Manual pfsense Pedro José García Moreno Manual pfsense | Pedro José García Moreno Contenido Contenido ................................................................................................................... 1 Introducción ............................................................................................................... 3 Configuración de interfaz de red ............................................................................... 3 Configuración de acceso seguro (https) ................................................................... 8 Creación de usuario .................................................................................................... 9 Creación de certificado .............................................................................................. 11 Activación del protocolo https .................................................................................... 13 Bloquear página por firewall ................................................................................... 15 Crear Aliases ............................................................................................................ 15 Creación de regla...................................................................................................... 17 Configuración de failover......................................................................................... 19 Configuración de la interfaz ....................................................................................... 19 Configuración de las IPs virtuales .............................................................................. 21 Configuración de reglas del firewall ............................................................................ 24 Activación del servicio ............................................................................................... 26 Ventana de monitorización ........................................................................................ 27 Creación de Vlans ..................................................................................................... 28 Crear Vlan ................................................................................................................ 29 Activar DHCP ............................................................................................................ 33 Configuración de reglas del firewall ............................................................................ 35 Configuración de proxy ............................................................................................ 37 Instalación de paquetes ............................................................................................ 38 Configuración squid .................................................................................................. 41 Configuración squidguard .......................................................................................... 45 Configuración de portal cautivo .............................................................................. 50 Creación de Portal Cautivo ........................................................................................ 50 Creación de usuarios ................................................................................................. 52 1 Manual pfsense | Pedro José García Moreno Monitorización del tráfico ........................................................................................ 55 Limitar ancho de banda ........................................................................................... 56 Crear limitadores ...................................................................................................... 57 Creación de reglas .................................................................................................... 59 2 Manual pfsense | Pedro José García Moreno Introducción PfSense es una distribución personalizada de FreeBSD adaptado para su uso como firewall y router. Se caracteriza por ser de código abierto, puede ser instalado en una gran variedad de ordenadores, y además cuenta con una interfaz web sencilla para su configuración. En la siguiente imagen vemos un ejemplo de cómo debería ir conectado el equipo que tendrá instalado el software de pfsense Configuración de interfaz de red Una vez instalado pfsense lo siguiente será configurar la interfaz de red tanto para la wan como para la lan, estas configuraciones se deberán realizar mediante el terminal de acceso que viene con pfsense (sin interfaz gráfica). 