Está en la página 1de 690

pfSense: The Definitive Guide

La gua definitiva para el Abierto de pfSense Fuente firewall y router de distribucin

hristopher !" #uechler $i% &ingle

pfSense: The Definitive Guide: La gua definitiva para el Abierto de pfSense Fuente firewall y router de distribucin
por hristopher !" #uechler y &ingle $i% Sobre la base de pfSense 'ersin (")"* Fecha de publicacin )++, opyright - )++, hristopher !" #uechler .esu%en La gua oficial para la distribucin de pfSense abrir cortafuegos de origen"
Todos los derechos reservados"

Tabla de contenidos
&refacio """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""""""""""""""""""" """"" //i/
&rlogo """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""""""""""""""""""" """""""" ///i (" Autores """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""""""""""""" ///ii ("(" hris #uechler """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""" ///ii (")" $i% &ingle """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""" ///ii )" Agradeci%ientos """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""" ///ii )"(" Libro de Dise0o de &ortada """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""" ///iii )")" Los desarrolladores pfSense """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""" ///iii )"*" Agradeci%ientos personales """""""""""""""""""""""""""""""""""""""""""""""""" """"" ///iv )"1" Los revisores """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""" ///iv *" o%entarios """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""""""""""" ///v 1" onvenciones tipogr2ficas """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""" ///v (" 3ntroduccin """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""""""""""""""""""" "" (

("(" 3niciacin del &royecto """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""" ( (")" 45u6 significa para pfSense 7 %edia8 """""""""""""""""""""""""""""""""""""""""""""""""" """""""""" ( ("*" 4&or 9u6 Free#SD8 """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""""" ) ("*"(" Soporte inal2%brico """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""" ) ("*")" .endi%iento de la red """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""" ) ("*"*" La fa%iliaridad y la facilidad de tenedor """""""""""""""""""""""""""""""""""""""""""""""""" """""""""" ) ("*"1" Alternativas de Apoyo al Siste%a :perativo """""""""""""""""""""""""""""""""""""""""""""" ) ("1" o%;n de i%ple%entaciones """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""" * ("1"(" Servidor de seguridad de per%etro """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""" * ("1")" LA< o =A< del router """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""" * ("1"*" &unto de acceso inal2%brico """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""" 1 ("1"1" Aparatos de uso especial """""""""""""""""""""""""""""""""""""""""""""""""" """""""""" 1 (">" 'ersiones """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""""""""""""""" > (">"(" (")"* &ublicacin """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""" > (">")" (")? (")"(? (")") @%isiones """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""" A (">"*" ("+ .elease """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""" A (">"1" 3nstant2nea de prensa """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""" A (">">" )"+ &ublicacin """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""" A ("A" &latafor%as """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""""""""""""" A ("A"(" Live D """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""" B ("A")" 3nstalacin co%pleta """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""" B ("A"*" @%bebido """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""" B ("B" onceptos de .edes """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""" C ("B"(" @ntender 3& p;blica y privada Direcciones """""""""""""""""""""""""""""""""" C ("B")" Subredes 3& onceptos """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""" (+ iii

pfSense: The Definitive Guide

("B"*" Direccin 3&? subred y configuracin de puerta de enlace """""""""""""""""""""""""""""""" (+


("B"1" @ntender la notacin de %2scara de subred 3D. """"""""""""""""""""""""""""""""""""" (+ ("B">" 3D. de resu%en """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""" () ("B"A" Difusin de do%inio """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""" (> ("C" 3nterfaD de no%bres de Ter%inologa """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""" (>

("C"(" LA< """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""""""" (A


("C")" =A< """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""""""" (A ("C"*" :&T """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""""""" (A

("C"1" :&T =A< """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""" (A


("C">" D!E """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""""""" (A

("C"A" Free#SD interfaD de no%enclatura """""""""""""""""""""""""""""""""""""""""""""""""" """""""""" (B ("," #;s9ueda de infor%acin y obtencin de ayuda """""""""""""""""""""""""""""""""""""""""""""""""" """"" (B (","(" #;s9ueda de infor%acin """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""" (B (",")" :btencin de ayuda """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""" (B
)" Fardware """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""""""""""""""""""" """" (C

)"(" De co%patibilidad de hardware """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""" (C )"("(" Adaptadores de red """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""" (C )")" .e9uisitos %ni%os de hardware """""""""""""""""""""""""""""""""""""""""""""""""" """""""""" (, )")"(" #ase de .e9uisitos """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""" (, )")")" .e9uisitos @specficos de la &latafor%a """""""""""""""""""""""""""""""""""""""""""""""""" """ (, )"*" Seleccin de hardware """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""" )+ )"*"(" La prevencin de dolores de cabeDa de hardware """""""""""""""""""""""""""""""""""""""""""""""""" """" )+ )"1" Ta%a0o del hardware de :rientacin """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""" )( )"1"(" onsideraciones de rendi%iento """""""""""""""""""""""""""""""""""""""""""""""""" """"""""" )( )"1")" aracterstica onsideraciones """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""" )* *" 3nstalacin y actualiDacin """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""" )B *"(" Descarga de pfSense """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""" )B *"("(" 'erificacin de la integridad de la descarga """"""""""""""""""""""""""""""""""""""""""" )C *")" 3nstalacin co%pleta """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""" )C *")"(" &reparacin de los D """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""" ), *")")" Arrancando desde el D """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""" *+ *")"*" Asignacin de interfaces """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""" *( *")"1" 3nstalacin en el disco duro """""""""""""""""""""""""""""""""""""""""""""""""" """""""" *) *"*" @%bebido de instalacin """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""" *> *"*"(" 3nstalacin incorporado en =indows """"""""""""""""""""""""""""""""""""""""""""""""" *> *"*")" 3nstalacin incorporado en Linu/ """""""""""""""""""""""""""""""""""""""""""""""""" """ *C *"*"*" 3nstalacin integrado en Free#SD """"""""""""""""""""""""""""""""""""""""""""""""" *C *"*"1" 3nstalacin incorporado en !ac :S G """"""""""""""""""""""""""""""""""""""""""""""" *, *"*">" FinaliDacin de la instalacin incorporado """""""""""""""""""""""""""""""""""""""""""" 1( *"1" Suplente t6cnicas de instalacin """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""" 1) *"1"(" 3nstalacin con la unidad en un e9uipo diferente """""""""""""""""""""""""""""""""""" 1) iv

pfSense: The Definitive Guide

*"1")" 3nstalacin co%pleta de '!ware con HS# redireccin """""""""""""""""""""""""""" 11


*"1"*" 3nstalacin incrustado en '!ware con HS# redireccin """""""""""""""""""" 11 *">" Solucin de proble%as de instalacin """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""" 11 *">"(" Arrancar desde el Live D se produce un error """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""" 1> *">")" Arrancar desde el disco duro despu6s de la instalacin de D no """"""""""""""""""""""""""""""""" 1> *">"*" 3nterfaD de enlace no se detect hasta """""""""""""""""""""""""""""""""""""""""""""""""" """""" 1A *">"1" Solucin de proble%as de hardware """""""""""""""""""""""""""""""""""""""""""""""""" """""""""" 1B *">">" &roble%as de arran9ue incrustado en el hardware AL3G """""""""""""""""""""""""""""""""" 1C *"A" .ecuperacin de instalacin """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""" >+ *"A"(" 3nstalador de preIvuelo .ecuperacin de la configuracin """""""""""""""""""""""""""""""""""""" >+ *"A")" .ecuperacin de la configuracin instalada """""""""""""""""""""""""""""""""""""""""""""""""" " >( *"A"*" =ebGH3 recuperacin """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""" >( *"B" ActualiDar una instalacin e/istente """""""""""""""""""""""""""""""""""""""""""""""""" """""""""" >(

*"B"(" Facer una copia de seguridad """ y un &lan de copia de seguridad """"""""""""""""""""""""""""""""""""""""""""" >) *"B")" ActualiDacin de una instalacin incorporado """""""""""""""""""""""""""""""""""""""""""""""""" """ >) *"B"*" ActualiDacin de una instalacin co%pleta """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""" >) *"B"1" La actualiDacin de un Live D de instalacin """""""""""""""""""""""""""""""""""""""""""""""""" """"""" >1
1" onfiguracin """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""""""""""""""""" >>

1"(" one/in a la =ebGH3 """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""" >> 1")" Asistente para la instalacin """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""""""" >> 1")"(" &antalla de infor%acin general """""""""""""""""""""""""""""""""""""""""""""""""" """""""" >A 1")")" <T& y onfiguracin del huso horario """"""""""""""""""""""""""""""""""""""""""""""""" >B 1")"*" onfiguracin de =A< """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""" >C 1")"1" onfiguracin de la interfaD LA< """""""""""""""""""""""""""""""""""""""""""""""""" """"""" A) 1")">" @stableDca la contrase0a de ad%inistrador """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""" A) 1")"A" FinaliDacin del Asistente para la instalacin """""""""""""""""""""""""""""""""""""""""""""""""" """""" A* 1"*" 3nterfaD de configuracin """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""" A1 1"*"(" Asignar interfaces """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""" A1 1"*")" De interfaD =A< """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""" A1 1"*"*" 3nterfaD LA< """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""" A> 1"*"1" 3nterfaces opcionales """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""" A> 1"1" :pciones generales de configuracin """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""" AA 1">" :pciones avanDadas de configuracin """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""" AA 1">"(" onsola serie """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""" AA 1">")" Secure Shell JSSFK """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""" AB 1">"*" Fsica co%partida de red """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""" AB
1">"1" 3&vA """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""""""" AC

1">">" Filtrado de &uente """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""" AC 1">"A" =ebGH3 certificado SSL 7 clave """""""""""""""""""""""""""""""""""""""""""""""""" """"""" AC 1">"B" @9uilibrio de carga """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""" AC
1">"C" 'arios """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""" A,

pfSense: The Definitive Guide

1">"," Traffic Shaper y Firewall avanDado """""""""""""""""""""""""""""""""""""""""""" B+


1">"(+" <etworL Address Translation """""""""""""""""""""""""""""""""""""""""""""""""" """"" B) 1">"((" :pciones de hardware """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""" B) 1"A" onceptos b2sicos del %en; de la consola """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""" B* 1"A"(" Asignar interfaces """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""" B1 1"A")" @stablecer la direccin 3& de la LA< """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""" B1 1"A"*" &erd %i contrase0a web onfigurator """""""""""""""""""""""""""""""""""""""""""""""""" " B1 1"A"1" .establecer los valores predeter%inados de f2brica """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""" B1 1"A">" .einicio del siste%a """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""" B1 1"A"A" Detener el siste%a """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""" B1 1"A"B" &ing de acogida """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""" B>

1"A"C" Shell """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""""""" B>


1"A"," &Ftop """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""""""" B>

1"A"(+" Filtrar registros """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""" B> 1"A"((" .einicie web onfigurator """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""" BA 1"A"()" pfSense desarrolladores Shell Jantes de shell &F&K """""""""""""""""""""""""""""""" BA 1"A"(*" ActualiDacin de la consola """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""" BA 1"A"(1" Activar 7 Desactivar Secure Shell JsshdK """"""""""""""""""""""""""""""""""""""""""""""" BA 1"A"(>" !ueva el archivo de configuracin de dispositivo e/trable """""""""""""""""""""""""""""""""" BA 1"B" SincroniDacin de la hora """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""" BA 1"B"(" Eonas de tie%po """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""" BB 1"B")" Tie%po de !anteni%iento de &roble%as """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""" BB
1"C" Solucin de proble%as """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""" C+

1"C"(" <o se puede acceder desde la LA< =ebGH3 """"""""""""""""""""""""""""""""""""""""""""""""" C+ 1"C")" <o 3nternet desde la LA< """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""" C( 1"," pfSense G!L del archivo de configuracin """""""""""""""""""""""""""""""""""""""""""""""""" """""""""" C1 1","(" @ditar %anual%ente la configuracin de su """"""""""""""""""""""""""""""""""""""""""""""" C1 1"(+" 45u6 hacer si te cerr la puerta de la =ebGH3 """"""""""""""""""""""""""""""""""""""" C> 1"(+"(" 4:lvid su contrase0a """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""" C> 1"(+")" Fe olvidado la contrase0a con una consola errado """""""""""""""""""""""""""""""""""" C> 1"(+"*" vs FTT& FTT&S confusin """""""""""""""""""""""""""""""""""""""""""""""""" """""" CA 1"(+"1" Acceso blo9ueados con reglas de firewall """"""""""""""""""""""""""""""""""""""""""""" CA 1"(+">" Servidor de seguridad de for%a re%ota evadir blo9ueo con las reglas """""""""""""""""""""""""" CA 1"(+"A" Servidor de seguridad de for%a re%ota evadir blo9ueo de t;nel con SSF """"""""""""" CB 1"(+"B" #lo9ueada debido a un error de configuracin de S9uid """""""""""""""""""""""""""""""" CC 1"((" &ensa%ientos finales de configuracin """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""" CC >" #acLup y .ecuperacin """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""""" C, >"(" @strategias de copia de seguridad """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""" C, >")" Facer copias de seguridad en la =ebGH3 """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""" ,+ >"*" Hso del &a9uete Auto onfig#acLup """""""""""""""""""""""""""""""""""""""""""""""""" """" ,+ >"*"(" Funcionalidad y #eneficios """""""""""""""""""""""""""""""""""""""""""""""""" """""""""" ,+ vi

pfSense: The Definitive Guide

>"*")" pfSense o%patibilidad de versiones """""""""""""""""""""""""""""""""""""""""""""""""" """"" ,(


>"*"*" 3nstalacin y configuracin """""""""""""""""""""""""""""""""""""""""""""""""" """""" ,( >"*"1" .estauracin de %etal desnudo """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""" ,) >"*">" o%probacin del estado Auto onfig#acLup """""""""""""""""""""""""""""""""""""""""" ,* >"1" Suplente t6cnicas de copia de seguridad re%ota """""""""""""""""""""""""""""""""""""""""""""""""" """"" ,* >"1"(" Tire con wget """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""" ,* >"1")" @%puMe con S & """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""" ,1 >"1"*" #2sicas de copia de seguridad de SSF """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""" ,1 >">" La restauracin de copias de seguridad """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""" ,> >">"(" .estauracin de la =ebGH3 """""""""""""""""""""""""""""""""""""""""""""""""" """""""" ,> >">")" La restauracin de la Fistoria de configuracin """"""""""""""""""""""""""""""""""""""""""""""""" ,A >">"*" .estauracin con un 3S& """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""" ,A >">"1" La restauracin de !ontaMe de la F 7 FDD """""""""""""""""""""""""""""""""""""""""""""" ,B >">">" .escate de configuracin durante la instalacin """""""""""""""""""""""""""""""""""""""""""""""""" """""" ,C >"A" Los archivos de copia de seguridad y directorios con el pa9uete de copia de seguridad """"""""""""""""""""""""""""""""" ,C >"A"(" opia de seguridad de datos ..D """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""" ,C >"A")" .estauracin de datos ..D """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""" ,C >"B" Advertencias y Gotchas """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""" ,,

A" Servidor de seguridad """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""""""""""""""""""" """" (++ A"(" Funda%entos de cortafuegos """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""" (++ A"("(" Ter%inologa b2sica """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""" (++ A"(")" Filtrado con estado """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""" (++ A"("*" @l filtrado de entrada """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""" (+( A"("1" @l filtrado de salida """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""" (+( A"(">" #lo9ue vs .echaDar """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""" (+1 A")" 3ntroduccin a la pantalla de .eglas de cortafuegos """""""""""""""""""""""""""""""""""""""""""""""""" (+> A")"(" Adicin de una regla de firewall """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""" (+B A")")" @dicin de reglas de firewall """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""" (+B A")"*" Traslado de reglas de firewall """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""" (+B A")"1" @li%inacin de reglas de firewall """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""" (+C
A"*" Alias """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""""""""""""" (+C

