Configuración del firewall pfSense#
Diagrama de red#
| Diagrama de interfaces de red en VirtualBox |
|---|
 |
| 🟠 Red DMZ - Conexiones que se manejan en la red internal network de VirtualBox |
| 🔵 Red LAN - Conexiones que se manejan en la red host-only de VirtualBox |
| 🟢 Red WAN - Conexiones que se manejan en la red NAT Network de VirtualBox |
| 🔴 Red Externa - Conexiones que salen desde el equipo físico hacia Internet |
Configuración de las interfaces de red#
Permitir que las redes WAN, LAN y DMZ acepten el tráfico de redes no homologadas (RFC 1918).
| Asignación de interfaces |
|---|
 |
Red WAN#
Entrar a la configuración de la interfaz WAN em0
- Revisar que la configuración de IP sea por DHCP
| Configuración de interfaz WAN |
|---|
 |
- Ir al final de la página y desmarcar la casilla Block private networks and loopback addresses para permitir que los segmentos no homologados (RFC1918) puedan comunicarse
| Permitir redes RFC1918 |
|---|
 |
Red LAN#
Entrar a la configuración de la interfaz LAN em1
- Revisar que la configuración de IP estática y que tenga la dirección
192.168.42.254/24
| Configuración de interfaz LAN |
|---|
 |
- Ir al final de la página y desmarcar la casilla Block private networks and loopback addresses para permitir que los segmentos no homologados (RFC1918) puedan comunicarse
| Permitir redes RFC1918 |
|---|
 |
Red DMZ#
Entrar a la configuración de la interfaz DMZ em2
- Revisar que la configuración de IP estática y que tenga la dirección
172.16.1.254/24
| Configuración de interfaz DMZ |
|---|
 |
- Ir al final de la página y desmarcar la casilla Block private networks and loopback addresses para permitir que los segmentos no homologados (RFC1918) puedan comunicarse
| Permitir redes RFC1918 |
|---|
 |
Servicio DNS#
-
Dar clic en Services ⇨ DNS Resolver para entrar a la configuración del servicio local de DNS
-
Configurar el servicio con los siguientes parámetros:
| Elemento | Valor |
|---|---|
| Enable | ☑️ Habilitado |
| Listen port | 53 |
| Network interfaces * | LAN , OPT1 , localhost |
| Outgoing network interfaces | WAN |
| DNS Query Forwarding | ☑️ Habilitado |
| Static DHCP | ☑️ Habilitado |
Note
- Puedes utilizar la tecla
Ctrlpara seleccionar varias interfaces de red
-
Da clic en el botón Save 💾 para guardar los ajustes
-
Da clic en el botón Apply Changes ✔️ para aplicar los cambios
Alias para servicios de la red DMZ#
Alias de IP#
Generar alias de puertos para los servicios SSH, HTTP y HTTPS
- Dar clic en Firewall ⇨ Aliases ⇨ IP para entrar a la interfaz de alias
Alias de IP para servidor en DMZ#
-
Dar clic en IP y en el botón Add ➕ para agregar una regla
-
Llenar el formulario con los siguientes parámetros:
| Elemento | Valor |
|---|---|
| Nombre | DMZ_Servers |
| Descripción | Servidores en la red DMZ |
| Type | Hosts |
| IP | 172.16.1.10 |
| Descripción | Servidor CentOS |
-
Da clic en el botón Save 💾 para guardar la regla
-
Da clic en el botón Apply Changes ✔️ para guardar los cambios
Resumen de alias de IP#
- Dar clic en Firewall ⇨ Aliases ⇨ IP para entrar a la interfaz de alias
| Alias de IP |
|---|
 |
Alias de puertos#
Generar alias de puertos para los servicios SSH, HTTP y HTTPS
- Dar clic en Firewall ⇨ Aliases ⇨ Ports para entrar a la interfaz de alias
Alias para SSH#
-
Dar clic en Ports y en el botón Add ➕ para agregar una regla
-
Llenar el formulario con los siguientes parámetros:
| Elemento | Valor |
|---|---|
| Nombre | SSH_DMZ |
