Páginas

quinta-feira, 27 de julho de 2017

PFSense Balanceamento de links - Load balance + Failover

Fazendo balanceamento de Links (Load balance + Failover) no PFSense (versão 2.3.4).
  • 2 Links de internet
  • PFSense 2.3.4 com Squid e Squidguard
Obs.: Estarei partindo do principio que o PFSense esteja instalado e configurado e no meu caso estou utilizando o Squid e Squidguard com filtro de conteúdo e os procedimentos abaixo estão sendo realizados com base na utilizando de 2 links de internet podendo este ser realizado com mais links.

Interfaces:
  • WAN - link de internet principal
  • OPT - link de internet secundário
  • LAN - link da rede interna
Obs.: Estes são os nomes que vieram por padrão em uma nova instalação.

Na opção "Interfaces" selecionar uma as interfaces de rede (WAN - Internet), habilitar a interface caso necessário e nas opções de "Reserved Networks" deixar marcado a opção "Bloquear redes bogon" e desmarcar a opção "Block private networks and loopback addresses".

Caso esqueça de fazer isto para as interfaces de rede, não terá efeito.

Feito isto em "Sistema" acessar a opção "Roteamento" selecionar e definir qual é o gateway padrão.
Informar o endereço de IP Monitor, no meu caso estou utilizando os IP´s do Google, no principal uso o 8.8.8.8 e no secundário utilizo o 8.8.4.4.

Agora na opção "Grupos de Gateway" vamos criar o grupo que terá os nossos 2 links de internet para fazer o balanceamento.
Dar o nome ao balanceamento e informar a prioridade dos link, em todos casos que verifiquei as pessoas estavam deixando com prioridade 2, e informar o Trigger Lever no caso deixei a opção "Packet loss or High Latency".

Agora vamos as regras do Firewall.
Vamos manter por padrão a as mesmas regras nas intefaces WAN (Internet)
  • Action: Liberar
  • Protocol: Qualquer
  • Origem: Qualquer ou utilizar o alias para sua rede
  • Destino: Qualquer
  • Nas opções Avançadas em Gateway selecionar o grupo do balanceamento que foi criado anteriormente.
No meu caso eu criei também uma regra para bloquear ICMP.

Agora na opção LAN na regra de liberação do acesso a internet informar nas opções Avançadas -> Gateway o grupo do balanceamento que foi criado.

Com os passos seguidos acima o seu PFSense já deverá estar funcionando com o balanceamento de links, assim prosseguir com os testes para verificar.

Você pode adicionar ao Dashboard do seu PFSense a opção Gateways e Traffic Graphs para verificar os links.

Segue abaixo o link para o vídeo no youtube que demonstra os passos realizados acima.
Postado por às Um comentário:
Marcadores: , , ,

quarta-feira, 1 de fevereiro de 2017

Bloquear Whatsapp no PFSense

Eu consegui bloquear o Whatsapp na rede fazendo o bloqueio dos IP´s utilizados, IP´s estes que são informados na página oficial do Whatsapp (https://www.whatsapp.com/cidr.txt)

Segue procedimento abaixo:


  1. No PFSense acessar a Guia Firewall =>Aliases;
  2. Clicar no botão "Import" para informar de uma vez só todos os IP´s utilizados, conforme o link informado acima;
  3. Informar um nome para o Alias, por exemplo "WhatsappIPS" e informar uma descrição, caso queira e na caixa de texto logo abaixo colar a lista de endereços Whatsapp e clicar em "OK";

Agora que foi criado o Alias com os endereços do Whatsapp temos que criar a regra no Firewall para bloquear o acesso, ou então liberar.
  1. No PFSense acessar a Guia Firewall =>Regras;
  2. Clicar na aba "LAN" e em seguida clicar no botão "Adicionar"
  3. Em Seguida deixar com as seguintes configurações:
    1. Ação: Block
    2. Interface: LAN
    3. Familia de Endereços: IPV4+IPV6
    4. Protocolo: TCP/UDP
    5. Origem: LAN net
    6. Destino: Host único ou Alias
      1. Informar o nome do Alias criado anteriormente, exemplo "WhatsappIPS"
      2. Destino Intervalo de Portas: De: qualquer
      3. Destino Intervalo de Portas: Para: qualquer
    7. Descrição: Informar o nome da regra, exemplo "Bloqueio Whatsapp"
    8. Clicar em "Salvar"
Agora temos que reforçar que as regras possuem prioridade, desta forma a regra de bloqueio deve ser adicionada antes da regra que libera o acesso para toda rede.

Caso queira, a principio bloquear apenas imagens, videos e documentos bloqueia da porta 443 até 3478.
  • Porta 3478 UDP - Necessária para efetuar ligações
  • Porta 5222 TCP - Necessária para conexão e envio/recebimento de text
  • Porta 5223 TCP - Necessária para conexão e envio/recebimento de texto
  • Porta 443 - Necessária para envio/recebimento de imagens/vídeos

Obs.: este procedimento pode ser aplicado a outras redes utilizando o mesmo principio.

Façam os testes e espero que ajude.
Postado por às 3 comentários:
Marcadores:
Assinar: Postagens (Atom)