63
Manual pfsense Pedro José García Moreno

Manual pfsense - unicarlos.comunicarlos.com/wiki/lib/exe/fetch.php?media=pdf:pfsense.pdf · Manual pfsense | Pedro José García Moreno 3 Introducción PfSense es una distribución

  • Upload
    voliem

  • View
    491

  • Download
    30

Embed Size (px)

Citation preview

Manual pfsense

Pedro José García Moreno

Manual pfsense | Pedro José García Moreno

1

Contenido

Contenido ................................................................................................................... 1

Introducción ............................................................................................................... 3

Configuración de interfaz de red ............................................................................... 3

Configuración de acceso seguro (https) ................................................................... 8

Creación de usuario .................................................................................................... 9

Creación de certificado .............................................................................................. 11

Activación del protocolo https .................................................................................... 13

Bloquear página por firewall ................................................................................... 15

Crear Aliases ............................................................................................................ 15

Creación de regla...................................................................................................... 17

Configuración de failover......................................................................................... 19

Configuración de la interfaz ....................................................................................... 19

Configuración de las IPs virtuales .............................................................................. 21

Configuración de reglas del firewall ............................................................................ 24

Activación del servicio ............................................................................................... 26

Ventana de monitorización ........................................................................................ 27

Creación de Vlans ..................................................................................................... 28

Crear Vlan ................................................................................................................ 29

Activar DHCP ............................................................................................................ 33

Configuración de reglas del firewall ............................................................................ 35

Configuración de proxy ............................................................................................ 37

Instalación de paquetes ............................................................................................ 38

Configuración squid .................................................................................................. 41

Configuración squidguard .......................................................................................... 45

Configuración de portal cautivo .............................................................................. 50

Creación de Portal Cautivo ........................................................................................ 50

Creación de usuarios ................................................................................................. 52

Manual pfsense | Pedro José García Moreno

2

Monitorización del tráfico ........................................................................................ 55

Limitar ancho de banda ........................................................................................... 56

Crear limitadores ...................................................................................................... 57

Creación de reglas .................................................................................................... 59

Manual pfsense | Pedro José García Moreno

3

Introducción

PfSense es una distribución personalizada de FreeBSD adaptado para su uso como firewall y

router. Se caracteriza por ser de código abierto, puede ser instalado en una gran variedad de ordenadores, y además cuenta con una interfaz web sencilla para su configuración.

En la siguiente imagen vemos un ejemplo de cómo debería ir conectado el equipo que tendrá instalado el software de pfsense

Configuración de interfaz de red

Una vez instalado pfsense lo siguiente será configurar la interfaz de red tanto para la wan

como para la lan, estas configuraciones se deberán realizar mediante el terminal de acceso que

viene con pfsense (sin interfaz gráfica).

Manual pfsense | Pedro José García Moreno

4

Lo primero que debemos hacer es asignar el uso que se les dará a cada interfaz, para esto

seleccionamos la opción 1) Assign Interfaces introduciendo un 1 en la consola y presionando

enter.

Ahora nos preguntara que si vamos a configurar VLANs ahora, introducimos una “n” de no ya que se explicara más adelante como configurar VLANs de manera gráfica.

Seguidamente nos preguntara que interfaz queremos que actué de wan, en nuestro ejemplo

vamos a seleccionar la interfaz em0 para este fin.

La siguiente pregunta que nos hace es para seleccionar la interfaz que se utilizara para la red lan, como podemos observar en la imagen ya no aparece la interfaz em0 porque ya la hemos

asignado a la wan, para nuestro ejemplo seleccionaremos la interfaz em1 para la lan.

Manual pfsense | Pedro José García Moreno

5

Posteriormente nos preguntara si tenemos alguna interfaz opcional, sino tenemos otra

interfaz de red lo dejaremos en blanco y pulsaremos enter pero para nuestro ejemplo

asignaremos una interfaz opcional que usaremos más adelante para configurar el failover.

Como ya no tenemos más interfaces y nos pregunta por una segunda interaz opcional lo

dejaremos en blanco y pulsaremos enter.

Una vez finalizado el proceso nos mostrara como va a quedar y si queremos continuar para guardar los cambios, comprobamos que esta todo correcto e introducimos una “y” de yes para

que guarde los cambios.

Una vez asignadas las interfaces procederemos a configurar la dirección IP que tendrá cada

una.

Manual pfsense | Pedro José García Moreno

6

Para empezar la configuración de las IPs seleccionaremos la opción 2) Set interface(s) IP

address y una vez seleccionada nos aparecerán las interfaces que tenemos asignadas.

Como podemos observar nos aparece un número a la izquierda de cada interfaz esto es para

seleccionar la interfaz que vamos a configurar, nosotros empezaremos configurando la interfaz

wan, para esto introducimos un “1” y presionamos enter.

Lo primero que nos preguntara es que si queremos que la wan se configure automáticamente

usando DHCP porque detecta que está conectada a un router que le suministra una IP, en nuestro

ejemplo le indicaremos que si queremos que se configure automáticamente tanto la IPv4 como la IPv6.

