gutocarvalho.net

cotidiano simples, vida feliz

soluções integradas: livecd + firewall + router

By

Há algum tempo tenho visto amigos utilizando o PFSENSE que é um excelente LIVECD baseado no FreeBSD, o qual já vem preparado para ser um firewall e roteador, o PFSENSE possui um poderoso frontend web para administração de seus recursos.

Esta solução foi até utilizanda no último FISL pela equipe de infra-estrutura da ASL e parceiros.

Para aqueles que não abrem mão de usarem um ambiente 100% GNU/LINUX existem soluções que podem ser alternativas ao PFSENSE.

A seguir apresento algumas distros GNU/LINUX com foco em firewall/router e serviços.

1. Projeto Zeroshell

Opções de imagens:
– LiveCD
– VMare Image
– Compact Flash image
– ISO-CD image

http://www.zeroshell.net/
http://en.wikipedia.org/wiki/Zeroshell

Esta é uma distribuição que está disponível em LIVECD, COMPACT FLASH IMAGES e imagens do VMWARE.

Características principais:

- Radious Server;
– Captive Portal, para autenticação por navegador em hotspots;
– Modo Wireless Access Point, com suporte a 802.1X and WPA protocols, baseado em placas com chipset Atheros.
– Suporte a QOS com controle e garantia de banda por serviços;
– Traffic Shapping;
– VPN com suporte IPSEC/L2TP e OPENVPN;
– Roteamento dinâmico;
– Suporte a bridge 802.1D e protocolo spanning tree;
– Suporte a VLAN IEEE 802.1Q;
– Firewall (Packet Filter/Stateful Package Inspection);
– HTTP proxy com suporte Antivirus
– Bloqueio IPP2P para protocolos em Layer7 através de classificaço do QOS;
– DNS Server para multiplas zonas com suporte a reservo;
– DHCP Server para multiplas subnets com suporte a fixar IP através de MAC ADDR;
– Cliente PPPOE;
– NTP client e server;
– Syslog server para receber e catalogar logs de serviços remotos;
– Autenticaçào Keberos5, NIS e LDAP.
– Certificados X.509;

2. Endian Firewall

Opções de imagens:
– ISO-CD image
– Appliances

http://www.endian.com/en/community/about/
http://en.wikipedia.org/wiki/Endian_Firewall

Principais características:

- Firewall
– VPN
– Proxy HTTP transparente
– Filtro de conteúdo web
– Filtro web para antivirus
– Filtro web para spam
– Filtro de e-mail para antivirus
– Filtro de e-mail para spam
– Hotspot Wireless/Security
– Suporte SIP/VOIP
– IDS
– DHCP Server
– NTP Server
– Estatisticas detalhadas

A empresa Endian oferece appliances com sua solução opensource.

3. Projeto SmoothWall

Opções de imagens:

- ISO-CD image
– SVN Build em Hosts
– – Debian Etch 4 e Sarge 3.1
– – Ubuntu 7.04
– – Redhat 8.0 e 9.04
– – Fedora Core 1-3 e 6-7
– – Suse 9.0

http://smoothwall.org/
http://en.wikipedia.org/wiki/Smoothwall

Principais características:

- Stateful Firewall
– QOS
– SIP Proxy
– IM Proxy
– Estatisticas detalhadas
– DHCP-Server
– Suporte UPNP

4. Projeto IPcop

Opções de imagens:

- ISO-CD image
– USB-FDD image
– USB-HDD image
– ISO-CD image
– PXE image

http://www.ipcop.org/
http://en.wikipedia.org/wiki/IPCop

Inicialmente foi baseado no Smoothwall mas hoje os projetos tem desenvolvimento totalmente distintos e metas divergentes.

