Configuração servidor Zabbix atrás de Firewall PfSense + Adição de host PfSense em modo ativo

Você possui um pfSense de borda em uma localidade remota, que precisa enviar dados para um Zabbix Server que está protegido por outro pfSense em datacenter. Para garantir conectividade e segurança, vamos detalhar:

1. Regras de firewall em ambas as pontas

2. Configuração do Zabbix Agent no pfSense de borda

3. Configuração do Host no Zabbix

4. Portas utilizadas em cada fluxo

---

1. Regras de Firewall

1.1. No pfSense de Borda (Enviador)

Direção	Origem	Destino	Porta / Proto	Ação	Descrição
Outbound	pfSense de borda (any)	Zabbix Server (IP ou DNS)	TCP 10051	Pass	Permite tráfego de Agent Active
Inbound	Zabbix Server (IP ou DNS)	pfSense de borda (WAN IP)	TCP 10050	Pass	Se usar Agent Passive, permite checagens TCP

1.2. No pfSense acima do Zabbix (Receptor)

Direção	Origem	Destino	Porta / Proto	Ação	Descrição
Inbound	pfSense de borda (WAN IP)	Zabbix Server (LAN IP)	TCP 10051	Pass	Recebe dados das checagens Active
Outbound	Zabbix Server (LAN IP)	pfSense de borda	TCP 10050	Pass	Se usar Passive, busca dados do agente

Dica de segurança: limite as origens ao IP/DNS exato do peer e use VPN se possível, evitando expor portas diretamente na internet.

---

2. Configuração do Zabbix Agent no pfSense de Borda

No Diagnostics > Edit File, abra:

/usr/local/etc/zabbix64/zabbix_agentd.conf

Ajuste os principais parâmetros:

Enable=1
Server=seu.zabbix.dyndns.org
ServerActive=seu.zabbix.dyndns.org
Hostname=pfSense-Borda            # Deve bater exatamente no Zabbix
ListenIP=0.0.0.0
ListenPort=10050
RefreshActiveChecks=120
Timeout=10
BufferSend=5
BufferSize=100
StartAgents=3
TLSConnect=unencrypted
TLSAccept=unencrypted

Após editar, reinicie o serviço em Status > Services > Zabbix Agent.

---

3. Configuração do Host no Zabbix

Na interface web do Zabbix, em Configuration > Hosts > Create Host:

Campo	Valor
Host name	pfSense-Borda
Visible name	pfSense-Borda
Groups	Firewalls, Edge Devices
Interfaces	Type: Agent
	IP/DNS: pfSense-Borda.dyndns.org (ou IP real)
	Port: 10050
Templates	Active: IPsecpfSense

• Monitored by proxy: selecione se usar Zabbix Proxy.

• Enabled: marcado.

Clique em Add / Update.

---

4. Portas e Fluxos de Dados

1. Agent Active

   • Fluxo: pfSense → Zabbix Server

   • Porta: TCP 10051 (origem dinâmica → destino 10051)

2. Agent Passive (opcional)

   • Fluxo: Zabbix Server → pfSense

   • Porta: TCP 10050

Garanta que ambos os firewalls permitam esses fluxos conforme a tabela de regras acima.

Seugestão para padrão de nomenclatura para endereços IP em ativos de TI

Organizar os endereços IP de forma eficaz é crucial para uma administração ágil e segura da rede corporativa. Ao alocar e segmentar os IPs de acordo com a função de cada dispositivo, podemos garantir um controle melhor sobre a rede, otimizar o desempenho e aumentar a segurança. Abaixo, apresento um modelo detalhado com base nos ativos de TI, como impressoras, dispositivos de segurança (câmeras, DVRs), controle de acesso (catracas, relógios de ponto), e outros equipamentos essenciais.

---

Formato de Organização de Endereços IP

Intervalo de IPs	Descrição	Quantidade de IPs	Observações
192.168.0.1	GATEWAY	1	IP reservado para o gateway de rede.
192.168.0.2-9	SWITCH / ROTEADOR / WIFI	8	Bloco para switches, roteadores e Wi-Fi.
192.168.0.10-19	SERVIDORES	10	Bloco reservado para servidores.
192.168.0.20-29	IMPRESSORAS	10	Bloco para impressoras de rede.
192.168.0.30-99	DHCP / ESTAÇÕES	70	Bloco para estações de trabalho, DHCP.
192.168.0.100-149	DHCP WIFI	50	Bloco para DHCP de dispositivos Wi-Fi.
192.168.0.150-199	VOIP	50	Bloco para telefones VoIP.
192.168.0.200-204	DVR	5	Bloco para gravadores de vídeo digitais.
192.168.0.205-229	CÂMERA IP	25	Bloco para câmeras IP.
192.168.0.230-239	LIVRE	10	Bloco livre para uso futuro.
192.168.0.240-249	RELÓGIO DE PONTO	10	Bloco para relógios de ponto e controle de acesso.
192.168.0.250-254	ALARME	5	Bloco para sistemas de alarme.
192.168.0.254	RESERVADO	1	IP reservado para fim de controle.