A"*"(" onfiguracin de Alias """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""" (+C A"*")" Hso de alias """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""" (+, A"*"*" Alias !eMoras en )"+ """""""""""""""""""""""""""""""""""""""""""""""""" """""""" ((( A"1" Firewall de !eMores &r2cticas artculo """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""" (() A"1"(" Denegar por defecto """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""" (() A"1")" 5ue sea corto """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""" (() A"1"*" .evise su .egla%ento """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""" (() A"1"1" Docu%entar su configuracin """""""""""""""""""""""""""""""""""""""""""""""""" """" ((* A"1">" .educcin del ruido de registro """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""" ((* A"1"A" .egistro de &r2cticas """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""" ((1 vii

pfSense: The Definitive Guide

A">" .egla !etodologa """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""" ((1


A">"(" Se agregan auto%2tica%ente reglas de firewall """"""""""""""""""""""""""""""""""""""""""""" ((> A"A" onfiguracin de reglas de firewall """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""" ((C

A"A"(" Accin """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""" ((C


A"A")" &ersonas de %ovilidad reducida """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""" ((C A"A"*" 3nterfaD """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""" ((, A"A"1" &rotocolo """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""" ((, A"A">" Fuente """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""" ((,

A"A"A" Fuente :S """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""" ((,


A"A"B" Destino """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""" ()+ A"A"C" .egistrarse """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""""""" ()+

A"A"," :pciones avanDadas """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""" ()+ A"A"(+" @stado Tipo """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""" ()( A"A"((" < Sync G!LI.& """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""" ()(
A"A"()" Lista """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""" ()) A"A"(*" Gateway """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""" ()) A"A"(1" Descripcin """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""" ())

A"B" !6todos de utiliDacin de direcciones 3& p;blicas adicionales """""""""""""""""""""""""""""""""""""""""""""""""" " ()) A"B"(" @legir entre rutas? puentes? y <AT """""""""""""""""""""""""""""""" ()) A"C" 'irtual 3& """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""""""""" ()1 A"C"(" &ro/y A.& """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""" ()>
A"C")" A.& """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""" ()> A"C"*" :tros """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""""" ()>

A"," Tie%po base de reglas """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""" ()> A","(" Tie%po .eglas lgica basada """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""" ()A A",")" Tie%po Advertencias basada en reglas """""""""""""""""""""""""""""""""""""""""""""""""" """""""" ()A A","*" onfiguracin de los horarios de tie%po basada en reglas """""""""""""""""""""""""""""""""" ()A A"(+" 'isualiDacin de los registros del firewall """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""" ()C A"(+"(" 'iendo en la =ebGH3 """""""""""""""""""""""""""""""""""""""""""""""""" """""""""" (), A"(+")" 'iendo desde el %en; onsola """""""""""""""""""""""""""""""""""""""""""""""" (*+ A"(+"*" &ara ver i%2genes de la Shell """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""" (*+ A"(+"1" 4&or 9u6 a veces veo blo9ueado las entradas del registro para la legti%a
cone/iones8 """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""" (*(

A"((" Solucin de proble%as de reglas de firewall """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""" (*) A"(("(" .evise sus registros """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""" (*) A"((")" .evisin de par2%etros de la regla """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""" (*) A"(("*" .evisin del estado de pedido """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""" (*) A"(("1" <or%as e interfaces """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""" (*) A"((">" Activar la regla de registro """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""" (** A"(("A" Solucin de proble%as con la captura de pa9uetes """""""""""""""""""""""""""""""""""""""""" (** B" <etworL Address Translation """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""" (*1 viii

pfSense: The Definitive Guide

B"(" onfiguracin por defecto <AT """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""" (*1


B"("(" onfiguracin por defecto <AT Saliente """"""""""""""""""""""""""""""""""""""""""" (*1 B"(")" onfiguracin por defecto <AT entrantes """"""""""""""""""""""""""""""""""""""""""""" (*1 B")" &uerto Delanteros """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""" (*> B")"(" Los riesgos de redirecciona%iento de puertos """""""""""""""""""""""""""""""""""""""""""""""""" """""""""" (*> B")")" @l reenvo de puertos y servicios locales """""""""""""""""""""""""""""""""""""""""""""" (*> B")"*" Agregar Delanteros &uerto """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""" (*> B")"1" Li%itaciones del puerto hacia adelante """""""""""""""""""""""""""""""""""""""""""""""""" """""""""" (*C B")">" Servicio de AutoIconfiguracin con H&n& """""""""""""""""""""""""""""""""""""""""" (*, B")"A" @l desvo del tr2fico con Delanteros &uerto """""""""""""""""""""""""""""""""""""""""" (*, B"*" +(:+( <AT """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""""""""""" (1+ B"*"(" Los riesgos de <AT +(:+( """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""" (1( B"*")" onfiguracin de <AT +(:+( """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""" (1( B"*"*" +(:+( <AT en la =A< 3&? ta%bi6n conocido co%o NDona de distensinN en LinLsys """"""""""""""""""""""""""""" (1* B"1" &edido de procesa%iento de <AT y Firewall """""""""""""""""""""""""""""""""""""""""""""""" (11 B"1"(" @/trapolando a interfaces adicionales """"""""""""""""""""""""""""""""""""""""""""" (1A B"1")" .eglas para <AT """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""" (1A B">" <AT .efle/in """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""" (1A B">"(" onfiguracin y uso de .efle/in <AT """"""""""""""""""""""""""""""""""""""""" (1B B">")" Dividir el D<S """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""" (1B B"A" Salida <AT """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""" (1C B"A"(" &or defecto .eglas <AT Saliente """""""""""""""""""""""""""""""""""""""""""""""""" """" (1C B"A")" &uerto est2tico """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""" (1, B"A"*" Deshabilitar <AT Saliente """""""""""""""""""""""""""""""""""""""""""""""""" """"""""" (1, B"B" @legir una configuracin de <AT """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""" (1, B"B"(" 3& ;nico p;blico por la =A< """""""""""""""""""""""""""""""""""""""""""""""""" """""""" (>+ B"B")" !;ltiples direcciones 3& p;blicas por =A< """""""""""""""""""""""""""""""""""""""""""""""""" """" (>+ B"C" <AT y co%patibilidad de &rotocolo """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""" (>+

B"C"(" FT& """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""""""" (>+


B"C")" TFT& """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""""" (>*

B"C"*" &&T& 7 G.@ """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""" (>* B"C"1" $uegos online """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""" (>1 B"," Solucin de proble%as """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""" (>> B","(" &uerto Adelante Solucin de proble%as """""""""""""""""""""""""""""""""""""""""""""""""" """" (>> B",")" <AT .efle/in Solucin de proble%as """""""""""""""""""""""""""""""""""""""""""""""""" (>B B","*" Solucin de proble%as de salida <AT """""""""""""""""""""""""""""""""""""""""""""""""" " (>C C" @nruta%iento """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""""""""""""""""""" """" (>, C"(" .utas est2ticas """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""""" (>, C"("(" @Me%plo de ruta est2tica """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""" (>, C"(")" #ypass reglas de firewall para el tr2fico en la %is%a interfaD """"""""""""""""""""""""" (A+ C"("*" .edirecciones 3 !& """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""" (A( i/

pfSense: The Definitive Guide

C")" @nruta%iento 3& &;blica """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""" (A)


C")"(" Asignacin de 3& """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""" (A) C")")" 3nterfaD de configuracin """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""" (A* C")"*" onfiguracin de <AT """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""" (A1 C")"1" onfiguracin del Firewall artculo """""""""""""""""""""""""""""""""""""""""""""""""" """""" (A> C"*" &rotocolos de enruta%iento """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""" (AA

C"*"(" .3& """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""""""" (AA


C"*")" #G& """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""""""" (AA

C"1" .uta Solucin de proble%as """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""" (AB C"1"(" 'isualiDacin de las rutas """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""" (AB C"1")" Hsando traceroute """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""" (B+ C"1"*" .utas y '&< """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""" (B(
," &uente """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""""""""""""""""""" """ (B*

,"(" &uente y la capa ) Loops """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""" (B* ,")" &uente y cortafuegos """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""" (B* ,"*" &uente entre dos redes internas """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""" (B1 ,"*"(" DF & y puentes internos """""""""""""""""""""""""""""""""""""""""""""""""" """"""" (B1 ,"1" Superar :&T a la =A< """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""" (B> ,">" .educcin de la interoperabilidad """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""" (B> ,">"(" &ortal cautivo """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""" (B>
,">")" A.& """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""" (B> ,">"*" !ultiI=A< """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""" (C(

(+" LA< virtuales J'LA<K """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""" (C)


(+"(" .e9uisitos """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""" (C) (+")" Ter%inologa """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""""" (C* (+")"(" TrunLing """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""" (C*

(+")")" 'LA< 3D """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""" (C* (+")"*" &adres interfaD """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""" (C* (+")"1" Acceso al puerto """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""" (C1 (+")">" Doble eti9uetado J5in5K """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""" (C1 (+")"A" 'LA< privada J&'LA<K """""""""""""""""""""""""""""""""""""""""""""""""" """"""""" (C1 (+"*" 'LA<s y seguridad """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""" (C1 (+"*"(" Segregar las Donas Fiduciario """""""""""""""""""""""""""""""""""""""""""""""""" """""""""" (C> (+"*")" Hsando el valor por defecto 'LA<( """""""""""""""""""""""""""""""""""""""""""""""""" """"""" (C> (+"*"*" Hso de un puerto troncal 'LA< por defecto """""""""""""""""""""""""""""""""""""""""""""" (C> (+"*"1" La li%itacin del acceso a los puertos del tronco """""""""""""""""""""""""""""""""""""""""""""""""" "" (CA (+"*">" :tros proble%as con los interruptores """""""""""""""""""""""""""""""""""""""""""""""""" """""" (CA (+"1" pfSense configuracin """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""" (CA (+"1"(" onsola de configuracin de 'LA< """""""""""""""""""""""""""""""""""""""""""""""""" """ (CA (+"1")" interfaD web de configuracin de 'LA< """"""""""""""""""""""""""""""""""""""""""""" (C, (+">" 3nterruptor de configuracin """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""" (,( /

pfSense: The Definitive Guide

(+">"(" 3nterruptor general sobre la configuracin """""""""""""""""""""""""""""""""""""""""""""""""" " (,(


(+">")" isco 3:S interruptores basados en """""""""""""""""""""""""""""""""""""""""""""""""" """""""" (,) (+">"*" isco basado en interruptores at:S """""""""""""""""""""""""""""""""""""""""""""""""" """" (,1 (+">"1" F& &ro urve interruptores """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""" (,1 (+">">" <etgear switches gestionados """""""""""""""""""""""""""""""""""""""""""""""""" """"""" (,A (+">"A" Dell &ower onnect switches gestionados """"""""""""""""""""""""""""""""""""""""" )+* ((" !;ltiples cone/iones =A< """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""" )+> (("(" La eleccin de su conectividad a 3nternet """""""""""""""""""""""""""""""""""""""""""""""""" """" )+> (("("(" able a%inos """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""" )+> (("(")" .utas de acceso a 3nternet """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""" )+A (("("*" .edundancia %eMor? %2s ancho de banda? %enos dinero """"""""""""""""""""""""" )+A ((")" !ultiI=A< Ter%inologa y conceptos """""""""""""""""""""""""""""""""""""""""""""""""" )+A ((")"(" &oltica de enca%ina%iento """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""" )+B ((")")" &uerta de enlace de &iscinas """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""" )+B

((")"*" on%utacin por error """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""" )+B ((")"1" @9uilibrio de carga """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""" )+B ((")">" !onitor de &3 """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""" )+B (("*" !ultiI=A< Advertencias y consideraciones """"""""""""""""""""""""""""""""""""""""""""""""" )+C (("*"(" !;ltiples =A< co%partiendo una ;nica puerta de enlace 3& """""""""""""""""""""""""""""""""" )+, (("*")" &&&o@ o &&T& %;ltiples =A< """"""""""""""""""""""""""""""""""""""""""""""""" )+, (("*"*" Los servicios locales y !ultiI=A< """""""""""""""""""""""""""""""""""""""""""""""""" )+, (("1" 3nterfaD de configuracin y D<S """""""""""""""""""""""""""""""""""""""""""""""""" """""""" )(+ (("1"(" 3nterfaD de configuracin """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""" )(+ (("1")" onfiguracin del servidor D<S """""""""""""""""""""""""""""""""""""""""""""""""" """"""" )(+ (("1"*" @scala a un gran n;%ero de interfaces =A< """"""""""""""""""""""""""""""" )() ((">" asos especiales de !ultiI=A< """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""" )() ((">"(" !;ltiples cone/iones con la %is%a puerta de enlace 3& """""""""""""""""""""""""""""""" )(* ((">")" !;ltiples cone/iones &&&o@ o &&T& Tipo """""""""""""""""""""""""""""""""" )(* (("A" !ultiI=A< y <AT """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""" )(* (("A"(" <AT de salida %ultiI=A< y AvanDado """"""""""""""""""""""""""""""""""" )(* (("A")" !ultiI=A< y redirecciona%iento de puertos """""""""""""""""""""""""""""""""""""""""""""""" )(* (("A"*" !ultiI=A< y <AT +(:+( """""""""""""""""""""""""""""""""""""""""""""""""" """""""" )(1 (("B" @9uilibrio de carga """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""" )(1 (("B"(" onfiguracin de un grupo de balanceo de carga """"""""""""""""""""""""""""""""""""""""""""" )(1 (("B")" &roble%as con el e9uilibrio de carga """""""""""""""""""""""""""""""""""""""""""""""""" " )(>
(("C" on%utacin por error """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""""""""""" )(A

(("C"(" onfiguracin de un grupo de con%utacin por error """""""""""""""""""""""""""""""""""""""""""""""""" """"" )(A (("," o%probacin de la funcionalidad """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""" )(B ((","(" &rueba de con%utacin por error """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""" )(B ((",")" 'erificacin de la funcionalidad de e9uilibrio de carga """"""""""""""""""""""""""""""""""""""" )(C (("(+" &oltica de enruta%iento? e9uilibrio de carga y estrategias de con%utacin por error """"""""""""""""""""""""""" ))+ /i

pfSense: The Definitive Guide

(("(+"(" La agregacin de ancho de banda """""""""""""""""""""""""""""""""""""""""""""""""" """"""""" ))+


(("(+")" La segregacin de los servicios prioritarios """""""""""""""""""""""""""""""""""""""""""""""" ))+ (("(+"*" Slo de con%utacin por error """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""" ))( (("(+"1" osto de e9uilibrio de carga desigual """""""""""""""""""""""""""""""""""""""""""""""""" ))( (("((" !ultiI=A< en un palo """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""" )))

(("()" Solucin de proble%as """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""" ))* (("()"(" 'erifi9ue su estado de configuracin """""""""""""""""""""""""""""""""""""""""""""""""" " ))* (("()")" #alanceo de carga no funciona """""""""""""""""""""""""""""""""""""""""""""""""" """ ))1 (("()"*" on%utacin por error no funciona """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""" ))1 ()" .edes privadas virtuales """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""" ))> ()"(" despliegues co%unes """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""" ))> ()"("(" Sitio para conectividad de sitio """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""" ))> ()"(")" Acceso re%oto """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""" ))A ()"("*" &roteccin para redes inal2%bricas """"""""""""""""""""""""""""""""""""""""""""""""" ))A ()"("1" Asegure rel6 """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""" ))B ()")" @legir una solucin '&< para el entorno """"""""""""""""""""""""""""""""""""""" ))B
()")"(" 3nteroperabilidad """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""" ))B

()")")" Autenticacin de las consideraciones """""""""""""""""""""""""""""""""""""""""""""""""" """ ))B ()")"*" Facilidad de configuracin """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""" ))C ()")"1" !ultiI=A< capaD """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""" ))C ()")">" liente disponibilidad """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""" ))C ()")"A" Firewall de a%istad """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""" )), ()")"B" riptogr2fica%ente segura """""""""""""""""""""""""""""""""""""""""""""""""" """"""""" )*+
()")"C" .esu%en """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""" )*+

()"*" '&<s y reglas de firewall """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""" )*(


()"*"(" 3&sec """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""" )*( ()"*")" :pen'&< """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""" )*( ()"*"*" &&T& """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""" )*( (*" 3&sec """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""""""""""""""""""" """""" )*)

