«

»

jul 10

pfSense – Ajustando regras de firewall, direcionando tráfego nas interfaces WAN

pfSense_2

Neste artigo irei mostrar de forma simples e direta como direcionar o tráfego de navegação http e https, bem como de qualquer outra porta, para links específicos de saída.

Solução

É comum algumas empresas usarem dois ou mais links de internet no mesmo pfSense e as vezes surge a necessidade de dividir o tráfego de saída por portas e em links separados, por exemplo, digamos que você tenha dois links de internet WAN1 e WAN2 e quer que a saída de pop3 e smtps (smtp seguro) seja pela WAN1 e o tráfego http, https e dns saiam pela WAN2, então basta crias as regras de firewall de saída e especificar o Gateway da interface WAN desejada. Veja neste exemplo que o pfSense possui dois Gateways, sendo um deles o default, mas isso não impede que determinado tráfego saia também pelo outro Gateway.

clip_image002

 

 

 

 

 

 

 

 

Para chegar nesta tela, clique no menu System > Routing. Então, basta criar a regra de firewall e definir o Gateway da regra, vejamos um exemplo, vou criar uma regra de saída ICMP e informar que a mesma deve sair pelo Gateway da interface WAN1 Clique no menu Firewall > Rules, em seguida na aba LAN.

clip_image004

Clique no botão “+” logo acima, ao lado de description para adicionar uma nova regra.

clip_image006 clip_image008 clip_image010

Veja que na regra eu defino a ação (Pass, Reject ou Block), selecionei o protocolo ICMP, tipo de ICMP defini como Any, assim qualquer tráfego deste tipo irá passar normalmente, a Origem parte da rede LAN, Destino Any, ou seja, qualquer rede, marque a opção Log se você deseja que o tráfego seja registrado, destaquei aqui a opção Source OS, mas apenas para uma breve explicação, é nesta opção que você pode definir qual tipo de sistema operacional estará autorizado a passar por esta regra, como Windows, Linux, FreeBSD, Solaris, Mac OS, entre outros, apenas um detalhe, esta opção não funciona neste tipo de regra onde informo que o protocolo usado será o ICMP, esta opção de definição de SO funciona apenas com protocolo do tipo TCP. E por último a opção que é o objetivo deste artigo o Gateway, repare que selecionei o WAN_DHCP que está associado a interface WAN1 do pfSense, o número IP do Gateway é exibido, depois disso basta clicar em Save e depois na parte de cima em Apply para aplicar as alterações. Pronto, desta forma você está obrigando a esta regra de firewall a sair pela interface determinada, as figuras abaixo mostram o tráfego saindo pela WAN1 e em seguida altero a regra para sair pela WAN2, repare que no primeiro salto o IP do Gateway muda.

Saindo pela WAN1

clip_image012

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Saindo pela WAN2

clip_image014

Conclusão

Neste artigo vimos de forma clara e simples, como direcionar o tráfego de saída LAN nas regras de firewall para sair por Gateways em interfaces diferentes que podem ser mais de uma WAN, ou interface DMZ, uma outra LAN desde que tenha um Gateway para onde os pacotes devem ser lançados. Você também pode separar o tráfego por grupo de máquinas, como por exemplo um número x de máquinas da rede saindo para http e https por uma regra direcionada a WAN1 e outro grupo também saindo para http e https só que direcionada a WAN2, dividindo assim a carga de saída entre os links, para isso você vai no menu Firewall > Aliases e cria os Aliases adicionando o número IP das máquinas, em seguida basta criar a regra e na origem digitar o nome do Alias. Para mais informações sobre a configuração de regras usando Aliases, veja o vídeo de pfSense com o tema Firewall e Roteamento, aqui mesmo no blog no menu Segurança.  

Até o próximo artigo !

Profissional dedicado a Tecnologia da Informação, estudioso, autodidata.
Consultor, Professor e Palestrante.

Facebook Twitter LinkedIn Google+ Skype 

Profissional dedicado a Tecnologia da Informação, estudioso, autodidata. Consultor, Professor e Palestrante.

45 comentários

Pular para o formulário de comentário

  1. Diliano

    Amigo pode me passar um telefone ou um email pra eu tirar umas duvidas com vc, Parabens pelas video aulas, otima iniciativa e didatica.

    1. Ivanildo Galvão

      Olá, mande para consultoria@ivanildogalvao.com.br

      Até mais !

