CONFIGURACIÓN DE RED
CONFIGURACIÓN DEL CORTAFUEGOS
Lo primero que hacemos es la configuración de red.
Para ello, nos vamos al virtual box, a archivo, preferencias, red, redes sólo-anfitrión, en el detalle
ponemos la dirección de red 192.168.56.1.
Hay que configurar la máquina con dos interfaces,
ponemos una en adaptador puente y la
otra en red interna.
Iniciamos el pfsense.
Cambiamos la dirección de la LAN para darle la 192.168.56.2 o dejarla por dhcp en el
cliente.
Para ello elegimos la opción 2.
Elegimos un cliente, en este caso, cogemos un Windows
xp y en la configuración de red tenemos dos opciones, o ponerla por dhcp o
ponerla manualmente en este caso como ya he definido el rango lo dejo por dhcp
para que me asigne una dirección.
Si en el navegador del cliente ponemos la dirección
192.168.56.2 entramos a través de la LAN al pfsense.
Y una vez dentro, empezamos a configurarlo.
CONFIGURACIÓN DEL CORTAFUEGOS
Lo primero que hacemos es irnos a
Interfaces
WAN y
desbloquear las dos casillas del final y luego deshabilitamos y volvemos a
habilitar.
Si
intentamos entrar con el navegador a través de la WAN en el pfsense no podremos
entrar porque está configurado de forma que no podamos entrar a menos que
modifiquemos las reglas. Entonces vamos a crear una regla que nos permita
entrar a través de la WAN y trabajar a través de la máquina real.
Para ello nos vamos a firewall rules y le damos al botón de añadir una
nueva regla.
Después
de poner todos los apartados como corresponden, la regla se crea.
De
esta forma ya podemos entrar a través del navegador de la máquina real.
Si
quisiéramos, podemos impedir que desde la red interna se pueda acceder a internet
desmarcando las pestañas de la izquierda, de esta forma, le impedimos el acceso
tanto por la IPv4 como por la IPv6.
Vamos
ahora a habilitar la WAN de forma segura, y para ello hay que añadir otra regla
y para ello lo que hacemos es duplicar la anterior, ya que es igual solo que lo
que cambia es el puerto para utilizar el https.
Y
una vez añadida esta regla, nos vamos a System, advance y lo ponemos en https. De esta forma nos podemos
conectar de forma segura.
Crear una regla para hacer que cualquier equipo de la
LAN se conecte a internet a través del puerto correspondiente.
Lo
primero que hacemos es desactivar las que permiten navegar mediante ipv4 e ipv6
cualquier interfaz a través de cualquier puerto, de esta forma los clientes no
pueden navegar por internet.
Para
mayor comodidad vamos a crear un alias con los puertos de navegación web, que
serían el 80 y el 443. Para ello nos vamos a firewall, aliases y dentro de esa ventana a ports y
le damos a añadir
nuevo alias.
Se
le da un nombre para identificarlos, se añaden los puertos que quieras poner en
el alias y se da una descripción.
Nos
vamos ahora a firewall,
rules,
y añadimos
una nueva regla, con ese alias. El protocolo que usan tanto http como https es tcp, y
tanto origen como destino, ponemos cualquiera. Si queremos especificar más se pondría desde LAN net. Y al final ponemos una descripción.
A
parte de esta regla necesita otra en la que habilite el dns que usa el protocolo tcp/udp.
Conectarnos por ssh desde la LAN a un equipo de la
WAN.
Para
ello tenemos que crear una nueva regla, en la que se permita ssh porque si no,
no se podrá hacer la conexión. El protocolo que utiliza es TCP/UDP, el origen ponemos cualquiera o especificando mas LAN net y el destino, si sabemos el equipo con el
que queremos hacer la conexión ssh lo ponemos y si no, se pone cualquiera.
Permitir
hacer ping desde un equipo de la LAN al pfsense. Para ello, tenemos que crear
otra regla, en la que el protocolo es ICMP el origen cualquiera o LAN net y el destino es cualquiera o LAN address.
Aunque si quieres hacerlo más restrictivo y que solo pueda hacer ping a la LAN
del pfsense en el destino habría que poner LAN address.
Vamos
ahora a añadir una tercera interfaz al pfsense que va a estar en red interna,
en una red interna distinta a la de la LAN y a la cual consideraremos como DMZ.
Primero para identificarlas mejor, vamos a cambiar el
nombre de la red interna del adaptador 2 y vamos a llamarla LAN.
Lo siguiente
que hacemos es añadir la 3 interfaz en el virtual box. La vamos a poner en la
red 192.168.250.0 y la vamos a llamar DMZ.
Vamos
ahora a abrir la máquina donde está la LAN, elegir la red correspondiente en el
virtual box y darle una nueva red, la 192.168.150.2.
Vamos
a coger un Ubuntu para la DMZ y hare lo mismo, escogeré la interfaz en red
interna la DMZ y le daré la red.
Configuramos
la red en la máquina DMZ a través de /etc/network/interfaces.
Subimos
y bajamos la interfaz y comprobamos.
Encendemos
ahora el pfsense y nos metemos a la WAN a través del navegador y ahí es donde
vamos a cambiar la red de la LAN y a crear la tercera interfaz la DMZ.
Vamos
a modificar primero la red de la LAN y para ello nos vamos a interfaces,
assing
y pinchamos sobre la LAN.
Mantenemos
todo igual y en IPv4 ponemos la nueva red, salvamos y aplicamos cambios.
Volvemos
para atrás y pinchamos en el botón de la derecha para añadir una nueva
interfaz.
Te
crea la nueva interfaz y la denomina OPT1, con lo cual pinchamos sobre ella,
para denominarla con otro nombre y darle la dirección de red que queramos.
Tenemos
que habilitarla
primero, le damos el nombre,
elegimos la configuración de IPv4 Static y le ponemos la red que queramos, salvamos
y aplicamos
cambios.
Si
nos vamos a Status,
Dashboard
ya se ven las tres interfaces configuradas.
Vamos
a comprobar que el pfsense funciona correctamente y para ello vamos a hacer
ping desde el pfsense a las dos máquinas.
Nos
vamos entonces a Diagnostics, ping y hacemos un ping al xp.
Podría
pasarnos que no nos hiciera ping, en ese caso habría que ver si el firewall del
xp está activo y si necesita añadir alguna excepción que permita hacerle ping.
Comprobamos
igualmente que se puede hacer ping a la máquina DMZ de la misma manera.
Lo siguiente
que hacemos es crear una regla con la que se pueda hacer ping desde las máquinas
al pfsense y entre las máquinas.
En el
xp ya tenemos creada la regla que permite hacer ping de la máquina al pfsense.
Nos
vamos a firewall,
rules
y creamos la regla que permita hacer ping a la DMZ, como queremos que haga ping
tanto al pfsense como al xp, ponemos como destino y origen cualquiera y usamos el protocolo ICMP, salvamos y aplicamos cambios.
Gracias :D
ResponderEliminar