Neste post iremos tratar da instalação e configuração da solução de UTM OpenSource “pfSense”, o qual pode ser instalado em qualquer computador simples ou em forma de máquina virtual, seja no XenServer, no Vmware, VirtrualBox, Hyper-V ou em qualquer outro Hypervisor e pequenas aplicações de virtualização que dê suporte a virtualização de sistemas BSD.
São dois vídeos que abordam os conceitos básicos: Instalação, Configuração de Interfaces, Criação de Regras, Instalação de Pacotes, NAT, Filtro de conteúdo usando Web Filter (SquidGuard) e Monitoramento de Tráfego.
pfSense é baseado em FreeBSD, outro sistema operacional variante do Unix, assim como é o Linux, mais informações e até mídia .ISO para baixar, bem como um Virtual Apliance pronto para Vmware, você encontra em http://www.pfsense.org
Espero que gostem e que os videos sejam uteis para todos aqueles que assistirem, deixem suas críticas e duvidas no site para que assim este trabalho que venho fazendo possa ser cada vez mais aprimorado.
Ivanildo Galvão
Consultor de Tecnologia
Twitter: @ivanildogalvao
Ivanildo, to com uma instalação fresquinha do pfSense 8.0.2 aqui. Configurei meu load balance (2 fibras), dhcp, etc. Navego normal, EXCETO na globo.com, twitter e vários outros sites.
Rodei em tudo aqui e não acho uma solução.
Pode me ajudar com uma orientação?
Valeu!
Desculpa a demora. Isso é novo, navegar em todos os sites, menos em alguns específicos ? Você chegou a mudar as configurações de TIER, mantendo apenas como Failover, talvez seja algo semelhante ao que os bancos fazem. Em internet com Load Balance, como o IP é trocado a cada acesso ou ao clicar nos links de um site, os bancos derrubam a conexão por achar que é ataque, neste caso é melhor usar o Failover, TIER1 para um link e TIER2 para o outro link que só será acionado, caso o TIER1 falhe.
Mas pode ser DNS também, ou até mesmo problema de rota !
Ivanildo, blza?
Baixei os arquivos porém não consigo abrir. Tentei várias programas zip e todos dão erro de CRC.
Como eu faço para abrir os arquivos?
Abraço,
Hugo
Olá Hugo, veja estes links.
http://www.youtube.com/watch?v=B_S3oE6QbCw&feature=g-upl
http://www.youtube.com/watch?v=xWuIX4iw9ss&feature=g-upl
Bom dia Ivanildo,
Não sei se já teve esta condição mas já tentou dar um unic certificado HTTPS, para tds os sites abaixo que estao em um servidor na DMZ do pfsense, seria interessante sei que é algo diferente quase improvavel mas interessante de se pesquisar
Olá, não fiz ainda, mas com certeza é um assunto interessante para ir atrás, valeu a dica !
Ivanildo boa noite.
Amigo estou com uma duvida, estou instalando o pf e eu devo estar conecta na web para configuração de wan e lan…pois instalo e nao consigo acessar a interface pela web.
Abraços
Olá Anderson,
Não necessariamente, mas ajuda no momento da configuração e testes !
Boa Noite ivanildo, muito bom seus videos. Comecei usar o pfsense a pouco tempo para testar e achei bem robusto. Antes eu usava o BFW 3.0.
Estou com duvidas aqui para bloqueio de determinados sites que utilizam https. No BFW o pessoal desenvolveu um script para bloqueio dos sites e também tinha opção de colocar os ips que iriam passar pelo filtro. Você ja utilizou alguma forma parecido no pfsens para bloqueio do facebook por exemplo?
Sim, você precisa criar uma regra de firewall negando saída via https para os números IP do Facebook, ou então trabalha com lista negra, vou fazer um vídeo sobre isso e postar em breve, ainda esta semana !
Ivanildo gostaria de saber se o PFsense consigo fazer full cache? do youtube etc. obrigado
Rapaz, nunca configurei !
Bom dia Ivanildo
Sou novo no assunto pfsense.
