Menú
ASUS
QNAP
AVM
Aruba
Configuración del router y firewall pfSense (Internet, VLANs, DHCP)
  1. Portada
  2. Tutoriales
  3. Configuracion routers
  4. Configuración del router y firewall pfSense (Internet, VLANs, DHCP)
Configuracion routers

Configuración del router y firewall pfSense (Internet, VLANs, DHCP)

Sergio De Luz
Configuración pfSense

pfSense es un sistema operativo orientado a firewall que también actúa como router profesional, ya que tendremos cientos de opciones de configuración avanzadas, e incluso la posibilidad de instalar software adicional para ampliar aún más sus funcionalidades. Si alguna vez has querido probar pfSense, pero no sabes por dónde emepzar, hoy en RedesZone os vamos a enseñar cómo configurar la conexión a Internet, cómo crear VLANs para segmentar el tráfico, configurar el servidor DHCP con su correspondiente Static DHCP, e incluso configurar el servidor DNS, el UPnP y también a abrir puertos en la NAT (Port forwarding).

Lo primero que tenemos que hacer es entrar en pfSense con la puerta de enlace predeterminada. Por defecto, tenemos dos interfaces con la siguiente configuración:

  • WAN: configurada como DHCP cliente sin VLANs ni ninguna configuración adicional. No se permite acceso a la administración por defecto.
  • LAN: configurada con 192.168.1.1/24 y con DHCP activado. Se permite acceso a la administración por defecto.

Por tanto, para acceder a la administración del firewall y router deberemos poner en la barra de direcciones https://192.168.1.1, el nombre de usuario es «admin» y la clave es «pfsense», así accederemos directamente al menú de configuración vía web, donde podremos ver lo siguiente:

Ahora que ya hemos accedido, vamos a proceder a realizar todas las configuraciones necesarias para la puesta en marcha de la conexión a Internet.

 

Configurar conexión a Internet

pfSense está diseñado para conectarse directamente a Internet y tener la dirección IP pública que nos proporciona el operador, es muy importante tener una IP pública y no estar detrás de CGNAT, de lo contrario, no podremos hacer reenvío de puertos ni acceder remotamente al propio pfSense. En España, es muy habitual que los operadores de FTTH utilicen diferentes VLAN ID para proporcionar su conexión a Internet. En algunas ocasiones, como Movistar / O2, podemos poner el router en monopuesto y configurar únicamente el PPPoE, pero en otras ocasiones como Grupo masmovil, debemos configurar un VLAN ID en la WAN de Internet para que funcione, de lo contrario, no tendremos conexión a Internet.

Si tu operador necesita hacer uso de un VLAN ID, en pfSense debemos seguir los pasos que os detallamos a continuación, si no necesitas VLANs, puedes saltarte este paso:

  • Irnos a «Interfaces / Interface Assignments«, en la pestaña de «VLANs» es donde tendremos que crearlas.
  • Parent Interface: asegurarnos de que elegirmos el puerto asignado a la WAN de Internet, no a la LAN.
  • VLAN Tag: Crear el VLAN ID que se corresponde con la conexión a Internet, en Movistar/O2 es el 6, en Grupo Masmovil indirecto es VLAN ID 20, esto depende de cada operador.
  • VLAN Priority: podemos dejarlo vacío.
  • Descripción: ponemos un nombre descriptivo, por ejemplo, «Internet».

Una vez que hayamos creado al VLAN, tenemos que aplicarla en la WAN de Internet. Volvemos al menú de Interfaces / Interface Assignments y en la sección de WAN, seleccionamos «VLAN 20 on em0», es decir, la VLAN que acabamos de crear. Una vez hecho, pinchamos en «Save» para guardar los cambios.

Ahora tendremos que irnos a «Interfaces / WAN» y realizar la configuración que nos brinda el operador, por ejemplo, Grupo Masmovil hace uso de DHCP, pero Movistar/O2 hace uso de PPPoE. Dependiendo del operador tendremos un tipo de conexión u otro, un nombre de usuario/clave u otro, pero todas las opciones de cara a la WAN están en esta sección. Es muy recomendable marcar las dos casillas de la parte inferior, tanto «Block private networks and loopback addresses» como «Block bogon networks», para meter reglas en el firewall bloqueando estas redes en la WAN de Internet.

Llegados a este punto, ya deberíamos tener conexión a Internet sin problemas, obteniendo la IP pública del operador y los servidores DNS que nos proporcionan a nivel de red.

En el caso de que nuestro operador de Internet no haga uso de VLANs, entonces tendremos que configurar únicamente el protocolo DHCP o PPPoE en la WAN de Internet, sin necesidad de crear VLANs y posteriormente asignarlas al puerto WAN de Internet, tal y como hemos visto. Por ejemplo, Movistar y O2 con sus routers HGU nos permiten configurarlo en modo «monopuesto», es decir, podemos conectar un router detrás del de Movistar/O2 y realizar la configuración PPPoE. En este modo de configuración, el router quita el tag VLAN ID 6 de manera automática, por lo que no es necesario crear una VLAN y asignarla al puerto, por tanto, podremos configurar directamente el PPPoE en esta interfaz. Otros operadores como MasMovil, cuando ponemos el router en modo bridge o usamos la ONT de Nokia si es indirecto con NEBA, sí necesitaremos hacer uso de VLAN ID 20 obligatoriamente, de lo contrario, no podremos acceder a Internet. Dependiendo de cara operador, tendrás que realizar unas configuraciones u otras.

