Manual pfsense - unicarlos.comunicarlos.com/wiki/lib/exe/fetch.php?media=pdf:pfsense.pdf · Manual...

Click here to load reader

  • date post

    15-Oct-2018
  • Category

    Documents

  • view

    340
  • download

    19

Embed Size (px)

Transcript of Manual pfsense - unicarlos.comunicarlos.com/wiki/lib/exe/fetch.php?media=pdf:pfsense.pdf · Manual...

  • Manual pfsense

    Pedro Jos Garca Moreno

  • Manual pfsense | Pedro Jos Garca Moreno

    1

    Contenido

    Contenido ................................................................................................................... 1

    Introduccin ............................................................................................................... 3

    Configuracin de interfaz de red ............................................................................... 3

    Configuracin de acceso seguro (https) ................................................................... 8

    Creacin de usuario .................................................................................................... 9

    Creacin de certificado .............................................................................................. 11

    Activacin del protocolo https .................................................................................... 13

    Bloquear pgina por firewall ................................................................................... 15

    Crear Aliases ............................................................................................................ 15

    Creacin de regla...................................................................................................... 17

    Configuracin de failover......................................................................................... 19

    Configuracin de la interfaz ....................................................................................... 19

    Configuracin de las IPs virtuales .............................................................................. 21

    Configuracin de reglas del firewall ............................................................................ 24

    Activacin del servicio ............................................................................................... 26

    Ventana de monitorizacin ........................................................................................ 27

    Creacin de Vlans ..................................................................................................... 28

    Crear Vlan ................................................................................................................ 29

    Activar DHCP ............................................................................................................ 33

    Configuracin de reglas del firewall ............................................................................ 35

    Configuracin de proxy ............................................................................................ 37

    Instalacin de paquetes ............................................................................................ 38

    Configuracin squid .................................................................................................. 41

    Configuracin squidguard .......................................................................................... 45

    Configuracin de portal cautivo .............................................................................. 50

    Creacin de Portal Cautivo ........................................................................................ 50

    Creacin de usuarios ................................................................................................. 52

  • Manual pfsense | Pedro Jos Garca Moreno

    2

    Monitorizacin del trfico ........................................................................................ 55

    Limitar ancho de banda ........................................................................................... 56

    Crear limitadores ...................................................................................................... 57

    Creacin de reglas .................................................................................................... 59

  • Manual pfsense | Pedro Jos Garca Moreno

    3

    Introduccin

    PfSense es una distribucin personalizada de FreeBSD adaptado para su uso como firewall y

    router. Se caracteriza por ser de cdigo abierto, puede ser instalado en una gran variedad de ordenadores, y adems cuenta con una interfaz web sencilla para su configuracin.

    En la siguiente imagen vemos un ejemplo de cmo debera ir conectado el equipo que tendr instalado el software de pfsense

    Configuracin de interfaz de red

    Una vez instalado pfsense lo siguiente ser configurar la interfaz de red tanto para la wan

    como para la lan, estas configuraciones se debern realizar mediante el terminal de acceso que

    viene con pfsense (sin interfaz grfica).

  • Manual pfsense | Pedro Jos Garca Moreno

    4

    Lo primero que debemos hacer es asignar el uso que se les dar a cada interfaz, para esto

    seleccionamos la opcin 1) Assign Interfaces introduciendo un 1 en la consola y presionando

    enter.

    Ahora nos preguntara que si vamos a configurar VLANs ahora, introducimos una n de no ya que se explicara ms adelante como configurar VLANs de manera grfica.

    Seguidamente nos preguntara que interfaz queremos que actu de wan, en nuestro ejemplo

    vamos a seleccionar la interfaz em0 para este fin.

    La siguiente pregunta que nos hace es para seleccionar la interfaz que se utilizara para la red lan, como podemos observar en la imagen ya no aparece la interfaz em0 porque ya la hemos

    asignado a la wan, para nuestro ejemplo seleccionaremos la interfaz em1 para la lan.

  • Manual pfsense | Pedro Jos Garca Moreno

    5

    Posteriormente nos preguntara si tenemos alguna interfaz opcional, sino tenemos otra

    interfaz de red lo dejaremos en blanco y pulsaremos enter pero para nuestro ejemplo

    asignaremos una interfaz opcional que usaremos ms adelante para configurar el failover.

    Como ya no tenemos ms interfaces y nos pregunta por una segunda interaz opcional lo

    dejaremos en blanco y pulsaremos enter.

    Una vez finalizado el proceso nos mostrara como va a quedar y si queremos continuar para guardar los cambios, comprobamos que esta todo correcto e introducimos una y de yes para

    que guarde los cambios.

    Una vez asignadas las interfaces procederemos a configurar la direccin IP que tendr cada

    una.

  • Manual pfsense | Pedro Jos Garca Moreno

    6

    Para empezar la configuracin de las IPs seleccionaremos la opcin 2) Set interface(s) IP

    address y una vez seleccionada nos aparecern las interfaces que tenemos asignadas.

    Como podemos observar nos aparece un nmero a la izquierda de cada interfaz esto es para

    seleccionar la interfaz que vamos a configurar, nosotros empezaremos configurando la interfaz

    wan, para esto introducimos un 1 y presionamos enter.

