{"id":393,"date":"2020-04-03T15:22:08","date_gmt":"2020-04-03T18:22:08","guid":{"rendered":"https:\/\/www.tonev.pro.br\/?p=393"},"modified":"2020-04-03T18:57:08","modified_gmt":"2020-04-03T21:57:08","slug":"firewall-pfsense-em-ambiente-cloud-da-amazon-aws","status":"publish","type":"post","link":"https:\/\/www.tonev.pro.br\/?p=393","title":{"rendered":"Firewall pfSense em ambiente cloud da Amazon AWS"},"content":{"rendered":"

Muitas pessoas acham que a solu\u00e7\u00e3o m\u00e1gica para os problemas de infra estrutura \u00e9 a migra\u00e7\u00e3o para “a nuvem”.\u00a0 A realidade n\u00e3o \u00e9 bem essa. Quando voc\u00ea migra os servidores da sua rede para a nuvem a unica coisa que o provedor se responsabiliza \u00e9 a estrutura f\u00edsica que inclui o local, energia, resfriamento e a comunica\u00e7\u00e3o de dados. O que vai rodar na infra do provedor \u00e9 responsabilidade do cliente. Uma boa leitura para esclarecer as duvidas \u00e9 o artigo “Modelo de responsabilidade compartilhada<\/a>” da AWS.<\/p>\n

Seria bastante simples se simplesmente fosse poss\u00edvel colocar todos os servidores em uma unica rede, todos eles com endere\u00e7os validos atribu\u00eddos ,mas em muitas situa\u00e7\u00f5es isso n\u00e3o \u00e9 poss\u00edvel e nem recomend\u00e1vel. \u00c9 poss\u00edvel restringir a comunica\u00e7\u00e3o usando ACLs e grupos de seguran\u00e7a, porem esse tipo de gerencia n\u00e3o \u00e9 f\u00e1cil de ser mantida. Quando \u00e9 necess\u00e1rio ter hist\u00f3rico de log do que foi aceito e o que foi negado ai fica bastante complicado. Sem mencionar que n\u00e3o \u00e9 poss\u00edvel implementar um IPS<\/a> sem ter um ponto central por onde passa o trafego.<\/p>\n

Antes de come\u00e7ar \u00e9 importante deixar claro que a AWS cobra os recursos alocados por hora, m\u00eas ou ano. Portanto cuidado, pois o uso pode gerar cobran\u00e7as. Se criar um recurso, exclua ele no fim do teste se n\u00e3o for usar mais! N\u00e3o deixe instancias rodando enquanto n\u00e3o estiver usando!<\/b><\/p>\n

A rede para esse artigo \u00e9 bem simples e segue, no meu entender, a arquitetura tradicional de ambiente “on premise” que conta com um link de Internet conectando no firewall juntamente com todas as redes privadas e o firewall sendo o respons\u00e1vel por controlar a comunica\u00e7\u00e3o de todos os segmentos da rede.<\/p>\n

Nesse caso escolhi criar duas redes privadas que est\u00e3o ligadas no firewall e precisam de regras de libera\u00e7\u00e3o para se comunicarem ou sa\u00edrem para a Internet. Apenas lembrando que o tr\u00e1fego entre duas m\u00e1quinas na mesma subnet n\u00e3o passam pelo firewall e se precisar restringir tem que usar as funcionalidades de ACLs ou grupos de seguran\u00e7a.<\/p>\n

 <\/p>\n

\"Exemplo<\/a>
Exemplo de rede de teste<\/figcaption><\/figure>\n

 <\/p>\n

Como a Amazon realiza mudan\u00e7as e lan\u00e7a novos servi\u00e7os muito rapidamente, algumas telas podem n\u00e3o ser exatamente iguais \u00e0s que s\u00e3o apresentadas nesse tutorial. Se tiver qualquer duvida, no final do post vou adicionar alguns links da documenta\u00e7\u00e3o da AWS que considero importantes.<\/p>\n

Os passos abaixo podem ser usados para implementar qualquer tipo de firewall. Se for criar ambiente de produ\u00e7\u00e3o, verifique na documenta\u00e7\u00e3o qual a instancia recomendada, pois o numero m\u00e1ximo de interfaces de rede muda de acordo com o tipo escolhido.<\/p>\n

1 – Assim que se logar no console do AWS procure pela op\u00e7\u00e3o de “VPC”. Clique nela e na primeira tela clique no bot\u00e3o “Launch VPC Wizard”. Deixe selecionada a primeira op\u00e7\u00e3o que \u00e9 “VPC with a Single Public Subnet” e clique no “Select”. Apos isso escolha um bloco IPv4 privado, defina o nome da VPC, o bloco IPv4 da rede que ser\u00e1 a publica e a zona da AWS onde ser\u00e1 criada a rede. Repare que a zona selecionada \u00e9 a “us-east-1c”. \u00c9 importante que todos os recursos usados sejam criados na mesma zona<\/strong>:<\/p>\n

