Aplicando regras simples de Firewall no pfSense® com o NGRules
A principal "inteligência embarcada" no pacote NGRules refere-se a capacidade de alimentar automaticamente e dinamicamente Aliases do tipo "Host" com as Redes IPs dos respectivos serviços na Internet (WhatsApp, Youtube, Netflix, Sites do Governo, etc..).
Criando regras de leitura do NGRules
Basta clicar em “Add”, para configuração de uma nova regra.
A criação das regras no NGRules é totalmente feita a base de cliques. Basta selecionar o "Alias" pré-existente que se quer alimentar automaticamente pelo NGRules ou mesmo criar um novo "Alias" clicando no respectivo botão desta mesma tela.
Se você utiliza um webproxy como Squid ou E2Guardian neste mesmo servidor pfSense®, pode aproveitar o mesmo Alias e a mesma regra do NGRules como "ByPass" nestes serviços. Esta ação é ideal para aquelas aplicações que não admitem ser interceptadas ou tratadas por um proxy intermediário.
Listas disponíveis
Em seguida é possível selecionar as categorias já pré-configuradas no NGRules através das listas importadas do Webfilter, listas mantidas pela ConexTI ou listas adicionadas manualmente. Para saber mais sobre isso, visite o capítulo em que abordamos o tema Listas pré-compiladas.
Regras com listas da ConexTI
Regras com listas personalizadas
Listas E2Guardian
Resultado da Regra
De uma forma geral, o objetivo desta regra que acabamos de conceber como exemplo no NGRules é alimentar o "Alias" chamado "WHATSAPP" com os IPs das redes que hospedam o aplicativo na Internet. Esta atualização de "Aliases" acontece automaticamente de acordo com as requisições dos dispositivos clientes que chegam até o seu firewall.
Aplicando a regra de firewall
Para que se tenha uma aplicação prática de todo o trabalho realizado pelo NGRules, você precisa utilizar o "Alias" alimentado pela ferramenta em alguma regra de firewall. Isso quer dizer que você pode utilizar o NGRules para apoiar sua política de segurança da informação, ou seja, liberando ou bloqueando conexões ao destino.
A criação das regras de firewall seguem a mesma lógica de qualquer rule na plataforma. Você deve ir até o menu Firewall->Rules e criar a regra mencionando o respectivo "Alias" e a ação a ser executada (liberando ou bloqueando as conexões) na interface de origem das requisições. Para saber mais sobre como criar regras de firewall no pfSense, consulte a documentação oficial.
No exemplo da imagem acima, estamos bloqueando o acesso ao aplicativo WhatsApp para todos os dispositivos da rede WIFI. Por óbvio, esta regra pode ser refinada afim de aplicar o respectivo bloqueio apenas para determinados IPs da rede WIFI.
Também é possível e desejável integrar o seu ambiente NGRules com o UserAuth. Isso permitira liberar ou bloquear conexões com destino a um eventual serviço na web com base no usuário autenticado no seu firewall (e não penas por IPs dos dispositivos clientes).
O exemplo acima demonstra um cenário em que o acesso ao Whatsapp estaria liberado apenas para usuários do grupo "diretoria". Para todos os demais usuários da rede WIFI o acesso estaria negado. O trabalho de autenticação dos usuários e alimentação dinâmica do Alias "diretoria" fica por conta do UserAuth.