RSS

Cortafuego con pfSense: Reglas, Aliases , NAT e VPN

07 Feb

pfsense¿Como implementar reglas del cortafuego pfSense para tener control total del trafico entrantes/salientes de las subredes?

pfSense es una distribución libre, de código abierto personalizada de FreeBSD adaptado para su uso como un firewall y router. Además de ser un potente cortafuegos, flexible y una plataforma de enrutamiento, incluye una larga lista de características relacionadas y un sistema que permite con mayor capacidad de expansión sin añadir hinchazón y potenciales vulnerabilidades de seguridad a la distribución base. pfSense es un proyecto popular

Escenario:

Dos subredes y salida para internet

Subred uno : LAN

Subred dos: DMZ

Utilizaremos tres interfaz para el pfsense, dos en red adaptador interna con diferentes Alias y dirección de subred y una en adaptador NAT o puente para acceder a internet atreves de  la Maquina anfitriona

Encendemos neutra maquina cortafuego pfSense

pfsense

Acceder a pfsense atreves de un navegador web desde la maquina real poniendo la ip de la interfaz WAN

acceder a pfsense

Ingresa la contraseña del administrador de pfsense y pulsa login

Panel de control de pfsense

dhcp

Habilitar dhcp al los subredes

Ve a services, a posiciona la ratón aqui, se despleja unas opciones, seleciona dhcp server

Selecciona la interfaz, en este caso LAN y habilitar el servidor dhcp para la interfaz, introduzca un rango y pulsa Save para guarda

Servidor dhsp en pfsense

Sigue los mismo paso como el anterior para todas las subredes, no te preocupa por la puerta de enlace, se define por defecto con la interfaz

dmz pfsense

Comprobar los servidores dhcp

Inicia una MV con interfaz red interna a la LAN (un cliente)

cliente lan dhcp

Ya se le ha asignado la primera dirección utilizable en la subred LAN

xp dhcp cliente

Inicia una MV con interfaz red interna a la DMZ (un servidor )

dmz cliente dhcp

Se le asigna

Selección_010

Aliases

Desdel acceso web de pfSense : Alias actúan como marcadores de posición para los equipos reales, redes o puertos. Ellos se pueden utilizar para minimizar el número de cambios que tienen que hacerse si un equipo, red o de puerto cambia. El nombre de un alias se puede introducir en lugar de la dirección, de red o puerto  en todos los campos que tienen un fondo rojo. El alias se resolverá de acuerdo con la lista [en la página Alias del WebGUI]

Alias a los puertos

Para agrupa puertos a una alias, ve a Firewall, y selecciona Alises

Alias a los puertos

Seleccionar Ports y clic en Add para añade una Alias para los puertos

Selección_011

Ingresa la descripción y seleccionar los puertos que necesarios para la agrupación

agrupacion de los puertos

Para esta demostración, tengo los siguientes Aliases para permitir la navegación al internet

Selección_013

Reglas

Permitir la LAN el acceso a internet

Para navegar a internet necesitamos los protocolos http(puerto 80) y https(puerto 443) con el protocolo TCP y UDP para la resoluciones dns ya que aun no hemos habilitado un servidor dns.

Ve a Firewall, selecciona Rules (reglas)

Captura de pantalla de 2015-01-19 23:18:38

Selecciona la interfaz (subred) donde quieres aplicar la regla y pincha Add (+) para añadir una nueva reglas en la tabla sobre esta interfazSelección_014

Darle las siguientes  directivas para navega a internet

directivas para navega ainternet

Hacemos lo mismo para dns pero esta vez seccionaremos el protocolo TCP/UDP

Permitir la LAN y la DMZ hacer ping cualquiera

Ping es una utilidad de administración de la red  utilizado para comprobar la accesibilidad de un host en una red de Protocolo Internet (IP) y para medir el tiempo de ida y vuelta para los mensajes enviados desde el host de origen a un equipo de destino

Para poder hacer ping, necesitamos  el protocolo ICMP

sigue los pasos anterior y seleccionar los siguientes directivas

permitir ping en pfsense con ICMP

Para visualizar las reglas asignada a una interfaz (subred), ve a Firewall, — Rules y seleccionar la interfaz que desea visualizar

 LAN

Reglas a la LAN

DMZ

Selección_020

Comprobar la conexión e internet y el ping desde una MV en la subred LAN

Firewall permite acceso a internet y ping

Comprobar que la  DMZ hacer ping a cualquiera

Selección_021

Aqui, teneis resuelto ejercico de cortafuego con pfSense

 

fSense is a free, open source customized distribution of FreeBSD tailored for use as a firewall and router. In addition to being a powerful, flexible firewalling and routing platform, it includes a long list of related features and a package system allowing further expandability without adding bloat and potential security vulnerabilities to the base distribution. pfSense is a popular project

 
Deja un comentario

Publicado por en 7 febrero, 2015 en Administración de sistemas, Planificación y administración de redes, Seguridad y alta disponibilidad, Servicios de red e internet

 

Etiquetas: , , , , ,

Deja un comentario