APOSTILA UTM - 2.0.2 - 2012-04-10 - WEB

213

description

Curso UTM

Transcript of APOSTILA UTM - 2.0.2 - 2012-04-10 - WEB

  • TabeladeContedoCapitulo1ConfiguraoInicial______________________________________________________________1Introduo 1AplicandoconfiguraesbsicasemGeneralSetup 2Identificandoeatribuindointerfaces 3ConfigurandoaInterfaceWAN 6ConfigurandoaInterfaceLAN 8ConfigurandoInterfacesOpcionais 10HabilitandooSecureShell(SSH) 12GerandochavesRSAautorizada 13ConfigurandooSSHcomautenticaodeChaveRSA 16AcessandoporSecureShell(SSH) 17Capitulo2ServiosEssenciais 19Introduo 19ConfigurandooServidorDHCP 20CriandoDHCPcommapeamentosesttico 22CriandooDHCPrelay 24EspecificandoDNSalternativo 25ConfigurandooDNSForwarder 27ConfigurandoservidordeDNS/DCHPdedicado 28ConfigurandoDNSdinmico 31Capitulo3ConfiguraoGeral 33Introduo 33CriaodeAlias 33CriaoderegrasemNATportforward 38CriaoderegrasnoFirewall 41Criandoagendamento 47Acessoremotoaodesktop,usandoexemplocompleto 50Capitulo4RedeprivadaVirtual(VPN) 55Introduo 56CriandoVPNemumtnelIPSec 56ConfigurandooservioL2TPVPN 58ConfigurandooservioOpenVPN 64ConfigurandooservioPPTPVPN 69Capitulo5ConfiguraesAvanadas 80Introduo 80CriandoumIPVirtual 80CriandoregradeNAT1:1 85CriandoumaregradeNAToutbound 88CriandoGateway 91

  • Criandoumarotaesttica 92ConfigurandooTrafficShaping 94Interfacesdotipoponte 101CriandoumaLANVirtual 102CriandoumCaptivePortal 103Capitulo6Redundncia,BalanceamentodecargaeFailover 108Introduo 108ConfigurandoMultiplasInterfaces 109ConfigurandoobalanceamentodecargaemumamultiWAN 113ConfigurandooFailoveremumamultiWAN 116Configurandoumservidordewebcombalanceamentodecarga 119ConfigurandoumservidorwebcomFailover 123ConfigurandoumfirewallCARPcomFailover 126Capitulo7ServioseManuteno 131Introduo 132HabilitandoOLSR 132HabilitandoPPPoE 134HabilitandoRIP 135HabilitandoSNMP 136HabilitandoUPnPeNATPMP 137HabilitandoOpenNTPD 139HabilitandoWakeOnLan(WOL) 140Habilitandoologexterno(servidorsyslog) 142UsandooPING 144UsandooTraceroute 145Fazerbackupdoarquivodeconfigurao 146Restaurandooarquivodeconfigurao 148AtualizaodoFirmwaredoUTM 150Capitulo8Pacotes 153InstalandooWebfilter 153ConfigurandooWebfilter 156AdicionandooDataClick179ConfigurandooBluePexDataClick180ApndiceAMonitoramentoeRegistros 190Introduo 190PersonalizarateladeStatusDashboard 190Monitoramentodetrfegoemtemporeal 192ConfigurandoSMTPdeemaildenotificao 193Vendooslogsdosistema 195Configurandoumservidordesyslogexterno 197VisualizaesdegrficosRRD 198

  • VisualizaesdemapeamentosDHCP 204Gerenciandoosservios206MonitoramentodefiltrodepacotescomPfInfo 207MonitoramentodetrfegocomPfTop 208Monitoramentodeatividadesdosistema 208Listadepacotesdisponveis 209Informaesdeautoria 209

  • Pgina1de212

    1ConfiguraoInicialNessecapitulo,iremosabordar:

    AplicandoconfiguraesbsicasemGeneralSetup Identificandoeatribuindointerfaces ConfigurandoaInterfaceWAN ConfigurandoaInterfaceLAN ConfigurandoInterfacesOpcionais HabilitandooSecureShell(SSH) GerandoChavesRSAAutorizada ConfigurandooSSHcomautenticaodeChaveRSA AcessandoporSecureShell(SSH)

    IntroduoOUTMsebaseiabasicamenteempacketfilteretomadecisesdetodasassuasfunes,efoi

    adicionadomaisumavariedadedeserviosderedesmaisusadas. NessecapituloiremosabordarasdefiniesbsicasparaimplantaodoUTM.UmavezoUTMinstaladoeconfiguradodeacordocomodescritonessecaptulo,vocvaiterumfirewalloperacionalquevaialmdeumroteador.Emseunvelmaisbsico,umamaquinaUTMpodeserusadoparasubstituirumroteadordomesticocomafuncionalidadequedeseja.Emconfiguraesmaisavanadas,UTMpodeserusadoparaestabelecerumtnelseguroparaumescritrioremoto,equilbriodecargadetrfego.ExistemrealmentecentenasdeformasdeseconfigurarumUTM.UmavezqueoUTMestinstalado,hduasmaneirasdeacessaroservidorremotamente,SSHeosWebGUI(paineldecontrole),umaconexoSSHvociriaveromenuigualaovistosevocplugasseomonitornoservidor,nomenudeopesdoSSHasopessobsicasemuitopoucodasconfiguraoalteradaaqui.TodaconfiguraodescritaemcadacapitulodolivrofeitaatravsdainterfaceWebGUI(paineldecontrole),quepodeseracessadaatravsdoendereodeipdequalquerinterfacequevocconfigurouduranteainstalao(como192.168.1.1)

  • Pgina2de212

    AplicandoConfiguraesbsicasemGeneralSetup NessemenuiremosabordarconfiguraesbsicasfeitasnoUTM.Sepreparando... TudoqueprecisoparafazerasconfiguraesumabasedeinstalaobemfeitaeacessoaoWebGUI(paineldecontrole).Algumasdessasconfiguraespodemtersidoconfiguradasduranteainstalaomasnadaimpedequepossasermodificadaaqualquermomento.Emumanovainstalaoascredenciaisdeacessopadro:Usurio:adminSenha:b1uepexutmComofazer

    1. VemSystem |GeneralSetup.2. DigiteumHostname.Essenomeserusadoparaacessaramaquinapelonomeenopeloendereo

    deIP.Porexemplopodemosacessardigitandoapenashttp://UTMemvezdehttp://192.168.1.1:

    3. DigiteodomnioemDomain.

    4. ServidoresdeDNSpodemserespecificadosaqui.PorpadrooUTMvaiatuarcomoDNSprimrioeessescamposficaroembranco.MasvocpodeusaroutrosservidoresdeDNS.ConsulteoDNSalternativonoCapitulo2ServiosEssenciais,paramaioresinformaes.

  • Pgina3de212

    5. MarcarAllowDNSserverlisttobeoverriddenbyDHCP/PPPonWAN.IssogarantequetodasassolicitaesdeDNSquenosoresolvidasinternamente,vopassaraserresolvidaspeloservidordeDNSdoseuprovedorISP.

    6. DigiteoFusoHorrioemTimeZoneedeixeopadroNTPtimeservercomo0.pfsense.pool.ntp.org.

    7. NomomentotemosapenasoTemapadro,Bluepex2.0.Osmenusdotopoagorasoestticosenovaidesaparecersevocpercorrerocontedodapgina.

    Vejatambm... ConfigurandoDNSForwardernocapitulo2ServiosEssenciais. EspecificandoDNSalternativonocapitulo2ServiosEssenciais.

    IdentificandoeatribuindoasInterfaces AquivamosdescrevercomoidentificareatribuirasconfiguraesapropriadasparacadainterfacenoUTM.SePreparando... VocprecisaidentificaroendereoMACdecadaplacaEthernetnoseuUTMantesdeatribuirasinterfaces.Comofazlo...

    1. AcessaroconsoledamaquinafsicaatravsdomonitorouativaroSSHacessandoremotamente(VejaativandooSecureShell(SSH)paramaisdetalhes).

    2. Atelainicialexibirumalistadeinterfaces,portasderedeeendereodeIP.

  • Pgina4de212

    3. Escolhaaopo1AssignInterfaces.4. PuleaconfiguraodeVLANsagora.VejaacriaodeVLANsnoCapitulo5ServiosEssenciaispara

    maisinformao.

    5. Atribuirparacadainterface,ainterfacedesuaescolhacorrespondenteaoendereoMACparacada

    endereodainterfacenatela.

  • Pgina5de212

    AcapacidadedeconfigurarapenasumainterfacenovoparaoUTM2.0,sendoquenasversesanterioreseraprecisoWANeLAN.

    Comoelefunciona... UTMcomoqualqueroutrosistemaoperacionalparacomputador,usareferenciaparacadaPlacadeRedeatribuindovalornicoparacadainterface(fxp0,em0,em1,eassimpordiante).EssesidentificadoresestoassociadosaodriveridentificadopelosistemaparatornarfcilanossaidentificaonahoradeassociaroMAC(00:80:0c:12:01:52).SendoassimumainterfaceumnomedadoacadaportaEthernet:fxp0=WAN,LAN=em0,em1=DMZ,eassimpordiante.Hmais... Agoravocsabequalportaestadirecionadaparaqualinterface,vocpodegerenciarasfuturasmudanasatravsdoWebGUI(paineldecontrole).IndoatInterfaces|(assign).

  • Pgina6de212

    Vejatambm...

    AcessandooSecureShellemSSH ConfigurandointerfaceWAN ConfigurandointerfaceLAN ConfigurandoInterfaceOpcional

    ConfigurandoWANinterface AquivamosaprenderaconfiguraroWideAreaNetwork(WAN)nainterfaceexternadonossofirewall.SePreparando... AinterfaceWANqueconectaseufirewallainternet.VocvaiprecisarconfigurarcorretamenteaWANinterface(comofoifeitonocapituloanterior)paraumaconexocomainternet.NoexemplovamosusarummodemviacaboqueforneceacessointernetviaDHCP,masoUTMpodefazeroutrostiposdeconexo.Comofazlo...

    1. VatInterfaces|WAN.2. MarqueEnableInterface.3. EscolhaotipodeconfiguraodeendereoemType.4. DeixeembrancooMACaddress.VocsvaiprecisarinserirendereoMACseforusarospoofing.O

    seuprovedornopodeverificarseusendereosMAC,entoatribuindomanualmentevocvaiforaroProvedorfornecerumIPouumconjuntodiferentedeDNS.

    5. DeixeMTU,MSS,Hostname,eAliasIPAddressembranco.

  • Pgina7de212

    6. MarqueBlockprivatenetworks.EssaconfiguraonormalmentemarcadaemumasWAN

    interface.7. MarqueBlockbogonnetworks.EssaconfiguraonormalmentemarcadaemumasWANinterface.8. CliqueemSave.

    Comoelefunciona... DevemosprimeirocriarumaconexocomainternetantesdecomearmosaconfiguraroUTMepermitirquearedeconecteainternetatravsdele.Secolocarmosonossofirewallcomonicamaquinacomacessodiretoainternet,estamosgarantindoumambienteseguro,estabelecendoumcontrolecompletosobreotrafegoquefluidentroeforadarede,todaotrafegodevepassaragorapelonossofirewallerespeitarasnossasregras.HMais... AgorapodemosconectarocaboderededomodemnainterfaceWANquedefinimosnaconfiguraoanteriordoUTM.Umavezconectadoocaboderede,podemosverificarostatusdeconexonaportaWANemStatus|Interfaces:

  • Pgina8de212

    Vejatambm...

    IdentificandoaAtribuindoasinterfaces ConfigurandointerfaceLAN Configurandointerfaceopcional

    ConfigurandoaInterfaceLANAquivamosaprenderaconfiguraroLocalAreaNetwork(LAN)interfaceinternadonossofirewall.

    SePreparando... AinterfaceLANusadaparaconectarseusdispositivosinternosemumaredeinternasegura.necessrioconfigurarainterfaceLANcorretamente.Comofazlo...

    1. VatInterface|Lan.2. MarqueEnableInterface.3. EscolhaaconfiguraodeendereoemType.4. DigiteseuipemIPaddressemascaradesubrede.DeixeGatwayemNone.

  • Pgina9de212

    5. DeixeBlockprivatesnetworkeBlockbogonnetworksdesmarcadas.6. CliqueemSave.

    Comoelefunciona Vocacaboudeconfigurarsuaprimeiraredeinterna.Sevocfezaconfiguraodeacordocomolivro,agoravocjconheceosrequisitosmnimosparaumbomfuncionamentodeumfirewall!Vocjdefiniuumaredeexterna(WAN)eumaredeinterna(LAN).Agoravocpodedefinirasregrasdetrafegoentreosdois.HMais... AgoravocpodeconectarocaboderededaredeinternanainterfaceLANdoseuUTM.Issopermitiraquevocseconecteaoscomputadoresdaredeinterna.Vejatambm...

    IdentificandoaAtribuindoasinterfaces ConfigurandointerfaceWAN Configurandointerfaceopcional

  • Pgina10de212

    ConfigurandoInterfaceOpcional Aquiiremosdescrevercomocriareatribuirinterfacederedeopcionalnonossofirewall.SePreparando... Aredeopcionalquevocvaicriarnesseexemplo,serefereaumaDMZ.AidiadeusarZonaMilitarDesmilitarizadadepermitirapassagemdetrafegodiretaouno.AidiadoDMZcontrolaresepararsedeoutrasreas,seaplicaDMZnesseexemplo:Trafegodeinternet|DMZTrafegoredeinterna OtrafegodeinternetinseguropermitidoentrarnaDMZ,paraacessarumservidorwebporexemplo.OtrafegodaLantambmpodeentrarnaDMZsequiseracessaroservidorwebtambm.NoentantoopontochaveficanaultimaregranopermitindoaentradadeDMZnaredeinterna. AredeDMZaredemenossegura,vamospermitiracessoexternosadeterminadoIP,paraconfigurarumaDMZouqualqueroutraredeopcional,vamosprecisardeoutrainterfacedisponvel.Comofazlo...

    1. Vatumainterfacedisponvel,Interfaces|OPT12. MarqueEnableInterface.3. EmDescriptiondigiteDMZ.4. EscolhaaconfiguraodeendereoemType,noexemplofoiescolhidoStatic.5. DigiteemIPAddressoipeselecioneotipodemascara.Usaremoso192.168.2.1eselecioneotipode

    mascaraapartirde24nalista.6. DeixeGatewayemNone.

  • Pgina11de212

    7. DeixeBlockprivatesnetworkseBlockbogonnetworksdesmarcados.8. CliqueemSave.

    9. CliqueemApplyChanges.

    Comoelefunciona SuaredeDMZvaipermitiracessoexterno(WAN).SuaDMZtambmpermitiraacessoapartirdaLAN,masnoteropermissodeenviartrafegoparaLAN.IssoirpermitirqueasrequisiesvindasdainternetparaacessarrecursosdoseuDMZ(websites,email,assimpordiante)noenxerguemsuaredeinterna(LAN).Hmais... AgoravocpodeconectarumswitchligadointerfaceDMZparaseconectaremvariasmaquinas.Iriaficarcomoodiagramaaseguir:Vejatambm...

