«

»

jul 11

pfSense – Firewall e Roteamento

pfSense_2

Olá amigos,

O vídeo técnico deste post é a segunda parte das vídeo aulas de pfSense que eu disse que postaria aqui no blog, o vídeo mostra um pouco da criação de regras de firewall, um pouco porque se fosse mostrar tudo o vídeo ficaria mais extenso, porém o que é mostrado é o suficiente para a maiorias das tarefas de publicação de regras e pode ser complementando com este post que fiz no mesmo dia “pfSense – Ajustando regras de firewall, direcionando tráfego nas interfaces WAN ” – http://www.ivanildogalvao.com.br/seguranca/pfsense_trafego
Também neste vídeo abordo a criação de Gateways e rotas estáticas, como fazer para estabelecer a comunicação entre duas redes, onde em uma ponta do link você tem o pfSense e na outra ponta um roteador.

Espero que gostem do vídeo, deixem suas criticas, duvidas e sugestões aqui no blog e responderei a todos na medida do possível.

 

 

Um abraço a todos !

Profissional dedicado a Tecnologia da Informação, estudioso, autodidata.
Consultor, Professor e Palestrante.

Facebook Twitter LinkedIn Google+ Skype 

Profissional dedicado a Tecnologia da Informação, estudioso, autodidata. Consultor, Professor e Palestrante.

57 comentários

Pular para o formulário de comentário

  1. Jayr Filho

    Ivanildo

    Boa noite

    Não estou conseguindo dar acesso a internet as outras maquinas clientes, seguir todos os passos, porem sem sucesso.

    Meu Pfsense esta com duas placas de redes ( Brigde, e a outra como rede interna) já esta habilitado o DHCP server as maquinas estão com IP da rede, porem não consigo liberar internet. as clientes estão como placa de rede interna.

    1. Ivanildo Galvão

      Olá, vamos lá.

      A – As máquinas conseguem pingar a interface interna do pfSense ?
      B -Existe uma regra no pfSense liberando todas as portas para a internet ? Ou, se estiver liberando porta por porta, como http, https, smtp, etc, lembre-se e liberar também a 53 UDP (DNS)
      C – O pfSense tem acesso normal a internet ?

      Sucesso !

  2. Julio

    Prezado Professor!
    Estou cenário é assim:
    1 escritorio com 3 funcionários.
    tenho 1 micro com freenas instalado que serve de servidor de arquivos.
    outro micro que tem pfsense instalado com 2 placas de rede.
    Pois bem:
    instalei e configurei o pfsense em modo transparente, com squid e squidguard.
    Consegui bloquear algumas coisas, facebook e sites que não diz respeito ao escritorio.
    setei o pfsense com ip e macadrres, sei quem esta acessando o que nos relatorios do lightsquid.
    O que eu queria mesmo é fazer uma autenticação local e sair do modo transparente, tb queria redirecionar todo o trafego da net na porta 3128 do squid no rules, mas ainda isso é muito para meu pouco conhecimento. Não consegui bloquear o twitter, instagran….. se puder me dar uma força, ficaria muito agradecido…o seu video é show de bola, mas ainda tenho muito a que aprender…att…Julio

    1. Ivanildo Galvão

      Olá Julio, vamos conversando por e-mail – consultoria@ivanildogalvao.com.br, deixa eu entender melhor o teu cenário.

      Sds, !

  3. Renderson

    Muito bom sua vídeo aula.
    Você poderia disponibilizar a
    configuração das VMS?
    As placas de rede (bridge,
    DHCP,rede local). Sua
    Didática e fantástica

    1. Ivanildo Galvão

      Olá, obrigado pelo elogio.

      Bem sempre que subo um pfSense no Vmware Workstation, adiciono as duas interfaces, sendo uma bridge e outra host-only, a bridge eu conecto diretamente na rede local e por ela saio para a internet, a host-only uso para comunicar-se com outras VMS e estas VMS saem para a internet por ela, não tem segredo, como a host-only configuro com o IP LAN, é ela quem uso no DHCP, repare que depois que você instala o pfSense, ele pede para você definir quem será a WAN e quem será a LAN, então aí ele ja separa as redes.

