soluções integradas: livecd + firewall + router
Há algum tempo tenho visto amigos utilizando o PFSENSE que é um excelente LIVECD baseado no FreeBSD, o qual já vem preparado para ser um firewall e roteador, o PFSENSE possui um poderoso frontend web para administração de seus recursos.
Esta solução foi até utilizanda no último FISL pela equipe de infra-estrutura da ASL e parceiros.
Para aqueles que não abrem mão de usarem um ambiente 100% GNU/LINUX existem soluções que podem ser alternativas ao PFSENSE.
A seguir apresento algumas distros GNU/LINUX com foco em firewall/router e serviços.
1. Projeto Zeroshell
Opções de imagens:
- LiveCD
- VMare Image
- Compact Flash image
- ISO-CD image
http://www.zeroshell.net/
http://en.wikipedia.org/wiki/Zeroshell
Esta é uma distribuição que está disponível em LIVECD, COMPACT FLASH IMAGES e imagens do VMWARE.
Características principais:
- Radious Server;
- Captive Portal, para autenticação por navegador em hotspots;
- Modo Wireless Access Point, com suporte a 802.1X and WPA protocols, baseado em placas com chipset Atheros.
- Suporte a QOS com controle e garantia de banda por serviços;
- Traffic Shapping;
- VPN com suporte IPSEC/L2TP e OPENVPN;
- Roteamento dinâmico;
- Suporte a bridge 802.1D e protocolo spanning tree;
- Suporte a VLAN IEEE 802.1Q;
- Firewall (Packet Filter/Stateful Package Inspection);
- HTTP proxy com suporte Antivirus
- Bloqueio IPP2P para protocolos em Layer7 através de classificaço do QOS;
- DNS Server para multiplas zonas com suporte a reservo;
- DHCP Server para multiplas subnets com suporte a fixar IP através de MAC ADDR;
- Cliente PPPOE;
- NTP client e server;
- Syslog server para receber e catalogar logs de serviços remotos;
- Autenticaçào Keberos5, NIS e LDAP.
- Certificados X.509;
2. Endian Firewall
Opções de imagens:
- ISO-CD image
- Appliances
http://www.endian.com/en/community/about/
http://en.wikipedia.org/wiki/Endian_Firewall
Principais características:
- Firewall
- VPN
- Proxy HTTP transparente
- Filtro de conteúdo web
- Filtro web para antivirus
- Filtro web para spam
- Filtro de e-mail para antivirus
- Filtro de e-mail para spam
- Hotspot Wireless/Security
- Suporte SIP/VOIP
- IDS
- DHCP Server
- NTP Server
- Estatisticas detalhadas
A empresa Endian oferece appliances com sua solução opensource.
3. Projeto SmoothWall
Opções de imagens:
- ISO-CD image
- SVN Build em Hosts
- – Debian Etch 4 e Sarge 3.1
- – Ubuntu 7.04
- – Redhat 8.0 e 9.04
- – Fedora Core 1-3 e 6-7
- – Suse 9.0
http://smoothwall.org/
http://en.wikipedia.org/wiki/Smoothwall
Principais características:
- Stateful Firewall
- QOS
- SIP Proxy
- IM Proxy
- Estatisticas detalhadas
- DHCP-Server
- Suporte UPNP
4. Projeto IPcop
Opções de imagens:
- ISO-CD image
- USB-FDD image
- USB-HDD image
- ISO-CD image
- PXE image
http://www.ipcop.org/
http://en.wikipedia.org/wiki/IPCop
Inicialmente foi baseado no Smoothwall mas hoje os projetos tem desenvolvimento totalmente distintos e metas divergentes.
Tem tradução para o português do brasil ;)
Principais características:
- Stateful firewall
- – port forwarding
- Suporte VLAN
- HTTP/FTP proxy (squid)
- IDS
- Logs locais ou remotos
- NTP client
- SSH Server
- Traffic Shapping
- VPN
5. Ebox Plataform
Opções de imagens:
- ISO-CD image
- LIVECD image
- Ubuntu 8.04 Packages
- SVN Builds Debian/Ubuntuu
http://www.ebox-platform.com/
http://en.wikipedia.org/wiki/EBox
Esta é uma solução baseada em Debian e mais recentemente Ubuntu.
O projeto EBOX é um framework completo para serviços de rede!