  2. Natalia

    Olá Ivanildo.
    Parabéns pelas dicas.
    Estou com uma dúvida: Tenho um link de 100MB de internet e gostaria de dividir esses 100MB para 5 redes, ficando cada rede com 20MB de banda. Eu consigo fazer isso com o Pfsense? Outro detalhe é que preciso que todas essas 5 redes tenham DHCP. No pfsense na aba service/dhcp server eu só consigo inserir um range de IP.
    Você sabe me dizer se o Pfsense me atenderia nesse cenário?

    Desde já agradeço a ajuda.

    Obrigada.

    1. Ivanildo Galvão

      Olá,

      Sim consegue dividir, basta criar regras de Traffic Shape.
      No caso de criar um range DHCP para cada rede, basta adicionar e habilitar as 5 interfaces, uma em cada rede, o pfSense irá adicionar uma aba para cada rede no console DHCP, veja este vídeo na parte do DHCP http://www.ivanildogalvao.com.br/seguranca/pfsensedmz

      E vc entenderá.

      Sucesso !

  3. Ronaldo Santos

    Ivanildo, primeiramente parabéns.

    Estou com um problema no trafego de saida. senário: Ponta A pfsense e link de dados. Ponta B link de dados e modem operadora, se eu tentar o acesso vpn no wind 2k12 que está na ponta B através da ponta A (Passando pelo Pfsense) ele não conecta, se eu tentar de qualquer outro local ele conecta normalmente.

    Você tem idéa do que falta configurar, ja criei a regra na minha lan para saida, e até no outboun Nat

    Abraços

    1. Ivanildo Galvão

      Olá, tem regras de firewall liberando as portas de VPN ?
      Precisaria ver umas imagens da sua configuração para entender melhor.

      Abraço !

  4. Jo Santana

    Ivanildo primeiro parabéns pelo site e iniciativa, achei muito material que me auxiliou em diversas configurações. Gostaria de saber se você já tentou virtualizar o PfSense no Hiper-V ? Fiz a virtualização do PfSense 2.2.4 no HiperV do Windows 10 (Laboratório de testes) e o mesmo fica caindo toda hora a porta WAN de modo que preciso ficar reiniciando as interfaces de rede manual. Coloquei as interfaces de rede em “Legacy” e mesmo assim o problema continua. Você sabe me dizer se existe alguma incompatibilidade entre o PfSense 2.2.4 (baseado em FreeBSD 10 eu acho) com o Hiper-V ?

    Vlw abraços.

    1. Ivanildo Galvão

      Olá, não presta. FreeBSD não roda legal no Hyper-V, use Vmmware ESXi ou Vmware Workstation, seus problemas serão sanados.

      Estamos com o curso de Firewall/UTM pfSense completo em vídeo aulas, acesso completo durante 01 ano, no curso eu ensino desde o básico ao avançado do pfSense, acesse o site, conheça o curso e inscreva-se https://www.jlcp.com.br/produto/curso-pfsense/ ;)

      Sucesso !

  5. fernando

    parabéns meu amigo pelo trabalho, que vc vem fazendo em repassa seu conhecimento. muito grato estou..

    1. Ivanildo Galvão

      Obrigado :)

  6. Daiane

    Bom dia Ivanildo,

    Sou iniciante no PFSENSE e estou montando o proxy da empresa que trabalho, gostaria de uma ajuda, pois estou com uma duvida para definir minha WAN E LAN Pfsense.

    Coloquei um roteador linsys e dele na WAN o ip da Copel aonde vem o link de internet e na LAN minha rede interna o ip (192.168.1.1) marquei a opção 200 computadores navegaram.

    Gostaria da ajuda agora de como vou configurar a WAN E LAN do PFSENSE.

    Vi em vídeo seu que na WAN posso deixar marcado DHCP que a wan recebera um ip automático do roteador, mas e agora a minha lan como faço para que eu não precise mudar o ip manualmente de maquina por maquina novamente.

    Minha rede ficou assim
    Ip: 192.168.1.1
    Masc.: 255.255.255.0
    Gat: 192.168.1.1
    Dns p: 8.8.8.8

    Aguardo,

    Obrigada,

    Daiane

    1. Ivanildo Galvão

      Olá, as configurações na WAN não interferem na LAN, pode deixar a WAN como DHCP sem se preocupar com a LAN.

      Sucesso !