Não consigo fazer minha rede navegar na internet ,faço autenticar adsl , monto a rede com dhcpd todomundo ganha ip e nada ja fiz passo a passo da sua video aula no youtube mesmo assim nao consigo fazer minha rede navegar , será que o amigo teria um passo a passo …oiu melhor uma dica
Éminha primera semana com PFSENSE , essa rede tem 5 computadores deposi vou subri o squid com proxy transparente tbm
Obrigado
Olá, tem que ver como estão as regras de saída.
Existe regra de saída da LAN para a WAN ?
Se tiver liberando as regras porta a porta, não esqueça da 53 (DNS) sem ela não navega mesmo.
Boa tarde,
Gostaria de saber como eu configuro grupos e usuários locais dentro do pfsense para serem autenticados localmente também.
Já estou com squid e squidguard instalados, alguns usuários e grupos criados para teste, mais a partir dai não consegui mais configurar, pois quando configuro o proxy no browser a internet cai, onde deveria aparecer usuário e senha.
Obrigado.
Olá, obrigado por acompanhar o blog.
É bem estranho isso, ao habilitar o proxy de forma não transparente e especifica-lo junto com a porta 3128 no browser, o mesmo tem que pedir usuário e senha.
Se puder me mandar as telas de configuração por e-mail, posso dar uma olha e tentar encontrar o problema.
Ivanildo, boa noite.
Fiz a instalação do PFSense, configurei DHCP Server e ip’s estáticos nas interfaces LAN e WAN mas não consigo sair para a internet de jeito nenhum.
Poderia me dar uma ajuda?
Se precisar posso te mostrar como está configurado.
Vou soltar um vídeo esta semana ainda, “pfSense pós-instalação” justamente falando destes ajustes e regras de firewall, estou recebendo muitas mensagens deste tipo, galera instalando pfSense e não conseguem navegar na net, então para ajudar neste ponto, vou fazer o vídeo.
Aguarde um pouco e se liga no blog !
Olá Ivanildo estou com problemas para instalar o PFsense numa maquina HP Compaq DC5750, quando inicializo dá um erro de ROOT MOUNT FILE SYSTEM, e trava o teclado, nao consigo seguir na instalacao. Entrei no forum neste POST
https://forum.pfsense.org/index.php?topic=47729.0
fiz o que foi falado, pressionando a opção 3,
Porém nao consegui dar continuidade na instalação.
Teria alguma sugestão.
Um forte abraço
Renne
Olá, tudo indica que o pfSense não reconhece o módulo do driver da controladora para o tipo de disco selecionado. Faça o seguinte teste, entra no setup, altera o tipo de disco de HCI, SATA ou RAID, seja qual for, para o modo Legacy.
Reinstale o pfSense !
Gostaria de saber com instalar o pfsense sem ser na maquina virtual.
Eu tenho um imagem iso do pf, e estou fazendo a imagem com o Power ISO.
Porem não acho o instaldor. Tem outra maneira?
Olá, perdão pela demora na resposta, o tempo está bem complicado.
Não existe um instalador, o pfSense é um Sistema Operacional, é um firewall baseado em FreeBSD, ele não é um aplicativo, você tem que pegar a ISO e dar boot por ela, seja em uma VM ou em uma máquina física.
Veja meu vídeo de instalação e configuração do pfSense, aqui mesmo no blog.
Sucesso !
Oi Ivanildo, estou com o mesmo problema que o Renne, no setup ja esta no modo Legacy, continua o mesmo erro. Trava o teclado no caminho mountroot e não prossegue. Mais alguma sugestão?
Desde ja agradeço.
Olá, FreeNAS, pfSense e qualquer outro SO baseado em FreeBSD no hyper-v é complicado, sugiro que coloque em um host Vmware, você não terá mais problemas.
A Microsoft não dá suporte a sistemas FreeBSD no Hyper-V, então tem que procurar nos fóruns no Brasil e internacionais.
Não posso ajudar muito porque nunca peguei este problema e não instalo pfSense no Hyper-V, pois sei que fica instável e podem surgir problemas de um dia para o outro no caso de uma reboot do Hyper-V em uma queda de energia.