A continuación, os ponemos un resumen rápido de los principales operadores y qué es lo que debes hacer para realizar la configuración de Internet con pfSense o con cualquier router neutro:

  • Movistar/O2: si conectas una ONT externa, tendrás que poner el VLAN ID 6 obligatoriamente. Si usas el modo monopuesto del HGU o el router de Movistar, no tendrás que poner el VLAN ID 6.
  • Masmóvil/Pepephone: si conectas la ONT externa tipo Nokia, o bien pones su router en modo bridge, tendrás que poner el VLAN ID 20 obligatoriamente para que funcione.
  • DIGI: si tienes la modalidad de 500Mbps o 1Gbps con la ONT y el router por separado, tendrás que poner el VLAN ID 20. Si tienes DIGI 10G con el router en modo puente, la configuración para que no de problemas es tener la VLAN ID en el router en modo puente, por lo que no tendrás que poner VLAN ID en el pfSense.

Si usas otro operador diferente, tendrás que mirar si cuando lo pones en modo puente, estás «pasando» el tráfico con la vlan tagged o untagged.

 

Crear VLANs para segmentar tráfico

Las VLANs (Virtual LAN) nos permite separar el tráfico de diferentes redes para aumentar la seguridad de la red, podremos crear varias VLANs para separar las redes y tener diferentes niveles de permisos y accesos en cada red local creada. Una arquitectura de red típica, consiste en tener todas las VLANs creadas en el pfSense, y conectar un cable desde un puerto físico de la LAN hasta un puerto de un switch gestionable en modo trunk, de esta forma, estaremos pasándoles todas las VLANs (con etiqueta) creadas en el switch al pfSense para hacer inter-vlan routing, y también para tener la posibilidad de configurar diferentes reglas.

Esta arquitectura de red se la suele conocer como router-on-stick, y básicamente nso permite pasar todas las VLANs al pfSense con un único cable, sin necesidad de utilizar más cables ni interfaces físicas en el equipo con pfSense. En nuestro caso personal, hacemos uso de un switch gestionable L3 D-Link DGS-3130-30TS para pasarle al pfSense todas las VLANs y que realice el inter-vlan routing, aunque también podríamos hacer el inter-vlan routing directamente en el switch L3 porque lo soporta, pero entonces no dispondríamos de todas las opciones de filtrado del pfSense. Dependiendo de cómo configures tu red y los requisitos que tengas, podrás usar el router-on-stick o realizar el enrutamiento inter-vlan directamente en los switches de core.

Lo primero que tenemos que hacer para crear VLANs en la LAN, es irnos a la sección de «Interfaces / Interface Assignments«.

Una vez aquí, pinchamos en la sección de VLANs para crearlas correctamente, por defecto no tenemos ninguna VLAN creada, tal y como podéis ver a continuación. Debemos recordar que siempre tendremos la VLAN 1 de administración para la parte de la LAN, pero podremos configurar cualquier VLAN y cualquier número de VLANs en la interfaz física sin problemas.

Para crear una nueva VLAN, pinchamos en «Add», y a continuación realizamos los siguientes pasos:

  1. Parent Interface: asegurarnos de que elegirmos el puerto asignado a la LAN (no a la WAN de Internet).
  2. VLAN Tag: Crear el VLAN ID que se corresponde con el del switch.
  3. VLAN Priority: podemos dejarlo vacío.
  4. Descripción: ponemos un nombre descriptivo, por ejemplo, «Gestión».

Lo más importante de estas opciones es que el VLAN Tag se corresponda con el VLAN ID del switch que hayamos utilizado, de lo contrario, no funcionará la comunicación y no podremos recibir los datos de la VLAN.

Podremos crear todas las VLANs que queramos, siempre «colgando» de la interfaz LAN física. Por ejemplo, hemos creado otras dos VLANs adicionales, una VLAN para equipos y otra para invitados. El procedimiento es exactamente el mismo:

Una vez creadas, nos iremos nuevamente a «Interfaces / Interface Assignments«, aquí podremos ver un resumen de las interfaces físicas y del puerto de red. Por defecto, tendremos la WAN de Internet (con o sin VLAN), y también la LAN. Para añadir estas nuevas interfaces a la LAN, simplemente seleccionamos la interfaz «VLAN 2 on em1…» y pinchamos en «Add», y lo mismo con las demás, tal y como podéis ver en las siguientes capturas:

Una vez que las hayamos creado, en el desplegable de «Interfaces» nos aparecerán todas, con el nombre por defecto que son «OPT1», «OPT2» etc. Por defecto, tenemos la interfaz de la LAN activada, con su correspondiente dirección IPv4 privada, tomando como base esta configuración, podremos hacer el resto:

La configuración del resto de interfaces es exactamente igual, tendremos que habilitarla, poner un nombre descriptivo, poner la configuración IPv4 y/o IPv6 correspondiente, guardar cambios y aplicarlos.

Una vez configurada, podremos ver que ahora el nombre se le ha cambiado, tendremos que hacer lo mismo con las demás. Cuando hayamos terminado, en la sección de «Interface Assignments» podremos ver el nombre que le hemos dado a cada una de ellas.

Ahora, cuando conectemos diferentes equipos al switch en una VLAN de acceso en concreto, podremos acceder a esta subred local, pero debemos recordar que el servidor DHCP aún no está activado en estas VLANs recién creadas, es justamente lo siguiente que vamos a configurar.

Si tienes varias VLANs, a través de las reglas de «Firewall» podrás permitir o denegar el tráfico entre las diferentes VLANs, tanto de forma global como de manera individual, con el objetivo de que se adapte a tus necesidades. Una funcionalidad muy útil es la parte de «Aliases», ya que podrás poner a varias direcciones IP un nombre, y con este nombre crear diferentes reglas, además, también podríamos incorporar varias subredes directamente, para así resumir bastante el número de reglas que vas a dar de alta en el firewall.

