TutoLivre

Dando sequência ao texto anterior sobre o bloqueio de acesso ao SMTP pelos clientes da rede interna utilizando o pfSense, hoje vamos saber como fazer para liberar o acesso ao SMTP e outros para um provedor externo específico. Bloquear o tráfego SMTP para o mundo externo é uma medida eficaz para evitar problemas, mas por outro lado temos clientes legítimos que precisam de acessar as suas contas por nossa rede. Então precisamos criar regras que libere seletivamente o tráfego.

O princípio é o mesmo, mas vamos conhecer o recurso de alias do pfsese que proporciona um melhor gerenciamento das redes, protocolos e clientes com os quais estamos trabalhando.  Para criarmos um alias no pfsense acessamos o menu "Firewall" -> "Alias". Na tela de "Alias" (figura 1) clicamos no ícone com símbolo de mais (+) no canto superior direito da tela, para adicionarmos um novo alias (add a new alias). Podemos criar alias para redes, hosts ou portas, cada alias deve um ou mais  IP ou porta. A grande vantagem do alias é que se alterarmos um IP interno ou a porta de um serviço, por exemplo, não precisamos tocar em nenhum regra do firewall, basta alterar o alias. Para quem gerencia firewalls com centenas de regras isso é fundamental. No nosso exemplos vamos criar um alias para o SMTP do Gmail , o qual possui dois IPs trabalhando de forma balanceada. Na tela de criação do alias (figura 2) preenchemos os seguintes campos: Name = SMTP_GOOGLE (deve ser único e conter somente caracteres e números), Description = smtp.gmail.com (esta descrição não é obrigatório), Type = Host(s) e os IPs. Para acrescentar mais IPs e suas descrições basta clicar no botão com símbolo de mais (+) no canto inferior esquerdo da tela (veja figura 2). Depois salvamos o alias clicando no botão "Save". É preciso aplicar as alterações para que passem a funcionar imediatamente. Para ativar as mudanças é só clicar no botão “Apply changes” que aparece automaticamente em uma caixa no topo da lista de alias.  Pronto já temos nosso alias pro SMTP do Gmail, caso o Google altere futuramente os IPs ou acrescente novos basta alterar o alias.

Passamos agora a criação da regra para liberar o tráfego para o Gmail. Acessamos o menu "Firewall" -> "Rules", depois clicamos na aba LAN, pois queremos incluir uma regra que libera o tráfego da nossa rede interna para o Gmail. Na tela de regras para a LAN clicamos no ícone com símbolo de mais (+) no canto superior direito da tela (add new rule). Na tela  seguinte (figura 3) editamos a nova regra preenchendo os seguintes campos: Action = Pass ( valor padrão ) e  Destination ( Type: Single host or alias )  = SMTP_GOOGLE , Destination port range ( from: any e to: any ) e em Description = Any -> Gmaill.  Este último campo é apenas uma descrição e pode ser qualquer texto descritivo. Os demais campos ficam com os valores padrões, não é necessário alterá-los. Depois de pronto basta clicar no botão “Save” para salvar a regra, com a regra armazenada é preciso aplicar as alterações para que passem a funcionar imediatamente. Para aplicar as mudanças (recarregar as regras) é só clicar no botão “Apply changes” que aparece automaticamente em uma caixa no topo da lista de regras.  Da mesma forma que bloqueamos o SMTP na porta padrão podemos bloquear ou liberar outros protocolos / portas utilizando os mesmos passos aqui explicados,  obviamente com as devidas adaptações.

É importante observar que as regras do firewall são aplicadas de cima pra baixo (a que aparece no topo da lista tem prioridade em relação a segunda regra  e assim sucessivamente). Para alterar a posição entre as regras basta utilizar o botão em formato de seta (<=) que fica na frente da regra, que faz a regra subir, depois de aplicada as mundanças já estará valendo.

(Clique nas imagens para ampliá-las)

Figura 1: Tela de alias do pfsense

Figura 2: Criando novo alias no pfsense

Figura 3: criando nova regra de firewall com o alias

Figuras 4: listagem das regras do firewall psfsense

Figuras 5 : detalhe do alias sendo utilizado nas regras do pfsense