pfSense Firewall | Instalación y configuracion DETALLADA ✍️

por

pfSense Firewall Router, una genial pieza de software basada en FreeBSD que protegerá tus equipos de las amenazas que ya estamos acostumbrados a escuchar en todas partes.

No esperes a que te pase, comienza a protegerte y en este articulo tutorial en español te muestro paso a paso como instalarlo y configurarlo de forma detallada.

Características pfSense Firewall

  • Filtrado por IP de origen y destino, protocolo IP, puerto de origen y destino para el tráfico TCP y UDP
  • Limitar conexiones simultáneas por regla
  • pfSense utiliza p0f, una avanzada herramienta pasiva de huellas digitales OS / red que le permite filtrar por el sistema operativo que inicia la conexión. ¿Quieres permitir que las máquinas FreeBSD y Linux se conecten a Internet, pero bloquear las máquinas con Windows? pfSense permite eso (entre muchas otras posibilidades) mediante la detección pasiva del sistema operativo en uso
  • Opción para registrar o no el tráfico que coincide con cada regla
  • Posibilidad de enrutamiento de políticas altamente flexible seleccionando la puerta de enlace por regla (para el equilibrio de carga, conmutación por error, WAN múltiple, etc.)
  • Los alias permiten agrupar y nombrar direcciones IP, redes y puertos. Esto ayuda a mantener el conjunto de reglas de firewall limpio y fácil de entender, especialmente en entornos con múltiples direcciones IP públicas y numerosos servidores
  • Capacidad de firewall transparente de capa 2: puede puentear interfaces y filtrar el tráfico entre ellas, incluso permitiendo un firewall sin IP (aunque es probable que desee una IP para fines de administración)
  • Normalización de paquetes – Descripción de la documentación de depuración de pf – “‘Scrubbing’ es la normalización de paquetes, por lo que no hay ambigüedades en la interpretación por el destino final del paquete. La directiva de depuración también re ensambla paquetes fragmentados, protegiendo algunos sistemas operativos de algunas formas de ataque, y descarta los paquetes TCP que tienen combinaciones de banderas no válidas.”
    • Habilitado en pfSense por defecto
    • Se puede deshabilitar si es necesario. Esta opción causa problemas para algunas implementaciones de NFS, pero es segura y debe dejarse habilitada en la mayoría de las instalaciones
  • Deshabilitar filtrado: puedes desactivar completamente el filtro de firewall si deseas convertir tu pfSense en un enrutador puro.
  • Network Address Translation (NAT)
  • Alta disponibilidad
  • Multi WAN
  • Balanceo de carga
  • VPN
  • Servidor PPPoE
  • Monitoreo gráfico y por logs
  • DNS dinámico
  • Portal cautivo
  • Servidor DHCP y DHCP Relay
  • Y mucho mas

Requerimientos mínimos de hardware pfSense Firewall

  • Procesador 600Mhz (mas es mejor) de 64Bits
  • 512Mb RAM (mas es mejor)
  • 4Gb disco (mas es mejor)
  • 2 tarjetas de red (mínimo WAN y LAN)
  • Puerto USB o DVD para instalación del ISO
  • Conectividad a internet

pfSense Firewall | Como instalarlo y configurarlo DETALLADO paso a paso ✍️

Para comenzar a instalar debemos descargar el ISO pfSense desde el URL oficial y crear un DVD o USB booteable.

Dependiendo de si generaras una USB o un DVD (aun así, generalmente descargo la imagen CD aunque la vaya a usar con una USB), sera la imagen a bajar.

Aquí debajo te comparto algunos artículos que te pueden servir para estas tareas

Artículos recomendados: Etcher, tu herramienta opensource para crear USB booteables
qBittorrent, cliente BitTorrent en Linux
FrostWire BitTorrent, cliente multiplataforma para tus descargas
Deluge BitTorrent Tutorial en español

Guía de descarga de ISO o imagen pfSense

Antes de descargar es bueno que conozcas lo siguiente.

Puedes descargar una imagen para una memoria USB o un ISO para CD/DVD, ya depende de cual prefieras utilizar.

