¿Como implementar reglas del cortafuego pfSense para tener control total del trafico entrantes/salientes de las subredes?
pfSense es una distribución libre, de código abierto personalizada de FreeBSD adaptado para su uso como un firewall y router. Además de ser un potente cortafuegos, flexible y una plataforma de enrutamiento, incluye una larga lista de características relacionadas y un sistema que permite con mayor capacidad de expansión sin añadir hinchazón y potenciales vulnerabilidades de seguridad a la distribución base. pfSense es un proyecto popular
Escenario:
Dos subredes y salida para internet
Subred uno : LAN
Subred dos: DMZ
Utilizaremos tres interfaz para el pfsense, dos en red adaptador interna con diferentes Alias y dirección de subred y una en adaptador NAT o puente para acceder a internet atreves de la Maquina anfitriona
Encendemos neutra maquina cortafuego pfSense
Acceder a pfsense atreves de un navegador web desde la maquina real poniendo la ip de la interfaz WAN
Ingresa la contraseña del administrador de pfsense y pulsa login
dhcp
Habilitar dhcp al los subredes
Ve a services, a posiciona la ratón aqui, se despleja unas opciones, seleciona dhcp server
Selecciona la interfaz, en este caso LAN y habilitar el servidor dhcp para la interfaz, introduzca un rango y pulsa Save para guarda
Sigue los mismo paso como el anterior para todas las subredes, no te preocupa por la puerta de enlace, se define por defecto con la interfaz
Comprobar los servidores dhcp
Inicia una MV con interfaz red interna a la LAN (un cliente)
Ya se le ha asignado la primera dirección utilizable en la subred LAN
Inicia una MV con interfaz red interna a la DMZ (un servidor )
Se le asigna
Aliases
Desdel acceso web de pfSense : Alias actúan como marcadores de posición para los equipos reales, redes o puertos. Ellos se pueden utilizar para minimizar el número de cambios que tienen que hacerse si un equipo, red o de puerto cambia. El nombre de un alias se puede introducir en lugar de la dirección, de red o puerto en todos los campos que tienen un fondo rojo. El alias se resolverá de acuerdo con la lista [en la página Alias del WebGUI]
Alias a los puertos
Para agrupa puertos a una alias, ve a Firewall, y selecciona Alises
Seleccionar Ports y clic en Add para añade una Alias para los puertos
Ingresa la descripción y seleccionar los puertos que necesarios para la agrupación
Para esta demostración, tengo los siguientes Aliases para permitir la navegación al internet
Reglas
Permitir la LAN el acceso a internet
Para navegar a internet necesitamos los protocolos http(puerto 80) y https(puerto 443) con el protocolo TCP y UDP para la resoluciones dns ya que aun no hemos habilitado un servidor dns.
Ve a Firewall, selecciona Rules (reglas)
Selecciona la interfaz (subred) donde quieres aplicar la regla y pincha Add (+) para añadir una nueva reglas en la tabla sobre esta interfaz
Darle las siguientes directivas para navega a internet
Hacemos lo mismo para dns pero esta vez seccionaremos el protocolo TCP/UDP
Permitir la LAN y la DMZ hacer ping cualquiera
Ping es una utilidad de administración de la red utilizado para comprobar la accesibilidad de un host en una red de Protocolo Internet (IP) y para medir el tiempo de ida y vuelta para los mensajes enviados desde el host de origen a un equipo de destino
Para poder hacer ping, necesitamos el protocolo ICMP
sigue los pasos anterior y seleccionar los siguientes directivas
Para visualizar las reglas asignada a una interfaz (subred), ve a Firewall, — Rules y seleccionar la interfaz que desea visualizar
LAN
DMZ
Comprobar la conexión e internet y el ping desde una MV en la subred LAN
Comprobar que la DMZ hacer ping a cualquiera
Aqui, teneis resuelto ejercico de cortafuego con pfSense
fSense is a free, open source customized distribution of FreeBSD tailored for use as a firewall and router. In addition to being a powerful, flexible firewalling and routing platform, it includes a long list of related features and a package system allowing further expandability without adding bloat and potential security vulnerabilities to the base distribution. pfSense is a popular project