 <\/p>\n

\"\"<\/a><\/p>\n

 <\/p>\n

2 – Ap\u00f3s completar a cria\u00e7\u00e3o da VPC ela aparecera como dispon\u00edvel no menu de “Your VPCs”:<\/p>\n

\"\"<\/a><\/p>\n

 <\/p>\n

3 – Clique no menu de “Subnets” para criar as redes privadas. J\u00e1 vai aparecer a “VPC_PUBLIC_SUBNET” como dispon\u00edvel:<\/p>\n

\"\"<\/a><\/p>\n

 <\/p>\n

4 – Clique no bot\u00e3o de “Create subnet”. Defina um nome, selecione a VPC, a zona e defina um bloco de IPv4:<\/p>\n

\"\"<\/a><\/p>\n

 <\/p>\n

5 – Apos completar a cria\u00e7\u00e3o a primeira rede privada vai aparecer juntamente com a rede publica.<\/p>\n

\"\"<\/a><\/p>\n

 <\/p>\n

6 – Clique novamente no bot\u00e3o “Create subnet” para criar a segunda rede. Repita os passos do item 4, trocando apenas o valor do bloco de IPv4:<\/p>\n

\"\"<\/a><\/p>\n

 <\/p>\n

7 – Apos completar a cria\u00e7\u00e3o a todas as redes necess\u00e1rias estar\u00e3o dispon\u00edveis para uso;<\/p>\n

\"\"<\/a><\/p>\n

 <\/p>\n

8 – Apos terminada a cria\u00e7\u00e3o das redes, volte a tela principal do console do AWS e entre na op\u00e7\u00e3o de “EC2”. Aqui ser\u00e3o criados os recursos computacionais das VMs. Escolha no lado esquerdo o menu de “Security Groups” para criar as regras de trafego dentro da AWS. clique no bot\u00e3o “Create security group”. Na tela de cria\u00e7\u00e3o coloque uma descri\u00e7\u00e3o em “Security group name” ( sem espa\u00e7os ) e “Description”. Deixe marcado “VPC” no escopo e selecione a VPC na lista.<\/p>\n

\"\"<\/a><\/p>\n

 <\/p>\n

9 – Em seguida em “Inbound rules” clique no bot\u00e3o de “Add rule” e altere o “Type” para “All traffic”. Em “Source” deixe em “Custom” e informe “0.0.0.0\/0” no campo de origem. Tamb\u00e9m pode especificar o “Source” como “Anywhere”. O resultado ser\u00e1 o mesmo. Repita o mesmo processo para o “Outbound rules”:<\/p>\n

\"\"<\/a><\/p>\n

 <\/p>\n

10 – Apos a cria\u00e7\u00e3o do grupo de seguran\u00e7a, escolha o menu de “Instances” e clique no bot\u00e3o “Launch Instance”. Agora vamos criar uma VM em cada subnet privada. Ser\u00e1 apresentada a tela a seguir. Deixe selecionada a primeira op\u00e7\u00e3o “Amazon Linux 2 AMI (HVM), SSD Volume Type” e clique no “Select”:<\/p>\n

\"\"<\/a><\/p>\n

 <\/p>\n

11 – Em seguida \u00e9 necess\u00e1rio informar o tipo de instancia que ser\u00e1 criada. Pode deixar em “t2.micro” que pode ser executada sem custos e clique no “Next: Configure Instance Details”.<\/p>\n

\"\"<\/a><\/p>\n

 <\/p>\n

12 – Altere o campo de “Subnet” para selecionar a primeira rede privada. Repare que o segundo campo \u00e9 o nome que foi definido para a rede. O “Auto-assign Public IP” deve ficar em “Disable” por se tratar de rede privada e pode marcar a op\u00e7\u00e3o de “Enable termination protection” para n\u00e3o excluir a VM durante os testes em vez de desligar. Finalizado isso, clique em “Next: Add Storage”:<\/p>\n

\"\"<\/a><\/p>\n

 <\/p>\n

13 – Nessa tela pode deixar no padr\u00e3o. Os 8GB de disco j\u00e1 s\u00e3o suficientes para os testes. Clique no “Next: Add Tags”:<\/p>\n

\"\"<\/a><\/p>\n

 <\/p>\n

14 – Para ambiente de testes n\u00e3o precisa adicionar nenhuma tag a VM. Clique no “Next: Configure Security Group”<\/p>\n

