quarta-feira, 16 de abril de 2025

Configuração servidor Zabbix atrás de Firewall PfSense + Adição de host PfSense em modo ativo

Você possui um pfSense de borda em uma localidade remota, que precisa enviar dados para um Zabbix Server que está protegido por outro pfSense em datacenter. Para garantir conectividade e segurança, vamos detalhar:

  1. Regras de firewall em ambas as pontas

  2. Configuração do Zabbix Agent no pfSense de borda

  3. Configuração do Host no Zabbix

  4. Portas utilizadas em cada fluxo

1. Regras de Firewall

1.1. No pfSense de Borda (Enviador)

Direção Origem Destino Porta / Proto Ação Descrição
Outbound pfSense de borda (any) Zabbix Server (IP ou DNS) TCP 10051 Pass Permite tráfego de Agent Active
Inbound Zabbix Server (IP ou DNS) pfSense de borda (WAN IP) TCP 10050 Pass Se usar Agent Passive, permite checagens TCP

1.2. No pfSense acima do Zabbix (Receptor)

Direção Origem Destino Porta / Proto Ação Descrição
Inbound pfSense de borda (WAN IP) Zabbix Server (LAN IP) TCP 10051 Pass Recebe dados das checagens Active
Outbound Zabbix Server (LAN IP) pfSense de borda TCP 10050 Pass Se usar Passive, busca dados do agente
Dica de segurança: limite as origens ao IP/DNS exato do peer e use VPN se possível, evitando expor portas diretamente na internet.

2. Configuração do Zabbix Agent no pfSense de Borda

No Diagnostics > Edit File, abra:

/usr/local/etc/zabbix64/zabbix_agentd.conf

Ajuste os principais parâmetros:

Enable=1
Server=seu.zabbix.dyndns.org
ServerActive=seu.zabbix.dyndns.org
Hostname=pfSense-Borda            # Deve bater exatamente no Zabbix
ListenIP=0.0.0.0
ListenPort=10050
RefreshActiveChecks=120
Timeout=10
BufferSend=5
BufferSize=100
StartAgents=3
TLSConnect=unencrypted
TLSAccept=unencrypted
Após editar, reinicie o serviço em Status > Services > Zabbix Agent.

3. Configuração do Host no Zabbix

Na interface web do Zabbix, em Configuration > Hosts > Create Host:

Campo Valor
Host name pfSense-Borda
Visible name pfSense-Borda
Groups Firewalls, Edge Devices
Interfaces Type: Agent
IP/DNS: pfSense-Borda.dyndns.org (ou IP real)
Port: 10050
Templates Active: IPsecpfSense

  • Monitored by proxy: selecione se usar Zabbix Proxy.

  • Enabled: marcado.

Clique em Add / Update.

4. Portas e Fluxos de Dados

  1. Agent Active

    • Fluxo: pfSense → Zabbix Server

    • Porta: TCP 10051 (origem dinâmica → destino 10051)

  2. Agent Passive (opcional)

    • Fluxo: Zabbix Server → pfSense

    • Porta: TCP 10050

Garanta que ambos os firewalls permitam esses fluxos conforme a tabela de regras acima.

às
Marcadores: , ,

Nenhum comentário:

Postar um comentário

Assinar: Postar comentários (Atom)