apostila utm - 2.0.2 - 2012-04-10 - web
DESCRIPTION
Curso UTMTRANSCRIPT
-
TabeladeContedoCapitulo1ConfiguraoInicial______________________________________________________________1Introduo 1AplicandoconfiguraesbsicasemGeneralSetup 2Identificandoeatribuindointerfaces 3ConfigurandoaInterfaceWAN 6ConfigurandoaInterfaceLAN 8ConfigurandoInterfacesOpcionais 10HabilitandooSecureShell(SSH) 12GerandochavesRSAautorizada 13ConfigurandooSSHcomautenticaodeChaveRSA 16AcessandoporSecureShell(SSH) 17Capitulo2ServiosEssenciais 19Introduo 19ConfigurandooServidorDHCP 20CriandoDHCPcommapeamentosesttico 22CriandooDHCPrelay 24EspecificandoDNSalternativo 25ConfigurandooDNSForwarder 27ConfigurandoservidordeDNS/DCHPdedicado 28ConfigurandoDNSdinmico 31Capitulo3ConfiguraoGeral 33Introduo 33CriaodeAlias 33CriaoderegrasemNATportforward 38CriaoderegrasnoFirewall 41Criandoagendamento 47Acessoremotoaodesktop,usandoexemplocompleto 50Capitulo4RedeprivadaVirtual(VPN) 55Introduo 56CriandoVPNemumtnelIPSec 56ConfigurandooservioL2TPVPN 58ConfigurandooservioOpenVPN 64ConfigurandooservioPPTPVPN 69Capitulo5ConfiguraesAvanadas 80Introduo 80CriandoumIPVirtual 80CriandoregradeNAT1:1 85CriandoumaregradeNAToutbound 88CriandoGateway 91
-
Criandoumarotaesttica 92ConfigurandooTrafficShaping 94Interfacesdotipoponte 101CriandoumaLANVirtual 102CriandoumCaptivePortal 103Capitulo6Redundncia,BalanceamentodecargaeFailover 108Introduo 108ConfigurandoMultiplasInterfaces 109ConfigurandoobalanceamentodecargaemumamultiWAN 113ConfigurandooFailoveremumamultiWAN 116Configurandoumservidordewebcombalanceamentodecarga 119ConfigurandoumservidorwebcomFailover 123ConfigurandoumfirewallCARPcomFailover 126Capitulo7ServioseManuteno 131Introduo 132HabilitandoOLSR 132HabilitandoPPPoE 134HabilitandoRIP 135HabilitandoSNMP 136HabilitandoUPnPeNATPMP 137HabilitandoOpenNTPD 139HabilitandoWakeOnLan(WOL) 140Habilitandoologexterno(servidorsyslog) 142UsandooPING 144UsandooTraceroute 145Fazerbackupdoarquivodeconfigurao 146Restaurandooarquivodeconfigurao 148AtualizaodoFirmwaredoUTM 150Capitulo8Pacotes 153InstalandooWebfilter 153ConfigurandooWebfilter 156AdicionandooDataClick179ConfigurandooBluePexDataClick180ApndiceAMonitoramentoeRegistros 190Introduo 190PersonalizarateladeStatusDashboard 190Monitoramentodetrfegoemtemporeal 192ConfigurandoSMTPdeemaildenotificao 193Vendooslogsdosistema 195Configurandoumservidordesyslogexterno 197VisualizaesdegrficosRRD 198
-
VisualizaesdemapeamentosDHCP 204Gerenciandoosservios206MonitoramentodefiltrodepacotescomPfInfo 207MonitoramentodetrfegocomPfTop 208Monitoramentodeatividadesdosistema 208Listadepacotesdisponveis 209Informaesdeautoria 209
-
Pgina1de212
1ConfiguraoInicialNessecapitulo,iremosabordar:
AplicandoconfiguraesbsicasemGeneralSetup Identificandoeatribuindointerfaces ConfigurandoaInterfaceWAN ConfigurandoaInterfaceLAN ConfigurandoInterfacesOpcionais HabilitandooSecureShell(SSH) GerandoChavesRSAAutorizada ConfigurandooSSHcomautenticaodeChaveRSA AcessandoporSecureShell(SSH)
IntroduoOUTMsebaseiabasicamenteempacketfilteretomadecisesdetodasassuasfunes,efoi
adicionadomaisumavariedadedeserviosderedesmaisusadas. NessecapituloiremosabordarasdefiniesbsicasparaimplantaodoUTM.UmavezoUTMinstaladoeconfiguradodeacordocomodescritonessecaptulo,vocvaiterumfirewalloperacionalquevaialmdeumroteador.Emseunvelmaisbsico,umamaquinaUTMpodeserusadoparasubstituirumroteadordomesticocomafuncionalidadequedeseja.Emconfiguraesmaisavanadas,UTMpodeserusadoparaestabelecerumtnelseguroparaumescritrioremoto,equilbriodecargadetrfego.ExistemrealmentecentenasdeformasdeseconfigurarumUTM.UmavezqueoUTMestinstalado,hduasmaneirasdeacessaroservidorremotamente,SSHeosWebGUI(paineldecontrole),umaconexoSSHvociriaveromenuigualaovistosevocplugasseomonitornoservidor,nomenudeopesdoSSHasopessobsicasemuitopoucodasconfiguraoalteradaaqui.TodaconfiguraodescritaemcadacapitulodolivrofeitaatravsdainterfaceWebGUI(paineldecontrole),quepodeseracessadaatravsdoendereodeipdequalquerinterfacequevocconfigurouduranteainstalao(como192.168.1.1)
-
Pgina2de212
AplicandoConfiguraesbsicasemGeneralSetup NessemenuiremosabordarconfiguraesbsicasfeitasnoUTM.Sepreparando... TudoqueprecisoparafazerasconfiguraesumabasedeinstalaobemfeitaeacessoaoWebGUI(paineldecontrole).Algumasdessasconfiguraespodemtersidoconfiguradasduranteainstalaomasnadaimpedequepossasermodificadaaqualquermomento.Emumanovainstalaoascredenciaisdeacessopadro:Usurio:adminSenha:b1uepexutmComofazer
1. VemSystem |GeneralSetup.2. DigiteumHostname.Essenomeserusadoparaacessaramaquinapelonomeenopeloendereo
deIP.Porexemplopodemosacessardigitandoapenashttp://UTMemvezdehttp://192.168.1.1:
3. DigiteodomnioemDomain.
4. ServidoresdeDNSpodemserespecificadosaqui.PorpadrooUTMvaiatuarcomoDNSprimrioeessescamposficaroembranco.MasvocpodeusaroutrosservidoresdeDNS.ConsulteoDNSalternativonoCapitulo2ServiosEssenciais,paramaioresinformaes.
-
Pgina3de212
5. MarcarAllowDNSserverlisttobeoverriddenbyDHCP/PPPonWAN.IssogarantequetodasassolicitaesdeDNSquenosoresolvidasinternamente,vopassaraserresolvidaspeloservidordeDNSdoseuprovedorISP.
6. DigiteoFusoHorrioemTimeZoneedeixeopadroNTPtimeservercomo0.pfsense.pool.ntp.org.
7. NomomentotemosapenasoTemapadro,Bluepex2.0.Osmenusdotopoagorasoestticosenovaidesaparecersevocpercorrerocontedodapgina.
Vejatambm... ConfigurandoDNSForwardernocapitulo2ServiosEssenciais. EspecificandoDNSalternativonocapitulo2ServiosEssenciais.
IdentificandoeatribuindoasInterfaces AquivamosdescrevercomoidentificareatribuirasconfiguraesapropriadasparacadainterfacenoUTM.SePreparando... VocprecisaidentificaroendereoMACdecadaplacaEthernetnoseuUTMantesdeatribuirasinterfaces.Comofazlo...
1. AcessaroconsoledamaquinafsicaatravsdomonitorouativaroSSHacessandoremotamente(VejaativandooSecureShell(SSH)paramaisdetalhes).
2. Atelainicialexibirumalistadeinterfaces,portasderedeeendereodeIP.
-
Pgina4de212
3. Escolhaaopo1AssignInterfaces.4. PuleaconfiguraodeVLANsagora.VejaacriaodeVLANsnoCapitulo5ServiosEssenciaispara
maisinformao.
5. Atribuirparacadainterface,ainterfacedesuaescolhacorrespondenteaoendereoMACparacada
endereodainterfacenatela.
-
Pgina5de212
AcapacidadedeconfigurarapenasumainterfacenovoparaoUTM2.0,sendoquenasversesanterioreseraprecisoWANeLAN.
Comoelefunciona... UTMcomoqualqueroutrosistemaoperacionalparacomputador,usareferenciaparacadaPlacadeRedeatribuindovalornicoparacadainterface(fxp0,em0,em1,eassimpordiante).EssesidentificadoresestoassociadosaodriveridentificadopelosistemaparatornarfcilanossaidentificaonahoradeassociaroMAC(00:80:0c:12:01:52).SendoassimumainterfaceumnomedadoacadaportaEthernet:fxp0=WAN,LAN=em0,em1=DMZ,eassimpordiante.Hmais... Agoravocsabequalportaestadirecionadaparaqualinterface,vocpodegerenciarasfuturasmudanasatravsdoWebGUI(paineldecontrole).IndoatInterfaces|(assign).
-
Pgina6de212
Vejatambm...
AcessandooSecureShellemSSH ConfigurandointerfaceWAN ConfigurandointerfaceLAN ConfigurandoInterfaceOpcional
ConfigurandoWANinterface AquivamosaprenderaconfiguraroWideAreaNetwork(WAN)nainterfaceexternadonossofirewall.SePreparando... AinterfaceWANqueconectaseufirewallainternet.VocvaiprecisarconfigurarcorretamenteaWANinterface(comofoifeitonocapituloanterior)paraumaconexocomainternet.NoexemplovamosusarummodemviacaboqueforneceacessointernetviaDHCP,masoUTMpodefazeroutrostiposdeconexo.Comofazlo...
1. VatInterfaces|WAN.2. MarqueEnableInterface.3. EscolhaotipodeconfiguraodeendereoemType.4. DeixeembrancooMACaddress.VocsvaiprecisarinserirendereoMACseforusarospoofing.O
seuprovedornopodeverificarseusendereosMAC,entoatribuindomanualmentevocvaiforaroProvedorfornecerumIPouumconjuntodiferentedeDNS.
5. DeixeMTU,MSS,Hostname,eAliasIPAddressembranco.
-
Pgina7de212
6. MarqueBlockprivatenetworks.EssaconfiguraonormalmentemarcadaemumasWAN
interface.7. MarqueBlockbogonnetworks.EssaconfiguraonormalmentemarcadaemumasWANinterface.8. CliqueemSave.
Comoelefunciona... DevemosprimeirocriarumaconexocomainternetantesdecomearmosaconfiguraroUTMepermitirquearedeconecteainternetatravsdele.Secolocarmosonossofirewallcomonicamaquinacomacessodiretoainternet,estamosgarantindoumambienteseguro,estabelecendoumcontrolecompletosobreotrafegoquefluidentroeforadarede,todaotrafegodevepassaragorapelonossofirewallerespeitarasnossasregras.HMais... AgorapodemosconectarocaboderededomodemnainterfaceWANquedefinimosnaconfiguraoanteriordoUTM.Umavezconectadoocaboderede,podemosverificarostatusdeconexonaportaWANemStatus|Interfaces:
-
Pgina8de212
Vejatambm...
IdentificandoaAtribuindoasinterfaces ConfigurandointerfaceLAN Configurandointerfaceopcional
ConfigurandoaInterfaceLANAquivamosaprenderaconfiguraroLocalAreaNetwork(LAN)interfaceinternadonossofirewall.
SePreparando... AinterfaceLANusadaparaconectarseusdispositivosinternosemumaredeinternasegura.necessrioconfigurarainterfaceLANcorretamente.Comofazlo...
1. VatInterface|Lan.2. MarqueEnableInterface.3. EscolhaaconfiguraodeendereoemType.4. DigiteseuipemIPaddressemascaradesubrede.DeixeGatwayemNone.
-
Pgina9de212
5. DeixeBlockprivatesnetworkeBlockbogonnetworksdesmarcadas.6. CliqueemSave.
Comoelefunciona Vocacaboudeconfigurarsuaprimeiraredeinterna.Sevocfezaconfiguraodeacordocomolivro,agoravocjconheceosrequisitosmnimosparaumbomfuncionamentodeumfirewall!Vocjdefiniuumaredeexterna(WAN)eumaredeinterna(LAN).Agoravocpodedefinirasregrasdetrafegoentreosdois.HMais... AgoravocpodeconectarocaboderededaredeinternanainterfaceLANdoseuUTM.Issopermitiraquevocseconecteaoscomputadoresdaredeinterna.Vejatambm...
IdentificandoaAtribuindoasinterfaces ConfigurandointerfaceWAN Configurandointerfaceopcional
-
Pgina10de212
ConfigurandoInterfaceOpcional Aquiiremosdescrevercomocriareatribuirinterfacederedeopcionalnonossofirewall.SePreparando... Aredeopcionalquevocvaicriarnesseexemplo,serefereaumaDMZ.AidiadeusarZonaMilitarDesmilitarizadadepermitirapassagemdetrafegodiretaouno.AidiadoDMZcontrolaresepararsedeoutrasreas,seaplicaDMZnesseexemplo:Trafegodeinternet|DMZTrafegoredeinterna OtrafegodeinternetinseguropermitidoentrarnaDMZ,paraacessarumservidorwebporexemplo.OtrafegodaLantambmpodeentrarnaDMZsequiseracessaroservidorwebtambm.NoentantoopontochaveficanaultimaregranopermitindoaentradadeDMZnaredeinterna. AredeDMZaredemenossegura,vamospermitiracessoexternosadeterminadoIP,paraconfigurarumaDMZouqualqueroutraredeopcional,vamosprecisardeoutrainterfacedisponvel.Comofazlo...
1. Vatumainterfacedisponvel,Interfaces|OPT12. MarqueEnableInterface.3. EmDescriptiondigiteDMZ.4. EscolhaaconfiguraodeendereoemType,noexemplofoiescolhidoStatic.5. DigiteemIPAddressoipeselecioneotipodemascara.Usaremoso192.168.2.1eselecioneotipode
mascaraapartirde24nalista.6. DeixeGatewayemNone.