3 Manual pfsense | Pedro José García Moreno Lo primero que debemos hacer es asignar el uso que se les dará a cada interfaz, para esto seleccionamos la opción 1) Assign Interfaces introduciendo un 1 en la consola y presionando enter. Ahora nos preguntara que si vamos a configurar VLANs ahora, introducimos una “n” de no ya que se explicara más adelante como configurar VLANs de manera gráfica. Seguidamente nos preguntara que interfaz queremos que actué de wan, en nuestro ejemplo vamos a seleccionar la interfaz em0 para este fin. La siguiente pregunta que nos hace es para seleccionar la interfaz que se utilizara para la red lan, como podemos observar en la imagen ya no aparece la interfaz em0 porque ya la hemos asignado a la wan, para nuestro ejemplo seleccionaremos la interfaz em1 para la lan. 4 Manual pfsense | Pedro José García Moreno Posteriormente nos preguntara si tenemos alguna interfaz opcional, sino tenemos otra interfaz de red lo dejaremos en blanco y pulsaremos enter pero para nuestro ejemplo asignaremos una interfaz opcional que usaremos más adelante para configurar el failover. Como ya no tenemos más interfaces y nos pregunta por una segunda interaz opcional lo dejaremos en blanco y pulsaremos enter. Una vez finalizado el proceso nos mostrara como va a quedar y si queremos continuar para guardar los cambios, comprobamos que esta todo correcto e introducimos una “y” de yes para que guarde los cambios. Una vez asignadas las interfaces procederemos a configurar la dirección IP que tendrá cada una. 5 Manual pfsense | Pedro José García Moreno Para empezar la configuración de las IPs seleccionaremos la opción 2) Set interface(s) IP address y una vez seleccionada nos aparecerán las interfaces que tenemos asignadas. Como podemos observar nos aparece un número a la izquierda de cada interfaz esto es para seleccionar la interfaz que vamos a configurar, nosotros empezaremos configurando la interfaz wan, para esto introducimos un “1” y presionamos enter. Lo primero que nos preguntara es que si queremos que la wan se configure automáticamente usando DHCP porque detecta que está conectada a un router que le suministra una IP, en nuestro ejemplo le indicaremos que si queremos que se configure automáticamente tanto la IPv4 como la IPv6. Por ultimo nos pregunta que si queremos activar la configuración via web, esto es para realizar las configuraciones con otro equipo mediante interfaz gráfica, nosotros seleccionaremos que sí. Ahora pasaremos a configurar la lan, está la configuraremos con una IP estática y con servidor DCHP. 6 Manual pfsense | Pedro José García Moreno Como podemos observar ahora no nos pregunta que si queremos que se configure automáticamente porque esta tarjeta de red no está conectada a un router sino a un switch, por lo tanto no es la que recibe una IP sino que es la encargada de repartir las IPs a los equipos que se conectaran. La primera opción que nos aparecerá será la de que introduzcamos la dirección IP que tendrá esta tarjeta de red, en nuestro ejemplo le asignaremos la dirección 199.7.2.1. Lo siguiente será indicarle que mascara de red tendrá, en nuestro caso será 255.255.255.0 que corresponde a una máscara /24 en sistema internacional. Después nos preguntara que puerta de enlace tiene, en nuestro ejemplo lo dejaremos en blanco. Ahora nos pedirá que introduzcamos una dirección IPv6 pero como nosotros no la utilizaremos la dejaremos en blanco. Por ultimo nos preguntara si queremos activar el servidor DHCP, ya que esta tarjeta de red es la que suministrara el servicio a nuestra red local si activaremos el seridor DHCP con un rango de 11 IPs a repartir. 7 Manual pfsense | Pedro José García Moreno Como se puede observar en la imagen anterior hemos fijado el rango de IPs a repartir entre 199.7.2.10 y 199.7.2.20. Una vez finalizada la configuración pfsense nos proporcionara la dirección por la que podremos acceder a través del navegador para poder configurarlo. Una vez terminada la configuración debería quedarnos algo parecido a esto: La configuración de OPT1 se realizara más delante de manera grafica. Configuración de acceso seguro (https) La manera más habitual de acceder al Pfsense es mediante un navegador e introduciendo la dirección http://IP del cortafuego/. Pero para hacer que nuestro acceso para configurar el Pfsense sea más seguro deberemos habilitar el acceso en modo seguro (https). 8 Manual pfsense | Pedro José García Moreno Creación de usuario Pfsense ya tiene un certificado por defecto, pero lo recomendable es crear nuestro propio certificado para hacer esto necesitaremos crear un usuario que pueda crear los certificados. Para crear el usuario nos dirigiremos hacia la pestaña system y en el menú desplegable elegimos la opción de cert. Manager. Como vemos no nos aparece ningún usuario para crear certificados, para poder crear un certificado tendremos que crearnos un usuario. Para ello seleccionamos el botón de add situado en la parte inferior derecha. 9 Manual pfsense | Pedro José García Moreno Ahora deberemos introducir los datos del usuario que va a crear el certificado. Deberemos introducir los siguientes datos: Descriptive name: nombre del usuario Method: Seleccionar “Create an internal certificate authority” Country code: Código del país, en nuestro ejemplo “ES” State or province: Provincia, en nuestro ejemplo “Albacete” City: Ciudad, en nuestro ejemplo “Hellín” Organization: En nuestro ejemplo “ELCA” Email Address: Dirección de correo del usuario en nuestro ejemplo 10 Manual pfsense | Pedro José García Moreno Al final del proceso nos debería quedar algo parecido a esto: Creación de certificado Para crear el certificado nos dirigiremos hacia system, en el menú desplegable elegimos la opción de cert. Manager una vez en este menú