\"\"<\/a><\/p>\n

 <\/p>\n

15 – Escolha o grupo de seguran\u00e7a que criamos. Ele vai permitir todo o trafego de entrada e sa\u00edda. Ao finalizar, clique no “Review and Launch”:<\/p>\n

\"\"<\/a><\/p>\n

 <\/p>\n

16 – Ser\u00e1 apresentada uma tela com as informa\u00e7\u00f5es da instancia a ser criada\/lan\u00e7ada. Clique no “Launch”;<\/p>\n

\"\"<\/a><\/p>\n

 <\/p>\n

17 – Antes de iniciar a instancia \u00e9 necess\u00e1rio escolher uma chave SSH que ser\u00e1 usada para efetuar login remoto. Se j\u00e1 tiver uma chave, use ela. Caso contrario pode criar uma. Ap\u00f3s salvar a chave de acesso clique no “Launch Instances”:<\/p>\n

\"\"<\/a><\/p>\n

 <\/p>\n

18 – Ser\u00e1 apresentada a tela abaixo confirmando que a instancia est\u00e1 sendo criada e iniciada.<\/p>\n

\"\"<\/a><\/p>\n

 <\/p>\n

19 – Repita os passos de 10 a 18 para criar a segunda instancia na segunda rede privada. Deixe selecionada a primeira op\u00e7\u00e3o \u201cAmazon Linux 2 AMI (HVM), SSD Volume Type\u201d e clique no \u201cSelect\u201d:<\/p>\n

\"\"<\/a><\/p>\n

 <\/p>\n

20 – Deixe o tipo em \u201ct2.micro\u201d e clique no \u201cNext: Configure Instance Details\u201d<\/p>\n

\"\"<\/a><\/p>\n

 <\/p>\n

21 –\u00a0 . Altere o campo de \u201cSubnet\u201d para selecionar a segunda rede privada. Repare que o segundo campo \u00e9 o nome que foi definido para a rede. O \u201cAuto-assign Public IP\u201d deve ficar em \u201cDisable\u201d por se tratar de rede privada e pode marcar a op\u00e7\u00e3o de \u201cEnable termination protection\u201d para n\u00e3o excluir a VM durante os testes em vez de desligar. Finalizado isso, clique em \u201cNext: Add Storage\u201d:<\/p>\n

\"\"<\/a><\/p>\n

 <\/p>\n

22 – Nessa tela pode deixar no padr\u00e3o. Os 8GB de disco ja s\u00e3o suficientes para os testes. Clique no \u201cNext: Add Tags\u201d:<\/p>\n

\"\"<\/a><\/p>\n

 <\/p>\n

23 – Para ambiente de testes n\u00e3o precisa adicionar nenhuma tag a VM. Clique no \u201cNext: Configure Security Group\u201d<\/p>\n

\"\"<\/a><\/p>\n

 <\/p>\n

24 – \u00a0Escolha o grupo de seguran\u00e7a que criamos. Ele vai permitir todo o trafego de entrada e sa\u00edda. Ao finalizar, clique no \u201cReview and Launch\u201d:<\/p>\n

\"\"<\/a><\/p>\n

 <\/p>\n

25 – Ser\u00e1 apresentada uma tela com as informa\u00e7\u00f5es da instancia a ser criada \/ lan\u00e7ada. Clique no \u201cLaunch\u201d;<\/p>\n

\"\"<\/a><\/p>\n

 <\/p>\n

26 – Antes de iniciar a instancia \u00e9 necess\u00e1rio escolher uma chave SSH que ser\u00e1 usada para efetuar login remoto. Se j\u00e1 tiver uma chave, use ela. Caso contrario pode criar uma. Ap\u00f3s salvar a chave de acesso clique no \u201cLaunch Instances\u201d:<\/p>\n

\"\"<\/a><\/p>\n

 <\/p>\n

27 – Ser\u00e1 apresentada a tela abaixo confirmando que a instancia est\u00e1 sendo criada e iniciada.<\/p>\n

\"\"<\/a><\/p>\n

 <\/p>\n

28 – Apos as duas instancias criadas, ambas aparecer\u00e3o no menu de “Instances” com o status “running” e “Status Checks” verde:<\/p>\n

\"\"<\/a><\/p>\n

 <\/p>\n

29 – Clique no bot\u00e3o de “Launch Instance” novamente. Clique no “AWS Marketplace” e na barra de procura digite “pfsense”. Ao apertar o “Enter” ser\u00e1 exibido o resultado da busca. Clique no bot\u00e3o “Select” da op\u00e7\u00e3o “pfSense”:<\/p>\n