-
Pgina11de212
7. DeixeBlockprivatesnetworkseBlockbogonnetworksdesmarcados.8. CliqueemSave.
9. CliqueemApplyChanges.
Comoelefunciona SuaredeDMZvaipermitiracessoexterno(WAN).SuaDMZtambmpermitiraacessoapartirdaLAN,masnoteropermissodeenviartrafegoparaLAN.IssoirpermitirqueasrequisiesvindasdainternetparaacessarrecursosdoseuDMZ(websites,email,assimpordiante)noenxerguemsuaredeinterna(LAN).Hmais... AgoravocpodeconectarumswitchligadointerfaceDMZparaseconectaremvariasmaquinas.Iriaficarcomoodiagramaaseguir:Vejatambm...
OIdentificandoaAtribuindoasinterfaces OconfigurandointerfaceWAN OconfigurandointerfaceLAN
-
Pgina12de212
HabilitandooSecureShell(SSH) AquiiremosdescrevercomohabilitaroSecureShell(SSH)noUTM.Sepreparando... SSHumprotocoloderedequepermiteqcomunicaocriptografadaentredoisdispositivos.AtivandooSSHpermitiacessoseguroparaoconsoledoUTMremotamente,comosevocestivessesentadonafrentedoservidorcomoUTM.Comofazlo...
1. VatSystem|Advanced|SecureShell.2. MarqueEnableSecureShell.3. VoceserasolicitadoafornecercredenciaisquandovocseconectarremotamenteporSSH(useo
mesmonomedeusurioesenhaquevocconectaporWebGUI),vocpodemarcarDisablepasswordloginforSecureShell.IssoirapermitirqvocusechaveRSA,vejamaisafrenteparamaioresinformaes.
4. DeixeSSHPortembranco,quevaiserusadoportapadro22.
5. CliqueemSavequeoserviodeSSHhabilitadoautomaticamente.Comoelefunciona... AtivandooSecureShellSSHpermitiaoUTMouvirasrequisiesdaporta22ouaportaquevocespecificaremSSHPort. Assimcomotodososservios.OservioSSHirouviremcadainterfacedisponvel.Assimcomooutrosservios,regrasdefirewallsousadasparapermitiroubloquearacessoaessesservios.ConsulteoCapitulo3ConfiguraesGeral,paraobtermaisinformaesdecomoconfigurarregrasdefirewall.Hmais... MudandoomtododeautenticaodoSSHparausarchavesRSAumatimamaneiradeprotegeracessoaoseusistema.Vejaabaixoparamaisdetalhes. AlmdissovocpodealteraraportaemqueoservidorescutaoSSH.Fazendoissovocpodeaumentaraseguranaaindamaisdoseusistema,reduzindoonumerodetentativasdeloginnoautorizado,masprecisoselembrardaportaquevocalterouseno,noirpoderseconectarnovamente.
-
Pgina13de212
Vejatambm... OGerandoChavesautorizadasRSA OCriandoregrasdefirewallnoCapitulo3ConfiguraesGeral
GerandoChavesautorizadasRSA AquivamosdescrevercomociarumachaveRSAautorizadaparaqueumusuriopossaseconectaraoUTMsemsersolicitadoumasenha.Sepreparando... UsuriosdeLinuxeMacteroqueterosshkeygeninstaladoemseusistema(quasetodasasdistribuiesjvminstaladoporpadroemseusistema).UsuriosdoWindowsteroquebaixareinstalaraferramentaPuTTYgen.Comofazlo... GerandochavesSSHemcomputadoresLinux/Macdaseguintemaneira:
1. Abrirterminaledigite:ssh-keygen
2. Guardarachavenolocalpadro/home/user/.ssheespecificarumasenha(opcional,masrecomendado).
3. Suachavepublicaestalocalizadaagoraem/home/user/.ssh/id_rsa.pub
-
Pgina14de212
GerandochavesSSHemcomputadoresWindowsusandoPuTTYdaseguinteforma:
4. AbraPuTTYgenegereumpardechavespublica/privadaclicandonobotoGenerate.5. Digiteumasenha(Opcional,masrecomendado)6. CliqueemSavePrivateKeyeescolhaumlocalcomoC:\MyPrivateKey.ppk
7. Selecioneachavepublicaqfoigeradanacaixadetexto,copieecoleemumnovoarquivo,digamos
C:\MyPrivateKey.txt(NouseobotoSavepublickeyqueadicionacomentrioseoutroscamposquesoasvezesincompatveis).
-
Pgina15de212
Comoelefunciona... ChavesRSAsetornaramumpadroparaprotegerasconexesdeCliente/Servidorparaqualquerservio.Umclientegeraumpardearquivosumachaveprivadaeumachavepublica(umasenhaopcionalpodeserusadaparamaiorsegurana),agoraqualqueradministradordoservidorpodeadicionarumachavepublicadeclientesemseusistema,eoclientepodeseautenticarnoservidorsemprecisardigitarumasenha.Hmais... AutenticaodechaveRSAmaisusadacomacessoSSH,emuitasvezessereferemaelacomoChavesSSH,masissonoverdade.ChaveRSAumaformadeseguranaquetambmpodeserusadaemSSH.EmboramuitousadoemSSHelatambmpodeserusadacomoVPN,VoIP,FTP,eassimpordiante.Vejatambm...
OHabilitandooSecureShell(SSH) OGerandoChavesautorizadasRSA
-
Pgina16de212
ConfigurandoSSHcomautenticaodechaveRSA AquivamosdescrevercomoconfiguraroUTMparausarumachaveRSAemvezdesenhaparaautenticaoSSH.Sepreparando... CertifiquesequevocjativouoSSHejgerouumachavepublica.Comofazlo...
1. VatSystem|Advanced|SecureShell2. MarqueDisablepasswordloginforSecureShell(RSAkeyonly).
3. Editarousurioqueirassociarcomachavepublica,vemSystem|User|Manager|Editadmin.
4. ColeemAuthorizedKeysachavepublicadoclienteRSA.Quandoeleforcolado,achavedeveapareceremumanicalinha.Certifiquesedequeseueditordetextonoinsiraquaisquercaracteresquealimentealinhadoespaoouentoaautenticaopodefalhar.
5. CliqueemSave.
Comoelefunciona...QuandoumclienteseconectarporSSH,nosersolicitadoumasenha.Aoinvsdisso,oSSHusaasuacopiadachavepublicaRSAparaenviarumacomparaocomachaveprivadadoclientecorrespondente.
Hmais...ChavesRSAprivadastambmpodemsersalvascriptografadasnamaquinadocliente.OclienteSSHvaipedirumasenhaparadescriptografarachaveprivadaantesdeserusadaparaautenticaocomoservidor.
-
Pgina17de212
Vejatambm... HabilitandooSecureShell(SSH) GerandoChavesautorizadasRSA AcessandooSecureShellemSSH
AcessandooSecureShellSSHAquivamosdescrevercomoacessaroconsoledoUTMusandoclienteLinux,MacouWindows.
Sepreparando...OSSHjdeveestarhabilitadoeconfiguradonoUTM.UsuriosdoLinux,MacterooclienteSSHinstaladoporpadro.OsusuriosWindowsteroqbaixaroPuTTY.
Comofazlo...ConectandoviaSSHusandoclienteLinux/Mac:1. Abraajaneladoterminaleexecute:
ssh [email protected] 2. Sevocestiverusandoaconfiguraopadro,entosersolicitadoumasenha.3. SevocestiverusandochavedeautenticaoRSA,vocvaiserconectadodiretamenteouser
solicitadoadigitarumasenhaassociadacomsuachave.Seprecisarespecificaralocalizaodoseuarquivodechaveprivada,vocpodeusaraopoidessaforma:ssh -i /home/matt/key/id_rsa [email protected]
4. SevoceconfigurouoUTMparausarumaportadiferente,vocpodeespecificarusandoaopop,igualoexemploaseguir:ssh -p 12345 [email protected] ConectandoviaSSHusandoclienteWindowscomoPuTTY:
5. AbraoPuTTYedigiteoHostameouoIPdoservidor6. Especifiqueumaportaalternativasehouveranecessidade,apadro22.7. SevocusarachavedeautenticaoRSA.Procureoarquivodachaveprivadaem
Connection|SSH|Auth|Privatekeyfileforauthentication.
-
Pgina18de212
8. Vocvaiseconectaresersolicitadoumnomedeusurio.9. Vocvaiterqdigitarumasenha,ousevocusarautenticaoporRSAvocvaiserconectado
diretamenteouvaisersolicitadoumasenhaparadescriptografarsuachaveprivada.Comoelefunciona...
OSSHpermiteteracessoaoconsoledeconfiguraodoUTMapartirdequalquercomputadorquetenhaumclienteSSH.Vocpodeatacessaroconsoleapartirdoseutelefone,sevocinstalaroclienteSSHnoseudispositivomvel.
Vejatambm... OHabilitandooSecureShell(SSH) OGerandoChavesautorizadasRSA ConfigurandoSSHcomchavedeautenticaoRSA
-
Pgina19de212
2ServiosEssenciaisNessecapitulo,iremosabordar:
ConfigurandooServidorDHCP CriandoDHCPcommapeamentoesttico ConfigurandooDHCPrelay EspecificandoDNSalternativo ConfigurandooDNSForwarder ConfigurandoservidordeDNS/DHCPdedicado ConfigurandoDNSdinmico
IntroduoDepoisdeinstalaroUTMeexecutarospassosseconfiguraoinicial,temosagoraaestruturabsicadonossosistemafuncionando,atagoratemos:
Determinamosanecessidadedonossosistema ConfiguramosoacessoporSSH ConfiguramosaWAN,LANeoOpcionalDMZ
AgoraestamosprontosparacomearaconfigurarosserviosderedeessenciaisqueonossoUTMvaiproporcionar.
OserviodeDHCPpermitequeasestaespeguemendereosdeipautomaticamente. OserviodeDNSconverteosIPsemnomeslegveisdeendereodeinternet,eviveversa. OserviodeDNSdinmicopermiteoUTMatualizarautomaticamenteoregistroeDNSao
publicoassimqelemudar.
-
Pgina20de212
ConfigurandooservidorDHCP AquiiremosdescrevercomoconfiguraroserviodeDHCPdoUTM.OserviodeDHCPatribuiumendereodeipaqualquerclienteqsolicitarum.Sepreparando... OUTMspodeserconfiguradocomoumservidordeDHCPseainterfaceestivercomendereodeipesttico.NesselivroiremosabordarainterfaceLANeDMZ,enoaWAN.OExemploabaixoabordaconfiguraroservidorDHCPparaainterfaceDMZ.Comofazlo...
1. VaServices|DHCPServer.2. SelecioneaabaDMZ.3. MarqueEnableDHCPServeronDMZinterface.
4. SelecioneemRangeosipsqueosclientespoderousar.OsipsdeveroestardentrodafaixadeipcontidaemAvailablerange.
5. CliqueemSaveparasalvarehabilitaroserviodeDHCP.6. CliqueemApplyChangesnecessrioparaqueasalteraesentreemvigor.
Comoelefunciona...OservidorDHCPaceitaassolicitaesderequerimentodeIP,eatribuiumipdisponvelsemquehajaalgumproblemadeduplicidadedeIP.
Hmais...UmservidorDHCPmandaumipdisponvelparaumclientequeestejasolicitando,provvelquequandooclientefaanovamenteasolicitaooipqueoservidormandavaimudaracadapedido.ParagarantirqueoclientesemprerecebaomesmoendereodeIPpodemoscriarummapeamentoestticodoDHCP.Vejanoprximoexemplo.
-
Pgina21de212
Negarclientesdesconhecidos Habilitandoessaopogarantequeapenasosclientescommapeamentocadastradoiroreceberendereosdeip.SolicitaesdeDHCPvindodeclientesnocadastradosseroignoradas.diferentedoquemarcaraopoEnablestaticARPentriesondeosclientesdesconhecidosiroreceberendereosdeip,masnovosercapazesdesecomunicarcomofirewalldenenhumaforma.
ServidordeDNS VocpodeespecificarmanualmentequalDNSosclientesiroseratribudos.SedeixarembrancooUTMiratribuiroDNSemumadasduasformas:
SeoDNSforwarderestiverhabilitado,oDNSvaiseroIPdainterfacelocaldoUTM,issoporqueoDNSForwardertornaaprpriamaquinaUTMemumservidorDNS.
SeoDNSforwarderestiverdesabilitado,entodeveroserconfiguradosemGeneralSetuposendereosdeDNS.Eclaro,seAllowDNSserverlisttobeoverriddenbyDHCP/PPPonWANestiverhabilitadoemGeneralSetuposservidoresDNSseroobtidosatravsdaportaWAN.
GatewayOgatewaydasmaquinasclientesporpadroseroipdainterfacelocalusadacomoservidordeDHCP,maspodesermudadacolocandoumvalor,senecessrio.
DomainName OnomededomnioconfiguradoemGeneralSetupvaiserusadocomopadromaspodeserusadoumnomededomniodiferenteespecificadosehouveranecessidade.
DefaultLeaseTime umvalorquepodeserusadoparaespecificarumtempomnimoqueexpireoacessoporDHCP.Otempopadro7200segundos
MaximumLeaseTimeumvalorquepodeserusadoparaespecificarumtempomximoqueexpireoacessoporDHCP.Otempopadro86400segundos.
FailoverPeerIP SistemaquepodeconfigurarumendereodeipquesirvacomoFailOverdebalanceamentodecarga.VejaaconfiguraodebalanceamentodecargaeFailOvernocapitulo6.
-
Pgina22de212
StaticARP HabilitandooStaticArpvaipermitirquesomenteosipscadastradosnomapeamentoestticodeDHCPirosecomunicarcomofirewall.Clientesnocadastradosatpoderopegaripmasnosecomunicarocomofirewall. IssodiferentedeDenyunknownclientesondeosipsquenoestocadastradosnemsequerchegamapegarip.
DynamicDNS PermitequeosclientessejamregistradosautomaticamentecomodomniodeDNSdinmicoespecificado.