  7. Bruno

    Bom dia Ivanildo, parabéns pela iniciativa de compartilhar seu conhecimento conosco!!!!

    Ivanildo, como eu configuro duas nets no pfsense, exemplo tenho o ajato e o GVT sendo o ajato o principal, e queria deixar o gvt configurado caso o ajato caia o gvt entre no lugar?? Não sei se me expressei mal mais é isso.

    1. Ivanildo Galvão

      Olá, configure as interfaces WAN em Load Balance ou Failover.
      http://www.tecmint.com/how-to-setup-failover-and-load-balancing-in-pfsense/

      Sucesso !

  8. Jonathan Fernando

    Olá Ivanildo, obrigado pelo post. Foi de muita ajuda!

  9. Ricardo Santos

    Olá amigo, estou com problemas para fechar uma VPN. O que aconteceu foi o seguinte: até consegui fechar a VPN entre dois pontos, dois PFsenses, estou fazendo por OPEN VPN. O que não entendo é que não consigo fazer conversarem, mas faço um traceroute e consigo resposta de um lado a outro normal. O que preciso fazer para eles se conversarem? queria trafegar internet por dentro deste túnel.

    1. Ivanildo Galvão

      Olá, reveja as regras de firewall do OpenVPN, elas permitem a comunicação com a LAN ?

      Estamos com o curso de Firewall/UTM pfSense completo em vídeo aulas, acesso completo durante 01 ano, no curso eu ensino desde o básico ao avançado do pfSense, acesse o site, conheça o curso e inscreva-se https://www.jlcp.com.br/produto/curso-pfsense/ ;)

      Sucesso !

  10. alexandre gori

    Ola colega tenho uma rede e uma internet dinamico ambos roteado para pppoe saindo pelo servidor pfsense, porem a internet parou de sair . No status dashboard ele esta com a seta verde apontando para um ip no status traffic apenas a lan esa com trafego a internet não, sou novo nesse assunto. grato

    1. Ivanildo Galvão

      Olá, não está faltando uma regra de saída no firewall, para o protocolo DNS ?
      E se quiser aprender mais sobre o pfSense, domina-lo, adquira o meu curso completo neste link https://www.jlcp.com.br/produto/curso-pfsense/
      Você prenderá do básico ao avançado e com certeza aprenderá a fazer diversas configurações de serviços de rede e segurança.

      Sucesso !

  11. felipe

    ola amigo por favor , vc sabe a regra pra min altenticar os meus clientes no pfsense

    resumindo , preciso q meu link emtre na wan e saia pela lan aonde meus clientes altenticaria em pppoe

    obrigado,

    1. Ivanildo Galvão

      Olá, sinceramente não entendi bem o que você quer :)

  12. Wellington Galvao

    Parabéns pelo artigo, claro, prático e objetivo.

    Abraços.

    1. Ivanildo Galvão

      Obrigado.

      E se quiser aprender mais sobre o pfSense, domina-lo, adquira o meu curso completo neste link https://www.jlcp.com.br/produto/curso-pfsense/
      Você prenderá do básico ao avançado e com certeza aprenderá a fazer diversas configurações de serviços de rede e segurança.

      Sucesso !

  13. Nilson Nigro Botelho Filho

    Bom dia Ivanildo. Parabéns pelos eu blog. Estou iniciando no Pfsense e me deparei com um problema específico mais um pouco parecido com o que vc postou como exemplo referente a duas wans.

    O meu problema é o seguinte: Eu tenho duas wans. Na wan1 pode acessar qq coisa menos um conjunto especifico de de sites mas na wan2 preciso que seja o contrário, só quero que seja acessado esse conjunto de sites que bloquei na wan1. Tem como você me dá uma luz?

    1. Ivanildo Galvão

      Bom dia, obrigado.
      Mas este artigo fala justamente disso que vc precisa, o que vc pode fazer a mais é criar alias para endereços de origem e de destino e aplicar nas regras.
      Outra coisa que pode ser feita é criar rotas estáticas para os destinos específicos, se vc quer por exemplo alcançar o servidor do site http://www.uol.com.br sempre pela WAN1, cria uma rota estática para x.x.x.x/255.255.255.255 (mascara cheia para especificar um host), saindo pelo gateway da interface da WAN1.

      Sucesso !

