gutocarvalho.net

cotidiano simples, vida feliz

soluções integradas: livecd + firewall + router

By

Há algum tempo tenho visto amigos utilizando o PFSENSE que é um excelente LIVECD baseado no FreeBSD, o qual já vem preparado para ser um firewall e roteador, o PFSENSE possui um poderoso frontend web para administração de seus recursos.

Esta solução foi até utilizanda no último FISL pela equipe de infra-estrutura da ASL e parceiros.

Para aqueles que não abrem mão de usarem um ambiente 100% GNU/LINUX existem soluções que podem ser alternativas ao PFSENSE.

A seguir apresento algumas distros GNU/LINUX com foco em firewall/router e serviços.

1. Projeto Zeroshell

Opções de imagens:
- LiveCD
- VMare Image
- Compact Flash image
- ISO-CD image

http://www.zeroshell.net/
http://en.wikipedia.org/wiki/Zeroshell

Esta é uma distribuição que está disponível em LIVECD, COMPACT FLASH IMAGES e imagens do VMWARE.

Características principais:

- Radious Server;
- Captive Portal, para autenticação por navegador em hotspots;
- Modo Wireless Access Point, com suporte a 802.1X and WPA protocols, baseado em placas com chipset Atheros.
- Suporte a QOS com controle e garantia de banda por serviços;
- Traffic Shapping;
- VPN com suporte IPSEC/L2TP e OPENVPN;
- Roteamento dinâmico;
- Suporte a bridge 802.1D e protocolo spanning tree;
- Suporte a VLAN IEEE 802.1Q;
- Firewall (Packet Filter/Stateful Package Inspection);
- HTTP proxy com suporte Antivirus
- Bloqueio IPP2P para protocolos em Layer7 através de classificaço do QOS;
- DNS Server para multiplas zonas com suporte a reservo;
- DHCP Server para multiplas subnets com suporte a fixar IP através de MAC ADDR;
- Cliente PPPOE;
- NTP client e server;
- Syslog server para receber e catalogar logs de serviços remotos;
- Autenticaçào Keberos5, NIS e LDAP.
- Certificados X.509;

2. Endian Firewall

Opções de imagens:
- ISO-CD image
- Appliances

http://www.endian.com/en/community/about/
http://en.wikipedia.org/wiki/Endian_Firewall

Principais características:

- Firewall
- VPN
- Proxy HTTP transparente
- Filtro de conteúdo web
- Filtro web para antivirus
- Filtro web para spam
- Filtro de e-mail para antivirus
- Filtro de e-mail para spam
- Hotspot Wireless/Security
- Suporte SIP/VOIP
- IDS
- DHCP Server
- NTP Server
- Estatisticas detalhadas

A empresa Endian oferece appliances com sua solução opensource.

3. Projeto SmoothWall

Opções de imagens:

- ISO-CD image
- SVN Build em Hosts
- – Debian Etch 4 e Sarge 3.1
- – Ubuntu 7.04
- – Redhat 8.0 e 9.04
- – Fedora Core 1-3 e 6-7
- – Suse 9.0

http://smoothwall.org/
http://en.wikipedia.org/wiki/Smoothwall

Principais características:

- Stateful Firewall
- QOS
- SIP Proxy
- IM Proxy
- Estatisticas detalhadas
- DHCP-Server
- Suporte UPNP

4. Projeto IPcop

Opções de imagens:

- ISO-CD image
- USB-FDD image
- USB-HDD image
- ISO-CD image
- PXE image

http://www.ipcop.org/
http://en.wikipedia.org/wiki/IPCop

Inicialmente foi baseado no Smoothwall mas hoje os projetos tem desenvolvimento totalmente distintos e metas divergentes.

Tem tradução para o português do brasil ;)

Principais características:

- Stateful firewall
- – port forwarding
- Suporte VLAN
- HTTP/FTP proxy (squid)
- IDS
- Logs locais ou remotos
- NTP client
- SSH Server
- Traffic Shapping
- VPN

5. Ebox Plataform

Opções de imagens:

- ISO-CD image
- LIVECD image
- Ubuntu 8.04 Packages
- SVN Builds Debian/Ubuntuu

http://www.ebox-platform.com/
http://en.wikipedia.org/wiki/EBox

Esta é uma solução baseada em Debian e mais recentemente Ubuntu.

O projeto EBOX é um framework completo para serviços de rede!