    Lo primero que nos preguntara es que si queremos que la wan se configure automticamente

    usando DHCP porque detecta que est conectada a un router que le suministra una IP, en nuestro

    ejemplo le indicaremos que si queremos que se configure automticamente tanto la IPv4 como la IPv6.

    Por ultimo nos pregunta que si queremos activar la configuracin via web, esto es para

    realizar las configuraciones con otro equipo mediante interfaz grfica, nosotros seleccionaremos

    que s.

    Ahora pasaremos a configurar la lan, est la configuraremos con una IP esttica y con

    servidor DCHP.

  • Manual pfsense | Pedro Jos Garca Moreno

    7

    Como podemos observar ahora no nos pregunta que si queremos que se configure

    automticamente porque esta tarjeta de red no est conectada a un router sino a un switch, por

    lo tanto no es la que recibe una IP sino que es la encargada de repartir las IPs a los equipos que se conectaran.

    La primera opcin que nos aparecer ser la de que introduzcamos la direccin IP que tendr esta tarjeta de red, en nuestro ejemplo le asignaremos la direccin 199.7.2.1.

    Lo siguiente ser indicarle que mascara de red tendr, en nuestro caso ser 255.255.255.0 que corresponde a una mscara /24 en sistema internacional.

    Despus nos preguntara que puerta de enlace tiene, en nuestro ejemplo lo dejaremos en

    blanco.

    Ahora nos pedir que introduzcamos una direccin IPv6 pero como nosotros no la

    utilizaremos la dejaremos en blanco.

    Por ultimo nos preguntara si queremos activar el servidor DHCP, ya que esta tarjeta de red

    es la que suministrara el servicio a nuestra red local si activaremos el seridor DHCP con un rango de 11 IPs a repartir.

  • Manual pfsense | Pedro Jos Garca Moreno

    8

    Como se puede observar en la imagen anterior hemos fijado el rango de IPs a repartir entre

    199.7.2.10 y 199.7.2.20.

    Una vez finalizada la configuracin pfsense nos proporcionara la direccin por la que podremos acceder a travs del navegador para poder configurarlo.

    Una vez terminada la configuracin debera quedarnos algo parecido a esto:

    La configuracin de OPT1 se realizara ms delante de manera grafica.

    Configuracin de acceso seguro (https)

    La manera ms habitual de acceder al Pfsense es mediante un navegador e introduciendo la

    direccin http://IP del cortafuego/. Pero para hacer que nuestro acceso para configurar el Pfsense

    sea ms seguro deberemos habilitar el acceso en modo seguro (https).

  • Manual pfsense | Pedro Jos Garca Moreno

    9

    Creacin de usuario

    Pfsense ya tiene un certificado por defecto, pero lo recomendable es crear nuestro propio

    certificado para hacer esto necesitaremos crear un usuario que pueda crear los certificados.

    Para crear el usuario nos dirigiremos hacia la pestaa system y en el men desplegable

    elegimos la opcin de cert. Manager.

    Como vemos no nos aparece ningn usuario para crear certificados, para poder crear un

    certificado tendremos que crearnos un usuario. Para ello seleccionamos el botn de add situado en la parte inferior derecha.

  • Manual pfsense | Pedro Jos Garca Moreno

    10

    Ahora deberemos introducir los datos del usuario que va a crear el certificado. Deberemos

    introducir los siguientes datos:

    Descriptive name: nombre del usuario

    Method: Seleccionar Create an internal certificate authority

    Country code: Cdigo del pas, en nuestro ejemplo ES

    State or province: Provincia, en nuestro ejemplo Albacete

    City: Ciudad, en nuestro ejemplo Helln

    Organization: En nuestro ejemplo ELCA

    Email Address: Direccin de correo del usuario en nuestro ejemplo

  • Manual pfsense | Pedro Jos Garca Moreno

    11

    Al final del proceso nos debera quedar algo parecido a esto:

    Creacin de certificado

    Para crear el certificado nos dirigiremos hacia system, en el men desplegable elegimos la

    opcin de cert. Manager una vez en este men seleccionaremos la pestaa de Certificates y cmo podemos observar nos aparece el certificado que tiene creado por defecto.

    Para empezar a crear nuestro certificado haremos clic en el botn de add.

  • Manual pfsense | Pedro Jos Garca Moreno

    12

    Ahora nos aparece un formulario en el que deberemos introducir los datos personales para nuestro servidor, estos datos son los siguientes:

    Method: Seleccionamos Create an internal certificate

    Descriptive name: Nombre que tendr el certificado

    Certiicate authority: Usuario que est creando el certificado en nuestro ejemplo

    es Pedro_cert Lifetime (days): Tiempo de vida del certificado

    Country code: Codigo del pas, en nuestro ejemplo es ES

    State or province: Provincia, en nuestro ejemplo es Albacete

    City: Ciudad, en nuestro ejemplo es Hellin

    Organization: Organizacin, en nuestro ejemplo es ELCA

    Email Address: Direccion de correo

    Common name: Direccion del servidor, en nuestro ejemplo es MASTER.ELCA

  • Manual pfsense | Pedro Jos Garca Moreno

    13

    Una vez terminado deberan aparecernos dos certificados, uno el que tienen por defecto

    pfsense y otro creado por nosotros tal y como se muestra en la imagen siguiente.

    Activacin del protocolo https

    Para activar el acceso seguro nos dirigiremos hacia la pestaa system y en el men desplegable seleccionaremos la opcin de advanced.

