Comparativa entre IPCop y pfSense

Xabier Amezaga

Versiones analizadas de IPCop y pfSense

v2.1.3 (Mayo 2014)

v2.1.4 (Abril 2014)

Comparativa entre las soluciones de Firewall

IPCop y pfSense

VPN (Cliente Remoto)

Reenvo de Puertos

Control de Trfico

Filtro URL

Otras consideraciones

VPN (Cliente Remoto)

Soporta IPsec, L2TC, OpenVPN y PPTP:

VPN (Cliente Remoto)

Permite conexiones Red-a-Red:

VPN (Cliente Remoto)

y conexiones Host-a-Red:

VPN (Cliente Remoto)

Posee un Wizard para realizar la configuracin de manera asistida si no

se quiere realizar manualmente:

VPN (Cliente Remoto)

OpenVPN Client Export Utility nos permite exportar el cliente de OpenVPN

directamente listo para instalarse
Es necesario instalarlo va Package Manger (System Packages )

VPN (Cliente Remoto)

Configurado el servidor de OpenVPN y creados los certificados

necesarios, podemos exportar el Cliente OpenVPN de forma muy
sencilla:
VPN OpenVPN Client Export

VPN (Cliente Remoto)

Permite ver el estado de las conexiones activas de los clientes:

VPN (Cliente Remoto)

Soporta IPsec y OpenVPN:

VPN (Cliente Remoto)

Solo permite conexiones Host-a-Red (RoadWarrior):

VPN (Cliente Remoto)

Permite exportar SOLO los certificados, tenemos que instalar el

cliente OpenVPN y aadir los certificados manualmente:
VPNs OpenVPN

VPN (Cliente Remoto)

Permite ver el estado de las conexiones y estadsticas de conexin:

VPN (Cliente Remoto) - Resumen

Soporta IPsec, L2TC, OpenVPN y PPTP

Soporta Ipsec y OpenVPN

Conexiones Red-a-Red

Conexiones Host-a-Red

Conexiones Host-a-Red

Exportar solo certificados

Wizard

OpenVPN Status

OpenVPN Client Export Utility

OpenVPN Status

Reenvo de Puertos (Port Forwarding)

Permite el Reenvo de Puertos desde el menu:

Firewall NAT Port Forward

Destination Port Range: Aqu vemos dos campos, esto es porque

podemos escoger un rango de puertos que sern redirigidos al puerto
especificado en el campo Redirect Target IP
Redirect Target IP: Direccin IP a la que se reenviar la peticin, o lo
que es lo mismo, la direccin del servidor que ofrece el servicio dentro de
nuestra red.
Redirect Target Port: Este es el puerto al que se redirigirn las
peticiones.

En el siguiente ejemplo, las peticiones que entren dirigidas al puerto 9000

sern reenviadas al puerto 5555 del sistema con la ip 192.168.1.229

Reenvo de Puertos (Port Forwarding)

Permite escoger un rango de puertos que sern redirigidos al puerto

especificado en el campo Redirect Target IP

En el siguiente ejemplo, todas las peticiones entre el puerto 8000 y el 9000

se redirijan al puerto 222 de la mquina

Reenvo de Puertos (Port Forwarding)

Crea las reglas para el Firewall automticamente, pero tambin

permite crearlas de forma manual:
Firewall Rules

Reenvo de Puertos (Port Forwarding)

No permite aadir un rango de puertos en el destino, solo uno

concreto por defecto o personalizado

Reenvo de Puertos (Port Forwarding)

Crea reglas para el Firewall automticamente, pero tambin permite

crearlas de forma manual

Reenvo de Puertos (Port Forwarding)

Si se necesita un puerto que no es por defecto hay que aadirlo

previamente:
Cortafuegos Servicios

Reenvo de Puertos - Resumen

Reenvo de Puertos

Reenvo de Puertos

Rango de puertos en el destino

No rango de puertos en el destino

Reglas para el Firewall auto o manual

Reglas para el Firewall auto o manual

Control del Trfico (Traffic Shaper)

Es capaz de priorizar el trafico segn las necesidades desde el men:

Firewall Traffic Shaper

Control del Trfico (Traffic Shaper)

Un forma sencilla de limitar y controlar el ancho de banda es mediante la

creacin de Limitadores
Desde el men Firewall Traffic Shaper Limiter podremos crear
tanto limitadores como necesitemos

Control del Trfico (Traffic Shaper)

En el siguiente ejemplo vamos a crear un par de limitadores de subida y

bajada para limitar el ancho de banda.