Tem tradução para o português do brasil ;)

Principais características:

- Stateful firewall
– – port forwarding
– Suporte VLAN
– HTTP/FTP proxy (squid)
– IDS
– Logs locais ou remotos
– NTP client
– SSH Server
– Traffic Shapping
– VPN

5. Ebox Plataform

Opções de imagens:

- ISO-CD image
– LIVECD image
– Ubuntu 8.04 Packages
– SVN Builds Debian/Ubuntuu

http://www.ebox-platform.com/
http://en.wikipedia.org/wiki/EBox

Esta é uma solução baseada em Debian e mais recentemente Ubuntu.

O projeto EBOX é um framework completo para serviços de rede!

Principais características:

- Balanceamento de carga
– Firewall (netfilter/iptables)
– Proxy transparente com filtro de conteúdo (squid)
– Usuários e Grupos em árvore LDAP compatível com outros módulos (openldap)
– Controle de domínio para rede Windows (samba)
– Servidor de impressão para redes Unix e Windows (samba +cups)
– Servidor de e-mail (posfix + clamav + spamassassin)
– Servidor Jabber (jabberd)
– Servidor DHCP
– Servidor NTP
– Servidor DNS e DNS-CACHE (bind)
– Suporte a VLANS
– Sistema de backup integrado

Infelizmente ela não tem suporte a QOS ou filtros Layer 7 na firewall, mas quem sabe nas próximas versões ;)

Vou tentar avaliar cada distro em máquinas virtuais para fornecer melhores parâmetros, o problema é que estou com uma conexão 3G o que dificulta fazer o download das ISOS, mas vou falando conforme for testando, quem já usa por favor deixe seu depoimento :)

Bom até agora falei bastante de GNU/LINUX mas nossos irmãos *BSB também tem excelentes projetos na área, vou apresentar 2 projetos para vocês, um deles já foi mencionado no começo do artigo

1. Projeto Monowall

Opções de imagens:

- ISO-CD image
– Raw CF Image para Net45xxx, Net48xxx, Wrap e Generic PC
– Root Tarball

http://m0n0.ch/wall/
http://en.wikipedia.org/wiki/M0n0wall

Principais características

- Stateful packet filter firewall
– IPsec e PPTP VPNs
– Inbound and Outbound Network Address Translation
– Captive portal
– Traffic shaper
– Inbound and Outbound port filtering.
– Support for 802.1q compatible VLANs.
– Multiple IP addresses on LAN and WAN ports.
– Replacement for commercial router

2. Projeto PFSENSE

Opções de imagens:

– LiveCD & Install image
– Embeeded image

http://www.pfsense.com/
http://en.wikipedia.org/wiki/Pfsense

Inicialmente baseado no Monowall.

Principais características:

- Firewall
– State Table
– NAT

- Redundância

- – CARP – CARP do OpenBSD habilitar hardware failover. Duas ou mais firewalls podem ser configuradas com um grupo failover. Se um dos nós para de responder o segundo assume automaticamente. O Pfsese também inclui sincronização de configurações, então se configurar o primeiro nó, os próximos nós também serão configurados automaticamente.

- – pfsync – pfsync consiste em uma tabela com informações da firewall, a qual é replicada para os demais nós. Isso significa que se um dos nós falhar, fazendo com que outro nó tenha que assumir, as conexões existentes serão mantidas, pois isto é importante para prevenindo problemas com serviços oferecidos.

- Balanceamento de carga de entrada ou saída
– VPN – Ipsec, OpenVPN, PPTP
– PPPoE Server
– RRD Graphs Reporting
– Estatísticas em tempo real usando AJAX
– DNS Dinâmico
– Captive Portal
– Servidor DHCP e relay
– QoS
– Traffig Shapper

O PFSense é uma das soluções mais usadas para firewall e roteamento por especialistas.

[]’s
Guto

44 Comments

  1. maio 11, 2008 at 16:00

    Gostei do PFSENSE estou instalando ele aqui em um servidor de testes. Com o ebox tive alguns problemas e uso as vezes tambem uma solução nacional o brazilfw para redes pequenas ou de baixo custo (baixo mesmo) to com um post na fila para os proximos dias e vale a pena usar como servidor temporario enquanto faz manutenção ou até mesmo solução permanente em alguns casos

  2. maio 12, 2008 at 9:34

    Putz Guto,

    Muito massa esse post, já tinha usado o BrasilFW e o IPcop os outros conhecia somente de nome.
    Vou fazer uns pilotos desses caras aqui somente para conhecer e indicar aos meus alunos.
    Eu prefiro usar firewall em appliance.