  • Manual pfsense | Pedro Jos Garca Moreno

    14

    Una vez dentro del men adanced nos dirigiremos hacia el apartado de admin Access y

    configuraremos los siguientes parmetros:

    Protocol: Elegiremos el protocolo que usaremos para acceder, como queremos que

    cada vez que accedamos sea de manera segura elegiremos el protocolo https SSL Certificate: Seleccionaremos el certificado que se va a usar para certificar que

    es una pgina segura, en nuestro ejemplo usaremos Certificado_Pedro

    TCP port: Puerto por el que accederemos de manera segura.

    Max processes: Aqu indicaremos el nmero mximo de usuarios que pueden

    acceder a configurar pfsense al mismo tiempo. WebGUI redirect debe estar marcado para deshabilitar la escucha por el puerto

    80, a la vez que escucha por el 10443, ya que solo se quiere acceso exclusivo por

    https. WebGUI Login Autocomplete se selecciona para deshabilitar el autocompletado

    por parte del navegador ya que es preferible que ste no guarde las credenciales

    por seguridad.

    Una vez finalizado guardamos los cambios y los aplicamos para que tengan efecto.

  • Manual pfsense | Pedro Jos Garca Moreno

    15

    Una vez hecho esto se recargar la pgina y ya podremos acceder de manera segura.

    Para poder acceder posteriormente deberemos introducir la direccin https://IP:Puerto en

    nuestro ejemplo deberemos introducir https://199.7.2.1:10007.

    Bloquear pgina por firewall

    En este apartado aprenderemos como podemos bloquear una pgina web utilizando una

    regla en el cortafuego, por lo que crearemos aliases y luego las usaremos para bloquear las

    paginas deseadas.

    Crear Aliases

    Para realizar esta operacin nos dirigiremos hacia la pestaa Firewall y en el men

    desplegable seleccionaremos la opcin de Aliases.

  • Manual pfsense | Pedro Jos Garca Moreno

    16

    Una vez dentro de este men podemos observar que la primera vez que accedemos no

    tenemos ningn aliase creado, para crearlo presionaremos el botn Add.

    En el formulario de configuracin introduciremos los siguientes datos:

    Name: pondremos un nombre para identificar el alias.

    Type: seleccionaremos el tipo de direccin que introduciremos, en nuestro ejemplo

    hemos elegido Host.

    IP or FQDN: introduciremos la direccin de la pgina a bloquear.

    Para saber la direccin IP de una pgina abriremos una consola de comandos e

    introduciremos la orden nslookup dominio.dominio, esto nos mostrara todas las IPs asociadas

    a ese dominio, en nuestro ejemplo bloquearemos la pgina de youtube.

  • Manual pfsense | Pedro Jos Garca Moreno

    17

    Una vez guardados los cambios nos aparecer el alias que acabamos de crear y una ventana

    para aplicar los cambios, presionamos el botn de aplicar cambios y ya tendramos nuestro alias

    creado.

    Creacin de regla

    Ahora vamos a crear una regla en el cortafuegos para bloquear la pgina de YouTube, por

    lo que nos dirigiremos hacia la pestaa de Firewall y en el men desplegable seleccionaremos

    la opcin de Rules.

    Una vez dentro de este men nos dirigiremos hacia el apartado de LAN, ya que en nuestro

    ejemplo queremos que afecte a todos los equipos que estarn conectados a nuestra red, y presionamos el botn Add con la flecha hacia arriba.

  • Manual pfsense | Pedro Jos Garca Moreno

    18

    En el formulario de configuracin introduciremos los siguientes datos:

    Action: seleccionaremos la opcin de block para que bloque la pgina.

    Destination: seleccionaremos Single host or alias e introduciremos el nombre que

    le pusimos al alias que creamos anteriormente.

    Por ultimo guardamos los cambios y nos debera quedar algo parecido a la siguiente imagen en la que aparecen las reglas creadas por defecto y la que nosotros acabamos de crear.

  • Manual pfsense | Pedro Jos Garca Moreno

    19

    Configuracin de failover

    Esta configuracin se realiza para mejorar la disponibilidad del servicio; para ello

    necesitaremos dos equipos con el software pfsense instalado, adems cada equipo deber contar

    con al menos tres tarjetas de red, una para la interfaz wan, otra para la interfaz lan y la ltima para que estos dos equipos se sincronicen.

    Configuracin de la interfaz

    Para configurar la interfaz que usaremos para que se sincronicen el MASTER y el BACKUP

    nos dirigiremos hacia la pestaa Interfaces y en el men desplegable seleccionamos (assign).

    En el apartado de Interface assignments hacemos clic sobre el nombre de la interfaz a

    configurar, en nuestro caso ser OPT1.

  • Manual pfsense | Pedro Jos Garca Moreno

    20

    Una vez dentro de la configuracin de la interfaz modificamos los siguientes parmetros:

    Enable: Habilitamos la tarjeta de red

    Desccription: Poner un nombre, nosotros hemos elegido SYNC

    IPv4 configuration type: Le pondremos una IP estatica por lo tanto

    seleccionaremos static IP4 IP4 address: Pondremos la direccin IP que tendr la tarjeta, la de nuestro ejemplo

    ser 199.7.3.1 para el master y 199.7.3.2 para el backup.

    /: Seleccionaremos la mscara de red que tendr la direccin IP de la tarjeta, para

    nuestro ejemplo ser 24.