(*"(" Ter%inologa de 3&sec """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""" )*) (*"("(" Asociacin de Seguridad """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""" )*) (*"(")" &oltica de Seguridad """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""" )*) (*"("*" Fase ( """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""" )*) (*"("1" Fase ) """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""" )** (*")" @legir opciones de configuracin """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""" )** (*")"(" 3nterfaD de seleccin """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""" )** (*")")" Los algorit%os de cifrado """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""" )*1
(*")"*" ursos de la vida """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""" )*1 (*")"1" &rotocolo """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""" )*1

(*")">" Algorit%os hash """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""" )*1 (*")"A" DF clave de grupo """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""" )*> /ii

pfSense: The Definitive Guide

(*")"B" &FS de clave de grupo """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""" )*>


(*")"C" !uerto de deteccin de pares JD&DK """""""""""""""""""""""""""""""""""""""""""""""""" """"" )*> (*"*" 3&sec y las reglas del firewall """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""" )*> (*"1" Hn sitio a otro """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""""""" )*A (*"1"(" Sitio en la configuracin de sitio de eMe%plo """"""""""""""""""""""""""""""""""""""""""""""" )*A (*"1")" @nruta%iento y las consideraciones de puerta de enlace """""""""""""""""""""""""""""""""""""""""""" )1( (*"1"*" @nruta%iento de %;ltiples subredes a trav6s de 3&sec """""""""""""""""""""""""""""""""""""""""""" )1) (*"1"1" pfSense iniciado por tr2fico e 3&sec """""""""""""""""""""""""""""""""""""""""""""" )1* (*">" !vil 3&sec """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""" )11 (*">"(" @Me%plo de configuracin del servidor """""""""""""""""""""""""""""""""""""""""""""""""" "" )1> (*">")" @Me%plo de configuracin del cliente """""""""""""""""""""""""""""""""""""""""""""""""" "" )1, (*"A" &ruebas de conectividad 3&sec """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""" )>> (*"B" 3&sec y <ATIT """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""" )>A (*"C" 3&sec Solucin de proble%as """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""" )>A (*"C"(" T;nel no establece """""""""""""""""""""""""""""""""""""""""""""""""" """""""" )>A (*"C")" T;nel establece? pero no pasa el tr2fico """""""""""""""""""""""""""""""""""""""" )>B (*"C"*" Fay algunos e9uipos en el trabaMo? pero no todos """""""""""""""""""""""""""""""""""""""""""""""""" """" )>C (*"C"1" Se blo9uea la cone/in """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""" )>C

(*"C">" N.ando%N T;nel Desconecta 7 Fallas D&D en routers integrados """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""""""""""""""""""" """" )>, (*"C"A" 3&sec 3nterpretacin registro """""""""""""""""""""""""""""""""""""""""""""""""" """""""""" )>, (*"C"B" AvanDadas de depuracin """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""" )A1 (*"," onfiguracin de dispositivos de terceros 3&sec """""""""""""""""""""""""""""""""""""""""""""""""" " )A> (*","(" :rientaciones generales para dispositivos de terceros 3&sec """"""""""""""""""""""""""""""" )A> (*",")" isco &3G :S A"/ """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""" )AA (*","*" isco &3G :S B"/? C"/? y ASA """""""""""""""""""""""""""""""""""""""""""""""" )AA (*","1" isco 3:S de routers """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""" )AB (1" &&T& '&< """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""""""""""""""""" )A, (1"(" &&T& Advertencia de seguridad """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""" )A, (1")" &&T& y reglas de firewall """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""" )A, (1"*" &&T& y !ultiI=A< """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""" )A, (1"1" &&T& Li%itaciones """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""" )A, (1">" onfiguracin del servidor &&T& """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""" )B+ (1">"(" Direcciona%iento 3& """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""" )B+
(1">")" Autenticacin """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""" )B(

(1">"*" .e9uerir cifrado de ()C bits """""""""""""""""""""""""""""""""""""""""""""""""" """""" )B( (1">"1" Guardar los ca%bios para iniciar servidor &&T& """"""""""""""""""""""""""""""""""""""""""""""" )B( (1">">" onfigurar reglas de firewall para clientes &&T& """""""""""""""""""""""""""""""""""""" )B( (1">"A" Adicin de usuarios """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""" )B) (1"A" &&T& configuracin del cliente """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""" )B1 (1"A"(" =indows G& """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""" )B1 /iii

pfSense: The Definitive Guide

(1"A")" =indows 'ista """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""" )BB


(1"A"*" =indows B """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""" )C* (1"A"1" !ac :S G """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""" )C* (1"B" Au%entar el l%ite de usuarios si%ult2neos """""""""""""""""""""""""""""""""""""""""""""""""" )CA (1"C" &&T& redireccin """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""" )CB (1"," &&T& Solucin de proble%as """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""" )CB (1","(" <o se puede conectar """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""" )CB (1",")" .elacionada con &&T&? pero no puede pasar el tr2fico """""""""""""""""""""""""""""""""""" )CC (1"(+" &&T& enruta%iento trucos """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""" )CC (1"((" &&T& .egistros """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""""" )C,

(>" :pen'&< """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""""""""""""""""" ),( (>"(" 3ntroduccin b2sica a la infraestructura de clave p;blica G">+, """"""""""""""""""""""""""""""" ),( (>")" La generacin de claves y certificados :pen'&< """""""""""""""""""""""""""""""""""""""""""" ),) (>")"(" La generacin de claves co%partidas """""""""""""""""""""""""""""""""""""""""""""""""" """""""""" ),) (>")")" Generacin de ertificados """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""" ),* (>"*" :pciones de configuracin de :pen'&< """""""""""""""""""""""""""""""""""""""""""""""""" """""""" *+( (>"*"(" opciones de configuracin del servidor """""""""""""""""""""""""""""""""""""""""""""""""" """" *+( (>"1" onfiguracin re%ota de acceso """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""" *+> (>"1"(" Deter%inar un es9ue%a de direcciona%iento 3& """""""""""""""""""""""""""""""""""""""""""" *+> (>"1")" @Me%plo de red """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""" *+A (>"1"*" onfiguracin del servidor """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""" *+A (>"1"1" De instalacin del cliente """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""" *+C (>"1">" onfiguracin del cliente """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""" *+, (>">" Sitio para @Me%plo de configuracin de la web """""""""""""""""""""""""""""""""""""""""""""""""" """""" *(* (>">"(" onfiguracin del lado del servidor """""""""""""""""""""""""""""""""""""""""""""""""" """""""""" *(* (>">")" onfiguracin del lado del cliente """""""""""""""""""""""""""""""""""""""""""""""""" """""""""" *(1 (>">"*" &rueba de la cone/in """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""" *(> (>"A" Filtrado y <AT con cone/iones :pen'&< """"""""""""""""""""""""""""""""""""""" *(> (>"A"(" 3nterfaD de configuracin y asignacin de """""""""""""""""""""""""""""""""""""""" *(> (>"A")" Filtrado con :pen'&< """""""""""""""""""""""""""""""""""""""""""""""""" """"""""" *(A (>"A"*" <AT con :pen'&< """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""" *(A (>"B" :pen'&< y !ultiI=A< """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""" *(, (>"B"(" :pen'&< y servidores %ultiI=A< """""""""""""""""""""""""""""""""""""""""""""" *(, (>"B")" :pen'&< clientes y !ultiI=A< """""""""""""""""""""""""""""""""""""""""""""" *)+ (>"C" :pen'&< y A.& """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""" *)( (>"," one/iones en puente :pen'&< """""""""""""""""""""""""""""""""""""""""""""""""" """""""""" *)( Las (>"(+ horas" :pciones de configuracin personaliDada """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""" *)) (>"(+"(" :pciones de ruta """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""" *)) (>"(+")" @specificacin de la interfaD """""""""""""""""""""""""""""""""""""""""""""""""" """"""""" *)* (>"(+"*" Hso de aceleradores de hardware criptogr2fico """"""""""""""""""""""""""""""""""""""""""" *)* (>"(+"1" @specificar la direccin 3& 9ue puede utiliDar """""""""""""""""""""""""""""""""""""""""""""""""" """ *)* /iv

pfSense: The Definitive Guide

(>"((" Solucin de proble%as de :pen'&< """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""" *)*


(>"(("(" Fay algunos e9uipos en el trabaMo? pero no todos """""""""""""""""""""""""""""""""""""""""""""""""" "" *)* (>"((")" 'erifica en el :pen'&< registros """""""""""""""""""""""""""""""""""""""""""""""""" """""" *)1 (>"(("*" Aseg;rese de 9ue no se superponen cone/iones 3&sec """""""""""""""""""""""""""""""""""" *)1 (>"(("1" 'erifica en el siste%a de la tabla de enruta%iento """"""""""""""""""""""""""""""""""""""""""""""""" *)> (>"((">" &rueba de diferentes puntos de vista """"""""""""""""""""""""""""""""""""""""""""" *)> (>"(("A" Trace el tr2fico con tcpdu%p """""""""""""""""""""""""""""""""""""""""""""""""" *)> (A" Traffic Shaper """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""""""""""""" *)A (A"(" Traffic Shaping #2sico """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""" *)A (A")" Lo 9ue el Traffic Shaper puede hacer por usted """""""""""""""""""""""""""""""""""""""""""""""""" *)A (A")"(" !antenga navegacin suave """""""""""""""""""""""""""""""""""""""""""""""""" """""""""" *)B (A")")" !antenga 'o3& lla%adas claras """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""" *)B (A")"*" .educir el retraso de Muego """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""" *)B (A")"1" !antenga las aplicaciones &)& en la co%probacin """""""""""""""""""""""""""""""""""""""""""""""" *)B (A"*" Li%itaciones del hardware """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""" *)C (A"1" Li%itaciones de la aplicacin Traffic Shaper en (")"/ """"""""""""""""""""""""""" *)C (A"1"(" Slo dos de interfaD de apoyo """""""""""""""""""""""""""""""""""""""""""""""""" """""" *)C (A"1")" @l tr2fico a la interfaD LA< afectados """""""""""""""""""""""""""""""""""""""""""""""" *)C (A"1"*" <o hay inteligencia de las aplicaciones """""""""""""""""""""""""""""""""""""""""""""""""" """""" *), (A">" onfiguracin de la Traffic Shaper on el Asistente """"""""""""""""""""""""""""""""""""""" *), (A">"(" 3nicio del Asistente """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""" *), (A">")" .edes y velocidades """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""" **+ (A">"*" 'oD sobre 3& """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""" **+ (A">"1" &ena de aMa """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""" **( (A">">" .edes peerItoI&eer """""""""""""""""""""""""""""""""""""""""""""""""" """"""""" **) (A">"A" .ed de $uegos """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""" *** (A">"B" Subir o baMar otras aplicaciones """"""""""""""""""""""""""""""""""""""" **1 (A">"C" Fin del Asistente de """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""" **> (A"A" !onitoreo de las colas """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""" **> (A"B" &ersonaliDacin avanDada """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""" **A (A"B"(" @dicin de colas Shaper """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""" **A (A"B")" @dicin de .eglas Shaper """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""" *1+ (A"C" Solucin de proble%as de Shaper """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""" *1) (A"C"(" 4&or 9u6 no el tr2fico de #itTorrent va a la cola de &)&8 """"""""""""""""""""" *1) (A"C")" 4&or 9u6 no es el tr2fico a los puertos abiertos por H&n& correcta%ente en la cola8 """"""""""""" *1)

(A"C"*" 4 %o puedo calcular la cantidad de ancho de banda a asignar a la confir%acin colas8 """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""""""""""" *1* (A"C"1" 4&or 9u6 no O/P for%a adecuada8 """"""""""""""""""""""""""""""""""""""""""""""" *1* (B" Servidor de e9uilibrio de carga """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""" *11 (B"(" @/plicacin de las opciones de configuracin """""""""""""""""""""""""""""""""""""""""""""""""" "" *11 (B"("(" &iscinas de servidor virtual """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""" *11 /v

pfSense: The Definitive Guide

(B"(")" &egaMosa cone/iones """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""" *1A


(B")" =eb de e9uilibrio de carga del servidor de configuracin de eMe%plo """"""""""""""""""""""""""""""""" *1B (B")"(" @Me%plo de entorno de red """""""""""""""""""""""""""""""""""""""""""""""""" " *1C (B")")" onfiguracin de la piscina """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""" *1, (B")"*" onfiguracin del servidor virtual """""""""""""""""""""""""""""""""""""""""""""""""" """"""" *1, (B")"1" onfiguracin de reglas de firewall """""""""""""""""""""""""""""""""""""""""""""""""" """"""" *>+ (B")">" 'er el estado de e9uilibrador de carga """""""""""""""""""""""""""""""""""""""""""""""""" """" *>) (B")"A" 'erificacin de e9uilibrio de carga """""""""""""""""""""""""""""""""""""""""""""""""" """"""""" *>) (B"*" Solucin de proble%as de e9uilibrio de carga del servidor """"""""""""""""""""""""""""""""""""""""""""""""" *>* (B"*"(" Las cone/iones no est2n e9uilibradas """""""""""""""""""""""""""""""""""""""""""""""""" *>* (B"*")" Desigual e9uilibrio """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""" *>* (B"*"*" AbaMo servidor no %arcados co%o fuera de lnea """""""""""""""""""""""""""""""""""""""""""""" *>1 (B"*"1" servidor de Live no se %arca co%o lnea """""""""""""""""""""""""""""""""""""""""""""""" *>1

(C" =iIfi """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""""""""""""""""""" "" *>> (C"(" .eco%endaciones de hardware inal2%brico """""""""""""""""""""""""""""""""""""""""""""""""" """"""" *>> (C"("(" TarMetas inal2%bricas de los proveedores de reno%bre """"""""""""""""""""""""""""""""""""""""" *>> (C"(")" controladores inal2%bricos incluidos en (")"* """"""""""""""""""""""""""""""""""""""""""""""" *>> (C")" =A< inal2%brica """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""" *>A (C")"(" 3nterface de """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""" *>B (C")")" onfiguracin de su red inal2%brica """""""""""""""""""""""""""""""""""""""""""""" *>B (C")"*" o%probar el estado inal2%brico """""""""""""""""""""""""""""""""""""""""""""""""" """"""""" *>B (C")"1" Se %uestran las redes inal2%bricas disponibles y potencia de la se0al """"""""""""""""" *>C (C"*" Superar e inal2%bricas """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""" *>C (C"*"(" S.S y 3#SS inal2%bricos y puentes """"""""""""""""""""""""""""""""""""""""""" *>, (C"1" @l uso de un punto de acceso e/terno """""""""""""""""""""""""""""""""""""""""""""""""" """""""""" *>, (C"1"(" @n cuanto a su router inal2%brico en un punto de acceso """"""""""""""""""""""""""" *>, (C"1")" &uente inal2%brico para su LA< """""""""""""""""""""""""""""""""""""""""""""""""" *A+ (C"1"*" &uente inal2%brico a una interfaD :&T """""""""""""""""""""""""""""""""""""""""" *A+ (C">" pfSense co%o punto de acceso """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""" *A( (C">"(" 4Debo usar un A& o e/terna pfSense co%o punto de acceso8 """"""""""""" *A) (C">")" pfSense onfiguracin co%o punto de acceso """""""""""""""""""""""""""""""""""""""" *A) (C"A" proteccin adicional para su red inal2%brica """"""""""""""""""""""""""""""""""""""" *AA (C"A"(" proteccin adicional inal2%brica con &ortal autivo """""""""""""""""""""""""" *AA (C"A")" proteccin adicional con '&< """"""""""""""""""""""""""""""""""""""""""""""""" *AB (C"B" onfiguracin de un punto de acceso inal2%brico seguro """""""""""""""""""""""""""""""""""""""""""""""""" *AC (C"B"(" @nfo9ue de %;ltiples cortafuegos """""""""""""""""""""""""""""""""""""""""""""""""" """"""" *A, (C"B")" Servidor de seguridad ;nico enfo9ue """""""""""""""""""""""""""""""""""""""""""""""""" """"""""" *A, (C"B"*" ontrol de acceso y filtrado de salida consideraciones """"""""""""""""""""""""""" *A, (C"C" Solucin de proble%as de cone/iones inal2%bricas """""""""""""""""""""""""""""""""""""""""""""""""" " *B+ (C"C"(" o%pruebe la antena """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""" *B+ (C"C")" &ruebe con varios clientes o tarMetas inal2%bricas """""""""""""""""""""""""""""""""""" *B+ /vi

pfSense: The Definitive Guide

(C"C"*" 3ntensidad de la se0al es baMa """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""" *B(