Sucesso !
Prezado, Ivanildo.
Estou com o Seguinte problema.
1 – Instalei o PFSense 2.1.5-RELEASE (amd64), habilitei o DHCP server, criei um VPN ontem o OpenVPN que está conectada e já funcionando.
De um lado tenho um LINK STATIC 10MB (internet) –> 200.214.46.34/29 — OK
REDE configurada pelo IP 172.30.0.0/16 — OK
VPN –> Tunel –> 169.254.19.0/29 –> ok. Final 1 para matriz e Final 2 para Cliente. –> OK
Do outro lado matriz com ip static (internet) –> 200.222.4.59/29 –> OK
Rede configurada pelo IP 10.0.0.0/16 — OK
VPN para esta rede ok funcionando, porem tenho mais algumas rede que teria que acessar pela VPN como por ex a rede, 10.10.10.0/24 e outras.
Só que não consigo colocar outro GW de rede para apontar para a outra ponta da VPN.
tem como me ajudar?
Olha o caminho para a rede 10.0.0.0/24, eu precisava que fizesse o mesmo para a outras redes que estou falado.
C:\>tracert -d 10.0.100.3
Tracing route to 10.0.100.3 over a maximum of 30 hops
1 1 ms <1 ms <1 ms 172.30.0.1
2 12 ms 7 ms 9 ms 185.50.100.1
3 8 ms 7 ms 6 ms 10.0.100.3
Trace complete.
Se importa de me mandar um e-mail explicando novamente e se possível com o layout do cenário ?
Não entendi exatamente o que você quer fazer.
E-mail: consultoria@ivanildogalvao.com.br
Ivanildo bom dia p pfsense funciona no Windows? e se funciona tenho como bloquear um usuário para que o mesmo
não acesse a internet?
Olá, o pfSense é um SO e não um aplicativo, você formata um computador e instala o pfSense, se quiser rodar ele no Windows, tem que ser virtualizado no VirtualBox ou Vmware Workstation.
Sucesso !
Boa tarde,
como eu bloqueio conteudo improprio em buscadores, ex. tenho o pfsense, instalei o squid+squidguard e fiz o bloqui por palavras e conteudo porn_, e fiz por palavras no proxy server em blacklist (ninfeta), quando eu faco a busca o site o squid consegue bloquear, mas se eu for em IMAGENS do google, mostra um monte de mulher pelada, como se o filtro nao funcionasse… poderia me ajudar?
Faça um teste colocando as informações do proxy no browser.
Sucesso !
Bom dia Ivanilido, tenho um pfsense 2.2.3 configurado com load balance, nas regras no firewall coloquei para sair no gateway com load balance, porém o link1 sai http e https (OK) , se eu desconectar o link1, somente as requisições HTTPS estão saindo pelo link2, quando tento abrir http da erro “O sistema retornou: (51) Network is unreachable”. Estou achando q o squid esta bloqueando sai pelo link2, vi no proxy server mas não tem nada relacionado a gateway, estou usando o squid3.
Olá,
Este caso é conhecido, olha este link: http://blog.ntsuporte.com.br/?p=137
Estamos com o curso de Firewall/UTM pfSense completo em vídeo aulas, acesso completo durante 01 ano, no curso eu ensino desde o básico ao avançado do pfSense, acesse o site, conheça o curso e inscreva-se https://www.jlcp.com.br/produto/curso-pfsense/ 😉
Sucesso !
Ivanildo, bom dia!
Poderia me ajudar? Não consigo conectar a VPN do Azure (IPSec) com o meu Pfsense 2.1.5 de jeito nenhum…
Olá, precisaria ver os logs para analisar os erros.
Sucesso !
BOa tarde estou a sua video aula: Configurando pfSense – Squidguard + Firewall + NAT + DMZ + DHCP + Failover Wan.
e estou com algumas dificuldades. ao liberar só a porta 80 o meu navega só alguns sites como globo. a versao do meu pfsense é a ultima 2.2.5 se puder me ajudar.