 

Servidor DHCP de las interfaces LAN

Normalmente cada una de las VLAN tendrán configurado un servidor DHCP. Para hacerlo, nos vamos a la sección de «Services / DHCP Server». Justo debajo tendremos unas pestañas de LAN, gestión, equipos e invitados, las mismas redes que hemos creado anteriormente. Aquí podremos ver la subred a la que pertenece cada interfaz, y qué rango de DHCP les podemos proporcionar como máximo.

Para configurar el servidor DHCP, lo que podemos hacer es poner la misma configuración que la LAN, cambiando únicamente la subred. De esta forma, nos aseguraremos de que todo funciona bien. En estos menús también podremos añadir varios «pools» e incluso definir unos servidores WINS y DNS, también tendremos opciones de configuración avanzadas que tenemos justo en la parte inferior.

Las opciones de configuración del resto de redes que acabamos de crear son exactamente las mismas que en la LAN, lo que sí debemos tener en cuenta es poner un rango dentro de la misma subred, y que tengan suficientes hosts para que la red funcione correctamente.

 

Static DHCP

El static DHCP es la funcionalidad de un servidor DHCP que nos permite proporcionar la misma IP privada a la misma tarjeta de red. Poniendo la dirección MAC de la tarjeta de red y la IP privada que queramos que tenga, el servidor DHCP le brindará siempre la misma. En esta sección lo único que tendremos que rellenar es lo siguiente:

  1. MAC Address
  2. IP Address
  3. Hostname: para darle un nombre y acceder vía dominio a él.
  4. Descripción: un nombre descriptivo
  5. Pinchar en «Create an ARP Table Static» para enlazar la IP y MAC.

A continuación, tenemos la posibilidad de definir servidores WINS y DNS, así como otros parámetros. Si lo dejamos todo en blanco, automáticamente va a heredar la configuración del «pool» principal, por lo que no tenemos de qué preocuparnos.

A continuación, podéis ver cómo hacerlo con nuestra MAC de un PC y la IP que queramos, faltaría por poner el hostname y una descripción.

Personalmente, siempre es recomendable poner una dirección IP fija cuando tenemos un dispositivo que es «estático», como un servidor NAS, una impresora o cualquier otro dispositivo que siempre queramos que tenga la misma dirección IP. De esta forma, podrás localizarle en la red a través de la misma dirección IP de siempre, algo totalmente necesario si vas a compartir archivos o carpetas con ese equipo en cuestión.

 

Configurar los servidores DNS y el DNS Resolver

Para configurar los servidores DNS, nos tenemos que meter en «System / General Setup«, aquí deberemos incorporar los servidores DNS que nosotros queramos, uno por uno, por defecto se encuentra un servidor DNS pero podremos añadir un secundario. Además, podremos poner el hostname del servidor DNS para la verificación TLS, siempre que queramos tener DNS over TLS en nuestro pfSense.

Lo más importante viene en la sección de «Service / DNS Resolver», aquí lo habilitamos y permitimos que los clientes nos envíen queries, aunque lo normal es que los clientes envíen las queries a través del puerto 53 siempre, sin SSL/TLS a no ser que tengamos un cliente instalado. El resto de opciones de configuración son para definir dónde «escuchar» las peticiones de los clientes, en «Network interfaces» elegimos solamente las que nosotros queramos, la LAN, gestión, equipos, invitados y la «localhost» para que el propio pfSense se pregunte a sí mismo sobre los DNS.

También tendremos que definir la interfaz de salida, en este caso la WAN. El resto de opciones son las de habilitar soporte para DNSSEC, habilitar el módulo de python que es nuevo en pfSense, y otras opciones avanzadas. Lo normal es tener la opción de «DNS Query Forwarding» desactivado, para que sea el propio servidor DNS de pfSense quien resuelva las consultas, y posteriormente usar los DNS que nosotros pongamos.

En la sección de «opciones avanzadas» tenemos la posibilidad de configurar el DNS over TLS, podremos hacerlo añadiendo estas reglas:

server:
forward-zone:
name: "."
forward-ssl-upstream: yes
forward-addr: 1.1.1.1@853
forward-addr: 8.8.8.8@853

Luego tenemos otras opciones en las demás pestañas del DNS resolver, en principio no deberíamos tocarlas, pero nos permitirán configurar opciones muy avanzadas relacionadas con el servidor DNS, y también crear listas de control de acceso para usar o no el DNS resolver.

Una alternativa bastante interesante al servidor DNS incorporado por defecto, es usar AdGuard Home que se puede instalar de forma nativa en pfSense a través de la línea de comandos, de esta manera, este AdGuard Home actuará como servidor DNS de todos los clientes, con el objetivo de filtrar todas las peticiones que nosotros queramos.

 

Configurar UPnP y NAT-PMP con seguridad

El UPnP es un protocolo que nos permite abrir puertos en el firewall y router pfSense de forma automática, cuando un cliente solicite dicha apertura. Esto es un riesgo para la seguridad de la red, porque es posible que una determinada aplicación abra un puerto que nosotros no hemos solicitado. De cara a la seguridad, lo mejor que se puede hacer es deshabilitar siempre el protocolo UPnP y NAT-PMP.

En caso de que tengas que activarlo sí o sí, es recomendable solamente hacerlo en las direcciones IP privadas que se necesiten, y no en toda la red, con el objetivo de proteger el resto de dispositivos que están conectados.

 

Abrir puertos en la NAT (Port forwarding)

Cuando estamos en un entorno NAT, es posible que necesites abrir puertos para acceder desde el exterior a determinados servicios. Si tienes un servidor NAS con un servidor FTP, VPN o SSH, y quieres acceder desde el exterior a todos estos servicios, deberás abrir diferentes puertos en la NAT para permitir iniciar la conexión. Si abres puertos en la NAT, pero tienes el CG-NAT de tu operador, de nada te va a servir.

Para abrir la NAT, lo primero que tenemos que hacer es irnos a la sección de «Firewall / NAT», y en la pestaña de «Port forward» crear una nueva regla.

