparente tbm

    Obrigado

    1. Olá, tem que ver como estão as regras de saída.

      Existe regra de saída da LAN para a WAN ?

      Se tiver liberando as regras porta a porta, não esqueça da 53 (DNS) sem ela não navega mesmo.

    • Weslei em 6 de janeiro de 2014 às 16:06
    • Responder

    Boa tarde,
    Gostaria de saber como eu configuro grupos e usuários locais dentro do pfsense para serem autenticados localmente também.

    Já estou com squid e squidguard instalados, alguns usuários e grupos criados para teste, mais a partir dai não consegui mais configurar, pois quando configuro o proxy no browser a internet cai, onde deveria aparecer usuário e senha.

    Obrigado.

    1. Olá, obrigado por acompanhar o blog.

      É bem estranho isso, ao habilitar o proxy de forma não transparente e especifica-lo junto com a porta 3128 no browser, o mesmo tem que pedir usuário e senha.
      Se puder me mandar as telas de configuração por e-mail, posso dar uma olha e tentar encontrar o problema.

    • Eduardo em 1 de abril de 2014 às 18:43
    • Responder

    Ivanildo, boa noite.

    Fiz a instalação do PFSense, configurei DHCP Server e ip’s estáticos nas interfaces LAN e WAN mas não consigo sair para a internet de jeito nenhum.

    Poderia me dar uma ajuda?

    Se precisar posso te mostrar como está configurado.

    1. Vou soltar um vídeo esta semana ainda, “pfSense pós-instalação” justamente falando destes ajustes e regras de firewall, estou recebendo muitas mensagens deste tipo, galera instalando pfSense e não conseguem navegar na net, então para ajudar neste ponto, vou fazer o vídeo.

      Aguarde um pouco e se liga no blog !

    • Renne em 9 de abril de 2014 às 5:53
    • Responder

    Olá Ivanildo estou com problemas para instalar o PFsense numa maquina HP Compaq DC5750, quando inicializo dá um erro de ROOT MOUNT FILE SYSTEM, e trava o teclado, nao consigo seguir na instalacao. Entrei no forum neste POST

    https://forum.pfsense.org/index.php?topic=47729.0

    fiz o que foi falado, pressionando a opção 3,
    Porém nao consegui dar continuidade na instalação.
    Teria alguma sugestão.
    Um forte abraço
    Renne

    1. Olá, tudo indica que o pfSense não reconhece o módulo do driver da controladora para o tipo de disco selecionado. Faça o seguinte teste, entra no setup, altera o tipo de disco de HCI, SATA ou RAID, seja qual for, para o modo Legacy.

      Reinstale o pfSense !

    • Israel em 24 de maio de 2014 às 12:49
    • Responder

    Gostaria de saber com instalar o pfsense sem ser na maquina virtual.
    Eu tenho um imagem iso do pf, e estou fazendo a imagem com o Power ISO.
    Porem não acho o instaldor. Tem outra maneira?

    1. Olá, perdão pela demora na resposta, o tempo está bem complicado.

      Não existe um instalador, o pfSense é um Sistema Operacional, é um firewall baseado em FreeBSD, ele não é um aplicativo, você tem que pegar a ISO e dar boot por ela, seja em uma VM ou em uma máquina física.

      Veja meu vídeo de instalação e configuração do pfSense, aqui mesmo no blog.

      Sucesso !

    • ALICE em 28 de maio de 2014 às 12:03
    • Responder

    Oi Ivanildo, estou com o mesmo problema que o Renne, no setup ja esta no modo Legacy, continua o mesmo erro. Trava o teclado no caminho mountroot e não prossegue. Mais alguma sugestão?

    Desde ja agradeço.

    1. Olá, FreeNAS, pfSense e qualquer outro SO baseado em FreeBSD no hyper-v é complicado, sugiro que coloque em um host Vmware, você não terá mais problemas.
      A Microsoft não dá suporte a sistemas FreeBSD no Hyper-V, então tem que procurar nos fóruns no Brasil e internacionais.

      Não posso ajudar muito porque nunca peguei este problema e não instalo pfSense no Hyper-V, pois sei que fica instável e podem surgir problemas de um dia para o outro no caso de uma reboot do Hyper-V em uma queda de energia.

      Sucesso !

    • Luiz em 27 de outubro de 2014 às 19:24
    • Responder

    Prezado, Ivanildo.
    Estou com o Seguinte problema.

    1 – Instalei o PFSense 2.1.5-RELEASE (amd64), habilitei o DHCP server, criei um VPN ontem o OpenVPN que está conectada e já funcionando.