\"\"<\/a><\/p>\n

 <\/p>\n

30 – Ser\u00e1 exibida a tela com as instancias sugeridas pelo fabricante, o valor por hora do software, infra da AWS e total ser\u00e3o apresentados. clique no “Continue”:<\/p>\n

\"\"<\/a><\/p>\n

 <\/p>\n

31 – Para efeito desse tutorial o tipo minimo que atende \u00e9 o “t2.small” que \u00e9 a menor instancia que suporta 3 interfaces de rede – uma publica e duas privadas. Selecione o tipo desejado e clique no Next: Configure Instance Details\u201d:<\/p>\n

\"\"<\/a><\/p>\n

 <\/p>\n

32 – Altere o campo de \u201cSubnet\u201d para selecionar a rede publica. Repare que o segundo campo \u00e9 o nome que foi definido para a rede. O \u201cAuto-assign Public IP\u201d deve ficar em \u201cEnable\u201d por se tratar da rede publica e pode marcar a op\u00e7\u00e3o de \u201cEnable termination protection\u201d para n\u00e3o excluir a VM durante os testes em vez de desligar. Finalizado isso, clique em \u201cNext: Add Storage\u201d:<\/p>\n

\"\"<\/a><\/p>\n

 <\/p>\n

33 \u2013 Nessa tela pode deixar no padr\u00e3o. Os 8GB de disco j\u00e1 s\u00e3o suficientes at\u00e9 para ambiente de produ\u00e7\u00e3o a n\u00e3o ser que sejam usadas algumas fun\u00e7\u00f5es mais avan\u00e7adas como log, cache ou captura de trafego. Clique no \u201cNext: Add Tags\u201d:<\/p>\n

\"\"<\/a><\/p>\n

 <\/p>\n

34 – Para ambiente de testes n\u00e3o precisa adicionar nenhuma tag a VM. Clique no \u201cNext: Configure Security Group\u201d<\/p>\n

\"\"<\/a><\/p>\n

 <\/p>\n

35 – Escolha o grupo de seguran\u00e7a que criamos. Ele vai permitir todo o trafego de entrada e sa\u00edda. Ao finalizar, clique no \u201cReview and Launch\u201d:<\/p>\n

\"\"<\/a><\/p>\n

 <\/p>\n

36 – Ser\u00e1 apresentada uma tela com as informa\u00e7\u00f5es da instancia a ser criada\/lan\u00e7ada. Clique no \u201cLaunch\u201d;<\/p>\n

\"\"<\/a><\/p>\n

 <\/p>\n

37 – Antes de iniciar a instancia \u00e9 necess\u00e1rio escolher uma chave SSH que ser\u00e1 usada para efetuar login remoto. Se j\u00e1 tiver uma chave, use ela. Caso contrario pode criar uma. Ap\u00f3s salvar a chave de acesso clique no \u201cLaunch Instances\u201d:<\/p>\n

\"\"<\/a><\/p>\n

 <\/p>\n

38 – Ser\u00e1 apresentada a tela abaixo confirmando que a instancia est\u00e1 sendo criada e iniciada.<\/p>\n

\"\"<\/a><\/p>\n

 <\/p>\n

39 – Ao finalizar a cria\u00e7\u00e3o da instancia o pfSense vai aparecer na lista com o status “running”. Anote os endere\u00e7os IPv4 de cada instancia que aparecem na coluna “Private IP Address”:<\/p>\n

\"\"<\/a><\/p>\n

 <\/p>\n

40 – Aguarde aproximadamente 5 minutos e clique na instancia do pfSense. Observe nas propriedades que s\u00e3o exibidas na parte de baixo da tela o campo “IPv4 Public IP”. Este endere\u00e7o \u00e9 atribu\u00eddo dinamicamente a instancia toda vez que ela \u00e9 iniciada. Nos passos posteriores vamos fixar o IP. Por agora apenas clique o bot\u00e3o direito na instancia do pfSense, escolha o “Instance Settings” e depois “Get System Log”:<\/p>\n

\"\"<\/a><\/p>\n

 <\/p>\n

41 – Na tela do “System Log” v\u00e1 ate o final e anote a senha informada do “ec2-user”.\u00a0 Esta senha \u00e9 gerada aleatoriamente toda vez que a instancia \u00e9 iniciada enquanto n\u00e3o for realizada a primeira configura\u00e7\u00e3o:<\/p>\n

\"\"<\/a><\/p>\n

 <\/p>\n

42 – Abra um browser e acesse o IP que aparece no “IPv4 Public IP” do passo 40 via https. Vai ser apresentada a tela informando que o certificado n\u00e3o \u00e9 confi\u00e1vel:<\/p>\n