En este menú tendremos diferentes opciones de configuración, pero básicamente lo que deberemos rellenar es lo siguiente:

  • Interface: WAN
  • Address Family: IPv4
  • Protocol: elegimos el protocolo, en el ejemplo es TCP
  • Source: vacío
  • Destination: WAN Address
  • Destination Port Range: Tenemos que configurar un rango de puertos o solamente uno, si queremos un rango de puertos, en el «From» ponemos un puerto, por ejemplo el 60000, y en el «To» ponemos el puerto final, el 61000. En el ejemplo hemos abierto el puerto 51400.
  • Redirect target IP: type Single host, Address la dirección IP privada a la que quieres abrir el puerto
  • Redirect target port: debe ser el mismo puerto que en «Destination Port Range». Esta función, nos permite que de cara a la WAN tengamos abierto el 51400, pero de cara interno podamos «modificarlo» al vuelo y usar el 51500, por ejemplo.

En las siguientes capturas podéis ver cómo hacerlo:

pfSense nos permite utilizar una gran cantidad de protocolos, TCP, UDP, ambos, ICMP y muchos otros. Lo más normal es abrir puertos TCP o UDP, pero también podremos abrir muchos más tipos de protocolos.

Una vez que lo hayamos configurado, lo veremos en la tabla de «Firewall / NAT / Port Forward«, también debemos asegurarnos que la NAT está realizada correctamente, en «Outbound» lo podremos verificar. Ahora mismo estaremos «nateando» todas las subredes creadas. Por último, debemos comprobar que en «Firewall / Rules» y en la pestaña WAN está la regla que hemos creado en la NAT, es muy importante el orden de esta regla, si, por ejemplo, tenemos un «denegar todo» arriba después de las reglas de permiso, esta nueva regla se colocará abajo del todo, y debemos reordenarla.

Debemos recordar que las reglas se analizan en serie, desde arriba hacia abajo, si ponemos una regla muy general arriba, y abajo las más específicas, estas últimas nunca se van a satisfacer, porque anteriormente se ha cumplido una regla más general.

 

Configurar reglas en el firewall

Las reglas que creamos en el firewall de pfSense es la parte más importante para segmentar correctamente la red, y permitir o denegar cierto tráfico de red que fluye por las diferentes interfaces físicas y lógicas que hemos creado. En la sección de «Firewall / Rules» podremos ver diferentes pestañas para crear reglas en las diferentes interfaces, nosotros tenemos un total de cinco interfaces ahora mismo: WAN, LAN, Gestión, Equipos, Invitados.

Tenemos una pestaña adicional llamada «Floating», estas son unas reglas especiales que afectan a una o varias interfaces, y que se colocan por encima de las reglas que vamos a definir específicamente en cada una de las interfaces. Es decir, las reglas que tengamos en «Floating», si afectan a una interfaz, se verificarán antes que las reglas que vamos a definir a específicamente en la interfaz. Estas reglas de «Floating» se pueden activar en las direcciones de entrada, salida o ambas, el uso de filtrado de entrada y salida podría ser más complejo, por lo que deberás revisarlas bien antes de aplicarlas. Para ciertas aplicaciones, las «Floating Rules» son muy útiles, como para pfblocker-ng, aunque normalmente estas reglas «Floating» no se usarán.

En la sección de «Firewall / Rules / WAN» podremos ver dos reglas predefinidas, las cuales se activan al bloquear las «private networks» y «bogon networks», tal y como os hemos explicado anteriormente. La tercera regla es la de apertura de puertos que hemos realizado.

En la LAN también tenemos unas reglas predefinidas, básicamente tendremos una regla que nos impide bloquearnos a nosotros mismos para acceder a la interfaz web de administración del pfSense, si tuviéramos el servidor SSH activado, también se incorporaría aquí una regla para permitir acceso al puerto de SSH. A continuación, tenemos permiso para acceder a cualquier lugar desde la LAN, tanto con IPv4 como con IPv6.

Debemos recordar que las reglas se verifican desde arriba hacia abajo, si en la parte superior ponemos un «bloquear todo», automáticamente nos quedaremos sin conexión.

El resto de redes que hemos configurado con su correspondiente VLAN, están totalmente vacías. Si estás vacías, eso significa que tenemos un denegar todo de manera implícita, es decir, tendremos que incorporar una regla de permitir para dejar pasar el tráfico de red.

La interfaz gráfica de usuario para crear una regla es la misma para todas las interfaces, en la parte superior podremos configurar diferentes aspectos de esta regla que vamos a crear desde cero:

  • Action: si queremos permitir (pass) el tráfico, bloquearlo (block), o rechazarlo (reject). Es lo primero que deberemos definir, en caso de aplicar esta regla y que se verifique, el firewall actuará en consecuencia.
  • Disabled: permite deshabilitar una regla creada, esto no se debería tocar si queremos que la regla funcione.
  • Interface: elegimos la interfaz física o lógica donde queremos aplicar esta regla.
  • Address Family: seleccionamos el protocolo IPv4, IPv6 o ambos.
  • Protocol: aquí tendremos una lista de todos los protocolos que podremos permitir o bloquear, como TCP, UDP, TCP y UDP, ESP, OSPF y mucho más.

En la siguiente galería se pueden ver todas las opciones para interface, address family y también para protocol.

Una vez que hayamos definido lo anterior, ahora tendremos que seleccionar el origen del tráfico (Source). En este caso podremos elegir cualquier origen (any), o definir un origen en concreto para una subred específica, un host individual o un alias (posteriormente os explicaremos qué es esto). También podremos elegir como origen a clietnes PPPoE, clientes L2TP, o directamente una red o dirección IP de la interfaz creada.

