Link de del manual http://forum.pfsense.org/index.php/topic,7356.0.html http://es.wikipedia.

org/wiki/PfSense

Caractersticas
pfSense incluye la mayora de todas las funciones de cortafuegos comerciales caros, y ms, en muchos casos. La siguiente es una lista de caractersticas disponibles en la actualidad en el comunicado de pfSense 2.0. Todas estas cosas son posibles en la interfaz web, sin tocar nada en la lnea de comandos. Adems de las caractersticas, esta pgina incluye tambin todas las limitaciones del sistema del que somos conscientes. Desde nuestra experiencia y las experiencias han contribuido de miles de nuestros usuarios, entendemos muy bien lo que el software puede y no puede hacer. Cada paquete de software tiene sus limitaciones. En lo que diferimos de la mayora de nosotros es claro que comunicar. Tambin damos la bienvenida la gente a contribuir para ayudar a eliminar estas limitaciones. Muchas de las limitaciones mencionadas son comunes a la fuente de numerosas abierta y firewalls comerciales.

Cortafuegos
Filtrado por IP de origen y destino, puerto de protocolo IP, origen y destino para el
trfico TCP y UDP

Capaces de limitar las conexiones simultneas en una base por regla pfSense utiliza p0f, un avanzado pasiva OS / red de servicios pblicos huellas
digitales que le permite filtrar por el sistema operativo que inicia la conexin. Quieres permitir que las mquinas FreeBSD y Linux a Internet, pero bloquear las mquinas Windows? pfSense puede hacerlo (entre otras muchas posibilidades) por pasiva la deteccin del sistema operativo en uso.

Opcin de registro o registro no coinciden con cada regla de trfico. Poltica muy flexible de enrutamiento posible por medio de puerta de enlace en funcin
de cada estado (de equilibrio de carga, conmutacin por error, mltiples WAN, etc)

Los alias permiten agrupar y denominacin de las direcciones IP, las redes y los
puertos. Esto ayuda a mantener su conjunto de reglas de firewall limpio y fcil de entender, especialmente en entornos con mltiples direcciones IP pblicas y varios servidores.

Capa transparente 2 cortafuegos capaz - puede salvar interfaces y filtran el trfico entre
ellos, incluso teniendo en cuenta un firewall IP-menos (aunque es probable que desee una direccin IP para fines de gestin).

Normalizacin de paquetes - Descripcin de la documentacin matorrales pf - "'fregado'

es la normalizacin de los paquetes para que no haya ambigedades en la interpretacin por el destino final del paquete de la directiva scrub reensambla los paquetes fragmentados tambin, la proteccin de algunos sistemas operativos de algunas formas de. ataque, y deja caer los paquetes TCP que tienen combinaciones no vlidas bandera ".

o o

Activado por defecto en pfSense Puede desactivar si es necesario. Esta opcin hace que los problemas de algunas implementaciones de NFS, pero es seguro y se debe dejar habilitado en la mayora de las instalaciones.

Desactivar filtro - puede desactivar el filtro de firewall por completo si desea activar

pfSense en un router puro.

Estado de la tabla
La mesa del firewall del estado mantiene informacin sobre las conexiones de red abierta. pfSense es un firewall de estado , por defecto todas las reglas de estado. La mayora de los firewalls no tienen la capacidad de controlar con precisin su tabla de estado. pfSense tiene numerosas caractersticas que permite un control granular de la tabla de estado, gracias a las habilidades de losPF de OpenBSD .

Tamao ajustable tabla de estado - hay varias instalaciones de produccin de pfSense

con varios cientos de miles los estados. El estado por defecto tamao de la tabla vara en funcin de la memoria RAM instalada en el sistema, pero puede ser aumentado sobre la marcha a medida que usted desee.Cada estado tiene aproximadamente 1 KB de memoria RAM, as que tenga en cuenta el uso de la memoria cuando el tamao de su tabla de estado. No establece de manera arbitraria alta.