---

Melhoria e Sugestões de Alterações

1. Bloco de IPs de Equipamentos de Rede

• Motivo: É fundamental separar claramente os dispositivos que gerenciam a rede, como switches e roteadores, dos demais dispositivos. No seu caso, o bloco de 192.168.0.2-9 está dedicado a esses dispositivos.

• Sugestão: Caso tenha diferentes zonas de rede (por exemplo, diferentes andares ou áreas físicas), você pode criar sub-redes para cada zona, para um gerenciamento ainda mais preciso.

2. Dispositivos de Controle de Acesso

• Motivo: Sistemas de controle de acesso, como catracas e relógios de ponto, são essenciais para a segurança física e devem ser facilmente acessíveis para manutenção e configuração.

• Sugestão: Adicionar blocos para dispositivos como catracas (se não forem incluídos no bloco de "Relógio de ponto") ou sistemas de controle de portas eletrônicas, com IPs dedicados a esses fins.

3. Segurança e Monitoramento

• Motivo: Equipamentos como câmeras IP e DVRs são fundamentais para a segurança da infraestrutura. Garantir que esses dispositivos estejam em um bloco de IPs separado ajuda a otimizar a gestão e aplicar regras de segurança específicas.

• Sugestão: Organizar os DVRs em um bloco específico e garantir que câmeras IP não interfiram em outros dispositivos.

4. Bloco de IPs para VoIP

• Motivo: Telefones VoIP precisam de uma alocação de IPs dedicada, para garantir que a qualidade das chamadas não seja afetada por tráfego excessivo de dados.

• Sugestão: Estender ou subdividir o bloco de IPs para VoIP caso a quantidade de telefones aumente, mantendo a rede de voz isolada e com qualidade garantida.

---

Benefícios da Organização de Endereços IP

• Facilidade de gestão: A alocação de IPs por função permite que você encontre e gerencie rapidamente qualquer dispositivo da rede.

• Segurança: O isolamento de dispositivos críticos, como câmeras e servidores, melhora a segurança e facilita a aplicação de políticas específicas de firewall.

• Escalabilidade: A segmentação dos IPs permite que você adicione novos dispositivos à rede sem complicar a gestão, principalmente em empresas que crescem rapidamente.

• Eficiência: A divisão da rede permite a alocação de largura de banda e a aplicação de regras de QoS, assegurando um desempenho ideal para VoIP, câmeras e outros sistemas sensíveis.

---

Exemplo de Uso Prático

Ao usar esse modelo, quando você precisar verificar o status de um servidor, pode procurar diretamente no intervalo de 192.168.0.10-19. Se um telefone VoIP apresentar problemas, a faixa 192.168.0.150-199 será onde os dispositivos VoIP estão alocados. Para câmeras IP, você encontrará os dispositivos no intervalo de 192.168.0.205-229.

---

Conclusão

Ter um padrão claro para a organização dos endereços IP de sua rede não só facilita a administração, como também assegura um ambiente mais seguro e eficiente. Com essa estrutura, você poderá realizar a gestão de ativos de TI de forma muito mais ágil e evitará problemas relacionados ao tráfego de rede e à segurança dos dispositivos.

Sugestão de padrão de nomenclatura para usuários de rede (AD, E-mail, Sistemas)

Para facilitar o gerenciamento de usuários em sistemas e redes, é importante estabelecer um padrão de nomenclatura que seja simples, eficiente e claro. Este formato é útil tanto para contas de e-mail, usuários de Active Directory (AD) quanto para outras plataformas e sistemas que necessitem de identificação de usuário.

---

Formato da Nomenclatura

[FUNÇÃO].[NOME]

Explicação dos campos:

• FUNÇÃO: Tipo de usuário ou função no sistema (Ex: admin, usr, svc, ext, etc.)

• NOME: Nome do usuário, geralmente o primeiro nome ou uma abreviação do nome completo (Ex: bruno, contadeseguranca, jsilva).