  • Manual pfsense | Pedro Jos Garca Moreno

    21

    Por ultimo guardamos los cambios y los aplicamos estos cambios para que tengan efecto

    inmediato.

    Esta configuracin se realizara en los dos equipos con pfsensen, uno es el master y el otro es el backup, introduciendo la direccin IP correspondiente a cada uno.

    Configuracin de las IPs virtuales

    Las IPs virtuales sirven para agrupar los dos equipos con el software de pfsense instalado y

    que as tengan comunicacin entre s para poder sincronizarse.

    Para crear estas IPs nos dirigiremos hacia la pestaa de firewall y en el men desplegable

    seleccionaremos virtual IPs.

    Como podemos observar no hay ninguna IP virtual creada, para crearla hacemos clic sobre el botn de add.

  • Manual pfsense | Pedro Jos Garca Moreno

    22

    En el formulario de configuracin introduciremos los siguientes datos:

    Type: Seleccionaremos el tipo de IP virtual, para hacer el failover seleccionaremos

    CARP

    Interface: Seleccionar la interfaz sobre la que actuara, nosotros crearemos una

    para la wan y otra para la lan. Address(es): Direccion IP que tendr la IP virtual, para este ejemplo la IP virtual

    de la wan tendr la direccin 192.168.1.157 y la lan tendr la direccin 199.7.2.3

    /: Seleccionaremos la mscara de red que tendr la IP virtual.

    Virtual IP password: Pondremos una contrasea para que se validen tanto en el

    master como en el backup. VHID group: Seleccionaremos el grupo al que pertenecer la IP virtual, este debe

    ser un grupo para las IPs virtuales de la wan y otro para las IPs virtuales de la lan,

    adems tienen que coincidir los grupos tanto en el master como en el backup. Description: Introduciremos un nombre para identificar la IP irtual.

    Una vez guardada la configuracin aplicamos los cambios realizados y ya tendramos la IP virtual de la wan.

  • Manual pfsense | Pedro Jos Garca Moreno

    23

    Ahora realizamos la misma operacin para crear la IP virtual para la interfaz lan, a

    continuacin se muestran en la imagen los datos que usaremos para nuestro ejemplo.

    Una vez guardada la configuracin y aplicada debera quedarnos algo como lo que aparece

    en la siguiente imagen.

    Como podemos observar en la interfaz wan tenemos el VHID en 1 y en la interfaz lan tenemos

    el VHID en 2.

    Esta configuracin se realizara tanto en el master como en el backup con los mismos datos

    en uno y en el otro.

  • Manual pfsense | Pedro Jos Garca Moreno

    24

    Configuracin de reglas del firewall

    Para que se sincronicen deberemos crear una regla en el firewall para que los dos equipos tengan comunicacin y as poder sincronizarse.

    Para hacer esto nos dirigiremos hacia la pestaa firewall y en el men desplegable

    seleccionaremos la opcin de rules.

    Una vez dentro de las reglas seleccionaremos la opcin de SYNC ya que esta es la interfaz

    que usamos para el failover y si recordamos SYNC es el nombre que le asignamos en nuestro ejemplo.

    Para empezar a crear la regla que permitir el trfico a travs de esta interfaz presionamos

    cualquiera de los botones add ya que no hay ninguna regla establecida y la que nosotros creemos ser la primera.

  • Manual pfsense | Pedro Jos Garca Moreno

    25

    Los datos que introduciremos sern los siguientes:

    Action: Pass para permitir el trafico

    Interface: seleccionaremos la interfaz SYNC

    Protocol: Any para permitir todo el trfico que se genere entre las maquinas

    Por ultimo guardamos cambios, cuando nos redirigir hacia el listado de reglas, aplicaremos los cambios para que tengan efecto inmediato.

    Esta configuracin se realizara en los dos equipos, en el master y en el backup.

  • Manual pfsense | Pedro Jos Garca Moreno

    26

    Activacin del servicio

    Para poner en funcionamiento este servicio que nos ofrece pfsense nos dirigiremos hacia la

    pestaa de system y en el men desplegable seleccionaremos la opcin de high avail. Sync.

    Nos aparecer un formulario en el cual deberemos introducir los siguientes datos:

    Synchronize states: Marcaremos la casilla para que se active el servicio.

    Synchronize Interface: Seleccionaremos la interfaz que usaremos para la

    sincronizacin, que en nuestro ejemplo le hemos asignado el nombre de SYNC.

    Synchronize Config to IP: Aqu debemos indicarle la direccin IP que tendr la

    tarjeta de red utilizada por el otro equipo en la sincronizacin, esto quiere decir que

    en nuestro ejemplo en el master debemos introducir la direccin del backup. Remote System Username: Introducir el nombre de un usuario administrador del

    otro equipo, en nuestro ejemplo ser admin.

    Remmote System Password: Introducir la contrasea del usuario anterior con la

    confirmacin de que no tenga errores. Select options to sync: Seleccionaremos los objetos y configuraciones que

    deseamos que se sincronicen entre las dos mquinas, esta opcin solo se realizara

    en el master.

  • Manual pfsense | Pedro Jos Garca Moreno

    27

    Una vez guardada la configuracin realizaremos la misma operacin en el backup con la

    excepcin de las opciones de sincronizacin que las dejaremos sin marcar.

