III WTR do POP-BA
III Workshop de Tecnologias de Redes Ponto de Presença da RNP na Bahia
Instrutor: Ibirisol Fontes Monitores: Jundaí Abdon
Prática 2
Cenário:
Como na prática número 1, temos na figura acima uma pequena rede, que representa uma estrutura básica para prover serviços e acessar a Internet, servindo como modelo para qualquer instituição. Como diferencial, temos nesse cenário um servidor com pfSense (o servidor pfsense). Temos também uma outra máquina (o servidor wtr-servidor) que dispõe os serviços web, DNS e e-mail. O Firewall possuí três interfaces de rede cada uma deverá ser configurada para um seguimento específico, a interface em0 está conectada a rede externa (Internet) e serve como porta de saída e entrada para as redes Internas. Uma segunda interface em1 é conectada ao segmento de rede (a DMZ) onde os servidores que oferecem os serviços acessíveis externamente estão. A terceira interface em2 é conectada ao seguimento de rede interno, onde os computadores dos funcionários e equipamentos de proposito geral (impressoras, telefones VOIP e etc).
O servidor wtr-servidor conectado a interface em1 do servidor pfsense possuí configurado três Ips na faixa de endereçamento da rede DMZ, cada endereço destinado a um respectivo serviço. O endereço 192.168.0.2 é destinado ao servidor DNS, já o endereço 192.168.0.3 é do servidor de e-mail da instituição e por último o endereço 192.168.0.4 é destinado ao serviço Web. Objetivo:
Como administrador da rede mostrada no cenário acima, você ficou responsável por configurar o Firewall que fará o controle de acesso ao serviços oferecidos para o público externo e interno.
Como tarefa inicial você irá configurar o Firewall (pfSense) para permitir que os servidores e máquinas da rede interna possam acessar a Internet, também é necessário restringir as requisições da Internet para que só sejam destinadas ao serviços que realmente sejam oferecidos (web, DNS e e-mail). Deve ser levado em consideração que a faixa de endereçamento interna não é roteável na Internet, dessa forma todas as requisições da rede interna devem sair com o endereço público do Firewall (em0).
Credenciais de acesso (formato usuário:senha (observações)) : O servidor de pfsense:
• admin:pfsense (usuário com privilégio de administrador na interface Web)
O servidor wtr-servidor:
• wtr:wtr (usuário sem privilégio)
• root:root (usuário com privilégio de administrador) Configuração do ambiente:
Primeiramente é necessário configurar o pfSense de maneira a funcionar como roteado e Firewall da rede, para configurá-lo os passos abaixo devem ser seguidos:
Inicialização do servidor: Logo após a inicialização, o pfSemse identificará quais interfaces existem disponíveis no servidor. As interfaces seguirão a nomenclatura de dispositivo do FreeBSD, no nosso Firewall serão mostradas as interfaces em0, em1 e em2 como na figura abaixo.
O pfSense irá perguntar se é necessário configurar VLANs, no momento responda que não, digite a tecla 'n' e aperte 'ENTER'. Logo em seguida será perguntado qual interface está conectada a WAN (rede externa), digite em0 e aperte 'ENTER'.
No próximo passo é possível configurar outra interface, mas nesse momento aperte apenas a tecla 'ENTER'.
Agora, é necessário confirmar a atribuição de configuração a interface em0, para isto digite 'y' e aperte 'ENTER'.
O pfSense inicializará os outros componentes do sistema e mostrará as opções de configuração disponíveis através do console.
Podemos acessar a interface Web de configuração do pfSense, para isso peguemos o endereço atribuído a em0 pelo DHCP (Na imagem acima é mostrado o endereço '10.1.0.74') e coloquemos no navegador disponível na máquina hospedeira.
Será mostrado no navegador uma tela de login, como na imagem acima, basta usar as credenciais disponibilizadas no inicio da atividade. Posteriormente, iremos ser redirecionados para o wizard de configuração, clique em 'next'.
Configure os pfSense com o domain 'wtr', com o servidor DNS interno '192.168.0.2' e desmarque a opção 'Override DNS'.