Exactamente las mismas opciones de configuración tendremos en la sección de «Destination», podremos elegir cualquiera, un host individual, alias, o las diferentes redes que tenemos disponibles.

Si pinchamos en la sección de «Source» en «Display Advanced» podremos ver que también tenemos la posibilidad de filtrar por origen de los puertos, proporcionando un único puerto un rango de puertos.

Si en la sección de «Protocol» elegimos el protocolo TCP u otro, y pinchamos en «Extra options / Advanced Options / Display Advanced» podremos ver las opciones avanzadas de este protocolo en concreto, para filtrarlo todo en detalle.

Una vez que hayamos rellenado todo, tendremos que pinchar en «Save», y posteriormente en «Aplicar cambios» en el pfSense, ya que nos saldrá un botón en color verde.

 

Aliases

Las aliases son muy útiles para proporcionar un nombre a un conjunto de direcciones IP, subredes o puertos. Esto es ideal para que, con una sola regla en el firewall, poder bloquear varias direcciones IP automáticamente, sin tener que crear 50 o más reglas para bloquear todas las direcciones IP.

En la sección de «Firewall / Aliases» podremos ver la interfaz gráfica de usuario, tendremos la posibilidad de añadir IP (hosts o redes), y también puertos. Además, en al sección de URL podremos introducir la dirección a un archivo de texto para realizar al descarga automática en el pfSense de cientos o miles de direcciones IP, redes y puertos.

Imaginemos que queremos crear un alias llamado «Ip bloquear», con un listado de direcciones IP que posteriormente queremos bloquear en el firewall. Entramos en la sección de «IP», pinchamos en «add», le damos un nombre, descripción y también un tipo. A continuación, justo debajo vamos introduciendo una a una las diferentes direcciones IP, además, podremos darle una descripción «Ordenador de pepe», para saber a qué equipo se corresponde esa IP. Una vez creado, nos aparecerá en el listado de aliases IP:

Lo mismo ocurre con los puertos, podremos crear un aliases para «bloquear puertos», y definir uno o varios puertos que posteriormente bloquearemos en el firewall.

La interfaz gráfica de usuario de URL sería de la siguiente forma, y deberemos elegir el tipo que sea, IPs o puertos.

Una vez que tengamos el aliases creado, basta con irnos a la sección de «Firewall», y podremos cargarla en origen y/o destino, elegimos la opción de «Single host or alias», y justo a la derecha escribimos el nombre del aliases que hemos creado, automáticamente lo reconocerá y nos saldrá un listado de aliases que empiezan por la misma letra que hemos introducido. Y lo mismo ocurre si vamos a configurar puertos, pero aquí tendremos que ponerlo en la sección de puertos de origen y/o destino.

 

Características de pfSense

Para empezar, la finalidad principal del software pfSense se basa en ofrecer seguridad tanto a entornos domésticos como empresariales. Por lo tanto, su función es la de actuar de firewall, aunque lo cierto es que se puede utilizar como router principales. Y todo porque cuenta con una serie de opciones de configuración más avanzadas con las que ajustar esto.

Además, hay que tener en cuenta que ofrece la opción de instalar software extra con el objetivo de poner, por ejemplo, una potente IDS/IPS, es decir, un sistema de detección y prevención de intrusos como puede ser el caso de Snort.

Por otro lado, como veremos con más detalle, una de las características por las que utilizar este programa de código abierto es porque permite a los usuarios tener distintas actualizaciones constantes con el paso del tiempo. Por lo que es un aspecto que se agradece y vital cuando se trata de una aplicación que permite a las personas tener un cortafuegos de calidad en su PC.

 

Implementar pfSense

Como has podido ver, pfSense no es una herramienta que sea muy complicada de configurar. Y esto es algo que podemos dirigir al sector empresarial, mejorando la seguridad y el rendimiento de la red de forma significativa. Pero esta implementación, requiere de un proceso previo el cual nos ayudará a que todo funcione correctamente. Y a la vez, repercute en el ahorro de tiempo y dinero.

  • Planificación: Esto es algo necesario siempre y cuando necesitemos implementar algo nuevo en una empresa. Planificar y diseñar el entorno de red, es un paso clave en todo el proceso. Esto incluye planificar los requisitos que vamos a tener de hardware, topología de la red y ubicación de los dispositivos pfSense. También tendremos que tener en consideración la seguridad y las políticas de acceso a las redes, para estar seguros de que este nuevo sistema cumple con todos los requisitos de seguridad.
  • Hardware: Una vez tenemos todo planificado, tendremos que realizar la instalación del hardware que será necesario para ejecutar pfSense. Esto tiene en cuanta los servidores, equipos dedicados para ejecutarlo, y todos los dispositivos de red. Como los switches y los routers.
  • Software: Una vez el hardware está listo, tendremos que pasar al apartado del software. Donde procederemos con la instalación y configuración de pfSense en los dispositivos. Esto tiene varios subprocesos, que van desde la descarga de la imagen de pfSense, grabarla en los dispositivos necesarios, y configurar los softwares mediante paquetes de arranque.
  • Configuración: Una vez tenemos todo instalado, es el turno de la configuración de todos los dispositivos. En este paso es donde tendremos que cuenta la configuración de las direcciones IP, asignación de subredes y configuración de routers y switches. Acto seguido, tendremos que establecer todas las políticas de seguridad y privacidad que vamos a incorporar.
  • Pruebas y monitorización: Previamente a sacar cualquier servicio al uso cotidiano, tendremos que ver que todo funciona de la forma correcta. Esto se hace monitorizando todos los sistemas, mientras se ejecutan pruebas que puedan darse en el día a día con equipos de respaldo o dedicados a tal efecto.
  • Mantenimiento: Por último, es importante tener claro que una vez todo está funcionando, tendremos que hacer algunas labores de mantenimiento. Como realizar actualizaciones periódicas o la verificación de que todo funciona como debe hacerlo. Lo bueno de este software en particular es que se puede disfrutar de actualizaciones continuas, por lo que el mantenimiento del programa no resulta tan complicado. Al igual que permite instalar otros paquetes de manera adicional.

