Professional Documents
Culture Documents
Contenido
Contenido ................................................................................................................... 1
Introducción ............................................................................................................... 3
Creación de regla...................................................................................................... 17
Configuración de failover......................................................................................... 19
1
Manual pfsense | Pedro José García Moreno
2
Manual pfsense | Pedro José García Moreno
Introducción
PfSense es una distribución personalizada de FreeBSD adaptado para su uso como firewall y
router. Se caracteriza por ser de código abierto, puede ser instalado en una gran variedad de
ordenadores, y además cuenta con una interfaz web sencilla para su configuración.
En la siguiente imagen vemos un ejemplo de cómo debería ir conectado el equipo que tendrá
instalado el software de pfsense
3
Manual pfsense | Pedro José García Moreno
Lo primero que debemos hacer es asignar el uso que se les dará a cada interfaz, para esto
seleccionamos la opción 1) Assign Interfaces introduciendo un 1 en la consola y presionando
enter.
Ahora nos preguntara que si vamos a configurar VLANs ahora, introducimos una “n” de no
ya que se explicara más adelante como configurar VLANs de manera gráfica.
Seguidamente nos preguntara que interfaz queremos que actué de wan, en nuestro ejemplo
vamos a seleccionar la interfaz em0 para este fin.
La siguiente pregunta que nos hace es para seleccionar la interfaz que se utilizara para la
red lan, como podemos observar en la imagen ya no aparece la interfaz em0 porque ya la hemos
asignado a la wan, para nuestro ejemplo seleccionaremos la interfaz em1 para la lan.
4
Manual pfsense | Pedro José García Moreno
Posteriormente nos preguntara si tenemos alguna interfaz opcional, sino tenemos otra
interfaz de red lo dejaremos en blanco y pulsaremos enter pero para nuestro ejemplo
asignaremos una interfaz opcional que usaremos más adelante para configurar el failover.
Como ya no tenemos más interfaces y nos pregunta por una segunda interaz opcional lo
dejaremos en blanco y pulsaremos enter.
Una vez finalizado el proceso nos mostrara como va a quedar y si queremos continuar para
guardar los cambios, comprobamos que esta todo correcto e introducimos una “y” de yes para
que guarde los cambios.
Una vez asignadas las interfaces procederemos a configurar la dirección IP que tendrá cada
una.
5
Manual pfsense | Pedro José García Moreno
Como podemos observar nos aparece un número a la izquierda de cada interfaz esto es para
seleccionar la interfaz que vamos a configurar, nosotros empezaremos configurando la interfaz
wan, para esto introducimos un “1” y presionamos enter.
Lo primero que nos preguntara es que si queremos que la wan se configure automáticamente
usando DHCP porque detecta que está conectada a un router que le suministra una IP, en nuestro
ejemplo le indicaremos que si queremos que se configure automáticamente tanto la IPv4 como
la IPv6.
Por ultimo nos pregunta que si queremos activar la configuración via web, esto es para
realizar las configuraciones con otro equipo mediante interfaz gráfica, nosotros seleccionaremos
que sí.
Ahora pasaremos a configurar la lan, está la configuraremos con una IP estática y con
servidor DCHP.
6
Manual pfsense | Pedro José García Moreno
Como podemos observar ahora no nos pregunta que si queremos que se configure
automáticamente porque esta tarjeta de red no está conectada a un router sino a un switch, por
lo tanto no es la que recibe una IP sino que es la encargada de repartir las IPs a los equipos que
se conectaran.
La primera opción que nos aparecerá será la de que introduzcamos la dirección IP que tendrá
esta tarjeta de red, en nuestro ejemplo le asignaremos la dirección 199.7.2.1.
Lo siguiente será indicarle que mascara de red tendrá, en nuestro caso será 255.255.255.0
que corresponde a una máscara /24 en sistema internacional.
Después nos preguntara que puerta de enlace tiene, en nuestro ejemplo lo dejaremos en
blanco.
Ahora nos pedirá que introduzcamos una dirección IPv6 pero como nosotros no la
utilizaremos la dejaremos en blanco.
