Práctica 6: Configuración de un firewall de red con pfSense#
Objetivo#
El alumno realizará la instalación y configuración de una máquina virtual pfSense con los servicios de red NAT, DHCP, DMZ y Port Forwarding para permitir que otras máquinas tengan salida a Internet, así como que otros dispositivos de Internet tengan acceso a servicios en la DMZ.
Elementos de apoyo#
Recursos de instalación
- Imagen ISO de pfSense 💽
- Imagen ISO de Alpine Linux 💽
- Compactar y exportar una máquina virtual de VirtualBox 📝
Videos de teoría
Videos de configuración
- Configuración manual de direcciones IP en GNU/Linux 📼
- Configuración persistente de direcciones IP en GNU/Linux 📼
Documentación
- Guía de instalación de pfSense 📚
- Guía de configuración de pfSense 📚
- Guía de configuración de interfaces de pfSense 📚
- Guía de configuración de firewall de pfSense 📚
- Guía de configuración de NAT de pfSense 📚
- Guía de configuración de ruteo de pfSense 📚
- Guía de configuración de DHCP de pfSense 📚
- Guía de configuración de DNS de pfSense 📚
- Guía de diagnóstico de pfSense 📚
- Guía de resolución de problemas de pfSense 📚
- Guía de respaldo de pfSense 📚
Restricciones#
- La fecha límite de entrega es el lunes 17 de abril de 2023 a las 23:59 horas
¹
- Esta actividad debe ser entregada en equipo de acuerdo al flujo de trabajo para la entrega de tareas y prácticas
- Crear una nueva rama llamada
practica-6
- Utilizar la carpeta
docs/practicas/practica-6/Equipo-ABCD-EFGH-IJKL-MNOP-QRST
para entregar la práctica- Donde
Equipo-ABCD-EFGH-IJKL-MNOP-QRST
representa el nombre del equipo que debió anotarse previamente en la lista del grupo
- Donde
- Crear un merge request en el repositorio de tareas para entregar la actividad
Warning
¹
: Se ajustó la fecha de entrega para compensar los días en los que la Facultad de Ciencias estuvo en paro activo 🟥⬛
Introducción#
PfSense versión Community Edition es una plataforma de la compañía Netgate, desarrollada en el sistema FreeBSD UNIX con licencia de código libre, que proporciona servicios como firewall, router, red privada virtual (VPN por sus siglas en inglés), sistema de prevención/detección de Intrusos (IPS/IDS) y DNS entre otros.
Procedimiento#
Se presentan los pasos para elaborar la configuración de un NAT, forwarder de DNS, DHCP y red DMZ utilizando la plataforma pfSense con base en la topología de red que se muestra a continuación:
Diagrama de interfaces de red en VirtualBox |
---|
![]() |
🟠 Red DMZ - Conexiones que se manejan en la red internal network de VirtualBox |
🔵 Red LAN - Conexiones que se manejan en la red host-only de VirtualBox |
🟢 Red WAN - Conexiones que se manejan en la red NAT Network de VirtualBox |
🔴 Red Externa - Conexiones que salen desde el equipo físico hacia Internet |
Warning
- Crear un snapshot de la máquina virtual pfSense y exportar la configuración inicial a XML antes de realizar la configuración de los servicios de red
Seguir los pasos listados en cada página para configurar cada componente de la práctica:
Entregables#
-
Archivo
README.md
- Explicación de la topología de red utilizada
- Procedimiento de configuración de NAT, Alias, Port Forwarding, servicio DHCP y servicio DNS
- Contraseña
Redes-2023-2
para pfSense - El nombre de host debe ser
pfSense-ABCD-EFGH-IJKL-MNOP-QRST.local
- Procedimiento para reservar una dirección IP en el servidor DHCP
- Explicación de las bitácoras generadas
- Explicación de las reglas configuradas
- Visualizar la configuración de pfSense al conectarse via SSH:
- Reglas PF (
pfctl -sr
) - Tablas (
pfctl -s Tables
) - Estados de NAT (
pfctl -ss
) - Reglas de NAT (
pfctl -s NAT
)
- Reglas PF (
- Conclusiones sobre las capturas de tráfico de red
-
Carpeta
files
- Capturas de tráfico en formato
PCAP
para los servicios solicitados - pfSense
- Archivos de configuración XML de pfSense (inicial y final)
- Estados del pfsense donde se indiquen las conexiones de NAT (EN TEXTO)
- Bitácoras de pfSense (EN TEXTO)
- Para los equipos en la red WAN (Alpine), LAN (Debian) y DMZ (CentOS)
- Tabla ARP
- Tabla de rutas
- Salida de los comandos de configuración de red
- Salida de los comandos de resolución DNS
- Pruebas de conectividad con PING: red local, hacia otras redes y hacia Internet
- Pruebas de conectividad del cliente WAN (alpine) al servidor DMZ (CentOS) utilizando la redirección de puertos
- Capturas de tráfico en formato
Conclusiones#
- ¿Qué tipo de política de firewall se utiliza en la práctica: permisiva o restrictiva?, ¿cuál se considera mejor?. Justifica tu respuesta.
Extra#
Elaboren un video donde expliquen la topología de red utilizada, la configuración del firewall, los servicios de red instalados en CentOS y las pruebas de conectividad entre los equipos de todas las redes y hacia Internet.
- Subir el video a YouTube
- Agregar la referencia de este video al archivo
README.md
- [Video de la topología de red utilizada 📼](https://youtu.be/0123456789ABCDEF)