\"\"<\/a><\/p>\n

 <\/p>\n

43 – Ao aceitar o certificado ser\u00e1 exibida a tela de login. No primeiro login entre com “ec2-user” e a senha que foi anotada no passo 41. Se nesse meio tempo a instancia foi reiniciada \u00e9 necess\u00e1rio verificar novamente qual a senha que foi gerada:<\/p>\n

\"\"<\/a><\/p>\n

 <\/p>\n

44 – Apenas clique no “Next”:<\/p>\n

\"\"<\/a><\/p>\n

 <\/p>\n

45 – Apenas clique no “Next”:<\/p>\n

\"\"<\/a><\/p>\n

 <\/p>\n

46 – Informe hostname, dom\u00ednio e servidores de DNS que quer usar. Se deixar o “Override DNS” ser\u00e3o usados os DNSs que o DHCP da AWS fornecer. Clique no “Next”::<\/p>\n

\"\"<\/a><\/p>\n

 <\/p>\n

47 – Selecione o timezone que deseja usar e clique no “Next”:<\/p>\n

\"\"<\/a><\/p>\n

 <\/p>\n

48 – Defina uma senha para o usu\u00e1rio “admin” e clique no “Next”:<\/p>\n

\"\"<\/a><\/p>\n

 <\/p>\n

49 – Clique no “Reload”:<\/p>\n

\"\"<\/a><\/p>\n

 <\/p>\n

50 – Aguarde ate a configura\u00e7\u00e3o seja aplicada:<\/p>\n

\"\"<\/a><\/p>\n

 <\/p>\n

51 – Clique no “Finish”:<\/p>\n

\"\"<\/a><\/p>\n

 <\/p>\n

52 – Ser\u00e1 exibido o dashboard do pfSense. Repare que existe somente uma interface que \u00e9 a “WAN”.<\/p>\n

\"\"<\/a><\/p>\n

 <\/p>\n

53 – Volte ao console da AWS e na lista de instancias clique o bot\u00e3o direito no pfSense, clique em “Instance State” e depois em “Stop”:<\/p>\n

\"\"<\/a><\/p>\n

 <\/p>\n

54 – Confirme o desligamento:<\/p>\n

\"\"<\/a><\/p>\n

 <\/p>\n

55 – Clique no menu “Network Interfaces” e em seguida no bot\u00e3o “Create Network Interface”. Especifique um nome em “Description” e escolha a primeira rede privada:<\/p>\n

\"\"<\/a><\/p>\n

 <\/p>\n

56 – Em “IPv4 Private IP” escolha “Custom” e informe o endere\u00e7o IP que vai atribuir a interface do firewall nessa rede. N\u00e3o podem ser usados os endere\u00e7os .1, .2 e .3 pois s\u00e3o reservados para uso da pr\u00f3pria AWS. Em “Security groups” escolha o grupo criado no passo 8:<\/p>\n

\"\"<\/a><\/p>\n

 <\/p>\n

57 – A interface aparecera na lista com o campo “Instance ID” vazio. Repita os passos para cria\u00e7\u00e3o da segunda interface privada a ser adicionada no pfSense. Clique no bot\u00e3o \u201cCreate Network Interface\u201d:<\/p>\n

\"\"<\/a><\/p>\n

 <\/p>\n

58 – Especifique um nome em \u201cDescription\u201d e escolha a segunda rede privada:<\/p>\n

\"\"<\/a><\/p>\n

 <\/p>\n

59 – Em \u201cIPv4 Private IP\u201d escolha \u201cCustom\u201d e informe o endere\u00e7o IP que vai atribuir a interface do firewall nessa rede. N\u00e3o podem ser usados os endere\u00e7os .1, .2 e .3 pois s\u00e3o reservados para uso da pr\u00f3pria AWS. Em \u201cSecurity groups\u201d escolha o grupo criado no passo 8:<\/p>\n

\"\"<\/a><\/p>\n

 <\/p>\n

60 – Volte no console da AWS na op\u00e7\u00e3o de “VPC” e entre no menu de “Elastic IPs”. Clique no bot\u00e3o “Allocate new address”:<\/p>\n

\"\"<\/a><\/p>\n

 <\/p>\n

61 – Deixe selecionado em escopo “VPC” e “Amazon pool”. Clique no “Allocate”:<\/p>\n

\"\"<\/a><\/p>\n

 <\/p>\n

62 – Ser\u00e1 alocado um IPv4 v\u00e1lido e exibido na lista. Clique o bot\u00e3o direito nele e escolha a op\u00e7\u00e3o de “Associate address”:<\/p>\n

\"\"<\/a><\/p>\n

 <\/p>\n

63 – Deixe marcado o “Resource type” como “Instance” e escolha o pfSense na lista das instancias:<\/p>\n