Clique em 'next' para continuarmos a configuração.
Agora, será pedido as configurações de fuso horário. Escolha a 'Time zone' da Bahia.
A próxima página é destinada a configuração da interface WAN. Não precisamos fazer nenhum ajuste, pois configuramos anteriormente essa interface pelo console, desça a barra de rolagem do navegador até o final é clique em 'next'.
O próximo passo é definir uma nova senha para o usuário administrativo (admin). Coloque a senha de sua preferencia e clique em 'next'.
Observação: Defina uma senha forte, pois uma senha fraca é a porta de entrada para um usuário indevido.
Agora, clique em 'reload' e digite novamente no navegador o endereço da interface em0 do Firewall.
estado do sistema estará sendo mostrado. Observe as informações sobre hardware e software. Configuraremos agora a permissão de acesso a interface Web do Firewall a partir da rede externa, para isto selecione a opção 'Rules' no menu 'Firewall' (veja a imagem abaixo).
Agora, clique no botão 'add new rule' e preencha os campos mostrados com as informações indicadas abaixo.
• Action: Pass
• Interface: WAN
• Protocol: TCP
• Destination Port Range ◦ from: HTTPS
◦ to: HTTPS
• Description: HTTPS WEBCONFIG
Após o preenchimento da regra clique no botão 'save'.
Agora, podemos configurar as interfaces das redes DMZ e intranet. Clique na opção '(assign)' no menu 'Interfaces'.
Clique em 'add' para adicionar a interface de LAN (futura DMZ, que estará com a interface em1). Clique novamente em 'add' para adicionar a interface OPT1 (futura interface da intranet).
A atribuição de interface resultante é mostrada na imagem acima, clique em 'save' para salvarmos a configuração. Depois, clique em
'apply' na caixa em vermelho para aplicarmos as modificações no Firewall.
Agora iremos configurar os endereços de rede das interfaces adicionadas, para isso clique na opção 'LAN' no menu 'Interfaces' (como mostrado acima) e preencha as opções com as informações colocadas abaixo.
• Enable: (Marque a opção)
• Description: DMZ
• Type: Static (selecione a opção)
• Ip Address: 192.168.0.1/24
Clique em 'save' e proceda com a configuração da interface OPT1. Selecione a opção 'OPT1' no menu 'Interfaces' e preencha o formulário com as seguintes informações.
• Enable: (Marque a opção)
• Description: intranet
• Type: Static (Selecione a opção)
• Ip Address: 10.0.0.1/24
Configuração de NAT: Precisamos configurar o DNAT para os serviços Web hospedados no servidor wtr-servidor. Para isto, selecione a opção 'NAT' no menu 'Firewall'.
Nesse momento, na aba 'Port Forward' clique em 'add' e preencha os campos com as informações abaixo.
• Interface: WAN
• Protocol: TCP
• Destination Port Range: ◦ from: HTTP
• Redirect Target IP: 192.168.0.4
• Description: DNAT HTTP
Clique em 'save', e proceda com a criação da regra de DNAT para o DNS e SMTP. Seguem abaixo as informações para cada um dos protocolos.
DNS:
• Interface: WAN
• Protocol: UDP
• Destination Port Range: ◦ from: DNS
◦ to: DNS
• Redirect Target IP: 192.168.0.2
• Description: DNAT DNS
SMTP:
• Interface: WAN
• Protocol: TCP
• Destination Port Range: ◦ from: SMTP
◦ to: SMTP
• Redirect Target IP: 192.168.0.3
• Description: DNAT SMTP
Pronto, agora os NATs já estarão funcionais. Para testar execute a partir da máquina hospedeira o seguinte comando no terminal.
nslookup type=any wtr 200.128.5.XXX
Observação: O IP usado acima deverá ser substituído pelo IP da interface em0. Para testar o servidor Web acesse a url abaixo pelo navegador da máquina hospedeira.
http://200.128.5.XXX
Explore a interface Web do pfSense a vontade, existem vários outros recursos interessantes.