Por ultimo nos preguntara si queremos activar el servidor DHCP, ya que esta tarjeta de red
es la que suministrara el servicio a nuestra red local si activaremos el seridor DHCP con un rango
de 11 IPs a repartir.
7
Manual pfsense | Pedro José García Moreno
Como se puede observar en la imagen anterior hemos fijado el rango de IPs a repartir entre
199.7.2.10 y 199.7.2.20.
Una vez finalizada la configuración pfsense nos proporcionara la dirección por la que
podremos acceder a través del navegador para poder configurarlo.
8
Manual pfsense | Pedro José García Moreno
Creación de usuario
Pfsense ya tiene un certificado por defecto, pero lo recomendable es crear nuestro propio
certificado para hacer esto necesitaremos crear un usuario que pueda crear los certificados.
Para crear el usuario nos dirigiremos hacia la pestaña system y en el menú desplegable
elegimos la opción de cert. Manager.
Como vemos no nos aparece ningún usuario para crear certificados, para poder crear un
certificado tendremos que crearnos un usuario. Para ello seleccionamos el botón de add situado
en la parte inferior derecha.
9
Manual pfsense | Pedro José García Moreno
Ahora deberemos introducir los datos del usuario que va a crear el certificado. Deberemos
introducir los siguientes datos:
10
Manual pfsense | Pedro José García Moreno
Creación de certificado
Para crear el certificado nos dirigiremos hacia system, en el menú desplegable elegimos la
opción de cert. Manager una vez en este menú seleccionaremos la pestaña de Certificates y
cómo podemos observar nos aparece el certificado que tiene creado por defecto.
11
Manual pfsense | Pedro José García Moreno
Ahora nos aparece un formulario en el que deberemos introducir los datos personales para
nuestro servidor, estos datos son los siguientes:
12
Manual pfsense | Pedro José García Moreno
Una vez terminado deberían aparecernos dos certificados, uno el que tienen por defecto
pfsense y otro creado por nosotros tal y como se muestra en la imagen siguiente.
13
Manual pfsense | Pedro José García Moreno
Una vez dentro del menú adanced nos dirigiremos hacia el apartado de admin Access y
configuraremos los siguientes parámetros:
Protocol: Elegiremos el protocolo que usaremos para acceder, como queremos que
cada vez que accedamos sea de manera segura elegiremos el protocolo https
SSL Certificate: Seleccionaremos el certificado que se va a usar para certificar que
es una página segura, en nuestro ejemplo usaremos Certificado_Pedro
TCP port: Puerto por el que accederemos de manera segura.
Max processes: Aquí indicaremos el número máximo de usuarios que pueden
acceder a configurar pfsense al mismo tiempo.
WebGUI redirect debe estar marcado para deshabilitar la escucha por el puerto
80, a la vez que escucha por el 10443, ya que solo se quiere acceso exclusivo por
https.
WebGUI Login Autocomplete se selecciona para deshabilitar el autocompletado
por parte del navegador ya que es preferible que éste no guarde las credenciales
por seguridad.
Una vez finalizado guardamos los cambios y los aplicamos para que tengan efecto.
14
Manual pfsense | Pedro José García Moreno
Una vez hecho esto se recargará la página y ya podremos acceder de manera segura.
Crear Aliases
Para realizar esta operación nos dirigiremos hacia la pestaña Firewall y en el menú
desplegable seleccionaremos la opción de Aliases.
15
Manual pfsense | Pedro José García Moreno
Una vez dentro de este menú podemos observar que la primera vez que accedemos no
tenemos ningún aliase creado, para crearlo presionaremos el botón Add.
16
Manual pfsense | Pedro José García Moreno
Una vez guardados los cambios nos aparecerá el alias que acabamos de crear y una ventana
para aplicar los cambios, presionamos el botón de aplicar cambios y ya tendríamos nuestro alias
creado.
Creación de regla
Ahora vamos a crear una regla en el cortafuegos para bloquear la página de YouTube, por
lo que nos dirigiremos hacia la pestaña de Firewall y en el menú desplegable seleccionaremos
la opción de Rules.
Una vez dentro de este menú nos dirigiremos hacia el apartado de LAN, ya que en nuestro
ejemplo queremos que afecte a todos los equipos que estarán conectados a nuestra red, y
presionamos el botón Add con la flecha hacia arriba.