Por ultimo nos pregunta que si queremos activar la configuración via web, esto es para

realizar las configuraciones con otro equipo mediante interfaz gráfica, nosotros seleccionaremos

que sí.

Ahora pasaremos a configurar la lan, está la configuraremos con una IP estática y con

servidor DCHP.

Manual pfsense | Pedro José García Moreno

7

Como podemos observar ahora no nos pregunta que si queremos que se configure

automáticamente porque esta tarjeta de red no está conectada a un router sino a un switch, por

lo tanto no es la que recibe una IP sino que es la encargada de repartir las IPs a los equipos que se conectaran.

La primera opción que nos aparecerá será la de que introduzcamos la dirección IP que tendrá esta tarjeta de red, en nuestro ejemplo le asignaremos la dirección 199.7.2.1.

Lo siguiente será indicarle que mascara de red tendrá, en nuestro caso será 255.255.255.0 que corresponde a una máscara /24 en sistema internacional.

Después nos preguntara que puerta de enlace tiene, en nuestro ejemplo lo dejaremos en

blanco.

Ahora nos pedirá que introduzcamos una dirección IPv6 pero como nosotros no la

utilizaremos la dejaremos en blanco.

Por ultimo nos preguntara si queremos activar el servidor DHCP, ya que esta tarjeta de red

es la que suministrara el servicio a nuestra red local si activaremos el seridor DHCP con un rango de 11 IPs a repartir.

Manual pfsense | Pedro José García Moreno

8

Como se puede observar en la imagen anterior hemos fijado el rango de IPs a repartir entre

199.7.2.10 y 199.7.2.20.

Una vez finalizada la configuración pfsense nos proporcionara la dirección por la que podremos acceder a través del navegador para poder configurarlo.

Una vez terminada la configuración debería quedarnos algo parecido a esto:

La configuración de OPT1 se realizara más delante de manera grafica.

Configuración de acceso seguro (https)

La manera más habitual de acceder al Pfsense es mediante un navegador e introduciendo la

dirección http://IP del cortafuego/. Pero para hacer que nuestro acceso para configurar el Pfsense

sea más seguro deberemos habilitar el acceso en modo seguro (https).

Manual pfsense | Pedro José García Moreno

9

Creación de usuario

Pfsense ya tiene un certificado por defecto, pero lo recomendable es crear nuestro propio

certificado para hacer esto necesitaremos crear un usuario que pueda crear los certificados.

Para crear el usuario nos dirigiremos hacia la pestaña system y en el menú desplegable

elegimos la opción de cert. Manager.

Como vemos no nos aparece ningún usuario para crear certificados, para poder crear un

certificado tendremos que crearnos un usuario. Para ello seleccionamos el botón de add situado en la parte inferior derecha.

Manual pfsense | Pedro José García Moreno

10

Ahora deberemos introducir los datos del usuario que va a crear el certificado. Deberemos

introducir los siguientes datos:

Descriptive name: nombre del usuario

Method: Seleccionar “Create an internal certificate authority”

Country code: Código del país, en nuestro ejemplo “ES”

State or province: Provincia, en nuestro ejemplo “Albacete”

City: Ciudad, en nuestro ejemplo “Hellín”

Organization: En nuestro ejemplo “ELCA”

Email Address: Dirección de correo del usuario en nuestro ejemplo

Manual pfsense | Pedro José García Moreno

11

Al final del proceso nos debería quedar algo parecido a esto:

Creación de certificado

Para crear el certificado nos dirigiremos hacia system, en el menú desplegable elegimos la

opción de cert. Manager una vez en este menú seleccionaremos la pestaña de Certificates y cómo podemos observar nos aparece el certificado que tiene creado por defecto.

Para empezar a crear nuestro certificado haremos clic en el botón de add.

Manual pfsense | Pedro José García Moreno

12

Ahora nos aparece un formulario en el que deberemos introducir los datos personales para nuestro servidor, estos datos son los siguientes:

Method: Seleccionamos “Create an internal certificate”

Descriptive name: Nombre que tendrá el certificado

Certiicate authority: Usuario que está creando el certificado en nuestro ejemplo

es “Pedro_cert” Lifetime (days): Tiempo de vida del certificado

Country code: Codigo del país, en nuestro ejemplo es “ES”

State or province: Provincia, en nuestro ejemplo es “Albacete”

City: Ciudad, en nuestro ejemplo es “Hellin”

Organization: Organización, en nuestro ejemplo es “ELCA”

Email Address: Direccion de correo

Common name: Direccion del servidor, en nuestro ejemplo es “MASTER.ELCA”

Manual pfsense | Pedro José García Moreno

13

Una vez terminado deberían aparecernos dos certificados, uno el que tienen por defecto

pfsense y otro creado por nosotros tal y como se muestra en la imagen siguiente.

Activación del protocolo https

Para activar el acceso seguro nos dirigiremos hacia la pestaña system y en el menú desplegable seleccionaremos la opción de advanced.