| Descripción | Servicio SSH en red DMZ |
| Type | Ports |
| Port | 22 |
| Descripción | SSH |
-
Da clic en el botón Save 💾 para guardar los ajustes
-
Da clic en el botón Apply Changes ✔️ para aplicar los cambios
Alias para HTTP y HTTPS#
-
Dar clic en Ports y en el botón Add ➕ para agregar una regla
-
Llenar el formulario con los siguientes parámetros:
| Elemento | Valor |
|---|---|
| Nombre | WEB_DMZ |
| Descripción | Servicios HTTP y HTTPS en red DMZ |
| Type | Ports |
| Port | 80 |
| Descripción | HTTP |
| Port | 443 |
| Descripción | HTTPS |
Note
- Da clic en el botón Add Port ➕ para agregar un segundo puerto al formulario
-
Da clic en el botón Save 💾 para guardar los ajustes
-
Da clic en el botón Apply Changes ✔️ para aplicar los cambios
Resumen de alias de puertos#
| Alias de puertos |
|---|
 |
Port Forward#
Acceso al servicio SSH en la red DMZ#
Crear una redirección de puertos para acceder a los servicios de la DMZ desde Internet
-
Dar clic en Firewall ⇨ NAT para entrar a la interfaz de redirección de puertos
-
Dar clic en Port Forward y en el botón Add ➕ para agregar una regla "al final" de la lista
| Elemento | Valor |
|---|---|
| Interfaz | WAN |
| Address Family | IPv4 |
| Protocol | TCP |
| Destination | WAN address |
| Destination port range | From port: SSH To port SSH |
| Redirect target IP | Single Host: DMZ_Servers |
| Redirect target port | SSH |
| Description | Redirección de puerto SSH de interfaz WAN a servidor DMZ |
-
Da clic en el botón Save 💾 para guardar los ajustes
-
Da clic en el botón Apply Changes ✔️ para aplicar los cambios
Acceso al servicio HTTP en la red DMZ#
Agregar otra regla para el servicio HTTP
- Dar clic en Port Forward y en el botón Add ➕ para agregar una regla "al final" de la lista
| Elemento | Valor |
|---|---|
| Interfaz | WAN |
| Address Family | IPv4 |
| Protocol | TCP |
| Destination | WAN address |
| Destination port range | From port: HTTP To port HTTP |
| Redirect target IP | Single Host: DMZ_Servers |
| Redirect target port | HTTP |
| Description | Redirección de puerto HTTP de interfaz WAN a servidor DMZ |
-
Da clic en el botón Save 💾 para guardar los ajustes
-
Da clic en el botón Apply Changes ✔️ para aplicar los cambios
Acceso al servicio HTTPS en la red DMZ#
Agregar otra regla para el servicio HTTPS
- Dar clic en Port Forward y en el botón Add ➕ para agregar una regla "al final" de la lista
| Elemento | Valor |
|---|---|
| Interfaz | WAN |
| Address Family | IPv4 |
| Protocol | TCP |
| Destination | WAN address |
| Destination port range | From port: HTTPS To port HTTPS |
| Redirect target IP | Single Host: DMZ_Servers |
| Redirect target port | HTTPS |
| Description | Redirección de puerto HTTPS de interfaz WAN a servidor DMZ |
-
Da clic en el botón Save 💾 para guardar los ajustes
-
Da clic en el botón Apply Changes ✔️ para aplicar los cambios
Resumen de port forward#
Revisar que las reglas de redirección de puertos estén aplicadas en la interfaz WAN
- Dar clic en Firewall ⇨ NAT ⇨ Port Forward para entrar a la interfaz de redirección de puertos
| Reglas de port forwarding |
|---|
 |
Reglas de firewall para la red WAN#
Permitir ICMP en la interfaz WAN#
-
Dar clic en Firewall ⇨ Rules ⇨ WAN para entrar a la interfaz de reglas del firewall
-
Da clic en el botón Add ⤵️ para agregar una regla "al final" de la lista
-
Llenar el formulario con los siguientes parámetros:
| Elemento | Valor |
|---|---|
| Action | ✅ Pass |