En funcin de cada regla: o Limitar las conexiones simultneas de cliente o Estados lmite por host o Lmite de nuevas conexiones por segundo o Definir tiempo de espera de estado o Definir el tipo de estado Los tipos de Estado - pfSense ofrece mltiples opciones para el manejo del Estado. o Mantener el estado - Funciona con todos los protocolos. Por defecto para
todas las reglas.

o o

Modulan el estado - slo funciona con TCP. pfSense va a generar fuertes nmeros de secuencia inicial (ISN) en nombre de la mquina. Synproxy Estado - conexiones proxy TCP entrantes para ayudar a proteger los servidores de desbordamientos TCP SYN falsificados. Esta opcin incluye la funcionalidad de mantener el estado y modulan el estado combinado.

Ninguno - No guardar las entradas de estado para este trfico. Esto es muy rara vez deseable, pero est disponible, ya que puede ser til en algunas circunstancias limitadas.

Estado las opciones de optimizacin de mesa - PF ofrece cuatro opciones para la

optimizacin del estado de la tabla.

o o o

Normal - el algoritmo por defecto Alta latencia - til para enlaces de alta latencia, como las conexiones por satlite. Expira conexiones inactivas despus de lo normal. Agresivo - Expira conexiones inactivas con mayor rapidez. Un uso ms eficiente de los recursos de hardware, pero puede caer conexiones legtimas.

Conservador - Trata de evitar errores en las conexiones legtimas a expensas de uso de memoria y CPU.

Network Address Translation (NAT)

Puerto reenva incluyendo rangos y el uso de mltiples direcciones IP pblicas 01:01 NAT para direcciones IP individuales o subredes enteras. Salida NAT o La configuracin predeterminada de NAT todo el trfico saliente a la IP
WAN. En varios escenarios de la WAN, la configuracin predeterminada de trfico NAT de salida a la IP de la interfaz WAN que se utiliza.

Avanzada de salida NAT permite este comportamiento por defecto debe ser desactivado, y permite la creacin de muy NAT flexible (o no NAT) las

normas.

Reflexin NAT - en algunas configuraciones, la reflexin NAT es posible que los

servicios se puede acceder por la IP pblica desde las redes internas.

NAT Limitaciones
PPTP / GRE prescripcin - El cdigo de seguimiento del estado de pf para el protocolo
GRE slo puede seguir una sola sesin por direccin IP pblica por un servidor externo. Esto significa que si usted utiliza conexiones VPN PPTP, slo una mquina de la red se pueden conectar simultneamente a un servidor PPTP en Internet. Un millar de mquinas se pueden conectar simultneamente a miles de servidores PPTP diferentes, pero slo una vez en un solo servidor. El nico trabajo disponible en todo es el uso de mltiples direcciones IP pblicas en el servidor de seguridad, uno por cada cliente, o para usos mltiples IPs pblicas en el servidor PPTP externo. Esto no es un problema con otros tipos de conexiones VPN. Una solucin para esto est actualmente en desarrollo.

Redundancia
CARP de OpenBSD permite la conmutacin por error de hardware. Dos o ms servidores de seguridad se puede configurar como un grupo de conmutacin por error. Si una interfaz de falla en el primario o el principal se desconecta por completo, el secundario se convierte en activo. pfSense tambin incluye capacidades de configuracin de sincronizacin, para que realice los cambios de configuracin en el primario y se sincroniza automticamente con el servidor de seguridad secundaria. pfsync garantiza la tabla del servidor de seguridad del Estado se replica en todos los firewalls configurados conmutacin por error. Esto significa que las conexiones existentes se mantendrn en el caso de fracaso, lo cual es importante para evitar interrupciones en la red.

Limitaciones
Slo funciona con IPs estticos pblicos, no funciona con conmutacin por error de
estado por medio de DHCP, PPPoE, PPTP o WAN tipo

Equilibrio de carga
Equilibrio de la carga de salida
Balanceo de carga de salida se utiliza con mltiples conexiones WAN para proporcionar equilibrio de carga y failover. El trfico se dirige a la puerta de entrada deseado o en la piscina de balanceo de carga en una base por regla de firewall.

