Implementacion de PFSENSE como firewall

Para esta configuracin vamos a definir 3 zonas (LAN, WAN, DMZ), la red LAN y
DMZ van a tener ciertos servicios, de los cuales sern privados nicamente los que se
encuentre en la red LAN, la politica por defecto en el firewall sera de denegacion, las
reglas de acceso a implementar son:
1. Los usuarios de la LAN podrn salir a Internet sin problemas
2. El trafico proveniente de internet, deber ser filtrado correctamente, para
que nicamente tenga acceso a los servicios ubicados en al DMZ.
Nuestra maquina que tendr el PFSENSE deber tener 3 tarjetas de red, una para el
acceso a Internet y las otras dos que conecten con la red LAN y DMZ.

La direccin Ip de pfsense sera 192.168.1.1

La maquina de la LAN tendr una direccin ip, dentro del mismo rango del pfsense,
para podernos conectar por http://192.168.1.1 a la configuracin en modo grfico del
pfsense

Por medio de un ping, podemos comprobar que las maquinas de la red LAN y del
pfsense puedan verse.

Iniciamos la conexion al pfsense:

A continuacin veremos la configuracin inicial de las interfaces en el pfsense.

Para la configuracin de las respectivas interfaces seguimos las siguientes imagenes.

Para la interfaz WAN pedira direccion por DHCP

La interfaz LAN.

La interfaz para la red DMZ. La maquina que simulara la red DMZ va a tener
como direccin 192.168.90.2, y como gateway tandra la direccion del pfsense.

La configuracin inicial, sera realizar el nateo para que la red LAN pueda salir
tranquilamente hacia Internet.
Desde la pestaa Firewall, la opcion NAT.

Parados sobre la configuracion de NAT, vamos a selecionar la opcion OutBaund, y

seleccionamos la opcion configuracion Manual
Debemos guardar cada cambio que realizamos.
La configuracin manual, crea automticamente una regla de acceso.

Probamos la conexin a Internet desde la red LAN.

Ahora vamos a crear las reglas de acceso y denegacin para las tres interfaces, en al
creacion de las reglas, es muy importante tener en cuenta el orden en que estas esten
ubicadas.

Vamos a crear la publicacin de servicios, para poder acceder a ellos desde la externa.

En la opcin outbound, vamos a crear una nueva regla, que le permita a la red DMZ
acceder a Internet.

Ahora vamos a probar que se pueda acceder a los servicios de la red DMZ a travs de la
ip publica del DMZ.

A continuacin mostrar como configurar el potente y sencillo firewall de PFSense 2.0

importantsimo a la hora de proteger nuestra red.
Cargaremos las reglas bsicas que se requieren para permitir a los clientes solamente
navegar por internet.
Saltear la explicacin de como instalar el sistema operativo ya que existen muchos
tutoriales en la web de como hacerlo.
Una vez instalado el SO, desde la consola asignamos las interfaces WAN y LAN a una
placa en particular de nuestro equipo y configuramos la IP correspondiente:

En este caso primero utilizamos la opcin 1 para asignar las interfaces y la

opcin 2 para asignar las IP.
Luego ingresamos va navegador web desde un cliente que este en la red interna para
settear las configuraciones del firewall.
Una vez andetro vamos a: Firewall > Rules

Luego vamos a la pestaa LAN, que debe tener las siguientes reglas:

Es importante entender como funciona la evaluacin de reglas ya que nos puede evitar
confusiones a la hora de aplicar reglas personalizadas.
Las reglas se van evaluado de arriba hacia abajo y la primer coincidencia que se
encuentra es la que se aplica. Es decir, que si yo defino dos reglas que se contraponen
siempre se aplicar la que est mas arriba en la lista.
Generalmente lo primero que se hace es bloquear todas la conexiones, por ello
aplicamos nuestra primer regla, que al final quedar debajo de la lista:

Esta regla bloquea todo tipo de trfico.