    []’s

    Alex
    http://penguim.wordpress.com

  3. gutocarvalho
    maio 12, 2008 at 18:10

    Alex,

    Que bom que você gostou ;)

    Quando fizer os testes nos conte como foi e o que achou de cada ferramenta.

    Hoje eu testei o EBOX, instalei ele em uma VM e dei uma fuçada, quando sobrar um tempo vou fazer um relato mais detalhado.

    To aqui do lado do chicofedora, seu coterrâneo, ele mandou um abraço!

    []’s

  4. gutocarvalho
    maio 12, 2008 at 18:15

    n3t0,

    Que bom que tu gosta do PFSENSE é realmente uma ferramenta eficiente, quando estiver com o POST pronto manda o link ;)

    []’s

  5. Giorgio
    maio 12, 2008 at 22:24

    Hum.. parece que o zeroshell é mais completo, nunca utilizei nem uma dessas soluções, pra quem quer conhecer o pfsense vai essa video aula que é excelente:
    http://www.luizgustavo.pro.br/doku.php?id=projetos:pfsense:video_instalacao
    Po o pfsense não tem qos ? layer 7 ? :{

  6. gutocarvalho
    maio 13, 2008 at 8:00

    Giorgio,

    Pelo o que li ele tem QOS e Traffic Shapping, você pode trabalhar IP/PORTA nas configurações, mas ainda não traz nada mais específico para layer7.

    Mas na próxima major version do PFSENSE isso já está previsto em um wishlist.

    []’s

  7. Beto Penna
    maio 13, 2008 at 15:05

    Desculpe a “gonorância”, mas o BrazilFW não caberia nessa lista???

  8. maio 15, 2008 at 7:03

    […] por guto carvalho (gutoΘgutocarvalho·net) – referência […]

  9. maio 15, 2008 at 8:53

    Ae gutera, muito legal este teu post. Eu já tinha mexido com algumas destas ferramentas. Tem interfaces amigáveis.
    []’s

  10. Daniel Hoisel
    maio 15, 2008 at 9:02

    Sem esquecer do untangle.com

  11. Beto Penna
    maio 15, 2008 at 10:39

    Positivo operante >>> entendido e de pleno acordo ;-)
    Foi o vício de tanto montar máquina velha como router para Amigos e clientes,as quais a B.I.O.S não aceita boot pelo CD, que me atrapalhou a compreensão do texto…

  12. maio 15, 2008 at 12:10

    boa tarde

    O PFSsense possui sim Traffic Shapper e QoS baseados no protocolo HFSC que trabalha em conjunto com o Firewall PF.

    Os BSD tem essa pequena deficiência em operar o Layer acima do 4. Layer 7 é o sonho para que mexe com BSD.

  13. gutocarvalho
    maio 18, 2008 at 8:32

    Beto Pena,

    Caberia sim, eu realmente não conhecia essa solução, estou estudando ela e vou preparar um post especial ;)

    Por enquanto acessem:

    http://www.brasilfw.com.br

    []’s
    Guto

  14. gutocarvalho
    maio 18, 2008 at 8:36

    BioSystem,

    Interessante saber disto ;)

    Vou dar uma estudada no assunto, preciso me aproximar mais do BSD.

    []’s
    Guto

  15. gutocarvalho
    maio 18, 2008 at 8:42

    Daniel Hoisel,

    Existem muitas opções, eu dei foco nos projetos principais, mais ativos e com comunidades expressivas em volta.