Equilibrio de la carga de entrada

Balanceo de carga de entrada se utiliza para distribuir la carga entre varios servidores. Esto es comnmente utilizado en servidores web, servidores de correo, y otros. Los servidores que no responden a las solicitudes de ping o las conexiones de puerto TCP se retiran de la piscina.

VPN
pfSense ofrece tres opciones para la conectividad VPN, IPSec , OpenVPN y PPTP .

IPsec
IPsec permite la conectividad con cualquier dispositivo que soporte estndar IPsec. Esto es ms comnmente utilizado para el sitio de conectividad de sitio a las instalaciones pfSense, otros cortafuegos de cdigo abierto (m0n0wall, etc), y la mayora de todas las soluciones de firewall comercial (Cisco, Juniper, etc.) Tambin se puede utilizar para la conectividad de clientes de telefona mvil.

OpenVPN
OpenVPN es una solucin flexible, potente SSL VPN admite una gran variedad de sistemas operativos cliente. Ver el sitio web de OpenVPN para obtener detalles sobre sus habilidades.

Servidor PPTP
PPTP es una popular opcin de VPN, ya que casi todos los sistemas operativos ha construido en un cliente PPTP, incluyendo cada versin de Windows desde Windows 95 OSR2. Vea este artculo de Wikipedia para ms informacin sobre el protocolo PPTP. El servidor de pfSense PPTP puede usar una base de datos local o un servidor RADIUS para la autenticacin.Administracin de cuentas RADIUS tambin se apoya. Las reglas de firewall en la interfaz de control de trfico PPTP iniciado por los clientes PPTP.

Limitaciones
Debido a las limitaciones en pf NAT, cuando el servidor PPTP est habilitado, los clientes
PPTP no pueden utilizar la misma direccin IP pblica para las conexiones PPTP saliente. Esto significa que si usted tiene slo una direccin IP pblica, y utilizar el servidor PPTP, los clientes PPTP dentro de la red no va a funcionar. Una solucin es usar una segunda IP pblica con Advanced NAT de salida para sus clientes internos. Vase tambin la limitacin en PPTP NAT en esta pgina.

PPPoE servidor
pfSense ofrece un servidor PPPoE. Para ms informacin sobre el protocolo PPPoE, consulte esta entrada de la Wikipedia . Una base de datos de usuario local puede ser utilizado para la autenticacin y la autenticacin RADIUS con optativo de contabilidad con el apoyo tambin.

Comunicacin y Control
RRD Grficos
Las grficas RRD en pfSense mantener informacin histrica sobre los siguientes.

Utilizacin de la CPU El rendimiento total Firewall estados Rendimiento individual para todas las interfaces Paquetes por segundo tasas para todas las interfaces Interfaz WAN gateway (s) los tiempos de ping de respuesta Colas de trfico shaper en sistemas con modulacin del trfico habilitado

Informacin en tiempo real

La informacin histrica es importante, pero a veces es ms importante ver la informacin en tiempo real. Grficos SVG estn disponibles que muestran el rendimiento en tiempo real para cada interfaz. Para los usuarios de Traffic Shaper, el Estado -> pantalla de colas proporciona una visualizacin en tiempo real del uso de la cola utilizando AJAX indicadores actualizados. La primera pgina incluye indicadores de AJAX para la visualizacin de la CPU en tiempo real, la memoria, intercambio y uso de disco, y el tamao de la tabla de estado.

DNS dinmico
Un cliente de DNS dinmico se incluye para que pueda registrar su direccin IP pblica con una serie de proveedores de servicio de DNS dinmico.

DynDNS DHS DNSexit DyNS easyDNS FreeDNS HE.net Loopia

Namecheap No-IP ODS.org OpenDNS ZoneEdit

El cliente tambin est disponible para RFC 2136 DNS dinmico actualiza, para su uso con servidores DNS como BIND que apoyan esta forma de actualizacin.