      Se for usar o pfSense em um servidor com Vmware ESXi por exemplo, como já fiz bastante, recomendo que direcione a placa de rede virtual 1 para a placa de rede física que ficará no Switch e direcione a placa de rede virtual 2 para placa de rede física que ficará ligada ao modem da internet.

      Bem é isso e sucesso !

  4. Jose Carlos

    Bom dia, estou com um problema em meu pfsense, todos da minha rede conseguem acessar meu roteador de internet e assim conseguem entrar nas configurações minha rede e 172.16.1.1 LAN e a Internet esta no WAN DHCP 192.168.1.1 como faço para que ele nao consigam acessar essa rede 192.168.1.1?

    desde ja agradeço

    1. Ivanildo Galvão

      Olá, crie uma regra de firewall bloqueando a comunicação da rede LAN para o IP do roteador (WAN)

      Sucesso !

  5. Marcelo

    Boa Noite

    Ivanildo, 100% o manual, cara estou tenho a estrutura abaixo e não consigo uma rede conversar com a outra.

    Tenho duas rede internas na empresa ligadas na mesma estrutura
    a) Rede a
    192.168.9.0
    255.255.255.0
    192.168.9.9

    b) Rede b
    192.168.11.0
    255.255.0.0

    c) Rede WAN (GW Default)
    IP da internet

    Estou precisando que a rede “A” possa enxergar a rede “B”, poderiam mim ajudar ?

    Já inserir a placa no pfsense com o ip 192.168.11.254.

    A rede 192.168.0.0 esta em um switch e a 192.168.11.254 esta em outra.

    1. Ivanildo Galvão

      Olá, você tem que observar duas coisas, firewall e roteamento, o pacote roteado só passa se o firewall deixar, pode me mandar por e-mail um mapa do cenário para que eu entenda melhor o seu caso ?

      Até mais !

  6. Renato Carvalhaes

    ola Ivanildo, muito bom os topicos, seus videos sao bem esclarecedores.
    Agregou muito, agradecido.

    Segue uma duvida parecida com o do moço Marcelo, eu nao sei onde crio uma regra no PFSENSE que fala olha, pode falar com a rede que esta fisicamente conectada mas de outra familia tal.

    tenho o seguinte cenario no pfsense:
    PFSENSE
    LAN 10.1.1.254
    (configurado um ad 10.1.1.36 de DNS funcional, resolve todos nomes internos, mesmo em conjunto com este novo gateway do pfsense)

    DETALHE: nesta lan 10.1.1.0 basicamente onde ficam toda minha rede, e aqui hoje existe uma conversa permitida pelo gatway atual 10.1.150.1 que fica na rede 10.1.150.0), ou seja, daqui qualquer maquina com ip 10.1.1.0 consegue pingar na outra rede desde que tenha este gateway que sabe da regra.

    ————————————————————————-
    WAN1 dinamico failover prioridade 1 (link vivo 200Mb)

    WAN2 dinamico failover prioridade 2 (link GVT 30Mb)

    1. Ivanildo Galvão

      Olá, se possível, me detalha por e-mail.

      Valeu !

  7. Fábio Vieira

    Bom dia, tenho um Veste ESXi 5.5 onde tenho dois links de internet e o pfSense 2.2 virtualizado. Fiz uma DMZ dos modens para o pfSense onde tenho acesso externo ao meu pfSense porém ao criar um NAT para um TS interno não consigo acessar externamente. Sabe se tenho que fazer alguma configuração no Vmware para tal liberação?

    1. Ivanildo Galvão

      Olá,

      Desculpe, não entendi direito o que você quer fazer, pode explicar novamente ?

  8. Samuel Querino

    Boa tarde Ivanildo.

    Pesquisando na web sobre PFSense, encontrei alguns comentários seu e o seu sitio.

    Estou tentando preparar um servidor com o PFSense com os serviços DHCP , squid, firewall.
    Esta máquina que tenho tem 4 placas de rede. Tenho 3 laboratorios e uma secretaria. Nas máquinas dos laboratórios terá uma rede diferente das maquinas da secretaria. Todas as máquinas vão passar pelo squid.

    att
    samuel

    1. Ivanildo Galvão

      Sim, passam. Na configuração do Squid você define as placas de rede que farão parte do proxy.

      Sucesso !