Creamos dos limitadores, de subida y de bajada, limitados a 1 y 2 Mbit/s

respectivamente

Control del Trfico (Traffic Shaper)

Ahora tenemos que asociar estos limitadores a una regla de nuestro

Firewall, en nuestro ejemplo vamos a limitar el ancho de nuestra Red Lan
Firewall Rules

Control del Trfico (Traffic Shaper)

Editamos la regla que permite el trafico en nuestra Red Lan y en el apartado

Advanced Features editamos la opcin IN/OUT aadiendo los limitadores
que acabamos de crear.

Control del Trfico (Traffic Shaper)

Con esto limitaramos el ancho de banda de nuestra Red Lan, para

comprobar que funciona podemos hacer un test de velocidad, dentro de
nuestra Lan, antes y despus de aplicar los limitadores.
Antes:

Despus:

Control del Trfico (Traffic Shaper)

A parte de poder limitar el el ancho de banda (U/D) de una red Lan,

tambin podemos limitar una o varias IPs determinadas o incluso un
puerto especifico

Por ejemplo, vamos a limitar el ancho de banda del acceso por HTTPS,
para ello crearemos dos nuevos limitadores (200 kbit/s) y una regla nueva en
nuestro Firewall para activarlos.

Control del Trfico (Traffic Shaper)

Una vez creados los limitadores creamos la nueva regla aadiendo en la

opcin Destination port range el puerto 443 (HTTPS) y aadimos los
limitadores en las opciones avanzadas IN/OUT

Control del Trfico (Traffic Shaper)

Una vez aplicada la nueva regla, solo nos quedara probar que funciona
correctamente, como se puede observar en la captura la descarga superior
que es por HTTPS est limitada que la otra que va por HTTP esta sin limitar

Control del Trfico (Traffic Shaper)

Otro ejemplo, si queremos limitar el ancho de banda de una IP

determinada (por ejemplo 192.168.1.229), deberemos indicarlo en la regla
del Firewall:
Source Type: Single host or alias

Control del Trfico (Traffic Shaper)

Posee tambin un Wizard para realizar la configuracin del trafico,

creando colas y reglas necesarias automticamente
Firewall Traffic Shaper Wizards

Control del Trfico (Traffic Shaper)

El Wizard no creara las colas y configuracin automticamente pudiendo

configurar las prioridades sobre VOIP, trafico P2P, Juegos y otros
servicios

Control del Trfico (Traffic Shaper)

Permite filtrado por Capa 7 (capa de aplicacin), filtrando los

protocolos que deseamos bloquear por el contenido de sus paquetes, no
por el puerto de origen y destino

Control del Trfico (Traffic Shaper)

Las opciones que ofrece IPCop son muy bsicas

Funciona a base de prioridades (alta/medio/baja) asignadas a cada
puerto/servicio que queramos controlar, no es posible asignar un ancho
de banda concreto (en Kb o Mb) solo una de las prioridades, las cuales
gestiona el mismo IPCop

Control del Trfico (Traffic Shaper)

Para activar el control de Trafico en IPCop, primero debemos introducir

el ancho de banda total de nuestra red para que IPCop pueda gestionarlo

Control del Trfico (Traffic Shaper)

Despus solo tenemos que introducir el puerto/servicio que

queramos controla y asignarle una prioridad (alta/medio/baja)

Control del Trfico (Traffic Shaper)

No permite limitar nicamente el ancho de banda de una IP, si no

que limita el trafico en toda nuestra red LAN (Green).
No posee filtrado por Capa 7 (Layer 7)

Control del Trfico - Resumen

Capaz de priorizar el trafico

Funciona con prioridades (alta/medio/baja)

Limita el ancho de banda de una red Lan

No limita el ancho de banda por IP

Limita el ancho de banda por IP

No limita el ancho de banda por Puerto

Limita el ancho de banda de Puertos

No posee filtrado por Capa 7 (Layer 7)

Wizard

Filtrado por Capa 7 (Layer 7)

Filtro URL (SquidGuard)

No est integrado en pfSense, necesario instalar squid y squidguard

va Package Manager.