Ejemplos:

Fichero Tipo
pfSense-CE-memstick-serial-2.4.4-RELEASE-p3-amd64.img.gz Imagen para generar USB booteable e instalar por puerto serial
pfSense-CE-memstick-2.4.4-RELEASE-p3-amd64.img.gz Imagen para generar USB booteable con instalación por consola VGA
pfSense-CE-memstick-ADI-2.4.4-RELEASE-p3-amd64.img.gz Firmware o imagen para equipos vendidos por Netgate
pfSense-CE-2.4.4-RELEASE-p3-amd64.iso.gz ISO comprimido para generar CD/DVD a usar para instalar

Opciones de instalación del cortafuegos pfSense

Solo tenemos 2 formas de instalar nuestro cortafuegos y son:

  • Por medio de una memoria USB
  • O usando un CD / DVD

Ambas formas formatean completamente el disco del equipo donde instalemos y no es permitido tener dual boot con otro OS.

Mi recomendación, si vas a instalar un equipo físico, utiliza una memoria USB pero si vas a implementar una maquina virtual es mejor que uses un ISO de CD/DVD.

Si prefieres ver la instalación en vídeo, aquí te la comparto igual de sencilla y paso a paso, por cierto, no olvides suscribirte a mi canal.

pfSense | Instalación y configuracion RÁPIDA ⚡

Verificamos el ISO por medio del comando sha256sum, aunque este paso hay muchos que no lo hacen, créanme que muchas veces nos evitara dolores de cabeza.

También te lo comparto en vídeo.

sha256sum Descargas/pfSense-CE-2.4.3-RELEASE-amd64.iso.gz

pfSense | Como verificar tu imagen descargada con sha256 😱

Instalando pfSense Firewall

Hacemos boot en el equipo y en pocos segundos comienza la carga.

Aceptamos la licencia de uso y no distribución comercial presionando Enter

Llegamos al menú de bienvenida y contamos con 3 opciones

  • Install: Comenzar los pasos de instalación (la que usaremos en este articulo)
  • Rescue Shell: Caer en el prompt del OS FreeBSD y realizar por comandos tareas de rescate o administración de nuestro cortafuegos
  • Recover config.xml: Restaurar un config.xml en un pfSense dañado o con problemas. Una forma útil de recuperarnos de un desastre

Presionamos Enter sobre Install

Veremos un listado de distribuciones de teclado donde por medio del cursor bajaremos y buscaremos la que necesitemos.

En mi caso usare Latin American.

Presionamos Enter para marcarlo

De regreso al comienzo del listado podemos probar la distribución del teclado.

Usando la opción Test latinamerican.kbd keymap y despejar alguna duda de si es o no la que necesitamos.

Para continuar la instalación presionamos Enter sobre Continue with latinamerican.kbd keymap

Particionando disco de pfSense Firewall

El asistente nos da 4 opciones para particionar el disco donde instalaremos

  • Auto (UFS): La opción default, mas sencilla, solo utilizara un disco
  • Manual: Particionaremos de forma manual, ideal para los casos en que compartiremos espacio con otra partición que no queremos eliminar
  • Shell: Realizar el particionado por linea de comandos en el shell
  • Auto (ZFS): Particionado con filesystem ZFS en 3 o mas discos, alta disponibilidad, mejor perfomance (aquí debajo te muestro el proceso en vídeo)
pfSense firewall router | Instalando versión 2.4.0 en RAID ZFS ⚡

Bajamos con el cursor a Auto (ZFS) y presionamos Enter

La configuracion de ZFS puede parecer intimidante con tantas opciones pero no te preocupes, básicamente necesitamos solo decirle cuantos discos usaremos presionando Enter sobre T Pool Type/Disk

En la siguiente ventana veremos el listado de modos a elegir uno.

Algo muy útil, si tienes dudas de cual es el que puedes usar, con el cursor al pararte sobre una opción en la parte inferior te dice cuantos discos debes tener para su uso (OJO, los discos deben ser del mismo tamaño, de ponerle un disco mayor vas a malgastar el espacio extra).

En el caso de este articulo como tengo 3 discos usare raidz1 (en raidz1 con 3 discos estamos usando 2 discos activos y el tercero estará pendiente por si falla uno de los activos, entrar a recuperar).

Presionamos Enter

Nos aparece el listado de discos, los marcamos con la tecla Espacio y presionamos Enter sobre OK para continuar

De regreso a la ventana de configuracion de ZFS Configuration podríamos hacer otros cambios.

Mi recomendación, a no ser que lo necesites, es que uses los valores default.

Presionamos Enter sobre Install

Confirmamos el proceso presionando Enter sobre YES

Comienza la instalación en disco, tiempo de ir por un café 😉

Quieres hacer algún otro cambio desde el shell por medio de comandos?

Presionamos Enter sobre No para continuar

Llegamos al final de la instalación.

Presionamos Enter sobre Reboot para reiniciar el equipo.