  9. John

    Boa noite Professor o problema que encontro aqui e que não consigo estabilizar a internet pelo pfsense numa antena externar aquario.

    1. Ivanildo Galvão

      Olá,

      Cara, sinceramente nunca usei tal antena com o pfSense, não seria limitação de MTU ? Já tentou ver isso ?

      Sucesso !

  10. LzNi

    Boa Noite professor. Como funciona o roteamento para servidores de aplicação web. Exemplo, em um servidor , tenho o site da empresa. Em outro, um sistema php. E outro um servidor de email.
    Como faço o roteamento para que, quando um cara na wan, digital os endereços, o pfsense encaminhar para o servidor correto?

    sucesso!!

    1. Ivanildo Galvão

      Acho que você está falando de NAT, o pfSense faz sim tranquilamente esta distribuição de acessos, procure aqui mesmo uma aula minha sobre NAT, ou lá no youtube.

      Mas, Estamos com o curso de Firewall/UTM pfSense completo em vídeo aulas, acesso completo durante 01 ano, no curso eu ensino desde o básico ao avançado do pfSense, acesse o site, conheça o curso e inscreva-se https://www.jlcp.com.br/produto/curso-pfsense/ ;)

      Sucesso !

  11. Lucas

    Bom dia, primeiro parabéns pelas vídeo aulas, são ótimas. Bom, aqui no meu pfsense tenho dois tipos de rede a LAN e a DMZ, primeiro queria entender porque os computadores da mesma rede seja LAN ou DMZ, não se comunicam, todos tem SO windows 7 e na aba rede consigo “ver” os hosts, mas não consigo ping e nem acessar as pastas compartilhadas. E queria saber também como faço para habilitar meu servidor de arquivos (FTP) que está na DMZ para que os hosts da LAN possam pegar os arquivos?

    Desde já, muito obrigado. Vlw!

    1. Ivanildo Galvão

      Olá, o roteamento entra DMZ e LAN é automático, pois o pfSense conhece as duas redes, porém para que estas redes se comuniquem, você precisa criar regras de firewall autorizando estas redes, de LAN para DMZ e de DMZ para LAN.

      Sucesso !

  12. Emerson Machado

    Olá professor, bom dia!
    Uso o PFSense 2.2.4-RELEASE.

    Estou tentando fazer um simples NAT do que vier da minha WAN para porta 80 e 84 (internamente 10.106.1.2:80 e 10.102.1.4:84).
    Olhei pelo seu tutorial, e á tentei de tudo no NAT, e não consegui, estou achando que o problema está no meu roteamento.
    Poderia me dar uma ajuda, e dizer o que testar para eu conseguir resolver isto?

    Desde já agradeço pela atenção.

    1. Ivanildo Galvão

      Olá, rapaz é do mesmo jeito que está no vídeo, não tem mais o que ensinar, agora se estiver usando um modem roteado, precisará abrir as portas nele primeiro, para que os pacotes sejam entregues ao pfSense, ou seja, NAT sob NAT, a melhor configuração é o IP publico chegando direto no pfSense.

      Sucesso !

  13. Everson

    Bom Dia Professor, gostaria de expor uma situação um tanto quanto inusitada. “Load Balancer” fiz as devidas configurações mas estou com um problema com o Banco do Brasil. Após vários testes consegui identificar o problema, meu Load Balancer esta alternado dois IP`s para o acesso e o banco identifica como se eu estive tentando invadir o mesmo e derruba o acesso como faço para resolver este pequeno transtorno.
    Att
    Everson

    1. Ivanildo Galvão

      Load balance e sites de bancos sempre se estranham, melhor fixar a saída para bancos por uma única interface.

  14. Stanley

    Ola amigo,
    Eu tenho procurado um tutorial para criar uma regra de acesso, pois, quero que o usuario acesse a rede apos curtir uma pagina no facebook, voce teria algum tutorial ensinando algo do tipo ?