| Interface | WAN |
| Address Familiy | IPv4 |
| Protocol | ICMP |
| ICMP Subtypes | Any |
| Source | Any |
| Destination | WAN address |
| Log | ☑️ Habilitado |
| Description | Permite ICMP en la interfaz WAN |
Resumen de reglas en la interfaz WAN#
- Dar clic en Firewall ⇨ Rules ⇨ WAN para entrar a la interfaz de reglas del firewall
| Reglas de firewall en la interfaz WAN |
|---|
 |
Note
- Las reglas que tienen una descipción "NAT" fueron creadas cuando se configuró el port forwarding de la interfaz WAN a los servicios de la red DMZ en el equipo CentOS
Reglas de firewall para la red LAN#
Permitir ICMP en la interfaz LAN#
-
Dar clic en Firewall ⇨ Rules ⇨ LAN para entrar a la interfaz de reglas del firewall
-
Da clic en el botón Add ⤵️ para agregar una regla "al final" de la lista
-
Llenar el formulario con los siguientes parámetros:
| Elemento | Valor |
|---|---|
| Action | ✅ Pass |
| Interface | LAN |
| Address Familiy | IPv4 |
| Protocol | ICMP |
| ICMP Subtypes | Any |
| Source | Any |
| Destination | LAN address |
| Log | ☑️ Habilitado |
| Description | Permite ICMP en la interfaz LAN |
Resumen de reglas en la interfaz LAN#
| Reglas de firewall en la interfaz LAN |
|---|
 |
Reglas de firewall para la red DMZ#
Permitir ICMP en la interfaz DMZ#
-
Dar clic en Firewall ⇨ Rules ⇨ DMZ para entrar a la interfaz de reglas del firewall
-
Da clic en el botón Add ⤵️ para agregar una regla "al final" de la lista
-
Llenar el formulario con los siguientes parámetros:
| Elemento | Valor |
|---|---|
| Action | ✅ Pass |
| Interface | OPT1 |
| Address Familiy | IPv4 |
| Protocol | ICMP |
| ICMP Subtypes | Any |
| Source | Any |
| Destination | OPT1 address |
| Log | ☑️ Habilitado |
| Description | Permite ICMP en la interfaz OPT1 |
Bloquear tráfico de red DMZ a LAN#
Crear una regla en la interfaz DMZ para bloquear el tráfico de la red DMZ a la red LAN
-
Dar clic en Firewall ⇨ Rules ⇨ OPT1 para entrar a la interfaz de reglas del firewall
-
Da clic en el botón Add ⤵️ para agregar una regla "al final" de la lista
-
Llenar el formulario con los siguientes parámetros:
| Elemento | Valor |
|---|---|
| Action | ❌ Block |
| Interface | OPT1 |
| Address Familiy | IPv4 |
| Protocol | ANY |
| Source | OPT1 net |
| Destination | LAN net |
| Log | ☑️ Habilitado |
| Description | Bloquea la comunicación de la red DMZ a la red LAN |
-
Da clic en el botón Save 💾 para guardar los ajustes
-
Da clic en el botón Apply Changes ✔️ para aplicar los cambios
Permitir el acceso de la red DMZ a Internet#
Crear una regla en la interfaz DMZ para dar acceso a los servicios desde internet.
-
Dar clic en Firewall ⇨ Rules ⇨ OPT1 para entrar a la interfaz de reglas del firewall
-
Da clic en el botón Add ⤵️ para agregar una regla "al final" de la lista
-
Llenar el formulario con los siguientes parámetros:
| Elemento | Valor |
|---|---|
| Action | ✅ Pass |
| Interface | OPT1 |
| Address Familiy | IPv4 |
| Protocol | Any |
| Source | OPT1 net |
| Destination | Any |
| Log | 🔲 Deshabilitado |
| Description | Permite la salida a Internet desde la DMZ |
-
Da clic en el botón Save 💾 para guardar los ajustes
-
Da clic en el botón Apply Changes ✔️ para aplicar los cambios
Resumen de reglas en la interfaz DMZ#
| Reglas de firewall en la interfaz DMZ |
|---|
 |
Note
- Continúa en la siguiente página cuando hayas terminado la configuración del firewall pfSense
| ⇦ | ⇧ | ⇨ |
|---|---|---|
| Página anterior | Arriba | Página siguiente |