    De um lado tenho um LINK STATIC 10MB (internet) –> 200.214.46.34/29 — OK
    REDE configurada pelo IP 172.30.0.0/16 — OK
    VPN –> Tunel –> 169.254.19.0/29 –> ok. Final 1 para matriz e Final 2 para Cliente. –> OK

    Do outro lado matriz com ip static (internet) –> 200.222.4.59/29 –> OK
    Rede configurada pelo IP 10.0.0.0/16 — OK

    VPN para esta rede ok funcionando, porem tenho mais algumas rede que teria que acessar pela VPN como por ex a rede, 10.10.10.0/24 e outras.

    Só que não consigo colocar outro GW de rede para apontar para a outra ponta da VPN.

    tem como me ajudar?

    Olha o caminho para a rede 10.0.0.0/24, eu precisava que fizesse o mesmo para a outras redes que estou falado.

    C:\>tracert -d 10.0.100.3

    Tracing route to 10.0.100.3 over a maximum of 30 hops

    1 1 ms <1 ms <1 ms 172.30.0.1
    2 12 ms 7 ms 9 ms 185.50.100.1
    3 8 ms 7 ms 6 ms 10.0.100.3

    Trace complete.

    1. Se importa de me mandar um e-mail explicando novamente e se possível com o layout do cenário ?
      Não entendi exatamente o que você quer fazer.
      E-mail: consultoria@ivanildogalvao.com.br

    • André luiz em 13 de novembro de 2014 às 8:43
    • Responder

    Ivanildo bom dia p pfsense funciona no Windows? e se funciona tenho como bloquear um usuário para que o mesmo
    não acesse a internet?

    1. Olá, o pfSense é um SO e não um aplicativo, você formata um computador e instala o pfSense, se quiser rodar ele no Windows, tem que ser virtualizado no VirtualBox ou Vmware Workstation.

      Sucesso !

    • carlos em 20 de março de 2015 às 16:26
    • Responder

    Boa tarde,

    como eu bloqueio conteudo improprio em buscadores, ex. tenho o pfsense, instalei o squid+squidguard e fiz o bloqui por palavras e conteudo porn_, e fiz por palavras no proxy server em blacklist (ninfeta), quando eu faco a busca o site o squid consegue bloquear, mas se eu for em IMAGENS do google, mostra um monte de mulher pelada, como se o filtro nao funcionasse… poderia me ajudar?

    1. Faça um teste colocando as informações do proxy no browser.

      Sucesso !

    • Edimilson em 21 de julho de 2015 às 10:28
    • Responder

    Bom dia Ivanilido, tenho um pfsense 2.2.3 configurado com load balance, nas regras no firewall coloquei para sair no gateway com load balance, porém o link1 sai http e https (OK) , se eu desconectar o link1, somente as requisições HTTPS estão saindo pelo link2, quando tento abrir http da erro “O sistema retornou: (51) Network is unreachable”. Estou achando q o squid esta bloqueando sai pelo link2, vi no proxy server mas não tem nada relacionado a gateway, estou usando o squid3.

    1. Olá,

      Este caso é conhecido, olha este link: http://blog.ntsuporte.com.br/?p=137

      Estamos com o curso de Firewall/UTM pfSense completo em vídeo aulas, acesso completo durante 01 ano, no curso eu ensino desde o básico ao avançado do pfSense, acesse o site, conheça o curso e inscreva-se https://www.jlcp.com.br/produto/curso-pfsense/ 😉

      Sucesso !

    • Paulo Ferreira em 14 de setembro de 2015 às 8:57
    • Responder

    Ivanildo, bom dia!

    Poderia me ajudar? Não consigo conectar a VPN do Azure (IPSec) com o meu Pfsense 2.1.5 de jeito nenhum…

    1. Olá, precisaria ver os logs para analisar os erros.

      Sucesso !

    • jheimison em 10 de novembro de 2015 às 16:57
    • Responder

    BOa tarde estou a sua video aula: Configurando pfSense – Squidguard + Firewall + NAT + DMZ + DHCP + Failover Wan.
    e estou com algumas dificuldades. ao liberar só a porta 80 o meu navega só alguns sites como globo. a versao do meu pfsense é a ultima 2.2.5 se puder me ajudar.

    1. Olá, não esqueça de abrir http, https e principalmente a porta dns que é essencial para a navegação sem problemas.

      Sucesso !

    • Samuel em 4 de dezembro de 2015 às 17:24
    • Responder

    Boa Tarde Ivanildo
    Não estou conseguindo instalar o Pfsense
    quando do boot pelo CD Aparece a seguinte mensagem
    BTX Loader 1.00 BTX version is 1.02

    Obrigado

    1. Olá, precisaria ver qual a versão do hardware da máquina e do pfSense, as vezes é problema de versão incompatível, mas pelo tempo, acredito que você já resolveu.