(," &ortal autivo """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""""""""""""" *B)

(,"(" Li%itaciones """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""""""" *B) (,"("(" Slo puede eMecutarse en una sola interfaD """""""""""""""""""""""""""""""""""""""""""""""""" "" *B) (,"(")" <o sean capaces de revertir portal """""""""""""""""""""""""""""""""""""""""""""""""" """ *B) (,")" &ortal de onfiguracin sin autenticacin """"""""""""""""""""""""""""""""""""""""""" *B) (,"*" &ortal de configuracin %ediante la autenticacin local """""""""""""""""""""""""""""""""""""" *B) (,"1" &ortal de configuracin %ediante la autenticacin .AD3HS """"""""""""""""""""""""""""""""" *B* (,">" :pciones de configuracin """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""" *B*
(,">"(" 3nterfaD """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""" *B*

(,">")" !2/i%a de cone/iones si%ult2neas """"""""""""""""""""""""""""""""""""""""""""""" *B* (,">"*" Tie%po de inactividad """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""" *B* (,">"1" Duro tie%po de espera """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""" *B1 (,">">" Desconectarse ventana e%ergente """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""" *B1 (,">"A" .edireccin de H.L """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""" *B1 (,">"B" los inicios de sesin de usuario concurrente """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""" *B1 (,">"C" Filtrado de direcciones !A """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""" *B1
(,">"," Autenticacin """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""" *B1

(,">"(+" FTT&S entrada """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""" *B> (,">"((" <o%bre de servidor FTT&S """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""" *B> (,">"()" &ortal de contenidos de la p2gina """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""" *B> (,">"(*" Autenticacin de contenido p2gina de error """"""""""""""""""""""""""""""""""""""""""""" *BA (,"A" Solucin de proble%as de portal cautivo """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""" *BA (,"A"(" Autenticacin de fracasos """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""" *BA (,"A")" &ortal de la p2gina no carga Ja vecesK ni ninguna carga otra p2gina """""""" *BB
)+" Firewall de redundancia 7 alta disponibilidad """""""""""""""""""""""""""""""""""""""""""""""""" """"""""" *BC

)+"(" A.& 3nfor%acin general """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""" *BC )+")" pfsync 3nfor%acin general """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""" *BC )+")"(" pfsync y actualiDaciones """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""" *B, )+"*" pfSense G!LI.& Sync 3nfor%acin general """""""""""""""""""""""""""""""""""""""""""""""""" """"" *B, )+"1" @Me%plo de configuracin redundante """""""""""""""""""""""""""""""""""""""""""""""""" """""" *B, )+"1"(" Deter%inar las asignaciones de direccin 3& """"""""""""""""""""""""""""""""""""""""""""" *C+ )+"1")" onfigurar el servidor de seguridad pri%aria """""""""""""""""""""""""""""""""""""""""""""""""" " *C( )+"1"*" onfiguracin del servidor de seguridad secundaria """""""""""""""""""""""""""""""""""""""""""""" *C1 )+"1"1" onfigurar sincroniDacin de la configuracin """""""""""""""""""""""""""""""""""""" *C> )+">" !ultiI=A< con A.& """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""" *CA )+">"(" Deter%inar las asignaciones de direccin 3& """"""""""""""""""""""""""""""""""""""""""""" *CA )+">")" onfiguracin de <AT """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""" *CC )+">"*" onfiguracin del Firewall """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""" *CC )+">"1" !ultiI=A< A.& con D!E Diagra%a """"""""""""""""""""""""""""""""""""""" *C, )+"A" o%probacin de la funcionalidad de con%utacin por error """""""""""""""""""""""""""""""""""""""""""""""""" """""""""" *C, /vii

pfSense: The Definitive Guide

)+"A"(" o%pruebe el estado A.& """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""" *C,


)+"A")" o%pruebe configuracin de la replicacin """""""""""""""""""""""""""""""""""""""""""""""" *C, )+"A"*" o%probar el estado de con%utacin por error de DF & """""""""""""""""""""""""""""""""""""""""""""""""" """ *C, )+"A"1" &rueba de con%utacin por error A.& """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""" *,+ )+"B" &roporcionar redundancia Sin <AT """""""""""""""""""""""""""""""""""""""""""""""""" """ *,+ )+"B"(" Asignacin de 3& p;blica """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""" *,( )+"B")" .ed de 3nfor%acin general """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""" *,( )+"C" La redundancia de capa ) """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""" *,) )+"C"(" 3nterruptor de configuracin """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""" *,) )+"C")" Anfitrin de redundancia """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""" *,* )+"C"*" :tros puntos ;nicos de fallo """""""""""""""""""""""""""""""""""""""""""""""""" "" *,* )+"," A.& con puente """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""" *,1 )+"(+" A.& Solucin de proble%as """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""" *,1 )+"(+"(" o%unes errores de configuracin """""""""""""""""""""""""""""""""""""""""""""""""" """ *,1 )+"(+")" 3ncorrecta Fash @rror """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""" *,> )+"(+"*" A%bos siste%as aparecen co%o !AST@. """""""""""""""""""""""""""""""""""""""""""" *,A )+"(+"1" Siste%a !aestro? pegado co%o .@S@.'A """""""""""""""""""""""""""""""""""""""""" *,A )+"(+">" &roble%as en el interior de %29uinas virtuales J@SGK """"""""""""""""""""""""""""""""""""" *,A )+"(+"A" &roble%as de configuracin de sincroniDacin """""""""""""""""""""""""""""""""""" *,B )+"(+"B" A.& y Solucin de &roble%as !ultiI=A< """"""""""""""""""""""""""""""""""""" *,B )+"(+"C" @/traccin de una A.&A '3& """""""""""""""""""""""""""""""""""""""""""""""""" """""""" *,B

)(" Servicios """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""""""""""""""""""" "" *,C )("(" Servidor DF & """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""" *,C
)("("(" onfiguracin """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""" *,C )("(")" ondicin $urdica y Social """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""" 1+) )("("*" Arrenda%ientos """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""" 1+*

)("("1" Servicio DF & .egistros """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""" 1+* )(")" De retrans%isin DF & """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""" 1+1 )("*" D<S Forwarder """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""" 1+1 )("*"(" onfiguracin de D<S Forwarder """""""""""""""""""""""""""""""""""""""""""""""""" "" 1+> )("1" D<S din2%ico """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""" 1+A )("1"(" Hso de D<S din2%ico """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""" 1+B )("1")" .F )(*A D<S din2%ico actualiDaciones """"""""""""""""""""""""""""""""""""""""""""""" 1+C
)(">" S<!& """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""""""""""""" 1+C

)(">"(" S<!& de%onio """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""" 1+C )(">")" S<!& Traps """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""" 1+,
)(">"*" !dulos """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""" 1(+

)(">"1" Se unen a la interfaD LA< slo """""""""""""""""""""""""""""""""""""""""""""""""" """"" 1(+


)("A" H&n& """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""""""""""""" 1(+

)("A"(" Las preocupaciones de seguridad """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""" 1((


)("A")" onfiguracin """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""" 1((

/viii

pfSense: The Definitive Guide

)("A"*" ondicin $urdica y Social """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""" 1(*


)("A"1" Solucin de proble%as """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""" 1(1 )("B" :pen<T&D """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""""" 1(1

)("C" =aLe on LA< """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""" 1(> )("C"(" Despierta una sola %29uina """""""""""""""""""""""""""""""""""""""""""""""""" """"" 1(> )("C")" Al%acena%iento de direcciones !A """""""""""""""""""""""""""""""""""""""""""""""""" """"""""" 1(A )("C"*" Despierta una sola %29uina al%acenados """""""""""""""""""""""""""""""""""""""""""""""""" " 1(A )("C"1" Despierta Todos los e9uipos al%acenados """""""""""""""""""""""""""""""""""""""""""""""""" """""" 1(A )("C">" .eactivacin desde DF & Arrenda%ientos 'er """""""""""""""""""""""""""""""""""""""""""""""""" 1(A )("C"A" Guardar en DF & Arrenda%ientos 'er """""""""""""""""""""""""""""""""""""""""""""""""" " 1(A )("," Servidor &&&o@ """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""" 1(B ))" Siste%a de segui%iento """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""""" 1(C ))"(" Siste%a de .egistros """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""" 1(C ))"("(" 'iendo los archivos de registro """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""" 1(C ))"(")" a%biar la configuracin de registro """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""" 1(, ))"("*" .egistro re%oto con Syslog """""""""""""""""""""""""""""""""""""""""""""""""" """ 1)+ ))")" @stado del siste%a """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""" 1)( ))"*" @stado de la interfaD """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""" 1)) ))"1" @stado de los servicios """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""" 1)* ))">" ..D Gr2ficos """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""" 1)* ))">"(" Siste%a de Gr2ficos """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""" 1)1 ))">")" Tr2fico Gr2ficos """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""" 1)> ))">"*" &a9uete de Gr2ficos """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""" 1)> ))">"1" alidad de los gr2ficos """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""" 1)> ))">">" ola de gr2ficos """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""" 1)>
))">"A" onfiguracin """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""" 1)>

))"A" Servidor de seguridad de los @stados """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""" 1)A ))"A"(" 'iendo en la =ebGH3 """""""""""""""""""""""""""""""""""""""""""""""""" """""""""" 1)A ))"A")" 'iendo con pftop """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""" 1)A ))"B" Tr2fico Gr2ficos """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""" 1)B
)*" &a9uetes """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""""""""""""""""""" " 1)C

)*"(" 3ntroduccin a los pa9uetes """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""" 1)C )*")" 3nstalacin de pa9uetes """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""" 1), )*"*" .einstalacin y actualiDacin de pa9uetes """""""""""""""""""""""""""""""""""""""""""""""""" """"" 1*+ )*"1" Desinstalacin de pa9uetes """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""" 1*( )*">" &a9uetes de desarrollo """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""" 1*( )1" Software de terceros y pfSense """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""" 1*) )1"(" .AD3HS de autenticacin de =indows Server """""""""""""""""""""""""""""""""""""""" 1*) )1"("(" La eleccin de un servidor para 3AS """""""""""""""""""""""""""""""""""""""""""""""""" """"""" 1*) )1"(")" 3nstalacin de la <3 """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""" 1*) )1"("*" onfiguracin de la <3 """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""" 1** /i/

pfSense: The Definitive Guide

)1")" Libre de filtro de contenido con :penD<S """""""""""""""""""""""""""""""""""""""""""""""""" "" 1*>


)1")"(" onfiguracin de pfSense utiliDar :penD<S """"""""""""""""""""""""""""""""""""""""" 1*A )1")")" onfigure los servidores D<S internos para utiliDar :penD<S """"""""""""""""""""""""""" 1*A )1")"*" onfiguracin de filtrado de contenido :penD<S """""""""""""""""""""""""""""""""""""" 1*C )1")"1" onfiguracin de las reglas de cortafuegos para prohibir otros servidores D<S """"""""""" 11+ )1")">" FinaliDacin y :tras dudas """"""""""""""""""""""""""""""""""""""""""""""" 11) )1"*" Syslog Server en =indows con Qiwi Syslog """""""""""""""""""""""""""""""""""""""""" 11) )1"1" Hso del software de los puertos de Free#SD siste%a Jpa9uetesK """""""""""""""""""""""""" 11)

)1"1"(" &reocupaciones 7 Advertencias """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""" 11) )1"1")" 3nstalacin de pa9uetes """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""" 111 )1"1"*" @l %anteni%iento de pa9uetes """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""" 111 )>" aptura de pa9uetes """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""""""""" 11> )>"(" aptura de %arco de referencia """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""" 11> )>")" Seleccin de la interfaD adecuada """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""" 11> )>"*" Li%itar el volu%en de captura """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""" 11A )>"1" aptura de pa9uetes de la =ebGH3 """""""""""""""""""""""""""""""""""""""""""""""""" """""" 11A )>"1"(" :btener un pa9uete de captura """""""""""""""""""""""""""""""""""""""""""""""""" """"""""" 11A )>"1")" 'iendo los datos capturados """""""""""""""""""""""""""""""""""""""""""""""""" """""" 11B )>">" Hso de tcpdu%p de la lnea de co%andos """""""""""""""""""""""""""""""""""""""""""""""""" 11B )>">"(" tcpdu%p banderas de lnea de co%andos """""""""""""""""""""""""""""""""""""""""""""""""" """ 11C )>">")" Filtros tcpdu%p """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""" 1>( )>">"*" Solucin de proble%as pr2cticos eMe%plos """""""""""""""""""""""""""""""""""""""""""" 1>1 )>"A" Hso de =iresharL con pfSense """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""" 1>C )>"A"(" 'isualiDacin de archivos de pa9uetes de captura """""""""""""""""""""""""""""""""""""""""""""""""" """" 1>C )>"A")" =iresharL Ferra%ientas de an2lisis """""""""""""""""""""""""""""""""""""""""""""""""" """""""" 1>, )>"A"*" .e%oto en tie%po real de captura """""""""""""""""""""""""""""""""""""""""""""""""" """""""" 1A+ )>"B" Te/to sin for%ato &rotocolo de depuracin con fluMo T & """""""""""""""""""""""""""""""""""""""""""" 1A( )>"C" .eferencias adicionales """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""" 1A) A" Gua de %en;s """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""""""""""""""" 1A*
A"(" Siste%a de """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""""""""""""" 1A* A")" 3nterfaces """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""""""""" 1A* A"*" Servidor de seguridad """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""""""""""" 1A1 A"1" Servicios """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""""""""""" 1A> A">" '&< """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""""""""""""""" 1AA A"A" ondicin $urdica y Social """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""""""""""""""" 1AA A"B" Diagnstico """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""""""" 1AB Rndice """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""" 1A,

//

Lista de figuras
("(" !2scara de subred convertidor """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""" (*
(")" .ed 7 alculadora <odo """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""" (1 ("*" .ed 7 @Me%plo calculadora <odo """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""" (> *"(" 3nterfaD de pantalla de asignacin de """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""" *( 1"(" Asistente para la instalacin de la pantalla 3nicio """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""" >A 1")" &antalla de infor%acin general """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""" >B 1"*" <T& y la pantalla de configuracin de Dona horaria """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""" >B 1"1" onfiguracin de =A< """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""""" >C 1">" onfiguracin General =A< """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""" >, 1"A" onfiguracin de 3& est2tica """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""""""""" >, 1"B" DF & Fostna%e !arco """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""" >, 1"C" onfiguracin de &&&o@ """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""" A+ 1"," &&T& onfiguracin =A< """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""" A( 1"(+" onstruido en el filtrado de entrada :pciones """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""" A( 1"((" onfiguracin de LA< """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""""" A) 1"()" a%biar ontrase0a Ad%inistrativa """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""" A* 1"(*" ActualiDar pfSense =ebGH3 """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""" A* 1"(1" onfiguracin de un t;nel SSF puerto C+ en &uTTS """""""""""""""""""""""""""""""""""""""""""""""""" """" CB >"(" =ebGH3 de copia de seguridad """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""""""""" ,+ >")" =ebGH3 restauracin """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""""""""" ,> >"*" onfiguracin de la Fistoria """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""" ,A A"(" Au%ento del ta%a0o de estado de la tabla a >+"+++ """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""" (+( A")" &redeter%inado =A< nor%as """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""""" (+A A"*" &or defecto de LA< nor%as """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""""" (+A A"1" A0adir LA< opciones de la regla """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""" (+B

A">" anfitriones alias @Me%plo """"""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""" A"A" @Me%plo de alias de red """"""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""" A"B" puertos alias @Me%plo """"""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""""
A"C" Ter%inacin auto%2tica de alias de hosts """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""" ((+ A"," Ter%inacin auto%2tica de alias de puertos """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""" ((+ A"(+" @Me%plo Artculo Hso de alias """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""" ((+ A"((" Al pasar %uestra el contenido de los @M6rcitos """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""" ((( A"()" Al pasar %uestra el contenido de &uertos """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""" ((( A"(*" Las reglas de firewall para prevenir e%isiones de registro """""""""""""""""""""""""""""""""""""""""""""""""" ((1

