Pfsense Firewall UTM – Instalação e configurações iniciais
Pfsense Firewall UTM – Instalação e configurações iniciais
Por Djavan Marques dos Santos
O Pfsense admite 3 (três) maneiras para realizar a sua instalação, que estão disponíveis em pfsense.org/downloads gratuitamente, cabendo ao técnico realizar a escolha apropriada conforme o seu ambiente. Definido o método, devemos escolher a arquitetura adequada para o seu hardware seja ele: 32/bits ou 64/bits. Seguem abaixo as modalidades de instalação disponíveis:
● USB Memstick installer – Possibilita a instalação do Pfsensea partir de um dispositivo USB;
● CD image (ISO) installer – Instalação realizada com a utilização de um CD/DVD;
● Embedded (NanoBSD) – Instalação embarcada em Flash drives (USB/Cartões de memória).
Obs: A instalação Embedded impossibilita a utilização de alguns pacotes disponíveis, impedindo a agregação de funcionalidades ao Pfsense que estariam disponíveis na instalação completa.
A documentação oficial recomenda quando possível a utilização da versão de 64/bits. Em nosso exemplo realizaremos a instalação pela (ISO) 64/bits a partir de um CD/DVD, conforme o layout abaixo:
A arquitetura da figura 1 é a Dual-Homed Host, que se caracteriza por utilizar duas placas de rede: uma para a rede interna (Lan) e outra para o exterior geralmente a Internet.
Esse modelo é conhecido por Inline, no qual, todo o tráfego entre redes passa obrigatoriamente pelo firewall. Em versões mais antigas do Pfsense era obrigatório a configuração de 2 (duas) interfaces de rede, nas distros mais recentes é possível configurar uma única placa de rede: Ex. se quisermos trabalhar com pacotes para detecção de intrusão (Snort ou Suricata) na rede Lan ou em uma Zona Desmilitarizada (DMZ) é possível com uma só placa.
Cenário 1: Virtualbox:
● Pfsense versão 2.3.2 64/bits;
● 2 (duas) placas de rede uma em modo bridge e a outra rede interna;
● 1024 RAM;
● HD virtual 5Gb;
● Windows 7 como cliente.
Cenário 2: Virtualbox:
● Pfsense versão 2.3.2 64/bits;
● 2 (duas) placas de rede uma em modo bridge e a outra rede interna;
● 1024 RAM;
● 2 HD’s virtuais 5Gb cada;
● Windows 7 como cliente.
Essa é a tela inicial para a instalação do Pfsense, após o boot pelo CD/DVD o time de 9 segundos é iniciado bastando então pressionar a letra “i” para entrar no modo de instalação
ou em caso de recuperação a letra “R”:
Após entrar no modo de instalação, devemos aceitar as configurações:
Aqui temos as opções (Quick/Easy Install) que promove uma instalação automática sem a possibilidade de configurações personalizadas, este modo é recomendado para ambientes em que se tenha um único dispositivo para armazenamento (HD ou SSD) e memória RAM reduzida já que a SWAP será configurada adequadamente, na opção (Custom Install) é possível realizar modificações durante o processo de instalação. Iremos utilizar a primeira opção no cenário 1 e 2.
Instalação cenário 1:
a instalação com a opção Quick/Easy, automatiza o processo de implementação do sistema. Para este parâmetro, o primeiro disco identificado passa a ser o destino final do Pfsense que é instalado automaticamente sem a necessidade de personalizações em partições e afins, ou seja, seguem as definições default. Seguem abaixo os passos necessários para a instalação neste modo: Accept these settings > Quick/Easy Install > Ok > Standard Kernel.
Ao final do processo é só pressionar reboot e esperar o sistema reiniciar. E preciso retirar a mídia de instalação do driver:
O sistema será reiniciado na sequência:
O usuário é o “admin” a senha padrão “pfsense”.
O IP atribuído por padrão a interface Lan é o 192.168.1.1/24 é por este endereço que acessamos a WebConfiguration.
Em relação ao método Custom Install, as principais alterações que podem ser realizadas são em relação a customização do(s) HD/SSD o que é algo muito específicos requerendo um conhecimento prévio no que diz respeito à geometria dos discos, partições e pontos de montagens. Caso opte por este caminho não há maiores dificuldades, desde que conheçam bem os propósitos das modificações a serem definidas.
No Custom Install vale atentar a um item em especial, mostrado na imagem abaixo:
Se trata dos pontos de montagem, questão a ser ponderada e sobre a SWAP , a utilização da memória de “paginação” em sistemas com bons recursos de memória RAM, se faz desnecessária, isso se aplica aos dois cenários. De maneira simples, a swap é um recurso utilizado para “emular” RAM , quando os recursos de hardware (memória) suficientes para atender aos processos do sistema operacional, o problema é que este tipo de recurso utiliza uma parte do HD para emular a RAM , e obviamente torna o desempenho menos eficiente.
Instalação cenário 2:
O procedimento para o cenário 2 segue a mesma lógica da primeira instalação, a diferença é a montagem do RAID 1 para o espelhamento do HD primário, após a configuração dos discos será utilizado o método Quick/Easy. Seguem abaixo as imagens da montagem na matriz RAID:
Terminadas as configurações dos discos, segue a sequência do método Quick/Easy Install, o demais ocorre normalmente, o sistema será instalado e configurado conforme o cenário 1. Como há o espelhamento do disco primário em caso de falha deste, o HD secundário sobe o Pfsense com todas as configurações e serviços já definidos.
Configurações Iniciais:
As configurações podem ser iniciadas pela Command-line Interface (CLI) ou pela interface WEB, acessada pelo IP 192.168.1.1/24 se este for o caso, será apresentada a seguinte tela no navegador.
Isso ocorre porque o protocolo HTTP não foi definido para a WebConfiguration, se recomenda definir as configurações básicas na CLI . Para acessar os recursos disponíveis na linha de comando, basta digitar o número correspondente a opção que desejar.
Em nosso exemplo será a opção “2” para setar o IP na interface Lan e definir o escopo do servidor DHCP:
Após a configuração do IPv4 é solicitada a configuração do IPv6, caso não utilizem em sua rede é só pressionar enter e seguir adiante:
Terminado o processo, basta agora acessar as configurações pelo navegador com o novo endereço: 10.1.1.254 conforme imagem abaixo:
Neste parte é possível definir algumas configurações iniciais. Particularmente eu prefiro pular essa parte e definir o básico em “general setup” – para isto basta ir em: system > general setup. Lá se encontram as principais configurações relativas a administração do sistema, caso queira utilizar o wizard (assistente), ele é auto explicativo é não é difícil utilizá-lo.
Na próxima parte explicarei as configurações básicas gerais do sistema e dos serviço: Configurações gerais do sistema; DHCP e DNS
Até a próxima!
Escreva um comentário