AdditionalBOOTP/DHCPOptions Digiteumvalorasuaescolhaobedecendoasregraslistadasnessesite:http://www.iana.org/assignments/bootpdhcpparameters/bootpdhcpparameters.xmlVejatambm...
CriandomapeamentoestticoporDHCP ConfiguraodebalanceamentodecargaeFailOvernocapitulo6.
CriandoDHCPcommapeamentoesttico AquivamosdescrevercomoativareconfiguraromapeamentoestticodoDHCPnoUTM.OmapeamentoestticogarantequeoclientesemprepegueomesmoIP.Sepreparando... ODHCPcommapeamentoestticosseaplicaparaasinterfacesqueutilizamoserviodeDHCP.Comofazlo...
1. VatStatus|DHCPleasesentovocveralistadeclientesquefizeramarequisiodeipproDHCP.
2. Entocliquenobotocomosmbolo+paraadicionaroipnomapeamentoesttico.
-
Pgina23de212
3. OendereoMACsercadastrado.4. DigiteemIPaddressoipquevocdesejaatribuirparaaquelecliente,esseiptemqueestarfora
dosipscadastradosemRange,queessevaiseratribudoparaoutrosclientesquefizeremarequisiodeip.
5. DeixeoHostnamejpreconfigurado,ouentodigiteumasuaescolha.6. EmDescriptiondigiteumadescrioquevocpossaidentificarocomputadordocliente.
7. CliqueemSave.8. CliqueemApplyChanges,vatapginaDHCPServernofinaldapaginavocvaivero
mapeamentoquefoicriado.
Comoelefunciona...
QuandoumclientefazumarequisiodeipautomticonoservidorDHCPdoUTM,seoendereoMACestivercadastradonomapeamentoentooclientepegaoipcadastradoreferenteaoMAC.SeoMACnoestivercadastradoentoatribudoumipaoclientedentrodagamadeipcadastradoemRange.
Hmais...OsipscadastradosnomapeamentoestticopodemservistosnapaginaDHCPServernaparte
inferiordapgina,vocvaiatServices|DHCPServer|Interfaceselecionandoaabacorrespondentedainterface.
Todososipsestticoscadastradosvocvernessatela,vocpodemodificar,remover,atcriarumnovoipestticoparaocliente,massevoccriarporaquioendereoMACvaiprecisarseratribudomanualmente.
-
Pgina24de212
Vejatambm...
OConfigurandoservidorDHCP OConfigurandoservidorDHCPrelay
ConfigurandooDHCPrelay AquivamosconfiguraroDHCPpararetransmitirpedidosDHCPdeoutrodomnio.EspecificandooDHCPrelaymaisumaalternativaparaconfiguraroDHCPnoUTM.Sepreparando... ODHCPrelayspodeserativadoseoserviodeDHCPdetodasasinterfacesestiverdesativado,vocpodedesativaroserviodaseguinteforma:
1. VatServices|DHCPServer|Interfaceselecionaaaba(aLANporexemplo).2. DesmarqueaopoEnableDHCPServeronLANInterface.3. CliqueemSave.4. EcliqueemApplyChanges.
Comofazlo...
1. VatServices|DHCPrelay.2. MarqueaopoEnableDHCPrelayonInterface.3. SelecionequalinterfacevaiusaroDHCPrelay,sequiserselecionarmaisdeumainterfaceclique
nasduascomobotoctrlpressionado.4. EmDestinationServerdigiteoendereodeipdoservidorDHCPquevocdesejausarcomo
destino.Vriosippodemserusadosdesdequesejamseparadosporvirgula.5. CliqueemSave.6. CliqueemApplyChanges.
-
Pgina25de212
Comoelefunciona...
OUTMpodeserconfiguradopararetransmitirumpedidodeDHCPfeitoaoutroservidorDHCPexistente,qualquerpedidodeDHCPserenviadoaoservidorcomoipconfiguradoemDHCPrelayedevolvidaarespostaaoclientequerequisitou.AppendCircuitIDandAgentIDtoRequests MarcandoessaopooUTMpodetambmacrescentarnasrequisiesdeipsuaidentificaojuntoaopedidodeipsehouveranecessidade.UsandooDHCPrelaypelainterfaceWAN UsandooDHCPrelaypelainterfaceWANnofoiimplementadoataverso2.0doUTMquandofoifeitoolivro.
Vejatambm... OConfigurandoservidorDHCP OConfigurandoservidorDHCPrelay
EspecificandoDNSalternativo AquivamosdescrevercomousaroDNSalternativo,quesejadiferentedoconfiguradoporpadropeloUTM.Sepreparando... QuandosetrataderesoluodenomesDNS,namaioriadosambientesfornecidapeloseuprovedordeinternetISPatravsdaWAN.PorpadronoprecisodefinirnenhumDNS,porqueatribudopeloprprioUTMseaopoAllowDNSserverlisttobeoverriddenbyDHCP/PPPonWANestivermarcada.MasseporalgummotivovocquiseratribuiroutroDNSalternativoterqueseguirosseguintepassos.Comofazlo...
1. VemSystem|GeneralSetup
-
Pgina26de212
2. ODNSServersterqueconterasseguinteconfiguraes: EspecificaroIPegatewayparacadalinhadoDNSServers. DesmarqueAllowDNSserverlisttobeoverriddenbyDHCP/PPPonWAN.
3. CliqueemSave.4. CliqueemApplyChanges.
Comoelefunciona... OsservidoresDNSespecificadosmanualmentesempreteroprioridadeamenosseforsubstitudopelasseguintesopes. OsservidoresDNSqueforamcolocadosnoexemplososervidorespblicosquepodemserusadosparadiagnosticarproblemasdeDNS.
UsandooDNSForwarder SeoDNSForwarderestiverhabilitadopodemossubstituirosservidoresDNSpordomniosindividuaisouatmesmodispositivosindividuais.ParasabermaisinformaesconsulteoConfigurandooDNSForwarder.ODNSForwardertempreferenciasobretodosospedidosdeDNS.
UsandooDNSdasuaWAN QuandoAllowDNSserverlisttobeoverriddenbyDHCP/PPPonWANestivermarcado.OUTMusaroDNSdaWANsefalharentopassarausarosDNSslistadoscadastrados.DepoisdoDNSForwarderelequetemprefernciasobreospedidosdeDNS.Vejatambm...
OConfigurandoDNSForwarder.
-
Pgina27de212
ConfigurandooDNSForwarder AquivamosdescrevercomoconfiguraroDNSForwardernoUTM.ODNSForwarderdoUTMpermiteagircomoumservidordeDNScomumasriedevantagens.Sepreparando... ODNSForwarderpermiteoUTMresolverospedidosdoDNSusandoohostnameobtidopeloserviodeDHCP,oumanualmentesevocinseriuasinformaesmanualmente.ODNSForwardertambempodeencaminhartodasassolicitaesdeDNSparaumdeterminadodomnioespecificadomanualmente.Comofazlo...
1. VemServices|DNSForwarder|EnableDNSForwarder2. SeRegisterDHCPleasesinDNSForwarderestivermarcado,todososdispositivosemStatus|
DHCPLeasesusarafunodoDNSForwarder.3. SeRegisterDHCPstaticmappingsinDNSForwarderestivermarcado,todososdispositivos
conectadosemapeadosemqualquerabadeinterfaceemServices|DHCPServerusaroservidorconfigurado.
4. EspecificandoindividualmenteemHostsestarusandoosregistrosdoDNS.Clicandonoboto+
vocadicionaumregistro,dispositivoscadastradosnessalistaterseupedidoimediatamentedevolvidotendopreferencia.
5. VocpodeespecificarumDNSemparticularemDomain,clicandonoboto+paraadicionarumregistro.Essesregistrossoverificadosimediatamentelogodepoisdosregistrosindividuaisacima,porissoaquipodeterpreferenciaemregistrosexistentesemoutroslugares.
-
Pgina28de212
6. CliqueemSave.7. CliqueemApplyChanges.
Comoelefunciona...SeoDNSForwarderestivermarcado,elevaiterprioridadesobretodosospedidosdeDNS,arespostavainaseguinteorigem:1. Registrodedispositivosindividuais(Services|DNSForwarder).2. Registrodedomniosespecficos(Services|DNSForwarder).3. MapeamentodeDHCPesttico(Services|DHCPServer|Interface)selecioneaaba.4. DHCPLeases(Status|DHCPLeases).
Vejatambm... OConfigurandooservidorDHCP OCriandooDHCPcommapeamentoesttico OConfigurandooservidorDHCP/DNSdedicado
ConfigurandooservidorDHCP/DNSdedicado AquivamosdescrevercomoconfiguraroUTMcomDNSeDHCPdedicadoComofazlo...
1. ConfigureoUTMcomoservidorDHCP.VejaConfigurandooservidorDHCP.2. Crieummapeamentoestticoparacadadispositivoquevseconectarcomipautomticoemseu
sistema.3. VemSystem|GeneralSetup
-
Pgina29de212
4. SecertifiquequenenhumoutroDNSestaconfiguradonalista.5. MarqueaopoAllowDNSserverlisttobeoverriddenbyDHCP/PPPonWAN,nessemodoo
UTMvairesolverosnomesdeDNSvindodiretodainterfaceWAN.6. CliqueemSave.7. CliqueemApplyChangessenecessrio.
8. VatSystem|DNSForwarder9. MarqueEnableDNSForwarder.10. MarqueRegisterDHCPstaticmappingsinDNSForwarder.
11. CriarumregistroemHostparaqualquerdispositivoquepreciseserresolvido,masnopodeestar
nomapeamentoDHCP(eledeveserconfiguradoipmanualmente)
-
Pgina30de212
12. CriarumregistroemDomainparatodosospedidodeDNSquevocgostariaquefossedirecionadoparaumdeterminadodomnio.
13. CliqueemSave14. CliqueemApplyChanges.
Comoelefunciona...SeoDNSForwarderestiverhabilitado,todasassolicitaesdeDNSdecadainterfaceser
solicitadopeloUTM.RegistrosindividuaiscadastradosemHostvoserverificados,seeleforcorrespondidoentoeleimediatamentedevolvido.
SehabilitaroRegisterDHCPStaticMappingsvocnoterquesepreocuparcomcriaoderegistrosDNSparaosdispositivos.EsseomeumtodopreferidodeusaroUTMcomoumservidordeDNS.Contandoqueterquemapeartodososendereosdeipparacadadispositivodaredequeohostnameresolverautomaticamente. UsandoessemtodonosvamosterqueadicionaroshostnameseipsdecomputadoresquenousaremDHCPquedevemserpoucosnarede.
RegistrandoemDHCPLeasesoDNSForwarder SeRegisterDHCPLeasesinDNSForwarderestivermarcado,oUTMvairegistrarquaisquerdispositivosquetiverumhostnameefizerumpedidodeDNS.AdesvantagemclaroquenemtodososdispositivosvoseconectarsenoestivercadastradonomapeamentoestticodoDHCP,euprefiroregistrartodos.Vejatambm...
OConfigurandooservidorDHCP OCriandooDHCPcommapeamentoesttico OConfigurandoDNSForwarder
-
Pgina31de212
ConfigurandoDNSDinmico AquivamosdescrevercomoconfiguraroserviodeDNSdinmiconoUTM.Sepreparando... NoUTMjvemintegradooserviodeDNSdinmicopermitindoatualizarautomaticamentetodavezquemudaoendereodeipdainterface.Comofazlo...
1. VemServices|DynamicDNS2. CliquenaabaDynDNS3. Cliquenoboto+paraadicionarumnovoregistro4. EscolhaoServiceType(Ouseja,oprestadordeserviodeDNSdinmico)5. EspecifiqueemInterfacetoMonitorainterfaceligadanainternetpelaqualdesejaconfigurar
(geralmenteusadaainterfaceWAN)6. DigiteemHostnameonomequevoccriounoprovedordoDNSdinmico,noexemplooDynDNS7. MarqueoWildcard,seforocaso8. DigiteemusernameepasswordascredenciaisquevocconfigurounoprovedordeDNSdinmico,
noexemplooDynDNS.9. DigiteemDescriptionumadescrioqualquerquevocpossareconhecerposteriormente.10. CliqueemSave.11. CliqueemApplyChanges.
-
Pgina32de212
Comoelefunciona... Semprequeoendereodeipmudadainterface,oUTMautomaticamenteseconectacomoprovedordeDNSdinmicousandoascredenciaiscadastradaseatualizatodososdados.
ServiosdeprovedoresdeDNSdinmicocadastradosOUTMjvemcomosprovedoresdeDNSdinmicomaisusadosjcadastrados:
DNS0Matic DynDNS DHS DyNS easyDNS Noip ODS ZoneEdit Loopia freeDN DNSexit OpenDNS NameCheap
EspecificandoumservioalternativousandooRFC2136 MassevocquiserusarumprovedorDNSdinmicoquenoestejacadastrado,vocpodeusareledesdequeobedeaaopadroRFC2136.VemServices|DynamicDNS|naabaRFC2136,emseguidapreenchanoscamposapropriadososdadosfornecidopeloseuprovedordeDNSdinmico.
-
Pgina33de212
3ConfiguraoGeral Nessecapitulo,iremosabordar:
CriaodeAlias CriaoderegrasemNatportforward Criaoderegrasnofirewall Criandoagendamento Acessoremotoaodesktop,usandoexemplocompleto
Introduo Aprincipalfuncionalidadedequalquerfirewallacriaodeportas,regrasdesegurananofirewall,enoUTMnodiferente.Estascaractersticas,eoutras,podemserencontradasnomenuFirewallnapaginaprincipaldaWebGUI. Nestecapitulovamosexplicarcomoconfiguraressasregraseexplicarcadacaractersticasassociadasacadauma,depoisdeterfeitodetudoumpoucovocvaiveroquantofcilaconfiguraodofirewalldoUTM.
CriandoAlias Aquivamosexplicarcomousar,criar,editareexcluirAlias.OAliasforneceumgraudeseparaoentreasregrasevaloresquepodemmudarnofuturo(porexemplo,endereosdeIP,portas,eassimpordiante).semprebomusarAlias.Comofazlo...