Filtro URL (SquidGuard)

Permite usar blacklists de squidguard.org (MESD, Shalla...)

Filtro URL (SquidGuard)

Permite crear listas blacklist y whitelist propias:

Proxy filter SquidGuard Target categories

Filtro URL (SquidGuard)

Permite bloquear/permitir URLs por IP de usuarios o rangos de IPs

Filtro URL (SquidGuard)

Personalizacin de la web de bloqueo editando el archivo /usr/local/www/sgerror.php

Tambin permite utilizar una pagina web propia alojada en un servidor externo

Web por Defecto

Web Personalizada

Filtro URL (SquidGuard)

Logs de los sitios bloqueados (fecha, hora, filtro, etc)

Filtro URL (SquidGuard)

Permite bloqueo del acceso en un horario o fechas determinadas

Por ejemplo si queremos bloquear una IP (o una Subred o un rango de IPs)

en un horario o fechas concretas tenemos que hacer lo siguiente:

Imaginemos que queremos crear una regla para que semanalmente los
Lunes y Mircoles de 12:00h a 14:00h no se pueda acceder a ciertas
paginas webs desde la IP 192.168.1.229

Filtro URL (SquidGuard)

Lo primero es crear la regla para ese horario, nos vamos al siguiente men
Proxy filter SquidGuard Times y creamos uno nuevo con los datos
necesarios:

Filtro URL (SquidGuard)

Despus debemos crear un nuevo grupo (Groups ACL) o editar uno que ya
tengamos creado y aadir la opcin de tiempo que acabamos de crear y la IP
para configurar las reglas de ese grupo con la nueva regla de tiempo

Filtro URL (SquidGuard)

Por ultimo nos queda configurar que categora (en el ejemplo la categora
porn) queremos denegar o permitir su acceso durante el periodo de tiempo.
La columna de la izquierda aplica las reglas dentro del tiempo asignado y la
columna de la derecha aplica las reglas para cuando se esta fuera del tiempo

Filtro URL (SquidGuard)

Integrado en IPCop y basado en squidguard3

Filtro URL (SquidGuard)

Permite instalar blacklist de squidguard.org (MESD, Shalla...) y la

posibilidad de editarlas

Filtro URL (SquidGuard)

Permite crear listas blacklist y whitelist personalizadas

Filtro URL (SquidGuard)

Tambin permite realizar filtros por expresiones, IPs y extensiones

de archivos

Filtro URL (SquidGuard)

Personalizacin de la web de bloqueo y posibilidad de aadir un

enlace a una web externa

Filtro URL (SquidGuard)

As es como quedara la web de bloqueo con las lineas de mensaje

editadas

Filtro URL (SquidGuard)

Logs de los sitios bloqueados ordenados por fecha y posibilidad de

exportarlos a un archivo .log desde el WebPanel

Filtro URL (SquidGuard)

Restricciones en funcin del tiempo, permite bloquear/permitir el

acceso en un horario determinado a unas IPs en concreto o a toda una
red.

Dentro del menu Filtro de URL hacemos click en el botn Habilitar

las restricciones de tiempo

Filtro URL (SquidGuard)

Ahora solo queda configurar la restricciones de tiempo, horarios, IPs de

origen, etc

Filtro URL (SquidGuard) - Resumen

No integrado en pfSense

Integrado en IPCop y basado en squidguard

Blacklists de squidguard.org

Blacklist de squidguard.org

Blacklist y whitelist propias

Blacklist y whitelist propias

Bloquear por IPs o rangos de Ips

Personalizacin de la web de bloque

Personalizacin de la web de bloqueo

Visualizacin de Logs

Visualizacin de Logs

Exportar Logs

Restricciones en funcin del horario

Restricciones en funcin del horario

Otras Consideraciones
Idioma Castellano
Balanceo de Carga
Redundancia
Multi-WAN
Usuarios sin privilegios
Package Manager

Gracias por vuestra atencin