---

Siglas para Função do Usuário

Função do Usuário	Exemplo de Nomenclatura
Administrador	admin
Usuário Padrão	usr
Conta de Serviço	svc
Externo / Terceiro	ext
Sistema / Automatizado	sys
Contato de Segurança	contadeseguranca

---

Exemplos de Nomes de Usuário

Função	Nome Completo	Resultado Final
Administrador	Bruno Alves	admin.bruno
Usuário Padrão	João Silva	usr.jsilva
Conta de Serviço	Backup	svc.backup
Externo / Terceiro	Rafael Santos	ext.rsantos
Sistema	Sistema de Backup	sys.backup
Contato de Segurança	Bruno Alves	contadeseguranca.bruno

---

Boas Práticas

• Padrão de nomes simples: Use o nome do usuário ou uma abreviação curta para facilitar a identificação

• Funções claras: Use funções curtas e intuitivas (como admin, usr, svc, ext) para descrever o papel ou tipo da conta

• Evitar caracteres especiais: O uso de pontos (.) e hífens (-) é permitido, mas evite outros caracteres especiais que possam causar problemas em alguns sistemas

• Facilidade de buscas: O formato simples permite fácil pesquisa e rastreabilidade de contas, ideal para auditorias ou controle de acesso

• Padronização no AD e e-mail: Utilize a mesma lógica para nomes de usuários em Active Directory, sistemas de e-mail e outros sistemas de autenticação ou gestão de identidade

---

Benefícios do Padrão

• Segurança aprimorada: Diferencia facilmente contas administrativas de contas comuns ou externas, evitando erros de acesso

• Rastreamento rápido: Facilita a busca por usuários em sistemas e ferramentas administrativas

• Gestão mais ágil: Permite uma gestão de usuários mais ágil, principalmente em ambientes com muitos colaboradores ou contas de sistemas

• Documentação e relatórios: Facilita a criação de relatórios e documentação de contas de usuário, tornando os processos de auditoria mais organizados

---

Esse padrão simples de nomenclatura traz agilidade e segurança para a administração de usuários em sistemas corporativos. Com essa organização, a gestão de identidade e o controle de acessos ficam muito mais eficientes.

Sugestão de padrão de nomenclatura para ativos de TI

Manter um padrão de nomenclatura para os ativos de TI é essencial para a organização, controle de inventário e rastreabilidade dos equipamentos dentro da infraestrutura corporativa.

Abaixo, compartilho um modelo prático e funcional que pode ser aplicado em empresas com ou sem filiais, especialmente útil para quem atua com suporte técnico, gestão de infraestrutura ou segurança da informação.

---

Formato da Nomenclatura

[EMPRESA] - [FILIAL/LOCAL]* - [TIPO DE EQUIPAMENTO] - [PATRIMÔNIO]

• EMPRESA: Código de 3 letras representando o nome da empresa

• FILIAL/LOCAL: Abreviação do local ou unidade (opcional)

• TIPO DE EQUIPAMENTO: Sigla definida conforme o tipo de ativo

• PATRIMÔNIO: Últimos 4 dígitos do número patrimonial ou identificador único

O campo "FILIAL/LOCAL" pode ser omitido quando a empresa possui apenas uma unidade.

---

Siglas para Tipo de Equipamento

Tipo de Equipamento	Sigla
Desktop / Estação	DSK
All-in-One	AIO
Notebook	NTB
Tablet	TBL
Servidor	SRV
Firewall	FWL
Switch	SWI
Access Point	AP
Impressora	IMP
Câmera IP	CAM
NAS / Storage	NAS
Nobreak / UPS	NOB
Catraca de Acesso	CTR
Relógio de Ponto	RLP
PABX / Central Telefônica	PBX
Telefone VoIP	VOI