  14. Elton Pereira

    Boa noite sou novo aqui tenho seguinte questao

    Preciso configurar o PFSENSE para acessor 2 redes WAN FIXO E WAN DINAMICO

    O gateway fixo sera exclusivamento para o envio de emails pq senao servidor de email externo barra o envio

    O gateway dinamico para todas outras aplicacoes

    e 6 usuarios vao ter acesso total a internet outros 30 bloqueios padrao sites, rede social etc eh complicado esta configuracao

    obrigado

    1. Ivanildo Galvão

      Bom dia, video aula que ensinam a fazer esta configuração e muitas outras.
      Estão disponíveis no curso completo de pfSense no portal – http://www.jlcp.com.br

      Sucesso !

  15. Guilherme Santana

    Minha dúvida é o Seguinte. Trabalho com dois Links Embratel e Oi Velox. Minha dúvida é. Como eu posso especificar qual IP da rede vai acessar por qual internet? Exemplo o IP 192.168.0.5 vai acessar pela Embratel e o IP 192.168.0.10 vai acessar pela Oi Velox. Como proceder a regra para pode funcionar ?

    1. Ivanildo Galvão

      Olá, mas este tutorial ensina isso.
      Pra reforçar, vá em firewall e crie Alias para cada máquina (IP) e coloque cada alias na sua devida regra, em cada regra na opção avançada, selecione o gateway de saída.

      Sds !

  16. Joao Neto

    Bom Dia Amigo, fiz conforme seu tutorial, porém quando acesso um site para saber meu ip externo (tipo o ping.eu), ele me informar que estou com o ip da wan default, porém se eu der um tracert na mesma máquina, ele me informa que estou pelo link que defini na rules. Será se tem alguma rule que está sobrescrevendo essa minha ?

    1. Ivanildo Galvão

      Bom dia,

      Com certeza tem regra acima sobrepondo esta sua regra, a sua regra tem que especificar o destino ou pelo menos o host ou rede de origem, selecione o gateway que quer e jogue esta regra lá pra cima.

      No meu curso completo de pfSense, com mais de 50 vídeo aulas, tem duas aulas só sobre este assunto, usando o redirecionamento de tráfego via regra de firewall e via tabela de roteamento.

      http://www.ivanildogalvao.com.br/seguranca/pfsense17990

      Sucesso !

  17. Marcos

    Fiz todo o procedimento que vc explicou, mas não sai pelo Gateway configurado, sai sempre pelo Gateway padrão, poderia me ajudar…

    Meu Pfsense = versão 2.3.2
    Proxy não transparente

    1. Ivanildo Galvão

      Amigo, precisaria acessar o pfSense pra ver onde está o detalhe, mas aí já seria consultoria.
      Tente criar rota estática pára esta máquina e faça o teste, tipo. Origem = IP da máquina/255.255.255.255 e destino 0.0.0.0 saindo pelo Gateway da interface WAN que você deseja.

      Este é um assunto que ensino em detalhes no curso e não tem errada, ensino a fazer este redirecionamento por regras de firewall e por roteamento.

      https://www.jlcp.com.br/produto/curso-pfsense/

      Sucesso !

  18. Marcos

    o que estou precisando é criar uma regra para apenas um IP sair (navegar) por um determinado Gateway e o restante dos IPs da minha rede sair pelo gateway padrao…

    VErsão do Pfsense = 2.3.3
    2 link de internet

    Não fiz nenhuma configuração de balanceamento e/ou failover, apenas queria configurar manualmente quais IPs deverão sair pelo link que eu configurar…

    1. Ivanildo Galvão

      Bom dia,

      Te respondi por e-mail, inclusive este assunto é ensinado em detalhes no nosso curso online de pfSense – https://www.jlcp.com.br/produto/curso-pfsense/

      Sucesso !

  19. Edimilson

    estou precisando é criar uma regra para apenas alugns sairem (navegar) por um determinado Gateway e o restante dos IPs da minha rede sair pelo gateway padrao…

    Fiz o teste usando o protocolo icmp e deu certo, mas quando coloco todos os protocolos ele continua saindo pelo padrão.

    1. Ivanildo Galvão

      Configure o NAT Outbound.

      Sucesso !