Quitamos el medio de instalación, ya sea una USB booteable o un DVD

Configuración IP en pfSense Firewall

Apenas reiniciamos nuestro cortafuegos veremos la consola con opciones y las tarjetas de red auto configuradas.

Para este articulo en su modo básico (WAN y LAN) vemos que la WAN por default toma ip via DHCP (ideal para un esquema de cable modem o router de un ISP que asigne una ip).

La LAN se configura automáticamente con la 192.168.1.1.

Presionamos 2Enter

Se nos da a elegir cual interfaz de red modificaremos, en este caso para cambiar la LAN elegimos 2 y presionamos Enter.

Seguidamente escribimos la IP que queremos activarle en la LAN.

Debes saber que esta sera la ip de puerta de salida o gateway a configurar en los equipos de tu LAN.

Dependiendo de tu esquema de red, elegimos la mascara, en mi caso usare 24 y presionamos Enter

Como estamos modificando la IP LAN, en el siguiente paso no escribimos nada y presionamos Enter.

Si estuviéramos modificando WAN escribiríamos la ip del gateway o puerta de salida, generalmente una ip del router de nuestro proveedor internet.

Se nos pregunta si queremos revertir el protocolo para conectarnos via web, respondemos que n y presionamos Enter.

El asistente nos confirma la activación de la nueva IP LAN y nos da el URL al que podemos acceder desde la LAN para su interfaz web.

Probar conexión a internet en pfSense Firewall

Una opción muy útil y muchas veces pasada por alto es la del ping desde consola en nuestro cortafuegos.

Escribimos 7 y Enter.

Seguidamente el dominio o IP al cual queremos probar conectividad en Internet, por ejemplo, google.com y presionamos Enter.

Si todo esta correcto, debe funcionarnos el ping como puedes ver en la imagen aquí debajo.

Acceso al dashboard pfSense Firewall

Para acceder via web a nuestro cortafuegos abrimos un browser y navegamos a su URL https://IP-LAN-pfSense.

Recuerda que la ip por default LAN sera 192.168.1.1 pero si la modificaste la puedes confirmar en la consola texto.

Como el certificado SSL es auto firmado (es decir, no esta firmado por una entidad reconocida en internet dedicado a esto) tu navegador seguramente te dará un error parecido al que vez debajo en la imagen.

No hay problema, damos click a Ocultar detalles avanzados y después a Continuar a 192.168.5.10 (no seguro).

En tu caso seguramente sera otra la ip

Ingresamos por primera vez via web a pfSense, para eso usaremos los siguientes datos de usuario:

  • usuario: admin
  • contraseña: pfsense

Y presionamos Enter o damos click al botón Sign in

Setup pfSense Wizard

La primera vez que ingresemos via web a pfSense se ejecutara el Wizard pfSense Setup.

Este consta de 9 pasos desde el Inicio del wizard pfSense Setup.

  1. Ofrecimiento del soporte pago Netgate Global Support
  2. Información general de nuestro cortafuegos
  3. Activación de zona horaria para fecha y hora
  4. Configuración interface WAN
  5. Configuración interface LAN
  6. Cambio de contraseña del usuario admin
  7. Activar cambios
  8. .
  9. Nuevamente se ofrece el soporte de Netgate finalizando el wizard

Iniciamos el asistente.

Damos click al botón Next.

En el primer paso se nos ofrece el soporte Netgate.

En caso de interesarte encentraras mas información dando click al botón Learn More.

Damos click al botón Next para continuar.

Segundo paso, activamos el hostname y dominio de nuestro firewall ademas de los DNS primario y secundario.

Damos click al botón Next.

Es importante que la fecha y hora de tu firewall estén sincronizados.

Eso lo hacemos en el tercer paso activando nuestra zona horaria en el campo Timezone.

Damos click al botón Next.

Posiblemente el paso mas importante, el cuarto, donde configuraremos nuestra interfaz WAN.

Dependiendo de tu tipo de conexión sera la configuracion que harás.

Si en tu caso, como el mio en este articulo, usas DHCP para conectar tu pfSense Firewall a internet, entonces solo debes hacer ese cambio en el campo SelectType.

En caso de querer configurar otro tipo de conexión, se habilitaran otros campos a configurar.

Damos click al botón Next.

Quinto paso, solo confirmar la IP LAN y su mascara.

Damos click al botón Next.

No menos importante, en el sexto paso cambiamos la contraseña de la cuenta admin usada para conectarse al dashboard pfSense.

Damos click al botón Next.