    1. Ivanildo Galvão

      Olá, não tenho a menor ideia de como fazer isso :)

  15. jussan

    Bom dia ivanildo,

    cara parabéns pelos videos de pfsense, os videos são ótimos.

    foi atravez de vc que mudei na empresa o firewall pra pfsense mais to tentando resolver um problema e não to conseguindo.

    seguinte, uma empresa ta me fornecendo um programa de vendas, e eles vinheram e configuraram 4 serv windows server, com os ip 47,48,49,50 e nos 4 serv configuraram tb o ip virtual de balance 53, minha rede é 0. de dentro minha rede o ip 53 funciona ai hora o sistema entra pelo ip 47, hora pelo 49.

    mais o problema é que preciso fazer um redirecionamento externo pra esse ip 53, que funcione igual se fosse dentro da rede balanceando os acessos, só que o pfsense não pinga esse ip virtual, ja tentei buscar na internet como adiciona esse ip e mac na tabela arp do pfsense mais não achei.

    o que vc indica a fazer ?

    Obrigado

    1. Ivanildo Galvão

      Olá, me explica melhor o teu cenário por e-mail, não entendi muito bem.

      Faça o nosso curso completo em vídeo aulas, nele ensino muita coisa sobre o pfSense, desde o básico ao avançado.
      Apenas R$ 500,00 e pode ser dividido em 6x no cartão.
      https://www.jlcp.com.br/produto/curso-pfsense/

      Valeu !

  16. yago

    Bom dia mestre, muito bom seu vídeo.
    Estou com uma duvida sobre meu ambiente, criei duas REDES, LAN1 e LAN2, fiz as mesmas regras de bloqueio no firewall e squid para as duas, porém as regras so estão funcionando para LAN1, no entanto a LAN2 navega normal, mas sem bloqueios. O que pode estar faltando na configuração?

    Desde ja ,obrigado

    1. Ivanildo Galvão

      Olá, obrigado por acompanhar as aulas de pfSense.

      No Squid, as interfaces LAN1 e LAN2 estão selecionadas ?
      Se a LAN2 não estiver selecionada, o tráfego dela passará apenas pelo Firewall e não pelo Proxy.

      Sucesso !

      1. YAGO

        Sim, na opção PROXY SERVER>ACLs CAMPO ALLOWED SUBNETS – coloquei as faixa das duas redes, LAN1 (192.168.0.1/24) e LAN2 (192.168.1.0/24)

  17. Jean

    Migrei do Brazil FW para PFSense. Como configurar o dhcp para distribuir mais de 500 ips na rede
    abarços

    1. Ivanildo Galvão

      Usa uma mascara 23 bits, exemplo:

      Address: 192.168.0.1 11000000.10101000.0000000 0.00000001
      Netmask: 255.255.254.0 = 23 11111111.11111111.1111111 0.00000000
      Wildcard: 0.0.1.255 00000000.00000000.0000000 1.11111111
      =>
      Network: 192.168.0.0/23 11000000.10101000.0000000 0.00000000 (Class C)
      Broadcast: 192.168.1.255 11000000.10101000.0000000 1.11111111
      HostMin: 192.168.0.1 11000000.10101000.0000000 0.00000001
      HostMax: 192.168.1.254 11000000.10101000.0000000 1.11111110
      Hosts/Net: 510 (Private Internet)

      Se quiser fazer os cálculos você mesmo, use este link pra facilitar: http://jodies.de/ipcalc

      Inscreva-se no nosso curso de pfSense, em formato de vídeo aulas e com 1 ano disponível para acesso as aulas, neste curso você aprende pfSense do básico ao avançado.

      https://www.jlcp.com.br/produto/curso-pfsense/

      Sucesso !

  18. Jean

    Tudo bem professor , tenho um wifi somente modo ap então o pfsense precisa distribuir ip como posso criar para distribuir mais de 254 ips? Exemplo distribuir 500, 1000 etc

    1. Ivanildo Galvão

      É só usar uma máscara de sub-rede que permita o número de endereços IP, por exemplo:

      Address: 192.168.0.1 11000000.10101000.000000 00.00000001
      Netmask: 255.255.252.0 = 22 11111111.11111111.111111 00.00000000
      Wildcard: 0.0.3.255 00000000.00000000.000000 11.11111111
      =>
      Network: 192.168.0.0/22 11000000.10101000.000000 00.00000000 (Class C)
      Broadcast: 192.168.3.255 11000000.10101000.000000 11.11111111
      HostMin: 192.168.0.1 11000000.10101000.000000 00.00000001
      HostMax: 192.168.3.254 11000000.10101000.000000 11.11111110
      Hosts/Net: 1022

      Sucesso !