1. VemFirewall|Aliases2. Cliquenoboto+paraadicionarumnovoAlias.3. EmNamedigiteonomedoAlias4. EmDescriptiondigiteumadescrioprviadoquevocvaiquerernesseAlias5. SelecioneumtipodeAliasemType.Suaconfiguraoaseguirvaisebasearnoquevoc
selecionar.
-
Pgina34de212
VejaquehmaistiposdeAlias,nasseesseguintesvamosverdetalhessobrecadaumadelas(Host,Rede,UsuriosOpenVPN,URLetabelasURL)
6. CliqueemSave.7. CliqueemApplyChanges.
Comoelefunciona... UmAliasumlugardesuporteparaobterinformaesquepodemmudar.UmAliasdehostumbomexemplo,podemoscriarumAliasdehostchamadoComputador1,eguardarumendereodeip192.168.1.200. PodemosentocriarvariasregrasdefirewalleNateusaronomeComputador1emvezdeespecificamenteoendereodeIPdoComputador1.SeoendereodeipdoComputador1mudar,smudarnoAliasoipreferenteaoComputador1aoinvsdemudarinmerasregrascriadasparaaqueleip. OsAliaspermitemeflexibilidadeetornasimplesalgumasmudanasfutura.semprebomusarAliasessemprequepossvel.Hmais... AdicionandoAliasdentrodeAlias,tambmumatimamaneiradegerenciaresimplificarregras.ParamostraropoderdoAlias,digamosqueanossaorganizaotemumtelefoneVoIPnico,quedevesecomunicarcomonossoservidorVoIP.UmexemplodessaregrasemAliasaseguinte:
-
Pgina35de212
Umexemplomelhor,usandoAlias,aseguinte:
UmexemploaindamelhorusandosubAlias,seguinte:
ComosubAliasnospermitemodificarfacilmentemaistelefones,bastamodificarumAlias.
HostAlias SelecionandoHost(s)comotipodeAliaspermitequevoccrieumAliascontendoumoumaisendereosdeIP:
-
Pgina36de212
NetworkAlias SelecionandoNetwork(s)comotipodeAlias,permitequevoccrieAliasumoumaistiposderedes(ouseja,intervalosdeendereoderede).
PortAlias SelecionePort(s)comotipodeAlias,permitequevoccriealiascomumoumaisportas:
URLAlias* SelecionandoURLcomotipodeAlias,permitequevoccrieumoumaisaliascontendoURLs:
*Disponivelapenasnaverso2.0.3
-
Pgina37de212
URLTableAlias* SelecionandoURLTablecomotipodeAlias,permitequevoccrieumaURLnicaapontandoparaumagrandelistadeendereos.Issomuitoimportantequandovocprecisaimportarumagrandelistadeendereosdeipse/ousubredes.*Disponivelapenasnaverso2.0.3
UsandooAlias OAliaspodeserusadoemqualquerlugarquevocvejaumacaixadetextodacorvermelha.BastacomearadigitarqueoUTMvaiexibirqualquerAliasdisponvelcorrespondentecomotextoquevoccomeouadigitar.
EditandooAlias ParamodificarumAliasexistente,sigaessespassos:
1. VatFirewall|Aliases2. CliquenobotodeedioparaeditaroAlias3. Faaasmudanasnecessrias4. CliqueemSave5. CliqueemApplyChanges.
DeletandoumAlias:PararemoverumAliasexistente,sigaessespassos:1. VatFirewall|Aliases.2. CliquenobotodedeleteparadeletaroAlias3. CliqueemSave4. CliqueemApplyChanges
ImportandodadosemlotesnoAlias ParaimportarumalistadevriosendereosIP,sigaestespassos:
1. VatFirewall|Aliases2. CliquenobotodeimportaodeAliasparaimportaremlotes.3. DigiteumnomeparaaimportaoemAliasName
-
Pgina38de212
4. DigiteumnomeparadescriodoAliasemDescription.5. ColealistadeendereosquevocquerimportarumporlinhanoAlias
6. CliqueemSalvar.7. CliqueemApplyChanges
Vejatambm... OCriandoNatcomregradePortForward OCriandoregrasdeFirewall.
CriandoNatcomregrasdePortForward Aquivamosdescrevercomocriar,editareexcluirregrasdePortForward.Sepreparando... AcomplexidadedasregrasdePortForwardpodevariarmuito.TodososaspectosdeumaregradePortForwardsoaprofundadosmaisadiante.OseguintecenrioumexemplotpicodePortForwardparaencaminharqualquersolicitaorecebidapelaweb(HTTP)paraumcomputadorjconfiguradocomoservidorwebComofazlo...
1. VatFirewall|NAT2. SelecionaaabaPortForward.3. Cliqueem+paraadicionarumaregradePortForward.4. EmDestinationportrange,escolhaHTTPemfrometonacaixademenu
-
Pgina39de212
5. EmRedirecttargetIPespecifiqueoservidorwebdetrfegoparaqualvaiserencaminhado,podeserporAliasouIP.
6. EmRedirecttargetPortescolhaHTTP.7. DigiteumadescrioemDescription,noexemplousamosForwardHTTPtowebserver18. CliqueemSave.9. CliqueemApplyChanges.
Porpadroumaregradefirewallcriadaparapermitirqueotrfegopasse,masmuitoimportantelembrarqueasregrasdeNATeFirewallsodistintoseseparados.AsregrasdeNATservemparaencaminharotrfego,enquantoasregrasdefirewallsoparapermitiroubloquearotrfego.muitoimportantelembrarquesporqueumaregraNATestaencaminhandoumtrfego,noquerdizerqueoFirewallnopossabloquearela.Comoelefunciona... TodootrfegopassaatravsdalistaderegrasdeNAT,comosseguintescritrios:
Interface Protocolo Origemeintervalosdeportasdeorigem DestinoeintervalosdeportasdedestinoSetodootrfegocorrespondeatodososcritriosdestaregra,queotrfegoserredirecionadoparaoRedirecttargetIPeRedirecttargetportespecficos. AssimcomotodasasregrasdoUTM,regrasdeNATsolidasdecimaparabaixo,aprimeiraregraexecutadaimediatamenteeorestanteignorado.
-
Pgina40de212
Nossosexemplospodemserlidosassim: Otrfegode:
AInternet(Interface:WAN) Apartirdequalquercliente(Source)emqualquerporta(SourcePortRange)Indopara: NossoendereodeIPPublico(DestinationWANaddress) Comumpedidodewebsite(Protocol:TCP,DestinationPortRange:HTTP)Serredirecionadopara: Umcomputadoremparticular(RedirectTargetIP:Webserver1) Comomesmopedido(Protocol:TCP,RedirectTargetPort:HTTP)
Hmais... AsregrasdeNATpodemserconfiguradasusandoumavariedadedeopes:
Disabled:AtivaoudesativaaregradeNATmarcandoessaopo. NoRDR(NOT):Ativandoessaopoirdesativaroredirecionamentodetrfego. Interface:EspecificaainterfacequearegradeNATvaiserusada(amaisusadaaWAN) Protocol:EspecificaotipodeprotocoloquevaiserusadonaregradeNAT.AmaisusadaTCP,UDP
ouTCP/UDP,masexistemtambmGREeESP. Source:Normalmenteaorigemdeixadacomopadroany,masvocpodeespecificarumaoutra
fonte,senecessrio. SourcePortRange:Geralmenteusadaporpadroany,masvocpodeespecificaroutraportase
houveranecessidade. Destination:NamaioriadasvezesdeixadoovalorpadroqueaWAN(oendereopublico),mas
podeserusadaoutraalternativasehouveranecessidade. DestinationPortRange:Essaaportadetrfegosolicitante.Sensestamosencaminhandootrfego
daweb,poderamosselecionarHTTP,tocomumquejvemnomenudropdown,masaescolha(other),eespecificandoaporta80funcionariadamesmaforma.Poderamostambmpersonalizarumaporta(vamosusarcomoexemploumencaminhamentodetrfegodotorrentenaporta46635)lembresequevocpodeusarumAlias!
RedirectTargetIP:Aquioendereodocomputadorinternoquevaisertransmitidootrfegoparaele.LembresequevocpodeusarumAlias!
RedirectTargetPort:Aquiaportadoipdocomputadorespecificadoemcima.LembresequevocpodeusarumAlias!
Description:Adescriofeitaaquivaiserautomaticamentecopiadaparaasregrasfirewall(precedidaspelapalavraNAT)
-
Pgina41de212
NoXMLRPCSync:MarqueessaopoparaimpedirqueestaregrasejaaplicadaaqualquerfirewallusandooCARP.ConsulteoFirewallCARPConfigurandoSeodefailovernoCaptulo6,redundncia,balanceamentodecargaeFailoverparamaisdainformao.
NATReflection:usadoporpadronosistemaquasetodasasvezes,masNATReflectionpodeserativadooudesativadoporpadrosefornecessrio.
FilterRuleAssociation:SercriadoaregradefirewallassociadaaregradoNAT.PortRedirection Averdadeiraregradeencaminhamentodeportaquevaipassarotrfegoparamaquinadaredeinternausadatambmpelaportaconfigurada(ouseja,DestinationPortRangeeRedirecttargetportsecorrespondem).Noentantonoanadaqueimpeavocredirecionarparaumaportadiferente,sequiser.Hduasrazesparavocquererfazerisso:
SeguranaporObscuridade:TodomundosabequeaportapadroHTTP80,masvamossuporquevoctemumwebsitesecretoquevocnoquerquesejaacessadafacilmente.Vocpodedefinirumintervalodeportasdedestinoparaalgumaportaobscura(porexemplo:54321)entodaiemdianteusaraportapadroHTTP80.Eosusuriosquequeiramacessarositeteroquedigitaroendereoassimhttp://www.exemplo.com:54321
UmnicoendereodeIPpblico:Emambientesmenorescomapenasumendereopublico,vocnovaipoderacessarduasmaquinasdistintasremotamenteporquevocstemumendereodeippublico.EntovocpodecriarduasregrasdiferentesnoNAT.Oprimeiroiraredirecionaraporta50001paraoComputador1usandoaporta3389,eosegundovairedirecionaraporta50002paraoComputador2usandoamesmaporta3389.FazendoissovocpodeacessaroComputador1:50001eoComputador2:50002,eassimpordiante.Usandoomesmoippublico.
Vejatambm... OCriandoAlias OCriandoregrasdefirewall OConfigurandoCARPfirewallfailoverrecipeinChapter6,Redundancy,Balanceamentode
Carga,eFailover
CriandoregrasdeFirewall AquivamosdescrevercomocriarumaregradefirewallSepreparando... Comoexemplo,vamoscriarumaregradefirewallparapermitirotrfegowebencaminhadopelaNAT(aregraquecriamosanteriormente).Sevocacompanhou,oNATquecriamos,automaticamentefoicriadoumaregraemFirewall,maspoderamosmarcarNoneemFilterRuleAssociationqueessaregranoiriasercopiadaparaoFirewall.
-
Pgina42de212
Comofazlo...1. VatFirewall|Rules.2. SelecioneaabaWAN3. Cliquenoboto+paraadicionarumanovaregradefirewall4. EspecifiqueaWANInterface5. EspecifiqueoProtocolTCP6. EspecifiqueanyemSource7. EspecifiqueanyemSourcePortRange8. EspecifiqueWebserver1emDestination9. EspecifiqueHTTPemDestinationPortRange10. DigiteqdescriodaregraemDescription11. CliqueemSave12. CliqueemApplyChanges
-
Pgina43de212
Comoelefunciona...TodootrfegopassapelalistaderegrasdeFirewall.Sequalquerpacotedetrfegocorrespondea
qualquercritriodequalquerregra,aregraseriaexecutada(eopacoteseriapermitidoounegado).Essaregrapodeserlidacomo:"Qualquerportadequalquerclientenainternettempermissopara
acessaranossawebpelaportadoservidorque80".
Hmais...Regrasdefirewallsoaltamenteconfigurveis.Detalhesdecadaopoderegradefirewallsoasseguintes:
Action:otipodeaoquearegravaitero Pass:Seoscritriosforemcorrespondidos,apassagemdopacotepermitida.o Block:Setodososcritriosforemcorrespondidos,apassagemdopacotebloqueada
(algunssereferemaelacomoDropSilencioso).o Reject:Setodosospacotesforemcorrespondidos,apassagemdopacotedevolvidaao
remetente. Disabled:Desativaaregrasemterqueapagala. Interface:Seespecificadequalinterfaceotrfegovaiseroriginado,queestarsujeitoaessa
regra,geralmenteusadaaWAN. Protocol:Correspondeotipodeprotocolo,variandodeacordocomotipoderegraquedefineo
trfego. Source:geralmentemarcadoanyquandoserefereatrfegodeentrada. SourcePortRange:geralmentemarcadoanyquandoserefereatrfegodeentrada. Destination:AquiusadooAliasouoendereodeIPdocomputadorqueotrfegoesta
apontando. DestinationPortRange:geralmenteaportadocomputadorqueatendeestetrfego. Log:Habilitarologderegistrodopacotequecorrespondearegra. Description:Digiteumadescrioquevocpossaidentificarfuturamente.
Raramentesabemosaportadeorigem! Aoespecificarasregras,muitoimportantelembrarqueSourcePortRangequasesempredefinidacomoany.MuitasvezesaspessoascometemerrodeespecificarumSourcePortRange.Lembresequandovocsolicitaumsite,vocestasolicitandoaporta80nocomputadordoservidorweb,eseucomputadorquevaidecidirqueportasuavaiserabertaparareceberasolicitao.Estasuaportadeorigem,umaportasempreemmudana,quevocprovavelmentenovaisaberqualser.Assim99porcentodotempo,nosaberemosoSourcePortRange.
AordemdasregrasdoFirewall AsregrasdoUTMsosempreavaliadasdecimaparabaixo.Muitosadministradoresincluiumaregramuitoespecificanapartesuperiordasoutrasregraseasmaisgenricasnaparteinferior.Parareordenaruma
-
Pgina44de212
regra,cliquenaregraeentocliquenobotoquepareceumamonalinhadaregraquevocquercolocaracimadela.
Duplicandoregrasdefirewall Muitasvezes,agentepodequerercriarumanovaregramuitoparecidacomaregraexistente.Parapoupartemponspodemosduplicararegraefazerasalteraesespecificasclicandonoboto+.