17
Manual pfsense | Pedro José García Moreno
Por ultimo guardamos los cambios y nos debería quedar algo parecido a la siguiente imagen
en la que aparecen las reglas creadas por defecto y la que nosotros acabamos de crear.
18
Manual pfsense | Pedro José García Moreno
Configuración de failover
Esta configuración se realiza para mejorar la disponibilidad del servicio; para ello
necesitaremos dos equipos con el software pfsense instalado, además cada equipo deberá contar
con al menos tres tarjetas de red, una para la interfaz wan, otra para la interfaz lan y la última
para que estos dos equipos se sincronicen.
Configuración de la interfaz
Para configurar la interfaz que usaremos para que se sincronicen el MASTER y el BACKUP
nos dirigiremos hacia la pestaña Interfaces y en el menú desplegable seleccionamos (assign).
19
Manual pfsense | Pedro José García Moreno
20
Manual pfsense | Pedro José García Moreno
Por ultimo guardamos los cambios y los aplicamos estos cambios para que tengan efecto
inmediato.
Esta configuración se realizara en los dos equipos con pfsensen, uno es el master y el otro
es el backup, introduciendo la dirección IP correspondiente a cada uno.
Para crear estas IPs nos dirigiremos hacia la pestaña de firewall y en el menú desplegable
seleccionaremos virtual IPs.
Como podemos observar no hay ninguna IP virtual creada, para crearla hacemos clic sobre
el botón de add.
21
Manual pfsense | Pedro José García Moreno
22
Manual pfsense | Pedro José García Moreno
Ahora realizamos la misma operación para crear la IP virtual para la interfaz lan, a
continuación se muestran en la imagen los datos que usaremos para nuestro ejemplo.
Una vez guardada la configuración y aplicada debería quedarnos algo como lo que aparece
en la siguiente imagen.
Como podemos observar en la interfaz wan tenemos el VHID en 1 y en la interfaz lan tenemos
el VHID en 2.
Esta configuración se realizara tanto en el master como en el backup con los mismos datos
en uno y en el otro.
23
Manual pfsense | Pedro José García Moreno
Para hacer esto nos dirigiremos hacia la pestaña firewall y en el menú desplegable
seleccionaremos la opción de rules.
Una vez dentro de las reglas seleccionaremos la opción de SYNC ya que esta es la interfaz
que usamos para el failover y si recordamos SYNC es el nombre que le asignamos en nuestro
ejemplo.
Para empezar a crear la regla que permitirá el tráfico a través de esta interfaz presionamos
cualquiera de los botones add ya que no hay ninguna regla establecida y la que nosotros creemos
será la primera.
24
Manual pfsense | Pedro José García Moreno
Por ultimo guardamos cambios, cuando nos redirigirá hacia el listado de reglas, aplicaremos
los cambios para que tengan efecto inmediato.
25
Manual pfsense | Pedro José García Moreno
26
Manual pfsense | Pedro José García Moreno
Ventana de monitorización
Opcionalmente si queremos tener información del estado en el que se encuentra este servicio
podremos añadir un cuadro que nos proporcionara dicha información.
Para esto nos dirigiremos hacia la pantalla de inicio del cortafuego y haremos clic sobre el
símbolo “+” que aparece en la parte superior a la derecha.
27
Manual pfsense | Pedro José García Moreno
Seguidamente nos aparecerá una lista con todas las ventanas de información que podremos
añadir a la pantalla principal, para el estado del failover seleccionaremos la opción de CARP
Status.
Ahora ya nos aparecerá el cuadro con las interfaces, la dirección IP que tienen y el estado
en el que se encuentra.
Creación de Vlans
Una VLAN (red de área local virtual), es un método para crear redes lógicas independientes
dentro de una misma red física. Varias VLAN pueden coexistir en un único conmutador físico o
en una única red física. Son útiles para reducir el tamaño del dominio de difusión y ayudan en la
administración de la red, separando segmentos lógicos de una red de área local.
