Pfsense Firewall UTM – Instalação e configurações iniciais

Pfsense Firewall UTM – Instalação e configurações iniciais

Por Djavan Marques dos Santos

O ​Pfsense admite 3 (três) maneiras para realizar a sua instalação, que estão disponíveis em pfsense.org/downloads ​​gratuitamente, cabendo ao técnico realizar a escolha apropriada conforme o seu ambiente. Definido o método, devemos escolher a arquitetura adequada para o seu ​hardware seja ele: 32/bits ou 64/bits. Seguem abaixo as modalidades de instalação disponíveis:

● USB ​​Memstick installer - Possibilita a instalação do ​Pfsensea partir de um dispositivo USB;
● CD image (ISO) ​​installer - Instalação realizada com a utilização de um CD/DVD;
● Embedded (NanoBSD) - ​​Instalação embarcada em Flash drives (USB/Cartões de memória).
Obs: A instalação ​Embedded impossibilita a utilização de alguns pacotes disponíveis, impedindo a agregação de funcionalidades ao ​Pfsense que estariam disponíveis na instalação completa.

A documentação oficial recomenda quando possível a utilização da versão de 64/bits. Em nosso exemplo realizaremos a instalação pela (ISO) 64/bits a partir de um CD/DVD, conforme o ​layout abaixo:

Instalação do pfSense

Figura 1:​​ ​Layout básico para instalação do ​pfSense

A arquitetura da figura 1 é a ​Dual-Homed Host, que se caracteriza por utilizar duas placas de rede: uma para a rede interna ​(Lan) e outra para o exterior geralmente a ​Internet.
Esse modelo é conhecido por ​Inline, no qual, todo o tráfego entre redes passa obrigatoriamente pelo ​firewall. Em versões mais antigas do ​Pfsense era obrigatório a configuração de 2 (duas) interfaces de rede​, nas distros mais recentes é possível configurar uma única placa de rede: Ex. se quisermos trabalhar com pacotes para detecção de intrusão (Snort ou ​Suricata) na rede ​Lan ou em uma Zona Desmilitarizada (DMZ) é possível com uma só placa.

Cenário 1: Virtualbox:
● Pfsense versão 2.3.2 64/bits;
● 2 (duas) placas de rede uma em modo bridge e a outra rede interna;
● 1024 RAM;
● HD virtual 5Gb;
● Windows 7 como cliente.

Cenário 2: Virtualbox:
● Pfsense versão 2.3.2 64/bits;
● 2 (duas) placas de rede uma em modo bridge e a outra rede interna;
● 1024 RAM;
● 2 HD’s virtuais 5Gb cada;
● Windows 7 como cliente.

Essa é a tela inicial para a instalação do ​Pfsense, após o ​boot pelo CD/DVD o ​time de 9 segundos é iniciado bastando então pressionar a letra “i” para entrar no modo de instalação
ou em caso de recuperação a letra “R”:Tela inicial de instalação do pfSense

Após entrar no modo de instalação, devemos aceitar as configurações:Configuração do firewall pfSense

Aqui temos as opções ​(Quick/Easy Install) que promove uma instalação automática sem a possibilidade de configurações personalizadas, este modo é recomendado para ambientes em que se tenha um único dispositivo para armazenamento (HD ou SSD) e memória ​RAM reduzida já que a ​SWAP será configurada adequadamente, na opção ​(Custom Install) é possível realizar modificações durante o processo de instalação. Iremos utilizar a primeira opção no ​cenário 1​​ e ​2​​.Configuração inicial do pfSense firewall

Instalação cenário 1:

a instalação com a opção ​Quick/Easy, automatiza o processo de implementação do sistema. Para este parâmetro​, o primeiro disco identificado passa a ser o destino final do Pfsense que é instalado automaticamente sem a necessidade de personalizações em partições e afins, ou seja, seguem as definições ​default. Seguem abaixo os passos necessários para a instalação neste modo: Accept these settings >​​ ​Quick/Easy Install​​ ​>​​ ​Ok > Standard Kernel.

Ao final do processo é só pressionar ​reboot e esperar o sistema reiniciar. E preciso retirar a mídia de instalação do driver: Configurações iniciais do firewall pfSense UTM

O sistema será reiniciado na sequência:Reiniciando o sistema pfSense

O usuário é o “admin” a senha padrão “pfsense”.Configuração de rede no firewall pfSense baseado em FreeBSD

O IP atribuído por padrão a ​interface Lan é o 192.168.1.1/24 é por este endereço que acessamos a WebConfiguration.