Además de que todos estos puntos se dan a la hora de implementar esta opción en una empresa, y todo con el fin de mejorar tanto la seguridad como la administración de la red. Aunque, sin duda alguna, también es de gran ayuda para una red doméstica.

 

Pros y contras de pfSense

Este software es lo que podríamos llamar hoy una especie de ciberseguridad evolucionada ya que está basado en protección avanzada de endpoint y seguridad de redes totalmente sincronizados en tiempo real. Es excelente para implementarla en la protección tanto a nivel de hogar como pequeños negocios o pymes y también las empresas y los gobiernos de los ataques cibernéticos avanzados. Tiene un conjunto de herramientas robustas, de calidad comercial y con todas las funciones para los protocolos Transport Layer Security (TLS) y Secure Sockets Layer (SSL) y además es una biblioteca de criptografía de propósito general.

Aunque sin lugar a dudas una de sus mejores ventajas es que los plugins y complementos que pueden integrarse, muchos de ellos son gratuitos, aunque también los podemos encontrar de pago, de esta manera, podremos realizar pruebas internas en nuestra red y simular cualquier tipo de ataque y ver si las defensas que tenemos configuradas son lo suficientemente eficaces. Podremos monitorizar nuestra red de forma remota y ver si hay algún tipo de fallo de seguridad o brecha y ver dónde se encuentra la misma, por ejemplo, muchos ataques suelen darse a través de los puertos de las impresoras, si se nos ha olvidado cerrar alguno, podremos saberlo al momento y tomar cartas en el asunto.

También tiene sus lados negativos, como cualquier producto o software, por ejemplo, no todos los usuarios están acostumbrados a este tipo de interfaces, donde tienes que colocar toda la configuración necesaria de manera manual y este es uno de los aspectos en el que podría mejorar y del que más hemos observado quejas o comentarios solicitando una GUI que sea más “user friendly”. Otro aspecto del que hemos visto alguna queja es que tanto a nivel de documentación como a nivel de soporte se quedan un poco cortos y si tenemos poca experiencia tendremos que pasar mucho tiempo aprendiendo a utilizarlo, cosa que estaría más o menos cubierta con un poco más de documentación o de soporte por su parte.

Por lo cual estamos ante un sistema que es muy versátil. Al ser de código abierto y basado en FreeBSD, ofrece una gran gama de funciones y diferentes capacidades. Donde también influye la capacidad para realizar las funciones de firewall, enrutador, balanceador de carga, servidor VPN y muchos más usos que se le puede dar. Todo esto, permite que sea adaptable a muchos escenarios diferentes, donde incluso los requisitos pueden ser muy concretos y especiales. Pero toda esta compatibilidad, no sería posible sin la capacidad de personalización del mismo. La gran variedad de paquetes y complementos que ofrecen, permiten aumentar las funcionalidades en función de las necesidades de cada cliente.

El poder mantener toda esta gestión de forma centralizada, es algo que facilita mucho las cosas a los administradores. La monitorización de la red se vuelve mucho más eficiente, donde se puede ahorrar tiempo y esfuerzo. Sobre todo, si realizamos la comparación con la gestión más individualizada en cada uno de los dispositivos cómo se mantienen en muchas organizaciones. Esto último es más inseguro incluso. Al disponer de todo centralizado, aumentamos la seguridad. Esto se debe a que, entre todas esas características, también se incluyen componentes de seguridad. Desde el filtrado de paquetes, a la prevención de intrusiones, pero donde también nos podemos hacer con opciones de configuración mucho más avanzadas.

Y por último una de las grandes ventajas, y en muchos casos muy importante. El costo de todo este sistema. En este caso no tenemos costo por parte de licencias con pfSense. Por lo cual es una solución tremendamente atractiva para muchas organizaciones, ya que por lo general si buscamos algo donde sea necesaria una licencia, suelen ser muy caras. Al estar destinados a sectores profesionales, es común que las marcas establezcan precios personalizados para cada caso, lo cual también puede ser un problema.

Tal y como habéis visto, utilizar pfSense como router y firewall en nuestra casa es realmente fácil y rápido, es un sistema operativo muy profesional y completo, pero con esta guía de puesta en marcha estamos seguros que podéis empezar con una buena base de cómo configurarlo.

¡Sé el primero en comentar!
Logo redeszone.net
Navega gratis con cookies…

Navegar por testdevelocidad.es con publicidad personalizada, seguimiento y cookies de forma gratuita. i

Para ello, nosotros y nuestros socios i necesitamos tu consentimiento i para el tratamiento de datos personales i para los siguientes fines:

Las cookies, los identificadores de dispositivos o los identificadores online de similares características (p. ej., los identificadores basados en inicio de sesión, los identificadores asignados aleatoriamente, los identificadores basados en la red), junto con otra información (p. ej., la información y el tipo del navegador, el idioma, el tamaño de la pantalla, las tecnologías compatibles, etc.), pueden almacenarse o leerse en tu dispositivo a fin de reconocerlo siempre que se conecte a una aplicación o a una página web para una o varias de los finalidades que se recogen en el presente texto.

La mayoría de las finalidades que se explican en este texto dependen del almacenamiento o del acceso a la información de tu dispositivo cuando utilizas una aplicación o visitas una página web. Por ejemplo, es posible que un proveedor o un editor/medio de comunicación necesiten almacenar una cookie en tu dispositivo la primera vez que visite una página web a fin de poder reconocer tu dispositivo las próximas veces que vuelva a visitarla (accediendo a esta cookie cada vez que lo haga).