RecursosAvanados EsserecursonovoparaoUTM2.0,nasregrasdefirewalltemumaseochamadaAdvancedFeatures,cadaumdosseguintesrecursospodemserespecificadoscomocritriosparaumaregra.Seumrecursoavanadoespecificado,aregrasserexecutadaseforencontradaumacorrespondncia.CliquenobotoAvanadoparaexibirasseguintesdefiniesdeconfiguraoparacadafuno:
SourceOS:Estaopoiratentarcompararafontedotrfegocomosistemaoperacionaldodispositivo:
DiffservCodePoint: um mecanismo para fornecer Qualidade de Servio (QoS) de trfego de rede. Podendo priorizar trfego com base nos valores especificados:
AdvancedOption:PermiteaopodeespecificaoavanadadoIP:
-
Pgina45de212
TCPFlags:Estessobitsdecontrolequeindicamdiversosestadosdeconexoouinformaessobre
comoumpacotedevesertratado.
StateType:Especificaummecanismoderastreamentoespecialsobreoestado
-
Pgina46de212
NoXMLRPCSync:ImpedequearegrasincronizecomoutrosmembrosdoCARP:
Schedule:Especificaumagendamentodoperodoqueessaregravaiservalida.Terquecadastraros
horriosemFirewall|Schedule.Entoapareceraqui:
Gateway:Sequiserdefiniroutrogatewaydiferentedoconfiguradocomopadro,entodefinaaqui:
In/Out:Especificarfilasalternativasdevelocidadeeinterfacesvirtuais:
Ackqueue/Queue:Especificarasalternativasdereconhecimentodefilasdevelocidades:
Layer7:EspecificaumaalternativadeLayer7:
Vejatambm...
CriaoderegrasemNatportforward Criandoagendamento CriandoAlias
-
Pgina47de212
CriandoagendamentosAgoravamosdescrevercomocriarumaagenda
Sepreparando...Aagendanospermiteconfigurarquandoasregrasentramemvigoresaem.Elassousadasgeralmentecomregrasdefirewall,masnaconcepoemgeralvaiserpermitidousarparamuitomaisfunesnofuturoemversesposterioresdoUTM.Seumaregradofirewallespecificaumhorrio,aregraentosativadaduranteesseperododetempo.Noexemploaseguir,vamosdefinirumcronogramaparaonossohorriode9horasdamanhah5horasdatarde,horriocomercial. Aocriarhorrios,essencialterofusohorrioconfiguradocorretamente,eotempodesincronizaoconfiguradodevidamenteemumservidorconfivel.
Comofazlo...1. VatFirewall|Schedules2. Cliquenoboto+paracriarumanovaagenda3. EmScheduleNamedigiteumnomedereferencia,oexemplousamosWorkHours.4. DigiteemDescriptionadescrioparaquevocpossareconhecerquetipodehorriovocesta
configurando,noexemplousamosRegularworkweekhours.5. NaseoMonthselecioneoms,cliqueemMon,Tue,Wed,ThueFriselecionandotodososdias
dasemanadetrabalho.6. Especificar9horasdamanhemStartTimee17horasemStopTime.7. DigiteemTimeRangeDescriptionadescriodohorrio,noexemplousouMondayFriday9am
5pm.8. CliqueemAddTime.
-
Pgina48de212
9. NotequeotempoderepetioadicionadoemConfiguredRanges.
10. CliqueemSave.11. CliqueemApplyChanges.
Comoelefunciona...Umagendamentoassociadoaumaregrasservalidaduranteotempoespecificado.Parasaberassociarumaregradefirewallcomoagendamentoqueacabamosdecriar:1. Editeumaregra,ouadicioneuma.2. CliqueemScheduleAdvanced,entovnaopoScheduleeselecioneoagendamentoque
vocdesejausar,noexemplonsscriamosum.3. EscolhaoagendamentoquecriamosWorkHoursnaopoSchedule.
-
Pgina49de212
4. CliqueemSave5. CliqueemApplyChanges.
Hmais...NoUTMvriosconesaparecemparaauxiliarnasinformaes,noagendamentotambm,osconesnoagendamentoaparecemparainformarseoagendamentoestativououno.
Firewall|Schedules:agendamentosativadosaparecemcomumrelgio:
Firewall|Rules:Regrascomagendamentoativoaparecemumasetaverdenacoluna
Schedule,edizqualonomedoagendamento.Regrascomagendamentosdesativados,nacolunaScheduleapareumxvermelhocomonomedoagendamento:
SeleodediaoudiasdasemanaAseleoMonthfuncionadeduasformas:
Selecionandodiasespecficos:Selecioneomscorretoecliquenosdiasespecficos(oanoirrelevante,qualquerdiaespecificadoserrepetidoemcadaano).
-
Pgina50de212
Selecionandodiasdasemana:Cliquenodiadasemana,selecionandotodososdiasdoms
referenteaquelediadasemana(omsirrelevante,odiadasemanavaisemprerepetirtodososmeses).
Vejatambm...
CriandoAlias CriaoderegrasemNatportforward Criandoregrasdefirewall
AcessoremotoaoDesktopcomexemplocompleto VamosdescreveraquicomoliberaroacessoatravsderegrasdefirewalldoUTM,oacessoremotoaocomputadordaredeinternausandooacessoremotodaprpriaMicrosoftquevemnoWindowso(RDP).
-
Pgina51de212
Sepreparando... Vamosdemonstracomocriarumaregradefirewallparaliberaroacessodoinicioaofim.Oexemploaseguirvaimostrarcomoacessarumamaquinadaredeinterna,comopedidovindodainternet.Parafazerissorequerasconfiguraesquevamospostaragora,valeressaltarqueasconfiguraesfeitasagoranosvamosterquesaberalgunspontosqueforamtocadasnolivro:
DHCPServer DHCPcommapeamentoestatico DNSForwarder Aliases NATportforwarding RegrasdeFirewall Agendamentos
Comofazlo...1. Vamoscadastrarocomputadornanossarede:2. VatStatus|DHCPLeaseselocalizeocomputadorqueacaboudeentranarede.Cliqueno
boto+paraatribuirummapeamentoestticoparaele.
3. VamosatribuirumendereodeIPaele,emIPaddressdigite192.168.1.200,eemHostname,
digiteonomequevaiquereridentificarele,podeserLaptop1,edigiteemDescription,umadescriodoLaptopparavocsaberqualquerolaptopquevocadicionou.
4. VamosagorafazercomquenossoDNSForwardersejaconfiguradoparatransmitir
automaticamenteaosclientescommapeamentoesttico,vaServices|DNSForwarder,paraquepossamoslocalizarcomfacilidadeocomputadorpelonome:
-
Pgina52de212
5. VamosagoracriarumAliasparaserusadocomoreferenciaaoseuIPdentrodoUTMemFirewall|
Aliases:
6. Vamoscriarumagendamentoparaaregrausandoomesmoquejcriamosafinalseusarmoso
agendamentoquesfuncionaemhorriocomercial,vaificarmaisprotegidocontraataqueexternoquandonoestiveremhorriocomercial:
7. VamosagoracriarumaregranoNATparaencaminharospedidodeRDPvindodeforaparaocomputadorqueacabamosdecadastrar,vaFirewall|NAT.SepesquisarmosnainternetsobreprotocolodeacessoremotoaodesktopvamosverqueaportaaTCP3389(oUTMjvemcomumprdefinidonosistemacomonomeMSRDP)
-
Pgina53de212
8. Agoravamoscriarumagendamentoparaqueessaregrafuncionedeacordocomohorrioque
criamos,vemFirewall|Rules:
9. CliqueemSave.10. CliqueemApplyChanges.
Comoelefunciona...AnossaregradeNATencaminhatodasassolicitaesRDPparaonossolaptop.AregraNATsemprehabilitada.Masnaregradefirewallfazcomqueesseencaminhamentosfuncioneduranteohorrioespecificado
Hmais...Paraaumentarasegurananspodemosfazermais,podemosrestringiroacessoliberandoapenasnossoipdeacessoexterno,eseesseIPmudarentoteremosquemudaroAliasatualizandooIPentosempreamosterumcontroledequandoapessoaacessou.CrieumAliascomoIPdoescritrio:
-
Pgina54de212
EntopodemosmodificarnossaregradefirewallaplicandoospedidosprovenientesaoIPdanossaempresa(lembresequeotrfegoquenocorrespondearegraanybloqueadoporpadro).AgoracomaassociaodoNATcomasregrasdefirewall,pelasregrasdefirewallnsnopoderamosmodificarafontediretamente.
EntovamosterquemodificardentrodoprprioNAT,cliquenaopoAdvanced,eespecifiqueoAliascomoendereopublicodanossaempresa.
Entovamoschecarseessasmudanasforamalteradastambmemregrasdefirewall.
-
Pgina55de212
Vejatambm...
ConfigurandoservidorDHCPnoCapitulo2ServiosEssenciais CriandoDHCPcommapeamentoestticonoCapitulo2ServiosEssenciais ConfigurandoDNSdinmiconoCapitulo2ServiosEssenciais CriandoAlias CriandoNatPortForwarding Criandoregrasdefirewall Criandoagendamentos
4RedePrivadaVirtual(VPN)
Nessecapituloiremosabordar:
CriandoVPNemumtnelIPSec ConfigurandooservioL2TPVPN ConfigurandooservioOpenVPN ConfigurandooservioPPTPVPN
-
Pgina56de212
Introduo VirtualPrivateNetworking(VPN)(VamosabordarnolivroessenomecomoRedePrivadaVirtual(VPN))umsistemamodernomuitoeficaz.UmaconexoVPNpermitequeumusurioremotoconectecomseguranaumaredeeuseosrecursoscomoseestivessenoprpriolocal. ComtodasasvariedadesdeacessoVPN,OUTMtemquatroimplementaesmaisusadas,elassoconstrudasdiretodentrodoOpenVPNqueestamigradocomooprotocoloVPN.MasnadaimpedequevocbaixeumsoftwareasuaescolhadeVPNclienteparaqualquermaquinausandoWindows(suporteOpenVPNnovemnoWindows).IPSecmaiscomplexo,maistambmumaaplicaomuitopopulardoVPN.ServioPPTPVPNeL2PTPVPNsomenosusadosentreosquatro,masseuusoaindabemgeneralizado. NestecapitulovamosdescrevercomoconfiguraroUTMparausarqualquerumouasquatroaplicaesVPNIPSec,L2TP,OpenVPN,ePPTP.
CriandoVPNemumtnelIPSec AquivamosdescrevercomocriarumaVPNusandoumtnelIPSec.Sepreparando... IPSecmuitasvezesomtodopreferidoparaotipodeconexoredearede(opostoaoclientearede).Umcenriotpicomontaumaconexopermanenteeseguraentresedeefilial. RedesconectadasatravsdeVPNdevemobrigatoriamenteusarsubredesdiferentes.Porexemplo,seasduasredesusamsubredes192.168.1.0/24,oVPNnovaifuncionar. Comofazlo...
1. VatVPN|Ipsec2. Cliquenoboto+paracriarumtnelIPSec.3. EspecifiqueemRemoteGatewayoIPpublicoouohostnamedogatewayremoto.4. EemDescriptionadicioneumadescriodoseuIPSec
-
Pgina57de212
5. EmPreSharedKeydigitesuasenha6. CliqueemSave7. MarqueEnableIPsec.8. CliqueemSave.
9. CliqueemApplyChanges.10. VatFirewall|Rules11. SelecioneaabaIPSec12. Cliquenoboto+paraadicionarumanovaregranofirewall
-
Pgina58de212
13. EmDestinationselecioneLansubnet.14. EmDestinationportselecioneany15. EmDescription,ponhaumadescrioquevocpossareconheceraregra,nosusamosnoexemplo
AllowIPsectraffictoLAN.
16. CliqueemSave17. CliqueemApplyChanges.
Comoelefunciona...UmavezqueotnelIPSecfoiestabelecido,osclientesconectadosemqualquerumadasduasredes,teroacessodeumaooutromesmoemsubredesdiferentescomoseestivenamesmaredefsica.
Vejatambm... ConfigurandooservioL2TPVPN ConfigurandooservioOpenVPN ConfigurandooservioPPTPVPN
ConfigurandooservioL2TPVPN AquivamosdescrevercomoconfiguraroUTMparaserservidorVPNL2TPSepreparando... muitoimportanteentenderqueaocontrariodasoutrasimplementaesVPN,oL2TPnocriptografaosdados.OL2TPsimplesmenteummtododeencapsulamentoquesdeveserusadoemredesjconfiveis,emconjuntodoIPsec.AgrandevantagemdoL2TPquepodeserusadocomredessemprecisardeIP.Comofazlo...
1. VemVPN|L2TP2. NaabaConfiguration,marqueEnableL2TPServer.
-
Pgina59de212
3. EspecifiqueumIPsemusoemServeraddress.4. EmRemoteaddressRangedigiteoiniciodafaixadeIPnousadadeendereoremoto.Onumero
deIPsquevaiserusadovaiestarindicadonaetapa6.5. EmSubnetmaskespecifiqueotipodesubrede.6. EmNumberofL2TPusersespecifiqueonumerodeusuriosqueiroseconectar.
7. CliqueemSave8. CliquenaabaUsers.9. Cliquenoboto+paraadicionarumnovousurio10. Digiteousurioemusernameeasenhaempassword.
11. CliqueemSave.
12. VatFirewall|Rules
-
Pgina60de212
13. SelecioneaabaL2TPVPN14. Cliquenoboto+paraadicionarumanovaregradefirewall15. SelecioneemDestinationoLanSubnet16. SelecioneemDestinationportrangeoany17. DigiteemDescriptionumadescrioquevocpossaidentificarasuaregra,noexemplonos
usamosAllowL2TPClientstoLAN.18. CliqueemSave.
19. CliqueemApplyChanges.
Comoelefunciona...OserviopermitequeusuriosconectemremotamenteainterfacederedeanossaescolhausandooL2TP.Usandoesseserviocomoseoclienteestivesseusandoaredecomoseestivessefisicamentenolocal.