Principais características:

- Balanceamento de carga
- Firewall (netfilter/iptables)
- Proxy transparente com filtro de conteúdo (squid)
- Usuários e Grupos em árvore LDAP compatível com outros módulos (openldap)
- Controle de domínio para rede Windows (samba)
- Servidor de impressão para redes Unix e Windows (samba +cups)
- Servidor de e-mail (posfix + clamav + spamassassin)
- Servidor Jabber (jabberd)
- Servidor DHCP
- Servidor NTP
- Servidor DNS e DNS-CACHE (bind)
- Suporte a VLANS
- Sistema de backup integrado

Infelizmente ela não tem suporte a QOS ou filtros Layer 7 na firewall, mas quem sabe nas próximas versões ;)

Vou tentar avaliar cada distro em máquinas virtuais para fornecer melhores parâmetros, o problema é que estou com uma conexão 3G o que dificulta fazer o download das ISOS, mas vou falando conforme for testando, quem já usa por favor deixe seu depoimento :)

Bom até agora falei bastante de GNU/LINUX mas nossos irmãos *BSB também tem excelentes projetos na área, vou apresentar 2 projetos para vocês, um deles já foi mencionado no começo do artigo

1. Projeto Monowall

Opções de imagens:

- ISO-CD image
- Raw CF Image para Net45xxx, Net48xxx, Wrap e Generic PC
- Root Tarball

http://m0n0.ch/wall/
http://en.wikipedia.org/wiki/M0n0wall

Principais características

- Stateful packet filter firewall
- IPsec e PPTP VPNs
- Inbound and Outbound Network Address Translation
- Captive portal
- Traffic shaper
- Inbound and Outbound port filtering.
- Support for 802.1q compatible VLANs.
- Multiple IP addresses on LAN and WAN ports.
- Replacement for commercial router

2. Projeto PFSENSE

Opções de imagens:

- LiveCD & Install image
- Embeeded image

http://www.pfsense.com/
http://en.wikipedia.org/wiki/Pfsense

Inicialmente baseado no Monowall.

Principais características:

- Firewall
- State Table
- NAT

- Redundância

- – CARP – CARP do OpenBSD habilitar hardware failover. Duas ou mais firewalls podem ser configuradas com um grupo failover. Se um dos nós para de responder o segundo assume automaticamente. O Pfsese também inclui sincronização de configurações, então se configurar o primeiro nó, os próximos nós também serão configurados automaticamente.

- – pfsync – pfsync consiste em uma tabela com informações da firewall, a qual é replicada para os demais nós. Isso significa que se um dos nós falhar, fazendo com que outro nó tenha que assumir, as conexões existentes serão mantidas, pois isto é importante para prevenindo problemas com serviços oferecidos.

- Balanceamento de carga de entrada ou saída
- VPN – Ipsec, OpenVPN, PPTP
- PPPoE Server
- RRD Graphs Reporting
- Estatísticas em tempo real usando AJAX
- DNS Dinâmico
- Captive Portal
- Servidor DHCP e relay
- QoS
- Traffig Shapper

O PFSense é uma das soluções mais usadas para firewall e roteamento por especialistas.

[]’s
Guto

  • http://www.n3t0.com n3t0

    Gostei do PFSENSE estou instalando ele aqui em um servidor de testes. Com o ebox tive alguns problemas e uso as vezes tambem uma solução nacional o brazilfw para redes pequenas ou de baixo custo (baixo mesmo) to com um post na fila para os proximos dias e vale a pena usar como servidor temporario enquanto faz manutenção ou até mesmo solução permanente em alguns casos

  • http://penguim.wordpress.com Alexandro Silva

    Putz Guto,

    Muito massa esse post, já tinha usado o BrasilFW e o IPcop os outros conhecia somente de nome.
    Vou fazer uns pilotos desses caras aqui somente para conhecer e indicar aos meus alunos.
    Eu prefiro usar firewall em appliance.

    []’s

    Alex
    http://penguim.wordpress.com

  • gutocarvalho

    Alex,

    Que bom que você gostou ;)

    Quando fizer os testes nos conte como foi e o que achou de cada ferramenta.

    Hoje eu testei o EBOX, instalei ele em uma VM e dei uma fuçada, quando sobrar um tempo vou fazer um relato mais detalhado.

    To aqui do lado do chicofedora, seu coterrâneo, ele mandou um abraço!

    []’s

  • gutocarvalho

    n3t0,

    Que bom que tu gosta do PFSENSE é realmente uma ferramenta eficiente, quando estiver com o POST pronto manda o link ;)

    []’s

  • Giorgio

    Hum.. parece que o zeroshell é mais completo, nunca utilizei nem uma dessas soluções, pra quem quer conhecer o pfsense vai essa video aula que é excelente:
    http://www.luizgustavo.pro.br/doku.php?id=projetos:pfsense:video_instalacao
    Po o pfsense não tem qos ? layer 7 ? :{

  • gutocarvalho

    Giorgio,

    Pelo o que li ele tem QOS e Traffic Shapping, você pode trabalhar IP/PORTA nas configurações, mas ainda não traz nada mais específico para layer7.