La publicidad y el contenido pueden personalizarse basándose en tu perfil. Tu actividad en este servicio puede utilizarse para crear o mejorar un perfil sobre tu persona para recibir publicidad o contenido personalizados. El rendimiento de la publicidad y del contenido puede medirse. Los informes pueden generarse en función de tu actividad y la de otros usuarios. Tu actividad en este servicio puede ayudar a desarrollar y mejorar productos y servicios.

La publicidad que se presenta en este servicio puede basarse en datos limitados, tales como la página web o la aplicación que esté utilizando, tu ubicación no precisa, el tipo de dispositivo o el contenido con el que está interactuando (o con el que ha interactuado) (por ejemplo, para limitar el número de veces que se presenta un anuncio concreto).

  • Un fabricante de automóviles quiere promocionar sus vehículos eléctricos a los usuarios respetuosos con el medioambiente que viven en la ciudad fuera del horario laboral. La publicidad se presenta en una página con contenido relacionado (como un artículo sobre medidas contra el cambio climático) después de las 18:30 h a los usuarios cuya ubicación no precisa sugiera que se encuentran en una zona urbana.
  • Un importante fabricante de acuarelas quiere realizar una campaña publicitaria en Internet para dar a conocer su última gama de acuarelas con la finalidad de llegar tanto a artistas aficionados como a profesionales y, a su vez, se evite mostrar el anuncio junto a otro contenido no relacionado (por ejemplo, artículos sobre cómo pintar una casa). Se detectará y limitará el número de veces que se ha presentado el anuncio a fin de no mostrarlo demasiadas veces.

La información sobre tu actividad en este servicio (por ejemplo, los formularios que rellenes, el contenido que estás consumiendo) puede almacenarse y combinarse con otra información que se tenga sobre tu persona o sobre usuarios similares(por ejemplo, información sobre tu actividad previa en este servicio y en otras páginas web o aplicaciones). Posteriormente, esto se utilizará para crear o mejorar un perfil sobre tu persona (que podría incluir posibles intereses y aspectos personales). Tu perfil puede utilizarse (también en un momento posterior) para mostrarte publicidad que pueda parecerte más relevante en función de tus posibles intereses, ya sea por parte nuestra o de terceros.

  • En una plataforma de redes sociales has leído varios artículos sobre cómo construir una casa en un árbol Esta información podría añadirse a un perfil determinado para indicar tuinterés en el contenido relacionado con la naturaleza, así como en los tutoriales de bricolaje (con el objetivo de permitir la personalización del contenido, de modo que en el futuro, por ejemplo, se te muestren más publicaciones de blogs y artículos sobre casas en árboles y cabañas de madera).
  • Has visualizado tres vídeos sobre la exploración espacial en diferentes aplicaciones de televisión. Una plataforma de noticias sin relación con las anteriores y con la que no has tenido contacto en el pasado crea un perfil basado en esa conducta de visualización marcando la exploración del espacio como un tema de tu posible interés para para otros vídeos.

El contenido que se te presenta en este servicio puede basarse en un perfilde personalización de contenido que se haya realizado previamente sobre tu persona, lo que puede reflejar tu actividad en este u otros servicios (por ejemplo, los formularios con los que interactúas o el contenido que visualizas), tus posibles intereses y aspectos personales. Un ejemplo de lo anterior sería la adaptación del orden en el que se te presenta el contenido, para que así te resulte más sencillo encontrar el contenido (no publicitario) que coincida con tus intereses.

  • Has leído unos artículos sobre comida vegetariana en una plataforma de redes sociales. Posteriormente has usado una aplicación de cocina de una empresa sin relación con la anterior plataforma. El perfil que se ha creado sobre tu persona en la plataforma de redes sociales se utilizará para mostrarte recetas vegetarianas en la pantalla de bienvenida de la aplicación de cocina.
  • Has visualizado tres vídeos sobre remo en páginas web diferentes. Una plataforma de video, no relacionada con la página web en la que has visualizado los vídeos sobre remo, pero basandose en el perfil creado cuando visistaste dicha web, podrá recomendarte otros 5 vídeos sobre remo cuando utilices la plataforma de video a través de tu televisor .

La información sobre qué publicidad se te presenta y sobre la forma en que interactúas con ella puede utilizarse para determinar lo bien que ha funcionado un anuncio en tu caso o en el de otros usuarios y si se han alcanzado los objetivos publicitarios. Por ejemplo, si has visualizado un anuncio, si has hecho clic sobre el mismo, si eso te ha llevado posteriormente a comprar un producto o a visitar una página web, etc. Esto resulta muy útil para comprender la relevancia de las campañas publicitarias./p>

  • Has hecho clic en un anuncio en una página web/medio de comunicación sobre descuentos realizados por una tienda online con motivo del “Black Friday” online y posteriormente has comprado un producto. Ese clic que has hecho estará vinculado a esa compra. Tu interacción y la de otros usuarios se medirán para saber el número de clics en el anuncio que han terminado en compra.
  • Usted es una de las pocas personas que ha hecho clic en un anuncio que promociona un descuento por el “Día de la madre”de una tienda de regalos en Internet dentro de la aplicación de una web/medio de comunicación. El medio de comunicación quiere contar con informes para comprender con qué frecuencia usted y otros usuarios han visualizado o han hecho clic en un anuncio determinado dentro de la aplicación y, en particular, en el anuncio del “Día de la madre” para así ayudar al medio de comunicación y a sus socios (por ejemplo, las agencias de publicidad) a optimizar la ubicación de los anuncios.