Portal Cautivo
Portal cautivo le permite forzar la autenticacin o redireccin a una pgina, haga clic a travs de acceso a la red.Esto es comnmente utilizado en las redes de puntos calientes, pero tambin se usa ampliamente en las redes corporativas de una capa adicional de seguridad en redes inalmbricas o de acceso a Internet. Para ms informacin sobre la tecnologa de portal cautivo, en general, consulte el artculo de Wikipedia sobre el tema. La siguiente es una lista de caractersticas en el portal cautivo pfSense.

Nmero mximo de conexiones simultneas - Limitar el nmero de conexiones al portal

por s misma IP del cliente. Esta funcin evita una denegacin de servicio desde los PCs cliente que enva el trfico de red en repetidas ocasiones sin tener que identificarse o accediendo a la pgina de bienvenida.

Tiempo de inactividad - desconectar a los clientes que estn inactivos por ms de la

cantidad determinada de minutos.

Tiempo de espera dura - Fuerza una desconexin de todos los clientes despus de que
el nmero determinado de minutos.

De inicio de sesin ventana emergente - Opcin para que aparezca una ventana con un
botn de cerrar la sesin.

Redireccin de URL - despus de la autenticacin o hacer clic en el portal cautivo, los

usuarios pueden ser la fuerza redirige a la URL definida.

Filtrado de direcciones MAC - por defecto, los filtros de pfSense el uso de direcciones
MAC. Si usted tiene una subred detrs de un router en una interfaz de portal cautivo activado, todas las mquinas detrs del router se autorizar despus de que un usuario est autorizado. Filtrado de direcciones MAC puede ser deshabilitado para estos escenarios.

Opciones de autenticacin - Hay tres opciones de autenticacin disponibles. o Sin autenticacin - Esto significa que el usuario simplemente hace clic a
travs de la pgina del portal sin tener que introducir las credenciales.

o o

Administrador de usuarios local - Una base de datos de usuario local puede ser configurado y utilizado para la autenticacin. Autenticacin RADIUS - Este es el mtodo de autenticacin preferido para entornos corporativos y proveedores de Internet. Se puede utilizar para autenticar a Microsoft Active Directory y numerosos otros servidores RADIUS.

Capacidades de RADIUS o Obligado re-autenticacin o Capaz de enviar actualizaciones de Contabilidad o RADIUS de autenticacin de MAC permite un portal cautivo para autenticar a
un servidor RADIUS usando la direccin MAC del cliente como el nombre de usuario y contrasea.

Permite la configuracin de los servidores RADIUS redundantes.

HTTP o HTTPS - La pgina del portal puede ser configurado para utilizar HTTP o HTTPS. Paso a travs de direcciones IP y MAC - MAC y las direcciones IP pueden ser la lista

blanca para evitar el portal. Cualquier mquina NAT puerto hacia delante tendr que ser anuladas por lo que el trfico de respuesta no llega al portal. Es posible que desee excluir algunas mquinas por otras razones.

Administrador de archivos - Esto le permite subir imgenes para su uso en las pginas
del portal.

Limitaciones
"Reverse" portal, es decir, la captura de trfico que se origina a travs de Internet y
entrar en su red, no es posible.

Slo IP completo y las direcciones MAC se puede excluir desde el portal, no protocolos
individuales y los puertos.

Servidor DHCP y rel

pfSense incluye funcionalidad de servidor DHCP y rel

Y mucho ms ...
Esta no es una lista definitiva. Que se ampliar con el tiempo lo permite.

Proyecto News Feed

pfSense Compendio Noticias, comentarios y ms relacionados con el proyecto firewall pfSense

Donaciones en busca de pfSense hackathon 2011 En un par de semanas, varios de los desarrolladores se reunirn aqu en Louisville para otro hackathon, donde se renen y trabajan en ...

Inters en la sesin de entrenamiento de EE.UU.? Despus de que nuestro prximo perodo de sesiones en EuroBSDCon 2011, tenemos previsto organizar una sesin en los EE.UU. este ao. Ser una o ...

La versin 2.0 ya est disponible! Estoy orgulloso de anunciar el lanzamiento de la versin 2.0. Esto hace que los tres ltimos aos de nuevas caractersticas nuevas, con mejoras significativas en casi todos los ...