    Mas na próxima major version do PFSENSE isso já está previsto em um wishlist.

    []’s

  • Beto Penna

    Desculpe a “gonorância”, mas o BrazilFW não caberia nessa lista???

  • Pingback: Alternativas em soluções integradas: livecd + firewall + router

  • http://nonono plumbus

    Ae gutera, muito legal este teu post. Eu já tinha mexido com algumas destas ferramentas. Tem interfaces amigáveis.
    []’s

  • Daniel Hoisel

    Sem esquecer do untangle.com

  • Beto Penna

    Positivo operante >>> entendido e de pleno acordo ;-)
    Foi o vício de tanto montar máquina velha como router para Amigos e clientes,as quais a B.I.O.S não aceita boot pelo CD, que me atrapalhou a compreensão do texto…

  • http://biosystems.ath.cx:8080 BioSystems

    boa tarde

    O PFSsense possui sim Traffic Shapper e QoS baseados no protocolo HFSC que trabalha em conjunto com o Firewall PF.

    Os BSD tem essa pequena deficiência em operar o Layer acima do 4. Layer 7 é o sonho para que mexe com BSD.

  • gutocarvalho

    Beto Pena,

    Caberia sim, eu realmente não conhecia essa solução, estou estudando ela e vou preparar um post especial ;)

    Por enquanto acessem:

    http://www.brasilfw.com.br

    []’s
    Guto

  • gutocarvalho

    BioSystem,

    Interessante saber disto ;)

    Vou dar uma estudada no assunto, preciso me aproximar mais do BSD.

    []’s
    Guto

  • gutocarvalho

    Daniel Hoisel,

    Existem muitas opções, eu dei foco nos projetos principais, mais ativos e com comunidades expressivas em volta.

    Eu vi o Untangle, parecer ser interessante, não gostei muito da interface dele, mas caso você conheça ele de perto e deseje dar o seu depoimento, é só mandar :)

    []’s
    Guto

  • Éderson

    e ai galera estou a fim de montar um servidor de balanceamento de carga com dois links uma adsl e outro com ip dedicado, sera que alguem poderia me dizer por onde eu começo. estou usando a distribuição Debian. Obrigado!!

  • gutocarvalho
  • Pingback: Rb 1000 - P

  • Pingback: Rb 1000 - P

  • Pingback: Leader’s Blog » Blog Archive » links for 2008-11-24

  • Paulo Dias

    Cara, valeu mesmo!
    pf sense e endian vão me salvar aqui.

  • http://gutocarvalho.net gutocarvalho

    De Paulo Dias,

    Quem bom que estas ferramentas podem te ajudar ;)

    []’s
    Guto

  • Alexandre Irgang

    Muito Bom este artigo!!
    Eu trabalho em uma empresa aqui em Cuiabá e nós ja temos instalados mais ou menos uns 30 appliances rodando o PFsense.
    O que eu ainda não consegui com ele é fazer rodar o Proxy e o Blanceamento de Links ao mesmo tempo.
    Parece que na próxima versão vai dar.
    Mas é uma ótima solução

  • http://gutocarvalho.net gutocarvalho

    Alexandre,

    Muito bom saber deste case de PFSENSE ;)

    Obrigado pela visita.

    []’s
    Guto

  • Int21

    Senhores, alguma destas ferramentas com captive portal possui controle de banda por ip, digo, por usuario conectado ??

    Valeu

  • decilio

    Bom dia a todos

    Testei alguns, mas o que percebir que alguns deles exigem muito hardware que para mim são o suficiente.

    Uso a quase dois anos o BRAZILFW, http://www.brazilfw.com.br achei muito completo e pratico para instalação.

    Abraços a todos

  • Maax

    Eu uso o BFW há mais de 3 anos, e estou na expectativa e ansioso, pela sua versão 3 onde dizem que irão fazer funcionar o qos com squid, ele até funciona mas apenas em sub redes o que não posso fazer em uma rede local.

    Mas hoje estou precisando de uma solução onde funcione o qos com squid, estou tentando acessar o site dozeroshell e o site não abre.

    Gostaria de saber se ele funcina

  • Alex

    Tenho configurado no PfSense a rede local com internet. Preciso disponibilizar também o acesso wireless, mas não estou conseguindo.
    Alguém pode ajudar?