  19. Jean

    Desculpe não tinha visto a resposta anterior, esses cálculos tranquilo, mas no pfsense no dhcp não deixa mexer na mascara? ou deixa?

    1. Ivanildo Galvão

      Basta a máscara da LAN do pfSense ser a que permite a divisão, com a máscara já definida no Fortigate, ele entenderá automaticamente no DHCP qual usar.

      Sucesso !

  20. Felipe

    FIZ AS CONFIG. NO PFSENSE, PING FUNCIONA NA LAN E WAN, ME DA ACESSO A INTERNET NO SKYPE, POREM EM SITES NÃO CONSIGO ENTRAR, O QUE PODE SER ?

    OBS.: estação de laboratório que faço acesso ao pfsense só funciona com ip fixo, como posso corrigir?

    1. Ivanildo Galvão

      Olá,

      A porta DNS está publicada para consulta na saída ? Skype vai direto pelo IP e por isso funciona, já sites e e-mails, dependem de consulta DNS.
      Faça o nosso curso completo de pfSense me vídeo aulas, aprenda desde o básico até o avançado: https://www.jlcp.com.br/produto/curso-pfsense/

      Sucesso !

  21. Jean

    Boa Tarde Ivanildo, Enviei uns e-mails mais pode desconsiderar fui na lan mudei a mascara como mencionado ai muda automaticamente no dhcp.

    1. Ivanildo Galvão

      Beleza :)

  22. Wolnei

    Bom dia Ivanildo Galvão,
    Cara tenho duas redes Wan configurado no pfsense, e tenho varias Vlans na minha rede o estranho é que tiver na wan 1 consegue acessar as redes Vlans, qndo coloco algumas estacoes na wan 2 nao consegue acessar as Vlans, vc ja deparou com algo assim ?

    1. Ivanildo Galvão

      Olá, não estou entendendo o seu cenário ? Como assim maquinas na WAN2 e a WAN1 nas VLANS ?
      Se puder, explique melhor o cenário que você quer configurar, então te dou um help :)

      Abraço !

      1. WOLNEI

        blz…professor minha estrutura tem dois links de internet fiz um failover e loadbalance funciona de boa, mas tenho outra subrede mas que nao consigo acessa-lo.
        ex: minha rede padrao 192.168.5.0/24 a outra rede é 192.168.1.0/24 so comunica-se qndo desativo loadbalance ou failover

        1. Ivanildo Galvão

          Rapaz, este problema está esquisito, se você tem a rede LAN, DMZ e 2 WANS por exemplo, o fato de ter loadbalance com as interfaces WANS, não deve refletir no acesso das redes privadas.
          Verificou se existe regras de firewall para a segunda rede, autorizando-a a sair pra internet pela WAN do pfSense ?
          Veja também no NAT, se existe uma regra NAT Outbound para esta rede, assim como provavelmente deve existir para a LAN.
          E na placa de rede da segunda rede, as opções de Block IP Private e Bogon Networks, devem estar desmarcadas, caso contrário o pfSense irá descartar os pacotes.

          Sucesso !

  23. Ruan

    Ivanildo,

    Muito bom seu video, instalei o PFsense e coloquei algumas coisas para funcionar, muito legal mesmo sua iniciativa com este otimo video…. me ajuda em um problema:

    O PFsense (tem WAN1 – WAn2 – LAN) – Load balance configurado tb.
    O IP da LAN e a Seguinte: 172.16.1.200

    Configurei alguns nats, minha maquina da rede interna está navegando pelo GW: 172.16.1.200 so que acontece algo que nao estou conseguindo desvendar. EXemplo:

    Da minha casa acesso o RDP da maquina do trabalho perfeito (meusistema.com.br:3320 ou e direciona pra minha estacao na porta 3389 show de bola) o problema acontece da seguinte maneira: Abro o RDP na minha propria estacao de trabalho na empresa e digito como se estivesse de casa, como escrito acima e nao aceita a conexao. o que sera que pode ser?