seleccionaremos la pestaña de Certificates y cómo podemos observar nos aparece el certificado que tiene creado por defecto. Para empezar a crear nuestro certificado haremos clic en el botón de add. 11 Manual pfsense | Pedro José García Moreno Ahora nos aparece un formulario en el que deberemos introducir los datos personales para nuestro servidor, estos datos son los siguientes: Method: Seleccionamos “Create an internal certificate” Descriptive name: Nombre que tendrá el certificado Certiicate authority: Usuario que está creando el certificado en nuestro ejemplo es “Pedro_cert” Lifetime (days): Tiempo de vida del certificado Country code: Codigo del país, en nuestro ejemplo es “ES” State or province: Provincia, en nuestro ejemplo es “Albacete” City: Ciudad, en nuestro ejemplo es “Hellin” Organization: Organización, en nuestro ejemplo es “ELCA” Email Address: Direccion de correo Common name: Direccion del servidor, en nuestro ejemplo es “MASTER.ELCA” 12 Manual pfsense | Pedro José García Moreno Una vez terminado deberían aparecernos dos certificados, uno el que tienen por defecto pfsense y otro creado por nosotros tal y como se muestra en la imagen siguiente. Activación del protocolo https Para activar el acceso seguro nos dirigiremos hacia la pestaña system y en el menú desplegable seleccionaremos la opción de advanced. 13 Manual pfsense | Pedro José García Moreno Una vez dentro del menú adanced nos dirigiremos hacia el apartado de admin Access y configuraremos los siguientes parámetros: Protocol: Elegiremos el protocolo que usaremos para acceder, como queremos que cada vez que accedamos sea de manera segura elegiremos el protocolo https SSL Certificate: Seleccionaremos el certificado que se va a usar para certificar que es una página segura, en nuestro ejemplo usaremos Certificado_Pedro TCP port: Puerto por el que accederemos de manera segura. Max processes: Aquí indicaremos el número máximo de usuarios que pueden acceder a configurar pfsense al mismo tiempo. WebGUI redirect debe estar marcado para deshabilitar la escucha por el puerto 80, a la vez que escucha por el 10443, ya que solo se quiere acceso exclusivo por https. WebGUI Login Autocomplete se selecciona para deshabilitar el autocompletado por parte del navegador ya que es preferible que éste no guarde las credenciales por seguridad. Una vez finalizado guardamos los cambios y los aplicamos para que tengan efecto. 14 Manual pfsense | Pedro José García Moreno Una vez hecho esto se recargará la página y ya podremos acceder de manera segura. Para poder acceder posteriormente deberemos introducir la dirección https://IP:Puerto en nuestro ejemplo deberemos introducir https://199.7.2.1:10007. Bloquear página por firewall En este apartado aprenderemos como podemos bloquear una página web utilizando una regla en el cortafuego, por lo que crearemos aliases y luego las usaremos para bloquear las paginas deseadas. Crear Aliases Para realizar esta operación nos dirigiremos hacia la pestaña Firewall y en el menú desplegable seleccionaremos la opción de Aliases. 15 Manual pfsense | Pedro José García Moreno Una vez dentro de este menú podemos observar que la primera vez que accedemos no tenemos ningún aliase creado, para crearlo presionaremos el botón Add. En el formulario de configuración introduciremos los siguientes datos: Name: pondremos un nombre para identificar el alias. Type: seleccionaremos el tipo de dirección que introduciremos, en nuestro ejemplo hemos elegido Host. IP or FQDN: introduciremos la dirección de la página a bloquear. Para saber la dirección IP de una página abriremos una consola de comandos e introduciremos la orden “nslookup dominio.dominio”, esto nos mostrara todas las IPs asociadas a ese dominio, en nuestro ejemplo bloquearemos la página de youtube. 16 Manual pfsense | Pedro José García Moreno Una vez guardados los cambios nos aparecerá el alias que acabamos de crear y una ventana para aplicar los cambios, presionamos el botón de aplicar cambios y ya tendríamos nuestro alias creado. Creación de regla Ahora vamos a crear una regla en el cortafuegos para bloquear la página de YouTube, por lo que nos dirigiremos hacia la pestaña de Firewall y en el menú desplegable seleccionaremos la opción de Rules. Una vez dentro de este menú nos dirigiremos hacia el apartado de LAN, ya que en nuestro ejemplo queremos que afecte a todos los equipos que estarán conectados a nuestra red, y presionamos el botón Add con la flecha hacia arriba. 17 Manual pfsense | Pedro José García Moreno En el formulario de configuración introduciremos los siguientes datos: Action: seleccionaremos la opción de block para que bloque la página. Destination: seleccionaremos Single host or alias e introduciremos el nombre que le pusimos al alias que creamos anteriormente. Por ultimo guardamos los cambios y nos debería quedar algo parecido a la siguiente imagen en la que aparecen las reglas creadas por defecto y la que nosotros acabamos de crear. 