Em relação ao método ​Custom Install, as principais alterações que podem ser realizadas são em relação a customização do(s) HD/SSD o que é algo muito específicos requerendo um conhecimento prévio no que diz respeito à geometria dos discos, partições e pontos de montagens. Caso opte por este caminho não há maiores dificuldades, desde que conheçam bem os propósitos das modificações a serem definidas.

No ​Custom Install vale atentar a um item em especial, mostrado na imagem abaixo:Custom Install firewall pfSense

Se trata dos pontos de montagem, questão a ser ponderada e sobre a ​SWAP , a utilização da memória de “paginação” em sistemas com bons recursos de memória ​RAM, se faz desnecessária, isso se aplica aos dois cenários. De maneira simples, a ​swap é um recurso utilizado para “emular” ​RAM , quando os recursos de ​hardware (memória) suficientes para atender aos processos do sistema operacional, o problema é que este tipo de recurso utiliza uma parte do HD para emular a ​RAM , e obviamente torna o desempenho menos eficiente.

Instalação cenário 2:

O procedimento para o cenário 2 segue a mesma lógica da primeira instalação, a diferença é a montagem do ​RAID 1 para o espelhamento do HD primário, após a configuração dos discos será utilizado o método ​Quick/Easy. Seguem abaixo as imagens da montagem na matriz ​RAID:

Opção para criar o espelhamento “​RAID ​ 1” no pfSense

Opção para criar o espelhamento “​RAID 1”

Entrar nas configurações dos discos - firewall pfSense

Entrar nas configurações dos discos

Seleção do disco primário, após pressionar “​enter” ​ escolha a segunda unidade para realizar o espelhamento. - firewall pfSense

Seleção do disco primário, após pressionar “​enter” ​ escolha a segunda unidade para realizar o espelhamento.


​Terminadas as configurações dos discos, segue a sequência do método ​Quick/Easy Install, o demais ocorre normalmente, o sistema será instalado e configurado conforme o cenário 1. Como há o espelhamento do disco primário em caso de falha deste, o HD secundário sobe o ​Pfsense com todas as configurações e serviços já definidos.

Configurações Iniciais:

As configurações podem ser iniciadas pela ​Command-line Interface (CLI) ou pela interface WEB, acessada pelo IP 192.168.1.1/24 se este for o caso, será apresentada a seguinte tela no navegador.

Erro de privacidade na instalação do firewall pfSense

Isso ocorre porque o protocolo HTTP não foi definido para a ​WebConfiguration, se recomenda definir as configurações básicas na ​CLI . Para acessar os recursos disponíveis na linha de comando, basta digitar o número correspondente a opção que desejar.

Em nosso exemplo será a opção “2” para setar o IP na ​interface ​Lan e definir o escopo do servidor DHCP:

Setup ​ para configuração das ​interfaces ​ de rede. no pfSense

Setup ​ para configuração das ​interfaces ​ de rede

Após a configuração do IPv4 é solicitada a configuração do IPv6, caso não utilizem em sua rede é só pressionar ​enter e seguir adiante:

Configuração do DHCP e HTTP como protocolo para gerência ​WEB no pfSense

Configuração do DHCP e HTTP como protocolo para gerência ​WEB

Terminado o processo, basta agora acessar as configurações pelo navegador com o novo endereço: 10.1.1.254 conforme imagem abaixo:

Tela de ​login do ​Pfsense, ​ usuário “admin” senha “pfsense”

Tela de ​login do ​Pfsense, ​ usuário “admin” senha “pfsense”

Tela do ​Wizard ​ após logar no sistema pfSense

Tela do ​Wizard ​ após logar no sistema

 

Neste parte é possível definir algumas configurações iniciais. Particularmente eu prefiro pular essa parte e definir o básico em ​“general setup” - para isto basta ir em: ​system > general setup. Lá se encontram as principais configurações relativas a administração do sistema, caso queira utilizar o ​wizard (assistente), ele é auto explicativo é não é difícil utilizá-lo.

Na próxima parte explicarei as configurações básicas gerais do sistema e dos serviço: Configurações gerais do sistema; DHCP e DNS

Até a próxima!

 

Sobre Djavan Marques dos Santos (3 Artigos)
Djavan Marques dos Santos é Tecnólogo em Rede de computadores; Pós-Graduado (lato sensu) em Segurança de Redes de Computadores; e atua como Gerente de Infraestrutura e redes na Polícia Militar da Paraíba.

Escreva um comentário

Seu e-mail não será divulgado


*