Antes de seguir navegando, pincha aquí si quieres aceptar el uso de cookies y cerrar este mensaje.

Volver al inicio
Windows Internet Ofimática Smartphones Linux / Mac Ciberseguridad
Mostrar/Ocultar Menú
Windows Internet Ofimática Smartphones Linux / Mac Ciberseguridad

pfSense Firewall

EN CONSTRUCCIÓN

Para montar un firewall como pfSense que nos permita segregar la red y controlar la entrada/sálida a internet, vamos a utilizar en este caso una máquina virtual en VirtualBox con las siguientes especificaciones:

Si vamos a montar este firewall en un entorno real, siempre dependiendo del volumen de equipos/servidores que tengamos y de la cantidad de tráfico que se genere, pero se recomendaría partir de una máquina virtuaal o física con:

Siguiendo con el entorno de DEMO con el que vamos a trabajar, una vez creada la VM siguiendo los pasos del asistente, y configurados los 2 adaptadores de red, solo nos queda cargar la ISO de pfSense que podemos descargar desde su web oficial y arrancar la máquina.

Descargar pfSense Firewall

Al iniciar el instalador, nos pedirá aceptar las condiciones de usó

licencia pfsense firewall

Pulsamos ENTER en OK para empezar la instalación

instalación pfsense

Dejamos la distribución de teclado por defecto

configurar teclado linux

Dejamos marcado la opción de particionado automático de disco

disco duro pfsense

Esperamos mientras se instala...

instalación pfsense virtualbox

Dejamos marcado NO para indicar que no vamos a hacer ningún cambio en el sistema

instalar pfsense

Pulsamos ENTER en Reboot para que se reinicie el firewall (rápidamente mientras se reinicia le desconectamos la ISO)

reiniciar pfsense

Al volver a arrancar, nos aparecerá la información y menú que se muestra en la siguiente imagen:

pfsense cli

Vamos a la opción 2 para fijar la IP de la interfaz 1 (la que tendremos conectada a internet)

configuración ip pfsense

NOTA si estubiesemos configurando un firewall en un entorno real, en lugar de darle a la interfaz 1 una IP estática del rango de la red interna, lo que tendríamos que hacer es buscar cómo configurar el router en monopuesto (que le pase la IP pública al siguiente equipo) y configurar aquí esa IP.

Ahora, si nos fijamos en la información que nos ha mostrado el firewall al arrancar, en mi caso tiene el mismo direccionamiento tanto en la interfaz 1 (DHCP) como en la red interna, (192.168.1.0/24), por lo tanto será necesario cambiar el direcionamiento de la red interna, y de paso habilitaremos el DHCP que incluye el firewall, repetimos por tanto el asistente de la opción 2

pfsense dhcp red interna

Ahora lo que vamos a hacer en el entorno de DEMO de VirtualBox, es poner un Windows 10 también en red interna y arrancarlo, si todo ha ido bien, vermeos que el PC ya tiene la IP que le ha entregado el firewall, sin embargo todavía no tendremos sálida a Internet

ip equipo pfsense

Desde este mismo equip, abrimos un navegador y vamos a la interfaz web de gestión del firewall:

En el asistente que nos aparecerá al hacer login, nos pedirá el hostname, dominio y los servidores DNS que queramos utilizar, lo ponemos y pinchamos en Next

config pfsense

Podemos dejar el servidor NTP que viene por defecto o poner el que queramos y pinchamos en Next

ntp pfsense

El siguiente apartado es uno de los más importantes si estubiesemo configurando el firewall en un entorno real, aquí es donde tendríamos que copiar la configuración que tenga el router que tengamos y que cómo hemos dicho antes habría que poner en modo monopuesto, de esta forma sería el firewall el que "hablaría" directamente con el ONT (el equipo que nos instalan cuándo nos ponen fibra junto al router)

En el caso de DEMO que estamos configurando en este tutorial, podemos dejar todo tal cúal está y pinchamos en Next

Aquí dejamos también la configuración que ya hemos dado antes a la red interna y pinchamos en Next

red pfsense firewall

Cambiamos la contraseña por defecto con la que hemos entrado a la cuenta de admin y pinchamos Next

password pfsense

En la siguiente pantalla del asistente nos pedirá pulsar reload para cargar los ajustes que hemos ido poniendo, y finalmente nos indicará que ya está todo listo

pfsense instalado

En mi caso, llegaod a este punto, entendía que ya estaba todo configurado y por lo tanto he desconectado y vuelto a conectar la tarjeta de red de Windows del equipo para que el DHCP le entregue la nueva configuración de DNS pero no me ha funcionado, he reiniciado el firewall y lo al momento ha quedado esto resuelto.

Ahora ya podemos navegar desde el equipo, de hecho podemos navegar y hacer cualquier otra conexión, es por lo tanto momento de empezar a bloquear conexiones.

Vamos a Firewall - Rules - LAN - Add y empezamos con una regla que bloquee todo, le llamaremos Deny All

Le damos a Apply changes y ya podremos comprobar que ya no tenemos conexión

Ahora vamos a hacer un par de reglas que nos permitan solamente navegar hacía webs que tengan HTTPS, vamos poer tanto a add

Volvemos a aplicar los cambios, y ahora si intentamos navegar a cualquier web veremos que no podemos, sin embargo https://1.1.1.1 si tiene que funcionarnos, esto es debido a que lo que nos falta es acceso a un DNS, de hecho al DNS que tiene el propió firewall (y que reenviará las peticiones a los DNS que hayamos configurado), vamos a habilitar esta conexión:

Volvemos a darle a Add

Aplicamos los cambios y ya deberíamos poder navegar con normalidad por sitios seguros.

Ahora ya solo sería cuestión de ir creando reglas en función de lo que nos interese permitir y las necesidades de cada uno.

Si quieres resolver cualquier consulta y/o recibir notificaciones sobre los nuevos contenidos que se van a ir subiendo, puedes unirte a nuestro grupo de Telegram