    OIdentificandoaAtribuindoasinterfaces OconfigurandointerfaceWAN OconfigurandointerfaceLAN

  • Pgina12de212

    HabilitandooSecureShell(SSH) AquiiremosdescrevercomohabilitaroSecureShell(SSH)noUTM.Sepreparando... SSHumprotocoloderedequepermiteqcomunicaocriptografadaentredoisdispositivos.AtivandooSSHpermitiacessoseguroparaoconsoledoUTMremotamente,comosevocestivessesentadonafrentedoservidorcomoUTM.Comofazlo...

    1. VatSystem|Advanced|SecureShell.2. MarqueEnableSecureShell.3. VoceserasolicitadoafornecercredenciaisquandovocseconectarremotamenteporSSH(useo

    mesmonomedeusurioesenhaquevocconectaporWebGUI),vocpodemarcarDisablepasswordloginforSecureShell.IssoirapermitirqvocusechaveRSA,vejamaisafrenteparamaioresinformaes.

    4. DeixeSSHPortembranco,quevaiserusadoportapadro22.

    5. CliqueemSavequeoserviodeSSHhabilitadoautomaticamente.Comoelefunciona... AtivandooSecureShellSSHpermitiaoUTMouvirasrequisiesdaporta22ouaportaquevocespecificaremSSHPort. Assimcomotodososservios.OservioSSHirouviremcadainterfacedisponvel.Assimcomooutrosservios,regrasdefirewallsousadasparapermitiroubloquearacessoaessesservios.ConsulteoCapitulo3ConfiguraesGeral,paraobtermaisinformaesdecomoconfigurarregrasdefirewall.Hmais... MudandoomtododeautenticaodoSSHparausarchavesRSAumatimamaneiradeprotegeracessoaoseusistema.Vejaabaixoparamaisdetalhes. AlmdissovocpodealteraraportaemqueoservidorescutaoSSH.Fazendoissovocpodeaumentaraseguranaaindamaisdoseusistema,reduzindoonumerodetentativasdeloginnoautorizado,masprecisoselembrardaportaquevocalterouseno,noirpoderseconectarnovamente.

  • Pgina13de212

    Vejatambm... OGerandoChavesautorizadasRSA OCriandoregrasdefirewallnoCapitulo3ConfiguraesGeral

    GerandoChavesautorizadasRSA AquivamosdescrevercomociarumachaveRSAautorizadaparaqueumusuriopossaseconectaraoUTMsemsersolicitadoumasenha.Sepreparando... UsuriosdeLinuxeMacteroqueterosshkeygeninstaladoemseusistema(quasetodasasdistribuiesjvminstaladoporpadroemseusistema).UsuriosdoWindowsteroquebaixareinstalaraferramentaPuTTYgen.Comofazlo... GerandochavesSSHemcomputadoresLinux/Macdaseguintemaneira:

    1. Abrirterminaledigite:ssh-keygen

    2. Guardarachavenolocalpadro/home/user/.ssheespecificarumasenha(opcional,masrecomendado).

    3. Suachavepublicaestalocalizadaagoraem/home/user/.ssh/id_rsa.pub

  • Pgina14de212

    GerandochavesSSHemcomputadoresWindowsusandoPuTTYdaseguinteforma:

    4. AbraPuTTYgenegereumpardechavespublica/privadaclicandonobotoGenerate.5. Digiteumasenha(Opcional,masrecomendado)6. CliqueemSavePrivateKeyeescolhaumlocalcomoC:\MyPrivateKey.ppk

    7. Selecioneachavepublicaqfoigeradanacaixadetexto,copieecoleemumnovoarquivo,digamos

    C:\MyPrivateKey.txt(NouseobotoSavepublickeyqueadicionacomentrioseoutroscamposquesoasvezesincompatveis).

  • Pgina15de212

    Comoelefunciona... ChavesRSAsetornaramumpadroparaprotegerasconexesdeCliente/Servidorparaqualquerservio.Umclientegeraumpardearquivosumachaveprivadaeumachavepublica(umasenhaopcionalpodeserusadaparamaiorsegurana),agoraqualqueradministradordoservidorpodeadicionarumachavepublicadeclientesemseusistema,eoclientepodeseautenticarnoservidorsemprecisardigitarumasenha.Hmais... AutenticaodechaveRSAmaisusadacomacessoSSH,emuitasvezessereferemaelacomoChavesSSH,masissonoverdade.ChaveRSAumaformadeseguranaquetambmpodeserusadaemSSH.EmboramuitousadoemSSHelatambmpodeserusadacomoVPN,VoIP,FTP,eassimpordiante.Vejatambm...

    OHabilitandooSecureShell(SSH) OGerandoChavesautorizadasRSA

  • Pgina16de212

    ConfigurandoSSHcomautenticaodechaveRSA AquivamosdescrevercomoconfiguraroUTMparausarumachaveRSAemvezdesenhaparaautenticaoSSH.Sepreparando... CertifiquesequevocjativouoSSHejgerouumachavepublica.Comofazlo...

    1. VatSystem|Advanced|SecureShell2. MarqueDisablepasswordloginforSecureShell(RSAkeyonly).

    3. Editarousurioqueirassociarcomachavepublica,vemSystem|User|Manager|Editadmin.

    4. ColeemAuthorizedKeysachavepublicadoclienteRSA.Quandoeleforcolado,achavedeveapareceremumanicalinha.Certifiquesedequeseueditordetextonoinsiraquaisquercaracteresquealimentealinhadoespaoouentoaautenticaopodefalhar.

    5. CliqueemSave.

    Comoelefunciona...QuandoumclienteseconectarporSSH,nosersolicitadoumasenha.Aoinvsdisso,oSSHusaasuacopiadachavepublicaRSAparaenviarumacomparaocomachaveprivadadoclientecorrespondente.

    Hmais...ChavesRSAprivadastambmpodemsersalvascriptografadasnamaquinadocliente.OclienteSSHvaipedirumasenhaparadescriptografarachaveprivadaantesdeserusadaparaautenticaocomoservidor.

  • Pgina17de212

    Vejatambm... HabilitandooSecureShell(SSH) GerandoChavesautorizadasRSA AcessandooSecureShellemSSH

    AcessandooSecureShellSSHAquivamosdescrevercomoacessaroconsoledoUTMusandoclienteLinux,MacouWindows.

    Sepreparando...OSSHjdeveestarhabilitadoeconfiguradonoUTM.UsuriosdoLinux,MacterooclienteSSHinstaladoporpadro.OsusuriosWindowsteroqbaixaroPuTTY.

    Comofazlo...ConectandoviaSSHusandoclienteLinux/Mac:1. Abraajaneladoterminaleexecute:

    ssh [email protected] 2. Sevocestiverusandoaconfiguraopadro,entosersolicitadoumasenha.3. SevocestiverusandochavedeautenticaoRSA,vocvaiserconectadodiretamenteouser

    solicitadoadigitarumasenhaassociadacomsuachave.Seprecisarespecificaralocalizaodoseuarquivodechaveprivada,vocpodeusaraopoidessaforma:ssh -i /home/matt/key/id_rsa [email protected]

    4. SevoceconfigurouoUTMparausarumaportadiferente,vocpodeespecificarusandoaopop,igualoexemploaseguir:ssh -p 12345 [email protected] ConectandoviaSSHusandoclienteWindowscomoPuTTY:

    5. AbraoPuTTYedigiteoHostameouoIPdoservidor6. Especifiqueumaportaalternativasehouveranecessidade,apadro22.7. SevocusarachavedeautenticaoRSA.Procureoarquivodachaveprivadaem

    Connection|SSH|Auth|Privatekeyfileforauthentication.

  • Pgina18de212

    8. Vocvaiseconectaresersolicitadoumnomedeusurio.9. Vocvaiterqdigitarumasenha,ousevocusarautenticaoporRSAvocvaiserconectado

    diretamenteouvaisersolicitadoumasenhaparadescriptografarsuachaveprivada.Comoelefunciona...

    OSSHpermiteteracessoaoconsoledeconfiguraodoUTMapartirdequalquercomputadorquetenhaumclienteSSH.Vocpodeatacessaroconsoleapartirdoseutelefone,sevocinstalaroclienteSSHnoseudispositivomvel.

    Vejatambm... OHabilitandooSecureShell(SSH) OGerandoChavesautorizadasRSA ConfigurandoSSHcomchavedeautenticaoRSA

  • Pgina19de212

    2ServiosEssenciaisNessecapitulo,iremosabordar:

    ConfigurandooServidorDHCP CriandoDHCPcommapeamentoesttico ConfigurandooDHCPrelay EspecificandoDNSalternativo ConfigurandooDNSForwarder ConfigurandoservidordeDNS/DHCPdedicado ConfigurandoDNSdinmico

    IntroduoDepoisdeinstalaroUTMeexecutarospassosseconfiguraoinicial,temosagoraaestruturabsicadonossosistemafuncionando,atagoratemos:

    Determinamosanecessidadedonossosistema ConfiguramosoacessoporSSH ConfiguramosaWAN,LANeoOpcionalDMZ

    AgoraestamosprontosparacomearaconfigurarosserviosderedeessenciaisqueonossoUTMvaiproporcionar.

    OserviodeDHCPpermitequeasestaespeguemendereosdeipautomaticamente. OserviodeDNSconverteosIPsemnomeslegveisdeendereodeinternet,eviveversa. OserviodeDNSdinmicopermiteoUTMatualizarautomaticamenteoregistroeDNSao

    publicoassimqelemudar.

  • Pgina20de212

    ConfigurandooservidorDHCP AquiiremosdescrevercomoconfiguraroserviodeDHCPdoUTM.OserviodeDHCPatribuiumendereodeipaqualquerclienteqsolicitarum.Sepreparando... OUTMspodeserconfiguradocomoumservidordeDHCPseainterfaceestivercomendereodeipesttico.NesselivroiremosabordarainterfaceLANeDMZ,enoaWAN.OExemploabaixoabordaconfiguraroservidorDHCPparaainterfaceDMZ.Comofazlo...

    1. VaServices|DHCPServer.2. SelecioneaabaDMZ.3. MarqueEnableDHCPServeronDMZinterface.

    4. SelecioneemRangeosipsqueosclientespoderousar.OsipsdeveroestardentrodafaixadeipcontidaemAvailablerange.

    5. CliqueemSaveparasalvarehabilitaroserviodeDHCP.6. CliqueemApplyChangesnecessrioparaqueasalteraesentreemvigor.

    Comoelefunciona...OservidorDHCPaceitaassolicitaesderequerimentodeIP,eatribuiumipdisponvelsemquehajaalgumproblemadeduplicidadedeIP.

    Hmais...UmservidorDHCPmandaumipdisponvelparaumclientequeestejasolicitando,provvelquequandooclientefaanovamenteasolicitaooipqueoservidormandavaimudaracadapedido.ParagarantirqueoclientesemprerecebaomesmoendereodeIPpodemoscriarummapeamentoestticodoDHCP.Vejanoprximoexemplo.

  • Pgina21de212

    Negarclientesdesconhecidos Habilitandoessaopogarantequeapenasosclientescommapeamentocadastradoiroreceberendereosdeip.SolicitaesdeDHCPvindodeclientesnocadastradosseroignoradas.diferentedoquemarcaraopoEnablestaticARPentriesondeosclientesdesconhecidosiroreceberendereosdeip,masnovosercapazesdesecomunicarcomofirewalldenenhumaforma.

    ServidordeDNS VocpodeespecificarmanualmentequalDNSosclientesiroseratribudos.SedeixarembrancooUTMiratribuiroDNSemumadasduasformas:

    SeoDNSforwarderestiverhabilitado,oDNSvaiseroIPdainterfacelocaldoUTM,issoporqueoDNSForwardertornaaprpriamaquinaUTMemumservidorDNS.

    SeoDNSforwarderestiverdesabilitado,entodeveroserconfiguradosemGeneralSetuposendereosdeDNS.Eclaro,seAllowDNSserverlisttobeoverriddenbyDHCP/PPPonWANestiverhabilitadoemGeneralSetuposservidoresDNSseroobtidosatravsdaportaWAN.

    GatewayOgatewaydasmaquinasclientesporpadroseroipdainterfacelocalusadacomoservidordeDHCP,maspodesermudadacolocandoumvalor,senecessrio.

    DomainName OnomededomnioconfiguradoemGeneralSetupvaiserusadocomopadromaspodeserusadoumnomededomniodiferenteespecificadosehouveranecessidade.

    DefaultLeaseTime umvalorquepodeserusadoparaespecificarumtempomnimoqueexpireoacessoporDHCP.Otempopadro7200segundos

    MaximumLeaseTimeumvalorquepodeserusadoparaespecificarumtempomximoqueexpireoacessoporDHCP.Otempopadro86400segundos.

    FailoverPeerIP SistemaquepodeconfigurarumendereodeipquesirvacomoFailOverdebalanceamentodecarga.VejaaconfiguraodebalanceamentodecargaeFailOvernocapitulo6.

  • Pgina22de212

    StaticARP HabilitandooStaticArpvaipermitirquesomenteosipscadastradosnomapeamentoestticodeDHCPirosecomunicarcomofirewall.Clientesnocadastradosatpoderopegaripmasnosecomunicarocomofirewall. IssodiferentedeDenyunknownclientesondeosipsquenoestocadastradosnemsequerchegamapegarip.

    DynamicDNS PermitequeosclientessejamregistradosautomaticamentecomodomniodeDNSdinmicoespecificado.

    AdditionalBOOTP/DHCPOptions Digiteumvalorasuaescolhaobedecendoasregraslistadasnessesite:http://www.iana.org/assignments/bootpdhcpparameters/bootpdhcpparameters.xmlVejatambm...

    CriandomapeamentoestticoporDHCP ConfiguraodebalanceamentodecargaeFailOvernocapitulo6.

    CriandoDHCPcommapeamentoesttico AquivamosdescrevercomoativareconfiguraromapeamentoestticodoDHCPnoUTM.OmapeamentoestticogarantequeoclientesemprepegueomesmoIP.Sepreparando... ODHCPcommapeamentoestticosseaplicaparaasinterfacesqueutilizamoserviodeDHCP.Comofazlo...

    1. VatStatus|DHCPleasesentovocveralistadeclientesquefizeramarequisiodeipproDHCP.

    2. Entocliquenobotocomosmbolo+paraadicionaroipnomapeamentoesttico.

  • Pgina23de212

    3. OendereoMACsercadastrado.4. DigiteemIPaddressoipquevocdesejaatribuirparaaquelecliente,esseiptemqueestarfora

    dosipscadastradosemRange,queessevaiseratribudoparaoutrosclientesquefizeremarequisiodeip.