    Ventana de monitorizacin

    Opcionalmente si queremos tener informacin del estado en el que se encuentra este servicio

    podremos aadir un cuadro que nos proporcionara dicha informacin.

    Para esto nos dirigiremos hacia la pantalla de inicio del cortafuego y haremos clic sobre el

    smbolo + que aparece en la parte superior a la derecha.

  • Manual pfsense | Pedro Jos Garca Moreno

    28

    Seguidamente nos aparecer una lista con todas las ventanas de informacin que podremos

    aadir a la pantalla principal, para el estado del failover seleccionaremos la opcin de CARP

    Status.

    Ahora ya nos aparecer el cuadro con las interfaces, la direccin IP que tienen y el estado

    en el que se encuentra.

    Creacin de Vlans

    Una VLAN (red de rea local virtual), es un mtodo para crear redes lgicas independientes

    dentro de una misma red fsica. Varias VLAN pueden coexistir en un nico conmutador fsico o

    en una nica red fsica. Son tiles para reducir el tamao del dominio de difusin y ayudan en la administracin de la red, separando segmentos lgicos de una red de rea local.

  • Manual pfsense | Pedro Jos Garca Moreno

    29

    Crear Vlan

    Para empezar a crear una VLAN nos dirigiremos hacia la pestaa interfaces y en el men

    desplegable seleccionaremos la opcin de (assign).

    En el men al que accedemos seleccionaremos la opcin de VLANs y cmo podemos

    observar la primera vez que accedemos no aparece ninguna. En este men presionaremos el botn de add para empezar a crear una VLAN.

    En el formulario que nos aparecer deberemos introducir los siguientes datos:

    Parent Interface: seleccionaremos la tarjeta de red fsica sobre la que trabajara

    esta VLAN, en nuestro ejemplo hemos seleccionado la que asignamos para la red lan.

    Description: aqu introduciremos un nombre identificativo para la VLAN, en nuestro

    ejemplo le hemos puesto en nombre de VLAN_1.

  • Manual pfsense | Pedro Jos Garca Moreno

    30

    Una vez guardados los cambios volveremos automticamente al men anterior y ahora nos

    aparecer la VLAN que acabamos de crear.

    Ahora deberemos activar la VLAN, por lo que nos dirigiremos hacia el apartado de Interface Assignments, como podemos observar aparecer una lnea con un men desplegable que nos

    indica las VLANs que hay para activar.

    Una vez seleccionada la VLAN que deseamos, en nuestro ejemplo ser la VLAN_1 creada anteriormente, presionamos el botn de add y nos aparecer como una interfaz ms.

  • Manual pfsense | Pedro Jos Garca Moreno

    31

    Para configurar la interfaz lgica que contendr la VLAN haremos clic sobre el nombre de

    esta.

    En el formulario de configuracin deberemos introducir los siguientes datos:

    Enable: Activaremos esta opcin para habilitar la VLAN.

    Description: Introduciremos un nombre descriptivo para esta interfaz lgica, en

    nuestro ejemplo la llamaremos igual que la VLAN, VLAN_1. IPv4 Configuration Type: Seleccionaremos una IP esttica.

    IPv4 Address: Introduciremos la IP que tendr esta interfaz, en nuestro ejemplo

    ser 199.7.10.1

    /: Seleccionaremos la mscara de red que tendr, en nuestro ejemplo ser de 24.

  • Manual pfsense | Pedro Jos Garca Moreno

    32

    Una vez guardados los cambios nos aparecer un cuadro para aplicar los cambios,

    presionaremos el botn de apply changes.

    Una vez aplicados los cambios comprobamos que la VLAN aparece en el apartado de

    interfaces.

  • Manual pfsense | Pedro Jos Garca Moreno

    33

    Activar DHCP

    Para activar el servidor DHCP en la VLAN nos dirigiremos hacia la pestaa Services y en el men desplegable seleccionaremos la opcin de DHCP Server.

    Una vez dentro de este men nos dirigiremos hacia el apartado de la VLAN en la que queramos activar el servidor DHCP, en nuestro ejemplo nos dirigiremos hacia VLAN_1 ya que es

    la VLAN creada anteriormente.

  • Manual pfsense | Pedro Jos Garca Moreno

    34

    En el formulario de configuracin deberemos introducir los siguientes datos:

    Enable: Dejaremos la opcin seleccionada para activar el servidor DHCP.

    Range: Introduciremos un rango de asignacin de IPs dentro de la misma red que

    la VLAN, en nuestro ejemplo la VLAN tiene la direccin 199.7.10.1/24 por lo tanto hemos elegido el rango que abarca desde 199.7.10.10 hasta la direccin

    199.7.10.20.

    Por ultimo guardamos la configuracin y ya tendramos el servidor DHCP activo para esta VLAN.

  • Manual pfsense | Pedro Jos Garca Moreno

    35

    Configuracin de reglas del firewall

    Por ultimo para que la VLAN que hemos creado tenga acceso a internet deberemos crear

    una regla en al cortafuego para permitir el trfico.

    Para esto nos dirigiremos hacia la pestaa Firewall y en el men desplegable

    seleccionaremos la opcin de Rules.

    Una vez dentro del men nos dirigiremos hacia el apartado de la VLAN que hemos creado, en nuestro ejemplo como la hemos llamado VLAN_1 nos aparece un apartado con este nombre.