Manual pfsense | Pedro José García Moreno

14

Una vez dentro del menú adanced nos dirigiremos hacia el apartado de admin Access y

configuraremos los siguientes parámetros:

Protocol: Elegiremos el protocolo que usaremos para acceder, como queremos que

cada vez que accedamos sea de manera segura elegiremos el protocolo https SSL Certificate: Seleccionaremos el certificado que se va a usar para certificar que

es una página segura, en nuestro ejemplo usaremos Certificado_Pedro

TCP port: Puerto por el que accederemos de manera segura.

Max processes: Aquí indicaremos el número máximo de usuarios que pueden

acceder a configurar pfsense al mismo tiempo. WebGUI redirect debe estar marcado para deshabilitar la escucha por el puerto

80, a la vez que escucha por el 10443, ya que solo se quiere acceso exclusivo por

https. WebGUI Login Autocomplete se selecciona para deshabilitar el autocompletado

por parte del navegador ya que es preferible que éste no guarde las credenciales

por seguridad.

Una vez finalizado guardamos los cambios y los aplicamos para que tengan efecto.

Manual pfsense | Pedro José García Moreno

15

Una vez hecho esto se recargará la página y ya podremos acceder de manera segura.

Para poder acceder posteriormente deberemos introducir la dirección https://IP:Puerto en

nuestro ejemplo deberemos introducir https://199.7.2.1:10007.

Bloquear página por firewall

En este apartado aprenderemos como podemos bloquear una página web utilizando una

regla en el cortafuego, por lo que crearemos aliases y luego las usaremos para bloquear las

paginas deseadas.

Crear Aliases

Para realizar esta operación nos dirigiremos hacia la pestaña Firewall y en el menú

desplegable seleccionaremos la opción de Aliases.

Manual pfsense | Pedro José García Moreno

16

Una vez dentro de este menú podemos observar que la primera vez que accedemos no

tenemos ningún aliase creado, para crearlo presionaremos el botón Add.

En el formulario de configuración introduciremos los siguientes datos:

Name: pondremos un nombre para identificar el alias.

Type: seleccionaremos el tipo de dirección que introduciremos, en nuestro ejemplo

hemos elegido Host.

IP or FQDN: introduciremos la dirección de la página a bloquear.

Para saber la dirección IP de una página abriremos una consola de comandos e

introduciremos la orden “nslookup dominio.dominio”, esto nos mostrara todas las IPs asociadas

a ese dominio, en nuestro ejemplo bloquearemos la página de youtube.

Manual pfsense | Pedro José García Moreno

17

Una vez guardados los cambios nos aparecerá el alias que acabamos de crear y una ventana

para aplicar los cambios, presionamos el botón de aplicar cambios y ya tendríamos nuestro alias

creado.

Creación de regla

Ahora vamos a crear una regla en el cortafuegos para bloquear la página de YouTube, por

lo que nos dirigiremos hacia la pestaña de Firewall y en el menú desplegable seleccionaremos

la opción de Rules.

Una vez dentro de este menú nos dirigiremos hacia el apartado de LAN, ya que en nuestro

ejemplo queremos que afecte a todos los equipos que estarán conectados a nuestra red, y presionamos el botón Add con la flecha hacia arriba.

Manual pfsense | Pedro José García Moreno

18

En el formulario de configuración introduciremos los siguientes datos:

Action: seleccionaremos la opción de block para que bloque la página.

Destination: seleccionaremos Single host or alias e introduciremos el nombre que

le pusimos al alias que creamos anteriormente.

Por ultimo guardamos los cambios y nos debería quedar algo parecido a la siguiente imagen en la que aparecen las reglas creadas por defecto y la que nosotros acabamos de crear.

Manual pfsense | Pedro José García Moreno

19

Configuración de failover

Esta configuración se realiza para mejorar la disponibilidad del servicio; para ello

necesitaremos dos equipos con el software pfsense instalado, además cada equipo deberá contar

con al menos tres tarjetas de red, una para la interfaz wan, otra para la interfaz lan y la última para que estos dos equipos se sincronicen.

Configuración de la interfaz

Para configurar la interfaz que usaremos para que se sincronicen el MASTER y el BACKUP

nos dirigiremos hacia la pestaña Interfaces y en el menú desplegable seleccionamos (assign).

En el apartado de Interface assignments hacemos clic sobre el nombre de la interfaz a

configurar, en nuestro caso será OPT1.

Manual pfsense | Pedro José García Moreno

20

Una vez dentro de la configuración de la interfaz modificamos los siguientes parámetros:

Enable: Habilitamos la tarjeta de red

Desccription: Poner un nombre, nosotros hemos elegido SYNC

IPv4 configuration type: Le pondremos una IP estatica por lo tanto

seleccionaremos “static IP4” IP4 address: Pondremos la dirección IP que tendrá la tarjeta, la de nuestro ejemplo

será 199.7.3.1 para el master y 199.7.3.2 para el backup.

/: Seleccionaremos la máscara de red que tendrá la dirección IP de la tarjeta, para

nuestro ejemplo será 24.