A"(1" Alias para los puertos de gestin """""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""" A"(>" Alias para los hosts de gestin """""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""" A"(A" Alias lista """""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""""""""""""""" A"(B" @Me%plo restringida nor%as de gestin de LA< """"""""""""""""""""""""""""""""""""""""""""" """" //i

pfSense: The Definitive Guide

A"(C" .estringidos nor%as de gestin de LA< I eMe%plo alternativo """""""""""""""""""""""""""""""" A"(," de las reglas antiIblo9ueo con discapacidad """"""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""" A")+" &rueba de la resolucin de no%bres para las actualiDaciones #ogon """""""""""""""""""""""""""""""""""""""""""""""""" """" ((B A")(" !;ltiples direcciones 3& p;blicas en uso I solo blo9ue 3& """"""""""""""""""""""""""""""""""""""""" """""" A"))" !;ltiples direcciones 3& p;blicas en uso I dos blo9ues 3& """"""""""""""""""""""""""""""""""""""""" """"""" A")*" Adicin de un rango de tie%po """""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""" A")1" Alta Ga%a Tie%po """"""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""
A")>" Lista la lista despu6s de agregar """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""" ()B A")A" @legir un horario para una regla de firewall """""""""""""""""""""""""""""""""""""""""""""""""" """""" ()C A")B" Firewall de lista de reglas con el cuadro """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""" ()C A")C" @Me%plo de entradas del registro se ve desde la =ebGH3 """"""""""""""""""""""""""""""""""""""""""""""" (), B"(" A0adir Adelante &uerto """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""""""" (*A B")" &uerto @Me%plo Adelante """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""" (*B B"*" Listado de &uerto """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""""""" (*C B"1" Adelante &uerto de reglas de cortafuegos """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""" (*C B">" @Me%plo redirigir puerto para la cone/in """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""" (1+ B"A" +(:+( <AT pantalla @ditar """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""" (1( B"B" @ntrada <AT +(:+( """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""""""""""" (1)

B"C" +(:+( @Me%plo <AT I ;nico en el interior y fuera de 3& """"""""""""""""""""""""""""""""""""""" """ B"," +(:+( entrada <AT para 7 rango 3D. *+ """""""""""""""""""""""""""""""""""""""" """""""""""""""""""""" B"(+" :rdena%iento de <AT y Firewall de &rocesa%iento de """""""""""""""""""""""""""""""""""""""""""" """"""" B"((" LA< a la =A< de procesa%iento """""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""
B"()" &rocesa%iento de =A< a LA< """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""" (1> B"(*" Las reglas de firewall para el puerto hacia adelante a la LA< de host """""""""""""""""""""""""""""""""""""""""""""""""" " (1A B"(1" Fabilitar <AT .efle/in """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""" (1B

B"(>" A0adir .ee%plaDar D<S reenviador """""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""" B"(A" A0adir D<S reenviador 3gnorar para e/a%ple"co% """""""""""""""""""""""""""""""""""""""""" " B"(B" D<S Forwarder anulacin de www"e/a%ple"co% """"""""""""""""""""""""""""""""""""""""" "
C"(" .uta est2tica """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""""""""""""""" (>, C")" onfiguracin de rutas est2ticas """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""" (A+ C"*" @nruta%iento asi%6trico """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""" (A( C"1" =A< 3& y la configuracin de puerta de enlace """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""" (A* C">" onfiguracin de enruta%iento :&T( """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""" (A1 C"A" Salida de configuracin <AT """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""" (A> C"B" nor%as :&T( cortafuegos """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""""" (A> C"C" =A< reglas de firewall """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""""" (AA C"," .uta de pantalla """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""""""""""" (AB ,"(" Las reglas de firewall para per%itir el DF & """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""" (B1 (+"(" 3nterfaces: Asignar """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""""" (C, (+")" Lista de 'LA< """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""""""""""""" (,+ (+"*" @ditar 'LA< """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""""""""""""" (,+

//ii

pfSense: The Definitive Guide

(+"1" Lista de 'LA< """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""""""""""""" (,+


(+">" 3nterfaD lista con 'LA< """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""" (,( (+"A" 'LA< Grupo !arco """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""" (,B (+"B" Fabilitar C+)"(5 'LA< """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""" (,B (+"C" onfir%ar el ca%bio de C+)"(5 'LA< """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""" (,B (+"," onfiguracin por defecto C+)"(5 """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""" (,C (+"(+" A0adir nueva 'LA< """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""""" (,C (+"((" Agregar la 'LA< (+ """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""""""" (,, (+"()" A0adir 'LA< )+ """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""""""" (,, (+"(*" Activar pertenencia a la 'LA< """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""" )++ (+"(1" onfigurar la 'LA< (+ %ie%bros """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""" )+( (+"(>" onfiguracin de 'LA< )+ %ie%bros """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""" )+( (+"(A" &'3D !arco """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""""""""" )+) (+"(B" onfiguracin por defecto &'3D """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""" )+) (+"(C" 'LA< (+ y )+ de configuracin &'3D """""""""""""""""""""""""""""""""""""""""""""""""" """"""" )+) (+"(," .etire pertenencia a la 'LA< ( """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""" )+* (("(" @Me%plo de configuracin ruta est2tica para !ultiI=A< servicios D<S """""""""""""""""""""""" )() ((")" Desigual carga de los costos de e9uilibrio de configuracin """""""""""""""""""""""""""""""""""""""""""""""""" """" ))) (("*" !ultiI=A< en un palo """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""" ))* (*"(" Fabilitar 3&sec """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""""""""""" )*B

(*")" Hn sitio onfiguracin del t;nel '&< """"""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""" (*"*" Hn sitio de la Fase ( onfiguracin """"""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""
(*"1" Hn sitio de la Fase ) onfiguracin """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""" )*C (*">" Hn sitio Qeep Alive """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""""" )*, (*"A" Aplicar onfiguracin de 3&sec """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""" )*, (*"B" Sitio # onfiguracin del t;nel '&< """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""" )1+ (*"C" Sitio # Qeep Alive """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""""" )1+ (*"," Hn sitio a otro 3&sec uando pfSense no es la puerta de enlace """"""""""""""""""""""""""""""""""""""""" )1) (*"(+" Hn sitio a otro 3&sec """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""""" )1* (*"((" Sitio A I ruta est2tica a la subred re%ota """""""""""""""""""""""""""""""""""""""""""""""""" """"""" )1* (*"()" Sitio # I ruta est2tica a la subred re%ota """""""""""""""""""""""""""""""""""""""""""""""""" """"""" )11 (*"(*" Fabilitar %vil clientes 3&sec """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""" )1> (*"(1" Los clientes %viles de la Fase ( """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""" )1A (*"(>" Los clientes %viles de la Fase ) """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""" )1B (*"(A" Aplicar configuracin del t;nel %vil """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""" )1B (*"(B" 3&sec &reIShared Qey NHsuarioN Lista """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""" )1C (*"(C" Adicin de un 3dentificador 7 par de claves preIco%partidas """""""""""""""""""""""""""""""""""""""""""""""""" """ )1C (*"(," Aplicar los ca%biosT Lista &SQ """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""" )1, (*")+" Do%ada '&< suave Access !anager I Sin cone/iones Sin e%bargo? """""""""""""""""""""""""""""""" )>+

(*")(" onfiguracin del cliente: Ficha General """"""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""" (*"))" onfiguracin del cliente: Ficha cliente """"""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""" //iii

pfSense: The Definitive Guide

(*")*" (*")1" (*")>" (*")A" (*")B"

onfiguracin del cliente: Ficha de resolucin de no%bres """""""""""""""""""""""""""""""""""""""""""" """""""""""""" onfiguracin del cliente: Autenticacin? 3dentidad Local """""""""""""""""""""""""""""""""""""""""""""""""" " )>( onfiguracin del cliente: Autenticacin? 3dentidad re%oto """"""""""""""""""""""""""""""""""""""""""" " onfiguracin del cliente: la autenticacin? las credenciales """""""""""""""""""""""""""""""""""""""""""" """""" onfiguracin del cliente: Fase ( """"""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""

(*")C" onfiguracin del cliente: Fase ) """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""" )>)

(*")," onfiguracin del cliente: &oltica """""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""" (*"*+ horas" onfiguracin del cliente: &olticas? A0adir Topologa """"""""""""""""""""""""""""""""""""""""""" """""""""""""" (*"*(" onfiguracin del cliente: <o%bre de la cone/in <ueva """""""""""""""""""""""""""""""""""""""""""" """"""""""" (*"*)" Listo para Hsar cone/in """""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""
(*"**" onectado t;nel """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""" )>1 (1"(" &&T& direcciona%iento 3& """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""" )B+ (1")" &&T& '&< Firewall de .egla """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""" )B) (1"*" &&T& usuario Tab """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""""""" )B) (1"1" Adicin de un usuario &&T& """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""" )B* (1">" Aplicar los ca%bios &&T& """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""" )B* (1"A" Lista de Hsuarios &&T& """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""" )B1 (1"B" one/iones de red """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""" )B1 (1"C" Tareas de red """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""""""""" )B>

(1"," @l lugar de trabaMo de cone/in """""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""" (1"(+" onectar a '&< """"""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""""" (1"((" <o%bre de cone/in """""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""" (1"()" one/in de host """""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""" (1"(*" FinaliDar la cone/in """"""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""" (1"(1" onecte di2logo """""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""""
(1"(>" &ropiedades de la cone/in """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""" )BA

(1"(A" Ficha de seguridad """""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""""""""" (1"(B" .edes Tab """""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""""" (1"(C" !arco de puerta de enlace re%ota """"""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""
(1"(," 'ista one/iones de red """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""" )BB (1")+" onfiguracin de una cone/in """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""" )BB (1")(" onectar a un lugar de trabaMo """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""" )BB (1"))" onectarse a trav6s de '&< """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""" )BC (1")*" onfiguracin de la cone/in """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""" )BC (1")1" onfiguracin de autenticacin """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""" )B, (1")>" La cone/in est2 listo """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""" )B,

(1")A" :btener propiedades de cone/in """"""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""


(1")B" '&< onfiguracin de seguridad """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""" )C+ (1")C" '&< onfiguracin de .edes """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""" )C( (1")," '&< Gateway """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""""""""" )C) (1"*+" Agregar una cone/in de red """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""" )C*

//iv

pfSense: The Definitive Guide

(1"*(" A0adir &&T& '&< cone/in """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""" )C1


(1"*)" onfigurar la cone/in &&T& '&< """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""" )C1 (1"**" :pciones avanDadas """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""" )C> (1"*1" onectar con &&T& '&< """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""" )CA (1"*>" &&T& .egistros """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""""""""""""" )C, (>"(" easyIrsa de copia de seguridad """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""""""" ),A (>")" :pen'&< eMe%plo de red de acceso re%oto """""""""""""""""""""""""""""""""""""""""""""""""" """ *+A (>"*" servidor :pen'&< =A< regla """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""" *+B

(>"1" 'iscosidad &referencias """""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""" (>">" 'iscosidad Agregar cone/in """"""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""" (>"A" onfiguracin 'iscosidad: General """""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""" (>"B" onfiguracin 'iscosidad: ertificados """""""""""""""""""""""""""""""""""""""""""""" """""""""""" (>"C" onfiguracin 'iscosidad: :pciones """""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""
(>"," onfiguracin 'iscosidad: .edes """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""" *(( Las (>"(+ horas" 'iscosidad conectar """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""" *()

(>"((" 'iscosidad %en; """""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""""" (>"()" 'iscosidad detalles """""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""" (>"(*" 'iscosidad detalles: @stadsticas de tr2fico """"""""""""""""""""""""""""""""""""""""""""" """"""""""""""" (>"(1" 'iscosidad infor%acin: .egistra """""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""
(>"(>" :pen'&< sitio de eMe%plo a la red de sitio """""""""""""""""""""""""""""""""""""""""""""""""" """"""" *(* (>"(A" :pen'&< sitio de eMe%plo de regla de firewall sitio =A< """"""""""""""""""""""""""""""""""""""""""" *(1 (>"(B" Asignar tun+ interfaD """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""" *(A (>"(C" Hn sitio a otro con subredes en conflicto """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""" *(B (>"(," Hn sitio de configuracin de <AT +(:+( """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""" *(C (>")+" Sitio # +(:+( configuracin de <AT """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""" *(C (>")(" @Me%plo est2tica de las rutas de :pen'&< lient en :&T =A< """""""""""""""""""""""""""""""""" *)( (A"(" 3nicio del Asistente para Shaper """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""" *), (A")" !odelador de configuracin """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""" **+ (A"*" 'oD sobre 3& """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""""""""""" **( (A"1" &ena de aMa """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""""""""""""" **) (A">" .edes peerItoI&eer """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""" *** (A"A" .ed de $uegos """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""""""" **1 (A"B" Subir o baMar otras aplicaciones """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""" **> (A"C" Las colas de base =A< """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""" **A (A"," Traffic Shaper colas Lista """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""" **B (A"(+" .eglas Traffic Shaper Lista """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""" *1+ (B"(" Servidor de e9uilibrio de carga de red de eMe%plo """""""""""""""""""""""""""""""""""""""""""""""""" """""""" *1C

(B")" &ool de configuracin """""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""" (B"*" onfiguracin del servidor virtual """"""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""
(B"1" Alias de servidores web """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""" *>+ (B">" Agregar regla de firewall para servidores web? """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""" *>(

//v

pfSense: The Definitive Guide

(B"A" Servidor de seguridad de estado de los servidores =eb """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""" *>(
(B"B" 'irtual Server de estado """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""" *>) (C"(" asignacin de interfaD I =A< inal2%brica """""""""""""""""""""""""""""""""""""""""""""""""" """""""" *>B

(C")" =A< inal2%brica asociados """"""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""


(C"*" <inguna co%pa0a de =A< inal2%brica """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""" *>C (C"1" De estado inal2%brico """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""""""""" *>C (C">" <or%as para per%itir 9ue slo 3&sec desde inal2%brica """""""""""""""""""""""""""""""""""""""""""""""""" """"""" *AB (C"A" <or%as para per%itir 9ue slo :pen'&< desde inal2%brica """""""""""""""""""""""""""""""""""""""""""""""""" " *AC (C"B" <or%as para per%itir 9ue slo &&T& desde inal2%brica """""""""""""""""""""""""""""""""""""""""""""""""" """"""" *AC

(,"(" &ortal autivo en subredes %;ltiples """"""""""""""""""""""""""""""""""""""""""""" """""""""""""""" )+"(" @Me%plo de diagra%a de red A.& """""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""
)+")" =A< 3& A.& """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""""""" *C)

)+"*" 3& LA< A.& """"""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""""""" )+"1" 3& virtual lista """"""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""""""""""" )+">" @ntrada salida <AT """"""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""" )+"A" onfiguracin avanDada de <AT de salida """""""""""""""""""""""""""""""""""""""""""""" """"""
)+"B" pfsync interfaD de configuracin """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""" *C1 )+"C" Servidor de seguridad de @stado en la interfaD pfsync """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""" *C>

)+"," Diagra%a de !ultiI=A< A.& con D!E """""""""""""""""""""""""""""""""""""""""" """"""""


)+"(+" on%utacin por error de DF & &ool @stado """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""" *,+

)+"((" Diagra%a del A.& con 3& enrutados """""""""""""""""""""""""""""""""""""""""""" """""""""""""" )+"()" Diagra%a del A.& con con%utadores redundantes """""""""""""""""""""""""""""""""""""""""""" "
)("(" De%onio del servicio DF & @stado """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""" 1+) )(")" D<S @Me%plo .ee%plaDar """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""" 1+> )("*" H&n& pantalla de estado 9ue %uestra los e9uipos cliente con los puertos re%iti """""""""""""""""""""""""""""" 1(* )("1" siste%a de pfSense co%o se ve por =indows B en su navegacin por la .ed """"""""""""""""""""" 1(1 ))"(" @Me%plo de las entradas del registro del siste%a """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""" 1(, ))")" @stado del siste%a """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""""""""""" 1))

))"*" @stado de la interfaD """""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""""""


