Firewall con PFSense 2.0

imageA continuación mostraré como configurar el potente y sencillo firewall de PFSense 2.0  importantísimo a la hora de proteger nuestra red.

Cargaremos las reglas básicas que se requieren para permitir a los clientes solamente navegar por internet.

Saltearé la explicación de como instalar el sistema operativo ya que existen muchos tutoriales en la web de como hacerlo.

Una vez instalado el SO, desde la consola asignamos las interfaces WAN y LAN a una placa en particular de nuestro equipo y configuramos la IP correspondiente:

image

En este caso primero utilizamos la opción 1 para asignar las interfaces y la opción 2 para asignar las IP.

Luego ingresamos vía navegador web desde un cliente que este en la red interna para settear las configuraciones del firewall.

Una vez andetro vamos a: Firewall –> Rules

image

Luego vamos a la pestaña LAN, que debe tener las siguientes reglas:

image

Es importante entender como funciona la evaluación de reglas ya que nos puede evitar confusiones a la hora de aplicar reglas personalizadas.

Las reglas se van evaluado de arriba hacia abajo y la primer coincidencia que se encuentra es la que se aplica. Es decir, que si yo defino dos reglas que se contraponen siempre se aplicará la que esté mas arriba en la lista.

Generalmente lo primero que se hace es bloquear todas la conexiones, por ello aplicamos nuestra primer regla, que al final quedará debajo de la lista:

image

Esta regla bloquea todo tipo de tráfico.

Luego debemos permitir las consultas al DNS, para ello habilitamos el puerto deestino 53 y el protocolo UDP, en este caso seleccionamos TCP/UDP y cuyo origen del requerimiento sea nuestra LAN interna:

image

La siguiente regla permite el tráfico TCP/UDP, cuyo origen sea la LAN interna, tenga cualquier destino y el puerto destino sea el 80 (web):

image

Y por último podemos observar la regla Anti-Lockout que viene por defecto en PFSense con el fin de evitar el bloqueo a la administración del sistema.

image

Vale aclarar que también se debería habilitar el protocolo HTTPS para permitir una navegación completa de la web.

Para definir una regla debemos pulsar el botón (+) para agregar una nueva:

image

Finalmente debemos tener las siguientes consideraciones:

Action: Indica si la regla bloquea o deja pasa el tráfico.

Interface: indica en qué interface se aplica.

Protocol: define el protocolo que se tratará.

Source: indica la procedencia del tráfico al cual se le aplicará la regla.

Destination port range: indica los puertos destinos que deben tener los paquetes a los que se le aplicará la regla.

image

Realmente PFSense es una herramienta muy potente que simplifica mucho la administración del firewall.

Espero, les sea útil.

Saludos.

Etiquetado con: ,

13 comentarios en «Firewall con PFSense 2.0»

  1. Gracias sin duda mas facil no podrias haberla hecho, navegue y navegue y no comprendia el funcionamiento.

    Mil Gracias para mi, la mejor explicacion!!!

  2. hola amigo ..veo tus reglas ..pero creoq te falta algunas reglas para correo.aparte queria preguntarte cmo seria una regla para forzar al proxi para q salga x la lan. alfinal cmo quedaria la reglas.quien stara primero.? Muchas gracias x los consejos.Saludos.

  3. Tomy, el ejemplo lo planteabamos solo con las reglas para navegar por web.
    Pero si querés permitir el correo, se debe habilitar el tráfico por el puerto 25 para el protocolo SMTP y el 110 para el caso de POP, que deberían ir al principio de la lista.
    En el caso de definir un proxy con un servidor aparte, lo que se debe hacer es aputar su puerta de enlace al firewall y los clientes apuntando al proxy, que no debería tener problemas para salir a internet por el firewall.
    Saludos.

  4. Geronimo Excelente Tutorial, si queremos dividir la navegación por grupos de usuarios o de Ip´s podemos hacerlo ?.. otra cosa existe un bloqueador de paginas por categoría?.. Ejemplo Bloquear Redes Sociales y automáticamente bloquee Facebook, twitter, vengo de Fortinet y el así lo hacía pero estoy buscando otra solución y pfsense me parece una buena. Saludos y Gracias de Antemano

  5. Estimado Amigo :
    por favor ayudame con dos casos :
    1. En la configuracion de reglas, podrias enviar una captura de pantalla para la configuracion de los protocolos de correo SMTP y POP.
    2. En la configuracion de Reglas la pestaña WAN que configuraciones o reglas va. por favor indicarme con una camputura de pantalla.

    Estare muy agredecido.

  6. gracias 😀 me ha servido mucho este post ya hice esas reglas, estoy aprendiendo, lo que si no me queda claro es lo de la DMZ pero luego pregunto. gracias de nuevo.

  7. Srs, necesito habilitar la ip de mi camara para que se pueda acceder desde el internet, cree una regla para que cuando pongan mi ip publica pueda acceder a la ip x.x.x.x que le corresponde a mi camara ip, lo que pasa es que cuando pongo la ip publica me lleva a la ip del pfsense, me pueden dar una ayuda por favor.

    Saludos.

  8. Balancing . I already creoevd load balancing in a series of previous articles (part one part two part three), so I will keep this brief, but I will note that there are two important settings

  9. Una consulta.
    Yo tengo implementado un firewall con Zentyal pero me está generando la problemática con las páginas con certificados SSL ya que tengo que aplicar el filtro por IP pública de cada uno de los dominios (de locos).
    Con PFSense, ¿puedo denegar todo tipo de salida a Internet pero permitir las páginas de trabajo (HTTP y HTTPS) únicamente declarando el dominio?

    Saludos.

  10. hola una consulta y como seria si tenes en la misma red telefonos ip, como dejaria que funcionara sin bloquearlos— muchas gracia

  11. Buenas noches
    Realicé la configuración basica con exito. Instalé el squid e inicie sus servicios. ¿Ahora como le hago para que los clientes se puedan conectar a internet?

  12. Previo saludos, tengo los siguiente problemas, si podria ayudarme:
    1. No puedo acceder a la GUI web pfsense desde otra PC en la misma red
    2. No se muestra la regla anti-lockout en el firewall LAN
    de antemano agradecería su apoyo.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.