Manual pfsense | Pedro José García Moreno

21

Por ultimo guardamos los cambios y los aplicamos estos cambios para que tengan efecto

inmediato.

Esta configuración se realizara en los dos equipos con pfsensen, uno es el master y el otro es el backup, introduciendo la dirección IP correspondiente a cada uno.

Configuración de las IPs virtuales

Las IPs virtuales sirven para agrupar los dos equipos con el software de pfsense instalado y

que así tengan comunicación entre sí para poder sincronizarse.

Para crear estas IPs nos dirigiremos hacia la pestaña de firewall y en el menú desplegable

seleccionaremos virtual IPs.

Como podemos observar no hay ninguna IP virtual creada, para crearla hacemos clic sobre el botón de add.

Manual pfsense | Pedro José García Moreno

22

En el formulario de configuración introduciremos los siguientes datos:

Type: Seleccionaremos el tipo de IP virtual, para hacer el failover seleccionaremos

CARP

Interface: Seleccionar la interfaz sobre la que actuara, nosotros crearemos una

para la wan y otra para la lan. Address(es): Direccion IP que tendrá la IP virtual, para este ejemplo la IP virtual

de la wan tendrá la dirección 192.168.1.157 y la lan tendrá la dirección 199.7.2.3

/: Seleccionaremos la máscara de red que tendrá la IP virtual.

Virtual IP password: Pondremos una contraseña para que se validen tanto en el

master como en el backup. VHID group: Seleccionaremos el grupo al que pertenecerá la IP virtual, este debe

ser un grupo para las IPs virtuales de la wan y otro para las IPs virtuales de la lan,

además tienen que coincidir los grupos tanto en el master como en el backup. Description: Introduciremos un nombre para identificar la IP irtual.

Una vez guardada la configuración aplicamos los cambios realizados y ya tendríamos la IP virtual de la wan.

Manual pfsense | Pedro José García Moreno

23

Ahora realizamos la misma operación para crear la IP virtual para la interfaz lan, a

continuación se muestran en la imagen los datos que usaremos para nuestro ejemplo.

Una vez guardada la configuración y aplicada debería quedarnos algo como lo que aparece

en la siguiente imagen.

Como podemos observar en la interfaz wan tenemos el VHID en 1 y en la interfaz lan tenemos

el VHID en 2.

Esta configuración se realizara tanto en el master como en el backup con los mismos datos

en uno y en el otro.

Manual pfsense | Pedro José García Moreno

24

Configuración de reglas del firewall

Para que se sincronicen deberemos crear una regla en el firewall para que los dos equipos tengan comunicación y así poder sincronizarse.

Para hacer esto nos dirigiremos hacia la pestaña firewall y en el menú desplegable

seleccionaremos la opción de rules.

Una vez dentro de las reglas seleccionaremos la opción de SYNC ya que esta es la interfaz

que usamos para el failover y si recordamos SYNC es el nombre que le asignamos en nuestro ejemplo.

Para empezar a crear la regla que permitirá el tráfico a través de esta interfaz presionamos

cualquiera de los botones add ya que no hay ninguna regla establecida y la que nosotros creemos será la primera.

Manual pfsense | Pedro José García Moreno

25

Los datos que introduciremos serán los siguientes:

Action: Pass para permitir el trafico

Interface: seleccionaremos la interfaz SYNC

Protocol: Any para permitir todo el tráfico que se genere entre las maquinas

Por ultimo guardamos cambios, cuando nos redirigirá hacia el listado de reglas, aplicaremos los cambios para que tengan efecto inmediato.

Esta configuración se realizara en los dos equipos, en el master y en el backup.

Manual pfsense | Pedro José García Moreno

26

Activación del servicio

Para poner en funcionamiento este servicio que nos ofrece pfsense nos dirigiremos hacia la

pestaña de system y en el menú desplegable seleccionaremos la opción de high avail. Sync.

Nos aparecerá un formulario en el cual deberemos introducir los siguientes datos:

Synchronize states: Marcaremos la casilla para que se active el servicio.

Synchronize Interface: Seleccionaremos la interfaz que usaremos para la

sincronización, que en nuestro ejemplo le hemos asignado el nombre de SYNC.

Synchronize Config to IP: Aquí debemos indicarle la dirección IP que tendrá la

tarjeta de red utilizada por el otro equipo en la sincronización, esto quiere decir que

en nuestro ejemplo en el master debemos introducir la dirección del backup. Remote System Username: Introducir el nombre de un usuario administrador del

otro equipo, en nuestro ejemplo será admin.

Remmote System Password: Introducir la contraseña del usuario anterior con la

confirmación de que no tenga errores. Select options to sync: Seleccionaremos los objetos y configuraciones que

deseamos que se sincronicen entre las dos máquinas, esta opción solo se realizara

en el master.

Manual pfsense | Pedro José García Moreno

27

Una vez guardada la configuración realizaremos la misma operación en el backup con la

excepción de las opciones de sincronización que las dejaremos sin marcar.