))"1" Servicios de estado """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""""""""" 1)* ))">" Gr2fico del tr2fico =A< """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""" 1)1 ))"A" @stados @Me%plo """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""""""""" 1)A

))"B" @Me%plo gr2fico =A< """"""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""


)*"(" &a9uete de recuperacin de infor%acin no """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""" 1), )*")" @l pa9uete de venta """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""""""" 1*+ )*"*" &osterior a la instalacin de la pantalla del pa9uete """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""" 1*+ )*"1" Lista de pa9uetes instalados """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""" 1*( )1"(" Agregar nuevo cliente .AD3HS """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""" 1**

)1")" Agregar nuevo cliente .AD3HS I no%bre y direccin del cliente """""""""""""""""""""""""""""""""""" )1"*" Agregar nuevo cliente .AD3HS I Secreto co%partido """"""""""""""""""""""""""""""""""""""""""" """""""
)1"1" Listado del cliente .AD3HS """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""" 1*1

//vi

pfSense: The Definitive Guide

)1">" <3 &uertos """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""""""""""""""" 1*>


)1"A" onfiguracin de :penD<S en pfSense """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""" 1*A )1"B" &ropiedades del servidor D<S de =indows """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""" 1*B )1"C" Servidor D<S de =indows Transitarios """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""" 1*C )1"," Adicin de una red """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""""""""" 1*,

)1"(+" Agregar una cone/in 3& din2%ica """"""""""""""""""""""""""""""""""""""""""""" """""""""""""""" )1"((" Agregar una cone/in 3& est2tica """"""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""" )1"()" .ed agregado con 6/ito """"""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""" )1"(*" Filtrado de contenidos a nivel """"""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""" )1"(1" Gestin de do%inios individuales """"""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""
)1"(>" servidores D<S de alias """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""" 11( )1"(A" nor%as de LA< para restringir D<S """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""" 11(

)>"(" aptura de referencia """""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""" )>")" 'er captura de =iresharL """"""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""
)>"*" =iresharL An2lisis de .T& """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""" 1>,

//vii

Lista de cuadros
("(" .F (,(C 3& privada del espacio de direcciones """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""" ,
(")" Tabla de subred 3D. """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""""" (( ("*" 3D. de resu%en de ruta """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""" () )"(" !2/i%o rendi%iento de la &H """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""" )( )")" >++"+++ pps rendi%iento de procesa%iento en el %arco de diversos ta%a0os """""""""""""""""""""""""""""""""""""""""""""""""" "" )* )"*" !esa grande del @stado de .A! onsu%o """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""" )1 )"1" 3&Sec por ipher I AL3G """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""" )1 )">" 3&Sec por &H """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""" )> *"(" Las opciones del Lernel """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""""""""""" *1 A"(" Salida de tr2fico necesarios """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""" (+1

B"(" 7 *+ 3D. %apeo I octeto final se pongan en venta """""""""""""""""""""""""""""""""""""""""""""""""" """"" (1*
B")" 7 *+ 3D. %apeo I octeto final no se pongan en venta """"""""""""""""""""""""""""""""""""""""""""""""" (1*

C"(" #lo9ue 3& =A< """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""""""""""" (A) C")" Dentro del blo9ue 3& """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""""""""" (A) C"*" .uta de las banderas de %esa y de significados """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""" (AC (+"(" GS(+CT <etgear configuracin 'LA< """""""""""""""""""""""""""""""""""""""""""""""""" """""""" (,A (("(" Diseccin de la vigilancia de ping """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""" )+C ((")" Desigual carga de los costos de e9uilibrio """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""" ))( ()"(" aractersticas y propiedades por Tipo de '&< """""""""""""""""""""""""""""""""""""""""""""""""" """" )*+ (*"(" onfiguracin de 3&sec de punto final """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""" )*A )+"(" =A< asignaciones de direccin 3& """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""" *C+ )+")" LA< asignaciones de direccin 3& """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""" *C+ )+"*" pfsync direccin 3& de %isiones """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""" *C( )+"1" Direcciona%iento 3& =A< """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""" *CB )+">" Direcciona%iento 3& =A<) """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""" *CB )+"A" LA< asignaciones de direccin 3& """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""" *CB )+"B" D!E asignaciones de direccin 3& """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""" *CC )+"C" pfsync direccin 3& de %isiones """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""" *CC )>"(" .eal 3nterfaD vs no%bres descriptivos """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""" 11> )>")" De uso co%;n banderas tcpdu%p """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""" 11C )>"*" @Me%plos de uso de tcpdu%pIs """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""" 11,

//viii

&refacio

!is a%igos y co%pa0eros de trabaMo saben 9ue voy a construir cortafuegos" &or lo %enos una veD al %es
alguien dice N!i e%presa necesita un servidor de seguridad con G e S? y el precio

citas 9ue he recibido decenas de %iles de dlares" 4<os puede ayudar a cabo8 N
ual9uier persona 9ue construye cortafuegos sabe esta pregunta podra ser %2s realista enunciado co%o N4&odra usted por favor? venir una noche y bofetada a unos e9uipo para %? entonces %e deM al aDar se interru%pe durante los pr/i%os tres a cinco a0os para tener 9ue instalar nuevas caractersticas? los proble%as de depuracin? configurar las funciones
So no saba lo suficiente para solicitar? asistir a las reuniones para resolver los proble%as 9ue

no puede posible%ente ser proble%as de firewall? pero alguien piensa 9ue puede ser el servidor de seguridad? y identificar soluciones para %is necesidades innu%erables desconocidos8 Ah? y aseg;rese

para probar cada caso de uso posible antes de i%ple%entar cual9uier cosa" N
.echaDar estas peticiones %e hace parecer grosero" La aceptacin de estas solicitudes ruinas de %i co%porta%iento alegre" Durante %ucho tie%po? yo no construir cortafuegos? e/cepto

para %i e%pleador" pfSense %e per%ite ser una persona %2s agradable sin tener 9ue trabaMar real%ente en ello"
on pfSense puedo i%ple%entar un servidor de seguridad en tan slo unas horas I y la %ayora de

9ue es la instalacin de cables y e/plicar la diferencia entre NdentroN y

//i/

&refacio

NAfueraN" e/tensa docu%entacin pfSense y co%unidad de usuarios %e ofrece


una respuesta f2cil a las preguntas I N4Fas %irado eso8N Si pfSense no ad%ite una caracterstica? lo %2s probable es 9ue no poda apoyar bien" &ero pfSense apoya todo lo 9ue poda pedir? y con una interfaD a%igable para arrancar" La ga%a base de usuarios significa 9ue las caractersticas son probados en diferentes a%bientes y en general? Nslo trabaMoN? aun cuando interact;an con =indows hiMos del @: !@ & conectado a 3nternet por @thernet sobre AT! a trav6s de palo%as %ensaMeras"
Lo %eMor de todo? pfSense se basa en gran parte del software %is%o %e haba uso" onfo

el siste%a operativo Free#SD subyacentes para ser seguro? estable y eficiente" ActualiDaciones de seguridad8 #asta con hacer clic en un botn y reiniciar el siste%a"
Su necesidad de nuevas caractersticas8 Slo tienes 9ue activar" pfSense %aneMa la agrupacin? el tr2fico la for%acin? el e9uilibrio de carga? la integracin con su e9uipo e/istente a trav6s de

.AD3HS? 3&Sec? &&T&? el segui%iento? D<S din2%ico? y %2s"


proveedores de reno%bre de la industria de carga honorarios indignantes para apoyar lo 9ue pfSense proporciona libre%ente" Si su e%pleador insiste en pagar por contratos de apoyo? o si si%ple%ente te sientes %2s seguro sabiendo 9ue puede levantar el tel6fono y el grito de ayuda? usted puede conseguir acuerdos pfSense apoyo %uy raDonable" Si usted no necesidad de un contrato de soporte? %e he enterado de 9ue hris? $i%? o cual9uier otra persona con

pfSense co%eter un poco deMar2 agradecido pfSense usuarios a co%prar una cerveDa o seis"
&ersonal%ente? no construyen cortafuegos de la nada %2s" uando necesito un

firewall? yo uso pfSense"


I!ichael Lucas ="

///

&rlogo
#ienvenido a la gua definitiva de pfSense" @scrito por pfSense #uechler cofundador hris
pfSense y consultor $i% &ingle? este libro cubre la instalacin y configuracin b2sica a trav6s de redes avanDadas y cortafuegos con el firewall de fuente abierta popular y el router

de distribucin"
@ste libro est2 dise0ado para ser un a%istoso gua pasoIaIpaso para la creacin de redes y de seguridad co%;n tareas? ade%2s de una referencia co%pleta de las capacidades de pfSense" La gua definitiva para pfSense cubre

los siguientes te%as: U Hna introduccin a pfSense y sus caractersticas" U Fardware y planificacin del siste%a" U 3nstalacin y actualiDacin pfSense" U HtiliDar la interfaD de configuracin basada en web" U opia de seguridad y restauracin" U ortafuegos funda%entos y las nor%as de la definicin y solucin de proble%as" U @l reenvo de puertos y traduccin de direcciones de red" U General de redes y configuracin de enruta%iento" U .educir? LA< virtuales J'LA<K? y !ultiI=A<" U .edes privadas virtuales con 3&Sec? &&T&? y :pen'&<" U ontrol del tr2fico y balanceo de carga" U .edes inal2%bricas y cautivos configuraciones del portal" U servidores de seguridad redundantes y de alta disponibilidad" U Servicios relacionados con la red de 'arios"
U Siste%a de %onitoreo? registro? an2lisis de tr2fico? aspirados? captura de pa9uetes? y solucin de proble%as"

U &a9uetes de software y las instalaciones de software de terceros y actualiDaciones"

///i

&rlogo

Al final de este libro? usted encontrar2 una gua de %en; con las opciones del %en; est2ndar disponibles en pfSense y un ndice detallado"

(" Autores
("(" hris #uechler
hris es uno de los fundadores del proyecto pfSense? y uno de sus pro%otores %2s activos"

Vl ha estado trabaMando en la industria de T3 durante %2s de una d6cada? trabaMando e/tensa%ente con los cortafuegos y Free#SD para la %ayora de ese tie%po" Vl ha proporcionado seguridad? red y servicios relacionados para las organiDaciones en el sector p;blico y privado? 9ue van desde pe9ue0as organiDaciones de Fortune >++ e%presas y grandes organiDaciones del sector p;blico" Actual%ente se gana la vida ayudando a organiDaciones con necesidades relacionadas con pfSense incluyendo el dise0o de redes? la planificacin de i%ple%entacin? asistencia para la configuracin? la conversin de los cortafuegos e/istentes? el desarrollo y %ucho %2s" Vl se basa en Louisville? QentucLy? @@"HH" y proporciona servicios a clientes de todo el %undo" Tiene nu%erosas certificaciones de la industria incluyendo el 3SS&? SS &? ! S@? <A y entre otros"

Su p2gina web personal se puede encontrar en http:77chrisbuechler"co%"

(")" $i% &ingle


$i% ha estado trabaMando con Free#SD desde hace %2s de dieD a0os? profesional durante los ;lti%os seis a0os" @n la actualidad co%o un ad%inistrador de siste%as de F& Servicios de 3nternet? un 3S& local en #edford? <ew SorL? @@"HH" trabaMa con los servidores de Free#SD? diversos e9uipos de enruta%iento y circuitos? y por supuesto cortafuegos pfSense basado tanto a nivel interno y para %uchos clientes" $i% tiene un ttulo de licenciatura en Siste%as de 3nfor%acin de 3ndianaI&urdue Fort =ayne? y se gradu en )++)" Ta%bi6n contribuye a varios proyectos de cdigo abierto? ade%2s de pfSense? sobre todo .ound ube =eb%ail

y glTail"
uando leMos de la co%putadora? $i% ta%bi6n le gusta pasar tie%po con su fa%ilia? leer? to%ar i%2genes? y ser un adicto a la televisin" Su p2gina web personal se puede encontrar en http:77pingle"org"

)" Agradeci%ientos
@ste libro? y pfSense en s %is%a no sera posible sin un gran e9uipo de desarrolladores? colaboradores? patrocinadores corporativos? y una co%unidad %aravillosa" @l proyecto ha recibido el cdigo contribuciones de %2s de (++ personas? con ), personas 9ue han contribuido considerable%ente suficiente para obtener acceso de confir%acin" ientos de personas han contribuido financiera%ente? con el hardware? y otros recursos necesarios" !iles %2s han hecho su parte para apoyar el proyecto? ayudando a

///ii

&rlogo

otros en la lista de correo? foro? y el 3. " <uestro agradeci%iento a todos los 9ue han hecho su parte para 9ue el proyecto del gran 6/ito se ha convertido"

)"(" Libro de Dise0o de &ortada


Gracias a Folger #auer para el dise0o de la cubierta" Folger fue uno de los colaboradores pri%era al proyecto? despu6s de haber hecho gran parte del trabaMo de te%atiDacin? gr2ficos? y es el creador de la antecedentes 9ue he%os utiliDado en nuestras presentaciones a las seis conferencias #SD en los ;lti%os cinco a0os"

)")" Los desarrolladores pfSense


@l actual e9uipo activo de desarrollo pfSense? enu%erados por orden de antigWedad" U oIfundador Scott Hllrich U oIfundador hris #uechler U &royecto de Ley de !ar9uette U #auer Folger U @riL Qristensen U !os Seth U Dale Scott U !artin Fuchs U Luci @r%al U Los novios !ateo U Gr;a !arcos U Eelaya .ob U .enato #otelho
Ta%bi6n nos gustara dar las gracias a todos los desarrolladores de Free#SD? y especfica%ente? los desarrolladores 9ue

han ayudado considerable%ente con pfSense" U Laier !a/

///iii

&rlogo U hristian S"$" &ern U Andrew Tho%pson #Moern U A" Eeeb

)"*" Agradeci%ientos personales


)"*"(" De hris
Debo dar %i agradeci%iento esposa y de cr6dito i%portantes para la realiDacin de este libro? y el
6/ito del proyecto en general" @ste libro y el proyecto han llevado a un sinn;%ero de das largos y

noches y %eses sin descanso de un da? y su apoyo ha sido crucial"


Ta%bi6n %e gustara dar las gracias a las %uchas e%presas 9ue han co%prado nuestro apoyo y distribuidor

suscripciones? lo 9ue %e per%ite dar el salto a trabaMar a tie%po co%pleto en el proyecto a principios de )++,"
Ta%bi6n debo agradecer a $i% para saltar en este libro y ofrecer una ayuda considerable en la realiDacin de 9ue" Sa han pasado dos a0os en la fabricacin? y trabaMar %ucho %2s de lo 9ue haba i%aginado" &uede 9ue haya sido obsoletos antes de 9ue se ter%ine? si no fuera por su ayuda durante los ;lti%os %eses" Ta%bi6n

gracias a $ere%y .eed? nuestro editor y el editor? por su ayuda con el libro"
&or ;lti%o? %i agradeci%iento a todos los 9ue han contribuido al proyecto pfSense en cual9uier for%a? especial%ente a los desarrolladores 9ue han dado enor%es cantidades de tie%po al proyecto durante los ;lti%os cinco

a0os"

)"*")" De $i%
!e gustara dar las gracias a %i esposa e hiMo? 9ue aguantar%e a trav6s de %i participacin en el

proceso de escritura" Sin ellos? habra vuelto loco hace %ucho tie%po"
Ta%bi6n %e gustara dar las gracias a %i Mefe? .icL SaneD de F& Servicios de internet? por ser de apoyo

de pfSense? Free#SD? y el software de cdigo abierto en general"


La co%unidad pfSense todo es digno de agradeci%iento a;n %2s as? es el %eMor y %2s

grupo de apoyo de los usuarios de software de cdigo abierto y colaboradores 9ue he encontrado"

)"1" Los revisores


Las siguientes personas proporcionaron infor%acin %uy necesaria y los conoci%ientos para ayudar a %eMorar el libro

y su e/actitud" @nu%erados en orden alfab6tico por el apellido"