28
Manual pfsense | Pedro José García Moreno
Crear Vlan
Para empezar a crear una VLAN nos dirigiremos hacia la pestaña interfaces y en el menú
desplegable seleccionaremos la opción de (assign).
29
Manual pfsense | Pedro José García Moreno
Una vez guardados los cambios volveremos automáticamente al menú anterior y ahora nos
aparecerá la VLAN que acabamos de crear.
Ahora deberemos activar la VLAN, por lo que nos dirigiremos hacia el apartado de Interface
Assignments, como podemos observar aparecerá una línea con un menú desplegable que nos
indica las VLANs que hay para activar.
Una vez seleccionada la VLAN que deseamos, en nuestro ejemplo será la VLAN_1 creada
anteriormente, presionamos el botón de add y nos aparecerá como una interfaz más.
30
Manual pfsense | Pedro José García Moreno
Para configurar la interfaz lógica que contendrá la VLAN haremos clic sobre el nombre de
esta.
31
Manual pfsense | Pedro José García Moreno
Una vez guardados los cambios nos aparecerá un cuadro para aplicar los cambios,
presionaremos el botón de apply changes.
Una vez aplicados los cambios comprobamos que la VLAN aparece en el apartado de
interfaces.
32
Manual pfsense | Pedro José García Moreno
Activar DHCP
Para activar el servidor DHCP en la VLAN nos dirigiremos hacia la pestaña Services y en el
menú desplegable seleccionaremos la opción de DHCP Server.
Una vez dentro de este menú nos dirigiremos hacia el apartado de la VLAN en la que
queramos activar el servidor DHCP, en nuestro ejemplo nos dirigiremos hacia VLAN_1 ya que es
la VLAN creada anteriormente.
33
Manual pfsense | Pedro José García Moreno
Por ultimo guardamos la configuración y ya tendríamos el servidor DHCP activo para esta
VLAN.
34
Manual pfsense | Pedro José García Moreno
Una vez dentro del menú nos dirigiremos hacia el apartado de la VLAN que hemos creado,
en nuestro ejemplo como la hemos llamado VLAN_1 nos aparece un apartado con este nombre.
Como podemos observar todavía no hay ninguna regla establecida en el cortafuego, con lo
cual todo el tráfico será bloqueado, para que esto no ocurra añadiremos una regla que permita
la circulación de todo el tráfico por lo que presionaremos cualquiera de los botones add.
35
Manual pfsense | Pedro José García Moreno
Guardamos los cambios y nos redirigirá al menú anterior pero ahora nos aparecerá la regla
que acabamos de crear y un cuadro para aplicar los cambios.
Para finalizar aplicaremos los cambios y ya tendríamos nuestra VLAN creada y configurada.
36
Manual pfsense | Pedro José García Moreno
Si en un futuro queremos saber si esta activa esta nos aparecerá en el cuadro de interfaces
del menú principal de pfsense, la flecha verde hacia arriba nos indica que esta activa.
Configuración de proxy
Los servidores proxy permiten proteger y mejorar el acceso a las páginas web, al conservarlas
en la caché. De este modo, cuando un navegador envía una petición para acceder a una página
web, que previamente ha sido almacenada en la caché, la respuesta y el tiempo de visualización
es más rápido.
Los servidores proxy aumentan también la seguridad, ya que pueden filtrar cierto contenido
web y programas maliciosos.
37
Manual pfsense | Pedro José García Moreno
Instalación de paquetes
Para poder configurar un servidor proxi en Pfsense deberemos instalar los paquetes
necesarios, en nuestro ejemplo hemos elegido los paquetes de SQUID para nuestro servidor
proxy.
Una vez en este menú comprobamos los paquetes que temenos instalados, para ello nos
dirigimos hacia el apartado de Installed Packages, en nuestro ejemplo comprobamos que no
tenemos paquetes instalados.
38
Manual pfsense | Pedro José García Moreno
Instalaremos los paquetes de squid y squidguard por lo que tendremos que presionar en
el botón de install y esto nos dirigirá hacia el asistente de instalación de cada uno de los
paquetes.
Una vez en el asistente de instalación, que es el apartado de Packager Installer que nos
aparecerá tras pulsar anteriormente en Install, nos preguntara que si es este el paquete que
queremos instalar, presionaremos en Confirm.