Ventana de monitorización

Opcionalmente si queremos tener información del estado en el que se encuentra este servicio

podremos añadir un cuadro que nos proporcionara dicha información.

Para esto nos dirigiremos hacia la pantalla de inicio del cortafuego y haremos clic sobre el

símbolo “+” que aparece en la parte superior a la derecha.

Manual pfsense | Pedro José García Moreno

28

Seguidamente nos aparecerá una lista con todas las ventanas de información que podremos

añadir a la pantalla principal, para el estado del failover seleccionaremos la opción de CARP

Status.

Ahora ya nos aparecerá el cuadro con las interfaces, la dirección IP que tienen y el estado

en el que se encuentra.

Creación de Vlans

Una VLAN (red de área local virtual), es un método para crear redes lógicas independientes

dentro de una misma red física. Varias VLAN pueden coexistir en un único conmutador físico o

en una única red física. Son útiles para reducir el tamaño del dominio de difusión y ayudan en la administración de la red, separando segmentos lógicos de una red de área local.

Manual pfsense | Pedro José García Moreno

29

Crear Vlan

Para empezar a crear una VLAN nos dirigiremos hacia la pestaña interfaces y en el menú

desplegable seleccionaremos la opción de (assign).

En el menú al que accedemos seleccionaremos la opción de VLANs y cómo podemos

observar la primera vez que accedemos no aparece ninguna. En este menú presionaremos el botón de add para empezar a crear una VLAN.

En el formulario que nos aparecerá deberemos introducir los siguientes datos:

Parent Interface: seleccionaremos la tarjeta de red física sobre la que trabajara

esta VLAN, en nuestro ejemplo hemos seleccionado la que asignamos para la red lan.

Description: aquí introduciremos un nombre identificativo para la VLAN, en nuestro

ejemplo le hemos puesto en nombre de VLAN_1.

Manual pfsense | Pedro José García Moreno

30

Una vez guardados los cambios volveremos automáticamente al menú anterior y ahora nos

aparecerá la VLAN que acabamos de crear.

Ahora deberemos activar la VLAN, por lo que nos dirigiremos hacia el apartado de Interface Assignments, como podemos observar aparecerá una línea con un menú desplegable que nos

indica las VLANs que hay para activar.

Una vez seleccionada la VLAN que deseamos, en nuestro ejemplo será la VLAN_1 creada anteriormente, presionamos el botón de add y nos aparecerá como una interfaz más.

Manual pfsense | Pedro José García Moreno

31

Para configurar la interfaz lógica que contendrá la VLAN haremos clic sobre el nombre de

esta.

En el formulario de configuración deberemos introducir los siguientes datos:

Enable: Activaremos esta opción para habilitar la VLAN.

Description: Introduciremos un nombre descriptivo para esta interfaz lógica, en

nuestro ejemplo la llamaremos igual que la VLAN, VLAN_1. IPv4 Configuration Type: Seleccionaremos una IP estática.

IPv4 Address: Introduciremos la IP que tendrá esta interfaz, en nuestro ejemplo

será 199.7.10.1

/: Seleccionaremos la máscara de red que tendrá, en nuestro ejemplo será de 24.

Manual pfsense | Pedro José García Moreno

32

Una vez guardados los cambios nos aparecerá un cuadro para aplicar los cambios,

presionaremos el botón de apply changes.

Una vez aplicados los cambios comprobamos que la VLAN aparece en el apartado de

interfaces.

Manual pfsense | Pedro José García Moreno

33

Activar DHCP

Para activar el servidor DHCP en la VLAN nos dirigiremos hacia la pestaña Services y en el menú desplegable seleccionaremos la opción de DHCP Server.

Una vez dentro de este menú nos dirigiremos hacia el apartado de la VLAN en la que queramos activar el servidor DHCP, en nuestro ejemplo nos dirigiremos hacia VLAN_1 ya que es

la VLAN creada anteriormente.

Manual pfsense | Pedro José García Moreno

34

En el formulario de configuración deberemos introducir los siguientes datos:

Enable: Dejaremos la opción seleccionada para activar el servidor DHCP.

Range: Introduciremos un rango de asignación de IPs dentro de la misma red que

la VLAN, en nuestro ejemplo la VLAN tiene la dirección 199.7.10.1/24 por lo tanto hemos elegido el rango que abarca desde 199.7.10.10 hasta la dirección

199.7.10.20.

Por ultimo guardamos la configuración y ya tendríamos el servidor DHCP activo para esta VLAN.

Manual pfsense | Pedro José García Moreno

35

Configuración de reglas del firewall

Por ultimo para que la VLAN que hemos creado tenga acceso a internet deberemos crear

una regla en al cortafuego para permitir el tráfico.

Para esto nos dirigiremos hacia la pestaña Firewall y en el menú desplegable

seleccionaremos la opción de Rules.

Una vez dentro del menú nos dirigiremos hacia el apartado de la VLAN que hemos creado, en nuestro ejemplo como la hemos llamado VLAN_1 nos aparece un apartado con este nombre.