---

Exemplos de Nomenclatura

Empresa	Filial/Local	Tipo de Equipamento	Patrimônio	Resultado Final
ABC	MTR	Desktop (DSK)	0020	ABC-MTR-DSK-0020
XYZ	CTR	All-in-One (AIO)	0175	XYZ-CTR-AIO-0175
JKL	VLS	Notebook (NTB)	0500	JKL-VLS-NTB-0500
DEF		Tablet (TBL)	0063	DEF-TBL-0063
GHI	LOJ	Servidor (SRV)	0099	GHI-LOJ-SRV-0099
MNO	FAB	Notebook (NTB)	0050	MNO-FAB-NTB-0050
RST	DAT	Firewall (FWL)	0042	RST-DAT-FWL-0042
QWE		Switch (SWI)	0033	QWE-SWI-0033
TUV	RDC	Access Point (AP)	0087	TUV-RDC-AP-0087
HJK	ADM	Impressora (IMP)	0060	HJK-ADM-IMP-0060
NOP	CAM	Câmera IP (CAM)	0125	NOP-CAM-CAM-0125
LME		NAS / Storage (NAS)	0011	LME-NAS-0011
ZYX	SDC	Nobreak / UPS (NOB)	0072	ZYX-SDC-NOB-0072
FGH	ENE	Catraca de Acesso (CTR)	0091	FGH-ENE-CTR-0091
BVC	RH	Relógio de Ponto (RLP)	0104	BVC-RH-RLP-0104

---

Benefícios de Utilizar um Padrão de Nomenclatura

• Organização do inventário com rápida identificação dos ativos

• Agilidade no suporte técnico e controle de manutenção

• Padronização para auditorias e conformidade com políticas de TI

• Facilidade em relatórios, movimentações e trocas de equipamento

• Memorização intuitiva, mesmo em ambientes com múltiplas unidades

---

Esse tipo de padronização facilita muito a vida de quem gerencia ativos de TI em múltiplos ambientes ou clientes. Fique à vontade para adaptar conforme a realidade da sua empresa ou projeto!

Conversão de Windows Server Evaluation para Edição Licenciada (Full)

 1. Objetivo

Converter uma instalação do Windows Server em versão Evaluation para uma edição licenciada (Standard, Datacenter ou Essentials), mantendo todas as configurações existentes (ex: AD, GPO, DNS, arquivos, permissões etc.).

---

 2. O que é a versão Evaluation?

A versão Evaluation é uma edição de avaliação do Windows Server, normalmente válida por 180 dias, oferecida pela Microsoft para testes e validações. Após esse período, o sistema apresenta limitações como:

·       Alertas de licença expirada;

·       Reinicializações/desligamentos automáticas;

·       Impossibilidade de receber suporte oficial.

A versão Evaluation não aceita chaves de licença diretamente pela interface gráfica – por isso, o procedimento deve ser feito via linha de comando com DISM.

---

 3. Requisitos antes da conversão

·       Executar como Administrador.

·       Ter a chave pública de ativação por volume (KMS).

·       Garantir janela de manutenção, pois será necessário reiniciar.

·       Verificar a edição de destino desejada (Standard, Datacenter, Essentials).

---

 4. Chaves públicas KMS para ativação

Edição	Windows Server 2016	Windows Server 2019
Datacenter	CB7KF-BWN84-R7R2Y-793K2-8XDDG	WMDGN-G9PQG-XVVXX-R3X43-63DFG
Standard	WC2BQ-8NRM3-FDDYY-2BFGV-KHKQY	N69G4-B89J2-4G8F4-WWYCC-J464C
Essentials	JCKRF-N37P4-C2D82-9YXRT-4M63B	WVDHN-86M7X-466P6-VHXV7-YY726

---

 5. Comando para conversão

Abra o Prompt de Comando como Administrador e execute:

dism /online /set-edition:<edicao_destino> /productkey:<chave_kms> /accepteula

Exemplo para Windows Server 2016 Standard:

dism /online /set-edition:ServerStandard /productkey:WC2BQ-8NRM3-FDDYY-2BFGV-KHKQY /accepteula

Parâmetros:

·       <edicao_destino>: ServerStandard, ServerDatacenter ou ServerEssentials.

·       <chave_kms>: Chave pública correspondente à edição.

---

 6. Comando para estender o período de avaliação

Se o período de avaliação estiver próximo do fim e você precisar de mais tempo antes de realizar a conversão, é possível estender o período de avaliação utilizando o comando:

·       slmgr.vbs /rearm

Observações:

Este comando reinicializa o contador de ativação do período de avaliação.

Pode ser utilizado até 6 vezes.

Após executar o comando, é necessário reiniciar o servidor.

---

 7. O que acontece após o comando?

·       O processo será iniciado e, ao final, será solicitada a reinicialização do servidor.

·       Após reiniciar, o servidor já estará na edição licenciada.

·       Nenhuma configuração será perdida (AD, GPO, DNS, DHCP, compartilhamentos, etc.).

---

 8. Pós-Conversão

Verificar a ativação do Windows:

·       slmgr /xpr

Validar que a edição foi alterada corretamente:

·       Winver

---

 9. Possíveis erros

·       Código de erro 0x8a010101: Edição de destino não compatível com a versão instalada.

