O pfSense, permite a criação de objetos, também conhecido como Alias, através dele podemos estar criando grupos de instâncias, tais como:
- Hosts ( IPs locais )
- Network ( Ranges )
- Ports
- URL
- URL Table
Com isso facilita a criação de regras de Firewall, NAT, Floating, Limiter ( Traffic Shapper ) e muito mais.
Para isso, devemos acessar --> Firewall - Alias
E criar um novo Alias, no botão [ + ]
Neste caso, utilizarei do nome portasNavegacao ( nome para consulta e referenciamento), uma breve descrição, e regra por portas, para ser liberado os campos, neste caso as portas ( 80 e 443 ).
Após a criação da regra, basta "Salvar" e aplicar a regra "Apply Changes", com isso teremos a regra criada.
Aproveitando o embalo, muitas vezes precisamos de regra para liberação de uma faixa extensa de portas, não iremos criar regras para porta por porta, com isso basta criar uma única regra, liberando as portas utilizando de ( : ) dois pontos, entre as portas.
Com isso teremos algo como: 5000 - 5100.
Após a criação do Alias, vamos criar o nosso bloqueio de Firewall na LAN, das portas de Navegação. Para isso, basta acessar --> Firewall - Rules, na aba LAN.
Por padrão, na regra de Firewall de LAN, já são criados regras, como das portas ( 5080, 80 e 3022 ) para a rede local, que não pode ser removido, e juntamente de uma regra totalmente liberarada ( * - * - * ). Onde para a criação de uma nova regra, basta clicar no botão [ + ]
Onde teremos os seguintes campos principais:
Action: Neste caso um Block;
Disabled: Desabilitar a regra, sem a necessida de exclusão;
Interface: Neste caso a LAN;
Protocol: Para a inserção das portas, utilizar de TCP / UDP;
Source: Lan Subnet, onde serão aplicados a todos os IP's da rede;
Destination: Neste caso, qualquer destino Any, pois todos deverão ser bloquedos;
Destination Port Range: Para habilitar nosso Alias, devemos utilizar a opção "Other", e preencher o campo com portasNavegacao, que se auto-completará;
Log: Se tiver a necessidade de ver os logs para a regra, ativar o campo, que será visualizado através de --> Diagnostics: System logs: Settings ( Opcional );
Description: Descrição da regra.
Com isso basta Salvar a regra.
Obs.: No entanto, devido as prioridades de regras de Firewall, nossa regra ainda não surtiria o efeito de bloqueio da porta, uma vez que a regra acima, permite qualquer destino, e em qualquer porta. Para isso, devemos alterar a prioridade.
Selecionar a regra, e clicar no move insertion ( < ), para qual a regra deverá sobrepor a prioridade.
Com isso, a regra ficará com o seguinte aspecto, agora obedecendo a regra por prioridade.
Pronto, regra para a LAN criada com sucesso, com isso o pessoal não conseguirá acessar as portas de navegação ( Utilizada para forçar o pessoal navegar pelo Proxy - Tópico Futuro).
Obs. Importante .: Nunca utilize de regra totalmente liberada nas interfaces de Link ( Protocol * , Source *, Destination * ), pois permite que acessos externos indevidos, sejam permitidos, como acesso via SSH, acesso Painel, resposta ao Ping e muito mais. Quando precisar criar regra, restringir na Origem, na porta e etc.
Espero que tenham gostado !!
Abrs, Jonathan
Para quem quer conhecer mais sobre Firewall: http://debsolutionsti.com/firewall/