Luego debemos permitir las consultas al DNS, para ello habilitamos el puerto deestino
53 y el protocolo UDP, en este caso seleccionamos TCP/UDP y cuyo origen del
requerimiento sea nuestra LAN interna:

La siguiente regla permite el trfico TCP/UDP, cuyo origen sea la LAN interna, tenga
cualquier destino y el puerto destino sea el 80 (web):

Y por ltimo podemos observar la regla Anti-Lockout que viene por defecto en PFSense
con el fin de evitar el bloqueo a la administracin del sistema.

Vale aclarar que tambin se debera habilitar el protocolo HTTPS para permitir una
navegacin completa de la web.
Para definir una regla debemos pulsar el botn (+) para agregar una nueva:

Finalmente debemos tener las siguientes consideraciones:

Action: Indica si la regla bloquea o deja pasa el trfico.
Interface: indica en qu interface se aplica.

Protocol: define el protocolo que se tratar.

Source: indica la procedencia del trfico al cual se le aplicar la regla.
Destination port range: indica los puertos destinos que deben tener los paquetes a los
que se le aplicar la regla.

Realmente PFSense es una herramienta muy potente que simplifica mucho la

administracin del firewall.

En este tutorial te mostrar cmo instalar pfSense 2.0.1 como una puerta de enlace de
Internet con Squid Proxy / filtrando comn SquidGuard. Tambin voy a demostrar que
usted tiene que configurar algunas caractersticas adicionales como el trfico de
pfSense shapping con Squid. Este tipo de configuracin podra ser til para las
personas que deseen establecer puntos de conexin inalmbrica o ciber caf Internet
caf, etc
Requisitos
Este tutorial asume que usted ya tiene un pfSense (versin 2.0.1 Mnimo) la
instalacin se ejecuta con sus interfaces de red configurados y las reglas bsicas de
cortafuegos configurados.
Instalacin de paquetes de pfSense

En primer lugar vamos a empezar con la instalacin de los paquetes adicionales que
vamos a necesitar
Accede al Administrador Web de su pfSense, y haga clic en "Server -> Packages",
desplcese por la lista y encontrar Squid y haga clic en "+" para instalar, espere a que
finalice el proceso y vuelva a la seccin de paquetes para buscar squidguard e
instalar tambin estepaquete.

Para confirmar los paquetes que han sido instalados, actualice la interfaz web y vaya al
men "Services" y busque Proxy Server & Proxy Filter, si aparecen ambos en el men
que se han instalado correctamente, reinicie el apartado de pfSense.

NOTA: Ha habido un par de casos en los que se ha tenido que volver a instalar el
paquete squid justo despus de haber instalado el paquete squidguard, la razn detrs
de esto es que despus de instalar el paquete squidguard no puede acceder a la
configuracin del servidor proxy, si esto ocurre, volver al men de paquetes, haga clic
en la pestaa paquetes instalados, a continuacin, seleccione instalar en la entrada del
servidor Squid (esto slo ha sucedido en versiones anteriores a la 2.0.1).
Configurando Proxy Server Package
Una vez que se haya reiniciado pfSense queremos configurar los ajustes del servidor
proxy, (ahora en este tutorial configuraremos el servidor proxy como un proxy
transparente, si desea establecer esta parte de manera diferente por favor investigue
sobre la configuracin de Squid, el sitio web de pfSense tiene guas de configuracin
para Squid), haga clic en Services -> Proxy Server.
En la Pestaa General, debes establecer los siguientes ajustes, la opcin Proxy
Interface Option debe estar ajustado a "LAN", y porque estamos configurandolo como
un servidor proxy transparente, marque la opcin de la casilla de verificacin. "proxy
transparente".