18 Manual pfsense | Pedro José García Moreno Configuración de failover Esta configuración se realiza para mejorar la disponibilidad del servicio; para ello necesitaremos dos equipos con el software pfsense instalado, además cada equipo deberá contar con al menos tres tarjetas de red, una para la interfaz wan, otra para la interfaz lan y la última para que estos dos equipos se sincronicen. Configuración de la interfaz Para configurar la interfaz que usaremos para que se sincronicen el MASTER y el BACKUP nos dirigiremos hacia la pestaña Interfaces y en el menú desplegable seleccionamos (assign). En el apartado de Interface assignments hacemos clic sobre el nombre de la interfaz a configurar, en nuestro caso será OPT1. 19 Manual pfsense | Pedro José García Moreno Una vez dentro de la configuración de la interfaz modificamos los siguientes parámetros: Enable: Habilitamos la tarjeta de red Desccription: Poner un nombre, nosotros hemos elegido SYNC IPv4 configuration type: Le pondremos una IP estatica por lo tanto seleccionaremos “static IP4” IP4 address: Pondremos la dirección IP que tendrá la tarjeta, la de nuestro ejemplo será 199.7.3.1 para el master y 199.7.3.2 para el backup. /: Seleccionaremos la máscara de red que tendrá la dirección IP de la tarjeta, para nuestro ejemplo será 24. 20 Manual pfsense | Pedro José García Moreno Por ultimo guardamos los cambios y los aplicamos estos cambios para que tengan efecto inmediato. Esta configuración se realizara en los dos equipos con pfsensen, uno es el master y el otro es el backup, introduciendo la dirección IP correspondiente a cada uno. Configuración de las IPs virtuales Las IPs virtuales sirven para agrupar los dos equipos con el software de pfsense instalado y que así tengan comunicación entre sí para poder sincronizarse. Para crear estas IPs nos dirigiremos hacia la pestaña de firewall y en el menú desplegable seleccionaremos virtual IPs. Como podemos observar no hay ninguna IP virtual creada, para crearla hacemos clic sobre el botón de add. 21 Manual pfsense | Pedro José García Moreno En el formulario de configuración introduciremos los siguientes datos: Type: Seleccionaremos el tipo de IP virtual, para hacer el failover seleccionaremos CARP Interface: Seleccionar la interfaz sobre la que actuara, nosotros crearemos una para la wan y otra para la lan. Address(es): Direccion IP que tendrá la IP virtual, para este ejemplo la IP virtual de la wan tendrá la dirección 192.168.1.157 y la lan tendrá la dirección 199.7.2.3 /: Seleccionaremos la máscara de red que tendrá la IP virtual. Virtual IP password: Pondremos una contraseña para que se validen tanto en el master como en el backup. VHID group: Seleccionaremos el grupo al que pertenecerá la IP virtual, este debe ser un grupo para las IPs virtuales de la wan y otro para las IPs virtuales de la lan, además tienen que coincidir los grupos tanto en el master como en el backup. Description: Introduciremos un nombre para identificar la IP irtual. Una vez guardada la configuración aplicamos los cambios realizados y ya tendríamos la IP virtual de la wan. 22 Manual pfsense | Pedro José García Moreno Ahora realizamos la misma operación para crear la IP virtual para la interfaz lan, a continuación se muestran en la imagen los datos que usaremos para nuestro ejemplo. Una vez guardada la configuración y aplicada debería quedarnos algo como lo que aparece en la siguiente imagen. Como podemos observar en la interfaz wan tenemos el VHID en 1 y en la interfaz lan tenemos el VHID en 2. Esta configuración se realizara tanto en el master como en el backup con los mismos datos en uno y en el otro. 23 Manual pfsense | Pedro José García Moreno Configuración de reglas del firewall Para que se sincronicen deberemos crear una regla en el firewall para que los dos equipos tengan comunicación y así poder sincronizarse. Para hacer esto nos dirigiremos hacia la pestaña firewall seleccionaremos la opción de rules. y en el menú desplegable Una vez dentro de las reglas seleccionaremos la opción de SYNC ya que esta es la interfaz que usamos para el failover y si recordamos SYNC es el nombre que le asignamos en nuestro ejemplo. Para empezar a crear la regla que permitirá el tráfico a través de esta interfaz presionamos cualquiera de los botones add ya que no hay ninguna regla establecida y la que nosotros creemos será la primera. 24 Manual pfsense | Pedro José García Moreno Los datos que introduciremos serán los siguientes: Action: Pass para permitir el trafico Interface: seleccionaremos la interfaz SYNC Protocol: Any para permitir todo el tráfico que se genere entre las maquinas Por ultimo guardamos cambios, cuando nos redirigirá hacia el listado de reglas, aplicaremos los cambios para que tengan efecto inmediato. Esta configuración se realizara en los dos equipos, en el master y en el backup. 