///iv

&rlogo U #ruce $on U !arL Foster U 3rvine #ryan U !idgley =arren U @iriL :verby

*" o%entarios
@l editor y autores ani%ar a su opinin sobre este libro y la distribucin de pfSense"
&or favor? enve sus sugerencias? crticas y 7 o elogios por La gua definitiva para pfSense

libro <info@reedmedia.net>" p2gina web de la editorial para el libro est2 en http:77 www"reed%edia"net7booLs7pfsense7"
&ara consultas generales relacionadas con el proyecto pfSense? por favor? escribir en el foro o lista de correo"

@nlaces con estos recursos se pueden encontrar en http:77pfsense"org7support"

1" onvenciones tipogr2ficas


A lo largo del libro una serie de convenciones se utiliDan para designar ciertos conceptos? infor%acin o

acciones" La siguiente lista nos da eMe%plos de c%o estos se for%atean en el libro" Selecciones de %en; 3nterfaD gr2fica de las eti9uetas de artculos 7 <o%bres #otones &reguntar por la entrada @ntrada del usuario <o%bres de archivos Los no%bres de los co%andos o progra%as gDip Servidor de seguridad .eglas Destino Aplicar ca%bios Desea continuar? Regla Descripcin / Boot / loader.conf

o%andos escritos en el int6rprete de co%andos #ls-l Los ele%entos 9ue debe ser ree%plaDado por valores especficos a su configuracin ///v 192.168.1.1

&rlogo <otas especiales

<ota
uidado con estoX JFooLleftarrowK" Largo de shell

Largas colas literal en eMe%plos de salida puede ser dividida con el

eMe%plos de lnea de co%andos se puede dividir utiliDando la barra invertida JYK para la continuacin de lnea shell"

///vi

aptulo (" 3ntroduccin


pfSense es un gratuito? de cdigo abierto de distribucin personaliDada de Free#SD adaptado para su uso co%o un servidor de seguridad
y el router? todo a un %aneMo f2cil de usar interfaD web" @sta interfaD web? 9ue se conoce co%o la GH3 basado en web configurador? o =ebGH3 para abreviar" <o se re9uieren conoci%ientos de Free#SD se re9uiere de i%ple%entar y utiliDar pfSense? y de hecho la %ayora de la base de usuarios nunca ha usado Free#SD fuera de pfSense" Ade%2s de ser un siste%a fle/ible de gran alcance? cortafuegos y platafor%a de enruta%iento? 9ue incluye una larga lista de caractersticas relacionadas y un siste%a de pa9uetes 9ue per%ite la capacidad de e/pansin %2s sin a0adir hinchaDn y las vulnerabilidades de seguridad potenciales para la distribucin base" pfSense es un proyecto popular con %2s de ( %illn de descargas desde su creacin? y probado en un sinn;%ero de instalaciones 9ue van desde pe9ue0as redes do%6sticas proteger un solo e9uipo a los grandes

e%presas? universidades y otras organiDaciones de proteccin de %iles de dispositivos de red"

("(" 3niciacin del &royecto


@ste proyecto fue fundado en )++1 por hris #uechler y Hllrich Scott" hris haba sido contribuir a %+n+wall desde hace alg;n tie%po antes de eso? y encontr 9ue es una gran solucin"
Sin e%bargo? al %is%o tie%po e%ocionados con el proyecto? %uchos usuarios anhelaba %2s capacidades 9ue pueden tener cabida en un proyecto estricta%ente enfocado hacia dispositivos integrados y su li%itada los recursos de hardware" 3ntroduDca pfSense" hardware %oderno integrado ta%bi6n est2 bien apoyado y

popular hoy pfSense" @n )++1? hubo nu%erosas soluciones integradas con A1 !#

.A! 9ue no poda ponerse en pr2ctica con la funcin deseada conMunto de pfSense"

(")" 45u6 significa para pfSense 7 %edia8


@l proyecto dur un par de %eses sin no%bre" De hecho? la c2rcel de Free#SD 9ue se eMecuta nuestro 'S

servidor se sigue lla%ando ProjectX"


Scott y hris eran los dos ;nicos %ie%bros del proyecto en el tie%po? co%o sus fundadores" orri%os a trav6s de nu%erosas posibilidades? con la dificultad principal 9ue encontrar algo con el do%inio no%bres disponibles" Scott lleg con pfSense? pf es el software de filtrado de pa9uetes utiliDados? co%o en dar sentido a la &F" la respuesta de hris fue %enos 9ue entusiasta" &ero despu6s de un par de se%anas con

ninguna opcin %eMor? nos fui%os con 6l" Se lleg a decir: N#ueno? sie%pre pode%os ca%biarlo"N
Desde entonces? un ca%bio de no%bre fue considerado entre los desarrolladores? sin ganar ninguna de traccin co%o la %ayora de la gente era indiferente? y nadie sinti una necesidad i%periosa para el ca%bio" A %ediados de )++B? un debate de no%bres fue iniciado por una entrada de blog? y la abru%adora respuesta de la

co%unidad a trav6s de co%entarios eI%ail y el blog fue N%antener el no%breXN

3ntroduccin

("*" 4&or 9u6 Free#SD8


Dado 9ue %uchos de los co%ponentes principales en pfSense proceden de :pen#SD? usted puede preguntarse por 9u6
eligi Free#SD en lugar de :pen#SD" Fubo %uchos factores en cuenta a la hora elegir un siste%a operativo para este proyecto" @sta seccin describe las principales raDones para la eleccin de Free#SD"

("*"(" Soporte inal2%brico


Saba%os soporte inal2%brico sera un ele%ento clave para %uchos usuarios" @n el %o%ento este proyecto fue

fundada en )++1? soporte inal2%brico de :pen#SD fue %uy li%itada" Su co%patibilidad con el controlador era %ucho %2s li%itado 9ue el de Free#SD? y no tena soporte para cosas i%portantes? tales co%o =&A J=iIFi &rotected AccessK y =&A) con ning;n plan de alguna aplicacin de dicho apoyo en el %o%ento" Algunos

esto ha ca%biado desde )++1? pero sigue adelante en Free#SD capacidades inal2%bricas"

("*")" .endi%iento de la red


el rendi%iento de la red de Free#SD es significativa%ente %eMor 9ue la de :pen#SD" &ara pe9ue0as y %edianas i%ple%entaciones de e%presas? por regla general? no es de ninguna preocupacin? co%o la escalabilidad superior es el principal proble%a en :pen#SD" Hno de los desarrolladores de pfSense gestiona varios cientos de servidores de seguridad de :pen#SD &F? y ha tenido 9ue ca%biar sus siste%as de alta carga %2s para los siste%as Free#SD &F para %aneMar la alta pa9uetes por segundo necesarios en porciones de su red" @sto se ha convertido en un proble%a %enor en

:pen#SD desde )++1? pero sigue siendo v2lida"

("*"*" La fa%iliaridad y la facilidad de tenedor


Desde la base de cdigo pfSense parti de %+n+wall? 9ue se basa en Free#SD? 9ue era %2s f2cil 9uedarse con Free#SD" a%biar el siste%a operativo sera necesario %odificar casi cada parte del siste%a" Scott y hris? los fundadores? ta%bi6n est2n %2s fa%iliariDados con Free#SD y haba trabaMado anterior%ente Muntos en un ahoraIdifunto solucin co%ercial de firewall basado en Free#SD" @sto en s %is%o no era una raDn de peso? pero co%binado con los ;lti%os dos factores 9ue era slo otra cosa

nos apuntan en esta direccin"

("*"1" Alternativas de Apoyo al Siste%a :perativo


@n este %o%ento? no hay planes para apoyar a cual9uier otro siste%a operativo? si%ple%ente por raDones de li%itaciones de recursos" Sera un esfuerDo considerable al puerto a cual9uiera de los otros #SD ya 9ue se basan en algunas funciones 9ue slo est2n disponibles en Free#SD? 9ue tendra 9ue ser

co%pleta%ente redise0ado"

3ntroduccin

("1" o%;n de i%ple%entaciones


pfSense se utiliDa en casi todos los tipos y ta%a0os de entorno de red i%aginables? y es casi
cierta%ente adecuado para su red si contiene un ordenador? o %iles" @n esta seccin

se esboDar2n las i%ple%entaciones %2s co%unes"

("1"(" Servidor de seguridad de per%etro


La i%ple%entacin %2s co%;n de pfSense es co%o un servidor de seguridad peri%etral? con una cone/in a 3nternet

conectado a la =A< y la red interna de la LA<"


pfSense tiene capacidad para redes con necesidades %2s co%pleMas? tales co%o 3nternet de %;ltiples

cone/iones %;ltiples redes LA<? D!E %;ltiples redes? etc


Algunos usuarios ta%bi6n se su%an #G& J#order Gateway &rotocolK para proporcionar capacidades de cone/in

redundancia y balanceo de carga" @sto se describe %2s en aptulo C? @nruta%iento"

("1")" LA< o =A< del router


@l segundo despliegue %2s co%;n de pfSense es co%o una LA< o =A< del router" Se trata de un independiente papel del servidor de seguridad peri%etral en las %edianas a grandes redes? y se puede integrar en el

per%etro de servidor de seguridad en entornos %2s pe9ue0os"

("1")"(" LA< del router


@n redes %2s grandes 9ue utiliDan varios seg%entos de red interna? pfSense es una solucin probada para conectar estos seg%entos internos" @sto es %2s co%;n%ente i%ple%entados a trav6s del uso de las 'LA< C+)"(5 con concentracin de enlaces? 9ue ser2n descritos en aptulo (+? LA< virtuales J'LA<K" !;ltiples

interfaces @thernet se utiliDa ta%bi6n en algunos entornos"

<ota
@n entornos 9ue re9uieren %2s de * Gbps de rendi%iento sostenido? o %2s de >++"+++ pa9uetes por segundo? sin router basado en hardware ofrece un rendi%iento adecuado" Tales a%bientes necesidad de desplegar con%utadores de nivel * Jrouting hecho en el hardware por el interruptorK o routers de ga%a alta basados en AS3 " o%o los productos b2sicos au%entos en el rendi%iento de hardware y siste%as operativos de propsito general co%o Free#SD %eMorar las capacidades de procesa%iento de pa9uetes en lnea con lo 9ue el nuevo hardware

capacidades pueden apoyar? escalabilidad seguir2 %eMorando con el tie%po"

3ntroduccin

("1")")" =A< del router


&ara la prestacin de servicios =A< de un puerto @thernet para el cliente? pfSense es una gran solucin para
privado routers =A<" :frece todas las funcionalidades %ayora de las redes re9uieren y en un %ucho %enor

precio punto de 9ue las ofertas de no%bre co%ercial grande"

("1"*" &unto de acceso inal2%brico


pfSense i%ple%entar !uchos estricta%ente co%o un punto de acceso inal2%brico" capacidades inal2%bricas ta%bi6n se pueden a0adir

a cual9uiera de los otros tipos de despliegues"

("1"1" Aparatos de uso especial


pfSense i%ple%entar %uchos co%o un aparato de efectos especiales" Los siguientes son cuatro los escenarios 9ue conoce%os de? y no est2 seguro de 9ue %uchos casos si%ilares 9ue no son conscientes" La %ayora de cual9uiera de las funciones de pfSense se puede utiliDar en una i%ple%entacin en dispositivos tipo" Hsted puede encontrar algo ;nico a el entorno donde este tipo de despliegue es un gran aMuste" o%o el proyecto ha %adurado? no Se ha prestado considerable atencin en el uso co%o un %arco de creacin de e9uipo? especial%ente en el

La versin )"+" Algunos aparatos especiales estar2n disponibles en el futuro"

("1"1"(" '&<
Algunos usuarios de la cada de pfSense co%o '&< detr2s de un cortafuegos e/istente? para agregar '&<

capacidades? sin crear ninguna interrupcin en la infraestructura de servidor de seguridad e/istentes" La %ayora de pfSense i%ple%entaciones '&< ta%bi6n actuar co%o un servidor de seguridad peri%etral? pero este es un %eMor aMuste en algunas circunstancias"

("1"1")" D<S Server Appliance


pfSense ofrece un D<S JDo%ain <a%e Syste%K? pa9uete de servidor basado en tinydns? un pe9ue0o? r2pido? D<S servidor seguro" <o est2 cargado de funciones? por lo 9ue no es capaD de ser utiliDado para ciertos fines? tales co%o !icrosoft Active Directory? pero es un gran aMuste para aloMa%iento D<S p;blicos de 3nternet" .ecuerde 9ue la D<S charla vulnerabilidad en Mulio de )++C8 Daniel $" #ernstein? autor de tinydns? se le atribuye con la idea original y la aplicacin de los puertos de origen al aDar en la resolucin de D<S? el .esolucin a 9ue la vulnerabilidad" De hecho? tinydns fue el ;nico servidor D<S principal 9ue no necesitan ser parcheados en Mulio de )++C" Fa utiliDado los puertos aleatorios de origen desde su creacin" 'arios Face a0os? #ernstein incluso poner HSD Z (+++ de su propio dinero en la lnea para la pri%era persona para encontrar una escalada de privilegios aguMero de seguridad" 5ue no ha sido recla%ada" Si usted est2 recibiendo slo p;blica D<S de 3nternet? tinydns debe considerarse seria%ente" @l pa9uete de pfSense ta%bi6n a0ade con%utacin por error

capacidades"

3ntroduccin

("1"1"*" Sniffer electrodo%6sticos


Hn usuario estaba buscando un aparato rastreador de desplegar a un n;%ero de sucursales"
aparatos co%erciales sniffer est2n disponibles con nu%erosas ca%panas y silbidos? pero a un %uy coste significativo? especial%ente cuando se %ultiplica por un n;%ero de sucursales" pfSense ofrece una web

interfaD para tcpdu%p 9ue per%ite la descarga del archivo pcap 9ue resulta cuando la captura
ha ter%inado" @sto per%ite a esta e%presa para capturar pa9uetes sobre una red de sucursales? descargue el

resultante archivo de captura? y abrirlo en =iresharL [http:77www"wiresharL"org\ &ara el an2lisis"


pfSense no es tan elegante co%o aparatos rastreadores co%ercial? pero ofrece una funcionalidad adecuada

para %uchos fines? a un costo %ucho %2s baMo"


&ara obtener %2s infor%acin sobre c%o utiliDar las caractersticas de la captura de pa9uetes de pfSense? consulte aptulo )>? &a9uete

aptura"

("1"1"1" DF & Server Appliance


Hna despliega usuario instala pfSense estricta%ente co%o DF & JDyna%ic Fost onfiguration &rotocolK servidores para distribuir las direcciones 3& para su red" @n la %ayora de entornos de esto probable%ente no tiene %ucho sentido" &ero en este caso? el personal de los usuarios ya est2n fa%iliariDados y c%odos con pfSense y este despliegue per%iti seguir sin una for%acin adicional para los ad%inistradores?