  • Carlos Pellat

    Olá… Estou rodando proxy e firewall PFSense à um pouco mais de 01 mês integrado ao Active Directory do Windows Server 2003. Estou com um probleminha, algumas estações utilizam browsers Opera e Mozilla Firefox e nestes ao se navegar pedem senha do proxy (o que não acontece com IE6, 7 e 8). Além de que não consigo utilizar as GPO’s do AD para configurar automáticamente (ip’s do proxy e porta p. ex.: 192.168.10:3128 estes browsers). Se no IE funciona… estou usando proxy autenticado… Alguém já passou por isso e conseguiu configurar ou contornar isso?? Poderiam me ajudar??

  • http://gutocarvalho.net gutocarvalho

    Carlos,

    Estas estações estão utilizando qual sistema operacional?

    No IE não pede senha pois ele já aproveita o ticket do logon, o Opera e o Firefox não tem esse recurso.

    Att.
    Guto

  • http://tmstreamyx888.zoomblog.com/archivo/2010/02/10/about-Streamyx.html Streamyx Zizi

    Good info, thanks a ton.

  • Julio Cesar

    Boa Tarde Guto blz ?
    Verifiquei que vc é um amigo da filosofia bsd :) e pesquisando soluções para um problema de balanceamento de links cheguei ao pfsense o qual vc comenta muito bem.
    Agora vem a questao numa estrutura ja existente existe a possbilidade do pfsense trabalhar em modo bridge, pois nao gostaria de mexer no cenario em uso. Simplesmente gostaria de colocar o pfsense como um “appliance transparente” entre os links de internet e o servidor.
    Lembro-me do ebtables no linux que permitia efetuar regras e fitlragens em modo bridge, mas quero testar o pfsense entao se isto for possivel iria me ajudar bastante.

  • http://www.trafficmavericks.org Stephane Scheibelhut

    Have to subscribe to this weblog, wonderful post. Found it on google.

  • http://gutocarvalho.net gutocarvalho

    Stepane,

    Thanks for your comment.

    []’s
    Guto

  • http://gutocarvalho.net gutocarvalho

    Julio Cesar,

    Nunca usei o Pfsense desta forma, talvez uma passadinha nas listas de discussão do projeto lhe esclareça a questão.

    http://www.pfsense.org/index.php?option=com_content&task=view&id=66&Itemid=71

    []’s
    Guto

  • MMsDesigner

    Tenho um server 2008 com AD, e gostaria de saber se tem alguma distro que integre a ele e sincronize os users.

  • http://gutocarvalho.net gutocarvalho

    Quais serviços você deseja?

    O SQUID proxy/cache tem suporte a autenticação LDAP e NTLM, não depende de uma distro mas sim dos serviços que necessita rodar.

    Talvez no seu caso a Distro EBOX possa te ajudar, ela é bem completa – http://www.ebox-platform.com/

    Se for apenas firewall+proxy+cache, recomendo a solução ENDIAN – http://www.endian.com/en/community/overview/

    []’s
    Guto

  • Daniel

    Ja testei todas essas distros cada uma tem sua peculariedade e gostaria de mencionar uma distro que usei por muito tempo e digo que fica bem acima dessa ai e o http://www.ipfire.org pelo menos para mim foi o melhor.

  • Misael Gomes

    Olá, parabéns pelo site. Estou procurando um sistema que alem de firewall, qos e http proxy com login via navegador, controlasse tambem a geração de senhas de acesso wifi com limite de tempo, senha de 30min, 1hora, 1dia ou dias… houvi falar que é possivel neste zeroshell, mas não instalei pra saber, neste funciona mesmo ou tem outra dica? Grato.

  • http://gutocarvalho.net gutocarvalho

    Misael,

    Não posso te dizer com certeza de o zeroshell lhe atende, mas vale a pena perguntar no canal do projeto via IRC ou no site do projeto.

    [s]
    Guto

  • http://www.mulungunet.psi.br E.Leandro Jr.

    O amigo sabe como fazer backup das configuraçoes do zeroshel, para um eventual desastre ou mesmo atualização..

  • http://gutocarvalho.net gutocarvalho

    Sugiro que dê uma olhada na documentação do projeto ;)

  • Roberto Almeida

    Prezado amigo, sou u curioso de redes e que estou procurando um novo rumo pra minha vida, gostei muito das funcionalidades do pf sense, isso muito me instigou, como faço pra obter mais opções de funcionalidades e até mesmo comercialização, lembrando que sou 90% leigo. forte abraço.

  • http://gutocarvalho.net gutocarvalho

    Entre no site do PFSENSE, lá você vai encontrar as informações que procura e a forma de fazer contanto com a equipe para ver questões de suporte comercial dentre outras coisas.

    [s]
    Guto