    Eu vi o Untangle, parecer ser interessante, não gostei muito da interface dele, mas caso você conheça ele de perto e deseje dar o seu depoimento, é só mandar :)

    []’s
    Guto

  16. Éderson
    junho 28, 2008 at 1:07

    e ai galera estou a fim de montar um servidor de balanceamento de carga com dois links uma adsl e outro com ip dedicado, sera que alguem poderia me dizer por onde eu começo. estou usando a distribuição Debian. Obrigado!!

  17. gutocarvalho
    julho 20, 2008 at 17:31

    Éderson,

    No viva o linux e underlinux você acha muito material.

    http://under-linux.org/forums/debian/109241-load-balance-e-redundancia-com-2-adsl-velox-de-1mb-no-debian-e-possivel.html

    []’s
    Guto

  18. novembro 8, 2008 at 12:21

    […] bom. Se voc

  19. novembro 8, 2008 at 13:12

    […] bom. Se voc

  20. novembro 24, 2008 at 9:14

    […] gutocarvalho.net » Blog Archive » soluções integradas: livecd + firewall + router (tags: security network linux livecd firewall) […]

  21. Paulo Dias
    janeiro 23, 2009 at 13:56

    Cara, valeu mesmo!
    pf sense e endian vão me salvar aqui.

  22. janeiro 26, 2009 at 9:49

    De Paulo Dias,

    Quem bom que estas ferramentas podem te ajudar ;)

    []’s
    Guto

  23. Alexandre Irgang
    janeiro 29, 2009 at 21:35

    Muito Bom este artigo!!
    Eu trabalho em uma empresa aqui em Cuiabá e nós ja temos instalados mais ou menos uns 30 appliances rodando o PFsense.
    O que eu ainda não consegui com ele é fazer rodar o Proxy e o Blanceamento de Links ao mesmo tempo.
    Parece que na próxima versão vai dar.
    Mas é uma ótima solução

  24. janeiro 30, 2009 at 12:31

    Alexandre,

    Muito bom saber deste case de PFSENSE ;)

    Obrigado pela visita.

    []’s
    Guto

  25. Int21
    fevereiro 6, 2009 at 0:53

    Senhores, alguma destas ferramentas com captive portal possui controle de banda por ip, digo, por usuario conectado ??

    Valeu

  26. decilio
    fevereiro 13, 2009 at 9:32

    Bom dia a todos

    Testei alguns, mas o que percebir que alguns deles exigem muito hardware que para mim são o suficiente.

    Uso a quase dois anos o BRAZILFW, http://www.brazilfw.com.br achei muito completo e pratico para instalação.

    Abraços a todos

  27. Maax
    julho 2, 2009 at 14:46

    Eu uso o BFW há mais de 3 anos, e estou na expectativa e ansioso, pela sua versão 3 onde dizem que irão fazer funcionar o qos com squid, ele até funciona mas apenas em sub redes o que não posso fazer em uma rede local.

    Mas hoje estou precisando de uma solução onde funcione o qos com squid, estou tentando acessar o site dozeroshell e o site não abre.

    Gostaria de saber se ele funcina

  28. Alex
    outubro 2, 2009 at 15:08

    Tenho configurado no PfSense a rede local com internet. Preciso disponibilizar também o acesso wireless, mas não estou conseguindo.
    Alguém pode ajudar?

  29. Carlos Pellat
    novembro 11, 2009 at 13:25

    Olá… Estou rodando proxy e firewall PFSense à um pouco mais de 01 mês integrado ao Active Directory do Windows Server 2003. Estou com um probleminha, algumas estações utilizam browsers Opera e Mozilla Firefox e nestes ao se navegar pedem senha do proxy (o que não acontece com IE6, 7 e 8). Além de que não consigo utilizar as GPO’s do AD para configurar automáticamente (ip’s do proxy e porta p. ex.: 192.168.10:3128 estes browsers). Se no IE funciona… estou usando proxy autenticado… Alguém já passou por isso e conseguiu configurar ou contornar isso?? Poderiam me ajudar??

  30. dezembro 5, 2009 at 15:19

    Carlos,

    Estas estações estão utilizando qual sistema operacional?

    No IE não pede senha pois ele já aproveita o ticket do logon, o Opera e o Firefox não tem esse recurso.

