Subido por Arturo Cordova

pfsense

Anuncio
Manual pfsense
Pedro José García Moreno
Manual pfsense | Pedro José García Moreno
Contenido
Contenido ................................................................................................................... 1
Introducción ............................................................................................................... 3
Configuración de interfaz de red ............................................................................... 3
Configuración de acceso seguro (https) ................................................................... 8
Creación de usuario .................................................................................................... 9
Creación de certificado .............................................................................................. 11
Activación del protocolo https .................................................................................... 13
Bloquear página por firewall ................................................................................... 15
Crear Aliases ............................................................................................................ 15
Creación de regla...................................................................................................... 17
Configuración de failover......................................................................................... 19
Configuración de la interfaz ....................................................................................... 19
Configuración de las IPs virtuales .............................................................................. 21
Configuración de reglas del firewall ............................................................................ 24
Activación del servicio ............................................................................................... 26
Ventana de monitorización ........................................................................................ 27
Creación de Vlans ..................................................................................................... 28
Crear Vlan ................................................................................................................ 29
Activar DHCP ............................................................................................................ 33
Configuración de reglas del firewall ............................................................................ 35
Configuración de proxy ............................................................................................ 37
Instalación de paquetes ............................................................................................ 38
Configuración squid .................................................................................................. 41
Configuración squidguard .......................................................................................... 45
Configuración de portal cautivo .............................................................................. 50
Creación de Portal Cautivo ........................................................................................ 50
Creación de usuarios ................................................................................................. 52
1
Manual pfsense | Pedro José García Moreno
Monitorización del tráfico ........................................................................................ 55
Limitar ancho de banda ........................................................................................... 56
Crear limitadores ...................................................................................................... 57
Creación de reglas .................................................................................................... 59
2
Manual pfsense | Pedro José García Moreno
Introducción
PfSense es una distribución personalizada de FreeBSD adaptado para su uso como firewall y
router. Se caracteriza por ser de código abierto, puede ser instalado en una gran variedad de
ordenadores, y además cuenta con una interfaz web sencilla para su configuración.
En la siguiente imagen vemos un ejemplo de cómo debería ir conectado el equipo que tendrá
instalado el software de pfsense
Configuración de interfaz de red
Una vez instalado pfsense lo siguiente será configurar la interfaz de red tanto para la wan
como para la lan, estas configuraciones se deberán realizar mediante el terminal de acceso que
viene con pfsense (sin interfaz gráfica).
3
Manual pfsense | Pedro José García Moreno
Lo primero que debemos hacer es asignar el uso que se les dará a cada interfaz, para esto
seleccionamos la opción 1) Assign Interfaces introduciendo un 1 en la consola y presionando
enter.
Ahora nos preguntara que si vamos a configurar VLANs ahora, introducimos una “n” de no
ya que se explicara más adelante como configurar VLANs de manera gráfica.
Seguidamente nos preguntara que interfaz queremos que actué de wan, en nuestro ejemplo
vamos a seleccionar la interfaz em0 para este fin.
La siguiente pregunta que nos hace es para seleccionar la interfaz que se utilizara para la
red lan, como podemos observar en la imagen ya no aparece la interfaz em0 porque ya la hemos
asignado a la wan, para nuestro ejemplo seleccionaremos la interfaz em1 para la lan.
4
Manual pfsense | Pedro José García Moreno
Posteriormente nos preguntara si tenemos alguna interfaz opcional, sino tenemos otra
interfaz de red lo dejaremos en blanco y pulsaremos enter pero para nuestro ejemplo
asignaremos una interfaz opcional que usaremos más adelante para configurar el failover.
Como ya no tenemos más interfaces y nos pregunta por una segunda interaz opcional lo
dejaremos en blanco y pulsaremos enter.
Una vez finalizado el proceso nos mostrara como va a quedar y si queremos continuar para
guardar los cambios, comprobamos que esta todo correcto e introducimos una “y” de yes para
que guarde los cambios.
Una vez asignadas las interfaces procederemos a configurar la dirección IP que tendrá cada
una.
5
Manual pfsense | Pedro José García Moreno
Para empezar la configuración de las IPs seleccionaremos la opción 2) Set interface(s) IP
address y una vez seleccionada nos aparecerán las interfaces que tenemos asignadas.
Como podemos observar nos aparece un número a la izquierda de cada interfaz esto es para
seleccionar la interfaz que vamos a configurar, nosotros empezaremos configurando la interfaz
wan, para esto introducimos un “1” y presionamos enter.
Lo primero que nos preguntara es que si queremos que la wan se configure automáticamente
usando DHCP porque detecta que está conectada a un router que le suministra una IP, en nuestro
ejemplo le indicaremos que si queremos que se configure automáticamente tanto la IPv4 como
la IPv6.
Por ultimo nos pregunta que si queremos activar la configuración via web, esto es para
realizar las configuraciones con otro equipo mediante interfaz gráfica, nosotros seleccionaremos
que sí.
Ahora pasaremos a configurar la lan, está la configuraremos con una IP estática y con
servidor DCHP.
6
Manual pfsense | Pedro José García Moreno
Como podemos observar ahora no nos pregunta que si queremos que se configure
automáticamente porque esta tarjeta de red no está conectada a un router sino a un switch, por
lo tanto no es la que recibe una IP sino que es la encargada de repartir las IPs a los equipos que
se conectaran.
La primera opción que nos aparecerá será la de que introduzcamos la dirección IP que tendrá
esta tarjeta de red, en nuestro ejemplo le asignaremos la dirección 199.7.2.1.
Lo siguiente será indicarle que mascara de red tendrá, en nuestro caso será 255.255.255.0
que corresponde a una máscara /24 en sistema internacional.
Después nos preguntara que puerta de enlace tiene, en nuestro ejemplo lo dejaremos en
blanco.
Ahora nos pedirá que introduzcamos una dirección IPv6 pero como nosotros no la
utilizaremos la dejaremos en blanco.
Por ultimo nos preguntara si queremos activar el servidor DHCP, ya que esta tarjeta de red
es la que suministrara el servicio a nuestra red local si activaremos el seridor DHCP con un rango
de 11 IPs a repartir.
7
Manual pfsense | Pedro José García Moreno
Como se puede observar en la imagen anterior hemos fijado el rango de IPs a repartir entre
199.7.2.10 y 199.7.2.20.
Una vez finalizada la configuración pfsense nos proporcionara la dirección por la que
podremos acceder a través del navegador para poder configurarlo.
Una vez terminada la configuración debería quedarnos algo parecido a esto:
La configuración de OPT1 se realizara más delante de manera grafica.
Configuración de acceso seguro (https)
La manera más habitual de acceder al Pfsense es mediante un navegador e introduciendo la
dirección http://IP del cortafuego/. Pero para hacer que nuestro acceso para configurar el Pfsense
sea más seguro deberemos habilitar el acceso en modo seguro (https).
8
Manual pfsense | Pedro José García Moreno
Creación de usuario
Pfsense ya tiene un certificado por defecto, pero lo recomendable es crear nuestro propio
certificado para hacer esto necesitaremos crear un usuario que pueda crear los certificados.
Para crear el usuario nos dirigiremos hacia la pestaña system y en el menú desplegable
elegimos la opción de cert. Manager.
Como vemos no nos aparece ningún usuario para crear certificados, para poder crear un
certificado tendremos que crearnos un usuario. Para ello seleccionamos el botón de add situado
en la parte inferior derecha.
9
Manual pfsense | Pedro José García Moreno
Ahora deberemos introducir los datos del usuario que va a crear el certificado. Deberemos
introducir los siguientes datos:







Descriptive name: nombre del usuario
Method: Seleccionar “Create an internal certificate authority”
Country code: Código del país, en nuestro ejemplo “ES”
State or province: Provincia, en nuestro ejemplo “Albacete”
City: Ciudad, en nuestro ejemplo “Hellín”
Organization: En nuestro ejemplo “ELCA”
Email Address: Dirección de correo del usuario en nuestro ejemplo
10
Manual pfsense | Pedro José García Moreno
Al final del proceso nos debería quedar algo parecido a esto:
Creación de certificado
Para crear el certificado nos dirigiremos hacia system, en el menú desplegable elegimos la
opción de cert. Manager una vez en este menú seleccionaremos la pestaña de Certificates y
cómo podemos observar nos aparece el certificado que tiene creado por defecto.
Para empezar a crear nuestro certificado haremos clic en el botón de add.
11
Manual pfsense | Pedro José García Moreno
Ahora nos aparece un formulario en el que deberemos introducir los datos personales para
nuestro servidor, estos datos son los siguientes:










Method: Seleccionamos “Create an internal certificate”
Descriptive name: Nombre que tendrá el certificado
Certiicate authority: Usuario que está creando el certificado en nuestro ejemplo
es “Pedro_cert”
Lifetime (days): Tiempo de vida del certificado
Country code: Codigo del país, en nuestro ejemplo es “ES”
State or province: Provincia, en nuestro ejemplo es “Albacete”
City: Ciudad, en nuestro ejemplo es “Hellin”
Organization: Organización, en nuestro ejemplo es “ELCA”
Email Address: Direccion de correo
Common name: Direccion del servidor, en nuestro ejemplo es “MASTER.ELCA”
12
Manual pfsense | Pedro José García Moreno
Una vez terminado deberían aparecernos dos certificados, uno el que tienen por defecto
pfsense y otro creado por nosotros tal y como se muestra en la imagen siguiente.
Activación del protocolo https
Para activar el acceso seguro nos dirigiremos hacia la pestaña system y en el menú
desplegable seleccionaremos la opción de advanced.
13
Manual pfsense | Pedro José García Moreno
Una vez dentro del menú adanced nos dirigiremos hacia el apartado de admin Access y
configuraremos los siguientes parámetros:






Protocol: Elegiremos el protocolo que usaremos para acceder, como queremos que
cada vez que accedamos sea de manera segura elegiremos el protocolo https
SSL Certificate: Seleccionaremos el certificado que se va a usar para certificar que
es una página segura, en nuestro ejemplo usaremos Certificado_Pedro
TCP port: Puerto por el que accederemos de manera segura.
Max processes: Aquí indicaremos el número máximo de usuarios que pueden
acceder a configurar pfsense al mismo tiempo.
WebGUI redirect debe estar marcado para deshabilitar la escucha por el puerto
80, a la vez que escucha por el 10443, ya que solo se quiere acceso exclusivo por
https.
WebGUI Login Autocomplete se selecciona para deshabilitar el autocompletado
por parte del navegador ya que es preferible que éste no guarde las credenciales
por seguridad.
Una vez finalizado guardamos los cambios y los aplicamos para que tengan efecto.
14
Manual pfsense | Pedro José García Moreno
Una vez hecho esto se recargará la página y ya podremos acceder de manera segura.
Para poder acceder posteriormente deberemos introducir la dirección https://IP:Puerto en
nuestro ejemplo deberemos introducir https://199.7.2.1:10007.
Bloquear página por firewall
En este apartado aprenderemos como podemos bloquear una página web utilizando una
regla en el cortafuego, por lo que crearemos aliases y luego las usaremos para bloquear las
paginas deseadas.
Crear Aliases
Para realizar esta operación nos dirigiremos hacia la pestaña Firewall y en el menú
desplegable seleccionaremos la opción de Aliases.
15
Manual pfsense | Pedro José García Moreno
Una vez dentro de este menú podemos observar que la primera vez que accedemos no
tenemos ningún aliase creado, para crearlo presionaremos el botón Add.
En el formulario de configuración introduciremos los siguientes datos:



Name: pondremos un nombre para identificar el alias.
Type: seleccionaremos el tipo de dirección que introduciremos, en nuestro ejemplo
hemos elegido Host.
IP or FQDN: introduciremos la dirección de la página a bloquear.
Para saber la dirección IP de una página abriremos una consola de comandos e
introduciremos la orden “nslookup dominio.dominio”, esto nos mostrara todas las IPs asociadas
a ese dominio, en nuestro ejemplo bloquearemos la página de youtube.
16
Manual pfsense | Pedro José García Moreno
Una vez guardados los cambios nos aparecerá el alias que acabamos de crear y una ventana
para aplicar los cambios, presionamos el botón de aplicar cambios y ya tendríamos nuestro alias
creado.
Creación de regla
Ahora vamos a crear una regla en el cortafuegos para bloquear la página de YouTube, por
lo que nos dirigiremos hacia la pestaña de Firewall y en el menú desplegable seleccionaremos
la opción de Rules.
Una vez dentro de este menú nos dirigiremos hacia el apartado de LAN, ya que en nuestro
ejemplo queremos que afecte a todos los equipos que estarán conectados a nuestra red, y
presionamos el botón Add con la flecha hacia arriba.
17
Manual pfsense | Pedro José García Moreno
En el formulario de configuración introduciremos los siguientes datos:


Action: seleccionaremos la opción de block para que bloque la página.
Destination: seleccionaremos Single host or alias e introduciremos el nombre que
le pusimos al alias que creamos anteriormente.
Por ultimo guardamos los cambios y nos debería quedar algo parecido a la siguiente imagen
en la que aparecen las reglas creadas por defecto y la que nosotros acabamos de crear.
18
Manual pfsense | Pedro José García Moreno
Configuración de failover
Esta configuración se realiza para mejorar la disponibilidad del servicio; para ello
necesitaremos dos equipos con el software pfsense instalado, además cada equipo deberá contar
con al menos tres tarjetas de red, una para la interfaz wan, otra para la interfaz lan y la última
para que estos dos equipos se sincronicen.
Configuración de la interfaz
Para configurar la interfaz que usaremos para que se sincronicen el MASTER y el BACKUP
nos dirigiremos hacia la pestaña Interfaces y en el menú desplegable seleccionamos (assign).
En el apartado de Interface assignments hacemos clic sobre el nombre de la interfaz a
configurar, en nuestro caso será OPT1.
19
Manual pfsense | Pedro José García Moreno
Una vez dentro de la configuración de la interfaz modificamos los siguientes parámetros:





Enable: Habilitamos la tarjeta de red
Desccription: Poner un nombre, nosotros hemos elegido SYNC
IPv4 configuration type: Le pondremos una IP estatica por lo tanto
seleccionaremos “static IP4”
IP4 address: Pondremos la dirección IP que tendrá la tarjeta, la de nuestro ejemplo
será 199.7.3.1 para el master y 199.7.3.2 para el backup.
/: Seleccionaremos la máscara de red que tendrá la dirección IP de la tarjeta, para
nuestro ejemplo será 24.
20
Manual pfsense | Pedro José García Moreno
Por ultimo guardamos los cambios y los aplicamos estos cambios para que tengan efecto
inmediato.
Esta configuración se realizara en los dos equipos con pfsensen, uno es el master y el otro
es el backup, introduciendo la dirección IP correspondiente a cada uno.
Configuración de las IPs virtuales
Las IPs virtuales sirven para agrupar los dos equipos con el software de pfsense instalado y
que así tengan comunicación entre sí para poder sincronizarse.
Para crear estas IPs nos dirigiremos hacia la pestaña de firewall y en el menú desplegable
seleccionaremos virtual IPs.
Como podemos observar no hay ninguna IP virtual creada, para crearla hacemos clic sobre
el botón de add.
21
Manual pfsense | Pedro José García Moreno
En el formulario de configuración introduciremos los siguientes datos:







Type: Seleccionaremos el tipo de IP virtual, para hacer el failover seleccionaremos
CARP
Interface: Seleccionar la interfaz sobre la que actuara, nosotros crearemos una
para la wan y otra para la lan.
Address(es): Direccion IP que tendrá la IP virtual, para este ejemplo la IP virtual
de la wan tendrá la dirección 192.168.1.157 y la lan tendrá la dirección 199.7.2.3
/: Seleccionaremos la máscara de red que tendrá la IP virtual.
Virtual IP password: Pondremos una contraseña para que se validen tanto en el
master como en el backup.
VHID group: Seleccionaremos el grupo al que pertenecerá la IP virtual, este debe
ser un grupo para las IPs virtuales de la wan y otro para las IPs virtuales de la lan,
además tienen que coincidir los grupos tanto en el master como en el backup.
Description: Introduciremos un nombre para identificar la IP irtual.
Una vez guardada la configuración aplicamos los cambios realizados y ya tendríamos la IP
virtual de la wan.
22
Manual pfsense | Pedro José García Moreno
Ahora realizamos la misma operación para crear la IP virtual para la interfaz lan, a
continuación se muestran en la imagen los datos que usaremos para nuestro ejemplo.
Una vez guardada la configuración y aplicada debería quedarnos algo como lo que aparece
en la siguiente imagen.
Como podemos observar en la interfaz wan tenemos el VHID en 1 y en la interfaz lan tenemos
el VHID en 2.
Esta configuración se realizara tanto en el master como en el backup con los mismos datos
en uno y en el otro.
23
Manual pfsense | Pedro José García Moreno
Configuración de reglas del firewall
Para que se sincronicen deberemos crear una regla en el firewall para que los dos equipos
tengan comunicación y así poder sincronizarse.
Para hacer esto nos dirigiremos hacia la pestaña firewall
seleccionaremos la opción de rules.
y en el menú desplegable
Una vez dentro de las reglas seleccionaremos la opción de SYNC ya que esta es la interfaz
que usamos para el failover y si recordamos SYNC es el nombre que le asignamos en nuestro
ejemplo.
Para empezar a crear la regla que permitirá el tráfico a través de esta interfaz presionamos
cualquiera de los botones add ya que no hay ninguna regla establecida y la que nosotros creemos
será la primera.
24
Manual pfsense | Pedro José García Moreno
Los datos que introduciremos serán los siguientes:



Action: Pass para permitir el trafico
Interface: seleccionaremos la interfaz SYNC
Protocol: Any para permitir todo el tráfico que se genere entre las maquinas
Por ultimo guardamos cambios, cuando nos redirigirá hacia el listado de reglas, aplicaremos
los cambios para que tengan efecto inmediato.
Esta configuración se realizara en los dos equipos, en el master y en el backup.
25
Manual pfsense | Pedro José García Moreno
Activación del servicio
Para poner en funcionamiento este servicio que nos ofrece pfsense nos dirigiremos hacia la
pestaña de system y en el menú desplegable seleccionaremos la opción de high avail. Sync.
Nos aparecerá un formulario en el cual deberemos introducir los siguientes datos:






Synchronize states: Marcaremos la casilla para que se active el servicio.
Synchronize Interface: Seleccionaremos la interfaz que usaremos para la
sincronización, que en nuestro ejemplo le hemos asignado el nombre de SYNC.
Synchronize Config to IP: Aquí debemos indicarle la dirección IP que tendrá la
tarjeta de red utilizada por el otro equipo en la sincronización, esto quiere decir que
en nuestro ejemplo en el master debemos introducir la dirección del backup.
Remote System Username: Introducir el nombre de un usuario administrador del
otro equipo, en nuestro ejemplo será admin.
Remmote System Password: Introducir la contraseña del usuario anterior con la
confirmación de que no tenga errores.
Select options to sync: Seleccionaremos los objetos y configuraciones que
deseamos que se sincronicen entre las dos máquinas, esta opción solo se realizara
en el master.
26
Manual pfsense | Pedro José García Moreno
Una vez guardada la configuración realizaremos la misma operación en el backup con la
excepción de las opciones de sincronización que las dejaremos sin marcar.
Ventana de monitorización
Opcionalmente si queremos tener información del estado en el que se encuentra este servicio
podremos añadir un cuadro que nos proporcionara dicha información.
Para esto nos dirigiremos hacia la pantalla de inicio del cortafuego y haremos clic sobre el
símbolo “+” que aparece en la parte superior a la derecha.
27
Manual pfsense | Pedro José García Moreno
Seguidamente nos aparecerá una lista con todas las ventanas de información que podremos
añadir a la pantalla principal, para el estado del failover seleccionaremos la opción de CARP
Status.
Ahora ya nos aparecerá el cuadro con las interfaces, la dirección IP que tienen y el estado
en el que se encuentra.
Creación de Vlans
Una VLAN (red de área local virtual), es un método para crear redes lógicas independientes
dentro de una misma red física. Varias VLAN pueden coexistir en un único conmutador físico o
en una única red física. Son útiles para reducir el tamaño del dominio de difusión y ayudan en la
administración de la red, separando segmentos lógicos de una red de área local.
28
Manual pfsense | Pedro José García Moreno
Crear Vlan
Para empezar a crear una VLAN nos dirigiremos hacia la pestaña interfaces y en el menú
desplegable seleccionaremos la opción de (assign).
En el menú al que accedemos seleccionaremos la opción de VLANs y cómo podemos
observar la primera vez que accedemos no aparece ninguna. En este menú presionaremos el
botón de add para empezar a crear una VLAN.
En el formulario que nos aparecerá deberemos introducir los siguientes datos:


Parent Interface: seleccionaremos la tarjeta de red física sobre la que trabajara
esta VLAN, en nuestro ejemplo hemos seleccionado la que asignamos para la red
lan.
Description: aquí introduciremos un nombre identificativo para la VLAN, en nuestro
ejemplo le hemos puesto en nombre de VLAN_1.
29
Manual pfsense | Pedro José García Moreno
Una vez guardados los cambios volveremos automáticamente al menú anterior y ahora nos
aparecerá la VLAN que acabamos de crear.
Ahora deberemos activar la VLAN, por lo que nos dirigiremos hacia el apartado de Interface
Assignments, como podemos observar aparecerá una línea con un menú desplegable que nos
indica las VLANs que hay para activar.
Una vez seleccionada la VLAN que deseamos, en nuestro ejemplo será la VLAN_1 creada
anteriormente, presionamos el botón de add y nos aparecerá como una interfaz más.
30
Manual pfsense | Pedro José García Moreno
Para configurar la interfaz lógica que contendrá la VLAN haremos clic sobre el nombre de
esta.
En el formulario de configuración deberemos introducir los siguientes datos:





Enable: Activaremos esta opción para habilitar la VLAN.
Description: Introduciremos un nombre descriptivo para esta interfaz lógica, en
nuestro ejemplo la llamaremos igual que la VLAN, VLAN_1.
IPv4 Configuration Type: Seleccionaremos una IP estática.
IPv4 Address: Introduciremos la IP que tendrá esta interfaz, en nuestro ejemplo
será 199.7.10.1
/: Seleccionaremos la máscara de red que tendrá, en nuestro ejemplo será de 24.
31
Manual pfsense | Pedro José García Moreno
Una vez guardados los cambios nos aparecerá un cuadro para aplicar los cambios,
presionaremos el botón de apply changes.
Una vez aplicados los cambios comprobamos que la VLAN aparece en el apartado de
interfaces.
32
Manual pfsense | Pedro José García Moreno
Activar DHCP
Para activar el servidor DHCP en la VLAN nos dirigiremos hacia la pestaña Services y en el
menú desplegable seleccionaremos la opción de DHCP Server.
Una vez dentro de este menú nos dirigiremos hacia el apartado de la VLAN en la que
queramos activar el servidor DHCP, en nuestro ejemplo nos dirigiremos hacia VLAN_1 ya que es
la VLAN creada anteriormente.
33
Manual pfsense | Pedro José García Moreno
En el formulario de configuración deberemos introducir los siguientes datos:


Enable: Dejaremos la opción seleccionada para activar el servidor DHCP.
Range: Introduciremos un rango de asignación de IPs dentro de la misma red que
la VLAN, en nuestro ejemplo la VLAN tiene la dirección 199.7.10.1/24 por lo tanto
hemos elegido el rango que abarca desde 199.7.10.10 hasta la dirección
199.7.10.20.
Por ultimo guardamos la configuración y ya tendríamos el servidor DHCP activo para esta
VLAN.
34
Manual pfsense | Pedro José García Moreno
Configuración de reglas del firewall
Por ultimo para que la VLAN que hemos creado tenga acceso a internet deberemos crear
una regla en al cortafuego para permitir el tráfico.
Para esto nos dirigiremos hacia la pestaña Firewall y en el menú desplegable
seleccionaremos la opción de Rules.
Una vez dentro del menú nos dirigiremos hacia el apartado de la VLAN que hemos creado,
en nuestro ejemplo como la hemos llamado VLAN_1 nos aparece un apartado con este nombre.
Como podemos observar todavía no hay ninguna regla establecida en el cortafuego, con lo
cual todo el tráfico será bloqueado, para que esto no ocurra añadiremos una regla que permita
la circulación de todo el tráfico por lo que presionaremos cualquiera de los botones add.
35
Manual pfsense | Pedro José García Moreno
En el formulario de configuración introduciremos los siguientes parámetros:



Action: Seleccionaremos la opción pass para permitir el trafico
Interface: Seleccionaremos la interfaz sobre la que actuara la regla
Protocol: seleccionaremos any para indicar que afectara a todo el trafico
Guardamos los cambios y nos redirigirá al menú anterior pero ahora nos aparecerá la regla
que acabamos de crear y un cuadro para aplicar los cambios.
Para finalizar aplicaremos los cambios y ya tendríamos nuestra VLAN creada y configurada.
36
Manual pfsense | Pedro José García Moreno
Si en un futuro queremos saber si esta activa esta nos aparecerá en el cuadro de interfaces
del menú principal de pfsense, la flecha verde hacia arriba nos indica que esta activa.
Configuración de proxy
Los servidores proxy permiten proteger y mejorar el acceso a las páginas web, al conservarlas
en la caché. De este modo, cuando un navegador envía una petición para acceder a una página
web, que previamente ha sido almacenada en la caché, la respuesta y el tiempo de visualización
es más rápido.
Los servidores proxy aumentan también la seguridad, ya que pueden filtrar cierto contenido
web y programas maliciosos.
37
Manual pfsense | Pedro José García Moreno
Instalación de paquetes
Para poder configurar un servidor proxi en Pfsense deberemos instalar los paquetes
necesarios, en nuestro ejemplo hemos elegido los paquetes de SQUID para nuestro servidor
proxy.
La instalación de paquetes se realiza desde la pestaña System y seleccionando en el menú
desplegable la opción de Package Manager.
Una vez en este menú comprobamos los paquetes que temenos instalados, para ello nos
dirigimos hacia el apartado de Installed Packages, en nuestro ejemplo comprobamos que no
tenemos paquetes instalados.
38
Manual pfsense | Pedro José García Moreno
Ahora nos dirigiremos hacia el apartado Available Packages e introducimos “squid” en el
cuadro de búsqueda y presionamos en Search.
Instalaremos los paquetes de squid y squidguard por lo que tendremos que presionar en
el botón de install y esto nos dirigirá hacia el asistente de instalación de cada uno de los
paquetes.
1
2
Una vez en el asistente de instalación, que es el apartado de Packager Installer que nos
aparecerá tras pulsar anteriormente en Install, nos preguntara que si es este el paquete que
queremos instalar, presionaremos en Confirm.
39
Manual pfsense | Pedro José García Moreno
Una vez confirmado que este es el paquete que instalaremos comenzara la instalación.
Cuando nos aparezca el mensaje de “installation successfully completed” ya habrá terminado
y podremos proceder a la instalación del otro paquete.
40
Manual pfsense | Pedro José García Moreno
Una vez instalados los dos paquetes estos nos aparecerán en la pestaña de services y
aparecerán tres opciones en el menú desplegable.
Configuración squid
Ahora vamos a configurar un proxi para bloquear las páginas web que introduzcamos, en
nuestro ejemplo bloquearemos la página de marca y la de pordede, para esto nos dirigimos hacia
la pestaña Services y en el menú desplegable seleccionaremos la opción de Squid Proxy
Server.
41
Manual pfsense | Pedro José García Moreno
Una vez dentro del menú de configuración del servidor proxi nos dirigiremos hacia el apartado
de Local Cache y no cambiaremos ninguna opción, solo presionaremos el botón de guardar para
que genere el archivo de cache.
Ahora nos dirigiremos hacia el apartado de General, aquí intruduciremos los siguientes
datos:





Enable Squid Proxy: Marcaremos esta opción para activar SQUID.
Keep Settingd/Data: Marcaremos esta opción para que use el archivo cache.
Proxy Interface: seleccionaremos la interfaz sobre la que actuará, en nuestro caso
será la interfaz de LAN.
Allow Use ron Interfaces: marcaremos esta opción para que afecte a todos los
usuarios.
Transparent HTTP Proxy: marcaremos esta opción para que el proxy sea
transparente al usuario.
42
Manual pfsense | Pedro José García Moreno
Pulsaremos el botón Save que esta al final del formulario de configuración para guardar los
cambios que hemos realizado.
43
Manual pfsense | Pedro José García Moreno
Por ultimo nos dirigiremos al apartado ACLs para indicar las páginas que queremos bloquear.
En el formulario de configuración nos dirigiremos hacia la opción de Blacklist, aquí
indicaremos las páginas que bloqueara SQUID, en nuestro ejemplo bloquearemos las páginas de
marca y pordede.
Ya para finalizar guardaremos la configuración y nuestro servidor proxy estará en
funcionamiento y bloqueará las paginas indicadas.
Para comprobar que funciona correctamente intentamos acceder a cualquiera de las páginas
bloqueadas desde un equipo que este en nuestra red.
44
Manual pfsense | Pedro José García Moreno
Configuración squidguard
Ahora procederemos a configurar un proxi para bloquear listas de páginas web, en nuestro
ejemplo bloquearemos las listas de porno, para realizar esto nos dirigimos hacia la pestaña
Services y en el menú desplegable seleccionaremos la opción de Squidguard Proxy Filter.
Una vez dentro de este menú nos dirigiremos hacia el apartado de General settings y cómo
podremos observar la primera vez que accedemos nos encontraremos que el servicio de squid
guard está detenido.
45
Manual pfsense | Pedro José García Moreno
Procederemos a iniciar el servicio y empezaremos a configurarlo, por lo que deberemos
marcar la opción de enable y pulsar en el botón de apply.
En este mismo formulario de configuración nos dirigiremos hacia la parte final en
introduciremos los siguientes datos:




Enable GUI log: marcaremos esta opción para crear un archivo log con los accesos
a paginas.
Eneble log: marcaremos esta opción para crear un archivo log con las paginas que
se bloquean.
Blacklist: marcaremos esta opción para activar la lista negra de paginas.
Blacklist URL: introduciremos la dirección desde donde obtendremos las listas
negras, en nuestro ejemplo será “http://www.shallalist.de/Downloads/
shallalist.tar.gz”
46
Manual pfsense | Pedro José García Moreno
Si nos dirigimos hacia el apartado de Common ACL podemos observar que solo tenemos
una lista que hace referencia a todo el tráfico que circulara y está configurada para denegarlo.
Para añadir listas nos dirigiremos hacia el apartado de Blacklist.
Aquí introduciremos la dirección desde donde se descargarán las listas.
47
Manual pfsense | Pedro José García Moreno
Una vez introducida la dirección presionaremos el botón de Download para empezar a
descargar las listas.
Una vez completada la descarga volvemos al apartado de Common ACL y ahora
presionando en el símbolo + de la opción Target Rule List nos aparecerán las listas.
48
Manual pfsense | Pedro José García Moreno
En nuestro ejemplo bloquearemos las páginas de porno y las de webmail, para esto
seleccionamos en access la opción de deny y en la lista de Default Access [all] seleccionaremos
en access la opción de alloy para permitir el resto del tráfico.
Por ultimo en el final del formulario de configuración pulsaremos el botón de Save para
guardar la configuración.
Para que la configuración actual tenga efecto debemos dirigirnos hacia el apartado de
General settings y aquí presionaremos el botón de Apply para aplicar los cambios.
49
Manual pfsense | Pedro José García Moreno
Para comprobar que funciona correctamente intentamos acceder a cualquiera de las paginas
bloqueadas desde un equipo que este en nuestra red.
Configuración de portal cautivo
Un portal cautivo es un programa o máquina de una red informática que vigila el tráfico
HTTP y fuerza a los usuarios a pasar por una página especial si quieren navegar por Internet de
forma normal. El programa intercepta todo el tráfico HTTP hasta que el usuario se autentifica.
Creación de Portal Cautivo
Lo primero que haremos será crear el portal cautivo para nuestra red LAN, para ello nos
dirigiremos hacia la pestaña Services y en el menú desplegable seleccionaremos la opción de
Captive Portal.
50
Manual pfsense | Pedro José García Moreno
Dentro de este menú podemos observar que la primera vez que accedamos no hay ningún
portal creado, para crear uno presionaremos el botón Add.
En la primera parte del formulario de configuración introduciremos el nombre que tendrá el
portal y una descripción de este, una vez hecho esto presionaremos el botón Save & Continue.
En la siguiente parte del formulario de configuración marcaremos la opción de Enable
Captive Portal para activarlo e introducir los siguientes datos:


Interfaces: la interfaz sobre la que actuará, en nuestro ejemplo será en le LAN.
Authentication method: seleccionaremos local user manager/vouchers para
acceder con usuarios que estén creados en pfsense.
51
Manual pfsense | Pedro José García Moreno
Una vez hecho esto presionaremos el botón Save situado en la parte inferior del formulario
de configuración para guardar los cambios.
Creación de usuarios
Ahora explicaremos como crear usuarios para el portal cautivo, para crear usuarios nos
dirigiremos hacia la pestaña System y en el menú desplegable seleccionaremos la opción de
User Manager.
En este menú veremos el usuario admin que es con el que hemos accedido hasta ahora para
configurar pfsense, para empezar a crear un usuario presionaremos el botón Add.
52
Manual pfsense | Pedro José García Moreno
En el formulario de configuración introduciremos los datos de Username, es el nombre de
usuario que tendrá para identificarse y Password, que sera la contraseña que utilice para
identificarse.
Una vez introducidos estos datos pulsaremos el botón Save para guardar los datos de este
usuario.
Ahora ya nos aparecerá el usuario que acabamos de crear y el usuario admin.
53
Manual pfsense | Pedro José García Moreno
Para comprobar que funciona correctamente intentamos acceder a cualquier página desde
un equipo que este en nuestra red y nos debería aparecer un formulario preguntándonos el
nombre de usuario y la contraseña.
En este formulario introduciremos los datos del usuario que acabamos de crear y nos
identificaremos.
54
Manual pfsense | Pedro José García Moreno
Y ya podríamos navegar sin tener que volver a identificarse hasta la próxima sesión.
Monitorización del tráfico
Pfsense dispone de una herramienta que nos permite observar el ancho de banda que está
consumiendo cada equipo que está conectado a nuestra red, para ver esto nos dirigiremos hacia
la pestaña Status y en el menú desplegable seleccionaremos la opción de Traffic Graph.
55
Manual pfsense | Pedro José García Moreno
En este menú tenemos dos secciones, la primera es la de Graph Settings que aquí es donde
podremos configurar las opciones de visualización de la gráfica pudiendo elegir la interfaz y los
datos que se mostraran, la segunda parte es la gráfica y los datos sobre los equipos.
Limitar ancho de banda
Esto puede resultar muy útil cuando tenemos en nuestra muchos equipos conectados ya que
podemos limitar el ancho de banda que recibirá cada equipo y así lograr que todos los equipos
tengan la misma velocidad por lo que evitaremos que un solo equipo acapare todo el ancho de
banda del que dispondremos.
Como prueba hemos hecho un test de velocidad en la página Speedtest y hemos obtenido
como resultado que tenemos una velocidad de bajada de 128 Mbps y una velocidad de subida de
25 Mbps.
56
Manual pfsense | Pedro José García Moreno
Crear limitadores
Lo primero será crear los limitadores que usaremos para restringir las conexiones, para esto
nos dirigiremos hacia la pestaña de Firewall y en el menú desplegable seleccionaremos la opción
de Traffic Shaper.
En este menú nos dirigiremos hacia el apartado Limiters y cómo podemos observar la
primera vez que accedemos a este menú no tendremos creado limitadores, para empezar a crear
uno presionaremos el botón de New Limiter.
En el formulario de configuración introduciremos los siguientes datos:



Enable: marcaremos esta opción para habilitar el limitador.
Name: introduciremos un nombre para este limitador.
Bandwidth: introduciremos el ancho de banda que tendrá, en nuestro caso
limitaremos la bajada a 5Mbps.
57
Manual pfsense | Pedro José García Moreno
Guardamos los cambios y nos aparecerá un cuadro para aplicar los cambios, presionamos el
botón Apply Changes para apicarlos.
Una vez aplicados los cambios ya tendremos nuestro limitador de bajada creada y ahora
procederemos a crear el limitador de subida presionando otra vez el botón de New Limiter.
En el formulario de configuración introduciremos los siguientes datos:



Enable: marcaremos esta opción para habilitar el limitador.
Name: introduciremos un nombre para este limitador.
Bandwidth: introduciremos el ancho de banda que tendrá, en nuestro caso
limitaremos la bajada a 2Mbps.
58
Manual pfsense | Pedro José García Moreno
Guardamos los cambios y nos aparecerá un cuadro para aplicar los cambios, presionamos el
botón Apply Changes para apicarlos.
Una vez aplicados los cambios ya tendremos nuestro dos limitadores creador, uno de bajada
y el otro de subida.
Creación de reglas
Para que los limitadores que hemos creado surjan efecto deberemos crear una regla en el
cortafuegos, por lo que nos dirigiremos hacia la pestaña Firewall y en el menú desplegable
seleccionaremos la opción de Rules.
59
Manual pfsense | Pedro José García Moreno
En este menú nos dirigiremos hacia el apartado de LAN ya que queremos que afecte a todos
los equipos que se conecten a nuestra red, por lo tanto si solo quisiéramos que afectara por
ejemplo a una VLAN deberíamos dirigirnos hacia el apartado de la VLAN en concreto a la que
afectaría, y presionamos el botón Add con la flecha hacia arriba.
En el formulario de configuración introduciremos los siguientes datos:



Action: seleccionaremos la opción pass para permitir el tráfico.
Interface: seleccionaremos la interfaz LAN para que afecte a todos los equipos.
Protocol: seleccionaremos any para que afecte a todo el tráfico.
Ahora nos dirigiremos hacia el final del formulario y en el apartado de Extra Options
presionaremos el botón de Advanced Options.
60
Manual pfsense | Pedro José García Moreno
Una vez que hallamos pulsado el botón podremos observar que aparecen más opciones de
configuración, para la opción de los limitadores nos dirigimos hacia el final del formulario y en la
opción de In/Out pipe pondremos en el cuadro de selección de la izquierda el limitador de
subida y en el cuadro de selección de la derecha seleccionaremos el limitador de bajada.
Por ultimo pulsaremos el botón de Save y nos redirigirá al menú de las reglas, aquí aplicamos
los cambios y ya tendríamos nuestros limitadores funcionando.
Para comprobar que funciona volvemos a hacer un test de velocidad en la página Speedtest
y ahora obtenemos como resultado que tenemos una velocidad de bajada de 4.84 Mbps y una
velocidad de subida de 1.91 Mbps.
61
Manual pfsense | Pedro José García Moreno
62
Descargar