    Obrigado Ruan

    1. Ivanildo Galvão

      Habilite o NAT Reflection, ajuste para NAT + Proxy.
      Veja isso: https://calvin.me/port-forward-web-servers-in-pfsense-2/
      Aprenda isso muito mais com minhas vídeo aulas do curso completo de pfSense: https://www.jlcp.com.br/produto/curso-pfsense/

      Sucesso !

  24. Carlos

    Ivanildo, bom dia.
    Configurei o proxy nas estações.
    No firewall, estou mudando a regra que abre toda a rede Lan, para block.
    Quando aplico a regra, não consigo acesso à um determinado host (…dyndns-free.com).
    Esse bloqueio só acontece quando tento pingar ou acessar (RDP) via o nome da URL, quando coloco diretamento o IP, o acesso está ok.
    Qual regra devo incluir para liberação?

    1. Ivanildo Galvão

      Olá, sem dúvida está faltando criar uma regra abrindo a porta 53 (DNS), tanto UDP como TCP, faça isso e irá funcionar.
      Não esqueça de abrir também uma a uma as portas http, https e outras que venha a precisar, mas nunca abra todas as portas, pois expõe demais a rede para acessar redes externas nocivas, como redes Botnet que injetam malwares na sua rede.

      E se quiser aprender mais sobre o pfSense, domina-lo, adquira o meu curso completo neste link https://www.jlcp.com.br/produto/curso-pfsense/
      Você prenderá do básico ao avançado e com certeza aprenderá a fazer diversas configurações de serviços de rede e segurança.

      Sucesso !

      Sucesso !

  25. Antonio Augusto

    Boa tarde

    Ivanildo, não sei se esse seria o canal de contato mas tenho umas dúvidas quanto a conf do PFSense.
    Seria possível uma orientação?

    1. Ivanildo Galvão

      Olá, manda no e-mail, ivanildogalvao@esolutionti.com.br

  26. Valdir

    Boa noite Ivanildo.

    Estou preparando uma nova Maquina para Instalar o PFsense, pois inda não posso desativar o Endian o qual uso como Proxy e Firewall.

    Porém assisti seu vide-o do Pfsense e não encontrei uma regrar que libera certos MAC para não passar pelo Proxy.

    OBS: alguns destes MAC são de Estações do Domínio Windows 2012 e estas mesmas Estações recebem via GPO O proxy pelo Browser neste caso tem como criar regra para liberar passar pelo proxy?

    Abraço

    1. Ivanildo Galvão

      Olá Valdir, o pfSense ainda não faz filtro por MAC para regras de firewall ou para Proxy Squid, ele consegue fazer Bypass por MAC apenas na implementação do Captive Portal, o que não é seu caso.
      Para liberar certas máquinas, para que não passem pelo Proxy, será possível apenas por endereço IP, neste caso você precisaria usar IP fixo nestas máquinas, ou reserva DHCP através da opção DHCP Static Mapping no próprio pfSense.

      Já conhece nosso curso completo de pfSense ? Apenas 179,90, dê uma olhada neste link e veja o que você pode aprender tanto sobre este poderoso UTM Open Source:
      http://www.ivanildogalvao.com.br/seguranca/pfsense17990

      Sucesso !

  27. Geovany Kam

    Ivanildo boa noite!

    Tenho uma duvida em relação ao roteamento no pfsense :

    Tenho um Switch Cisco Layer 3 com a seguintes vlan criadas nele :

    vlan 10
    gateway 10.1.10.1

    vlan 100
    gateway 10.1.100.1

    O pfsense direciona internet para qualquer maquina na VLAN 1 (default)

    Ja as outras vlans conversam entre si porem não tem internet.

    Existe alguma configuração a mais para fazer no switch cisco?

    E no pfsense o que fazer para todas as vlans receberem internet ?

    O servidor DHCP que uso é de um windows server 2012.
    O pfsense seria apenas para entregar internet e ser o firewall.

    Obrigado

    1. Ivanildo Galvão

      Olá, coloca a interface LAN do pfSense em todas as VLANS, basta ir na guia VLAN, registrar cada VLAN e associar a interface.

      Sucesso !

Deixe uma resposta

O seu endereço de email não será publicado Campos obrigatórios são marcados *

Você pode usar estas tags e atributos HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

Pinterest
Email