    5. DeixeoHostnamejpreconfigurado,ouentodigiteumasuaescolha.6. EmDescriptiondigiteumadescrioquevocpossaidentificarocomputadordocliente.

    7. CliqueemSave.8. CliqueemApplyChanges,vatapginaDHCPServernofinaldapaginavocvaivero

    mapeamentoquefoicriado.

    Comoelefunciona...

    QuandoumclientefazumarequisiodeipautomticonoservidorDHCPdoUTM,seoendereoMACestivercadastradonomapeamentoentooclientepegaoipcadastradoreferenteaoMAC.SeoMACnoestivercadastradoentoatribudoumipaoclientedentrodagamadeipcadastradoemRange.

    Hmais...OsipscadastradosnomapeamentoestticopodemservistosnapaginaDHCPServernaparte

    inferiordapgina,vocvaiatServices|DHCPServer|Interfaceselecionandoaabacorrespondentedainterface.

    Todososipsestticoscadastradosvocvernessatela,vocpodemodificar,remover,atcriarumnovoipestticoparaocliente,massevoccriarporaquioendereoMACvaiprecisarseratribudomanualmente.

  • Pgina24de212

    Vejatambm...

    OConfigurandoservidorDHCP OConfigurandoservidorDHCPrelay

    ConfigurandooDHCPrelay AquivamosconfiguraroDHCPpararetransmitirpedidosDHCPdeoutrodomnio.EspecificandooDHCPrelaymaisumaalternativaparaconfiguraroDHCPnoUTM.Sepreparando... ODHCPrelayspodeserativadoseoserviodeDHCPdetodasasinterfacesestiverdesativado,vocpodedesativaroserviodaseguinteforma:

    1. VatServices|DHCPServer|Interfaceselecionaaaba(aLANporexemplo).2. DesmarqueaopoEnableDHCPServeronLANInterface.3. CliqueemSave.4. EcliqueemApplyChanges.

    Comofazlo...

    1. VatServices|DHCPrelay.2. MarqueaopoEnableDHCPrelayonInterface.3. SelecionequalinterfacevaiusaroDHCPrelay,sequiserselecionarmaisdeumainterfaceclique

    nasduascomobotoctrlpressionado.4. EmDestinationServerdigiteoendereodeipdoservidorDHCPquevocdesejausarcomo

    destino.Vriosippodemserusadosdesdequesejamseparadosporvirgula.5. CliqueemSave.6. CliqueemApplyChanges.

  • Pgina25de212

    Comoelefunciona...

    OUTMpodeserconfiguradopararetransmitirumpedidodeDHCPfeitoaoutroservidorDHCPexistente,qualquerpedidodeDHCPserenviadoaoservidorcomoipconfiguradoemDHCPrelayedevolvidaarespostaaoclientequerequisitou.AppendCircuitIDandAgentIDtoRequests MarcandoessaopooUTMpodetambmacrescentarnasrequisiesdeipsuaidentificaojuntoaopedidodeipsehouveranecessidade.UsandooDHCPrelaypelainterfaceWAN UsandooDHCPrelaypelainterfaceWANnofoiimplementadoataverso2.0doUTMquandofoifeitoolivro.

    Vejatambm... OConfigurandoservidorDHCP OConfigurandoservidorDHCPrelay

    EspecificandoDNSalternativo AquivamosdescrevercomousaroDNSalternativo,quesejadiferentedoconfiguradoporpadropeloUTM.Sepreparando... QuandosetrataderesoluodenomesDNS,namaioriadosambientesfornecidapeloseuprovedordeinternetISPatravsdaWAN.PorpadronoprecisodefinirnenhumDNS,porqueatribudopeloprprioUTMseaopoAllowDNSserverlisttobeoverriddenbyDHCP/PPPonWANestivermarcada.MasseporalgummotivovocquiseratribuiroutroDNSalternativoterqueseguirosseguintepassos.Comofazlo...

    1. VemSystem|GeneralSetup

  • Pgina26de212

    2. ODNSServersterqueconterasseguinteconfiguraes: EspecificaroIPegatewayparacadalinhadoDNSServers. DesmarqueAllowDNSserverlisttobeoverriddenbyDHCP/PPPonWAN.

    3. CliqueemSave.4. CliqueemApplyChanges.

    Comoelefunciona... OsservidoresDNSespecificadosmanualmentesempreteroprioridadeamenosseforsubstitudopelasseguintesopes. OsservidoresDNSqueforamcolocadosnoexemplososervidorespblicosquepodemserusadosparadiagnosticarproblemasdeDNS.

    UsandooDNSForwarder SeoDNSForwarderestiverhabilitadopodemossubstituirosservidoresDNSpordomniosindividuaisouatmesmodispositivosindividuais.ParasabermaisinformaesconsulteoConfigurandooDNSForwarder.ODNSForwardertempreferenciasobretodosospedidosdeDNS.

    UsandooDNSdasuaWAN QuandoAllowDNSserverlisttobeoverriddenbyDHCP/PPPonWANestivermarcado.OUTMusaroDNSdaWANsefalharentopassarausarosDNSslistadoscadastrados.DepoisdoDNSForwarderelequetemprefernciasobreospedidosdeDNS.Vejatambm...

    OConfigurandoDNSForwarder.

  • Pgina27de212

    ConfigurandooDNSForwarder AquivamosdescrevercomoconfiguraroDNSForwardernoUTM.ODNSForwarderdoUTMpermiteagircomoumservidordeDNScomumasriedevantagens.Sepreparando... ODNSForwarderpermiteoUTMresolverospedidosdoDNSusandoohostnameobtidopeloserviodeDHCP,oumanualmentesevocinseriuasinformaesmanualmente.ODNSForwardertambempodeencaminhartodasassolicitaesdeDNSparaumdeterminadodomnioespecificadomanualmente.Comofazlo...

    1. VemServices|DNSForwarder|EnableDNSForwarder2. SeRegisterDHCPleasesinDNSForwarderestivermarcado,todososdispositivosemStatus|

    DHCPLeasesusarafunodoDNSForwarder.3. SeRegisterDHCPstaticmappingsinDNSForwarderestivermarcado,todososdispositivos

    conectadosemapeadosemqualquerabadeinterfaceemServices|DHCPServerusaroservidorconfigurado.

    4. EspecificandoindividualmenteemHostsestarusandoosregistrosdoDNS.Clicandonoboto+

    vocadicionaumregistro,dispositivoscadastradosnessalistaterseupedidoimediatamentedevolvidotendopreferencia.

    5. VocpodeespecificarumDNSemparticularemDomain,clicandonoboto+paraadicionarumregistro.Essesregistrossoverificadosimediatamentelogodepoisdosregistrosindividuaisacima,porissoaquipodeterpreferenciaemregistrosexistentesemoutroslugares.

  • Pgina28de212

    6. CliqueemSave.7. CliqueemApplyChanges.

    Comoelefunciona...SeoDNSForwarderestivermarcado,elevaiterprioridadesobretodosospedidosdeDNS,arespostavainaseguinteorigem:1. Registrodedispositivosindividuais(Services|DNSForwarder).2. Registrodedomniosespecficos(Services|DNSForwarder).3. MapeamentodeDHCPesttico(Services|DHCPServer|Interface)selecioneaaba.4. DHCPLeases(Status|DHCPLeases).

    Vejatambm... OConfigurandooservidorDHCP OCriandooDHCPcommapeamentoesttico OConfigurandooservidorDHCP/DNSdedicado

    ConfigurandooservidorDHCP/DNSdedicado AquivamosdescrevercomoconfiguraroUTMcomDNSeDHCPdedicadoComofazlo...

    1. ConfigureoUTMcomoservidorDHCP.VejaConfigurandooservidorDHCP.2. Crieummapeamentoestticoparacadadispositivoquevseconectarcomipautomticoemseu

    sistema.3. VemSystem|GeneralSetup

  • Pgina29de212

    4. SecertifiquequenenhumoutroDNSestaconfiguradonalista.5. MarqueaopoAllowDNSserverlisttobeoverriddenbyDHCP/PPPonWAN,nessemodoo

    UTMvairesolverosnomesdeDNSvindodiretodainterfaceWAN.6. CliqueemSave.7. CliqueemApplyChangessenecessrio.

    8. VatSystem|DNSForwarder9. MarqueEnableDNSForwarder.10. MarqueRegisterDHCPstaticmappingsinDNSForwarder.

    11. CriarumregistroemHostparaqualquerdispositivoquepreciseserresolvido,masnopodeestar

    nomapeamentoDHCP(eledeveserconfiguradoipmanualmente)

  • Pgina30de212

    12. CriarumregistroemDomainparatodosospedidodeDNSquevocgostariaquefossedirecionadoparaumdeterminadodomnio.

    13. CliqueemSave14. CliqueemApplyChanges.

    Comoelefunciona...SeoDNSForwarderestiverhabilitado,todasassolicitaesdeDNSdecadainterfaceser

    solicitadopeloUTM.RegistrosindividuaiscadastradosemHostvoserverificados,seeleforcorrespondidoentoeleimediatamentedevolvido.

    SehabilitaroRegisterDHCPStaticMappingsvocnoterquesepreocuparcomcriaoderegistrosDNSparaosdispositivos.EsseomeumtodopreferidodeusaroUTMcomoumservidordeDNS.Contandoqueterquemapeartodososendereosdeipparacadadispositivodaredequeohostnameresolverautomaticamente. UsandoessemtodonosvamosterqueadicionaroshostnameseipsdecomputadoresquenousaremDHCPquedevemserpoucosnarede.

    RegistrandoemDHCPLeasesoDNSForwarder SeRegisterDHCPLeasesinDNSForwarderestivermarcado,oUTMvairegistrarquaisquerdispositivosquetiverumhostnameefizerumpedidodeDNS.AdesvantagemclaroquenemtodososdispositivosvoseconectarsenoestivercadastradonomapeamentoestticodoDHCP,euprefiroregistrartodos.Vejatambm...

    OConfigurandooservidorDHCP OCriandooDHCPcommapeamentoesttico OConfigurandoDNSForwarder

  • Pgina31de212

    ConfigurandoDNSDinmico AquivamosdescrevercomoconfiguraroserviodeDNSdinmiconoUTM.Sepreparando... NoUTMjvemintegradooserviodeDNSdinmicopermitindoatualizarautomaticamentetodavezquemudaoendereodeipdainterface.Comofazlo...

    1. VemServices|DynamicDNS2. CliquenaabaDynDNS3. Cliquenoboto+paraadicionarumnovoregistro4. EscolhaoServiceType(Ouseja,oprestadordeserviodeDNSdinmico)5. EspecifiqueemInterfacetoMonitorainterfaceligadanainternetpelaqualdesejaconfigurar

    (geralmenteusadaainterfaceWAN)6. DigiteemHostnameonomequevoccriounoprovedordoDNSdinmico,noexemplooDynDNS7. MarqueoWildcard,seforocaso8. DigiteemusernameepasswordascredenciaisquevocconfigurounoprovedordeDNSdinmico,

    noexemplooDynDNS.9. DigiteemDescriptionumadescrioqualquerquevocpossareconhecerposteriormente.10. CliqueemSave.11. CliqueemApplyChanges.

  • Pgina32de212

    Comoelefunciona... Semprequeoendereodeipmudadainterface,oUTMautomaticamenteseconectacomoprovedordeDNSdinmicousandoascredenciaiscadastradaseatualizatodososdados.

    ServiosdeprovedoresdeDNSdinmicocadastradosOUTMjvemcomosprovedoresdeDNSdinmicomaisusadosjcadastrados:

    DNS0Matic DynDNS DHS DyNS easyDNS Noip ODS ZoneEdit Loopia freeDN DNSexit OpenDNS NameCheap

    EspecificandoumservioalternativousandooRFC2136 MassevocquiserusarumprovedorDNSdinmicoquenoestejacadastrado,vocpodeusareledesdequeobedeaaopadroRFC2136.VemServices|DynamicDNS|naabaRFC2136,emseguidapreenchanoscamposapropriadososdadosfornecidopeloseuprovedordeDNSdinmico.

  • Pgina33de212

    3ConfiguraoGeral Nessecapitulo,iremosabordar:

    CriaodeAlias CriaoderegrasemNatportforward Criaoderegrasnofirewall Criandoagendamento Acessoremotoaodesktop,usandoexemplocompleto

    Introduo Aprincipalfuncionalidadedequalquerfirewallacriaodeportas,regrasdesegurananofirewall,enoUTMnodiferente.Estascaractersticas,eoutras,podemserencontradasnomenuFirewallnapaginaprincipaldaWebGUI. Nestecapitulovamosexplicarcomoconfiguraressasregraseexplicarcadacaractersticasassociadasacadauma,depoisdeterfeitodetudoumpoucovocvaiveroquantofcilaconfiguraodofirewalldoUTM.

    CriandoAlias Aquivamosexplicarcomousar,criar,editareexcluirAlias.OAliasforneceumgraudeseparaoentreasregrasevaloresquepodemmudarnofuturo(porexemplo,endereosdeIP,portas,eassimpordiante).semprebomusarAlias.Comofazlo...

    1. VemFirewall|Aliases2. Cliquenoboto+paraadicionarumnovoAlias.3. EmNamedigiteonomedoAlias4. EmDescriptiondigiteumadescrioprviadoquevocvaiquerernesseAlias5. SelecioneumtipodeAliasemType.Suaconfiguraoaseguirvaisebasearnoquevoc

    selecionar.

  • Pgina34de212

    VejaquehmaistiposdeAlias,nasseesseguintesvamosverdetalhessobrecadaumadelas(Host,Rede,UsuriosOpenVPN,URLetabelasURL)

    6. CliqueemSave.7. CliqueemApplyChanges.

    Comoelefunciona... UmAliasumlugardesuporteparaobterinformaesquepodemmudar.UmAliasdehostumbomexemplo,podemoscriarumAliasdehostchamadoComputador1,eguardarumendereodeip192.168.1.200. PodemosentocriarvariasregrasdefirewalleNateusaronomeComputador1emvezdeespecificamenteoendereodeIPdoComputador1.SeoendereodeipdoComputador1mudar,smudarnoAliasoipreferenteaoComputador1aoinvsdemudarinmerasregrascriadasparaaqueleip. OsAliaspermitemeflexibilidadeetornasimplesalgumasmudanasfutura.semprebomusarAliasessemprequepossvel.Hmais... AdicionandoAliasdentrodeAlias,tambmumatimamaneiradegerenciaresimplificarregras.ParamostraropoderdoAlias,digamosqueanossaorganizaotemumtelefoneVoIPnico,quedevesecomunicarcomonossoservidorVoIP.UmexemplodessaregrasemAliasaseguinte:

  • Pgina35de212

    Umexemplomelhor,usandoAlias,aseguinte:

    UmexemploaindamelhorusandosubAlias,seguinte:

    ComosubAliasnospermitemodificarfacilmentemaistelefones,bastamodificarumAlias.

