DEV Community

Rodrigo
Rodrigo

Posted on

Do Zero ao Firewall: Guia Completo de Organização e Segurança no Homelab (TP-Link ER605)

#beginners #networking #security #tutorial

Do Zero ao Firewall: Guia Completo de Organização e Segurança no (TP-Link ER605)

Aprender redes do zero exige paciência. Depois de mergulhar em documentações para entender como o meu roteador gerencia o tráfego, aprendi que a organização é o primeiro passo para a segurança. Hoje, vou mostrar como estruturar o teu firewall usando a lógica de Objetos e Regras.

Parte 1: A Fundação (IP Address e IP Group)

No TP-Link ER605, as regras de firewall (ACLs) não conversam diretamente com IPs soltos; elas conversam com Grupos.

Passo 1: Criar os IP Addresses

Vá a Preferences > IP Group > IP Address. Aqui, damos um "nome amigável" aos segmentos da rede:

  • IP_AWS (Ex: 172.20.0.0/16): Representa toda a minha infraestrutura na nuvem.
  • IP_WG (Ex: 10.50.1.0/24): O range dedicado ao túnel WireGuard.
  • IP_Client (Ex: 10.80.1.0/24): Rede isolada para auditorias ou clientes externos.
  • Minha_LAN (Ex: 192.168.00.0/24): Onde reside o coração do meu homelab.

Passo 2: Criar os IP Groups

Em IP Group, criamos as listas que o firewall vai utilizar. Basta criar o grupo e associar o endereço criado no passo anterior.

  • AWS_Group → Associado ao IP_AWS
  • WG_Group → Associado ao IP_WG
  • Client_VPN_Group → Associado ao IP_Client

Por que fazer isto? Se amanhã o IP da tua VPN mudar, alteras apenas o "IP Address". O "Group" e todas as tuas regras de firewall permanecem intactos. É eficiência e menos erro humano.

Parte 2: Configurando as Regras de Firewall (IP ACL)

Com os grupos prontos, vamos em Transmission > Firewall > IP ACL. Aqui é onde definimos quem pode falar com quem.

Detalhando os Campos da Regra:

Para cada regra que criei, preenchi os seguintes parâmetros:

  • Service Type: Usei ALL (para validar todos os protocolos: TCP/UDP/ICMP).
  • Direction: ALL para tráfego interno e WAN IN para o que vem da internet.
  • Source Type/Source: Selecionei o IP Group de origem (quem inicia a conexão).
  • Destination Type/Destination: Selecionei o IP Group de destino (o alvo).
  • Effective Time: Any (proteção ativa 24/7).
  • States: Marquei New, Established, Related. Isto garante que o firewall entenda o "estado" da conexão e permita o tráfego de resposta automaticamente.

Parte 3: A Lógica das Regras Criadas

O segredo de um bom administrador é a ordem das regras. O firewall lê de cima para baixo.

1. ALLOW_LAN_TO_AWS (Acesso à Nuvem)

  • Política: Permit
  • Origem: Minha_LAN | Destino: AWS_Group
  • Objetivo: Permitir que o meu homelab se comunique com os meus servidores na nuvem.

2. DENY_WG_TO_AWS (Isolamento de Segurança)

  • Política: Deny
  • Origem: WG_Group | Destino: AWS_Group
  • Objetivo: Esta é uma camada de proteção extra. Se alguém ganhar acesso à minha VPN, não conseguirá "pular" para a minha nuvem AWS.

3. CLIENT_VPN_TO_LAN (Acesso Controlado)

  • Política: Permit
  • Origem: Client_VPN_Group | Destino: Minha_LAN
  • Objetivo: Garante que o tráfego de auditoria chegue apenas onde deve, sem tocar noutros segmentos sensíveis.

4. DEFAULT_DENY_ALL (A Regra de Ouro)

  • Política: Deny
  • Origem: IPGROUP_ANY | Destino: IPGROUP_ANY
  • Importância: Esta regra deve ser sempre a última. Ela diz: "Se o tráfego não foi expressamente permitido acima, bloqueie". É o princípio do privilégio mínimo.

Conclusão

Documentar este processo foi parte da minha aprendizagem. Ao organizar a rede desta forma, o teu homelab deixa de ser um emaranhado de cabos e IPs e passa a ser uma infraestrutura profissional e segura.

#homelab #networking #security #tplink #aws #wireguard

Top comments (2)

Collapse
 
madsonmar profile image
Madson Almeida Ramos

Depois de seguir esse passo a passo, vou criar os IP Address e os IP Groups.

Em seguida, na parte de Network > LAN, precisarei criar as LANs, sendo que cada uma ficará em uma VLAN diferente, utilizando os IP Address que foram criados anteriormente.

Está correto esse entendimento?

Collapse
 
ferradas profile image
Rodrigo

Sim, seu entendimento está correto. Depois de seguir o passo a passo, você pode criar os IP Address e IP Groups e, em seguida, configurar as LANs em Network > LAN, cada uma associada à sua VLAN e ao IP correspondente.

No meu caso, como utilizo apenas dois clientes WireGuard, optei por usar apenas um IP virtual (definindo o IP diretamente na configuração do túnel), sem criar uma VLAN separada — funciona normalmente. Mas, como boa prática, especialmente em ambientes maiores ou com mais clientes, criar uma VLAN dedicada para a VPN é uma abordagem válida.

Se você já testou nesses últimos dias, me avisa se ficou tudo funcionando como esperado, para ajustarmos algo caso precise.