39
Manual pfsense | Pedro José García Moreno
Una vez confirmado que este es el paquete que instalaremos comenzara la instalación.
40
Manual pfsense | Pedro José García Moreno
Una vez instalados los dos paquetes estos nos aparecerán en la pestaña de services y
aparecerán tres opciones en el menú desplegable.
Configuración squid
Ahora vamos a configurar un proxi para bloquear las páginas web que introduzcamos, en
nuestro ejemplo bloquearemos la página de marca y la de pordede, para esto nos dirigimos hacia
la pestaña Services y en el menú desplegable seleccionaremos la opción de Squid Proxy
Server.
41
Manual pfsense | Pedro José García Moreno
Una vez dentro del menú de configuración del servidor proxi nos dirigiremos hacia el apartado
de Local Cache y no cambiaremos ninguna opción, solo presionaremos el botón de guardar para
que genere el archivo de cache.
Ahora nos dirigiremos hacia el apartado de General, aquí intruduciremos los siguientes
datos:
42
Manual pfsense | Pedro José García Moreno
Pulsaremos el botón Save que esta al final del formulario de configuración para guardar los
cambios que hemos realizado.
43
Manual pfsense | Pedro José García Moreno
Por ultimo nos dirigiremos al apartado ACLs para indicar las páginas que queremos bloquear.
Para comprobar que funciona correctamente intentamos acceder a cualquiera de las páginas
bloqueadas desde un equipo que este en nuestra red.
44
Manual pfsense | Pedro José García Moreno
Configuración squidguard
Ahora procederemos a configurar un proxi para bloquear listas de páginas web, en nuestro
ejemplo bloquearemos las listas de porno, para realizar esto nos dirigimos hacia la pestaña
Services y en el menú desplegable seleccionaremos la opción de Squidguard Proxy Filter.
Una vez dentro de este menú nos dirigiremos hacia el apartado de General settings y cómo
podremos observar la primera vez que accedemos nos encontraremos que el servicio de squid
guard está detenido.
45
Manual pfsense | Pedro José García Moreno
Enable GUI log: marcaremos esta opción para crear un archivo log con los accesos
a paginas.
Eneble log: marcaremos esta opción para crear un archivo log con las paginas que
se bloquean.
Blacklist: marcaremos esta opción para activar la lista negra de paginas.
Blacklist URL: introduciremos la dirección desde donde obtendremos las listas
negras, en nuestro ejemplo será “http://www.shallalist.de/Downloads/
shallalist.tar.gz”
46
Manual pfsense | Pedro José García Moreno
Si nos dirigimos hacia el apartado de Common ACL podemos observar que solo tenemos
una lista que hace referencia a todo el tráfico que circulara y está configurada para denegarlo.
47
Manual pfsense | Pedro José García Moreno
48
Manual pfsense | Pedro José García Moreno
En nuestro ejemplo bloquearemos las páginas de porno y las de webmail, para esto
seleccionamos en access la opción de deny y en la lista de Default Access [all] seleccionaremos
en access la opción de alloy para permitir el resto del tráfico.
Por ultimo en el final del formulario de configuración pulsaremos el botón de Save para
guardar la configuración.
Para que la configuración actual tenga efecto debemos dirigirnos hacia el apartado de
General settings y aquí presionaremos el botón de Apply para aplicar los cambios.
49
Manual pfsense | Pedro José García Moreno
Para comprobar que funciona correctamente intentamos acceder a cualquiera de las paginas
bloqueadas desde un equipo que este en nuestra red.
50
Manual pfsense | Pedro José García Moreno
Dentro de este menú podemos observar que la primera vez que accedamos no hay ningún
portal creado, para crear uno presionaremos el botón Add.
51
Manual pfsense | Pedro José García Moreno
Una vez hecho esto presionaremos el botón Save situado en la parte inferior del formulario
de configuración para guardar los cambios.
Creación de usuarios
Ahora explicaremos como crear usuarios para el portal cautivo, para crear usuarios nos
dirigiremos hacia la pestaña System y en el menú desplegable seleccionaremos la opción de
User Manager.
