Procedimento 1 - Instalação Firewall Pfsense.pdf

Instalação Firewall PfSense

Objectivo: Instalação de firewall PfSense através do Oracle VirtualBox.

A imagem em cima indica a topologia em que vamos trabalhar. Primeiro, vamos instalar a firewall

pfSense no VirtualBox e configurar as interfaces WAN e LAN. Após a Pfsense estar conectada à internet, vamos simular a conectividade entre as máquinas da LAN (Linux Mint e Ubuntu) e o acesso à internet.

Pré-requisitos:

Download e instalação da última versão do Oracle VirtualBox. https://www.virtualbox.org/wiki/Downloads

Download da imagem da pfSense. https://www.pfsense.org/download/

Passos para a instalação do pfSense no VirtualBox

1. Instalação da pfSense VM no VirtualBox Abrir o VirtualBox e clicar em Nova para criar uma máquina virtual.

ATEC - Associação de Formação para a Indústria

1/21

Na nova janela, tem de definir o nome da VM, por exemplo, pfSense-fw. Também podemos escolher a localização onde guardamos os ficheiros do disco virtual da pfSense. No Tipo, precisamos de selecionar BSD e a versão FreeBSD (64bit). Seguinte.

2. Configurar a memória da pfSense. Precisamos definir a memória da máquina virtual da pfSense, na imagem escolhi 2GB. Mas funciona bem com 1GB. Quando for definida a memória podem clicar em Seguinte.

ATEC - Associação de Formação para a Indústria

2/21

3. Instalação do disco Na configuração do disco rígido da VM, escolhemos Criar um disco virtual agora e clicar

em Criar.

Por default, o VirtualBox seleciona VDI como disco rígido, podemos manter essa opção. No entanto, se quisermos usar o disco da máquina virtual no futuro em outros hypervisors como o VMware, temos de selecionar VMDK como o tipo de ficheiros de disco e clicar em

Seguinte.

ATEC - Associação de Formação para a Indústria

3/21

Em armazenar no disco físico, escolhemos a opção para alocar dinamicamente.

Agora precisamos definir o tamanho de armazenamento do disco rígido, na imagem são escolhidos 20GB para armazenamento, mas pode ser escolhido outro tamanho diferente

(depende da utilização) e clicar em Criar.

ATEC - Associação de Formação para a Indústria

4/21

4. Configuração da Rede Antes de iniciar a VM, precisamos de configurar o adaptador de rede da Pfsense no

VirtualBox para usar a VM pfSense.

Porque precisamos de duas placas de rede (NICs)? A firewall Pfsense tem duas interfaces: a interface externa que faz a ligação para a internet, e outra interface do lado da LAN para fazer a ligação com os utilizadores internos. Assim, devemos ter duas NICs (Network Interface Cards) enquanto fazemos a instalação da

pfSense.

Selecionar a VM pfSense e Clicar em Definições.

A conexão à internet é feita através da ligação da WAN, tem que se configurar a interface

WAN como NAT ou Bridged.

Se escolher a interface NAT, o mecanismos de NAT do VirtualBox faz a tradução do endereço de IP da WAN para o IP da máquina Host, o que adiciona mais sobrecarga de

pacotes.

ATEC - Associação de Formação para a Indústria

5/21

Se a escolha for uma interface Bridge, atua como um switch entre a rede local e a interface bridge do VirtualBox, o router local atua como servidor de DHCP, e obtém um IP do servidor de DHCP. Com esse IP, a pfsense pode aceder à internet.

Ligação à interface WAN. Escolher o primeiro adaptador como Bridge, será a interface WAN.

Nota: No nome temos de ter a certeza que escolhemos a interface física correta que usamos para ligação à rede local na máquina Host.

Ligação à interface LAN. O segundo adaptador na rede interna do VirtualBox, será o adaptador da LAN.

Como sugestão, a rede interna criamos como uma rede interna quando apenas as VMs que fazem parte da rede podem comunicar entre elas.

No nome, foi alterado para Pfsense-LAN para ser mais fácil identificar. Mas poderia ser simplesmente LAN, ou rede interna - qualquer nome fácil de identificar ao que corresponde a

interface.

Basicamente, a única maneira da máquina host ou outra na rede física local conseguir comunicar com a rede interna é através da interface WAN da pfsense.

ATEC - Associação de Formação para a Indústria

6/21

5. Adicionar a imagem ISSO da pfSense Nas definições, adicionar o ISSO que descarregamos anteriormente.

a. Clicar em Armazenamento. b. Dentro dos dispositivos de armazenamento, escolher ficheiro de disco Vazio. c. Clicar no ícone do Disco e clicar em escolher um ficheiro do disco para

adicionar o ficheiro ISO.

6. Escolher a ordem de Boot Clicar em Sistema e verificar a ordem de boot.

Como podemos ver, a Disquete é o dispositivo de boot primário, drive de CD é o secundário e

o disco virtual a terceira opção.

ATEC - Associação de Formação para a Indústria

7/21

No boot da VM Pfsense, o VirtualBox irá tentar iniciar com a drive de disquetes. Se estiver vazia, irá escolher a drive de CD, com o iso Pfsense. Iniciando a instalação da pfsense.

Aqui está um problema. Após a instalação, irá seguir a mesma sequência, vai entrar em loop e voltar à instalação da pfsense vez após vez.

Nota: Retirar a imagem da pfsense do cd após a instalação.

Vai fazer com que o disco virtual seja o dispositivo de boot principal, e o CD o dispositivo de

boot secundário.