Recomiendo encarecidamente el registro est habilitado en su servidor proxy, ya que

le ser muy til si necesita solucionar problemas sobre algn tema o simplemente ver
lo que estn haciendo en Internet sus usuario, etc Marque la casilla "Logging
Enabled". establezca el registro de almacenar en la ubicacin predeterminada
"/var/squid/logs" y rotar los registros de cada 7 das, establezca el puerto proxy con el
nmero de puerto 3128 (recordar este nmero de puerto ya que lo necesitar cuando
establezcamos las reglas de firewall), agregue un nombre de host visible y una
direccin de correo electrnico del administrador y configurar el idioma que desee y
haga clic en el botn Guardar.

Luego haga clic en la pestaa "Gestin de cach" en ingls... "Cache Mgmt", por
defecto el tamao de la cach en el disco duro est establecida en 100 MB, te
recomiendo que aumente este valor, ya que depender, no slo de como sea de grande
el disco duro, sino tambin habr que tener en cuenta las personas que lo utilizan, y lo
que habr que registrar, despus de que se establezca deje el resto de la pgina con la
configuracin predeterminada y haga clic en Guardar.

Haga clic en la ficha Control de acceso siguiente, en el tipo de campo permita

subredes en subredes requeridas (por ejemplo: 192.168.255.0/24), tenga en cuenta que
si usted tiene ms de una subred para acceder a este proxy es necesario especificar
cada subred tenga su propia lnea.

Desplcese hacia abajo hasta que vea "ACL Safeports and ACL SSLPorts" en estos
campos que se tiene que escribir los puertos que quiera abrir para su servidor proxy,
tendr que hacer una investigacin sobre esto, descubrir qu aplicaciones se estn
utilizando en este red, y especifquese su effectlive Porst requerida. Para este
documento slo voy a utilizar el puerto 80 y 443 ya que estos son los nicos puertos
que necesitar. Investigue un poco sobre lo que los puertos son necesarios y luego
actualice el cuadro de pfSense, una vez establecido clic en Guardar.

Ahora, para las personas que quieren estrangular la velocidad de la que los usuarios
acceden a Internet, haga clic en la pestaa Gestin de Trafic, y establece (en kilobytes)
qu velocidad desea restringir a los usuarios, haga clic en Guardar una vez hecho.

Configuracin de filtrado SquidGuard

Eso era la configuracin del servidor proxy, a continuacin vamos a configurar
SquidGuard, haga clic en el men Servicios y seleccione el botn Proxy Filter, marque
las siguientes 3 casillas de verificacin "Enable", Enable GUI Log" y "Enable Log" y
luego haga clic en en el botn Guardar, una vez que la pgina se vuelve a cargar, haga
clic en Aplicar y luego confirmar que el servicio se est ejecutando SquidGuard
asegurndose de que el estado SquidGuard est establecido en Iniciado.

Permanezca en la ficha Configuracin general y desplcese hacia abajo a la zona de

lista negra y marque la casilla que dice "Habilitar lista negra", y en la URL
escriba: http://www.shallalist.de/Downloads/shallalist.tar.gz y haga clic en Guardar,
de esta forma podemos descargar los datos de la lista negra. Haga clic en la pestaa
Lista Negra y aada las URL, y guarde el mismo antes de la actualizacin de
direcciones y haga clic en Descargar. Espere a que el proceso se complete.

Luego haga clic en la pestaa "common ACL", y clic en Lista de reglas de destino y
seleccione cada regla que desea bloquear o permitir, a continuacin, agregue un
mensaje en el campo Proxy Error denegado, actualmente estoy usando slo el uno por
defecto que sugieren (ver en sceenshot por ejemplo), permita redirect mode, en la
pgina Int Error por lo que utilizar el mensaje que escriba, marque la casilla de
verificacin Log Check a continuacin, haga clic en Guardar.

Una vez que se haya creado la prueba podr asegurarse de que todo est
funcionando. Espero que esto haya sido de gran ayuda para usted, el siguiente tutorial
que se implantar ser el portal cautivo para esta configuracin.