Olá, não esqueça de abrir http, https e principalmente a porta dns que é essencial para a navegação sem problemas.
Sucesso !
Boa Tarde Ivanildo
Não estou conseguindo instalar o Pfsense
quando do boot pelo CD Aparece a seguinte mensagem
BTX Loader 1.00 BTX version is 1.02
Obrigado
Olá, precisaria ver qual a versão do hardware da máquina e do pfSense, as vezes é problema de versão incompatível, mas pelo tempo, acredito que você já resolveu.
Valeu !
Olá! No site de download, qual arquivo devo baixar? Baixei versao amd 64- live CD com installer, mas ao transformar em um pendrive bootável, no final do processo, diz nao achar um arquivo tal, qual nao lembro o nome..
Olá,
i386 para computadores 32bits
AMD64 para 64 bits.
Estamos com o curso de Firewall/UTM pfSense completo em vídeo aulas, acesso completo durante 01 ano, no curso eu ensino desde o básico ao avançado do pfSense, acesse o site, conheça o curso e inscreva-se https://www.jlcp.com.br/produto/curso-pfsense/ 😉
Sucesso !
Ivanildo,
Boa tarde!
Tenho uma duvida
ip fixo Pelo vivo
Modem configuração pppoe
Wan1dhcp – 192.168.1.x
Wan2dhcp – 192.168.2.x
Lan – 192.168.100.x
Quando faço o download do cliente Openvpn ele fica tentando conectar com ip Local
Como devo fazer a configuração do ip publico, lembrando que meu ip e fixo Plus.
Obrigado!
Olá,
Rapaz, a melhor forma é usar o modem como bridge e com isso deixar o IP publico chegar direto no pfSense, se continuar com este cenário, você precisa abrir a porta do OpenVPN no modem, criando um NAT de redirecionamento, para cair no IP do pfSense, só que você só conseguirá para uma interface do pfSense e não para as duas.
Sucesso !
Obrigado!
Feito exatamente como falou esta funcionando perfeitamente!
Obrigado!
Boa tarde!
PFSense 2.2.3, tínhamos 10M de banda dedicado e estava tudo ok.
Aumentaram a banda pra 30M e a taxa de download está ok, mas upload chega no máximo a 9M depois do PFSense.
Medi antes do Firewall, direto no modem da GVT e a tava de Down e UP estão em 30M.
O que pode estar acontecendo?
OBS.: Não têm nenhuma regra de limitação de banda rodando neste momento.
Desde há agradeço.
Olá,
É bem estranho, pois o pfSense não diminui banda de internet. O padrão de MTU usado pelo pfSense é 1500, padrão este usado pela maioria dos provedores.
Existe a possibilidade do seu provedor usar um MTU diferente, chegou a ver isso ?
Sucesso !
Boa tarde gosto muito dos seus post também só estudante de computação eu, gostaria de saber o seguinte: eu criei regras para bloqueiar protocolos como HTTP, FTP através de vulnebilidades relacionado a portas abertas só que os usuários da corporação não conseguem acessar nenhuma página na internet visto que o protocolo HTTP foi bloqueado. diante da situação o que faço
obrigado!!!
aguardando resposta por e-mail
Olá, mas claro que não irão navegar 🙂
Se você bloqueou http e https na saída, como os usuários poderão acessar as páginas na Web ?
As portas http e https devem estar abertas na saída, você pode bloquear para máquinas específicas que são proíbidas de acessar a internet, mas para isso tem que criar ALIAS destas maquinas e criar regras separadas.
Sucesso !
Ola Ivanildo, por favor vc poderia me dar umas dicas para a configuração de VOIP (Itemlbras-modelo Impacta 220R), no pfSense, 2.3 32 bits, eu consegui fazer os ramais autenticarem porém não passa voz. Já olhei diversas dicas porém nenhuma dica funcionou.
Olá, para te ajudar, eu precisaria entender o layout do seu ambiente, me mande mais informações por e-mail.
Sucesso !
Boa tarde
Sou iniciante no PFSense (dois dias de utilização).