    HostAlias SelecionandoHost(s)comotipodeAliaspermitequevoccrieumAliascontendoumoumaisendereosdeIP:

  • Pgina36de212

    NetworkAlias SelecionandoNetwork(s)comotipodeAlias,permitequevoccrieAliasumoumaistiposderedes(ouseja,intervalosdeendereoderede).

    PortAlias SelecionePort(s)comotipodeAlias,permitequevoccriealiascomumoumaisportas:

    URLAlias* SelecionandoURLcomotipodeAlias,permitequevoccrieumoumaisaliascontendoURLs:

    *Disponivelapenasnaverso2.0.3

  • Pgina37de212

    URLTableAlias* SelecionandoURLTablecomotipodeAlias,permitequevoccrieumaURLnicaapontandoparaumagrandelistadeendereos.Issomuitoimportantequandovocprecisaimportarumagrandelistadeendereosdeipse/ousubredes.*Disponivelapenasnaverso2.0.3

    UsandooAlias OAliaspodeserusadoemqualquerlugarquevocvejaumacaixadetextodacorvermelha.BastacomearadigitarqueoUTMvaiexibirqualquerAliasdisponvelcorrespondentecomotextoquevoccomeouadigitar.

    EditandooAlias ParamodificarumAliasexistente,sigaessespassos:

    1. VatFirewall|Aliases2. CliquenobotodeedioparaeditaroAlias3. Faaasmudanasnecessrias4. CliqueemSave5. CliqueemApplyChanges.

    DeletandoumAlias:PararemoverumAliasexistente,sigaessespassos:1. VatFirewall|Aliases.2. CliquenobotodedeleteparadeletaroAlias3. CliqueemSave4. CliqueemApplyChanges

    ImportandodadosemlotesnoAlias ParaimportarumalistadevriosendereosIP,sigaestespassos:

    1. VatFirewall|Aliases2. CliquenobotodeimportaodeAliasparaimportaremlotes.3. DigiteumnomeparaaimportaoemAliasName

  • Pgina38de212

    4. DigiteumnomeparadescriodoAliasemDescription.5. ColealistadeendereosquevocquerimportarumporlinhanoAlias

    6. CliqueemSalvar.7. CliqueemApplyChanges

    Vejatambm... OCriandoNatcomregradePortForward OCriandoregrasdeFirewall.

    CriandoNatcomregrasdePortForward Aquivamosdescrevercomocriar,editareexcluirregrasdePortForward.Sepreparando... AcomplexidadedasregrasdePortForwardpodevariarmuito.TodososaspectosdeumaregradePortForwardsoaprofundadosmaisadiante.OseguintecenrioumexemplotpicodePortForwardparaencaminharqualquersolicitaorecebidapelaweb(HTTP)paraumcomputadorjconfiguradocomoservidorwebComofazlo...

    1. VatFirewall|NAT2. SelecionaaabaPortForward.3. Cliqueem+paraadicionarumaregradePortForward.4. EmDestinationportrange,escolhaHTTPemfrometonacaixademenu

  • Pgina39de212

    5. EmRedirecttargetIPespecifiqueoservidorwebdetrfegoparaqualvaiserencaminhado,podeserporAliasouIP.

    6. EmRedirecttargetPortescolhaHTTP.7. DigiteumadescrioemDescription,noexemplousamosForwardHTTPtowebserver18. CliqueemSave.9. CliqueemApplyChanges.

    Porpadroumaregradefirewallcriadaparapermitirqueotrfegopasse,masmuitoimportantelembrarqueasregrasdeNATeFirewallsodistintoseseparados.AsregrasdeNATservemparaencaminharotrfego,enquantoasregrasdefirewallsoparapermitiroubloquearotrfego.muitoimportantelembrarquesporqueumaregraNATestaencaminhandoumtrfego,noquerdizerqueoFirewallnopossabloquearela.Comoelefunciona... TodootrfegopassaatravsdalistaderegrasdeNAT,comosseguintescritrios:

    Interface Protocolo Origemeintervalosdeportasdeorigem DestinoeintervalosdeportasdedestinoSetodootrfegocorrespondeatodososcritriosdestaregra,queotrfegoserredirecionadoparaoRedirecttargetIPeRedirecttargetportespecficos. AssimcomotodasasregrasdoUTM,regrasdeNATsolidasdecimaparabaixo,aprimeiraregraexecutadaimediatamenteeorestanteignorado.

  • Pgina40de212

    Nossosexemplospodemserlidosassim: Otrfegode:

    AInternet(Interface:WAN) Apartirdequalquercliente(Source)emqualquerporta(SourcePortRange)Indopara: NossoendereodeIPPublico(DestinationWANaddress) Comumpedidodewebsite(Protocol:TCP,DestinationPortRange:HTTP)Serredirecionadopara: Umcomputadoremparticular(RedirectTargetIP:Webserver1) Comomesmopedido(Protocol:TCP,RedirectTargetPort:HTTP)

    Hmais... AsregrasdeNATpodemserconfiguradasusandoumavariedadedeopes:

    Disabled:AtivaoudesativaaregradeNATmarcandoessaopo. NoRDR(NOT):Ativandoessaopoirdesativaroredirecionamentodetrfego. Interface:EspecificaainterfacequearegradeNATvaiserusada(amaisusadaaWAN) Protocol:EspecificaotipodeprotocoloquevaiserusadonaregradeNAT.AmaisusadaTCP,UDP

    ouTCP/UDP,masexistemtambmGREeESP. Source:Normalmenteaorigemdeixadacomopadroany,masvocpodeespecificarumaoutra

    fonte,senecessrio. SourcePortRange:Geralmenteusadaporpadroany,masvocpodeespecificaroutraportase

    houveranecessidade. Destination:NamaioriadasvezesdeixadoovalorpadroqueaWAN(oendereopublico),mas

    podeserusadaoutraalternativasehouveranecessidade. DestinationPortRange:Essaaportadetrfegosolicitante.Sensestamosencaminhandootrfego

    daweb,poderamosselecionarHTTP,tocomumquejvemnomenudropdown,masaescolha(other),eespecificandoaporta80funcionariadamesmaforma.Poderamostambmpersonalizarumaporta(vamosusarcomoexemploumencaminhamentodetrfegodotorrentenaporta46635)lembresequevocpodeusarumAlias!

    RedirectTargetIP:Aquioendereodocomputadorinternoquevaisertransmitidootrfegoparaele.LembresequevocpodeusarumAlias!

    RedirectTargetPort:Aquiaportadoipdocomputadorespecificadoemcima.LembresequevocpodeusarumAlias!

    Description:Adescriofeitaaquivaiserautomaticamentecopiadaparaasregrasfirewall(precedidaspelapalavraNAT)

  • Pgina41de212

    NoXMLRPCSync:MarqueessaopoparaimpedirqueestaregrasejaaplicadaaqualquerfirewallusandooCARP.ConsulteoFirewallCARPConfigurandoSeodefailovernoCaptulo6,redundncia,balanceamentodecargaeFailoverparamaisdainformao.

    NATReflection:usadoporpadronosistemaquasetodasasvezes,masNATReflectionpodeserativadooudesativadoporpadrosefornecessrio.

    FilterRuleAssociation:SercriadoaregradefirewallassociadaaregradoNAT.PortRedirection Averdadeiraregradeencaminhamentodeportaquevaipassarotrfegoparamaquinadaredeinternausadatambmpelaportaconfigurada(ouseja,DestinationPortRangeeRedirecttargetportsecorrespondem).Noentantonoanadaqueimpeavocredirecionarparaumaportadiferente,sequiser.Hduasrazesparavocquererfazerisso:

    SeguranaporObscuridade:TodomundosabequeaportapadroHTTP80,masvamossuporquevoctemumwebsitesecretoquevocnoquerquesejaacessadafacilmente.Vocpodedefinirumintervalodeportasdedestinoparaalgumaportaobscura(porexemplo:54321)entodaiemdianteusaraportapadroHTTP80.Eosusuriosquequeiramacessarositeteroquedigitaroendereoassimhttp://www.exemplo.com:54321

    UmnicoendereodeIPpblico:Emambientesmenorescomapenasumendereopublico,vocnovaipoderacessarduasmaquinasdistintasremotamenteporquevocstemumendereodeippublico.EntovocpodecriarduasregrasdiferentesnoNAT.Oprimeiroiraredirecionaraporta50001paraoComputador1usandoaporta3389,eosegundovairedirecionaraporta50002paraoComputador2usandoamesmaporta3389.FazendoissovocpodeacessaroComputador1:50001eoComputador2:50002,eassimpordiante.Usandoomesmoippublico.

    Vejatambm... OCriandoAlias OCriandoregrasdefirewall OConfigurandoCARPfirewallfailoverrecipeinChapter6,Redundancy,Balanceamentode

    Carga,eFailover

    CriandoregrasdeFirewall AquivamosdescrevercomocriarumaregradefirewallSepreparando... Comoexemplo,vamoscriarumaregradefirewallparapermitirotrfegowebencaminhadopelaNAT(aregraquecriamosanteriormente).Sevocacompanhou,oNATquecriamos,automaticamentefoicriadoumaregraemFirewall,maspoderamosmarcarNoneemFilterRuleAssociationqueessaregranoiriasercopiadaparaoFirewall.

  • Pgina42de212

    Comofazlo...1. VatFirewall|Rules.2. SelecioneaabaWAN3. Cliquenoboto+paraadicionarumanovaregradefirewall4. EspecifiqueaWANInterface5. EspecifiqueoProtocolTCP6. EspecifiqueanyemSource7. EspecifiqueanyemSourcePortRange8. EspecifiqueWebserver1emDestination9. EspecifiqueHTTPemDestinationPortRange10. DigiteqdescriodaregraemDescription11. CliqueemSave12. CliqueemApplyChanges

  • Pgina43de212

    Comoelefunciona...TodootrfegopassapelalistaderegrasdeFirewall.Sequalquerpacotedetrfegocorrespondea

    qualquercritriodequalquerregra,aregraseriaexecutada(eopacoteseriapermitidoounegado).Essaregrapodeserlidacomo:"Qualquerportadequalquerclientenainternettempermissopara

    acessaranossawebpelaportadoservidorque80".

    Hmais...Regrasdefirewallsoaltamenteconfigurveis.Detalhesdecadaopoderegradefirewallsoasseguintes:

    Action:otipodeaoquearegravaitero Pass:Seoscritriosforemcorrespondidos,apassagemdopacotepermitida.o Block:Setodososcritriosforemcorrespondidos,apassagemdopacotebloqueada

    (algunssereferemaelacomoDropSilencioso).o Reject:Setodosospacotesforemcorrespondidos,apassagemdopacotedevolvidaao

    remetente. Disabled:Desativaaregrasemterqueapagala. Interface:Seespecificadequalinterfaceotrfegovaiseroriginado,queestarsujeitoaessa

    regra,geralmenteusadaaWAN. Protocol:Correspondeotipodeprotocolo,variandodeacordocomotipoderegraquedefineo

    trfego. Source:geralmentemarcadoanyquandoserefereatrfegodeentrada. SourcePortRange:geralmentemarcadoanyquandoserefereatrfegodeentrada. Destination:AquiusadooAliasouoendereodeIPdocomputadorqueotrfegoesta

    apontando. DestinationPortRange:geralmenteaportadocomputadorqueatendeestetrfego. Log:Habilitarologderegistrodopacotequecorrespondearegra. Description:Digiteumadescrioquevocpossaidentificarfuturamente.

    Raramentesabemosaportadeorigem! Aoespecificarasregras,muitoimportantelembrarqueSourcePortRangequasesempredefinidacomoany.MuitasvezesaspessoascometemerrodeespecificarumSourcePortRange.Lembresequandovocsolicitaumsite,vocestasolicitandoaporta80nocomputadordoservidorweb,eseucomputadorquevaidecidirqueportasuavaiserabertaparareceberasolicitao.Estasuaportadeorigem,umaportasempreemmudana,quevocprovavelmentenovaisaberqualser.Assim99porcentodotempo,nosaberemosoSourcePortRange.

    AordemdasregrasdoFirewall AsregrasdoUTMsosempreavaliadasdecimaparabaixo.Muitosadministradoresincluiumaregramuitoespecificanapartesuperiordasoutrasregraseasmaisgenricasnaparteinferior.Parareordenaruma

  • Pgina44de212

    regra,cliquenaregraeentocliquenobotoquepareceumamonalinhadaregraquevocquercolocaracimadela.

    Duplicandoregrasdefirewall Muitasvezes,agentepodequerercriarumanovaregramuitoparecidacomaregraexistente.Parapoupartemponspodemosduplicararegraefazerasalteraesespecificasclicandonoboto+.

    RecursosAvanados EsserecursonovoparaoUTM2.0,nasregrasdefirewalltemumaseochamadaAdvancedFeatures,cadaumdosseguintesrecursospodemserespecificadoscomocritriosparaumaregra.Seumrecursoavanadoespecificado,aregrasserexecutadaseforencontradaumacorrespondncia.CliquenobotoAvanadoparaexibirasseguintesdefiniesdeconfiguraoparacadafuno:

    SourceOS:Estaopoiratentarcompararafontedotrfegocomosistemaoperacionaldodispositivo:

    DiffservCodePoint: um mecanismo para fornecer Qualidade de Servio (QoS) de trfego de rede. Podendo priorizar trfego com base nos valores especificados:

    AdvancedOption:PermiteaopodeespecificaoavanadadoIP:

  • Pgina45de212

    TCPFlags:Estessobitsdecontrolequeindicamdiversosestadosdeconexoouinformaessobre

    comoumpacotedevesertratado.

    StateType:Especificaummecanismoderastreamentoespecialsobreoestado

  • Pgina46de212

    NoXMLRPCSync:ImpedequearegrasincronizecomoutrosmembrosdoCARP:

    Schedule:Especificaumagendamentodoperodoqueessaregravaiservalida.Terquecadastraros

    horriosemFirewall|Schedule.Entoapareceraqui:

    Gateway:Sequiserdefiniroutrogatewaydiferentedoconfiguradocomopadro,entodefinaaqui:

    In/Out:Especificarfilasalternativasdevelocidadeeinterfacesvirtuais:

    Ackqueue/Queue:Especificarasalternativasdereconhecimentodefilasdevelocidades:

    Layer7:EspecificaumaalternativadeLayer7:

    Vejatambm...

    CriaoderegrasemNatportforward Criandoagendamento CriandoAlias

  • Pgina47de212

    CriandoagendamentosAgoravamosdescrevercomocriarumaagenda

    Sepreparando...Aagendanospermiteconfigurarquandoasregrasentramemvigoresaem.Elassousadasgeralmentecomregrasdefirewall,masnaconcepoemgeralvaiserpermitidousarparamuitomaisfunesnofuturoemversesposterioresdoUTM.Seumaregradofirewallespecificaumhorrio,aregraentosativadaduranteesseperododetempo.Noexemploaseguir,vamosdefinirumcronogramaparaonossohorriode9horasdamanhah5horasdatarde,horriocomercial. Aocriarhorrios,essencialterofusohorrioconfiguradocorretamente,eotempodesincronizaoconfiguradodevidamenteemumservidorconfivel.