Realmente son 7 pasos, al llegar al séptimo paso ya habremos terminado, solo nos queda darle click al botón Reload para activar cambios.

En el ultimo paso podemos reconsiderar pagar soporte a Netgate o dar click a here en Click here to continue on to pfSense webConfigurator.

Se nos recuerda que no es permitido distribuir de forma comercial el software pfSense.

Aceptamos dando click al botón Accept.

El dashboard web de pfSense Firewall es modular y en forma de bloques que nos irán dando información.

Como actualizar pfSense Firewall

En el dashboard web en la ficha System Information encontramos la versión actual ejecutándose y cuando haya una nueva para descargar se nos alertara con un mensaje.

Le damos click a su nubesita azul a la derecha.

En este caso estamos ejecutando la 2.4.3 y podemos actualizar a la 2.4.3_1.

También te lo muestro en vídeo aquí debajo, por cierto, recuerda suscribirte a mi canal.

pfSense Firewall | Como actualizar de versión tu firewall paso a paso

Aunque puedes actualizar a una versión no stable, el default es que solo descargues e instales versiones estables, en este caso de la rama 2.4.x.

Damos click al botón Confirm.

Comienza la descarga de paquetes, tiempo de ir por un café 😉

Finalizada la descarga, el cortafuegos se reiniciara y nos dejara en un contador de tiempo al final del cual podremos volver al dashboard.

Si regresamos a la consola de texto veremos como se realiza la actualización de paquetes ya descargados.

Al finalizar volveremos a ver el menú de opciones de pfSense en consola.

Volvemos al dashboard pfSense y vemos en la ficha System Information que ya contamos con la ultima versión estable instalada y ejecutándose.

Como personalizar los widgets pfSense Firewall

pfSense por medio de sus widgets o fichas en el dashboard web nos mantendrá informado de eventos, ataques, estado de discos y mas.

Pero no siempre el orden default tiene porque gustarte.

La buena noticia es que se puede modificar y ademas de poder leer mas abajo como, aquí debajo lo muestro en vídeo.

pfSense | Graficos RRD | Monitorea tu firewall opensource 🔍

Para modificar los widgets damos click al botón + superior derecho en el dashboard.

Nos aparecerá un listado de los widgets disponibles, los que ya tienes visibles y los que no.

Para agregar uno simplemente le damos click.

Y ya tendremos nuestro widget en el dashboard pfSense.

Ahora si quieres, lo puedes reubicar de lugar con click sostenido del botón izquierdo del mouse sorbe su barra de titulo y soltándolo en la posición que te guste.

Como personalizar columnas de dashboard pfSense Firewall

Seguramente te pasara como a mi, que en dos columnas no alcanzas a ver todo lo que quisieras y no te gusta estar subiendo y bajando la pagina.

Bien, podemos agregar o quitar columnas del dashboard pfSense.

Damos click al menú System y después a General Setup.

Buscamos a la sección webConfigurator y cambiamos el valor de Dashboard Columns.

Damos click al botón Save.

Y así se ve nuestro cortafuegos con 3 columnas en el dashboard pfSense.

pfSense Firewall, basado en FreeBSD es un formidable cortafuegos con muchas características, ideal para proteger tus equipos e ir agregándole módulos en la medida que lo necesites.

Ya lo usas, usas otro firewall, cual?

Te espero aquí debajo en los comentarios para que me cuentes.

Artículos recomendados: Mi canal en YouTube cargado de vídeos sobre código abierto, no te lo pierdas
No te vayas aun, visita mi home para cortafuegos o firewall para mas información
Playlist en YouTube sobre pfSense Firewall Router
Como hacer Backup pfSense en minutos ⏱
pfSense DHCP Server ✍️ Como configurarlo y usarlo
IPFire firewall review | Instalación paso a paso DETALLADO

Satisfech@ con el articulo, hazme una donación, no importa la cantidad, la intención es lo que vale, dale click a este botón

Comparte este articulo opensource en tus redes sociales (compartir es sexy) por medio de los botones de redes sociales para que otros lo conozcan y apoyes mi blog.

Ademas, no olvides escribirme en los comentarios aquí debajo y pasa la voz compartiendo el tweet.

Te pueden interesar:

5 1 vote
Article Rating
1 Comment
Oldest
Newest Most Voted
Inline Feedbacks
View all comments
Mr.Caringi
Mr.Caringi
4 years ago

Gran tutorial! gracias por compartir tus conocimientos, si no te importa, compartiré este articulo (haciendo muy explicito la fuente original del articulo)!
Saludos!

3