      Valeu !

    • Felipe em 30 de dezembro de 2015 às 12:11
    • Responder

    Olá! No site de download, qual arquivo devo baixar? Baixei versao amd 64- live CD com installer, mas ao transformar em um pendrive bootável, no final do processo, diz nao achar um arquivo tal, qual nao lembro o nome..

    1. Olá,

      i386 para computadores 32bits
      AMD64 para 64 bits.

      Estamos com o curso de Firewall/UTM pfSense completo em vídeo aulas, acesso completo durante 01 ano, no curso eu ensino desde o básico ao avançado do pfSense, acesse o site, conheça o curso e inscreva-se https://www.jlcp.com.br/produto/curso-pfsense/ 😉

      Sucesso !

    • claudio fernandes em 4 de abril de 2016 às 12:17
    • Responder

    Ivanildo,
    Boa tarde!

    Tenho uma duvida
    ip fixo Pelo vivo

    Modem configuração pppoe

    Wan1dhcp – 192.168.1.x
    Wan2dhcp – 192.168.2.x
    Lan – 192.168.100.x

    Quando faço o download do cliente Openvpn ele fica tentando conectar com ip Local
    Como devo fazer a configuração do ip publico, lembrando que meu ip e fixo Plus.

    Obrigado!

    1. Olá,

      Rapaz, a melhor forma é usar o modem como bridge e com isso deixar o IP publico chegar direto no pfSense, se continuar com este cenário, você precisa abrir a porta do OpenVPN no modem, criando um NAT de redirecionamento, para cair no IP do pfSense, só que você só conseguirá para uma interface do pfSense e não para as duas.

      Sucesso !

      1. Obrigado!
        Feito exatamente como falou esta funcionando perfeitamente!
        Obrigado!

    • André em 13 de abril de 2016 às 16:12
    • Responder

    Boa tarde!
    PFSense 2.2.3, tínhamos 10M de banda dedicado e estava tudo ok.
    Aumentaram a banda pra 30M e a taxa de download está ok, mas upload chega no máximo a 9M depois do PFSense.
    Medi antes do Firewall, direto no modem da GVT e a tava de Down e UP estão em 30M.
    O que pode estar acontecendo?
    OBS.: Não têm nenhuma regra de limitação de banda rodando neste momento.
    Desde há agradeço.

    1. Olá,

      É bem estranho, pois o pfSense não diminui banda de internet. O padrão de MTU usado pelo pfSense é 1500, padrão este usado pela maioria dos provedores.
      Existe a possibilidade do seu provedor usar um MTU diferente, chegou a ver isso ?

      Sucesso !

    • Andrew Mendes em 4 de junho de 2016 às 10:37
    • Responder

    Boa tarde gosto muito dos seus post também só estudante de computação eu, gostaria de saber o seguinte: eu criei regras para bloqueiar protocolos como HTTP, FTP através de vulnebilidades relacionado a portas abertas só que os usuários da corporação não conseguem acessar nenhuma página na internet visto que o protocolo HTTP foi bloqueado. diante da situação o que faço

    obrigado!!!

    aguardando resposta por e-mail

    1. Olá, mas claro que não irão navegar 🙂
      Se você bloqueou http e https na saída, como os usuários poderão acessar as páginas na Web ?
      As portas http e https devem estar abertas na saída, você pode bloquear para máquinas específicas que são proíbidas de acessar a internet, mas para isso tem que criar ALIAS destas maquinas e criar regras separadas.

      Sucesso !

    • Joao Marcos em 20 de julho de 2016 às 15:06
    • Responder

    Ola Ivanildo, por favor vc poderia me dar umas dicas para a configuração de VOIP (Itemlbras-modelo Impacta 220R), no pfSense, 2.3 32 bits, eu consegui fazer os ramais autenticarem porém não passa voz. Já olhei diversas dicas porém nenhuma dica funcionou.

    1. Olá, para te ajudar, eu precisaria entender o layout do seu ambiente, me mande mais informações por e-mail.

      Sucesso !

    • Antonio Augusto em 28 de julho de 2016 às 16:53
    • Responder

    Boa tarde

    Sou iniciante no PFSense (dois dias de utilização).
    Instalei numa VM (VirtualBox), consigo acessar o console via browser, mas ao tentar instalar qq programa (squid, nmap), começa a instalação e depois para informando falha.
    Ao tentar acessar a console via browser, não respondia, assim como o ping.
    Desativei o firewall (pfctl -d).
    Passou a pingar e acessar a console.
    No firewall e criei uma regra
    proto any
    source any
    dest lan adress
    port any
    Acesso a console, seleciono o pacote, começa a instalação e num determinado momento, dá falha.
    Observei que a VM parou de responder ao ping.
    Desativo novamente o firewall, volta a responder.
    O que pode estar acontecendo?

