En este artículo, cubriremos la instalación del servidor PFSense en tu red, para que puedas disfrutar de todas las funcionalidades que esta plataforma posee, que van desde Firewall y NATs hasta Proxy y VPN, todo en un servidor liviano y sencillo de configurar.
Descargar el instalador
El primer paso será acceder al sitio web https://www.pfsense.org/download/ y definir la arquitectura y el espejo que se descargará. Para nuestros propósitos, usaremos la Arquitectura AMD64, usando el Instalador de ‘Imagen de CD (ISO)’, para cargar como una VM ordinaria. El espejo puede ser el más cercano a tu ubicación actual, si estás en Brasil, puede ser el de Nueva York.
Ajustes de la máquina
Pasemos a crear la máquina virtual. Llegados a este punto, hay que dimensionar la máquina en función de su estructura y de lo que se vaya a hacer en ella. Cuantas más reglas Firewall/NAT, Proxy y recursos se utilicen, y mayor sea la cantidad de máquinas a las que PFSense dará servicio, mayor será la necesidad de recursos, pero de todas formas, no debería ser nada demasiado pesado.
Para nuestra instalación, usaré una VM con 1GB de RAM, usando 8GB de Disco y un núcleo de procesamiento.
Es importante que la máquina disponga siempre de dos interfaces de red, una WAN y otra LAN. La interfaz LAN, como su nombre indica, se conectará a la red interna, comunicándose con su estructura. La interfaz WAN se comunicará con la red externa.
Así, el PFSense servirá como Gateway para la estructura interna, podrá actuar como DNS, Proxy, Firewall, Servidor DHCP, y todo el resto que ofrece.
Instalación
Una vez preparada la máquina virtual, iniciemos la instalación de PFSense. Para empezar, haz que tu máquina arranque con la ISO que hemos descargado. En el caso de una máquina física, basta con grabar la ISO e insertarla en la unidad de CD, para que podamos arrancarla a través del Instalador.
En la primera pantalla, podemos aceptar las condiciones de uso y, a continuación, seleccionar la opción «Instalar».
A continuación, aparecerá una pantalla para seleccionar el formato de teclado actual. Sólo tiene que elegir la opción «Brasileño» si su teclado es ABNT-2, o «Continuar» si tiene un teclado americano/internacional, que son los formatos más habituales. Si utiliza otra estructura de teclado, sólo tiene que elegir la opción correspondiente al formato actual.
Eligiendo el mapeo de claves, podemos hacer el Particionado de Disco, en este caso, podemos elegir la opción ‘Auto (UFS)’, que el instalador particionará automáticamente e instalará el Sistema con la configuración por defecto.
Terminada la instalación, podemos subir al Shell para editar algunos ajustes manuales puntuales, o reiniciar la máquina para que PfSense suba correctamente. Simplemente reiniciaré la máquina y configuraré después de que esté UP correctamente. Para ello, basta con hacer clic en «No» y, a continuación, en «Reiniciar». Acuérdate de eliminar la ISO después de cerrar el instalador.
Si has hecho todo correctamente, obtendrás una pantalla similar a esta:
Si desea cambiar o asignar la IP de acceso de la máquina, puede seleccionar la opción «2) Set interface(s) IP address» en la CLI y, a continuación, establecer qué interfaz va a cambiar.
Al introducir la IP, establecemos la máscara de subred (de 1 a 31) y, por último, establecemos la puerta de enlace del servidor. Si se trata de una interfaz LAN, basta con pulsar «Intro», ya que la pasarela será sólo para la WAN.
PFSense ‘preguntará’ si desea utilizar IPv6 en él, y configurar un servidor DHCP a través de él, de modo que otras máquinas pueden obtener automáticamente IP de PFSense en la red.
Configuración WEB
Con la parte de instalación terminada, podemos pasar a la configuración básica en la pantalla WEB, llamada WebGUI.
Si no puedes acceder a la parte WEB, pero has hecho ping a la máquina, sólo tienes que seleccionar la opción «8) Shell» y a continuación ejecutar el comando «easyrule pass wan tcp x.x.x.x y.y.y.y 443» (sustituyendo x.x.x.x con su IP y y.y.y.y por máscara de subred) para permitir que la IP de origen especificada acceda a la pantalla WEB. Si no tiene éxito con el comando anterior, puede ejecutar el comando « pfSsh.php playback enableallowallwan » que habilitará TODAS las conexiones en el puerto WAN.
Es importante acceder y configurar el cortafuegos bloqueando el acceso justo después, ¡para evitar posibles invasiones en el servidor!
Teniendo acceso a la pantalla WEB, basta con entrar en PfSense con el acceso por defecto, siendo el usuario «admin» y la contraseña «pfsense».
Cuando se conecte por primera vez, un asistente de configuración le ayudará a configurar el servidor.
En primer lugar, basta con que <Next> esté de acuerdo con la información. Al llegar a la pantalla de Configuración General, sólo tiene que rellenar los datos correspondientes a su servidor (Nombre de host, Dominio, Servidores DNS).
A continuación, seleccione el servidor NTP y la zona horaria. Es importante que la hora sea correcta, ya que PFSense trabaja con algunas opciones de programación, además de mantener la hora correcta, facilita la visualización de logs y el análisis de datos con Timestamp.
En el paso 4/9, tenemos la configuración de red.
Una vez más, rellénalo según tu situación actual. Al final de ese paso tienes dos opciones muy importantes:
- Bloquear Redes Privadas RFC1918: Esta opción bloqueará el acceso a IPs privadas RFC1918 en la interfaz WAN. Con esto, sólo la LAN será accesible a IPs privadas.
- Bloquear redes falsas: Esta opción bloqueará el tráfico falso en la interfaz WAN. Los bogones, en resumen, son IPs reservadas no pertinentes para el RFC1918, así como IPs no asignadas por los organismos reguladores.
Independientemente de estas opciones, siempre es interesante filtrar la interfaz WAN a IPs ajenas a su conocimiento, para evitar ataques e intrusiones en su infraestructura.
En el paso 5/9, tenemos la configuración de la interfaz LAN, por si quieres hacer algún cambio. Por defecto, esta interfaz actúa como ‘Gateway’.
Para el paso 6/9, tenemos el cambio de contraseña del usuario ‘admin’. Es muy recomendable el cambio, ya que la contraseña por defecto acaba trayendo una vulnerabilidad al servidor y toda su infraestructura.
A continuación, el Asistente aplicará lo que ha hecho y completará los cambios. Haz clic en «Finalizar».
Al final del Asistente, ¡tendremos nuestro PFSense listo para usar!
En próximas entradas. Te enseñaremos a crear una VPN usando PFSense, para que tengas acceso a tu Red Interna, a través de tu casa.
Gracias y nos vemos en los próximos Posts.
Adriano Elias de Souza
Consultor informático
Made4it