Cortafuegos con pfSense · Cortafuegos con pfSense Rafael García Rodríguez | Seguridad y Alta...

Cortafuegos con pfSense Rafael García Rodríguez Seguridad y Alta Disponibilidad | 2 ASIR | IES Polígono Sur

2015

Rafa Luffi

01/01/2015

Cortafuegos con pfSense

Rafael García Rodríguez | Seguridad y Alta Disponibilidad Página 1


Dada la siguiente estructura de red:

Monta el escenario mediante máquinas virtuales.

Para la realización de la actividad vamos a usar tres máquinas virtuales, una para pfSense, otra

para WXP, que será un Windows XP, y otra para SWEB, que será un Ubuntu Server.

NOTA: Debido a una equivocación con otras máquinas virtuales de pfSense, de WXP y de

SWEB, cambié la las IPs de estas a 10.0.2.0/24 y 10.0.0.0/24, respectivamente, en un momento

determinado realizando en segunda y tercera fase la actividad.



Las máquinas virtuales de WXP y SWEB tendrán solo una interfaz cada una, estableciendo la

configuración de red como Red Interna. Y la máquina virtual de pfSense la configuraremos con tres

interfaces, dos en Red Interna y otra en Adaptador Puente:

Encendemos las máquinas virtuales.



Cuando arranque la máquina virtual de pfSense establecemos la IP de la LAN para poder acceder a

través del navegador de esta (Set interface(s) IP address):

Establecemos las IPs de WXP y SWEB

WXP

Hemos de desconectar el cortafuegos, y ya podemos acceder a la interfaz gráfica de pfsense desde

la LAN:



Importante: hay que tener en cuenta si la conexión a la WAN se hace a través de wifi o de

ethernet, hay que configurarlo en Preferencias de la máquina virtual de pfSense.

SWEB

Hay que configurar la WAN desde el navegador de WXP:

Guardamos y aplicamos cambios.



Comprobamos cómo quedaría en pfSense:

Vamos a crear la regla en WAN para poder acceder a pfSense desde esta, habilitando los puertos

80 y 443 (http y https, respectivamente) en Firewall/Rules desde el navegador de WXP:

Y ya podemos acceder desde la WAN:



Realiza la configuración del cortafuegos con pfSense con la siguientes reglas:

1.- Cualquier equipo de la red LAN puede realizar ping al interfaz LAN del pfSense.

Nos situamos en Interfaces>LAN y establecemos la regla:



2.- Cualquier equipo de la DMZ puede realizar ping al interfaz DMZ del pfSense.

Nos situamos en Interfaces>DMZ y establecemos la regla:



3.- El equipo WXP podrá realizar ping a equipo SWEB.


4.- Cualquier equipo de la LAN podrá conectarse al servicio web (http y https) de

SWEB.

Primero definimos un Alias para esos dos puertos, puertos_web:



5.- Los equipos de la DMZ y la LAN se pueden conectar a internet (http y dns).

Primero, en Fire>Alias, voy a crear un alias para los dos servicios, Internet:



Establezco la regla para LAN:



Y, ahora, para DMZ:



6.- WXP se podrá conectar a SWEB por ssh.



7.- Los equipos de la DMZ no podrán conectarse a la LAN.

Vamos a crear la regla inversa, o sea, permitir que los equipos de la DMZ puedan conectarse

a la LAN, y después bloquearemos dicha regla.

En Rules quedaría así:



8.- Redirecciona los paquetes web recibidos en el interfaz WAN del pfSense a través del

puerto 8080 al equipo SWEB, puerto 80.

Me posiciono en Firewall>Nat:

---------------------------------------------------

Cortafuegos con pfSense · Cortafuegos con pfSense Rafael García Rodríguez | Seguridad y Alta...

Documents

Transcript of Cortafuegos con pfSense · Cortafuegos con pfSense Rafael García Rodríguez | Seguridad y Alta...