25 Manual pfsense | Pedro José García Moreno Activación del servicio Para poner en funcionamiento este servicio que nos ofrece pfsense nos dirigiremos hacia la pestaña de system y en el menú desplegable seleccionaremos la opción de high avail. Sync. Nos aparecerá un formulario en el cual deberemos introducir los siguientes datos: Synchronize states: Marcaremos la casilla para que se active el servicio. Synchronize Interface: Seleccionaremos la interfaz que usaremos para la sincronización, que en nuestro ejemplo le hemos asignado el nombre de SYNC. Synchronize Config to IP: Aquí debemos indicarle la dirección IP que tendrá la tarjeta de red utilizada por el otro equipo en la sincronización, esto quiere decir que en nuestro ejemplo en el master debemos introducir la dirección del backup. Remote System Username: Introducir el nombre de un usuario administrador del otro equipo, en nuestro ejemplo será admin. Remmote System Password: Introducir la contraseña del usuario anterior con la confirmación de que no tenga errores. Select options to sync: Seleccionaremos los objetos y configuraciones que deseamos que se sincronicen entre las dos máquinas, esta opción solo se realizara en el master. 26 Manual pfsense | Pedro José García Moreno Una vez guardada la configuración realizaremos la misma operación en el backup con la excepción de las opciones de sincronización que las dejaremos sin marcar. Ventana de monitorización Opcionalmente si queremos tener información del estado en el que se encuentra este servicio podremos añadir un cuadro que nos proporcionara dicha información. Para esto nos dirigiremos hacia la pantalla de inicio del cortafuego y haremos clic sobre el símbolo “+” que aparece en la parte superior a la derecha. 27 Manual pfsense | Pedro José García Moreno Seguidamente nos aparecerá una lista con todas las ventanas de información que podremos añadir a la pantalla principal, para el estado del failover seleccionaremos la opción de CARP Status. Ahora ya nos aparecerá el cuadro con las interfaces, la dirección IP que tienen y el estado en el que se encuentra. Creación de Vlans Una VLAN (red de área local virtual), es un método para crear redes lógicas independientes dentro de una misma red física. Varias VLAN pueden coexistir en un único conmutador físico o en una única red física. Son útiles para reducir el tamaño del dominio de difusión y ayudan en la administración de la red, separando segmentos lógicos de una red de área local. 28 Manual pfsense | Pedro José García Moreno Crear Vlan Para empezar a crear una VLAN nos dirigiremos hacia la pestaña interfaces y en el menú desplegable seleccionaremos la opción de (assign). En el menú al que accedemos seleccionaremos la opción de VLANs y cómo podemos observar la primera vez que accedemos no aparece ninguna. En este menú presionaremos el botón de add para empezar a crear una VLAN. En el formulario que nos aparecerá deberemos introducir los siguientes datos: Parent Interface: seleccionaremos la tarjeta de red física sobre la que trabajara esta VLAN, en nuestro ejemplo hemos seleccionado la que asignamos para la red lan. Description: aquí introduciremos un nombre identificativo para la VLAN, en nuestro ejemplo le hemos puesto en nombre de VLAN_1. 29 Manual pfsense | Pedro José García Moreno Una vez guardados los cambios volveremos automáticamente al menú anterior y ahora nos aparecerá la VLAN que acabamos de crear. Ahora deberemos activar la VLAN, por lo que nos dirigiremos hacia el apartado de Interface Assignments, como podemos observar aparecerá una línea con un menú desplegable que nos indica las VLANs que hay para activar. Una vez seleccionada la VLAN que deseamos, en nuestro ejemplo será la VLAN_1 creada anteriormente, presionamos el botón de add y nos aparecerá como una interfaz más. 30 Manual pfsense | Pedro José García Moreno Para configurar la interfaz lógica que contendrá la VLAN haremos clic sobre el nombre de esta. En el formulario de configuración deberemos introducir los siguientes datos: Enable: Activaremos esta opción para habilitar la VLAN. Description: Introduciremos un nombre descriptivo para esta interfaz lógica, en nuestro ejemplo la llamaremos igual que la VLAN, VLAN_1. IPv4 Configuration Type: Seleccionaremos una IP estática. IPv4 Address: Introduciremos la IP que tendrá esta interfaz, en nuestro ejemplo será 199.7.10.1 /: Seleccionaremos la máscara de red que tendrá, en nuestro ejemplo será de 24. 31 Manual pfsense | Pedro José García Moreno Una vez guardados los cambios nos aparecerá un cuadro para aplicar los cambios, presionaremos el botón de apply changes. Una vez aplicados los cambios comprobamos que la VLAN aparece en el apartado de interfaces. 32 Manual pfsense | Pedro José García Moreno Activar DHCP Para activar el servidor DHCP en la VLAN nos dirigiremos hacia la pestaña Services y en el menú desplegable seleccionaremos la opción de DHCP Server. Una vez dentro de este menú nos dirigiremos hacia el apartado de la VLAN en la que queramos activar el servidor DHCP, en nuestro ejemplo nos dirigiremos hacia VLAN_1 ya que es la VLAN creada anteriormente. 