\"\"<\/a><\/p>\n

 <\/p>\n

64 – no campo “Private IP” escolha o \u00fanico IP que deve aparecer:<\/p>\n

\"\"<\/a><\/p>\n

 <\/p>\n

65 – Clique no bot\u00e3o “Associate”:<\/p>\n

\"\"<\/a><\/p>\n

 <\/p>\n

66 – O endere\u00e7o valido vai aparecer como associado ao IP da interfaces publica do pfSense:<\/p>\n

\"\"<\/a><\/p>\n

 <\/p>\n

67 – Volte para o menu “Network Interfaces” da op\u00e7\u00e3o EC2 e clique o bot\u00e3o direito na interface da primeira rede privada. Repare e anote o “MAC address” da interface. Clique em “Attach”:<\/p>\n

\"\"<\/a><\/p>\n

 <\/p>\n

68 – Escolha a instancia do pfSense e clique no bot\u00e3o “Attach”:<\/p>\n

\"\"<\/a><\/p>\n

 <\/p>\n

69 – Repita a opera\u00e7\u00e3o para a segunda interface. Clique o bot\u00e3o direito na interface da segunda rede privada. Repare e anote o “MAC address” da interface. Clique em “Attach”:<\/p>\n

\"\"<\/a><\/p>\n

 <\/p>\n

70 – Escolha a instancia do pfSense e clique no bot\u00e3o “Attach”:<\/p>\n

\"\"<\/a><\/p>\n

 <\/p>\n

71 – Ambas as interfaces privadas agora estar\u00e3o associadas com a instancia do pfSense.<\/p>\n

\"\"<\/a><\/p>\n

 <\/p>\n

72 – Volte para o menu “Instances”, clique o bot\u00e3o direito no pfSense, v\u00e1 em “Instance State” e clique no “Start”:<\/p>\n

\"\"<\/a><\/p>\n

 <\/p>\n

73 – Clique o bot\u00e3o direito do mouse na instancia da primeira rede privada, v\u00e1 em “Networking” e selecione a op\u00e7\u00e3o de “Change Source\/Dest. Check”:<\/p>\n

\"\"<\/a><\/p>\n

 <\/p>\n

74 – Clique no “Yes, Disable”:<\/p>\n

\"\"<\/a><\/p>\n

 <\/p>\n

75 – Clique o bot\u00e3o direito do mouse na instancia da segunda rede privada, v\u00e1 em “Networking” e selecione a op\u00e7\u00e3o de “Change Source\/Dest. Check”:<\/p>\n

\"\"<\/a><\/p>\n

 <\/p>\n

76 – Clique no “Yes, Disable”:<\/p>\n

\"\"<\/a><\/p>\n

 <\/p>\n

77 – Clique o bot\u00e3o direito do mouse na instancia do pfSense, v\u00e1 em “Networking” e selecione a op\u00e7\u00e3o de “Change Source\/Dest. Check”:<\/p>\n

\"\"<\/a><\/p>\n

 <\/p>\n

78 – Clique no “Yes, Disable”:<\/p>\n

\"\"<\/a><\/p>\n

 <\/p>\n

79 – Inicie a instancia do pfSense clicando o bot\u00e3o direito nela e escolhendo “Start” no “Instance State”. Aguarde at\u00e9 o status mudar para “running” e “Status Checks” ficar verde. Apos isso abra um browser e acesse o IP que foi alocado no passo 62. Apos logar v\u00e1 em “Interfaces” e depois em “Assignments”:<\/p>\n

\"\"<\/a><\/p>\n

 <\/p>\n

80 – Em “Available network ports” escolha a interface com o MAC address do passo 67 e clique no “Add”:<\/p>\n

\"\"<\/a><\/p>\n

 <\/p>\n

81 – Sera criada a interface “LAN”. Repita o passo anterior para adicionar a segunda interface. Em “Available network ports” escolha a interface com o MAC address do passo 69 e clique no “Add”:<\/p>\n

\"\"<\/a><\/p>\n

 <\/p>\n

81 – Sera criada a interface “OPT1”.<\/p>\n

\"\"<\/a><\/p>\n

 <\/p>\n

82 – Clique na interface “LAN”. Ative a interface marcando “Enable Interface”, troque o nome para “LAN1” e em “IPv4 Configuration Type” escolha “Static IPv4”:<\/p>\n

\"\"<\/a><\/p>\n

 <\/p>\n

83 – Em “IPv4 Address” informe o ip\u00a0 do passo 56 e cloque no bot\u00e3o “Save”:<\/p>\n

\"\"<\/a><\/p>\n

 <\/p>\n

84 – Volte para a tela de “Assignments” e clique na interface “OPT1”. Ative a interface marcando “Enable Interface”, troque o nome para “LAN2” e em “IPv4 Configuration Type” escolha “Static IPv4”:<\/p>\n