ConexodeumclienteusandoWindows7ParacriarumaconexoVPNL2TPemumamaquinausandooWindows7:1. AbraoPaineldeControle|RedeeInternet|Statusdetarefasderede,abraoCentralde
Redeecompartilhamento
-
Pgina61de212
2. CliqueConfigurarumanovaconexoderede
3. EscolhaConectaraumlocaldetrabalho.
-
Pgina62de212
4. EscolhaUsarminhaconexocomainternet(VPN):
-
Pgina63de212
5. DigiteemEndereonaInternetoendereodoservidordaredeaqualvocestaquerendoseconectar.SeoendereoL2TPquevocconfigurounoestaacessveldiretamente,vocterquefazerumNATnoservidordirecionandootrfegoL2TP.
6. Digiteonomedeusurioesenhaquefoiconfiguradoantes:
-
Pgina64de212
7. CliquedepoisemConectar,oWindowsiradetectarautomaticamenteseoservidorestaaceitandoaconexoL2TPouPPTP,evaiserconfiguradodeacordocomoselecionado.
Vejatambm... ConfigurandoNATporForward,capitulo3ConfiguraoGeral CriandoVPNemumtnelIPSec ConfigurandooservioOpenVPN ConfigurandooservioPPTPVPN
ConfigurandoserviodeOpenVPN AquivamosdescrevercomoconfiguraroUTMparaaceitarconexesOpenVPN.Comofazlo...
1. VatVPN|OpenVPN.2. CliquenaabaWizards.3. EmTypeofServer,selecioneLocalUserAccess.
4. CliqueemNext.5. EmDescriptiveName,coloqueumnomeparaseuVPN,noexemplonosusamos
CertificadoOpenVPN,sereferindoaecertificadoCA.6. EmCountryCodeusamosnoexemplooBR.7. EmStateorProvince,nsusamosnoexemploSaoPaulo.8. EmCity,nsusamosnoexemploLimeira.9. EmOrganization,usamosnoexemploBluepexControleeSegurancaTI.10. [email protected]. CliqueemAddnewCA.
-
Pgina65de212
12. DigiteemDescriptivename,umnomeonovocertificadodoservidor,noexemplousamoso
mesmoCertificadoOpenVPN.Acriaodessecertificadovaificarquaseidnticoaocriadoanteriormente.
13. EmCountryCodeusamosnoexemplooBR.14. EmStateorProvince,nsusamosnoexemploSaoPaulo.15. EmCity,nsusamosnoexemploLimeira.16. EmOrganization,usamosnoexemploBluepexControleeSegurancaTI.17. [email protected]. CliqueemCreatenewCertification.
-
Pgina66de212
19. EmDescriptionvoccolocaadescrioquevocpossareconhecerfuturamente,noexemplonos
usamosConexaoOpenVPN.
20. DigiteemTunnerNetworkaconotaoemCIDR,issovaiserumafaixadeIPnousada(que
geralmentenomuitodiferentedaredequevocusa)como192.168.4.0/24.21. DigiteemLocalNetworkaconotaoemCIDR,queosclientesvosercapazesdeacessar,que
geralmentearedeinternaLAN,192.168.1.0/24.
-
Pgina67de212
22. EspecifiqueemConcurrentConnections,onumeromximodeclientesqueiroseconectar.
23. CliquenobotoNext.24. MarqueAddaruletopermittrafficfromclientsontheInternettotheOpenVPNserverprocess.25. MarqueAddaruletoallowalltrafficfromconnectedclientstopassacrosstheVPN
tunnel:
26. CliquenobotaoNext.
-
Pgina68de212
27. DepoiscliquenobotaoFinish.
Comoelefunciona...
OserviopermitequeusuriosexternosusemoOpenVPNparaestabelecerumaconexoseguraecriptografadaemnossarede.OsusuriosseconectarousandoumclienteOpenVPN,eumavezautenticado,ousurioteracessoaredecomoseestivessenolocalfisicamente.AlgoritmosdeCriptografia Escolheromelhoralgoritmodecriptografiaessencialparaomelhordesempenhodoseuhardware.MuitasplacasdeexpansoVPN,comoaquelasencontradasemNetgateusandoAlixrequeremplacasAES128CBC.Verifiquecomseufornecedordehardwareparaobtermaisdetalhes.ExportandoClienteOpenVPN HumpacotedeinstalaonoUTMchamadoOpenVPNClientExportUtility,quesimplificaoprocessodeconfigurao:1. VatSystem|Packages2. CliquenaabaAvailablePackages.3. LocalizeOpenVPNClientExportUtility,ecliquenoboto+paracomearainstalao.
4. Opacotedepoisdebaixadoserinstaladoautomaticamente.
-
Pgina69de212
5. OpacotedepoisdeinstaladoserencontradonomenuVPN|OpenVPN.
Vejatambm...
CriandoVPNemumtnelIPSec ConfigurandooservioPPTPVPN ConfigurandooservioL2TPVPN
ConfigurandooservioPPTPVPN AquivamosdescrevercomoconfiguraroUTMparareceberconexesPPTPVPN.Comofazlo...
1. VatVPN|PPTP|abaConfiguration2. MarqueEnablePPTPserver3. EscolhaemNo.PPTPusers,onumerodeclientesqueiroseconectar4. EmServeraddressdigiteumIPnousadoparaespecificaroendereoparaoservidorPPTP.O
PPTPdoservidorvaiescutaresseendereo.5. EmRemoteaddressrange,digiteoiniciodosIPsdosclientesqueiroseconectar,lembresede
deixarumaquantidadedeIPssuficientereferenteaoquevoccolocouemNo.PPTPusers.
-
Pgina70de212
6. MarqueRequire128bitencryption.
7. CliqueemSave.8. SelecioneaabaUsers.9. Cliquenoboto+paraadicionarumusurio10. Coloqueonomedeusurioemusernameeasenhaempassword.11. CliqueemSave.
12. VatFirewall|Rules13. SelecioneaabaPPTPVPN14. Cliquenoboto+paracriarumanovaregradefirewall.15. SelecioneemDestinationoLansubnet.16. SelecioneemDestinationportrangeaopoany.
-
Pgina71de212
17. EmDescriptiondigiteumadescrioquevocpossareconhecerfuturamente,noexemplousamosAllowPPTPClientstoLAN.
18. CliqueemSave.
19. CliqueemApplyChanges.
Comoelefunciona...OserviopermitequeusuriosexternosestabeleamumaconexoseguraecriptografadausandooPPTP.OsusuriosiroseconectararedeusandoumclientePPTP,umavezautenticado,ousurioteracessoaredecomoseestivesseconectadonoprpriolocal.
ConexodeumclienteusandoWindows7ParacriarumaconexoVPNPPTPemumamaquinausandooWindows7:8. AbraoPaineldeControle|RedeeInternet|Statusdetarefasderede,abraoCentralde
Redeecompartilhamento
9. CliqueConfigurarumanovaconexoderede
-
Pgina72de212
10. EscolhaConectaraumlocaldetrabalho.
11. EscolhaUsarminhaconexocomainternet(VPN):
-
Pgina73de212
12. DigiteemEndereonaInternetoendereodoservidordaredeaqualvocestaquerendose
conectar.SeoendereoL2TPquevocconfigurounoestaacessveldiretamente,vocterquefazerumNATnoservidordirecionandootrfegoL2TP.
-
Pgina74de212
13. Digiteonomedeusurioesenhaquefoiconfiguradoantes:
CliquedepoisemConectar,oWindowsiradetectarautomaticamenteseoservidorestaaceitandoaconexoL2TPouPPTP,evaiserconfiguradodeacordocomoselecionado.ConectandousandocomoclienteoUbuntu10.10 ExecuteosseguintespassosparacriarumaconexoPPTPVPNemumclienteusandoUbuntu10.10(pornoterumcomputadorcomessesistemaoperacionalemportuguseumantiveosexemploseminglsdeacordocomasjanelasdeexemplo).
1. AbraSystem|Preferences|NetworkConnections2. SelecioneaabaVPN|CliquenobotoAddparacriarumaconexoVPN.
-
Pgina75de212
3. SelecionePPTPecliqueemCreate...
4. EmConnectionnamedigiteumnomequevocpossaidenticar,noexemplousamosMatts
Network.5. EmGatewaydigiteoipdoservidorquevocconfigurouoPPTPVPN.SeoIPnopodeser
acessadodiretamente,vocterqueconfiguraroNATcomportForward.
-
Pgina76de212
6. CliquemApply7. CliqueemClose.8. VemNetworkconnection,selecionenomenuVPNConnections|MattsNetwork
-
Pgina77de212
ConectandousandocomoclienteoMacOSx
ExecuteosseguintespassosparacriarumaconexoPPTPVPNemumclienteusandoMacOSx(pornoterumcomputadorcomessesistemaoperacionalemportuguseumantiveosexemploseminglsdeacordocomasjanelasdeexemplo).
1. AbraSystemPreferences.
-
Pgina78de212
2. CliqueemNetwork
-
Pgina79de212
3. Cliquenoboto+paraadicionarumanovaconexoderede4. SelecioneVPNemInterface.5. SelecionePPTPemVPNType.6. DigiteemServiceNameumnomededescrio,noexemplousamosMattsNetwork.
7. DigiteemServerAddressoipdoservidorquevocconfigurouoPPTPVPN.SeoIPnopodeser
acessadodiretamente,vocterqueconfigurarumNATportForward.8. DigiteonomedeusuriocadastradoemAccountName.9. CliqueemConnectqueaparecerumajanelapedindoasenha
-
Pgina80de212
Vejatambm... CriandoVPNemumtnelIPSec ConfigurandooservioL2TPVPN ConfigurandooservioOpenVPN ConfigurandooservioPPTPVPN
5ConfiguraesAvanadas
Nessecapitulo,iremosabordar: CriandoumIPVirtual CriandoregradeNAT1:1 CriandoumaregradeNAToutbound CriandoGateway Criandoumarotaesttica ConfigurandooTrafficShaping(QoS,QualidadedoServio) Interfacesdotipoponte CriandoumaLANVirtual CriandoumCaptivePortal
Introduo Aseguirvamosabordarrecursosavanadosderede,quenormalmenteseencontramemclassesempresariais.NoentantocadaumdessesrecursosentodisponveisnaultimaversodoUTM.
CriandoumIPVirtual AquivamosdescrevercomoconfigurarumendereodeIPvirtualnoUTM.Sepreparando... NoUTMvocpodecriarquatrotiposdistintosdeIPsvirtuais:
-
Pgina81de212
ProxyARP CARP Other APAlias
UmtipocomumdeIPvirtualconfiguradocomoNAT1:1,nestecenriooIPvirtualdotipoOthernecessrio,oquevamosconfiguraragora:
Comofazlo...1. VemFirewall|VirtualIPs2. Cliquenoboto+eadicioneumnovoendereodeIPvirtual.3. EmTypeescolhaOther.4. EmInterfaceescolhaWAN5. EmIPaddressdigiteoIPquevocdesejavirtualizar6. AdicioneumadescrioquevocpossaidentificarposteriormenteemDescription.
7. CliqueemSave8. CliqueemApplyChanges
-
Pgina82de212
Comoelefunciona... OIPVirtual(vamosochamardeVIPdeagoraemdiante)dotipoOthertemasseguintescaractersticas:
OtrfegospodeserencaminhadoparaessetipodeVIP;eoUTMnopodeusaressetipodeVIPparaosseusprpriosservios.
OVIPpodeserusadoemumasubredediferentedoqueestasendousadopeloUTM. OVIPnopoderesponderapings.
Hmais...NsestamosconfigurandoumVIPdotipoOther.MasexistemmaistrstiposdeendereosVIPquepodemserconfiguradosnoUTM2.0.OsquatrotiposdeendereosVIPsosemelhantes,masmudamalgumaspropriedades,vamosveracomparao:
CARPo Podeserusadoseencaminhadospelofirewallo PodeusarotrfegoLayer2.o PodemserusadosemcenrioscombalanceamentodecargaeFailOvero Temqueestarnamesmasubrededainterfaceo Elevairesponderapingsseconfiguradocorretamente
ProxyARPo Spodesertransmitidapelofirewallo PodeusarotrfegoLayer2.o Podeestaremumasubredediferentedoqueainterfaceo Nopoderesponderaospings
Othero Spodesertransmitidapelofirewallo Podeestaremumasubredediferentedoqueainterfaceo Nopoderesponderaospings
IPAliaso NovonoUTM2.0o Spodeserusadoouencaminhadopelofirewallo PermitequeosendereosIPsejamadicionadoscomoIPextranainterface.
ConfigurandoCARPcomoendereoVIP1. VatFirewall|VirtualIPs2. Cliquenoboto+paraadicionarumnovoendereoVIP3. EmTypeescolhaCARP4. EmInterfaceselecioneWAN5. EmIPaddressdigiteoIPquevocdeseja6. EmVirtualIPPassword,digiteumasenha7. EscolhaumVHIDGroup8. EscolhaumAdvertisingFrequency(0paratodos)
-
Pgina83de212
9. DigiteumadescrioquevocpossaidentificarfuturamenteemDescription.
10. CliqueemSave11. CliqueemApplyChanges.
ConfigurandooProxyARPcomoendereoVIP
1. VemFirewall|VirtualIPs2. Cliquenoboto+paraadicionarumnovoendereoVIP3. EmTypeescolhaProxyARP.4. EmInterfaceselecioneWAN5. SelecioneSingleAddressemType.6. EmAddressdigiteoIP.7. DigiteumadescrioemDescription.
-
Pgina84de212
8. CliqueemSave9. CliqueemApplyChanges.
ConfigurandooIPAliascomoendereoVIP
1. VemFirewall|VirtualIPs2. Cliquenoboto+paraadicionarumnovoendereoVIP3. EmTypeescolhaIPAlias4. EmInterfaceescolhaWAN.5. EmIPaddressdigiteoIP6. DigiteumadescrioemDescription.
-
Pgina85de212
7. CliqueemSave.8. CliqueemApplyChanges.
Vejatambm... CriandoregradeNAT1:1 CriandoumaregradeNAToutbound Criandoumarotaesttica CriandoumaLANVirtual
ConfigurandoregradeNAT1:1 AquivamosdescrevercomoconfigurarumaregradeNAT1:1.AregraNAT1:1usadaquandovocquiserassociarumendereodeIPpublicocomumamaquinadaredeinterna.TudoquefordestinadoaoIPpublicovaiserencaminhadoparamaquinadaredeinterna.