La información sobre qué contenido se te presenta y sobre la forma en que interactúas con él puede utilizarse para determinar, por ejemplo, si el contenido (no publicitario) ha llegado a su público previsto y ha coincidido con sus intereses. Por ejemplo, si hasleído un artículo, si has visualizado un vídeo, si has escuchado un “pódcast” o si has consultado la descripción de un producto, cuánto tiempo has pasado en esos servicios y en las páginas web que has visitado, etc. Esto resulta muy útil para comprender la relevancia del contenido (no publicitario) que se te muestra.

  • Has leído una publicación en un blog sobre senderismo desde la aplicación móvil de un editor/medio de comunicación y has seguido un enlace a una publicación recomendada y relacionada con esa publicación. Tus interacciones se registrarán para indicar que la publicación inicial sobre senderismo te ha resultado útil y que la misma ha tenido éxito a la hora de ganarse tu interés en la publicación relacionada. Esto se medirá para saber si deben publicarse más contenidos sobre senderismo en el futuro y para saber dónde emplazarlos en la pantalla de inicio de la aplicación móvil.
  • Se te ha presentado un vídeo sobre tendencias de moda, pero tu y otros usuarios habéis dejado de visualizarlo transcurridos unos 30 segundos. Esta información se utilizará para valorar la duración óptima de los futuros vídeos sobre tendencias de moda.

Se pueden generar informes basados en la combinación de conjuntos de datos (como perfiles de usuario, estadísticas, estudios de mercado, datos analíticos) respecto a tus interacciones y las de otros usuarios con el contenido publicitario (o no publicitario) para identificar las características comunes (por ejemplo, para determinar qué público objetivo es más receptivo a una campaña publicitaria o a ciertos contenidos).

  • El propietario de una librería que opera en Internet quiere contar con informes comerciales que muestren la proporción de visitantes que han visitado su página y se han ido sin comprar nada o que han consultado y comprado la última autobiografía publicada, así como la edad media y la distribución de género para cada uno de los dos grupos de visitantes. Posteriormente, los datos relacionados con la navegación que realizas en su página y sobre tus características personales se utilizan y combinan con otros datos para crear estas estadísticas.
  • Un anunciante quiere tener una mayor comprensión del tipo de público que interactúa con sus anuncios. Por ello, acude a un instituto de investigación con el fin de comparar las características de los usuarios que han interactuado con el anuncio con los atributos típicos de usuarios de plataformas similares en diferentes dispositivos. Esta comparación revela al anunciante que su público publicitario está accediendo principalmente a los anuncios a través de dispositivos móviles y que es probable que su rango de edad se encuentre entre los 45 y los 60 años.

La información sobre tu actividad en este servicio, como tu interacción con los anuncios o con el contenido, puede resultar muy útil para mejorar productos y servicios, así como para crear otros nuevos en base a las interacciones de los usuarios, el tipo de audiencia, etc. Esta finalidad específica no incluye el desarrollo ni la mejora de los perfiles de usuario y de identificadores.

  • Una plataforma tecnológica que opera con un proveedor de redes sociales observa un crecimiento en los usuarios de aplicaciones móviles y se da cuenta de que, en funciónde sus perfiles, muchos de ellos se conectan a través de conexiones móviles. La plataforma utiliza una tecnología nueva para mostrar anuncios con un formato óptimo para los dispositivos móviles y con un ancho de banda bajo a fin de mejorar su rendimiento.
  • Un anunciante está buscando una forma de mostrar anuncios en un nuevo tipo de dispositivo. El anunciante recopila información sobre la forma en que los usuarios interactúan con este nuevo tipo de dispositivo con el fin de determinar si puede crear un nuevo mecanismo para mostrar la publicidad en ese tipo de dispositivo.

El contenido que se presenta en este servicio puede basarse en datos limitados, como por ejemplo la página web o la aplicación que esté utilizando, tu ubicación no precisa, el tipo de dispositivo o el contenido con el que estás interactuando (o con el que has interactuado) (por ejemplo, para limitar el número de veces que se te presenta un vídeo o un artículo en concreto).

  • Una revista de viajes, para mejorar las experiencias de viaje en el extranjero, ha publicado en su página web un artículo sobre nuevos cursos que ofrece una escuela de idiomas por Internet. Las publicaciones del blog de la escuela se insertan directamente en la parte inferior de la página y se seleccionan en función de la ubicación no precisa del usuario (por ejemplo, publicaciones del blog que explican el plan de estudios del curso para idiomas diferentes al del país en el que este te encuentras).
  • Una aplicación móvil de noticias deportivas ha iniciado una nueva sección de artículos sobre los últimos partidos de fútbol. Cada artículo incluye vídeos alojados por una plataforma de streaming independiente que muestra los aspectos destacados de cada partido. Si adelantas un vídeo, esta información puede utilizarse para determinar que el siguiente vídeo a reproducir sea de menor duración.

Se puede utilizar la localización geográfica precisa y la información sobre las características del dispositivo

Al contar con tu aprobación, tu ubicación exacta (dentro de un radio inferior a 500 metros) podrá utilizarse para apoyar las finalidades que se explican en este documento.

Con tu aceptación, se pueden solicitar y utilizar ciertas características específicas de tu dispositivo para distinguirlo de otros (por ejemplo, las fuentes o complementos instalados y la resolución de su pantalla) en apoyo de las finalidades que se explican en este documento.

Elección de cookies
O sin cookies desde 1,67€ al mes

Por solo 1,67€ al mes, disfruta de una navegación sin interrupciones por toda la red del Grupo ADSLZone: adslzone.net, movilzona.es, testdevelocidad.es, lamanzanamordida.net, hardzone.es, softzone.es, redeszone.net, topesdegama.com y más. Al unirte a nuestra comunidad, no solo estarás apoyando nuestro trabajo, sino que también te beneficiarás de una experiencia online sin cookies.

Suscribirme desde 1,67€ al mes
Consulta nuestra Política de Privacidad.