  20. Renato Galvão

    Bom dia Ivanildo,

    Estou começando no pfsense e estou com uma dificuldade em entender uma detalhe sobre o firewall dele. No meu teste tenho um ambiente com uma Wan, uma LAN e uma DMZ. A questão é que quando crio um NAT entre a LAN e a DMZ ou vice-versa o pfsense demora muito para colocar em vigor a regra(NAT). O teste que estou fazendo inicialmente é de ICMP(ping) entre um micro e um servidor e percebi que sempre que faço um disable/enable na porta do micro ele funciona ou seja, se eu deixar o ping ativo e aplicar o NAT ele não funciona até que eu faça um disable/enable na placa do micro. Não sei se fui claro. Você sabe porque isto ocorre?

    Grato,
    Renato Galvão

    1. Ivanildo Galvão

      Renato, já vi isso em ambiente com o pfSense virtualizado no Vmware Workstation e nem precisa desabilitar e habilitar a interface, basta cancelar o ping e mandar de novo. Confesso que não investiguei ainda sobre este comportamento, mas acredito que ele se dá pela ausência do Vmware Tools.
      Seu ambiente está assim, ou seu pfSense é físico ?

      Abs !

  21. Rubens Lopes

    Bom dia, Ivanildo.

    Utilizo o PFSense com duas wan (gvt fixo e net dinâmico), gostarida de definir um pc (ex: 192.168.1.130) para que acesse apenas a gvt, mesmo sendo a net o internet principal do pfsense, como configuro isto no pfsense ??

    Obrigado e Feliz 2017.

    1. Ivanildo Galvão

      Olá, mas este artigo que você leu trata justamente disso.
      Mas veja também a opção de NAT Outbound, esta opção é mais rigorosa, forçando a máquina a sair sempre por aquele link.
      Masssss, se vc criar uma regra de firewall tendo como gateway o da WAN que você escolher, colocar na origem o IP desta máquina e jogar a regra de firewall lá em cima, vai funcionar perfeitamente também.

      Isto e vários outros assuntos avançados são abordados no meu curso de pfSense, a venda no http://www.jlcp.com.br

      Sucesso !

  22. Kaio Fellipe

    Boa tarde Ivanildo,

    Fiz toda a implementação de um firewall com servidor proxy transparente na empresa que trabalho hoje, utilizando um servidor físico, onde coloquei somente uma placa de rede adicional, da onde ele recebe um link de internet via radio com IP fixo.
    Possuo mais dois links de internet da vivo, onde 1 fica somente para a rede wi-fi que esta separada completamente da rede interna, e outro que foi adquirido para backup, porem, nunca foi implementado pelo pessoal que estava aqui antes de mim.

    Gostaria de implementar esta rede de backup no meu pfsense, porem ela teria que funcionar em modo failover onde alem de suprir a necessidade de todos os computadores da rede caso o link principal caia, ela deveria fornecer banda constante a um único computador da rede mesmo que o link principal esteja ativo, alguma dica para esta implementação? Ou eu deveria somente criar um Alias somente para este computador, e criar regras de firewall especificas para ele?

    Tambem gostaria de saber se o seu curso emite certificado válido, a quantidade de horas, e o conteúdo passado nele

    1. Ivanildo Galvão

      Me explica melhor por e-mail. ivanildogalvao@esolutionti.com.br

  23. Allan

    Olá Ivanildo!

    Primeiramente, parabéns por seu trabalho, o site é realmente fantástico e já me tirou várias dúvidas!!

    Sobre o Pfsense, estou com um problema e gostaria de saber se ele resolveria…

    Seguinte: tenho uma rede, nela, possuo um servidor (que tem nele um programa de uso da unidade escolar), um roteador, e alguns pontos de acesso. Esse pontos de acesso serviriam apenas para que as máquinas neles conectadas entrassem em contato com este servidor, e não com acesso a internet que também está ligada no HUB. portanto, há alguma maneira de, com o PFsense eu liberar apenas a internet pra uma determinada faixa de IP, ao mesmo tempo liberando o programa para qualquer usuário?

    1. Ivanildo Galvão

      Ola Allan, se estiverem na mesma rede, não tem como usar o pfSense pra isso.
      Se as máquinas que chegam pelo ponto de acesso estiverem em outra rede com outro range, basta criar umas regras de firewall na saída, uma com as portas de acesso a internet com a origem sendo apenas as maquinas autorizadas e abaixo outra regra pra toda rede, liberando todas as portas, tendo como destino o IP do servidor.

      Sucesso !

Deixe uma resposta

O seu endereço de email não será publicado Campos obrigatórios são marcados *

Você pode usar estas tags e atributos HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

Pinterest
Email