-
Pgina86de212
Comofazlo...1. VatFirewall|VirtualIP2. NaabaVirtualIPs,cliquenoboto+paraadicionarumnovoVIP.3. EmTypeselecioneProxyARP.4. EmInterfaceselecioneWAN5. NaopoIPaddress,emTypeselecioneSingleAddress,eemAddressdigiteoipexternoquevoc
desejaassociaraumamaquinadaredeinterna.6. AdicioneumadescrioquevocpossareconhecermaistardeemDescription,noexemplonos
usamosMypublicIPaddress.
7. CliqueemSave.8. CliqueemApplyChanges.9. VemFirewall|NAT.10. Selecioneaaba1:111. Cliquenoboto+paraadicionarumaregradeNAT1:112. EmInterfaceselecioneWAN13. EmSourceselecioneany14. EmDestination,especifiqueocomputadorinterno,nocasovamosusaroAlias.15. DigiteemExternalSubnetoseuippublico16. EmDescription,adicioneumadescrioquevocpossareconhecerposteriormente,noexemplo
usamosForwardallexternalrequeststoWebserver1.17. EmNATFreflectiondeixeDisabled.
-
Pgina87de212
18. CliqueemSave.19. CliqueemApplyChanges.
Comoelefunciona...UmavezquefeitaumarelaodeNAT1:1estabelecida,todootrfegoserencaminhadoparaoendereodeIPinternouousubrede,comoseamaquinainternafossediretamenteconfiguradocomoIPpblico.IssomuitomaisfcildoquecriarumaregradePortForwardsetodootrfegodeentradaesadativerdestinadoamaquina.
Hmais...Comomuitorecursosavanadosderede,orelacionamentobemsucedidodoNAT1:1requerousodeVIPs.
Vejatambm... CriandoumIPVirtual
-
Pgina88de212
CriandoumaregradeNAToutbound AquivamosdescrevercomocriarumaregradeNAToutboundSepreparando... UmaregradeNAToutbounddefinecomotraduziroqueumtrfegoderedeestadeixando.Issopodeparecerumconceitodifcildeentendernaprimeiravez,porqueamaioriadoscenriosderedeemgeralsentopreocupadosemsaberolocaldeondeospacotesestovindos,enosepreocupamemsabercomoelessaem. VamosdescreveragoracomousarumaregradeNAToutboundpararesolverumcenriocomumqueenvolveonateamentoparaumamaquinacomvariasinterfaces.Vamossuporquetemosumnicoservidordedestinocomduasinterfaces,LANeDMZ,eofirewallUTMprotegeessasduasinterfaces.UsandoavelharegradePortForward,encaminhandosolicitaesHTTPparaoservidoremsuainterfaceDMZ,oquebom.Noentanto,quandotentamosencaminharsolicitaesSSHparaainterfaceLANdoservidor,otrfegochegacorretamente,mastentaresponderatravsdaredeDMZ.Issonoreconhecidocomovalidopelofirewalleficadandotempoperdidoquandosetentaconectar. AsoluoelhedarcomospedidosSSHusandoumaregradeNAToutboundjuntocomumaregradeNAT1:1,comovamosdescrever.Comofazlo...
1. VaFirewall|VirtualIPs2. NaabaVirtualIPs,cliquenoboto+paraadicionarumnovoVIP.3. EmTypeselecioneProxyARP4. EmInterfaceselecioneWAN5. NaopoIPaddress,emTypeselecioneSingleAddress,eemAddressdigiteoipexternoquevoc
desejaassociaraumamaquinadaredeinterna.6. AdicioneumadescrioquevocpossareconhecermaistardeemDescription,noexemplonos
usamosMypublicIPaddress.7. CliqueemSave8. CliqueemApplyChanges
9. VatFirewall|NAT
-
Pgina89de212
10. CliquenaabaOutbound11. SelecioneomodoAutomaticoutboundNATrulegeneration(IPsecpassthroughincluded).12. Cliquenoboto+paraadicionarumnovomapeamentodeNAToutbound.13. EscolhaInterfacequeamaquinavairesponder,nocasoaLAN.14. EmSourceespecifiqueany15. EmDestinationponhaoendereodoservidorqueiraresponder.16. DeixeoTranslationparatratardaInterfaceAddresseespecificaraporta22pararesponderos
pedidosdeSSH.17. EscrevaemDescriptionadescrioparavocidentificarfuturamente,noexemplo
usamosOutboundNATforWANClientstoServer1SSH.18. CliqueemSave.19. CliqueemApplyChanges.
20. VatFirewall|NAT21. Cliquenaaba1:122. Cliquenoboto+paraadicionarummapeamentoNAT1:123. EmInterfaceescolhaWAN.24. EmSourceescolhaany.25. EspecifiqueemDestination,SingleHostouAlias,eforneceroendereoIPdoservidorqueesta
recebendoassolicitaes.26. EspecifiqueoVIPquecriamosanteriormenteemExternalsubnet.27. EmDescriptiondigiteumadescrioquepossareconhecernofuturo,noexemplocolocamos1:1
NATPublicIPtoServer1.28. CliqueemSave29. CliqueemApplyChanges.
-
Pgina90de212
30. VemFirewall|Rules31. CliquenaabaWAN.32. Cliquenoboto+paraadicionarumanoraregradefirewall.33. EmSourceescolhaany34. EmSourceportrangeescolhaany.35. EmDestinationselecioneouSingleshostouAliasespecificandooendereodeIPdoservidorque
estlidandocomassolicitaes.36. EmDestinationportrangeselecioneSSH.37. EmDescriptiondigiteumadescrioqualquerquevocpossareconhecermaistarde,noexemplo
usamosAllowWANClientstoServer1SSH.38. CliqueemSave.39. CliqueemApplyChanges.
Comoelefunciona... AregradeoutboundquecriamosavisaaoUTMparadirecionarotrfegodesadaatravsdainterfaceLAN,independentementedequalinterfaceelaentrou.IssovaipermitirqueotrfegoSSHencontrasseocaminhodecasamesmoseogatewaypadrodoservidorestiveremcontrainterface,nocaso(DMZ).EnquantoissoassolicitaesHTTPqueforamconfiguradasatravsdoPortForwardingcontinuamfuncionandoperfeitamente.Vejatambm...
CriandoumIPVirtual CriandoregradeNAT1:1 CriaoderegrasemNatportForward
-
Pgina91de212
CriandoumGateway AquivamosdescrevercomocriarumgatewaynoUTM.Sepreparando... Emgeral,asredescomumanicaligaoWAN,nonecessriomudarasconfiguraesdegateway;opadrocriadopeloprprioUTMautomaticamentejosuficiente.Noentanto,asredesquepossuemmaisdeumaconexodeinternetoutiraproveitodealgumasfuncionalidadesavanadas(porexemplo,rotasestticas)terquedefinirumgatewaypersonalizado.Comofazlo...
1. VaSystem|Routing2. CliquenaabaGateways3. Cliquenoboto+paraadicionarumnovogateway4. SelecioneaInterfacedonovogateway5. EmNamevocvaiespecificarumnomeparaessegateway(nopodeserespao)6. EmGatewayespecifiqueoIPdogateway,esseIPtemqueserreconhecidopelainterfacequevoc
escolheunaetapa4.7. EmMonitorIPvocpodeatribuirumIPalternativooudeixarembrancomesmo,fazendoissoo
sistemairacolocaromesmoIPdogatewaycomomonitorIP.8. EmDescriptionvocvaicolocarumadescrioparaidentificarqualgatewayvoccriou,no
exemplousamosMyNewGateway.
9. CliqueemSave.10. CliqueemApplyChanges.
-
Pgina92de212
Comoelefunciona... Umgatewayumportalqueligaduasredes.OgatewayoquegeratrfegoentreaLANeainternet.SetivermosvariasconexesWAN(ouseja,mltiplasconexesparainternet)serianecessriodefinirumgatewayparacadaum.Hmais... Vamosveragoracomocriargatewaysparafazerrotasestticas.Umarotaestticaumcaminhofeitodeumaredeparaoutra,otodootrfegoentreessasduasredesdevempassarporumgateway.GruposdeGateway OUTM2.0implementaumnovoconceitochamadoGruposdeGateway.Ogrupodegatewayumajunodevriosgatewaysquepodemsertratadoscomoumaunidadeapartirdevariasoutrasfuncionalidadesnosistema. Gruposdegatewayiraparecernaportadeentradaemummenudropdown,comoemumadefinioderegradefirewall.Vejatambm...
Criandoregrasdefirewall,capitulo3ConfiguraesGerais ConfigurandointerfaceWAN,capitulo1ConfiguraesIniciais Criandorotasestticas
Criandorotasestticas AquivamosdescrevercomocriarumarotaestticanoUTM.Sepreparando... AsrotasestticasservemparaacessarredesquenosoacessveisatravsdogatewaypadroWAN,maspodeseralcanadoindiretamenteatravsdeumainterfacediferente.Umexemplocomumpodeserusadoemumagrandeempresacomvriosescritriosqueusamumaimpressoracompartilhada,sprecisocriarumarotaesttica.PodemosusaroUTMparacriaressarotaestticaparaumaredeinterna,emvezdeconfigurarumarotaestticaemcadapc.
-
Pgina93de212
Comofazlo...1. VatSystem|Routing.2. CliquenaabaGateways3. Cliquenoboto+paraadicionarumnovogateway4. SelecioneemInterfaceondevaificaronovogateway5. DigiteemNameonomedoseugateway(nopodeterespao)6. DigiteemIPAddressoIPdogateway,esseIPtemqueserreconhecidopelainterfaceselecionada
anteriormente.7. EmMonitorIPvocpodeatribuirumIPalternativooudeixarembrancomesmo,fazendoissoo
sistemairacolocaromesmoIPdogatewaycomomonitorIP.8. EmDescriptionvocvaicolocarumadescrioparaidentificarqualgatewayvoccriou,no
exemplousamosMyNewGateway.9. CliqueemSave10. CliqueemApplyChanges
11. VemSystem|Routing12. CliquenaabaRoutes13. Cliquenoboto+paraadicionarumanovarota14. EmDestinationnetworkdigiteoendereodeIPdaredededestino15. EmGatewayescolhaoquecriamosacima.16. EmDescriptionescrevaalgoparadescreveraregra,noexemplousamosStaticrouteforshared
printernetwork.
17. CliqueemSave.18. CliqueemApplyChanges.
-
Pgina94de212
Comoelefunciona... Aodefinirumarotaesttica,temoumcaminhotraadoparanossarededeimpressoracompartilhada.Nspodemosacessaragoraestaredeatravsdarotaestticacriada,eoferecerumaportadeentradaparaoutrosusuriosdofirewall.Vejatambm...
CriandoGateway
ConfigurandooTrafficShaping(QoS,QualidadedoServio) AquivamosdescrevercomoconfigurarocontroledebandanoUTMSepreparando... OTrafficShaping,tambmconhecidocomoQoS,apriorizaoeotimizaodepacotesderede.Priorizandoospacotesderededecertostiposdetrfegoemrelaoaoutros.Limitaopacotederedefixandocertoslimitesdevelocidadedecertostiposdetrfegoparacertosmomentos.UmadministradorpodequererpriorizarospacotesdeVoIPsobretodososoutrosparagarantirquechamadastelefnicasnovoserdescartadasouinterrompidasdevidoaoaltotrfegoderede.Almdisso,podemostambmlimitarorendimentodoVoIPpara100kbps.EsseumexemplotipodeambientequerodaVoIP. AseguirvamosusaroUTMparamoldarosacessosexternosusandooDesktopRemotodoprprioWindows(MSRDP)queentramemnossarede.Assimpodemosnosassegurarquepodemosadministrarnossosservidoresremotamentemesmoseotrfegoderedeestivermuitoalto.Comofazlo...
1. VaFirewall|TrafficShaper2. CliquenaabaWizards3. NacolunaWizardfunctions,cliquenolinkreferenteaSingleWANmultiLAN.
-
Pgina95de212
4. EmEnternumberofLANtypeconnectionsdigiteonumerodeLans,nonossocasotemLANe
DMZ,entocolocamosnumero2.
5. EmLinkUploaddigiteavelocidadequeoseuprovedordeinternetforneceuparaupload,no
exemplousamos2.000Kbps(2Mbps),sevoctiverduvidafaaumtesteemsitesdevelocidade,comoporexemplo:http://speedtest.net/
6. EmLinkDownloaddigiteavelocidadequeoseuprovedordeinternetforneceuparadownload,noexemplousamos15.000Kbps(15Mbps),sevoctiverduvidafaaumtesteemsitesdevelocidade,comoporexemplo:http://speedtest.net/
-
Pgina96de212
7. ApaginaseguinteusadaespecificamenteparaconfigurarapriorizaodetrfegodeVoIP,voc
podepularessaetapaclicandoemNext.
-
Pgina97de212
8. NaprximapaginasechamaPenaltyBox,nospermitelimitaravelocidadedeumdeterminado
endereodeIPouAlias.Issomuitotil,masnovamosteranecessidadedeusaressafunonomomento,vocpodeignorarclicaemNext.
-
Pgina98de212
9. EssaprximapaginasechamaPeertoPeer(P2P)Networking,vocpodediminuiraprioridadede
trfegoP2P,nessapaginaacercade20opesderedeP2Pmaispopularesparaserlimitadootrfego.ComononosinteressaessapartenomomentoentocliqueemNext.
10. NessaprximapaginaNetworkGames,vocpodeconfigurarotrfegoderedeliberadaaosjogosonline,nessapaginaacercade20jogosmaispopularesonlineparaserpriorizado.ComononosinteressaessapartenomomentoentocliqueemNext.
-
Pgina99de212
11. NapginafinalOtherApplications,nospermitemoldaroutrostiposcomunsdetrfego.Vamoster
queclicarnaopoEnable,parapermitirousodessaaplicao,emMSRDPvamosselecionarHigherpriority,osoutrosvamosdeixarcomoDefault,ecliqueemNext.
-
Pgina100de212
12. CliqueemFInishparaaplicaranovaconfigurao.
Comoelefunciona...