En este menú veremos el usuario admin que es con el que hemos accedido hasta ahora para
configurar pfsense, para empezar a crear un usuario presionaremos el botón Add.
52
Manual pfsense | Pedro José García Moreno
Una vez introducidos estos datos pulsaremos el botón Save para guardar los datos de este
usuario.
53
Manual pfsense | Pedro José García Moreno
Para comprobar que funciona correctamente intentamos acceder a cualquier página desde
un equipo que este en nuestra red y nos debería aparecer un formulario preguntándonos el
nombre de usuario y la contraseña.
En este formulario introduciremos los datos del usuario que acabamos de crear y nos
identificaremos.
54
Manual pfsense | Pedro José García Moreno
Y ya podríamos navegar sin tener que volver a identificarse hasta la próxima sesión.
55
Manual pfsense | Pedro José García Moreno
En este menú tenemos dos secciones, la primera es la de Graph Settings que aquí es donde
podremos configurar las opciones de visualización de la gráfica pudiendo elegir la interfaz y los
datos que se mostraran, la segunda parte es la gráfica y los datos sobre los equipos.
Como prueba hemos hecho un test de velocidad en la página Speedtest y hemos obtenido
como resultado que tenemos una velocidad de bajada de 128 Mbps y una velocidad de subida de
25 Mbps.
56
Manual pfsense | Pedro José García Moreno
Crear limitadores
Lo primero será crear los limitadores que usaremos para restringir las conexiones, para esto
nos dirigiremos hacia la pestaña de Firewall y en el menú desplegable seleccionaremos la opción
de Traffic Shaper.
En este menú nos dirigiremos hacia el apartado Limiters y cómo podemos observar la
primera vez que accedemos a este menú no tendremos creado limitadores, para empezar a crear
uno presionaremos el botón de New Limiter.
57
Manual pfsense | Pedro José García Moreno
Guardamos los cambios y nos aparecerá un cuadro para aplicar los cambios, presionamos el
botón Apply Changes para apicarlos.
Una vez aplicados los cambios ya tendremos nuestro limitador de bajada creada y ahora
procederemos a crear el limitador de subida presionando otra vez el botón de New Limiter.
58
Manual pfsense | Pedro José García Moreno
Guardamos los cambios y nos aparecerá un cuadro para aplicar los cambios, presionamos el
botón Apply Changes para apicarlos.
Una vez aplicados los cambios ya tendremos nuestro dos limitadores creador, uno de bajada
y el otro de subida.
Creación de reglas
Para que los limitadores que hemos creado surjan efecto deberemos crear una regla en el
cortafuegos, por lo que nos dirigiremos hacia la pestaña Firewall y en el menú desplegable
seleccionaremos la opción de Rules.
59
Manual pfsense | Pedro José García Moreno
En este menú nos dirigiremos hacia el apartado de LAN ya que queremos que afecte a todos
los equipos que se conecten a nuestra red, por lo tanto si solo quisiéramos que afectara por
ejemplo a una VLAN deberíamos dirigirnos hacia el apartado de la VLAN en concreto a la que
afectaría, y presionamos el botón Add con la flecha hacia arriba.
Ahora nos dirigiremos hacia el final del formulario y en el apartado de Extra Options
presionaremos el botón de Advanced Options.
60
Manual pfsense | Pedro José García Moreno
Una vez que hallamos pulsado el botón podremos observar que aparecen más opciones de
configuración, para la opción de los limitadores nos dirigimos hacia el final del formulario y en la
opción de In/Out pipe pondremos en el cuadro de selección de la izquierda el limitador de
subida y en el cuadro de selección de la derecha seleccionaremos el limitador de bajada.
Por ultimo pulsaremos el botón de Save y nos redirigirá al menú de las reglas, aquí aplicamos
los cambios y ya tendríamos nuestros limitadores funcionando.
Para comprobar que funciona volvemos a hacer un test de velocidad en la página Speedtest
y ahora obtenemos como resultado que tenemos una velocidad de bajada de 4.84 Mbps y una
velocidad de subida de 1.91 Mbps.
61
Manual pfsense | Pedro José García Moreno
62