    Att.
    Guto

  31. março 14, 2010 at 12:37

    Good info, thanks a ton.

  32. Julio Cesar
    maio 28, 2010 at 12:19

    Boa Tarde Guto blz ?
    Verifiquei que vc é um amigo da filosofia bsd :) e pesquisando soluções para um problema de balanceamento de links cheguei ao pfsense o qual vc comenta muito bem.
    Agora vem a questao numa estrutura ja existente existe a possbilidade do pfsense trabalhar em modo bridge, pois nao gostaria de mexer no cenario em uso. Simplesmente gostaria de colocar o pfsense como um “appliance transparente” entre os links de internet e o servidor.
    Lembro-me do ebtables no linux que permitia efetuar regras e fitlragens em modo bridge, mas quero testar o pfsense entao se isto for possivel iria me ajudar bastante.

  33. junho 15, 2010 at 11:54

    Have to subscribe to this weblog, wonderful post. Found it on google.

  34. agosto 6, 2010 at 17:50

    Stepane,

    Thanks for your comment.

    []’s
    Guto

  35. agosto 6, 2010 at 18:02

    Julio Cesar,

    Nunca usei o Pfsense desta forma, talvez uma passadinha nas listas de discussão do projeto lhe esclareça a questão.

    http://www.pfsense.org/index.php?option=com_content&task=view&id=66&Itemid=71

    []’s
    Guto

  36. MMsDesigner
    agosto 10, 2010 at 10:53

    Tenho um server 2008 com AD, e gostaria de saber se tem alguma distro que integre a ele e sincronize os users.

  37. agosto 11, 2010 at 9:45

    Quais serviços você deseja?

    O SQUID proxy/cache tem suporte a autenticação LDAP e NTLM, não depende de uma distro mas sim dos serviços que necessita rodar.

    Talvez no seu caso a Distro EBOX possa te ajudar, ela é bem completa – http://www.ebox-platform.com/

    Se for apenas firewall+proxy+cache, recomendo a solução ENDIAN – http://www.endian.com/en/community/overview/

    []’s
    Guto

  38. Daniel
    outubro 23, 2010 at 0:44

    Ja testei todas essas distros cada uma tem sua peculariedade e gostaria de mencionar uma distro que usei por muito tempo e digo que fica bem acima dessa ai e o http://www.ipfire.org pelo menos para mim foi o melhor.

  39. Misael Gomes
    maio 27, 2011 at 9:10

    Olá, parabéns pelo site. Estou procurando um sistema que alem de firewall, qos e http proxy com login via navegador, controlasse tambem a geração de senhas de acesso wifi com limite de tempo, senha de 30min, 1hora, 1dia ou dias… houvi falar que é possivel neste zeroshell, mas não instalei pra saber, neste funciona mesmo ou tem outra dica? Grato.

  40. junho 19, 2011 at 18:44

    Misael,

    Não posso te dizer com certeza de o zeroshell lhe atende, mas vale a pena perguntar no canal do projeto via IRC ou no site do projeto.

    [s]
    Guto

  41. dezembro 26, 2011 at 0:25

    O amigo sabe como fazer backup das configuraçoes do zeroshel, para um eventual desastre ou mesmo atualização..

  42. janeiro 13, 2012 at 11:25

    Sugiro que dê uma olhada na documentação do projeto ;)

  43. Roberto Almeida
    abril 30, 2012 at 9:20

    Prezado amigo, sou u curioso de redes e que estou procurando um novo rumo pra minha vida, gostei muito das funcionalidades do pf sense, isso muito me instigou, como faço pra obter mais opções de funcionalidades e até mesmo comercialização, lembrando que sou 90% leigo. forte abraço.

  44. maio 1, 2012 at 18:41

    Entre no site do PFSENSE, lá você vai encontrar as informações que procura e a forma de fazer contanto com a equipe para ver questões de suporte comercial dentre outras coisas.

    [s]
    Guto

Deixe uma resposta