UsandooWizarddoTrafficShapping,nsdefinimosumconjuntoderegrasquepriorizaotrfegodoMSRDPacimadequalqueroutro.Mesmoquearedeestejacomtrfegopesado,sejacomusodaweb,VoIPouquantosmaistiver,nossaconexoMSRDPsempreficarestveleinterrupta,jquefoipriorizado.
-
Pgina101de212
Interfacesdotipoponte(bridge) AquivamosdescrevercomofazerumapontejuntandoduasinterfacesnoUTM.Pontespermitemunirduasredes.Porexemplo,oadministradorpodefazerumapontederedeentreumaredecomfioeumaredesemfio.Comofazlo...
1. VaInterfaces|(assign)2. CliquenaabaBridge3. Cliquenoboto+paraadicionarumanovaponte4. EmMemberInterfaces,selecioneasinterfacescomoCtrlpressionado.5. EmDescriptionvocvaidigitarumaidentificaoquepossareconhecerposteriormente,no
exemplonosusamosLANDMZBridge.
6. CliqueemSave
Comoelefunciona... ApontecombinaduasinterfacesnofirewallemumaredenicadeLayer2.ALANeDMZestoagoraligados.Hmais... CliqueemShowadvancedoptions,paraconfigurarqualquerumadessasseguintesopes:
RSTP/STP:Abiliteparaabriraarvoredeopes:o Protocolo STPInterfaces
-
Pgina102de212
o Validtimeo Forwardtimeo Hellotimeo Priorityo Holdcounto Interfacepriorityo Pathcost
Cachesize Cacheentryexpiretime Spanport Edgeports AutoEdgeports PTPports AutoPTPports Stickyports Privateports
Vejatambm... Identificandoeatribuindointerfaces,capitulo1ConfiguraoInicial.
CriandoLANVirtual AquivamosdescrevercomocriarumaLANVirtualnoUTM.Sepreparando... AVLANpermitequmnicointerruptorfsicopossahospedarvariascamadasderede,separandoasportascomtagsVLAN.AtagdeVLANdefineumaredevirtualseparada.OUTMpodeanexaremcadaVLAN,definindotagsnasinterfacesdofirewall.Comofazlo...
1. VatInterface|(assign)2. CliquenaabaVLANs3. Cliquenoboto+paraadicionarumanovaVLAN4. NaopoParentInterface.Serefereaumaatribuiodeumainterfacedereferencia(observena
figuraabaixo).NestecasoaDMZfoiatribudacomovr2entovamosselecionarela.
-
Pgina103de212
5. NaopoVLANtag,ponhaumvalorentre140946. EmDescription,ponhaumnomeparareferencianoexemplonosusamosMyDMZvirtualLAN.
7. CliqueemSave.
Comoelefunciona... TodosospacotesdestinadosouoriginadosdeVLANseromarcadoscomatagVLAN.assimqueoUTMdiferenciaeledosoutrostrfegos,garantindoqueessetrfegovparaolugarcerto.Vejatambm...
Identificandoeatribuindointerfaces,capitulo1ConfiguraoInicial.
CriandoumCaptivePortal AquivamosdescrevercomocriarumCaptivePortalnoUTM.
-
Pgina104de212
Sepreparando... OCaptivePortalumapaginawebqueexibidadepermissoaousurioantesdenavegarnaweb.IssogeralmentevistoemambientescomerciaiscomoWiFiHotspotondevocdevepagarpeloservioantesdenavegarnaweb.EmoutroscenriosoCaptivePortalusadoparaautenticaodousurio. NessaexplicaovamosconfiguraroUTMparamostrarumCaptivePortaldeautenticaoantesqueousurionaveguenawebpelaDMZ.Comofazlo...
1. VaServices|CaptivePortal2. NaabaCaptivePortal,cliqueemEnableCaptivePortal.3. EmInterfaceescolhaainterfacequedesejausaroservio,nonossoexemplovamosusaroDMZ.4. EmIdletimeout,nsselecionamos10minutos,clientesquepassaremmaistempoqueissosem
atividadenocomputador,assimqueeleacessardenovovaipedirousurioesenha.5. EmHardtimeout,nsusamos60minutos,clientesqueestonavegandoounonocomputador
depoisde60minutosvaiaparecerumateladeusurioesenhaparaserdigitado,vocpodedeixarembrancoparadesabilitaressaopo.
6. CliqueemEnablelogoutpopupwindow,paraqosusuriospossamdeslogarquandoterminar.7. EmRedirectionURL,vocpodefazercomqueoclienteassimqueselogarsejadirecionadoauma
paginaquevocescolher,noexemplonosusamoshttp://www.google.com
-
Pgina105de212
8. EmAuthentication,escolhaLocalUserManager.
9. CliqueemSave.10. VatSystem|UserManager11. CliquenaabaUser12. Cliquenaaba+paraadicionarumnovousurio13. EmUsernamedigiteonomedeusurio14. EmPassworddigiteumasenhadesejadaduasvezes.15. EmFullNameponhaonomecompletodousurio
-
Pgina106de212
16. CliqueemSave
Comoelefunciona...
AtravsdeumacriaodoCaptivePortalnaDMZ,todousurioquetentarnavegarnawebterqueprimeiroseautenticarcomonaimagemabaixo.Umavezautenticado,eleserdirecionadoparapaginadoGoogle,ondepodenavegarnawebobedecendoasregrasdetempopredefinidas,ondeteroqueseautenticarnovamente.
Hmais...
TodasastrspaginasdoCaptivePortal(login,logouteerro)podemserpersonalizadasparaatenderopadrodaorganizaoondefoiimplementadoosistema.Amaneiramaisfcildeserfeitoissosalvando
-
Pgina107de212
cadapaginacomoumarquivoeditaloasuamaneira(semmudarondeousuriovaicolocarsuascredenciais),edepoisenvialousandoasopesnaparteinferiordapaginadoservioCaptivePortal.
-
Pgina108de212
6Redundncia,Balanceamentodecarga,eFailoverNessecapitulo,iremosabordar:
ConfigurandomltiplasinterfacesWAN ConfigurandoobalanceamentodecargaemumamultiWAN ConfigurandooFailoveremumamultiWAN Configurandoumservidordewebcombalanceamentodecarga ConfigurandoumservidorwebcomFailover ConfigurandoumfirewallCARPcomFailover
Introduo Redundncia,balanceamentodecargaeFailoversoalgunsdosmaisavanadosrecursosderedeusadosnomomento.Algunsdessesserviossonecessriosemempresasdegrandeporte,algunsfirewallseroteadoresnosocapazesdefazerisso.EclaroqueoUTMsuportatodoseles. RedundnciadevariasinterfacesWAN(multiWAN)forneceumfirewallnicoparavariasconexesdeinternet.OUTMpodeserconfiguradoparaequilbriodecargaouFailoverdeinterfacemultiWAN.Balanceamentodecargavaidividirotrfegoentreasinterfacesdeinternet,quantooFailoverfazcomqueseumainterfacecaiaaoutraassume100%dotrfego,nofazendoainternetdaredeparar. ObalanceamentodecargadoUTMpermitetiposdetrfegoespecficos(comotrfegonaweb)seremdistribudosentreosservidores.AcapacidadedecriarsuaprpriawebfarmfeitodiretonoUTM! RedundnciadefirewallpermitequeosistemasobrevivaseamaquinadofirewallUTMvenhaaserdesligada.ParaissousamosumaconfiguraoCARP,oUTMpodeconfigurarumFailoverparapassaroacessoautomaticamenteparaumfirewalldebackup.
-
Pgina109de212
ConfigurandomltiplasinterfacesWAN AquivamosdescrevercomoconfigurarmltiplasinterfacesWANnoUTM.Sepreparando... UmsistemadeUTMcomumanicainterfaceWANquaseplugandplaydesdeumgatewayatumDNSpadro.NoentantoalgumasdescriesnessecapitulorequermltiplasconexesdeWANseosgatewaysdevemserconfiguradosmanualmente.AsdescriesaseguirvovercomoconfigurarduasinterfacesWANquepodemserusadasmaistardecomobalanceamentodecargaredundanteeFailover. AsseguintesinterfacesvoseconfiguradascomendereosdeIPsprivadosparafinsdeexemplo,masumaconfiguraorealexigiriaquecadainterfaceWANfosseconfiguradacorretamentedeacordocomasinformaesfornecidasporcadaprovedor.Comofazlo...
1. VaSystem|Routing2. SelecioneaabaGateways3. TomenotaqueogatewaydanossainterfacepadroWANexistentefoicriadaautomaticamente,
porissoelaestadefinidacomodefault,quegeralmentedefinidacomodynamics.
Cliquenoboto+paraadicionarumnovogateway4. EmInterfaceescolhaaconexojexistenteWAN5. EmNamedigiteumnomeparaogateway6. EmGatewaydigiteogatewaydainterface7. MarqueDefaultGateway8. EmDescriptiondigiteumadescrioparaseugateway,noexemplonsusamosWANGateway.
-
Pgina110de212
9. CliqueemSave.
10. Cliquenoboto+paraadicionarumnovoGateway11. NaopoInterfaceescolhaanovainterfaceWAN.12. EmNamedigiteumnomeparaogateway13. EmGatewaydigiteogatewaydainterface14. EmDescriptiondigiteumadescrioparaseugateway,noexemplonsusamosWAN2Gateway.
-
Pgina111de212
15. CliqueemSave16. CliqueemApplyChanges
17. VaInterfaces|WAN18. EmTypeescolhaStatic19. EmIPAddressdigiteoIPdaWAN20. EmGatewayselecioneogatewayquevoccrioureferenteWAN21. MarqueBlockprivatenetworks22. MarqueBlockbogonnetworks
-
Pgina112de212
23. CliqueemSave24. VInterfaces|WAN225. EmTypeescolhaStatic
26. EmIPaddressdigiteoIPdaWAN227. EmGateway,selecioneogatewaycriadoreferenteaWAN228. MarqueBlockprivatenetworks29. MarqueBlockbogonnetworks
30. CliqueemSave31. CliqueemApplyChanges
-
Pgina113de212
Comoelefunciona...ApenasaprimeirainterfaceWANquecriadapeloUTM,vaiterseugatewaypadrogerado
automaticamente.AocriarumgatewaymanualmenteparainterfaceWAN,comoacabamosdefazer,entoagorapodemoscontinuarcomocapitulofazendoparaconfigurarosrecursosderedundncia.
Hmais...LembresesempredemarcarasopesdeBlockprivatenetworkseBlockbogonnetworksnasredesdeinternet.
Vejatambm... ConfigurandoaInterface,capitulo1ConfiguraoInicial. Criandogateway,capitulo5Configuraesavanadas. ConfigurandomultiWANcombalanceamentodecarga ConfigurandomultiWANcomFailover
ConfigurandomultiWANcombalanceamentodecarga AquivamosdescrevercomoconfigurarobalanceamentodecargaemumnicosistemaUTM.Sepreparando... Aolongodessasinstrues,vamosconfigurarobalanceamentodecargadeduasinterfacesWANseparadas.Entoterquesecertificarprimeiroseasduasinterfacesestocorretamenteconfiguradasseguiandopelainstruomaisacima. Todavezqueumbalanceamentodecargaentraemvigor,oFailoverautomaticamentetambmentra.MassequisssemosativarsomenteoFailover,naprximaetapavamosdescrevercomofazer.Comofazlo...
1. VaSystem|Routing2. SelecioneaabaGroups3. EmGroupnamedigiteumnome(essenomevaiseronomedoseugateway,enopodeter
espao)noexemplousamosLoadBalancedGroup4. EmGatewayPriorityemambososgatewaysselecioneTier15. EmTriggerLevel,selecioneMemberDown6. EmDescriptiondigiteumadescrioparaseubalanceamento.
-
Pgina114de212
7. CliqueemSave8. CliqueemApplyChanges
9. VatSystem|Routing10. EditeoWANgateway11. EmMonitorIPvocpodeespecificarumendereodeIPexterno.Euparticularmentecolocoo
endereohttp://www.google.com.br,masvocpodeespecificaroendereoasuaescolha,podeserummaispertodoseufirewall(algumipdentrodarededoseuprovedorporexemplo).
12. CliqueemSave.13. EditeoWan2gateway14. EmMonitorIPvocpodeespecificarumendereodeIPexterno.Euparticularmentecolocoo
endereohttp://www.google.com.br,masvocpodeespecificaroendereoasuaescolha,podeserummaispertodoseufirewall(algumipdentrodarededoseuprovedorporexemplo).
15. CliqueemSave.16. CliqueemApplyChanges.
-
Pgina115de212
17. VatFirewall|Rules18. Cliquenoboto+paraadicionarumanovaregradefirewallnaabaLAN19. EmaoselecionePass20. EmInterfaceselecioneLAN21. EmProtocolselecioneany22. EmSourceselecioneLanSubnet23. EmDestinationselecioneany24. EmDescriptiondigiteumadescrio25. EmAdvancedFeatures,naopoGatewaycliqueemAdvancedeiraparecerummenucoma
listadegatewayscriados26. EmgatewayselecioneogatewayquecriamoslogoacimacomonomeLoadBalancedGroup27. CliqueemSave28. CliqueemApplyChanges
Comoelefunciona...
TodootrfegodeinternetquepassarpelaLANvaipassarpelonossogateway.AsduasWANsconfiguradasvoteromesmonveldeprioridadevaialternarentresisimultaneamente.
-
Pgina116de212
Almdisso,nstambmconfiguramosoIPMonitor,comissooUTMsaberquandoumgatewayperdeaconexocomainternet,entoobalanceamentodecargaexcluiesselinkdeixandoooutroouosoutrosfuncionando,quemfazissooFailover,queentraemvigorautomaticamente.Hmais...
NsdefinimosoTriggerLevel,comoMemberDown,mashvariasoutrasopes: MemberDown:acionadoquandooendereoquecolocamosemIPmonitordeixaderesponderaos
pings. PacketLoss:acionadoquandoospacotesqueviajamentreumdosgatewayssoperdidos. HighLatency:ativadoquandoospacotesqueviajamentreumdosgatewaysficamcomuma
instabilidademuitoalta. PacketLossorHighLatency:acionadoquandoospacot