Principais características:
- Balanceamento de carga
- Firewall (netfilter/iptables)
- Proxy transparente com filtro de conteúdo (squid)
- Usuários e Grupos em árvore LDAP compatível com outros módulos (openldap)
- Controle de domínio para rede Windows (samba)
- Servidor de impressão para redes Unix e Windows (samba +cups)
- Servidor de e-mail (posfix + clamav + spamassassin)
- Servidor Jabber (jabberd)
- Servidor DHCP
- Servidor NTP
- Servidor DNS e DNS-CACHE (bind)
- Suporte a VLANS
- Sistema de backup integrado
Infelizmente ela não tem suporte a QOS ou filtros Layer 7 na firewall, mas quem sabe nas próximas versões ;)
Vou tentar avaliar cada distro em máquinas virtuais para fornecer melhores parâmetros, o problema é que estou com uma conexão 3G o que dificulta fazer o download das ISOS, mas vou falando conforme for testando, quem já usa por favor deixe seu depoimento :)
Bom até agora falei bastante de GNU/LINUX mas nossos irmãos *BSB também tem excelentes projetos na área, vou apresentar 2 projetos para vocês, um deles já foi mencionado no começo do artigo
1. Projeto Monowall
Opções de imagens:
- ISO-CD image
- Raw CF Image para Net45xxx, Net48xxx, Wrap e Generic PC
- Root Tarball
http://m0n0.ch/wall/
http://en.wikipedia.org/wiki/M0n0wall
Principais características
- Stateful packet filter firewall
- IPsec e PPTP VPNs
- Inbound and Outbound Network Address Translation
- Captive portal
- Traffic shaper
- Inbound and Outbound port filtering.
- Support for 802.1q compatible VLANs.
- Multiple IP addresses on LAN and WAN ports.
- Replacement for commercial router
2. Projeto PFSENSE
Opções de imagens:
- LiveCD & Install image
- Embeeded image
http://www.pfsense.com/
http://en.wikipedia.org/wiki/Pfsense
Inicialmente baseado no Monowall.
Principais características:
- Firewall
- State Table
- NAT
- Redundância
- – CARP – CARP do OpenBSD habilitar hardware failover. Duas ou mais firewalls podem ser configuradas com um grupo failover. Se um dos nós para de responder o segundo assume automaticamente. O Pfsese também inclui sincronização de configurações, então se configurar o primeiro nó, os próximos nós também serão configurados automaticamente.
- – pfsync – pfsync consiste em uma tabela com informações da firewall, a qual é replicada para os demais nós. Isso significa que se um dos nós falhar, fazendo com que outro nó tenha que assumir, as conexões existentes serão mantidas, pois isto é importante para prevenindo problemas com serviços oferecidos.
- Balanceamento de carga de entrada ou saída
- VPN – Ipsec, OpenVPN, PPTP
- PPPoE Server
- RRD Graphs Reporting
- Estatísticas em tempo real usando AJAX
- DNS Dinâmico
- Captive Portal
- Servidor DHCP e relay
- QoS
- Traffig Shapper
O PFSense é uma das soluções mais usadas para firewall e roteamento por especialistas.
[]’s
Guto
This is some text prior to the author information. You can change this text from the admin section of WP-Gravatar To change this standard text, you have to enter some information about your self in the Dashboard -> Users -> Your Profile box. 
em 
em 
em 
em 
maio 11th, 2008 at 16:00
Gostei do PFSENSE estou instalando ele aqui em um servidor de testes. Com o ebox tive alguns problemas e uso as vezes tambem uma solução nacional o brazilfw para redes pequenas ou de baixo custo (baixo mesmo) to com um post na fila para os proximos dias e vale a pena usar como servidor temporario enquanto faz manutenção ou até mesmo solução permanente em alguns casos
maio 12th, 2008 at 9:34
Putz Guto,
Muito massa esse post, já tinha usado o BrasilFW e o IPcop os outros conhecia somente de nome.
Vou fazer uns pilotos desses caras aqui somente para conhecer e indicar aos meus alunos.
Eu prefiro usar firewall em appliance.
[]’s
Alex
http://penguim.wordpress.com
maio 12th, 2008 at 18:10
Alex,
Que bom que você gostou ;)
Quando fizer os testes nos conte como foi e o que achou de cada ferramenta.
Hoje eu testei o EBOX, instalei ele em uma VM e dei uma fuçada, quando sobrar um tempo vou fazer um relato mais detalhado.
To aqui do lado do chicofedora, seu coterrâneo, ele mandou um abraço!
[]’s
maio 12th, 2008 at 18:15
n3t0,
Que bom que tu gosta do PFSENSE é realmente uma ferramenta eficiente, quando estiver com o POST pronto manda o link ;)
[]’s
maio 12th, 2008 at 22:24
Hum.. parece que o zeroshell é mais completo, nunca utilizei nem uma dessas soluções, pra quem quer conhecer o pfsense vai essa video aula que é excelente:
http://www.luizgustavo.pro.br/doku.php?id=projetos:pfsense:video_instalacao
Po o pfsense não tem qos ? layer 7 ? :{
maio 13th, 2008 at 8:00
Giorgio,
Pelo o que li ele tem QOS e Traffic Shapping, você pode trabalhar IP/PORTA nas configurações, mas ainda não traz nada mais específico para layer7.
Mas na próxima major version do PFSENSE isso já está previsto em um wishlist.
[]’s
maio 13th, 2008 at 15:05
Desculpe a “gonorância”, mas o BrazilFW não caberia nessa lista???
maio 15th, 2008 at 7:03
[...] por guto carvalho (gutoΘgutocarvalho·net) – referência [...]
maio 15th, 2008 at 8:53
Ae gutera, muito legal este teu post. Eu já tinha mexido com algumas destas ferramentas. Tem interfaces amigáveis.