    Comofazlo...1. VatFirewall|Schedules2. Cliquenoboto+paracriarumanovaagenda3. EmScheduleNamedigiteumnomedereferencia,oexemplousamosWorkHours.4. DigiteemDescriptionadescrioparaquevocpossareconhecerquetipodehorriovocesta

    configurando,noexemplousamosRegularworkweekhours.5. NaseoMonthselecioneoms,cliqueemMon,Tue,Wed,ThueFriselecionandotodososdias

    dasemanadetrabalho.6. Especificar9horasdamanhemStartTimee17horasemStopTime.7. DigiteemTimeRangeDescriptionadescriodohorrio,noexemplousouMondayFriday9am

    5pm.8. CliqueemAddTime.

  • Pgina48de212

    9. NotequeotempoderepetioadicionadoemConfiguredRanges.

    10. CliqueemSave.11. CliqueemApplyChanges.

    Comoelefunciona...Umagendamentoassociadoaumaregrasservalidaduranteotempoespecificado.Parasaberassociarumaregradefirewallcomoagendamentoqueacabamosdecriar:1. Editeumaregra,ouadicioneuma.2. CliqueemScheduleAdvanced,entovnaopoScheduleeselecioneoagendamentoque

    vocdesejausar,noexemplonsscriamosum.3. EscolhaoagendamentoquecriamosWorkHoursnaopoSchedule.

  • Pgina49de212

    4. CliqueemSave5. CliqueemApplyChanges.

    Hmais...NoUTMvriosconesaparecemparaauxiliarnasinformaes,noagendamentotambm,osconesnoagendamentoaparecemparainformarseoagendamentoestativououno.

    Firewall|Schedules:agendamentosativadosaparecemcomumrelgio:

    Firewall|Rules:Regrascomagendamentoativoaparecemumasetaverdenacoluna

    Schedule,edizqualonomedoagendamento.Regrascomagendamentosdesativados,nacolunaScheduleapareumxvermelhocomonomedoagendamento:

    SeleodediaoudiasdasemanaAseleoMonthfuncionadeduasformas:

    Selecionandodiasespecficos:Selecioneomscorretoecliquenosdiasespecficos(oanoirrelevante,qualquerdiaespecificadoserrepetidoemcadaano).

  • Pgina50de212

    Selecionandodiasdasemana:Cliquenodiadasemana,selecionandotodososdiasdoms

    referenteaquelediadasemana(omsirrelevante,odiadasemanavaisemprerepetirtodososmeses).

    Vejatambm...

    CriandoAlias CriaoderegrasemNatportforward Criandoregrasdefirewall

    AcessoremotoaoDesktopcomexemplocompleto VamosdescreveraquicomoliberaroacessoatravsderegrasdefirewalldoUTM,oacessoremotoaocomputadordaredeinternausandooacessoremotodaprpriaMicrosoftquevemnoWindowso(RDP).

  • Pgina51de212

    Sepreparando... Vamosdemonstracomocriarumaregradefirewallparaliberaroacessodoinicioaofim.Oexemploaseguirvaimostrarcomoacessarumamaquinadaredeinterna,comopedidovindodainternet.Parafazerissorequerasconfiguraesquevamospostaragora,valeressaltarqueasconfiguraesfeitasagoranosvamosterquesaberalgunspontosqueforamtocadasnolivro:

    DHCPServer DHCPcommapeamentoestatico DNSForwarder Aliases NATportforwarding RegrasdeFirewall Agendamentos

    Comofazlo...1. Vamoscadastrarocomputadornanossarede:2. VatStatus|DHCPLeaseselocalizeocomputadorqueacaboudeentranarede.Cliqueno

    boto+paraatribuirummapeamentoestticoparaele.

    3. VamosatribuirumendereodeIPaele,emIPaddressdigite192.168.1.200,eemHostname,

    digiteonomequevaiquereridentificarele,podeserLaptop1,edigiteemDescription,umadescriodoLaptopparavocsaberqualquerolaptopquevocadicionou.

    4. VamosagorafazercomquenossoDNSForwardersejaconfiguradoparatransmitir

    automaticamenteaosclientescommapeamentoesttico,vaServices|DNSForwarder,paraquepossamoslocalizarcomfacilidadeocomputadorpelonome:

  • Pgina52de212

    5. VamosagoracriarumAliasparaserusadocomoreferenciaaoseuIPdentrodoUTMemFirewall|

    Aliases:

    6. Vamoscriarumagendamentoparaaregrausandoomesmoquejcriamosafinalseusarmoso

    agendamentoquesfuncionaemhorriocomercial,vaificarmaisprotegidocontraataqueexternoquandonoestiveremhorriocomercial:

    7. VamosagoracriarumaregranoNATparaencaminharospedidodeRDPvindodeforaparaocomputadorqueacabamosdecadastrar,vaFirewall|NAT.SepesquisarmosnainternetsobreprotocolodeacessoremotoaodesktopvamosverqueaportaaTCP3389(oUTMjvemcomumprdefinidonosistemacomonomeMSRDP)

  • Pgina53de212

    8. Agoravamoscriarumagendamentoparaqueessaregrafuncionedeacordocomohorrioque

    criamos,vemFirewall|Rules:

    9. CliqueemSave.10. CliqueemApplyChanges.

    Comoelefunciona...AnossaregradeNATencaminhatodasassolicitaesRDPparaonossolaptop.AregraNATsemprehabilitada.Masnaregradefirewallfazcomqueesseencaminhamentosfuncioneduranteohorrioespecificado

    Hmais...Paraaumentarasegurananspodemosfazermais,podemosrestringiroacessoliberandoapenasnossoipdeacessoexterno,eseesseIPmudarentoteremosquemudaroAliasatualizandooIPentosempreamosterumcontroledequandoapessoaacessou.CrieumAliascomoIPdoescritrio:

  • Pgina54de212

    EntopodemosmodificarnossaregradefirewallaplicandoospedidosprovenientesaoIPdanossaempresa(lembresequeotrfegoquenocorrespondearegraanybloqueadoporpadro).AgoracomaassociaodoNATcomasregrasdefirewall,pelasregrasdefirewallnsnopoderamosmodificarafontediretamente.

    EntovamosterquemodificardentrodoprprioNAT,cliquenaopoAdvanced,eespecifiqueoAliascomoendereopublicodanossaempresa.

    Entovamoschecarseessasmudanasforamalteradastambmemregrasdefirewall.

  • Pgina55de212

    Vejatambm...

    ConfigurandoservidorDHCPnoCapitulo2ServiosEssenciais CriandoDHCPcommapeamentoestticonoCapitulo2ServiosEssenciais ConfigurandoDNSdinmiconoCapitulo2ServiosEssenciais CriandoAlias CriandoNatPortForwarding Criandoregrasdefirewall Criandoagendamentos

    4RedePrivadaVirtual(VPN)

    Nessecapituloiremosabordar:

    CriandoVPNemumtnelIPSec ConfigurandooservioL2TPVPN ConfigurandooservioOpenVPN ConfigurandooservioPPTPVPN

  • Pgina56de212

    Introduo VirtualPrivateNetworking(VPN)(VamosabordarnolivroessenomecomoRedePrivadaVirtual(VPN))umsistemamodernomuitoeficaz.UmaconexoVPNpermitequeumusurioremotoconectecomseguranaumaredeeuseosrecursoscomoseestivessenoprpriolocal. ComtodasasvariedadesdeacessoVPN,OUTMtemquatroimplementaesmaisusadas,elassoconstrudasdiretodentrodoOpenVPNqueestamigradocomooprotocoloVPN.MasnadaimpedequevocbaixeumsoftwareasuaescolhadeVPNclienteparaqualquermaquinausandoWindows(suporteOpenVPNnovemnoWindows).IPSecmaiscomplexo,maistambmumaaplicaomuitopopulardoVPN.ServioPPTPVPNeL2PTPVPNsomenosusadosentreosquatro,masseuusoaindabemgeneralizado. NestecapitulovamosdescrevercomoconfiguraroUTMparausarqualquerumouasquatroaplicaesVPNIPSec,L2TP,OpenVPN,ePPTP.

    CriandoVPNemumtnelIPSec AquivamosdescrevercomocriarumaVPNusandoumtnelIPSec.Sepreparando... IPSecmuitasvezesomtodopreferidoparaotipodeconexoredearede(opostoaoclientearede).Umcenriotpicomontaumaconexopermanenteeseguraentresedeefilial. RedesconectadasatravsdeVPNdevemobrigatoriamenteusarsubredesdiferentes.Porexemplo,seasduasredesusamsubredes192.168.1.0/24,oVPNnovaifuncionar. Comofazlo...

    1. VatVPN|Ipsec2. Cliquenoboto+paracriarumtnelIPSec.3. EspecifiqueemRemoteGatewayoIPpublicoouohostnamedogatewayremoto.4. EemDescriptionadicioneumadescriodoseuIPSec

  • Pgina57de212

    5. EmPreSharedKeydigitesuasenha6. CliqueemSave7. MarqueEnableIPsec.8. CliqueemSave.

    9. CliqueemApplyChanges.10. VatFirewall|Rules11. SelecioneaabaIPSec12. Cliquenoboto+paraadicionarumanovaregranofirewall

  • Pgina58de212

    13. EmDestinationselecioneLansubnet.14. EmDestinationportselecioneany15. EmDescription,ponhaumadescrioquevocpossareconheceraregra,nosusamosnoexemplo

    AllowIPsectraffictoLAN.

    16. CliqueemSave17. CliqueemApplyChanges.

    Comoelefunciona...UmavezqueotnelIPSecfoiestabelecido,osclientesconectadosemqualquerumadasduasredes,teroacessodeumaooutromesmoemsubredesdiferentescomoseestivenamesmaredefsica.

    Vejatambm... ConfigurandooservioL2TPVPN ConfigurandooservioOpenVPN ConfigurandooservioPPTPVPN

    ConfigurandooservioL2TPVPN AquivamosdescrevercomoconfiguraroUTMparaserservidorVPNL2TPSepreparando... muitoimportanteentenderqueaocontrariodasoutrasimplementaesVPN,oL2TPnocriptografaosdados.OL2TPsimplesmenteummtododeencapsulamentoquesdeveserusadoemredesjconfiveis,emconjuntodoIPsec.AgrandevantagemdoL2TPquepodeserusadocomredessemprecisardeIP.Comofazlo...

    1. VemVPN|L2TP2. NaabaConfiguration,marqueEnableL2TPServer.

  • Pgina59de212

    3. EspecifiqueumIPsemusoemServeraddress.4. EmRemoteaddressRangedigiteoiniciodafaixadeIPnousadadeendereoremoto.Onumero

    deIPsquevaiserusadovaiestarindicadonaetapa6.5. EmSubnetmaskespecifiqueotipodesubrede.6. EmNumberofL2TPusersespecifiqueonumerodeusuriosqueiroseconectar.

    7. CliqueemSave8. CliquenaabaUsers.9. Cliquenoboto+paraadicionarumnovousurio10. Digiteousurioemusernameeasenhaempassword.

    11. CliqueemSave.

    12. VatFirewall|Rules

  • Pgina60de212

    13. SelecioneaabaL2TPVPN14. Cliquenoboto+paraadicionarumanovaregradefirewall15. SelecioneemDestinationoLanSubnet16. SelecioneemDestinationportrangeoany17. DigiteemDescriptionumadescrioquevocpossaidentificarasuaregra,noexemplonos

    usamosAllowL2TPClientstoLAN.18. CliqueemSave.

    19. CliqueemApplyChanges.

    Comoelefunciona...OserviopermitequeusuriosconectemremotamenteainterfacederedeanossaescolhausandooL2TP.Usandoesseserviocomoseoclienteestivesseusandoaredecomoseestivessefisicamentenolocal.

    ConexodeumclienteusandoWindows7ParacriarumaconexoVPNL2TPemumamaquinausandooWindows7:1. AbraoPaineldeControle|RedeeInternet|Statusdetarefasderede,abraoCentralde

    Redeecompartilhamento

  • Pgina61de212

    2. CliqueConfigurarumanovaconexoderede

    3. EscolhaConectaraumlocaldetrabalho.

  • Pgina62de212

    4. EscolhaUsarminhaconexocomainternet(VPN):

  • Pgina63de212

    5. DigiteemEndereonaInternetoendereodoservidordaredeaqualvocestaquerendoseconectar.SeoendereoL2TPquevocconfigurounoestaacessveldiretamente,vocterquefazerumNATnoservidordirecionandootrfegoL2TP.

    6. Digiteonomedeusurioesenhaquefoiconfiguradoantes:

  • Pgina64de212

    7. CliquedepoisemConectar,oWindowsiradetectarautomaticamenteseoservidorestaaceitandoaconexoL2TPouPPTP,evaiserconfiguradodeacordocomoselecionado.

    Vejatambm... ConfigurandoNATporForward,capitulo3ConfiguraoGeral CriandoVPNemumtnelIPSec ConfigurandooservioOpenVPN ConfigurandooservioPPTPVPN

    ConfigurandoserviodeOpenVPN AquivamosdescrevercomoconfiguraroUTMparaaceitarconexesOpenVPN.Comofazlo...

    1. VatVPN|OpenVPN.2. CliquenaabaWizards.3. EmTypeofServer,selecioneLocalUserAccess.

    4. CliqueemNext.5. EmDescriptiveName,coloqueumnomeparaseuVPN,noexemplonosusamos

    CertificadoOpenVPN,sereferindoaecertificadoCA.6. EmCountryCodeusamosnoexemplooBR.7. EmStateorProvince,nsusamosnoexemploSaoPaulo.8. EmCity,nsusamosnoexemploLimeira.9. EmOrganization,usamosnoexemploBluepexControleeSegurancaTI.10. [email protected]. CliqueemAddnewCA.

  • Pgina65de212

    12. DigiteemDescriptivename,umnomeonovocertificadodoservidor,noexemplousamoso

    mesmoCertificadoOpenVPN.Acriaodessecertificadovaificarquaseidnticoaocriadoanteriormente.

    13. EmCountryCodeusamosnoexemplooBR.14. EmStateorProvince,nsusamosnoexemploSaoPaulo.15. EmCity,nsusamosnoexemploLimeira.16. EmOrganization,usamosnoexemploBluepexControleeSegurancaTI.17. [email protected]. CliqueemCreatenewCertification.

  • Pgina66de212

    19. EmDescriptionvoccolocaadescrioquevocpossareconhecerfuturamente,noexemplonos

    usamosConexaoOpenVPN.

    20. DigiteemTunnerNetworkaconotaoemCIDR,issovaiserumafaixadeIPnousada(que

    geralmentenomuitodiferentedaredequevocusa)como192.168.4.0/24.21. DigiteemLocalNetworkaconotaoemCIDR,queosclientesvosercapazesdeacessar,que

    geralmentearedeinternaLAN,192.168.1.0/24.