    1. Olha, é bem estranho este problema, eu precisaria ver a tela de erro para entender o que está acontecendo.
      Se puder, me mande a imagem do erro por e-mail: ivanildogalvao@esolutionti.com.br

      Até mais !

    • Rodrigo em 19 de agosto de 2016 às 9:46
    • Responder

    Bom dia Ivanildo,

    percebi que o meu pfsense até 10MB ele passa normal, porém aumentamos para 30MB e eu não vejo o pfsense puxando os 30 total, vejo ate no máximo 10 a 15mb, você acha que isso é algum problema no pfsense?
    Utilizo dois links com failover sendo o tier 2 o link de 30MB dedicado e tier 3 o link de 4 MB dedicado.

    O que pode ser? Raramente eu vejo os gráficos apontando para 30MB, e aqui só trabalhamos com sistema web e tem muitos usuários simultâneos.

    1. Faça o teste de velocidade só com o link de 30MB, veja se melhora, o link de 4MB apesar de estar com TIER maior, pode estar impactando.
      Outra questão a ser vista é o MTU do modem com a interface do pfSense, tem que estar igual.

      Sucesso !

    • Francisco em 20 de setembro de 2016 às 17:17
    • Responder

    Olá Ivanildo…
    Estou instalando a ultima versão do PFSENSE … e somente nesta ultima versão (pfSense-CE-2.3.2-RELEASE-amd64) ela não reconhece o HD criado pela imagem no Hyper-v. Já alterei de IDE para SCSI o HD, mas na hora da instalação apresenta mensagem que não encontrou o HD (The installer coud not find any disc…)
    Pode me ajudar?

    1. O ideal é usar disco com controladora IDE, a opção SCSI não funciona porque o Hyper-V tem dificuldades em carregar drivers BSD para disco.
      Na verdade, na verdade, Vmware e XenServer são de longe a melhor opção para virtualizar o pfSense, pra você ter ideia, o pfSense vem com drivers nativos para Vmware vSphere.

      Sucesso !

    • Jacques em 27 de setembro de 2016 às 12:11
    • Responder

    Olá Ivanildo,

    Suas vídeo aulas são ótimas!! Obrigado.
    Gostaria de saber se tem alguma diferença entre as imagens disponibilizadas no site ofcial do psSense, para as arquiteturas AMD64 e I386 em relação NetGate ADI. Digo em relação a funcionalidades que possam tornar o firewall em um appliance pfsense mais “robusto” que uma versão para pc.

    1. Não, a única diferença entre as versões é apenas plataforma de processador, as funcionalidades e os recursos são os mesmos.

      Sds !

        • Jacques em 7 de outubro de 2016 às 15:28
        • Responder

        Obrigado Ivanildo!!!

    • Jadson em 28 de novembro de 2016 às 11:22
    • Responder

    O Pfsense é funcional numa virtualbox? Pois não tenho uma cpu fisica pra ele.
    É possivel utilizar desta forma?

    1. Sim, com certeza. Se o ambiente for pequeno, sem criticidade, se for algo mais enterprise, recomendo então que seja físico ou virtualizado no Vmware vSphere.

      Sucesso !

    • Leonardo Samá em 30 de maio de 2017 às 11:00
    • Responder

    Bom dia Prof Ivanildo.

    Iniciei a pouco tempo, na experiencia do PFSENSE. O que notei e que no Hyper-v, a placa de redes Legacy Network Adapter e funcional, porem só funciona no máximo 100 MB full duplex !! Estou correto? Existe como contornar essa barreira de limitação de banda? No backup entre redes da DMZ para MZ, terei uma demorar significativa!

    1. Olá, essa limitação foi resolvida a partir do Windows Server 2012, em todo caso dá uma olhada aqui: https://doc.pfsense.org/index.php/Virtualizing_pfSense_under_Hyper-V
      Porém considero XenServer e Vmware as melhores opções para virtualizar o pfSense.

      Sucesso !

  1. Tem um novo Appliance Firewall pfSense que estou usando nos meus clientes que estou gostando bastante que é o modelo bm4c e tem outros modelos também. Pra mim o custo benefício compensou bastante.

  1. […] Fonte: Instalando e configurando o pfSense – Ivanildo Galvão […]

Deixe uma resposta

Seu e-mail não será publicado.

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.