[]’s
maio 15th, 2008 at 9:02
Sem esquecer do untangle.com
maio 15th, 2008 at 10:39
Positivo operante >>> entendido e de pleno acordo ;-)
Foi o vício de tanto montar máquina velha como router para Amigos e clientes,as quais a B.I.O.S não aceita boot pelo CD, que me atrapalhou a compreensão do texto…
maio 15th, 2008 at 12:10
boa tarde
O PFSsense possui sim Traffic Shapper e QoS baseados no protocolo HFSC que trabalha em conjunto com o Firewall PF.
Os BSD tem essa pequena deficiência em operar o Layer acima do 4. Layer 7 é o sonho para que mexe com BSD.
maio 18th, 2008 at 8:32
Beto Pena,
Caberia sim, eu realmente não conhecia essa solução, estou estudando ela e vou preparar um post especial ;)
Por enquanto acessem:
http://www.brasilfw.com.br
[]’s
Guto
maio 18th, 2008 at 8:36
BioSystem,
Interessante saber disto ;)
Vou dar uma estudada no assunto, preciso me aproximar mais do BSD.
[]’s
Guto
maio 18th, 2008 at 8:42
Daniel Hoisel,
Existem muitas opções, eu dei foco nos projetos principais, mais ativos e com comunidades expressivas em volta.
Eu vi o Untangle, parecer ser interessante, não gostei muito da interface dele, mas caso você conheça ele de perto e deseje dar o seu depoimento, é só mandar :)
[]’s
Guto
junho 28th, 2008 at 1:07
e ai galera estou a fim de montar um servidor de balanceamento de carga com dois links uma adsl e outro com ip dedicado, sera que alguem poderia me dizer por onde eu começo. estou usando a distribuição Debian. Obrigado!!
julho 20th, 2008 at 17:31
Éderson,
No viva o linux e underlinux você acha muito material.
http://under-linux.org/forums/debian/109241-load-balance-e-redundancia-com-2-adsl-velox-de-1mb-no-debian-e-possivel.html
[]’s
Guto
novembro 8th, 2008 at 12:21
[...] bom. Se voc
novembro 8th, 2008 at 13:12
[...] bom. Se voc
novembro 24th, 2008 at 9:14
[...] gutocarvalho.net » Blog Archive » soluções integradas: livecd + firewall + router (tags: security network linux livecd firewall) [...]
janeiro 23rd, 2009 at 13:56
Cara, valeu mesmo!
pf sense e endian vão me salvar aqui.
janeiro 26th, 2009 at 9:49
De Paulo Dias,
Quem bom que estas ferramentas podem te ajudar ;)
[]’s
Guto
janeiro 29th, 2009 at 21:35
Muito Bom este artigo!!
Eu trabalho em uma empresa aqui em Cuiabá e nós ja temos instalados mais ou menos uns 30 appliances rodando o PFsense.
O que eu ainda não consegui com ele é fazer rodar o Proxy e o Blanceamento de Links ao mesmo tempo.
Parece que na próxima versão vai dar.
Mas é uma ótima solução
janeiro 30th, 2009 at 12:31
Alexandre,
Muito bom saber deste case de PFSENSE ;)
Obrigado pela visita.
[]’s
Guto
fevereiro 6th, 2009 at 0:53
Senhores, alguma destas ferramentas com captive portal possui controle de banda por ip, digo, por usuario conectado ??
Valeu
fevereiro 13th, 2009 at 9:32
Bom dia a todos
Testei alguns, mas o que percebir que alguns deles exigem muito hardware que para mim são o suficiente.
Uso a quase dois anos o BRAZILFW, http://www.brazilfw.com.br achei muito completo e pratico para instalação.
Abraços a todos
julho 2nd, 2009 at 14:46
Eu uso o BFW há mais de 3 anos, e estou na expectativa e ansioso, pela sua versão 3 onde dizem que irão fazer funcionar o qos com squid, ele até funciona mas apenas em sub redes o que não posso fazer em uma rede local.
Mas hoje estou precisando de uma solução onde funcione o qos com squid, estou tentando acessar o site dozeroshell e o site não abre.
Gostaria de saber se ele funcina
outubro 2nd, 2009 at 15:08
Tenho configurado no PfSense a rede local com internet. Preciso disponibilizar também o acesso wireless, mas não estou conseguindo.
Alguém pode ajudar?
novembro 11th, 2009 at 13:25
Olá… Estou rodando proxy e firewall PFSense à um pouco mais de 01 mês integrado ao Active Directory do Windows Server 2003. Estou com um probleminha, algumas estações utilizam browsers Opera e Mozilla Firefox e nestes ao se navegar pedem senha do proxy (o que não acontece com IE6, 7 e 8). Além de que não consigo utilizar as GPO’s do AD para configurar automáticamente (ip’s do proxy e porta p. ex.: 192.168.10:3128 estes browsers). Se no IE funciona… estou usando proxy autenticado… Alguém já passou por isso e conseguiu configurar ou contornar isso?? Poderiam me ajudar??
dezembro 5th, 2009 at 15:19
Carlos,
Estas estações estão utilizando qual sistema operacional?
No IE não pede senha pois ele já aproveita o ticket do logon, o Opera e o Firefox não tem esse recurso.
Att.
Guto