Академический Документы
Профессиональный Документы
Культура Документы
“Introducción a pfSense”
Fundamentos y Aplicación Practica
En este LAB trataremos los asuntos relacionados con las interfaces de red, las reglas en
dichas interfaces y la creación y administración de aliases.
Dejaremos como encabezado en cada LAB el detalle de las redes lógicas del laboratorio y
los accesos a los equipos miembros del mismo.
1. Ambiente de laboratorio:
1.1. El laboratorio para esta clase incluye, 3 Firewalls, 2 Servidores y dos Workstation
(estaciones de trabajo).
1.3. Un ambiente tipo de una empresa con su oficina central y una sucursal u oficina
remota.
Subred Asignación
193.169.1.0/24 Subred para emular Internet
172.17.1.0/24 Subred LAN de casa central
172.17.2.0/24 Subred DMZ de casa central
172.18.1.0/24 Subred LAN de la sucursal
172.18.2.0/24 Subred DMZ de la sucursal
Interface IP Asignación
VMX0 193.169.1.100 WAN
VMX1 172.17.1.1 Subred LAN de casa central
VMX2 172.17.2.1 Subred DMZ de casa central
Interface IP Asignación
VMX0 193.169.1.101 WAN
VMX1 172.18.1.1 Subred LAN de casa central
VMX2 172.18.2.1 Subred DMZ de casa central
Los servidores tienen la IP .254 de la red DMZ de casa site y las estaciones de
trabajo la IP .100 de sus respectivas redes.
Equipo IP
Workstation HQ 172.17.1.100
Server HQ 172.17.2.254
Workstation Branch 172.18.1.100
Server Branch 172.18.2.254
2.1.Accediendo por la IP WAN del firewall que emula internet, se puede acceder por
RDP a las estaciones de trabajo y a los 3 firewalls.
Equipo IP
Firewall Internet http://ip_de_wan:8090
Firewall HQ http://ip_de_wan:8091
Firewall Branch http://ip_de_wan:8092
Workstation HQ RDP: ip_de_wan:3390
Workstation Branch RDP: ip_de_wan:3399
Server HQ RDP: ip_de_wan:3490
Server Branch RDP: ip_de_wan:3499
Workstation HQ VNC: ip_de_wan:5803
Workstation Branch VNC: ip_de_wan:5800
Server HQ VNC: ip_de_wan:5802
Server Branch VNC: ip_de_wan:5801
3.2.1. Ahora iremos al servidor de la casa central, que se encuentra en la DMZ que
configuramos recién. Recuerden que para ingresar por VNC debemos ingresar
a la dirección que figura en el punto 2.1 (VNC: ip_de_wan:5802).
3.2.2. Desde ese mismo equipo debemos hacer un ping a la IP 172.17.1.100, para
de esta manera corroborar que realizamos correctamente el procedimiento,
también debemos realizar un ping a la ip 8.8.8.8, y esto nos indicara que la
DMZ está correctamente configurada.
3.2.3. Una vez comprobado correctamente que tenemos conexión desde la DMZ
hacia afuera (hacia la LAN y hacia Internet), iremos a la estación de trabajo
de la casa central. Recuerden que para ingresar por VNC debemos ingresar a
la dirección que figura en el punto 2.1 (VNC: ip_de_wan:5803)
3.2.4. Desde ese equipo debemos hacer un ping a la IP 172.17.2.254, para de esta
manera corroborar que realizamos correctamente el procedimiento, también
debemos realizar un ping a la ip 8.8.8.8, y esto nos indicara que la LAN está
correctamente configurada.
3.3.1. Ahora la DMZ está configurada sin restricción alguna, es hora de ponernos
un poco más estrictos.
3.3.2.2. En el firewall de casa central vamos a Firewall -> Aliases -> +Add.
Nombre: private_networks
Descripción: All RFC1918 private IP space
Tipo: Network
Miembros: 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16
Nombre: host_server1
Descripción: server1.example.com
Tipo: Host
Miembros: 172.17.2.254
Nombre: dns_servers
Descripción: Acceso a DNS servers
Tipo: Host
Miembros: server1
Nombre: smtp_servers
Descripción: Acceso de salida SMTP
Tipo: Host
Miembros: server1
Nombre: group_web_servers
Descripción: Servidores Web de acceso publico
Tipo: Host
Miembros: server1
Nombre: group_remote_admin
Descripción: Ips autorizadas para administración remota
Tipo: Host
Miembros: Tu IP de VPN
Nombre: group_web_servers
Descripción: Web Servers de acceso publico
Tipo: Host
Miembros: server1
Nombre: group_web_ports
Descripción: Puertos de Servicios Web Permitidos
Tipo: Ports
Miembros: 80, 443
Si todo ha salido como se debe (tu parte y la mía 😊), deberías tener
un listado de alias similar a la imagen.
3.4.1. La regla predeterminada del firewall indica que NADA desde Internet podrá
ingresar (nada desde su WAN podrá pasar a su LAN).
Para poder permitir el acceso remoto y así la administración remota del
firewall, debemos generar una regla que permita o indique eso.
Mínimamente vamos a necesitar o querer acceder al puerto del WebAdmin (80
HTTP si es el predeterminado, y el 22 para el SSH) y además permitir ICMP
para tener un echo request.
3.4.2. Vamos a Firewall -> Rules -> WAN y hacemos click en Add
Interface: WAN
Protocol: any
Source: Single host or alias, RemoteAdmin
Destination: WAN address
Description: allow all from remote admin IPs pfSense
3.5.1.1. En el firewall de casa central vayamos a Firewall -> Rules -> DMZ.
Action: Pass
Interface: DMZ
Source: “DMZ net”
Protocol: ICMP
ICMP type: Any
Destination: Any
Description: Allow ping to firewall’s
Action: Pass
Interface: DMZ
Protocol: TCP/UDP
Source: DMZ net
Destination: Any
Destination port: 53.
Description: Allow DNS lookups to DNS forwarder
Action: Reject
Interface: DMZ
Protocol: any
Source: any
Destination: Single host or alias, PrivateNetworks
Log: check the box to log matching packets
Description: Reject all else from DMZ to private networks
Action: Pass
Interface: DMZ
Protocol: TCP/UDP
Source: Single host or alias, dns_servers alias
Destination: any
Destination port: 53.
Action: Pass
Interface: DMZ
Protocol: TCP
Source: Single host or alias, smtp_servers alias
Destination: any
Destination port: SMTP, or fill in port 25
Description: Allow SMTP servers to send to Internet
Action: Pass
Disabled: Check the box to disable
Interface: DMZ
Protocol: TCP
Source: DMZ net
Destination: any
Destination port: 80
Description: Management - Temp allow HTTP outbound from servers
Según lo que hemos venido trabajando deberías tener una vista de reglas
en la DMZ similar a la que se muestra más bajo.
Y hay que aclarar algo muy importante, ante un pedido de un paquete que
es analizado por el firewall en el orden que describimos más arriba, LA
PRIMER COINCIDENCIA SE APLICA.
Esto quiere decir, que, si tenemos una regla restrictiva por debajo de una
regla que permite hacer lo que la restrictiva no quiere, ESA REGLA NO SE
APLICARA (la restrictiva), ergo es harto importante saber ordenar las
reglas del firewall en cada una de sus interfaces.
En ingles a esto se lo llama “The firts matching rule wins and
everything matches the firs rule”, en castizo seria “La primera
coincidencia gana”.