33 Manual pfsense | Pedro José García Moreno En el formulario de configuración deberemos introducir los siguientes datos: Enable: Dejaremos la opción seleccionada para activar el servidor DHCP. Range: Introduciremos un rango de asignación de IPs dentro de la misma red que la VLAN, en nuestro ejemplo la VLAN tiene la dirección 199.7.10.1/24 por lo tanto hemos elegido el rango que abarca desde 199.7.10.10 hasta la dirección 199.7.10.20. Por ultimo guardamos la configuración y ya tendríamos el servidor DHCP activo para esta VLAN. 34 Manual pfsense | Pedro José García Moreno Configuración de reglas del firewall Por ultimo para que la VLAN que hemos creado tenga acceso a internet deberemos crear una regla en al cortafuego para permitir el tráfico. Para esto nos dirigiremos hacia la pestaña Firewall y en el menú desplegable seleccionaremos la opción de Rules. Una vez dentro del menú nos dirigiremos hacia el apartado de la VLAN que hemos creado, en nuestro ejemplo como la hemos llamado VLAN_1 nos aparece un apartado con este nombre. Como podemos observar todavía no hay ninguna regla establecida en el cortafuego, con lo cual todo el tráfico será bloqueado, para que esto no ocurra añadiremos una regla que permita la circulación de todo el tráfico por lo que presionaremos cualquiera de los botones add. 35 Manual pfsense | Pedro José García Moreno En el formulario de configuración introduciremos los siguientes parámetros: Action: Seleccionaremos la opción pass para permitir el trafico Interface: Seleccionaremos la interfaz sobre la que actuara la regla Protocol: seleccionaremos any para indicar que afectara a todo el trafico Guardamos los cambios y nos redirigirá al menú anterior pero ahora nos aparecerá la regla que acabamos de crear y un cuadro para aplicar los cambios. Para finalizar aplicaremos los cambios y ya tendríamos nuestra VLAN creada y configurada. 36 Manual pfsense | Pedro José García Moreno Si en un futuro queremos saber si esta activa esta nos aparecerá en el cuadro de interfaces del menú principal de pfsense, la flecha verde hacia arriba nos indica que esta activa. Configuración de proxy Los servidores proxy permiten proteger y mejorar el acceso a las páginas web, al conservarlas en la caché. De este modo, cuando un navegador envía una petición para acceder a una página web, que previamente ha sido almacenada en la caché, la respuesta y el tiempo de visualización es más rápido. Los servidores proxy aumentan también la seguridad, ya que pueden filtrar cierto contenido web y programas maliciosos. 37 Manual pfsense | Pedro José García Moreno Instalación de paquetes Para poder configurar un servidor proxi en Pfsense deberemos instalar los paquetes necesarios, en nuestro ejemplo hemos elegido los paquetes de SQUID para nuestro servidor proxy. La instalación de paquetes se realiza desde la pestaña System y seleccionando en el menú desplegable la opción de Package Manager. Una vez en este menú comprobamos los paquetes que temenos instalados, para ello nos dirigimos hacia el apartado de Installed Packages, en nuestro ejemplo comprobamos que no tenemos paquetes instalados. 38 Manual pfsense | Pedro José García Moreno Ahora nos dirigiremos hacia el apartado Available Packages e introducimos “squid” en el cuadro de búsqueda y presionamos en Search. Instalaremos los paquetes de squid y squidguard por lo que tendremos que presionar en el botón de install y esto nos dirigirá hacia el asistente de instalación de cada uno de los paquetes. 1 2 Una vez en el asistente de instalación, que es el apartado de Packager Installer que nos aparecerá tras pulsar anteriormente en Install, nos preguntara que si es este el paquete que queremos instalar, presionaremos en Confirm. 39 Manual pfsense | Pedro José García Moreno Una vez confirmado que este es el paquete que instalaremos comenzara la instalación. Cuando nos aparezca el mensaje de “installation successfully completed” ya habrá terminado y podremos proceder a la instalación del otro paquete. 40 Manual pfsense | Pedro José García Moreno Una vez instalados los dos paquetes estos nos aparecerán en la pestaña de services y aparecerán tres opciones en el menú desplegable. Configuración squid Ahora vamos a configurar un proxi para bloquear las páginas web que introduzcamos, en nuestro ejemplo bloquearemos la página de marca y la de pordede, para esto nos dirigimos hacia la pestaña Services y en el menú desplegable seleccionaremos la opción de Squid Proxy Server. 41 Manual pfsense | Pedro José García Moreno Una vez dentro del menú de configuración del servidor proxi nos dirigiremos hacia el apartado de Local Cache y no cambiaremos ninguna opción, solo presionaremos el botón de guardar para que genere el archivo de cache. Ahora nos dirigiremos hacia el apartado de General, aquí intruduciremos los siguientes datos: Enable Squid Proxy: Marcaremos esta opción para activar SQUID. Keep Settingd/Data: Marcaremos esta opción para que use el archivo cache. Proxy Interface: seleccionaremos la interfaz sobre la que actuará, en nuestro caso será la interfaz de LAN. Allow Use ron Interfaces: marcaremos esta opción para que afecte a todos los usuarios. Transparent HTTP Proxy: marcaremos esta opción para que el proxy sea transparente al usuario. 42 Manual pfsense | Pedro José García Moreno Pulsaremos el botón Save que esta al final del formulario de configuración para guardar los cambios que hemos realizado. 