  • Pgina67de212

    22. EspecifiqueemConcurrentConnections,onumeromximodeclientesqueiroseconectar.

    23. CliquenobotoNext.24. MarqueAddaruletopermittrafficfromclientsontheInternettotheOpenVPNserverprocess.25. MarqueAddaruletoallowalltrafficfromconnectedclientstopassacrosstheVPN

    tunnel:

    26. CliquenobotaoNext.

  • Pgina68de212

    27. DepoiscliquenobotaoFinish.

    Comoelefunciona...

    OserviopermitequeusuriosexternosusemoOpenVPNparaestabelecerumaconexoseguraecriptografadaemnossarede.OsusuriosseconectarousandoumclienteOpenVPN,eumavezautenticado,ousurioteracessoaredecomoseestivessenolocalfisicamente.AlgoritmosdeCriptografia Escolheromelhoralgoritmodecriptografiaessencialparaomelhordesempenhodoseuhardware.MuitasplacasdeexpansoVPN,comoaquelasencontradasemNetgateusandoAlixrequeremplacasAES128CBC.Verifiquecomseufornecedordehardwareparaobtermaisdetalhes.ExportandoClienteOpenVPN HumpacotedeinstalaonoUTMchamadoOpenVPNClientExportUtility,quesimplificaoprocessodeconfigurao:1. VatSystem|Packages2. CliquenaabaAvailablePackages.3. LocalizeOpenVPNClientExportUtility,ecliquenoboto+paracomearainstalao.

    4. Opacotedepoisdebaixadoserinstaladoautomaticamente.

  • Pgina69de212

    5. OpacotedepoisdeinstaladoserencontradonomenuVPN|OpenVPN.

    Vejatambm...

    CriandoVPNemumtnelIPSec ConfigurandooservioPPTPVPN ConfigurandooservioL2TPVPN

    ConfigurandooservioPPTPVPN AquivamosdescrevercomoconfiguraroUTMparareceberconexesPPTPVPN.Comofazlo...

    1. VatVPN|PPTP|abaConfiguration2. MarqueEnablePPTPserver3. EscolhaemNo.PPTPusers,onumerodeclientesqueiroseconectar4. EmServeraddressdigiteumIPnousadoparaespecificaroendereoparaoservidorPPTP.O

    PPTPdoservidorvaiescutaresseendereo.5. EmRemoteaddressrange,digiteoiniciodosIPsdosclientesqueiroseconectar,lembresede

    deixarumaquantidadedeIPssuficientereferenteaoquevoccolocouemNo.PPTPusers.

  • Pgina70de212

    6. MarqueRequire128bitencryption.

    7. CliqueemSave.8. SelecioneaabaUsers.9. Cliquenoboto+paraadicionarumusurio10. Coloqueonomedeusurioemusernameeasenhaempassword.11. CliqueemSave.

    12. VatFirewall|Rules13. SelecioneaabaPPTPVPN14. Cliquenoboto+paracriarumanovaregradefirewall.15. SelecioneemDestinationoLansubnet.16. SelecioneemDestinationportrangeaopoany.

  • Pgina71de212

    17. EmDescriptiondigiteumadescrioquevocpossareconhecerfuturamente,noexemplousamosAllowPPTPClientstoLAN.

    18. CliqueemSave.

    19. CliqueemApplyChanges.

    Comoelefunciona...OserviopermitequeusuriosexternosestabeleamumaconexoseguraecriptografadausandooPPTP.OsusuriosiroseconectararedeusandoumclientePPTP,umavezautenticado,ousurioteracessoaredecomoseestivesseconectadonoprpriolocal.

    ConexodeumclienteusandoWindows7ParacriarumaconexoVPNPPTPemumamaquinausandooWindows7:8. AbraoPaineldeControle|RedeeInternet|Statusdetarefasderede,abraoCentralde

    Redeecompartilhamento

    9. CliqueConfigurarumanovaconexoderede

  • Pgina72de212

    10. EscolhaConectaraumlocaldetrabalho.

    11. EscolhaUsarminhaconexocomainternet(VPN):

  • Pgina73de212

    12. DigiteemEndereonaInternetoendereodoservidordaredeaqualvocestaquerendose

    conectar.SeoendereoL2TPquevocconfigurounoestaacessveldiretamente,vocterquefazerumNATnoservidordirecionandootrfegoL2TP.

  • Pgina74de212

    13. Digiteonomedeusurioesenhaquefoiconfiguradoantes:

    CliquedepoisemConectar,oWindowsiradetectarautomaticamenteseoservidorestaaceitandoaconexoL2TPouPPTP,evaiserconfiguradodeacordocomoselecionado.ConectandousandocomoclienteoUbuntu10.10 ExecuteosseguintespassosparacriarumaconexoPPTPVPNemumclienteusandoUbuntu10.10(pornoterumcomputadorcomessesistemaoperacionalemportuguseumantiveosexemploseminglsdeacordocomasjanelasdeexemplo).

    1. AbraSystem|Preferences|NetworkConnections2. SelecioneaabaVPN|CliquenobotoAddparacriarumaconexoVPN.

  • Pgina75de212

    3. SelecionePPTPecliqueemCreate...

    4. EmConnectionnamedigiteumnomequevocpossaidenticar,noexemplousamosMatts

    Network.5. EmGatewaydigiteoipdoservidorquevocconfigurouoPPTPVPN.SeoIPnopodeser

    acessadodiretamente,vocterqueconfiguraroNATcomportForward.

  • Pgina76de212

    6. CliquemApply7. CliqueemClose.8. VemNetworkconnection,selecionenomenuVPNConnections|MattsNetwork

  • Pgina77de212

    ConectandousandocomoclienteoMacOSx

    ExecuteosseguintespassosparacriarumaconexoPPTPVPNemumclienteusandoMacOSx(pornoterumcomputadorcomessesistemaoperacionalemportuguseumantiveosexemploseminglsdeacordocomasjanelasdeexemplo).

    1. AbraSystemPreferences.

  • Pgina78de212

    2. CliqueemNetwork

  • Pgina79de212

    3. Cliquenoboto+paraadicionarumanovaconexoderede4. SelecioneVPNemInterface.5. SelecionePPTPemVPNType.6. DigiteemServiceNameumnomededescrio,noexemplousamosMattsNetwork.

    7. DigiteemServerAddressoipdoservidorquevocconfigurouoPPTPVPN.SeoIPnopodeser

    acessadodiretamente,vocterqueconfigurarumNATportForward.8. DigiteonomedeusuriocadastradoemAccountName.9. CliqueemConnectqueaparecerumajanelapedindoasenha

  • Pgina80de212

    Vejatambm... CriandoVPNemumtnelIPSec ConfigurandooservioL2TPVPN ConfigurandooservioOpenVPN ConfigurandooservioPPTPVPN

    5ConfiguraesAvanadas

    Nessecapitulo,iremosabordar: CriandoumIPVirtual CriandoregradeNAT1:1 CriandoumaregradeNAToutbound CriandoGateway Criandoumarotaesttica ConfigurandooTrafficShaping(QoS,QualidadedoServio) Interfacesdotipoponte CriandoumaLANVirtual CriandoumCaptivePortal

    Introduo Aseguirvamosabordarrecursosavanadosderede,quenormalmenteseencontramemclassesempresariais.NoentantocadaumdessesrecursosentodisponveisnaultimaversodoUTM.

    CriandoumIPVirtual AquivamosdescrevercomoconfigurarumendereodeIPvirtualnoUTM.Sepreparando... NoUTMvocpodecriarquatrotiposdistintosdeIPsvirtuais:

  • Pgina81de212

    ProxyARP CARP Other APAlias

    UmtipocomumdeIPvirtualconfiguradocomoNAT1:1,nestecenriooIPvirtualdotipoOthernecessrio,oquevamosconfiguraragora:

    Comofazlo...1. VemFirewall|VirtualIPs2. Cliquenoboto+eadicioneumnovoendereodeIPvirtual.3. EmTypeescolhaOther.4. EmInterfaceescolhaWAN5. EmIPaddressdigiteoIPquevocdesejavirtualizar6. AdicioneumadescrioquevocpossaidentificarposteriormenteemDescription.

    7. CliqueemSave8. CliqueemApplyChanges

  • Pgina82de212

    Comoelefunciona... OIPVirtual(vamosochamardeVIPdeagoraemdiante)dotipoOthertemasseguintescaractersticas:

    OtrfegospodeserencaminhadoparaessetipodeVIP;eoUTMnopodeusaressetipodeVIPparaosseusprpriosservios.

    OVIPpodeserusadoemumasubredediferentedoqueestasendousadopeloUTM. OVIPnopoderesponderapings.

    Hmais...NsestamosconfigurandoumVIPdotipoOther.MasexistemmaistrstiposdeendereosVIPquepodemserconfiguradosnoUTM2.0.OsquatrotiposdeendereosVIPsosemelhantes,masmudamalgumaspropriedades,vamosveracomparao:

    CARPo Podeserusadoseencaminhadospelofirewallo PodeusarotrfegoLayer2.o PodemserusadosemcenrioscombalanceamentodecargaeFailOvero Temqueestarnamesmasubrededainterfaceo Elevairesponderapingsseconfiguradocorretamente

    ProxyARPo Spodesertransmitidapelofirewallo PodeusarotrfegoLayer2.o Podeestaremumasubredediferentedoqueainterfaceo Nopoderesponderaospings

    Othero Spodesertransmitidapelofirewallo Podeestaremumasubredediferentedoqueainterfaceo Nopoderesponderaospings

    IPAliaso NovonoUTM2.0o Spodeserusadoouencaminhadopelofirewallo PermitequeosendereosIPsejamadicionadoscomoIPextranainterface.

    ConfigurandoCARPcomoendereoVIP1. VatFirewall|VirtualIPs2. Cliquenoboto+paraadicionarumnovoendereoVIP3. EmTypeescolhaCARP4. EmInterfaceselecioneWAN5. EmIPaddressdigiteoIPquevocdeseja6. EmVirtualIPPassword,digiteumasenha7. EscolhaumVHIDGroup8. EscolhaumAdvertisingFrequency(0paratodos)

  • Pgina83de212

    9. DigiteumadescrioquevocpossaidentificarfuturamenteemDescription.

    10. CliqueemSave11. CliqueemApplyChanges.

    ConfigurandooProxyARPcomoendereoVIP

    1. VemFirewall|VirtualIPs2. Cliquenoboto+paraadicionarumnovoendereoVIP3. EmTypeescolhaProxyARP.4. EmInterfaceselecioneWAN5. SelecioneSingleAddressemType.6. EmAddressdigiteoIP.7. DigiteumadescrioemDescription.

  • Pgina84de212

    8. CliqueemSave9. CliqueemApplyChanges.

    ConfigurandooIPAliascomoendereoVIP

    1. VemFirewall|VirtualIPs2. Cliquenoboto+paraadicionarumnovoendereoVIP3. EmTypeescolhaIPAlias4. EmInterfaceescolhaWAN.5. EmIPaddressdigiteoIP6. DigiteumadescrioemDescription.

  • Pgina85de212

    7. CliqueemSave.8. CliqueemApplyChanges.

    Vejatambm... CriandoregradeNAT1:1 CriandoumaregradeNAToutbound Criandoumarotaesttica CriandoumaLANVirtual

    ConfigurandoregradeNAT1:1 AquivamosdescrevercomoconfigurarumaregradeNAT1:1.AregraNAT1:1usadaquandovocquiserassociarumendereodeIPpublicocomumamaquinadaredeinterna.TudoquefordestinadoaoIPpublicovaiserencaminhadoparamaquinadaredeinterna.

  • Pgina86de212

    Comofazlo...1. VatFirewall|VirtualIP2. NaabaVirtualIPs,cliquenoboto+paraadicionarumnovoVIP.3. EmTypeselecioneProxyARP.4. EmInterfaceselecioneWAN5. NaopoIPaddress,emTypeselecioneSingleAddress,eemAddressdigiteoipexternoquevoc

    desejaassociaraumamaquinadaredeinterna.6. AdicioneumadescrioquevocpossareconhecermaistardeemDescription,noexemplonos

    usamosMypublicIPaddress.

    7. CliqueemSave.8. CliqueemApplyChanges.9. VemFirewall|NAT.10. Selecioneaaba1:111. Cliquenoboto+paraadicionarumaregradeNAT1:112. EmInterfaceselecioneWAN13. EmSourceselecioneany14. EmDestination,especifiqueocomputadorinterno,nocasovamosusaroAlias.15. DigiteemExternalSubnetoseuippublico16. EmDescription,adicioneumadescrioquevocpossareconhecerposteriormente,noexemplo

    usamosForwardallexternalrequeststoWebserver1.17. EmNATFreflectiondeixeDisabled.

  • Pgina87de212

    18. CliqueemSave.19. CliqueemApplyChanges.

    Comoelefunciona...UmavezquefeitaumarelaodeNAT1:1estabelecida,todootrfegoserencaminhadoparaoendereodeIPinternouousubrede,comoseamaquinainternafossediretamenteconfiguradocomoIPpblico.IssomuitomaisfcildoquecriarumaregradePortForwardsetodootrfegodeentradaesadativerdestinadoamaquina.

    Hmais...Comomuitorecursosavanadosderede,orelacionamentobemsucedidodoNAT1:1requerousodeVIPs.

    Vejatambm... CriandoumIPVirtual

  • Pgina88de212

    CriandoumaregradeNAToutbound AquivamosdescrevercomocriarumaregradeNAToutboundSepreparando... UmaregradeNAToutbounddefinecomotraduziroqueumtrfegoderedeestadeixando.Issopodeparecerumconceitodifcildeentendernaprimeiravez,porqueamaioriadoscenriosderedeemgeralsentopreocupadosemsaberolocaldeondeospacotesestovindos,enosepreocupamemsabercomoelessaem. VamosdescreveragoracomousarumaregradeNAToutboundpararesolverumcenriocomumqueenvolveonateamentoparaumamaquinacomvariasinterfaces.Vamossuporquetemosumnicoservidordedestinocomduasinterfaces,LANeDMZ,eofirewallUTMprotegeessasduasinterfaces.UsandoavelharegradePortForward,encaminhandosolicitaesHTTPparaoservidoremsuainterfaceDMZ,oquebom.Noentanto,quandotentamosencaminharsolicitaesSSHparaainterfaceLANdoservidor,otrfegochegacorretamente,mastentaresponderatravsdaredeDMZ.Issonoreconhecidocomovalidopelofirewalleficadandotempoperdidoquandosetentaconectar. AsoluoelhedarcomospedidosSSHusandoumaregradeNAToutboundjuntocomumaregradeNAT1:1,comovamosdescrever.Comofazlo...