    Como podemos observar todava no hay ninguna regla establecida en el cortafuego, con lo

    cual todo el trfico ser bloqueado, para que esto no ocurra aadiremos una regla que permita la circulacin de todo el trfico por lo que presionaremos cualquiera de los botones add.

  • Manual pfsense | Pedro Jos Garca Moreno

    36

    En el formulario de configuracin introduciremos los siguientes parmetros:

    Action: Seleccionaremos la opcin pass para permitir el trafico

    Interface: Seleccionaremos la interfaz sobre la que actuara la regla

    Protocol: seleccionaremos any para indicar que afectara a todo el trafico

    Guardamos los cambios y nos redirigir al men anterior pero ahora nos aparecer la regla

    que acabamos de crear y un cuadro para aplicar los cambios.

    Para finalizar aplicaremos los cambios y ya tendramos nuestra VLAN creada y configurada.

  • Manual pfsense | Pedro Jos Garca Moreno

    37

    Si en un futuro queremos saber si esta activa esta nos aparecer en el cuadro de interfaces

    del men principal de pfsense, la flecha verde hacia arriba nos indica que esta activa.

    Configuracin de proxy

    Los servidores proxy permiten proteger y mejorar el acceso a las pginas web, al conservarlas

    en la cach. De este modo, cuando un navegador enva una peticin para acceder a una pgina web, que previamente ha sido almacenada en la cach, la respuesta y el tiempo de visualizacin

    es ms rpido.

    Los servidores proxy aumentan tambin la seguridad, ya que pueden filtrar cierto contenido

    web y programas maliciosos.

  • Manual pfsense | Pedro Jos Garca Moreno

    38

    Instalacin de paquetes

    Para poder configurar un servidor proxi en Pfsense deberemos instalar los paquetes necesarios, en nuestro ejemplo hemos elegido los paquetes de SQUID para nuestro servidor

    proxy.

    La instalacin de paquetes se realiza desde la pestaa System y seleccionando en el men desplegable la opcin de Package Manager.

    Una vez en este men comprobamos los paquetes que temenos instalados, para ello nos

    dirigimos hacia el apartado de Installed Packages, en nuestro ejemplo comprobamos que no

    tenemos paquetes instalados.

  • Manual pfsense | Pedro Jos Garca Moreno

    39

    Ahora nos dirigiremos hacia el apartado Available Packages e introducimos squid en el

    cuadro de bsqueda y presionamos en Search.

    Instalaremos los paquetes de squid y squidguard por lo que tendremos que presionar en el botn de install y esto nos dirigir hacia el asistente de instalacin de cada uno de los

    paquetes.

    Una vez en el asistente de instalacin, que es el apartado de Packager Installer que nos

    aparecer tras pulsar anteriormente en Install, nos preguntara que si es este el paquete que

    queremos instalar, presionaremos en Confirm.

    1

    2

  • Manual pfsense | Pedro Jos Garca Moreno

    40

    Una vez confirmado que este es el paquete que instalaremos comenzara la instalacin.

    Cuando nos aparezca el mensaje de installation successfully completed ya habr terminado

    y podremos proceder a la instalacin del otro paquete.

  • Manual pfsense | Pedro Jos Garca Moreno

    41

    Una vez instalados los dos paquetes estos nos aparecern en la pestaa de services y

    aparecern tres opciones en el men desplegable.

    Configuracin squid

    Ahora vamos a configurar un proxi para bloquear las pginas web que introduzcamos, en nuestro ejemplo bloquearemos la pgina de marca y la de pordede, para esto nos dirigimos hacia

    la pestaa Services y en el men desplegable seleccionaremos la opcin de Squid Proxy

    Server.

  • Manual pfsense | Pedro Jos Garca Moreno

    42

    Una vez dentro del men de configuracin del servidor proxi nos dirigiremos hacia el apartado

    de Local Cache y no cambiaremos ninguna opcin, solo presionaremos el botn de guardar para que genere el archivo de cache.

    Ahora nos dirigiremos hacia el apartado de General, aqu intruduciremos los siguientes

    datos:

    Enable Squid Proxy: Marcaremos esta opcin para activar SQUID.

    Keep Settingd/Data: Marcaremos esta opcin para que use el archivo cache.

    Proxy Interface: seleccionaremos la interfaz sobre la que actuar, en nuestro caso

    ser la interfaz de LAN.

    Allow Use ron Interfaces: marcaremos esta opcin para que afecte a todos los

    usuarios. Transparent HTTP Proxy: marcaremos esta opcin para que el proxy sea

    transparente al usuario.

  • Manual pfsense | Pedro Jos Garca Moreno

    43

    Pulsaremos el botn Save que esta al final del formulario de configuracin para guardar los

    cambios que hemos realizado.

  • Manual pfsense | Pedro Jos Garca Moreno

    44

    Por ultimo nos dirigiremos al apartado ACLs para indicar las pginas que queremos bloquear.

    En el formulario de configuracin nos dirigiremos hacia la opcin de Blacklist, aqu indicaremos las pginas que bloqueara SQUID, en nuestro ejemplo bloquearemos las pginas de

    marca y pordede.

    Ya para finalizar guardaremos la configuracin y nuestro servidor proxy estar en funcionamiento y bloquear las paginas indicadas.

    Para comprobar que funciona correctamente intentamos acceder a cualquiera de las pginas bloqueadas desde un equipo que este en nuestra red.