7. Iniciar a instância da VM pfSense. Com os pré-requisitos da configuração terminados, podemos iniciar a VM ao selecionar a

VM e clicar em Iniciar.

ATEC - Associação de Formação para a Indústria

8/21

8. Iniciar a instalação da pfSense Após alguns segundos, aparece a prompt de instalação, devemos cliar em Aceitar para

iniciar a instalação.

Clicar em instalar para iniciar a instalação.

No Keymap escolher o default ou escolher um baseado na nossa linguagem.

ATEC - Associação de Formação para a Indústria

9/21

Na configuração da partição, escolher Auto (ZFS) e clicar em OK.

Pressionar Enter em instalar Escolher Stripe Selecionar o disco virtual ao pressionar a tecla espaço.

• • •

No alerta da configuração ZFS, dizer sim. Basicamente, está a dizer que vai formatar o disco virtual.

ATEC - Associação de Formação para a Indústria

10/21

A instalação vai proceder automaticamente e chegará ao final em alguns segundos. Após finalizada, aparecerá uma janela a indicar se pretende entrar no shell para fazer

mais alterações ou não. Clicar em Não.

No ecrã seguinte, escolher Reboot.

Vai reiniciar a VM pfsense, e iniciar o disco virtual onde está instalada a firewall.

9. Validar a configuração Após o reboot da firewall pfsense vamos obter o endereço de IP do router de internet local.

Podemos ver que obteve o IP 192.168.1.28 do meu router wifi. Mas o problema é que a tanto a WAN como a LAN estão na mesma rede, temos de mudar isso.

Digitar 2 para alterar o endereço de IP do lado da LAN.

Após escolhermos 2, na prompt para escolher a interface vamos alterar. Pressionamos 2

novamente que representa o lado da LAN.

ATEC - Associação de Formação para a Indústria

11/21

Introduzimos o endereço de IP, será o default gateway para os utilizadores da LAN, foi

escolhido 10.1.1.1.

Consequentemente, a máscara de rede e pressionamos enter no final.

Na configuração de ipv6, selecionamos não.

Precisamos configurar o endereço de DHCP da LAN, pressionamos “y” na prompt.

Introduzimos o inicio do endereço de DHCP e o fim do endereço e pressionamos enter.

Na questão se pretendemos alterar o web gui protocol, dizemos que não.

ATEC - Associação de Formação para a Indústria

12/21

Após todas as configurações feitas, verificamos que o endereço da WAN é o um endereçamento da rede local e a LAN tem o endereço que especificamos anteriormente

10.1.1.1/24.

ATEC - Associação de Formação para a Indústria

13/21

10. Aceder à pfSense via web GUI no VirtualBox. Após a instalação da PfSense para qualquer configuração pode ser usada via Web GUI.

Através de uma das máquinas instaladas na LAN, podemos fazer esse acesso.

Para a instalação das máquinas virtuais com Linux, fazemos o mesmo procedimento para a instalação da PfSense no Oracle VirtualBox. Download do ISO nos sites oficiais (usado

Ubuntu e Mint).

Ligação do Linux Mint à LAN Com o botão do lado direito no Linux Mint, e clicar em definições.

ATEC - Associação de Formação para a Indústria

14/21

Por default, a rede está configurada como NAT, devemos mudar para a rede interna para

ligar a LAN.

Vai fazer com que a LAN da pfsense e a VM estejam na mesma rede.

ATEC - Associação de Formação para a Indústria

15/21

Verificar o endereço de IP Primeiro, precisamos ter a certeza que obtivemos um endereço de IP do serviço DHCP da

Pfsense.

Iniciar a VM, abrir o terminal e colocar o endereço de ip que aparece na configuração. Podemos verificar que é o primeiro endereço de IP do range de DHCP.

ATEC - Associação de Formação para a Indústria

16/21

Abrir o Firefox e aceder via web à pfSense ao introduzir https://10.1.1.1 Ignorar o alerta de segurança e fazer login. Introduzir o utilizador e password de admin e clicar em Sign in.

ATEC - Associação de Formação para a Indústria

17/21

11. Finalização do setup inicial Abre a página com o wizard do setup inicial, com as definições padrão. Apenas, no passo 6, é configurada a password de admin, devem alterar para a vossa

password de admin.

Nota: Podem deixar as definições padrão no wizard de setup, devem alterá-las se houver

necessidade.

No final do wizard, vamos obter a mensagem a indicar que a pfSense foi instalada com

sucesso.

Clicar em Finalizar.

Com a instalação da pfSense finalizada no VirtualBox, vamos agora iniciar as configurações através da web GUI. Entretanto, vamos realizar mais uns testes para ter a certeza que está tudo a funcionar corretamente.

12. Teste de conectividade com máquina cliente Para testar a conetividade, usamos o Linux Mint e Ubuntu como máquinas cliente finais.

Verificar a configuração IP

ATEC - Associação de Formação para a Indústria

18/21

Como podemos verificar, obtivemos um endereço de IP do servidor de DHCP da pfSense e conseguimos ping para um endereço de IP público.

Podemos navegar na internet nas máquinas Linux.

ATEC - Associação de Formação para a Indústria

19/21

Também podemos fazer um traceroute na máquina Ubuntu, e mostra o caminho por onde o

pacote passa.

Através do comando: mtr 8.8.8.8

Neste caso, passa pela firewall pfSense.

ATEC - Associação de Formação para a Indústria

20/21

13. Verificar a lease DHCP A pfSense atribui endereçamento IP à rede interna. Podemos verificar a utilização da lease DHCP na firewall clicando em status > DHCP

leases

ATEC - Associação de Formação para a Indústria

21/21