    1. VaFirewall|VirtualIPs2. NaabaVirtualIPs,cliquenoboto+paraadicionarumnovoVIP.3. EmTypeselecioneProxyARP4. EmInterfaceselecioneWAN5. NaopoIPaddress,emTypeselecioneSingleAddress,eemAddressdigiteoipexternoquevoc

    desejaassociaraumamaquinadaredeinterna.6. AdicioneumadescrioquevocpossareconhecermaistardeemDescription,noexemplonos

    usamosMypublicIPaddress.7. CliqueemSave8. CliqueemApplyChanges

    9. VatFirewall|NAT

  • Pgina89de212

    10. CliquenaabaOutbound11. SelecioneomodoAutomaticoutboundNATrulegeneration(IPsecpassthroughincluded).12. Cliquenoboto+paraadicionarumnovomapeamentodeNAToutbound.13. EscolhaInterfacequeamaquinavairesponder,nocasoaLAN.14. EmSourceespecifiqueany15. EmDestinationponhaoendereodoservidorqueiraresponder.16. DeixeoTranslationparatratardaInterfaceAddresseespecificaraporta22pararesponderos

    pedidosdeSSH.17. EscrevaemDescriptionadescrioparavocidentificarfuturamente,noexemplo

    usamosOutboundNATforWANClientstoServer1SSH.18. CliqueemSave.19. CliqueemApplyChanges.

    20. VatFirewall|NAT21. Cliquenaaba1:122. Cliquenoboto+paraadicionarummapeamentoNAT1:123. EmInterfaceescolhaWAN.24. EmSourceescolhaany.25. EspecifiqueemDestination,SingleHostouAlias,eforneceroendereoIPdoservidorqueesta

    recebendoassolicitaes.26. EspecifiqueoVIPquecriamosanteriormenteemExternalsubnet.27. EmDescriptiondigiteumadescrioquepossareconhecernofuturo,noexemplocolocamos1:1

    NATPublicIPtoServer1.28. CliqueemSave29. CliqueemApplyChanges.

  • Pgina90de212

    30. VemFirewall|Rules31. CliquenaabaWAN.32. Cliquenoboto+paraadicionarumanoraregradefirewall.33. EmSourceescolhaany34. EmSourceportrangeescolhaany.35. EmDestinationselecioneouSingleshostouAliasespecificandooendereodeIPdoservidorque

    estlidandocomassolicitaes.36. EmDestinationportrangeselecioneSSH.37. EmDescriptiondigiteumadescrioqualquerquevocpossareconhecermaistarde,noexemplo

    usamosAllowWANClientstoServer1SSH.38. CliqueemSave.39. CliqueemApplyChanges.

    Comoelefunciona... AregradeoutboundquecriamosavisaaoUTMparadirecionarotrfegodesadaatravsdainterfaceLAN,independentementedequalinterfaceelaentrou.IssovaipermitirqueotrfegoSSHencontrasseocaminhodecasamesmoseogatewaypadrodoservidorestiveremcontrainterface,nocaso(DMZ).EnquantoissoassolicitaesHTTPqueforamconfiguradasatravsdoPortForwardingcontinuamfuncionandoperfeitamente.Vejatambm...

    CriandoumIPVirtual CriandoregradeNAT1:1 CriaoderegrasemNatportForward

  • Pgina91de212

    CriandoumGateway AquivamosdescrevercomocriarumgatewaynoUTM.Sepreparando... Emgeral,asredescomumanicaligaoWAN,nonecessriomudarasconfiguraesdegateway;opadrocriadopeloprprioUTMautomaticamentejosuficiente.Noentanto,asredesquepossuemmaisdeumaconexodeinternetoutiraproveitodealgumasfuncionalidadesavanadas(porexemplo,rotasestticas)terquedefinirumgatewaypersonalizado.Comofazlo...

    1. VaSystem|Routing2. CliquenaabaGateways3. Cliquenoboto+paraadicionarumnovogateway4. SelecioneaInterfacedonovogateway5. EmNamevocvaiespecificarumnomeparaessegateway(nopodeserespao)6. EmGatewayespecifiqueoIPdogateway,esseIPtemqueserreconhecidopelainterfacequevoc

    escolheunaetapa4.7. EmMonitorIPvocpodeatribuirumIPalternativooudeixarembrancomesmo,fazendoissoo

    sistemairacolocaromesmoIPdogatewaycomomonitorIP.8. EmDescriptionvocvaicolocarumadescrioparaidentificarqualgatewayvoccriou,no

    exemplousamosMyNewGateway.

    9. CliqueemSave.10. CliqueemApplyChanges.

  • Pgina92de212

    Comoelefunciona... Umgatewayumportalqueligaduasredes.OgatewayoquegeratrfegoentreaLANeainternet.SetivermosvariasconexesWAN(ouseja,mltiplasconexesparainternet)serianecessriodefinirumgatewayparacadaum.Hmais... Vamosveragoracomocriargatewaysparafazerrotasestticas.Umarotaestticaumcaminhofeitodeumaredeparaoutra,otodootrfegoentreessasduasredesdevempassarporumgateway.GruposdeGateway OUTM2.0implementaumnovoconceitochamadoGruposdeGateway.Ogrupodegatewayumajunodevriosgatewaysquepodemsertratadoscomoumaunidadeapartirdevariasoutrasfuncionalidadesnosistema. Gruposdegatewayiraparecernaportadeentradaemummenudropdown,comoemumadefinioderegradefirewall.Vejatambm...

    Criandoregrasdefirewall,capitulo3ConfiguraesGerais ConfigurandointerfaceWAN,capitulo1ConfiguraesIniciais Criandorotasestticas

    Criandorotasestticas AquivamosdescrevercomocriarumarotaestticanoUTM.Sepreparando... AsrotasestticasservemparaacessarredesquenosoacessveisatravsdogatewaypadroWAN,maspodeseralcanadoindiretamenteatravsdeumainterfacediferente.Umexemplocomumpodeserusadoemumagrandeempresacomvriosescritriosqueusamumaimpressoracompartilhada,sprecisocriarumarotaesttica.PodemosusaroUTMparacriaressarotaestticaparaumaredeinterna,emvezdeconfigurarumarotaestticaemcadapc.

  • Pgina93de212

    Comofazlo...1. VatSystem|Routing.2. CliquenaabaGateways3. Cliquenoboto+paraadicionarumnovogateway4. SelecioneemInterfaceondevaificaronovogateway5. DigiteemNameonomedoseugateway(nopodeterespao)6. DigiteemIPAddressoIPdogateway,esseIPtemqueserreconhecidopelainterfaceselecionada

    anteriormente.7. EmMonitorIPvocpodeatribuirumIPalternativooudeixarembrancomesmo,fazendoissoo

    sistemairacolocaromesmoIPdogatewaycomomonitorIP.8. EmDescriptionvocvaicolocarumadescrioparaidentificarqualgatewayvoccriou,no

    exemplousamosMyNewGateway.9. CliqueemSave10. CliqueemApplyChanges

    11. VemSystem|Routing12. CliquenaabaRoutes13. Cliquenoboto+paraadicionarumanovarota14. EmDestinationnetworkdigiteoendereodeIPdaredededestino15. EmGatewayescolhaoquecriamosacima.16. EmDescriptionescrevaalgoparadescreveraregra,noexemplousamosStaticrouteforshared

    printernetwork.

    17. CliqueemSave.18. CliqueemApplyChanges.

  • Pgina94de212

    Comoelefunciona... Aodefinirumarotaesttica,temoumcaminhotraadoparanossarededeimpressoracompartilhada.Nspodemosacessaragoraestaredeatravsdarotaestticacriada,eoferecerumaportadeentradaparaoutrosusuriosdofirewall.Vejatambm...

    CriandoGateway

    ConfigurandooTrafficShaping(QoS,QualidadedoServio) AquivamosdescrevercomoconfigurarocontroledebandanoUTMSepreparando... OTrafficShaping,tambmconhecidocomoQoS,apriorizaoeotimizaodepacotesderede.Priorizandoospacotesderededecertostiposdetrfegoemrelaoaoutros.Limitaopacotederedefixandocertoslimitesdevelocidadedecertostiposdetrfegoparacertosmomentos.UmadministradorpodequererpriorizarospacotesdeVoIPsobretodososoutrosparagarantirquechamadastelefnicasnovoserdescartadasouinterrompidasdevidoaoaltotrfegoderede.Almdisso,podemostambmlimitarorendimentodoVoIPpara100kbps.EsseumexemplotipodeambientequerodaVoIP. AseguirvamosusaroUTMparamoldarosacessosexternosusandooDesktopRemotodoprprioWindows(MSRDP)queentramemnossarede.Assimpodemosnosassegurarquepodemosadministrarnossosservidoresremotamentemesmoseotrfegoderedeestivermuitoalto.Comofazlo...

    1. VaFirewall|TrafficShaper2. CliquenaabaWizards3. NacolunaWizardfunctions,cliquenolinkreferenteaSingleWANmultiLAN.

  • Pgina95de212

    4. EmEnternumberofLANtypeconnectionsdigiteonumerodeLans,nonossocasotemLANe

    DMZ,entocolocamosnumero2.

    5. EmLinkUploaddigiteavelocidadequeoseuprovedordeinternetforneceuparaupload,no

    exemplousamos2.000Kbps(2Mbps),sevoctiverduvidafaaumtesteemsitesdevelocidade,comoporexemplo:http://speedtest.net/

    6. EmLinkDownloaddigiteavelocidadequeoseuprovedordeinternetforneceuparadownload,noexemplousamos15.000Kbps(15Mbps),sevoctiverduvidafaaumtesteemsitesdevelocidade,comoporexemplo:http://speedtest.net/

  • Pgina96de212

    7. ApaginaseguinteusadaespecificamenteparaconfigurarapriorizaodetrfegodeVoIP,voc

    podepularessaetapaclicandoemNext.

  • Pgina97de212

    8. NaprximapaginasechamaPenaltyBox,nospermitelimitaravelocidadedeumdeterminado

    endereodeIPouAlias.Issomuitotil,masnovamosteranecessidadedeusaressafunonomomento,vocpodeignorarclicaemNext.

  • Pgina98de212

    9. EssaprximapaginasechamaPeertoPeer(P2P)Networking,vocpodediminuiraprioridadede

    trfegoP2P,nessapaginaacercade20opesderedeP2Pmaispopularesparaserlimitadootrfego.ComononosinteressaessapartenomomentoentocliqueemNext.

    10. NessaprximapaginaNetworkGames,vocpodeconfigurarotrfegoderedeliberadaaosjogosonline,nessapaginaacercade20jogosmaispopularesonlineparaserpriorizado.ComononosinteressaessapartenomomentoentocliqueemNext.

  • Pgina99de212

    11. NapginafinalOtherApplications,nospermitemoldaroutrostiposcomunsdetrfego.Vamoster

    queclicarnaopoEnable,parapermitirousodessaaplicao,emMSRDPvamosselecionarHigherpriority,osoutrosvamosdeixarcomoDefault,ecliqueemNext.

  • Pgina100de212

    12. CliqueemFInishparaaplicaranovaconfigurao.

    Comoelefunciona...

    UsandooWizarddoTrafficShapping,nsdefinimosumconjuntoderegrasquepriorizaotrfegodoMSRDPacimadequalqueroutro.Mesmoquearedeestejacomtrfegopesado,sejacomusodaweb,VoIPouquantosmaistiver,nossaconexoMSRDPsempreficarestveleinterrupta,jquefoipriorizado.

  • Pgina101de212

    Interfacesdotipoponte(bridge) AquivamosdescrevercomofazerumapontejuntandoduasinterfacesnoUTM.Pontespermitemunirduasredes.Porexemplo,oadministradorpodefazerumapontederedeentreumaredecomfioeumaredesemfio.Comofazlo...

    1. VaInterfaces|(assign)2. CliquenaabaBridge3. Cliquenoboto+paraadicionarumanovaponte4. EmMemberInterfaces,selecioneasinterfacescomoCtrlpressionado.5. EmDescriptionvocvaidigitarumaidentificaoquepossareconhecerposteriormente,no

    exemplonosusamosLANDMZBridge.

    6. CliqueemSave

    Comoelefunciona... ApontecombinaduasinterfacesnofirewallemumaredenicadeLayer2.ALANeDMZestoagoraligados.Hmais... CliqueemShowadvancedoptions,paraconfigurarqualquerumadessasseguintesopes:

    RSTP/STP:Abiliteparaabriraarvoredeopes:o Protocolo STPInterfaces

  • Pgina102de212

    o Validtimeo Forwardtimeo Hellotimeo Priorityo Holdcounto Interfacepriorityo Pathcost

    Cachesize Cacheentryexpiretime Spanport Edgeports AutoEdgeports PTPports AutoPTPports Stickyports Privateports

    Vejatambm... Identificandoeatribuindointerfaces,capitulo1ConfiguraoInicial.

    CriandoLANVirtual AquivamosdescrevercomocriarumaLANVirtualnoUTM.Sepreparando... AVLANpermitequmnicointerruptorfsicopossahospedarvariascamadasderede,separandoasportascomtagsVLAN.AtagdeVLANdefineumaredevirtualseparada.OUTMpodeanexaremcadaVLAN,definindotagsnasinterfacesdofirewall.Comofazlo...

    1. VatInterface|(assign)2. CliquenaabaVLANs3. Cliquenoboto+paraadicionarumanovaVLAN4. NaopoParentInterface.Serefereaumaatribuiodeumainterfacedereferencia(observena

    figuraabaixo).NestecasoaDMZfoiatribudacomovr2entovamosselecionarela.

  • Pgina103de212

    5. NaopoVLANtag,ponhaumvalorentre140946. EmDescription,ponhaumnomeparareferencianoexemplonosusamosMyDMZvirtualLAN.

    7. CliqueemSave.

    Comoelefunciona... TodosospacotesdestinadosouoriginadosdeVLANseromarcadoscomatagVLAN.assimqueoUTMdiferenciaeledosoutrostrfegos,garantindoqueessetrfegovparaolugarcerto.Vejatambm...

    Identificandoeatribuindointerfaces,capitulo1ConfiguraoInicial.

    CriandoumCaptivePortal AquivamosdescrevercomocriarumCaptivePortalnoUTM.

  • Pgina104de212

    Sepreparando... OCaptivePortalumapaginawebqueexibidadepermissoaousurioantesdenavegarnaweb.IssogeralmentevistoemambientescomerciaiscomoWiFiHotspotondevocdevepagarpeloservioantesdenavegarnaweb.EmoutroscenriosoCaptivePortalusadoparaautenticaodousurio. NessaexplicaovamosconfiguraroUTMparamostrarumCaptivePortaldeautenticaoantesqueousurionaveguenawebpelaDMZ.Comofazlo...

    1. VaServices|CaptivePortal2. NaabaCaptivePortal,cliqueemEnableCaptivePortal.3. EmInterfaceescolhaainterfacequedesejausaroservio,nonossoexemplovamosusaroDMZ.4. EmIdletimeout,nsselecionamos10minutos,clientesquepassaremmaistempoqueissosem

    atividadenocomputador,assimqueeleacessardenovovaipedirousurioesenha.5. EmHardtimeout,nsusamos60minutos,clientesqueestonavegandoounonocomputador

    depoisde60minutosvaiaparecerumateladeusurioesenhaparaserdigitado,vocpodedeixarembrancoparadesabilitaressaopo.