  • Manual pfsense | Pedro Jos Garca Moreno

    45

    Configuracin squidguard

    Ahora procederemos a configurar un proxi para bloquear listas de pginas web, en nuestro

    ejemplo bloquearemos las listas de porno, para realizar esto nos dirigimos hacia la pestaa Services y en el men desplegable seleccionaremos la opcin de Squidguard Proxy Filter.

    Una vez dentro de este men nos dirigiremos hacia el apartado de General settings y cmo

    podremos observar la primera vez que accedemos nos encontraremos que el servicio de squid

    guard est detenido.

  • Manual pfsense | Pedro Jos Garca Moreno

    46

    Procederemos a iniciar el servicio y empezaremos a configurarlo, por lo que deberemos

    marcar la opcin de enable y pulsar en el botn de apply.

    En este mismo formulario de configuracin nos dirigiremos hacia la parte final en introduciremos los siguientes datos:

    Enable GUI log: marcaremos esta opcin para crear un archivo log con los accesos

    a paginas. Eneble log: marcaremos esta opcin para crear un archivo log con las paginas que

    se bloquean.

    Blacklist: marcaremos esta opcin para activar la lista negra de paginas.

    Blacklist URL: introduciremos la direccin desde donde obtendremos las listas

    negras, en nuestro ejemplo ser http://www.shallalist.de/Downloads/ shallalist.tar.gz

  • Manual pfsense | Pedro Jos Garca Moreno

    47

    Si nos dirigimos hacia el apartado de Common ACL podemos observar que solo tenemos

    una lista que hace referencia a todo el trfico que circulara y est configurada para denegarlo.

    Para aadir listas nos dirigiremos hacia el apartado de Blacklist.

    Aqu introduciremos la direccin desde donde se descargarn las listas.

  • Manual pfsense | Pedro Jos Garca Moreno

    48

    Una vez introducida la direccin presionaremos el botn de Download para empezar a

    descargar las listas.

    Una vez completada la descarga volvemos al apartado de Common ACL y ahora

    presionando en el smbolo + de la opcin Target Rule List nos aparecern las listas.

  • Manual pfsense | Pedro Jos Garca Moreno

    49

    En nuestro ejemplo bloquearemos las pginas de porno y las de webmail, para esto

    seleccionamos en access la opcin de deny y en la lista de Default Access [all] seleccionaremos

    en access la opcin de alloy para permitir el resto del trfico.

    Por ultimo en el final del formulario de configuracin pulsaremos el botn de Save para guardar la configuracin.

    Para que la configuracin actual tenga efecto debemos dirigirnos hacia el apartado de General settings y aqu presionaremos el botn de Apply para aplicar los cambios.

  • Manual pfsense | Pedro Jos Garca Moreno

    50

    Para comprobar que funciona correctamente intentamos acceder a cualquiera de las paginas

    bloqueadas desde un equipo que este en nuestra red.

    Configuracin de portal cautivo

    Un portal cautivo es un programa o mquina de una red informtica que vigila el trfico

    HTTP y fuerza a los usuarios a pasar por una pgina especial si quieren navegar por Internet de

    forma normal. El programa intercepta todo el trfico HTTP hasta que el usuario se autentifica.

    Creacin de Portal Cautivo

    Lo primero que haremos ser crear el portal cautivo para nuestra red LAN, para ello nos

    dirigiremos hacia la pestaa Services y en el men desplegable seleccionaremos la opcin de Captive Portal.

  • Manual pfsense | Pedro Jos Garca Moreno

    51

    Dentro de este men podemos observar que la primera vez que accedamos no hay ningn

    portal creado, para crear uno presionaremos el botn Add.

    En la primera parte del formulario de configuracin introduciremos el nombre que tendr el portal y una descripcin de este, una vez hecho esto presionaremos el botn Save & Continue.

    En la siguiente parte del formulario de configuracin marcaremos la opcin de Enable Captive Portal para activarlo e introducir los siguientes datos:

    Interfaces: la interfaz sobre la que actuar, en nuestro ejemplo ser en le LAN.

    Authentication method: seleccionaremos local user manager/vouchers para

    acceder con usuarios que estn creados en pfsense.

  • Manual pfsense | Pedro Jos Garca Moreno

    52

    Una vez hecho esto presionaremos el botn Save situado en la parte inferior del formulario

    de configuracin para guardar los cambios.

    Creacin de usuarios

    Ahora explicaremos como crear usuarios para el portal cautivo, para crear usuarios nos dirigiremos hacia la pestaa System y en el men desplegable seleccionaremos la opcin de

    User Manager.

    En este men veremos el usuario admin que es con el que hemos accedido hasta ahora para

    configurar pfsense, para empezar a crear un usuario presionaremos el botn Add.

  • Manual pfsense | Pedro Jos Garca Moreno

    53

    En el formulario de configuracin introduciremos los datos de Username, es el nombre de

    usuario que tendr para identificarse y Password, que sera la contrasea que utilice para

    identificarse.

    Una vez introducidos estos datos pulsaremos el botn Save para guardar los datos de este

    usuario.

    Ahora ya nos aparecer el usuario que acabamos de crear y el usuario admin.

  • Manual pfsense | Pedro Jos Garca Moreno

    54

    Para comprobar que funciona correctamente intentamos acceder a cualquier pgina desde

    un equipo que este en nuestra red y nos debera aparecer un formulario preguntndonos el nombre de usuario y la contrasea.