\"\"<\/a><\/p>\n

 <\/p>\n

85 – Em “IPv4 Address” informe o ip\u00a0 do passo 59 e cloque no bot\u00e3o “Save”:<\/p>\n

\"\"<\/a><\/p>\n

 <\/p>\n

86 – Cloque no logo do pfSense para voltar para o dashboard. Repare que na lista de interfaces agora aparecem as 3 interfaces de rede:<\/p>\n

\"\"<\/a><\/p>\n

 <\/p>\n

87 – Clique no menu de “Diagnostics” e escolha\u00a0 op\u00e7\u00e3o de “Ping”:<\/p>\n

\"\"<\/a><\/p>\n

 <\/p>\n

88 – Informe o IP da instancia da primeira rede privada do passo 39 e clique no bot\u00e3o “Ping”. Em “Results” deve aparecer a resposta:<\/p>\n

\"\"<\/a><\/p>\n

 <\/p>\n

89 – Informe o IP da instancia da segunda rede privada do passo 39 e clique no bot\u00e3o “Ping”. Em “Results” deve aparecer a resposta:<\/p>\n

\"\"<\/a><\/p>\n

 <\/p>\n

90 – As instancias das redes privadas n\u00e3o podem ser acessadas diretamente da Internet. Para isso deve ser usada a chave de conex\u00e3o do passo 17. Primeiramente acesse o pfSense usando a chave:<\/p>\n

\"\"<\/a><\/p>\n

 <\/p>\n

91 – Copie a chave para o pfSense e depois acesse a instancia da primeira rede privada. Para alterar as configura\u00e7\u00f5es de rede, edite o arquivo da interface:<\/p>\n

\"\"<\/a><\/p>\n

 <\/p>\n

92 – Ajuste o arquivo de acordo com a necessidade, informando no par\u00e2metro “GATEWAY” o IP do pfSense. No “IPADDR” use o IP que a maquina pegou no DHCP:<\/p>\n

\"\"<\/a><\/p>\n

 <\/p>\n

93 – Assim que terminar a altera\u00e7\u00e3o da configura\u00e7\u00e3o da interface recarregue a rede com o comando “service network restart”, confira a tabela de roteamento com “route -n” e os IPs da interfaces de rede com “ip addr”. Repita o mesmo procedimento na VM da segunda rede privada:<\/p>\n

\"\"<\/a><\/p>\n

 <\/p>\n

94 – Volte para o pfSense, entre no menu “Firewall”, escolha “NAT” e por fim o “Outbound”. Selecione a op\u00e7\u00e3o “Manual Outbound NAT rule generation. (AON – Advanced Outbound NAT)” e clique no bot\u00e3o “Save”. Exclua todas as regras de NAT que existirem.<\/p>\n

\"\"<\/a><\/p>\n

 <\/p>\n

95 – Clique em um dos bot\u00f5es “Add” e preencha os campos de acordo com os dois screenshots abaixo:<\/p>\n

\"\"<\/a><\/p>\n

\"\"<\/a><\/p>\n

 <\/p>\n

96 – Ao finalizar a cria\u00e7\u00e3o, a tela de NAT exibir\u00e1 apenas a regra rec\u00e9m criada:<\/p>\n

\"\"<\/a><\/p>\n

 <\/p>\n

97 – Entre no menu \u201cNetwork Interfaces\u201d e desabilite o \u201cChange Source\/Dest. Check\u201d das interface do pfSense que foram criadas para as redes privadas. Para isso clique o bot\u00e3o direito na interface, em seguida clique no \u201cChange Source\/Dest. Check\u201d e depois marque “Disabled”.\u00a0 Por fim clique no “Save”:<\/p>\n

\"\"<\/a><\/p>\n

\"\"<\/a><\/p>\n

\"\"<\/a><\/p>\n

\"\"<\/a><\/p>\n

 <\/p>\n

98 – Volte para o console da AWS, Entre no “VPC” e depois no “Route Tables”. Clique no “Create route table”. Defina um nome e selecione a sua VPC. Clique no “Create”:<\/p>\n

\"\"<\/a><\/p>\n

 <\/p>\n

99 – Apos criada a tabela de roteamento, clique na aba “Routes” e em “Edit routes”<\/p>\n

\"\"<\/a><\/p>\n

 <\/p>\n

100 – Clique no “Add route”, em “Destination” informe “0.0.0.0\/0” e em “Target” selecione “Network Interface”:<\/p>\n