Como podemos observar todavía no hay ninguna regla establecida en el cortafuego, con lo

cual todo el tráfico será bloqueado, para que esto no ocurra añadiremos una regla que permita la circulación de todo el tráfico por lo que presionaremos cualquiera de los botones add.

Manual pfsense | Pedro José García Moreno

36

En el formulario de configuración introduciremos los siguientes parámetros:

Action: Seleccionaremos la opción pass para permitir el trafico

Interface: Seleccionaremos la interfaz sobre la que actuara la regla

Protocol: seleccionaremos any para indicar que afectara a todo el trafico

Guardamos los cambios y nos redirigirá al menú anterior pero ahora nos aparecerá la regla

que acabamos de crear y un cuadro para aplicar los cambios.

Para finalizar aplicaremos los cambios y ya tendríamos nuestra VLAN creada y configurada.

Manual pfsense | Pedro José García Moreno

37

Si en un futuro queremos saber si esta activa esta nos aparecerá en el cuadro de interfaces

del menú principal de pfsense, la flecha verde hacia arriba nos indica que esta activa.

Configuración de proxy

Los servidores proxy permiten proteger y mejorar el acceso a las páginas web, al conservarlas

en la caché. De este modo, cuando un navegador envía una petición para acceder a una página web, que previamente ha sido almacenada en la caché, la respuesta y el tiempo de visualización

es más rápido.

Los servidores proxy aumentan también la seguridad, ya que pueden filtrar cierto contenido

web y programas maliciosos.

Manual pfsense | Pedro José García Moreno

38

Instalación de paquetes

Para poder configurar un servidor proxi en Pfsense deberemos instalar los paquetes necesarios, en nuestro ejemplo hemos elegido los paquetes de SQUID para nuestro servidor

proxy.

La instalación de paquetes se realiza desde la pestaña System y seleccionando en el menú desplegable la opción de Package Manager.

Una vez en este menú comprobamos los paquetes que temenos instalados, para ello nos

dirigimos hacia el apartado de Installed Packages, en nuestro ejemplo comprobamos que no

tenemos paquetes instalados.

Manual pfsense | Pedro José García Moreno

39

Ahora nos dirigiremos hacia el apartado Available Packages e introducimos “squid” en el

cuadro de búsqueda y presionamos en Search.

Instalaremos los paquetes de squid y squidguard por lo que tendremos que presionar en el botón de install y esto nos dirigirá hacia el asistente de instalación de cada uno de los

paquetes.

Una vez en el asistente de instalación, que es el apartado de Packager Installer que nos

aparecerá tras pulsar anteriormente en Install, nos preguntara que si es este el paquete que

queremos instalar, presionaremos en Confirm.

1

2

Manual pfsense | Pedro José García Moreno

40

Una vez confirmado que este es el paquete que instalaremos comenzara la instalación.

Cuando nos aparezca el mensaje de “installation successfully completed” ya habrá terminado

y podremos proceder a la instalación del otro paquete.

Manual pfsense | Pedro José García Moreno

41

Una vez instalados los dos paquetes estos nos aparecerán en la pestaña de services y

aparecerán tres opciones en el menú desplegable.

Configuración squid

Ahora vamos a configurar un proxi para bloquear las páginas web que introduzcamos, en nuestro ejemplo bloquearemos la página de marca y la de pordede, para esto nos dirigimos hacia

la pestaña Services y en el menú desplegable seleccionaremos la opción de Squid Proxy

Server.

Manual pfsense | Pedro José García Moreno

42

Una vez dentro del menú de configuración del servidor proxi nos dirigiremos hacia el apartado

de Local Cache y no cambiaremos ninguna opción, solo presionaremos el botón de guardar para que genere el archivo de cache.

Ahora nos dirigiremos hacia el apartado de General, aquí intruduciremos los siguientes

datos:

Enable Squid Proxy: Marcaremos esta opción para activar SQUID.

Keep Settingd/Data: Marcaremos esta opción para que use el archivo cache.

Proxy Interface: seleccionaremos la interfaz sobre la que actuará, en nuestro caso

será la interfaz de LAN.

Allow Use ron Interfaces: marcaremos esta opción para que afecte a todos los

usuarios. Transparent HTTP Proxy: marcaremos esta opción para que el proxy sea

transparente al usuario.

Manual pfsense | Pedro José García Moreno

43

Pulsaremos el botón Save que esta al final del formulario de configuración para guardar los

cambios que hemos realizado.

Manual pfsense | Pedro José García Moreno

44

Por ultimo nos dirigiremos al apartado ACLs para indicar las páginas que queremos bloquear.

En el formulario de configuración nos dirigiremos hacia la opción de Blacklist, aquí indicaremos las páginas que bloqueara SQUID, en nuestro ejemplo bloquearemos las páginas de

marca y pordede.

Ya para finalizar guardaremos la configuración y nuestro servidor proxy estará en funcionamiento y bloqueará las paginas indicadas.

Para comprobar que funciona correctamente intentamos acceder a cualquiera de las páginas bloqueadas desde un equipo que este en nuestra red.