    En este formulario introduciremos los datos del usuario que acabamos de crear y nos identificaremos.

  • Manual pfsense | Pedro Jos Garca Moreno

    55

    Y ya podramos navegar sin tener que volver a identificarse hasta la prxima sesin.

    Monitorizacin del trfico

    Pfsense dispone de una herramienta que nos permite observar el ancho de banda que est

    consumiendo cada equipo que est conectado a nuestra red, para ver esto nos dirigiremos hacia la pestaa Status y en el men desplegable seleccionaremos la opcin de Traffic Graph.

  • Manual pfsense | Pedro Jos Garca Moreno

    56

    En este men tenemos dos secciones, la primera es la de Graph Settings que aqu es donde

    podremos configurar las opciones de visualizacin de la grfica pudiendo elegir la interfaz y los

    datos que se mostraran, la segunda parte es la grfica y los datos sobre los equipos.

    Limitar ancho de banda

    Esto puede resultar muy til cuando tenemos en nuestra muchos equipos conectados ya que

    podemos limitar el ancho de banda que recibir cada equipo y as lograr que todos los equipos tengan la misma velocidad por lo que evitaremos que un solo equipo acapare todo el ancho de

    banda del que dispondremos.

    Como prueba hemos hecho un test de velocidad en la pgina Speedtest y hemos obtenido como resultado que tenemos una velocidad de bajada de 128 Mbps y una velocidad de subida de

    25 Mbps.

  • Manual pfsense | Pedro Jos Garca Moreno

    57

    Crear limitadores

    Lo primero ser crear los limitadores que usaremos para restringir las conexiones, para esto

    nos dirigiremos hacia la pestaa de Firewall y en el men desplegable seleccionaremos la opcin de Traffic Shaper.

    En este men nos dirigiremos hacia el apartado Limiters y cmo podemos observar la

    primera vez que accedemos a este men no tendremos creado limitadores, para empezar a crear uno presionaremos el botn de New Limiter.

    En el formulario de configuracin introduciremos los siguientes datos:

    Enable: marcaremos esta opcin para habilitar el limitador.

    Name: introduciremos un nombre para este limitador.

    Bandwidth: introduciremos el ancho de banda que tendr, en nuestro caso

    limitaremos la bajada a 5Mbps.

  • Manual pfsense | Pedro Jos Garca Moreno

    58

    Guardamos los cambios y nos aparecer un cuadro para aplicar los cambios, presionamos el

    botn Apply Changes para apicarlos.

    Una vez aplicados los cambios ya tendremos nuestro limitador de bajada creada y ahora

    procederemos a crear el limitador de subida presionando otra vez el botn de New Limiter.

    En el formulario de configuracin introduciremos los siguientes datos:

    Enable: marcaremos esta opcin para habilitar el limitador.

    Name: introduciremos un nombre para este limitador.

    Bandwidth: introduciremos el ancho de banda que tendr, en nuestro caso

    limitaremos la bajada a 2Mbps.

  • Manual pfsense | Pedro Jos Garca Moreno

    59

    Guardamos los cambios y nos aparecer un cuadro para aplicar los cambios, presionamos el

    botn Apply Changes para apicarlos.

    Una vez aplicados los cambios ya tendremos nuestro dos limitadores creador, uno de bajada y el otro de subida.

    Creacin de reglas

    Para que los limitadores que hemos creado surjan efecto deberemos crear una regla en el cortafuegos, por lo que nos dirigiremos hacia la pestaa Firewall y en el men desplegable

    seleccionaremos la opcin de Rules.

  • Manual pfsense | Pedro Jos Garca Moreno

    60

    En este men nos dirigiremos hacia el apartado de LAN ya que queremos que afecte a todos

    los equipos que se conecten a nuestra red, por lo tanto si solo quisiramos que afectara por

    ejemplo a una VLAN deberamos dirigirnos hacia el apartado de la VLAN en concreto a la que afectara, y presionamos el botn Add con la flecha hacia arriba.

    En el formulario de configuracin introduciremos los siguientes datos:

    Action: seleccionaremos la opcin pass para permitir el trfico.

    Interface: seleccionaremos la interfaz LAN para que afecte a todos los equipos.

    Protocol: seleccionaremos any para que afecte a todo el trfico.

    Ahora nos dirigiremos hacia el final del formulario y en el apartado de Extra Options

    presionaremos el botn de Advanced Options.

  • Manual pfsense | Pedro Jos Garca Moreno

    61

    Una vez que hallamos pulsado el botn podremos observar que aparecen ms opciones de

    configuracin, para la opcin de los limitadores nos dirigimos hacia el final del formulario y en la

    opcin de In/Out pipe pondremos en el cuadro de seleccin de la izquierda el limitador de subida y en el cuadro de seleccin de la derecha seleccionaremos el limitador de bajada.

    Por ultimo pulsaremos el botn de Save y nos redirigir al men de las reglas, aqu aplicamos los cambios y ya tendramos nuestros limitadores funcionando.

    Para comprobar que funciona volvemos a hacer un test de velocidad en la pgina Speedtest

    y ahora obtenemos como resultado que tenemos una velocidad de bajada de 4.84 Mbps y una velocidad de subida de 1.91 Mbps.

  • Manual pfsense | Pedro Jos Garca Moreno

    62