En la introducción al firewall pfsense, veremos características, configuración inicial, agregar reglas, puertos, y monitoreo de conexiones.
¿Qué es pfsense?
– Su función principal es cortafuegos (firewall), es decir un dispositivo o software, que filtra conexiones de red para mejorar la seguridad en ella.
– Es un distribución basada en el sistema operativo FREEBSD.
– Es gratuito!!
– Tiene una interfaz web amigable con el usuario.
– Se puede configurar como servidor DHCP ( Asigna direcciones IP a equipos locales ).
– Se puede configurar como servidor DNS ( Resuelve URLs a IP ) .
– Puede asumir la función de servidor de OPENVPN e IPSEC ( VPN – Redes Privadas Virtuales ).
– Puede Balancear la carga WAN entre diferentes enlaces de internet.
– Es posible extender sus funciones instalando plugins.
Existen aparatos creados exclusivamente para que le instalemos esta distribución, pero se puede instalar en cualquier servidor que tenga dos placas de red o más.
Diagrama de red y configuración inicial
💡 Nota: La primera configuración se hace en modo consola de texto.
Es necesario conectar monitor y teclado para esto, luego ya no es necesario.
En el ejemplo que les muestro arriba, una placa de red va a ser conectada a WAN, se le va a poner una ip pública que nos dará el proveedor del servicio de internet (ej: 181.29.233.98).
Otra placa de red va a ser conectada a LAN, y se le colocará una ip privada, en el rango de nuestra red local. Esta dirección ip será el gateway o puerta de enlace de toda nuestra red (ej: 192.168.0.1).
Tenemos un switch para compartir la red LAN con los clientes, representados por unas notebooks.
PFSENSE instala un servidor web y un sitio para administrar la configuración, así que a continuación ingresamos a la interfaz web desde otra pc, usando cualquier navegador, a la ip que colocamos en la interfaz LAN. Colocamos las credenciales de admin predeterminadas y luego las cambiamos a nuestro gusto.
Por defecto, todas las conexiones son denegadas, es la función de firewall básica.
Hay una excepción se permite el acceso a la web del pfsense desde la LAN.
De LAN a WAN, se deberá ir habilitando otras conexiones para que la red local tenga internet y mayor funcionalidad.
Configuración de Reglas de firewall
Ingresamos al menú FIREWALL > RULES > LAN
Presionamos el botón verde, con flecha hacia abajo, que dice “⬇️Add”
💡 Nota: Las reglas de firewall se leen de arriba hacia abajo.
Si una conexión se bloquea en una regla que aparece más arriba, por más que se habilite abajo, la conexión ya permanece bloqueada.
Acá les muestro una captura de como permitir una conexión de LAN a WAN, a cualquier ip, en el puerto 53 que se usa para las consultas de DNS.
Protocolos y puertos frecuentes a habilitar
TCP
80,443 Navegación web HTTP/HTTPS
25,465,587 SMTP CORREO
22 SSH
1194 OPENVPN (solo si tu configuración usa tcp, y también puede usar un puerto parecido)
UPD
53 Consultas DNS
123 NTP (Sincronización hora)
1194 OPENVPN (solo si tu configuración usa udp, y también puede usar un puerto parecido)
ICMP
Protocolo para usar el comando ping y diagnosticar el estado de la conectividad de red.
Al agregar el permiso para este protocolo, no es necesario especificar un puerto.
Monitoreo de conexiones
Los siguientes días, hace falta ir al menú STATUS > SYSTEM LOGS > FIREWALL e ir monitoreando qué tráfico está siendo bloqueado y es necesario.
Se ve que las conexiones bloqueadas aparecen con una x roja (❌) en la columna de Action, Source es la ip de origen + un puerto aleatorio, y Destination es la IP de destino + el puerto que debemos habilitar. Hay que prestar atención al Protocolo que se usa en la conexión, que se muestra en su columna correspondiente.
Podríamos observar, por ejemplo, que se están bloqueando conexiones a Whatapp, Teamviewer, Spotify, etc.
Aunque no sabemos a qué servicio corresponde a cada IP, poniendo una ip pública en el buscador de internet te va a informar cual empresa la usa.
Aquí concluye el post de introducción al firewall pfsense. Si tiene alguna duda, deje un mensaje abajo en forma pública, o un mensaje privado en la página de contacto.
🏷️ #firewall #freebsd #gratis #open_source #pfsense #redes #seguridad_de_redes