Manual pfsense | Pedro José García Moreno

45

Configuración squidguard

Ahora procederemos a configurar un proxi para bloquear listas de páginas web, en nuestro

ejemplo bloquearemos las listas de porno, para realizar esto nos dirigimos hacia la pestaña Services y en el menú desplegable seleccionaremos la opción de Squidguard Proxy Filter.

Una vez dentro de este menú nos dirigiremos hacia el apartado de General settings y cómo

podremos observar la primera vez que accedemos nos encontraremos que el servicio de squid

guard está detenido.

Manual pfsense | Pedro José García Moreno

46

Procederemos a iniciar el servicio y empezaremos a configurarlo, por lo que deberemos

marcar la opción de enable y pulsar en el botón de apply.

En este mismo formulario de configuración nos dirigiremos hacia la parte final en introduciremos los siguientes datos:

Enable GUI log: marcaremos esta opción para crear un archivo log con los accesos

a paginas. Eneble log: marcaremos esta opción para crear un archivo log con las paginas que

se bloquean.

Blacklist: marcaremos esta opción para activar la lista negra de paginas.

Blacklist URL: introduciremos la dirección desde donde obtendremos las listas

negras, en nuestro ejemplo será “http://www.shallalist.de/Downloads/ shallalist.tar.gz”

Manual pfsense | Pedro José García Moreno

47

Si nos dirigimos hacia el apartado de Common ACL podemos observar que solo tenemos

una lista que hace referencia a todo el tráfico que circulara y está configurada para denegarlo.

Para añadir listas nos dirigiremos hacia el apartado de Blacklist.

Aquí introduciremos la dirección desde donde se descargarán las listas.

Manual pfsense | Pedro José García Moreno

48

Una vez introducida la dirección presionaremos el botón de Download para empezar a

descargar las listas.

Una vez completada la descarga volvemos al apartado de Common ACL y ahora

presionando en el símbolo + de la opción Target Rule List nos aparecerán las listas.

Manual pfsense | Pedro José García Moreno

49

En nuestro ejemplo bloquearemos las páginas de porno y las de webmail, para esto

seleccionamos en access la opción de deny y en la lista de Default Access [all] seleccionaremos

en access la opción de alloy para permitir el resto del tráfico.

Por ultimo en el final del formulario de configuración pulsaremos el botón de Save para guardar la configuración.

Para que la configuración actual tenga efecto debemos dirigirnos hacia el apartado de General settings y aquí presionaremos el botón de Apply para aplicar los cambios.

Manual pfsense | Pedro José García Moreno

50

Para comprobar que funciona correctamente intentamos acceder a cualquiera de las paginas

bloqueadas desde un equipo que este en nuestra red.

Configuración de portal cautivo

Un portal cautivo es un programa o máquina de una red informática que vigila el tráfico

HTTP y fuerza a los usuarios a pasar por una página especial si quieren navegar por Internet de

forma normal. El programa intercepta todo el tráfico HTTP hasta que el usuario se autentifica.

Creación de Portal Cautivo

Lo primero que haremos será crear el portal cautivo para nuestra red LAN, para ello nos

dirigiremos hacia la pestaña Services y en el menú desplegable seleccionaremos la opción de Captive Portal.

Manual pfsense | Pedro José García Moreno

51

Dentro de este menú podemos observar que la primera vez que accedamos no hay ningún

portal creado, para crear uno presionaremos el botón Add.

En la primera parte del formulario de configuración introduciremos el nombre que tendrá el portal y una descripción de este, una vez hecho esto presionaremos el botón Save & Continue.

En la siguiente parte del formulario de configuración marcaremos la opción de Enable Captive Portal para activarlo e introducir los siguientes datos:

Interfaces: la interfaz sobre la que actuará, en nuestro ejemplo será en le LAN.

Authentication method: seleccionaremos local user manager/vouchers para

acceder con usuarios que estén creados en pfsense.

Manual pfsense | Pedro José García Moreno

52

Una vez hecho esto presionaremos el botón Save situado en la parte inferior del formulario

de configuración para guardar los cambios.

Creación de usuarios

Ahora explicaremos como crear usuarios para el portal cautivo, para crear usuarios nos dirigiremos hacia la pestaña System y en el menú desplegable seleccionaremos la opción de

User Manager.

En este menú veremos el usuario admin que es con el que hemos accedido hasta ahora para

configurar pfsense, para empezar a crear un usuario presionaremos el botón Add.

Manual pfsense | Pedro José García Moreno

53

En el formulario de configuración introduciremos los datos de Username, es el nombre de

usuario que tendrá para identificarse y Password, que sera la contraseña que utilice para

identificarse.

Una vez introducidos estos datos pulsaremos el botón Save para guardar los datos de este

usuario.

Ahora ya nos aparecerá el usuario que acabamos de crear y el usuario admin.

Manual pfsense | Pedro José García Moreno

54

Para comprobar que funciona correctamente intentamos acceder a cualquier página desde

un equipo que este en nuestra red y nos debería aparecer un formulario preguntándonos el nombre de usuario y la contraseña.