Instalei numa VM (VirtualBox), consigo acessar o console via browser, mas ao tentar instalar qq programa (squid, nmap), começa a instalação e depois para informando falha.
Ao tentar acessar a console via browser, não respondia, assim como o ping.
Desativei o firewall (pfctl -d).
Passou a pingar e acessar a console.
No firewall e criei uma regra
proto any
source any
dest lan adress
port any
Acesso a console, seleciono o pacote, começa a instalação e num determinado momento, dá falha.
Observei que a VM parou de responder ao ping.
Desativo novamente o firewall, volta a responder.
O que pode estar acontecendo?
Olha, é bem estranho este problema, eu precisaria ver a tela de erro para entender o que está acontecendo.
Se puder, me mande a imagem do erro por e-mail: ivanildogalvao@esolutionti.com.br
Até mais !
Bom dia Ivanildo,
percebi que o meu pfsense até 10MB ele passa normal, porém aumentamos para 30MB e eu não vejo o pfsense puxando os 30 total, vejo ate no máximo 10 a 15mb, você acha que isso é algum problema no pfsense?
Utilizo dois links com failover sendo o tier 2 o link de 30MB dedicado e tier 3 o link de 4 MB dedicado.
O que pode ser? Raramente eu vejo os gráficos apontando para 30MB, e aqui só trabalhamos com sistema web e tem muitos usuários simultâneos.
Faça o teste de velocidade só com o link de 30MB, veja se melhora, o link de 4MB apesar de estar com TIER maior, pode estar impactando.
Outra questão a ser vista é o MTU do modem com a interface do pfSense, tem que estar igual.
Sucesso !
Olá Ivanildo…
Estou instalando a ultima versão do PFSENSE … e somente nesta ultima versão (pfSense-CE-2.3.2-RELEASE-amd64) ela não reconhece o HD criado pela imagem no Hyper-v. Já alterei de IDE para SCSI o HD, mas na hora da instalação apresenta mensagem que não encontrou o HD (The installer coud not find any disc…)
Pode me ajudar?
O ideal é usar disco com controladora IDE, a opção SCSI não funciona porque o Hyper-V tem dificuldades em carregar drivers BSD para disco.
Na verdade, na verdade, Vmware e XenServer são de longe a melhor opção para virtualizar o pfSense, pra você ter ideia, o pfSense vem com drivers nativos para Vmware vSphere.
Sucesso !
Olá Ivanildo,
Suas vídeo aulas são ótimas!! Obrigado.
Gostaria de saber se tem alguma diferença entre as imagens disponibilizadas no site ofcial do psSense, para as arquiteturas AMD64 e I386 em relação NetGate ADI. Digo em relação a funcionalidades que possam tornar o firewall em um appliance pfsense mais “robusto” que uma versão para pc.
Não, a única diferença entre as versões é apenas plataforma de processador, as funcionalidades e os recursos são os mesmos.
Sds !
Obrigado Ivanildo!!!
O Pfsense é funcional numa virtualbox? Pois não tenho uma cpu fisica pra ele.
É possivel utilizar desta forma?
Sim, com certeza. Se o ambiente for pequeno, sem criticidade, se for algo mais enterprise, recomendo então que seja físico ou virtualizado no Vmware vSphere.
Sucesso !
Bom dia Prof Ivanildo.
Iniciei a pouco tempo, na experiencia do PFSENSE. O que notei e que no Hyper-v, a placa de redes Legacy Network Adapter e funcional, porem só funciona no máximo 100 MB full duplex !! Estou correto? Existe como contornar essa barreira de limitação de banda? No backup entre redes da DMZ para MZ, terei uma demorar significativa!
Olá, essa limitação foi resolvida a partir do Windows Server 2012, em todo caso dá uma olhada aqui: https://doc.pfsense.org/index.php/Virtualizing_pfSense_under_Hyper-V
Porém considero XenServer e Vmware as melhores opções para virtualizar o pfSense.
Sucesso !
Tem um novo Appliance Firewall pfSense que estou usando nos meus clientes que estou gostando bastante que é o modelo bm4c e tem outros modelos também. Pra mim o custo benefício compensou bastante.