43 Manual pfsense | Pedro José García Moreno Por ultimo nos dirigiremos al apartado ACLs para indicar las páginas que queremos bloquear. En el formulario de configuración nos dirigiremos hacia la opción de Blacklist, aquí indicaremos las páginas que bloqueara SQUID, en nuestro ejemplo bloquearemos las páginas de marca y pordede. Ya para finalizar guardaremos la configuración y nuestro servidor proxy estará en funcionamiento y bloqueará las paginas indicadas. Para comprobar que funciona correctamente intentamos acceder a cualquiera de las páginas bloqueadas desde un equipo que este en nuestra red. 44 Manual pfsense | Pedro José García Moreno Configuración squidguard Ahora procederemos a configurar un proxi para bloquear listas de páginas web, en nuestro ejemplo bloquearemos las listas de porno, para realizar esto nos dirigimos hacia la pestaña Services y en el menú desplegable seleccionaremos la opción de Squidguard Proxy Filter. Una vez dentro de este menú nos dirigiremos hacia el apartado de General settings y cómo podremos observar la primera vez que accedemos nos encontraremos que el servicio de squid guard está detenido. 45 Manual pfsense | Pedro José García Moreno Procederemos a iniciar el servicio y empezaremos a configurarlo, por lo que deberemos marcar la opción de enable y pulsar en el botón de apply. En este mismo formulario de configuración nos dirigiremos hacia la parte final en introduciremos los siguientes datos: Enable GUI log: marcaremos esta opción para crear un archivo log con los accesos a paginas. Eneble log: marcaremos esta opción para crear un archivo log con las paginas que se bloquean. Blacklist: marcaremos esta opción para activar la lista negra de paginas. Blacklist URL: introduciremos la dirección desde donde obtendremos las listas negras, en nuestro ejemplo será “http://www.shallalist.de/Downloads/ shallalist.tar.gz” 46 Manual pfsense | Pedro José García Moreno Si nos dirigimos hacia el apartado de Common ACL podemos observar que solo tenemos una lista que hace referencia a todo el tráfico que circulara y está configurada para denegarlo. Para añadir listas nos dirigiremos hacia el apartado de Blacklist. Aquí introduciremos la dirección desde donde se descargarán las listas. 47 Manual pfsense | Pedro José García Moreno Una vez introducida la dirección presionaremos el botón de Download para empezar a descargar las listas. Una vez completada la descarga volvemos al apartado de Common ACL y ahora presionando en el símbolo + de la opción Target Rule List nos aparecerán las listas. 48 Manual pfsense | Pedro José García Moreno En nuestro ejemplo bloquearemos las páginas de porno y las de webmail, para esto seleccionamos en access la opción de deny y en la lista de Default Access [all] seleccionaremos en access la opción de alloy para permitir el resto del tráfico. Por ultimo en el final del formulario de configuración pulsaremos el botón de Save para guardar la configuración. Para que la configuración actual tenga efecto debemos dirigirnos hacia el apartado de General settings y aquí presionaremos el botón de Apply para aplicar los cambios. 49 Manual pfsense | Pedro José García Moreno Para comprobar que funciona correctamente intentamos acceder a cualquiera de las paginas bloqueadas desde un equipo que este en nuestra red. Configuración de portal cautivo Un portal cautivo es un programa o máquina de una red informática que vigila el tráfico HTTP y fuerza a los usuarios a pasar por una página especial si quieren navegar por Internet de forma normal. El programa intercepta todo el tráfico HTTP hasta que el usuario se autentifica. Creación de Portal Cautivo Lo primero que haremos será crear el portal cautivo para nuestra red LAN, para ello nos dirigiremos hacia la pestaña Services y en el menú desplegable seleccionaremos la opción de Captive Portal. 50 Manual pfsense | Pedro José García Moreno Dentro de este menú podemos observar que la primera vez que accedamos no hay ningún portal creado, para crear uno presionaremos el botón Add. En la primera parte del formulario de configuración introduciremos el nombre que tendrá el portal y una descripción de este, una vez hecho esto presionaremos el botón Save & Continue. En la siguiente parte del formulario de configuración marcaremos la opción de Enable Captive Portal para activarlo e introducir los siguientes datos: Interfaces: la interfaz sobre la que actuará, en nuestro ejemplo será en le LAN. Authentication method: seleccionaremos local user manager/vouchers para acceder con usuarios que estén creados en pfsense. 51 Manual pfsense | Pedro José García Moreno Una vez hecho esto presionaremos el botón Save situado en la parte inferior del formulario de configuración para guardar los cambios. Creación de usuarios Ahora explicaremos como crear usuarios para el portal cautivo, para crear usuarios nos dirigiremos hacia la pestaña System y en el menú desplegable seleccionaremos la opción de User Manager. En este menú veremos el usuario admin que es con el que hemos accedido hasta ahora para configurar pfsense, para empezar a crear un usuario presionaremos el botón Add. 52 Manual pfsense | Pedro José García Moreno En el formulario de configuración introduciremos los datos de Username, es el nombre de usuario que tendrá para identificarse y Password, que sera la contraseña que utilice para identificarse. Una vez introducidos estos datos pulsaremos el botón Save para guardar los datos de este usuario. Ahora ya nos aparecerá el usuario que acabamos de crear y el usuario admin. 