En este formulario introduciremos los datos del usuario que acabamos de crear y nos identificaremos.

Manual pfsense | Pedro José García Moreno

55

Y ya podríamos navegar sin tener que volver a identificarse hasta la próxima sesión.

Monitorización del tráfico

Pfsense dispone de una herramienta que nos permite observar el ancho de banda que está

consumiendo cada equipo que está conectado a nuestra red, para ver esto nos dirigiremos hacia la pestaña Status y en el menú desplegable seleccionaremos la opción de Traffic Graph.

Manual pfsense | Pedro José García Moreno

56

En este menú tenemos dos secciones, la primera es la de Graph Settings que aquí es donde

podremos configurar las opciones de visualización de la gráfica pudiendo elegir la interfaz y los

datos que se mostraran, la segunda parte es la gráfica y los datos sobre los equipos.

Limitar ancho de banda

Esto puede resultar muy útil cuando tenemos en nuestra muchos equipos conectados ya que

podemos limitar el ancho de banda que recibirá cada equipo y así lograr que todos los equipos tengan la misma velocidad por lo que evitaremos que un solo equipo acapare todo el ancho de

banda del que dispondremos.

Como prueba hemos hecho un test de velocidad en la página Speedtest y hemos obtenido como resultado que tenemos una velocidad de bajada de 128 Mbps y una velocidad de subida de

25 Mbps.

Manual pfsense | Pedro José García Moreno

57

Crear limitadores

Lo primero será crear los limitadores que usaremos para restringir las conexiones, para esto

nos dirigiremos hacia la pestaña de Firewall y en el menú desplegable seleccionaremos la opción de Traffic Shaper.

En este menú nos dirigiremos hacia el apartado Limiters y cómo podemos observar la

primera vez que accedemos a este menú no tendremos creado limitadores, para empezar a crear uno presionaremos el botón de New Limiter.

En el formulario de configuración introduciremos los siguientes datos:

Enable: marcaremos esta opción para habilitar el limitador.

Name: introduciremos un nombre para este limitador.

Bandwidth: introduciremos el ancho de banda que tendrá, en nuestro caso

limitaremos la bajada a 5Mbps.

Manual pfsense | Pedro José García Moreno

58

Guardamos los cambios y nos aparecerá un cuadro para aplicar los cambios, presionamos el

botón Apply Changes para apicarlos.

Una vez aplicados los cambios ya tendremos nuestro limitador de bajada creada y ahora

procederemos a crear el limitador de subida presionando otra vez el botón de New Limiter.

En el formulario de configuración introduciremos los siguientes datos:

Enable: marcaremos esta opción para habilitar el limitador.

Name: introduciremos un nombre para este limitador.

Bandwidth: introduciremos el ancho de banda que tendrá, en nuestro caso

limitaremos la bajada a 2Mbps.

Manual pfsense | Pedro José García Moreno

59

Guardamos los cambios y nos aparecerá un cuadro para aplicar los cambios, presionamos el

botón Apply Changes para apicarlos.

Una vez aplicados los cambios ya tendremos nuestro dos limitadores creador, uno de bajada y el otro de subida.

Creación de reglas

Para que los limitadores que hemos creado surjan efecto deberemos crear una regla en el cortafuegos, por lo que nos dirigiremos hacia la pestaña Firewall y en el menú desplegable

seleccionaremos la opción de Rules.

Manual pfsense | Pedro José García Moreno

60

En este menú nos dirigiremos hacia el apartado de LAN ya que queremos que afecte a todos

los equipos que se conecten a nuestra red, por lo tanto si solo quisiéramos que afectara por

ejemplo a una VLAN deberíamos dirigirnos hacia el apartado de la VLAN en concreto a la que afectaría, y presionamos el botón Add con la flecha hacia arriba.

En el formulario de configuración introduciremos los siguientes datos:

Action: seleccionaremos la opción pass para permitir el tráfico.

Interface: seleccionaremos la interfaz LAN para que afecte a todos los equipos.

Protocol: seleccionaremos any para que afecte a todo el tráfico.

Ahora nos dirigiremos hacia el final del formulario y en el apartado de Extra Options

presionaremos el botón de Advanced Options.

Manual pfsense | Pedro José García Moreno

61

Una vez que hallamos pulsado el botón podremos observar que aparecen más opciones de

configuración, para la opción de los limitadores nos dirigimos hacia el final del formulario y en la

opción de In/Out pipe pondremos en el cuadro de selección de la izquierda el limitador de subida y en el cuadro de selección de la derecha seleccionaremos el limitador de bajada.

Por ultimo pulsaremos el botón de Save y nos redirigirá al menú de las reglas, aquí aplicamos los cambios y ya tendríamos nuestros limitadores funcionando.

Para comprobar que funciona volvemos a hacer un test de velocidad en la página Speedtest

y ahora obtenemos como resultado que tenemos una velocidad de bajada de 4.84 Mbps y una velocidad de subida de 1.91 Mbps.

Manual pfsense | Pedro José García Moreno

62