\"\"<\/a><\/p>\n

 <\/p>\n

101 – Ser\u00e1 exibida a lista de interfaces existentes. Como essa tabela de roteamento ser\u00e1 para a primeira rede privada ( 10.255.1.0\/24 ), selecione a interface do pfSense correspondente a esta rede. Clique em “Save routes”:<\/p>\n

\"\"<\/a><\/p>\n

 <\/p>\n

102 – Ap\u00f3s a tabela de roteamento criada, clique o bot\u00e3o direito nela e selecione “Edit subnet associations”<\/p>\n

\"\"<\/a><\/p>\n

 <\/p>\n

103 – Na tela de subnets, selecione a primeira rede privada ( 10.255.1.0\/24 ) e clique em “Save”:<\/p>\n

\"\"<\/a><\/p>\n

 <\/p>\n

104 – A tabela de roteamento aparecer\u00e1 como associada na coluna “Explicit subnet association”:<\/p>\n

\"\"<\/a><\/p>\n

 <\/p>\n

105 – Repita o processo para a segunda rede privada.. Clique no “Create route table”. Defina um nome e selecione a sua VPC. Clique no “Create”:<\/p>\n

\"\"<\/a><\/p>\n

 <\/p>\n

106 – Apos criada a tabela de roteamento, clique na aba “Routes” e em “Edit routes”<\/p>\n

\"\"<\/a><\/p>\n

 <\/p>\n

107 – Clique no \u201cAdd route\u201d, em \u201cDestination\u201d informe \u201c0.0.0.0\/0\u201d e em \u201cTarget\u201d selecione \u201cNetwork Interface\u201d:<\/p>\n

\"\"<\/a><\/p>\n

 <\/p>\n

108 – Ser\u00e1 exibida a lista de interfaces existentes. Como essa tabela de roteamento ser\u00e1 para a segunda rede privada ( 10.255.2.0\/24 ), selecione a interface do pfSense correspondente a esta rede. Clique em “Save routes”:<\/p>\n

\"\"<\/a><\/p>\n

 <\/p>\n

109 \u2013 Ap\u00f3s a tabela de roteamento criada, clique o bot\u00e3o direito nela e selecione \u201cEdit subnet associations\u201d<\/p>\n

\"\"<\/a><\/p>\n

 <\/p>\n

110 – Na tela de subnets, selecione a segunda rede privada ( 10.255.2.0\/24 ) e clique em \u201cSave\u201d:<\/p>\n

\"\"<\/a><\/p>\n

 <\/p>\n

111 – A tabela de roteamento aparecer\u00e1 como associada na coluna \u201cExplicit subnet association\u201d:<\/p>\n

\"\"<\/a><\/p>\n

 <\/p>\n

112 – Por fim volte no console do pfSense, sno menu “Firewall” selecione “Rules” e crie as regras de libera\u00e7\u00e3o desejadas nas interfaces LAN1 e LAN2. \u00c9 necess\u00e1rio criar apenas as regras de libera\u00e7\u00e3o, pois por padr\u00e3o o pfSense nega qualquer solicita\u00e7\u00e3o. Nesse exemplo os dois servidores das redes privadas podem sair para qualquer destino.<\/p>\n

\"\"<\/a><\/p>\n

\"\"<\/a><\/p>\n

 <\/p>\n

Documenta\u00e7\u00e3o sugerida:<\/p>\n

Pares de chaves do Amazon EC2<\/a><\/p>\n

Interfaces de rede el\u00e1stica<\/a><\/p>\n

 <\/p>\n","protected":false},"excerpt":{"rendered":"

Muitas pessoas acham que a solu\u00e7\u00e3o m\u00e1gica para os problemas de infra estrutura \u00e9 a migra\u00e7\u00e3o para “a nuvem”.\u00a0 A realidade n\u00e3o \u00e9 bem essa. Quando voc\u00ea migra os servidores da sua rede para a…<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6,7,2],"tags":[],"class_list":["post-393","post","type-post","status-publish","format-standard","hentry","category-amazon","category-pfsense","category-rede"],"_links":{"self":[{"href":"https:\/\/www.tonev.pro.br\/index.php?rest_route=\/wp\/v2\/posts\/393","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.tonev.pro.br\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.tonev.pro.br\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.tonev.pro.br\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.tonev.pro.br\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=393"}],"version-history":[{"count":41,"href":"https:\/\/www.tonev.pro.br\/index.php?rest_route=\/wp\/v2\/posts\/393\/revisions"}],"predecessor-version":[{"id":436,"href":"https:\/\/www.tonev.pro.br\/index.php?rest_route=\/wp\/v2\/posts\/393\/revisions\/436"}],"wp:attachment":[{"href":"https:\/\/www.tonev.pro.br\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=393"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.tonev.pro.br\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=393"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.tonev.pro.br\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=393"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}