    6. CliqueemEnablelogoutpopupwindow,paraqosusuriospossamdeslogarquandoterminar.7. EmRedirectionURL,vocpodefazercomqueoclienteassimqueselogarsejadirecionadoauma

    paginaquevocescolher,noexemplonosusamoshttp://www.google.com

  • Pgina105de212

    8. EmAuthentication,escolhaLocalUserManager.

    9. CliqueemSave.10. VatSystem|UserManager11. CliquenaabaUser12. Cliquenaaba+paraadicionarumnovousurio13. EmUsernamedigiteonomedeusurio14. EmPassworddigiteumasenhadesejadaduasvezes.15. EmFullNameponhaonomecompletodousurio

  • Pgina106de212

    16. CliqueemSave

    Comoelefunciona...

    AtravsdeumacriaodoCaptivePortalnaDMZ,todousurioquetentarnavegarnawebterqueprimeiroseautenticarcomonaimagemabaixo.Umavezautenticado,eleserdirecionadoparapaginadoGoogle,ondepodenavegarnawebobedecendoasregrasdetempopredefinidas,ondeteroqueseautenticarnovamente.

    Hmais...

    TodasastrspaginasdoCaptivePortal(login,logouteerro)podemserpersonalizadasparaatenderopadrodaorganizaoondefoiimplementadoosistema.Amaneiramaisfcildeserfeitoissosalvando

  • Pgina107de212

    cadapaginacomoumarquivoeditaloasuamaneira(semmudarondeousuriovaicolocarsuascredenciais),edepoisenvialousandoasopesnaparteinferiordapaginadoservioCaptivePortal.

  • Pgina108de212

    6Redundncia,Balanceamentodecarga,eFailoverNessecapitulo,iremosabordar:

    ConfigurandomltiplasinterfacesWAN ConfigurandoobalanceamentodecargaemumamultiWAN ConfigurandooFailoveremumamultiWAN Configurandoumservidordewebcombalanceamentodecarga ConfigurandoumservidorwebcomFailover ConfigurandoumfirewallCARPcomFailover

    Introduo Redundncia,balanceamentodecargaeFailoversoalgunsdosmaisavanadosrecursosderedeusadosnomomento.Algunsdessesserviossonecessriosemempresasdegrandeporte,algunsfirewallseroteadoresnosocapazesdefazerisso.EclaroqueoUTMsuportatodoseles. RedundnciadevariasinterfacesWAN(multiWAN)forneceumfirewallnicoparavariasconexesdeinternet.OUTMpodeserconfiguradoparaequilbriodecargaouFailoverdeinterfacemultiWAN.Balanceamentodecargavaidividirotrfegoentreasinterfacesdeinternet,quantooFailoverfazcomqueseumainterfacecaiaaoutraassume100%dotrfego,nofazendoainternetdaredeparar. ObalanceamentodecargadoUTMpermitetiposdetrfegoespecficos(comotrfegonaweb)seremdistribudosentreosservidores.AcapacidadedecriarsuaprpriawebfarmfeitodiretonoUTM! RedundnciadefirewallpermitequeosistemasobrevivaseamaquinadofirewallUTMvenhaaserdesligada.ParaissousamosumaconfiguraoCARP,oUTMpodeconfigurarumFailoverparapassaroacessoautomaticamenteparaumfirewalldebackup.

  • Pgina109de212

    ConfigurandomltiplasinterfacesWAN AquivamosdescrevercomoconfigurarmltiplasinterfacesWANnoUTM.Sepreparando... UmsistemadeUTMcomumanicainterfaceWANquaseplugandplaydesdeumgatewayatumDNSpadro.NoentantoalgumasdescriesnessecapitulorequermltiplasconexesdeWANseosgatewaysdevemserconfiguradosmanualmente.AsdescriesaseguirvovercomoconfigurarduasinterfacesWANquepodemserusadasmaistardecomobalanceamentodecargaredundanteeFailover. AsseguintesinterfacesvoseconfiguradascomendereosdeIPsprivadosparafinsdeexemplo,masumaconfiguraorealexigiriaquecadainterfaceWANfosseconfiguradacorretamentedeacordocomasinformaesfornecidasporcadaprovedor.Comofazlo...

    1. VaSystem|Routing2. SelecioneaabaGateways3. TomenotaqueogatewaydanossainterfacepadroWANexistentefoicriadaautomaticamente,

    porissoelaestadefinidacomodefault,quegeralmentedefinidacomodynamics.

    Cliquenoboto+paraadicionarumnovogateway4. EmInterfaceescolhaaconexojexistenteWAN5. EmNamedigiteumnomeparaogateway6. EmGatewaydigiteogatewaydainterface7. MarqueDefaultGateway8. EmDescriptiondigiteumadescrioparaseugateway,noexemplonsusamosWANGateway.

  • Pgina110de212

    9. CliqueemSave.

    10. Cliquenoboto+paraadicionarumnovoGateway11. NaopoInterfaceescolhaanovainterfaceWAN.12. EmNamedigiteumnomeparaogateway13. EmGatewaydigiteogatewaydainterface14. EmDescriptiondigiteumadescrioparaseugateway,noexemplonsusamosWAN2Gateway.

  • Pgina111de212

    15. CliqueemSave16. CliqueemApplyChanges

    17. VaInterfaces|WAN18. EmTypeescolhaStatic19. EmIPAddressdigiteoIPdaWAN20. EmGatewayselecioneogatewayquevoccrioureferenteWAN21. MarqueBlockprivatenetworks22. MarqueBlockbogonnetworks

  • Pgina112de212

    23. CliqueemSave24. VInterfaces|WAN225. EmTypeescolhaStatic

    26. EmIPaddressdigiteoIPdaWAN227. EmGateway,selecioneogatewaycriadoreferenteaWAN228. MarqueBlockprivatenetworks29. MarqueBlockbogonnetworks

    30. CliqueemSave31. CliqueemApplyChanges

  • Pgina113de212

    Comoelefunciona...ApenasaprimeirainterfaceWANquecriadapeloUTM,vaiterseugatewaypadrogerado

    automaticamente.AocriarumgatewaymanualmenteparainterfaceWAN,comoacabamosdefazer,entoagorapodemoscontinuarcomocapitulofazendoparaconfigurarosrecursosderedundncia.

    Hmais...LembresesempredemarcarasopesdeBlockprivatenetworkseBlockbogonnetworksnasredesdeinternet.

    Vejatambm... ConfigurandoaInterface,capitulo1ConfiguraoInicial. Criandogateway,capitulo5Configuraesavanadas. ConfigurandomultiWANcombalanceamentodecarga ConfigurandomultiWANcomFailover

    ConfigurandomultiWANcombalanceamentodecarga AquivamosdescrevercomoconfigurarobalanceamentodecargaemumnicosistemaUTM.Sepreparando... Aolongodessasinstrues,vamosconfigurarobalanceamentodecargadeduasinterfacesWANseparadas.Entoterquesecertificarprimeiroseasduasinterfacesestocorretamenteconfiguradasseguiandopelainstruomaisacima. Todavezqueumbalanceamentodecargaentraemvigor,oFailoverautomaticamentetambmentra.MassequisssemosativarsomenteoFailover,naprximaetapavamosdescrevercomofazer.Comofazlo...

    1. VaSystem|Routing2. SelecioneaabaGroups3. EmGroupnamedigiteumnome(essenomevaiseronomedoseugateway,enopodeter

    espao)noexemplousamosLoadBalancedGroup4. EmGatewayPriorityemambososgatewaysselecioneTier15. EmTriggerLevel,selecioneMemberDown6. EmDescriptiondigiteumadescrioparaseubalanceamento.

  • Pgina114de212

    7. CliqueemSave8. CliqueemApplyChanges

    9. VatSystem|Routing10. EditeoWANgateway11. EmMonitorIPvocpodeespecificarumendereodeIPexterno.Euparticularmentecolocoo

    endereohttp://www.google.com.br,masvocpodeespecificaroendereoasuaescolha,podeserummaispertodoseufirewall(algumipdentrodarededoseuprovedorporexemplo).

    12. CliqueemSave.13. EditeoWan2gateway14. EmMonitorIPvocpodeespecificarumendereodeIPexterno.Euparticularmentecolocoo

    endereohttp://www.google.com.br,masvocpodeespecificaroendereoasuaescolha,podeserummaispertodoseufirewall(algumipdentrodarededoseuprovedorporexemplo).

    15. CliqueemSave.16. CliqueemApplyChanges.

  • Pgina115de212

    17. VatFirewall|Rules18. Cliquenoboto+paraadicionarumanovaregradefirewallnaabaLAN19. EmaoselecionePass20. EmInterfaceselecioneLAN21. EmProtocolselecioneany22. EmSourceselecioneLanSubnet23. EmDestinationselecioneany24. EmDescriptiondigiteumadescrio25. EmAdvancedFeatures,naopoGatewaycliqueemAdvancedeiraparecerummenucoma

    listadegatewayscriados26. EmgatewayselecioneogatewayquecriamoslogoacimacomonomeLoadBalancedGroup27. CliqueemSave28. CliqueemApplyChanges

    Comoelefunciona...

    TodootrfegodeinternetquepassarpelaLANvaipassarpelonossogateway.AsduasWANsconfiguradasvoteromesmonveldeprioridadevaialternarentresisimultaneamente.

  • Pgina116de212

    Almdisso,nstambmconfiguramosoIPMonitor,comissooUTMsaberquandoumgatewayperdeaconexocomainternet,entoobalanceamentodecargaexcluiesselinkdeixandoooutroouosoutrosfuncionando,quemfazissooFailover,queentraemvigorautomaticamente.Hmais...

    NsdefinimosoTriggerLevel,comoMemberDown,mashvariasoutrasopes: MemberDown:acionadoquandooendereoquecolocamosemIPmonitordeixaderesponderaos

    pings. PacketLoss:acionadoquandoospacotesqueviajamentreumdosgatewayssoperdidos. HighLatency:ativadoquandoospacotesqueviajamentreumdosgatewaysficamcomuma

    instabilidademuitoalta. PacketLossorHighLatency:acionadoquandoospacot


Como Bootear Wifiway 2.0.2 Desde Usb (Sin Errores) ~ POKOXEMO

Como Bootear Wifiway 2.0.2 Desde Usb (Sin Errores) ~ POKOXEMO

4PSA VoipNow Plesk Module 2.0.2

4PSA VoipNow Plesk Module 2.0.2

UTM - Abbildung und UTM - Koordinaten - Vermessungvermessung.bayern.de/file/pdf/1910/UTMAbbildungundKoordinaten.pdf · UTM - Abbildung und UTM - Koordinaten 2 Landesamt für Digitalisierung,

UTM - Abbildung und UTM - Koordinaten - Vermessungvermessung.bayern.de/file/pdf/1910/UTMAbbildungundKoordinaten.pdf · UTM - Abbildung und UTM - Koordinaten 2 Landesamt für Digitalisierung,

CodeIgniter Guia de Usuario 2.0.2

CodeIgniter Guia de Usuario 2.0.2

UTM UTM SeriesSeries

UTM UTM SeriesSeries

Installing vmware server 2.0.2 on windows7

Installing vmware server 2.0.2 on windows7

UTM Kuala Lumpur2019/07/03  · UTM Kuala Lumpur

UTM Kuala Lumpur2019/07/03  · UTM Kuala Lumpur

Men314 09 e-learning-sem_comercioe-guiaplanaccion v 2.0.2

Men314 09 e-learning-sem_comercioe-guiaplanaccion v 2.0.2

UTM - Abbildung und UTM - Koordinaten · UTM - Abbildung und UTM - Koordinaten Zur darstellung der Erdoberfläche durch die Universale Transversale Merca-tor – Abbildung (uTM -

UTM - Abbildung und UTM - Koordinaten · UTM - Abbildung und UTM - Koordinaten Zur darstellung der Erdoberfläche durch die Universale Transversale Merca-tor – Abbildung (uTM -

Geronimo 2.0.2 Performance Reporthogstrom/performance/geronimo/...Geronimo to be deployed in applications that require a small memory footprint. Overall Apache Geronimo 2.0.2 is ready

Geronimo 2.0.2 Performance Reporthogstrom/performance/geronimo/...Geronimo to be deployed in applications that require a small memory footprint. Overall Apache Geronimo 2.0.2 is ready

eBook Do Método de Aprovação 2.0.2

eBook Do Método de Aprovação 2.0.2

iNetVu 9000 Controller User Manual - Rev 2.0.2

iNetVu 9000 Controller User Manual - Rev 2.0.2

Design Standard Version 2.0.2 (MSS-2) - Modular Signal System€¦ · Modular Signal System Design Standard Version 2.0.2 Page 3 of 24 2. Definitions and General Information 2.1.

Design Standard Version 2.0.2 (MSS-2) - Modular Signal System€¦ · Modular Signal System Design Standard Version 2.0.2 Page 3 of 24 2. Definitions and General Information 2.1.

Sophos UTM · Sophos UTM – Endpoint meets ... fonts and icons, no structural changes) -> Sophos UTM 9 •Change the look of appliances ... UTM 9.X Roadmap •UTM 110/120, 220, ...

Sophos UTM · Sophos UTM – Endpoint meets ... fonts and icons, no structural changes) -> Sophos UTM 9 •Change the look of appliances ... UTM 9.X Roadmap •UTM 110/120, 220, ...

Manual Hijack This 2.0.2

Manual Hijack This 2.0.2

PostGIS 2.0.2 Manual · PostGIS 2.0.2 Manual iii 3 PostGIS Frequently Asked Questions 20 4 Using PostGIS: Data Management and Queries24 4.1 GIS Objects ...

PostGIS 2.0.2 Manual · PostGIS 2.0.2 Manual iii 3 PostGIS Frequently Asked Questions 20 4 Using PostGIS: Data Management and Queries24 4.1 GIS Objects ...

Como Bootear Wifiway 2.0.2 Desde Usb (Sin Errores) ~ POKOXEMO.pdf

Como Bootear Wifiway 2.0.2 Desde Usb (Sin Errores) ~ POKOXEMO.pdf

Apostila Do Sistema UTM

Apostila Do Sistema UTM

Universiti Teknologi Malaysia (UTM) - urfu.ru · UTM International UTM International Selamat Datang (welcome) Universiti Teknologi Malaysia (UTM) Bring UTM to the World Bring the

Universiti Teknologi Malaysia (UTM) - urfu.ru · UTM International UTM International Selamat Datang (welcome) Universiti Teknologi Malaysia (UTM) Bring UTM to the World Bring the

B2Bi 2.0.2 Basic Training Day 5

B2Bi 2.0.2 Basic Training Day 5