53 Manual pfsense | Pedro José García Moreno Para comprobar que funciona correctamente intentamos acceder a cualquier página desde un equipo que este en nuestra red y nos debería aparecer un formulario preguntándonos el nombre de usuario y la contraseña. En este formulario introduciremos los datos del usuario que acabamos de crear y nos identificaremos. 54 Manual pfsense | Pedro José García Moreno Y ya podríamos navegar sin tener que volver a identificarse hasta la próxima sesión. Monitorización del tráfico Pfsense dispone de una herramienta que nos permite observar el ancho de banda que está consumiendo cada equipo que está conectado a nuestra red, para ver esto nos dirigiremos hacia la pestaña Status y en el menú desplegable seleccionaremos la opción de Traffic Graph. 55 Manual pfsense | Pedro José García Moreno En este menú tenemos dos secciones, la primera es la de Graph Settings que aquí es donde podremos configurar las opciones de visualización de la gráfica pudiendo elegir la interfaz y los datos que se mostraran, la segunda parte es la gráfica y los datos sobre los equipos. Limitar ancho de banda Esto puede resultar muy útil cuando tenemos en nuestra muchos equipos conectados ya que podemos limitar el ancho de banda que recibirá cada equipo y así lograr que todos los equipos tengan la misma velocidad por lo que evitaremos que un solo equipo acapare todo el ancho de banda del que dispondremos. Como prueba hemos hecho un test de velocidad en la página Speedtest y hemos obtenido como resultado que tenemos una velocidad de bajada de 128 Mbps y una velocidad de subida de 25 Mbps. 56 Manual pfsense | Pedro José García Moreno Crear limitadores Lo primero será crear los limitadores que usaremos para restringir las conexiones, para esto nos dirigiremos hacia la pestaña de Firewall y en el menú desplegable seleccionaremos la opción de Traffic Shaper. En este menú nos dirigiremos hacia el apartado Limiters y cómo podemos observar la primera vez que accedemos a este menú no tendremos creado limitadores, para empezar a crear uno presionaremos el botón de New Limiter. En el formulario de configuración introduciremos los siguientes datos: Enable: marcaremos esta opción para habilitar el limitador. Name: introduciremos un nombre para este limitador. Bandwidth: introduciremos el ancho de banda que tendrá, en nuestro caso limitaremos la bajada a 5Mbps. 57 Manual pfsense | Pedro José García Moreno Guardamos los cambios y nos aparecerá un cuadro para aplicar los cambios, presionamos el botón Apply Changes para apicarlos. Una vez aplicados los cambios ya tendremos nuestro limitador de bajada creada y ahora procederemos a crear el limitador de subida presionando otra vez el botón de New Limiter. En el formulario de configuración introduciremos los siguientes datos: Enable: marcaremos esta opción para habilitar el limitador. Name: introduciremos un nombre para este limitador. Bandwidth: introduciremos el ancho de banda que tendrá, en nuestro caso limitaremos la bajada a 2Mbps. 58 Manual pfsense | Pedro José García Moreno Guardamos los cambios y nos aparecerá un cuadro para aplicar los cambios, presionamos el botón Apply Changes para apicarlos. Una vez aplicados los cambios ya tendremos nuestro dos limitadores creador, uno de bajada y el otro de subida. Creación de reglas Para que los limitadores que hemos creado surjan efecto deberemos crear una regla en el cortafuegos, por lo que nos dirigiremos hacia la pestaña Firewall y en el menú desplegable seleccionaremos la opción de Rules. 59 Manual pfsense | Pedro José García Moreno En este menú nos dirigiremos hacia el apartado de LAN ya que queremos que afecte a todos los equipos que se conecten a nuestra red, por lo tanto si solo quisiéramos que afectara por ejemplo a una VLAN deberíamos dirigirnos hacia el apartado de la VLAN en concreto a la que afectaría, y presionamos el botón Add con la flecha hacia arriba. En el formulario de configuración introduciremos los siguientes datos: Action: seleccionaremos la opción pass para permitir el tráfico. Interface: seleccionaremos la interfaz LAN para que afecte a todos los equipos. Protocol: seleccionaremos any para que afecte a todo el tráfico. Ahora nos dirigiremos hacia el final del formulario y en el apartado de Extra Options presionaremos el botón de Advanced Options. 60 Manual pfsense | Pedro José García Moreno Una vez que hallamos pulsado el botón podremos observar que aparecen más opciones de configuración, para la opción de los limitadores nos dirigimos hacia el final del formulario y en la opción de In/Out pipe pondremos en el cuadro de selección de la izquierda el limitador de subida y en el cuadro de selección de la derecha seleccionaremos el limitador de bajada. Por ultimo pulsaremos el botón de Save y nos redirigirá al menú de las reglas, aquí aplicamos los cambios y ya tendríamos nuestros limitadores funcionando. Para comprobar que funciona volvemos a hacer un test de velocidad en la página Speedtest y ahora obtenemos como resultado que tenemos una velocidad de bajada de 4.84 Mbps y una velocidad de subida de 1.91 Mbps. 61 Manual pfsense | Pedro José García Moreno 62