·       Erro de permissão: Verifique se está executando como administrador.

·       Falha ao validar a chave: Confirme se a chave corresponde à edição correta e se não é uma Retail/MAK.

---

 10. Referências

Para mais informações, consulte o artigo oficial da Microsoft:

Opções de atualização e conversão do Windows Server

Como Configurar o Monitoramento de um Host (pfSense) no Zabbix via SNMP

Passo 1: Habilitar o SNMP no pfSense

1. Acesse o painel do pfSense.
2. Vá para Services > SNMP.
3. Marque a opção Enable SNMP Daemon.
4. Configure os seguintes campos:
   • Community: Defina uma string de comunidade (exemplo: public).
   • Contact: Insira o e-mail do administrador.
   • Location: Insira a localização do dispositivo (opcional).
   • Allowed IPs: Especifique o IP do servidor Zabbix. Se quiser abrir para toda a rede, use 0.0.0.0/0 (não recomendado em produção).
5. Clique em Save para salvar as configurações.

Passo 2: Configurar Regras de Firewall no pfSense

Para permitir a comunicação SNMP, crie uma regra no firewall do pfSense:

1. Acesse Firewall > Rules e selecione a interface correspondente (LAN, WAN ou VPN).
2. Clique em Add e configure a regra:
   • Action: Pass.
   • Protocol: UDP.
   • Source: IP ou rede do servidor Zabbix.
   • Destination: IP do pfSense.
   • Destination Port Range: SNMP (161).
3. Salve e aplique as alterações.

Passo 3: Adicionar o Host do pfSense no Zabbix

1. Acesse o painel do Zabbix.
2. Vá para Configuration > Hosts e clique em Create Host.
3. Preencha os campos:
   • Hostname: Nome do pfSense (exemplo: pfSense_Router).
   • Groups: Escolha ou crie um grupo (exemplo: Network Devices).
   • Interfaces:
     • Clique em Add e selecione o tipo SNMP.
     • Informe o endereço IP do pfSense (exemplo: 192.168.1.1) e a porta 161.
4. Clique em Add para salvar o host.

Passo 4: Associar um Template SNMP ao Host

1. No host do pfSense, vá para a aba Templates.
2. Clique em Add e procure por templates SNMP adequados, como:
   • Template Net pfSense SNMP (se disponível).
   • Ou outro template genérico de dispositivos de rede SNMP.
3. Clique em Update para salvar.

Passo 5: Testar a Conexão SNMP

Antes de monitorar, teste se o SNMP está funcionando:

1. No terminal do servidor Zabbix, execute:

   snmpwalk -v 2c -c public 192.168.1.1
   

   Substitua public pela sua string de comunidade e 192.168.1.1 pelo IP do pfSense.
2. Verifique se recebe uma lista de OIDs como resposta. Se não, reveja as configurações no pfSense e no firewall.

Passo 6: Visualizar Dados no Zabbix

• Após adicionar o template, volte para o host do pfSense no Zabbix e veja os gráficos e dados coletados.
• Pode levar alguns minutos para o Zabbix começar a exibir as métricas.

Dicas Extras

• Segurança: Evite usar 0.0.0.0/0 como IP permitido no SNMP. Restrinja o acesso ao IP do servidor Zabbix.
• VPN: Se o Zabbix estiver em outra rede, considere usar uma VPN em vez de expor o SNMP na WAN.
• Logs: Utilize os logs do Zabbix e do pfSense para solucionar problemas de conectividade.

Com essas configurações, você terá o pfSense monitorado no Zabbix via SNMP, permitindo acompanhar o desempenho da sua rede em tempo real.

Passo a passo para simular latência no PfSense com o Traffic Limiter

Crie um Traffic Limiter: Acesse o painel do pfSense e vá em Firewall > Traffic Shaper > Limiters.

Configure a Latência Desejada: No novo Traffic Limiter, defina a latência que deseja simular. Você pode definir um atraso em milissegundos para testar como sua rede ou aplicativo reage. Por exemplo, para simular uma latência de 100ms, basta inserir "100" no campo de atraso.

Aplique o Limiter a uma Interface ou IP: Você pode definir esse Limiter para um endereço IP específico ou aplicar à rede como um todo, para observar os efeitos da latência simulada em diferentes cenários.

Monitore o Desempenho: Agora, execute seus testes e monitore como o sistema ou aplicação se comporta com essa nova latência. É uma maneira prática de simular condições de rede em ambiente controlado!