9ue fue una consideracin i%portante en este despliegue"

(">" 'ersiones
@sta seccin describe los pfSense diferentes versiones disponibles actual%ente y en el pasado"

(">"(" (")"* &ublicacin


@sta es la versin reco%endada para todas las instalaciones en el %o%ento de escribir este artculo" @s un hecho a%plia%ente probado y desplegado? y por9ue es la ;lti%a versin (")"/ es la ;nica publicacin 9ue recibir co%unicados de correccin de errores y cual9uier versin de seguridad necesario fiMar en (")"/ en el futuro" @l (")"*
liberacin prevista una serie de correcciones de errores y %eMoras de la (")")? y actualiD la base de siste%a operativo

Free#SD B")" Hsted puede encontrar la versin actual reco%endado por la navegacin a www"pfsense"org7 versiones [http:77www"pfsense"org7versions\" Las referencias en este libro a (") en su %ayora incluyen todos los

versin (")"/? aun9ue algunas cosas 9ue se %encionan en este libro slo e/isten en (")"* y versiones posteriores"

>

3ntroduccin

(">")" (")? (")"(? (")") @%isiones


(") fue la pri%era versin estable en la lnea (") de nuevos productos? y se puso a disposicin de febrero
)>? )++C" La actualiDacin (")"( proporciona una serie de correcciones de errores y algunos parches de seguridad de %enor i%portancia? y

actualiD la base de siste%a operativo Free#SD B"+" La versin (")") a0ade algunas correcciones de errores"

(">"*" ("+ .elease


@sta fue la pri%era versin de pfSense clasificada co%o estable" Fue lanDado el 1 de octubre de )++A? con un segui%iento ("+"( versin de revisin de errores el )+ de octubre de )++A" Aun9ue sabe%os a;n de instalaciones la eMecucin de algunas versiones alpha te%prana y un sinn;%ero de sitios a;n en %archa ("+? ya no se ad%ite y reco%enda%os encarecida%ente a todos los usuarios actualiDar a (")"*" ("+"( contiene la seguridad de varios %enores

vulnerabilidades fiMas? ya sea en (") o (")"("

(">"1" 3nstant2nea de prensa


@l servidor de instant2neas pfSense construye una nueva i%agen a partir del cdigo actual%ente en nuestro cdigo fuente repositorio cada dos horas" @stos son principal%ente para los desarrolladores y usuarios 9ue prueben las correcciones de errores en la solicitud de un desarrollador" Las instant2neas no sie%pre pueden estar disponibles? dependiendo del punto en el ciclo de liberacin" &oco despu6s de la versin (")? las instant2neas fueron to%adas en lnea co%o la construccin de
la infraestructura se ha actualiDado para Free#SD B"+ y fue el ("* Jen el %o%ento? ahora )"+K de liberacin

preparado para los pri%eros lanDa%ientos a disposicin del p;blico" Situaciones si%ilares pueden e/istir en el futuro" Hsted puede ver lo 9ue las instant2neas? en su caso? est2n disponibles visitando la instant2nea del servidor [http:77

snapshots"pfsense"org\"

(">">" )"+ &ublicacin


La versin )"+ de pfSense Jantes conocido co%o ("*K est2 disponible para las pruebas? y es el alfa calidad en el %o%ento de escribir este artculo" ontiene nu%erosas %eMoras significativas? %uchas de las cuales todava un trabaMo en progreso" Hna versin estable? o al %enos la calidad de candidato de la versin de produccin situacin se espera a finales de )++, o principios de )+(+" @star2 basado en Free#SD C"+? por lo 9ue este progra%a

depende un poco de calendario de lanDa%iento de Free#SD"

("A" &latafor%as
pfSense ofrece tres platafor%as adecuadas para tres diferentes tipos de despliegues" @n esta seccin

cubre cada uno? y los 9ue debe elegir"

3ntroduccin

("A"(" Live D
La platafor%a Live D 9ue per%ite eMecutar directa%ente desde el D sin necesidad de instalar un disco duro
o tarMeta o%pact Flash" La configuracin se puede guardar en un dis9uete o una unidad flash HS#" La D no es de acceso frecuente despu6s del arran9ue ya 9ue el siste%a se eMecuta principal%ente desde la .A! en ese %o%ento? pero no debe ser eli%inado de un siste%a en funciona%iento" @n la %ayora de los casos? esto slo debera ser utiliDa co%o una evaluacin del software con el hardware en particular" !ucha gente lo utiliDa %ucho plaDo? pero reco%enda%os el uso de instalaciones nuevas en su lugar" Los usuarios de Live D no puede utiliDar los pa9uetes? y la

gr2ficos histricos de rendi%iento se pierde al reiniciar"

("A")" 3nstalacin co%pleta


@l D en vivo incluye una opcin de instalacin para instalar pfSense en el disco duro en su siste%a" @ste es el %6todo preferido de eMecucin pfSense" Todo el disco duro debe ser sobreescritoT doble arrancando con otro siste%a operativo no es co%patible" instalaciones co%pletas se reco%ienda para la %ayora de las i%ple%entaciones" De las estadsticas de descarga 9ue puede suponer al %enos el C+] de todos los despliegues de pfSense se instala por co%pleto" La %ayora de los desarrolladores utiliDan las instalaciones nuevas sobre todo si no del todo" &or lo tanto? es el %2s a%plia%ente probado

%eMor y con el apoyo de versin" <o tiene por 9u6 algunas de las li%itaciones de las otras platafor%as"

("A"*" @%bebido
La versin incorporada est2 dise0ado especfica%ente para usarse con cual9uier hardware usando o%pact Flash J FK en lugar de un disco duro" Las tarMetas F pueden %aneMar sola%ente un n;%ero li%itado de escrituras? por lo 9ue el versin incorporada se eMecuta slo lectura de F? con lectura 7 escritura de siste%as de archivos co%o discos .A!" 3ncluso con esa li%itacin? son a%plia%ente co%patibles con el hardware integrado y por %edio de 3D@ a los convertidoresI F" Aun9ue las tarMetas F son %2s pe9ue0os 9ue un conector de la unidad tradicional de disco duro ATA? el n;%ero de pines es los %is%os y 9ue sean co%patibles" @sto hace 9ue sea %2s f2cil de i%ple%entar para los dispositivos 9ue ya soporte 3D@" F siendo los %edios de estado slido? ta%bi6n no tienen la posible 9uiebra de un giro

disco de 9u6 preocuparse"


Los siste%as e%potrados son %uy populares por %uchas raDones? pero son los %2s convincentes 9ue suelen tener pocas o ninguna las partes %viles? y consu%en %ucho %enos energa y producen %enos calor 9ue los grandes siste%as al %is%o tie%po un buen rendi%iento suficiente para las necesidades de la %ayora de las redes" @n este caso? %enos partes %viles significa %enos puntos de falla? %enos calor? y se puede eMecutar en co%pleto silencio" Fistrica%ente? se ha incorporado un ciudadano de segunda clase con pfSense? ya 9ue las instalaciones nuevas se han el obMetivo principal del proyecto" @sto ha ca%biado con la nueva generacin de integrados? basados en

en <ano#SD"

3ntroduccin

Hna desventaMa de los siste%as integrados es 9ue algunos de los datos de gr2ficos histricos en ..Dtool es
perdido si el siste%a no se cierra sin proble%as" &or eMe%plo? un corte de energa har2 9ue algunos gr2fico la p6rdida de datos" @sto no afecta a la funcionalidad? sino 9ue deMa espacios en blanco en los gr2ficos histricos"

("A"*"(" Antiguo incorporado Jantes de la liberacin (")"*K


Los pa9uetes no se ad%ite en las versiones anteriores incrustado (")") y anteriores" !ayores incorporados actualiDaciones ta%bi6n no sie%pre funcionan de for%a fiable" @l ;nico (++] garantiDado %edio fiable de actualiDacin se instala incorporado a la configuracin de copia de seguridad? de reIflash de la F5? y restaurar el

de configuracin" @stas li%itaciones han sido eli%inadas en la nueva configuracin integrado"

("A"*")" <ano#SD incorporado


<ano#SD es una for%a est2ndar de la construccin de Free#SD en una %anera a%istosa incrustado" @s co%patible con fir%ware dual? es fiable y a%pliable" @n el %o%ento de escribir estas lneas? <ano#SD incrustado se co%pleta%ente funcional y 9ue se utiliDan en la produccin de algunos de nuestros desarrolladores" Fabr2 un (")"/ liberacin utiliDando esta %etodologa integrado? %o%ento en el 9ue el antiguo incrustado ser2 descontinuado"

)"+ slo se utiliDa la nueva %etodologa incrustado"


Ade%2s del apoyo de fir%ware %;ltiples 9ue per%ite la con%utacin entre dos instalaciones diferentes? esto aporta dos i%portantes beneficios adicionales" Los pa9uetes ta%bi6n contar2 con el apoyo? por las adecuadas para la un entorno integrado" Ta%bi6n per%ite cruDar la creacin de ar9uitecturas de hardware 9ue no sea

/ CA? !3&S y con platafor%as A.! potencial%ente con el apoyo en el futuro"

("B" onceptos de .edes


Si bien esto no es un libro de introduccin a la creacin de redes? hay ciertos conceptos de red 9ue son i%portantes para entender" @sta parte del libro no va a proporcionar una cobertura adecuada para los 9ue carecen de conoci%ientos b2sicos de redes funda%entales" Si usted no posee este conoci%iento?

es probable 9ue la necesidad de buscar %aterial adicional de redes de introduccin"


Los lectores con un conoci%iento significativo de la propiedad intelectual p;blico y privado 9ue? subredes 3&? 3D.

notacin 3D. y resu%en puede saltar al siguiente captulo"

("B"(" @ntender 3& p;blica y privada Direcciones


Fay dos tipos de direcciones 3& 9ue se encuentran en la %ayora de redes I p;blicos y privados"

3ntroduccin

("B"("(" Direcciones 3& privadas


Las direcciones 3& privadas son las 9ue dentro de una subred reservados? slo para uso interno" La red est2ndar .F (,(C [http:77www"fa9s"org7rfcs7rfc(,(C"ht%l\ Define subredes 3& reservados para uso en redes privadas J uadro ("( N? .F (,(C @spacio privado direccin 3&NK" @n la %ayora de entornos? una subred 3& privada de .F (,(C es elegido y utiliDado en todos los dispositivos de la red interna? 9ue se conectan a 3nternet a trav6s de un firewall o un router de aplicacin de direcciones de red Traduccin J<ATK? co%o pfSense" <AT se e/plica %2s adelante en aptulo B? .ed

Traduccin de direcciones" 3D. .ange (+"+"+"+ 7 C (B)"(A"+"+7() (,)"(AC"+"+7(A 3ntervalo de direcciones 3& (+"+"+"+ I (+")>>")>>")>> (B)"(A"+"+ I (B)"*(")>>")>> (,)"(AC"+"+ I (,)"(AC")>>")>>

Tabla ("(" .F (,(C 3& privada del espacio de direcciones


Fay otros rangos definidos co%o ("+"+"+ 7 C y )"+"+"+ 7 C? pero 6stos no est2n per%anente%ente
reservados? co%o las direcciones .F (,(C" Aun9ue puede ser tentador utiliDar estas? la probabilidad de 9ue sean asignados a los au%entos reales? lugares enrutable co%o espacio 3&v1 se hace %2s escasa" Ta%bi6n debe evitar el uso de (A,")>1"+"+7(A? 9ue de acuerdo con .F *,)B se reserva para NLinLI

Locales Nconfiguracin auto%2tica I? pero no debe ser asignada por DF & o %anual%ente Fay %2s"
de suficiente espacio de direcciones reservado por el .F (,(C? co%o se %uestra en Tabla ("( N? .F (,(C privadas @spacio de direcciones 3& N? por lo 9ue hay pocos incentivos para desviarse de esa lista" <os he%os encontrado con redes con todo tipo de inadecuado direcciona%iento? y conducir2 a los proble%as I no es un cuestin de NsiN? sino NcuandoN los proble%as se produDcan" Si usted se encuentra trabaMando en una ya e/istente red %ediante un espacio de direccin incorrecta? lo %eMor es corregir el direcciona%iento tan pronto co%o sea posible"

Hna lista co%pleta de las redes 3&v1 de uso especial se pueden encontrar en el .F ***+"

("B"(")" Las direcciones 3& p;blicas


Direcciones 3& p;blicas son las asignadas por el 3S& para todos? pero las redes %2s grandes" .edes 9ue re9uieren cientos o %iles de direcciones 3& p;blicas suelen tener espacio de direcciones asignado directa%ente en el .egistro .egional de 3nternet con su regin del %undo" .egionales de 3nternet Los registros son las organiDaciones 9ue supervisan la asignacin y registro de la direccin 3& p;blica en

su regin designada por el %undo"


La %ayora de las cone/iones a 3nternet residenciales cuentan con una ;nica direccin 3& p;blica? %ientras 9ue la %ayora de negocios cone/iones de clase vienen con una opcin de usar %;ltiples 3&s p;blicas si es necesario" Hn p;blico ;nico 3& es adecuada en %uchas circunstancias? y se puede utiliDar en conMunto con <AT para conectar

3ntroduccin

cientos de direcciones privadas de siste%as a 3nternet" ontenido en este libro le ayudar2 a a deter%inar el n;%ero de 3& p;blica de tu red re9uiere"

("B")" Subredes 3& onceptos


Al configurar el protocolo T & 7 3& en un dispositivo? una %2scara de subred debe ser especificado" @sta %2scara per%ite al siste%a deter%inar 9u6 direcciones 3& est2n en la red local? y 9ue debe se llega por una pasarela en la tabla de enruta%iento del siste%a" @l valor por defecto de LA< 3& (,)"(AC"("( con una %2scara de )>>")>>")>>"+ o 7 )1 en notacin 3D.? tiene una direccin de red (,)"(AC"("+7)1"

3D. se e/plica en Seccin ("B"1? NDescripcin de la notacin 3D. !2scara de subredN"

("B"*" Direccin 3&? subred y configuracin de puerta de enlace


La configuracin de T & 7 3& de un host se co%pone de tres cosas principales I la direccin? %2scara de subred y puerta de enlace" La direccin 3& y la %2scara de subred co%binado es co%o el anfitrin sabe 9ue las direcciones 3& est2n en su red local" &ara cual9uier direccin fuera de la red local? el tr2fico se enva JenviadosK a la configurar puerta de enlace predeter%inada 9ue se debe saber c%o llegar al destino deseado" Hna e/cepcin a esta regla es una ruta est2tica? lo 9ue indica a un router o del siste%a en la for%a de contacto especfico no subredes locales accesibles a trav6s de los routers conectados local%ente" @sta lista de las pasarelas y rutas est2ticas es %antiene en cada host en su tabla de enruta%iento" &ara ver la tabla de enruta%iento utiliDada por pfSense? consulte Seccin C"1"(?

N.utas de visinN" !2s infor%acin acerca del enruta%iento se pueden encontrar en aptulo C? @nruta%iento"
@n una i%ple%entacin tpica de pfSense? los anfitriones se le asignar2 una direccin 3& dentro del rango de la LA< pfSense? la %is%a %2scara de subred 9ue la interfaD LA< de pfSense y pfSense uso de 3& de la LA< co%o su puerta de enlace predeter%inada" Lo %is%o se aplica a los hosts conectados a una interfaD 9ue no sea inal2%brica? utiliDando

la configuracin adecuada para la interfaD a la 9ue el dispositivo est2 conectado"


Fosts dentro de una ;nica red co%unicarse directa%ente entre s sin la participacin de la puerta de enlace predeter%inada" @sto significa 9ue no hay cortafuegos? incluyendo pfSense? puede controlar un hu6sped a otro co%unicacin dentro de un seg%ento de red" Si esta funcin se re9uiere? los eM6rcitos o necesidad de ser seg%entada a trav6s de la utiliDacin de %;ltiples switches o 'LA<? o ca%biar la funcionalidad e9uivalente? co%o

&'LA< debe ser e%pleado" Las 'LA< son cubiertos en aptulo (+? LA< virtuales J'LA<K"

("B"1" @ntender la notacin de %2scara de subred 3D.


pfSense utiliDa un for%ato de %2scara de subred es posible 9ue no se conoce" @n lugar de la co%;n

)>>"///? usa 3D. J lassless 3nterDo%ain enruta%ientoK notacin"


&uede hacer referencia a Tabla (")? N uadro de subred 3D.N &ara encontrar el e9uivalente de la subred 3D.

%2scara"

(+

3ntroduccin

!2scara de subred Total )>>")>>")>>")>> 7 *)


)>>")>>")>>")>1 7 *( )>>")>>")>>")>) 7 *+ )>>")>>")>>")1C 7 ), )>>")>>")>>")1+ 7 )C )>>")>>")>>"))1 7 )B )>>")>>")>>"(,) 7 )A )>>")>>")>>"()C 7 )>

&refiMo 3D. 3& HtiliDables 3& <;%ero de 7 )1 Direcciones redes Direcciones ( ) 1 C (A *) A1 ()C )>A >() (+)1 )+1C 1+,A C(,) (A?*C1 *)?BAC A>?>*A (*(?+B) )A)?(11 >)1?)CC (?+1C?>BA )?+,B?(>) 1?(,1?*+1 C?*CC?A+C (A?BBB?)(A **?>>1?1*) AB?(+C?CA1 (*1?)(B?B)C ( + ) A (1 *+ A) ()A )>1 >(+ (+)) )+1A 1+,1 C(,+ (A?*C) *)?BAA A>?>*1 (*(?+B+ )A)?(1) >)1?)CA (?+1C?>B1 )?+,B?(>+ 1?(,1?*+) C?*CC?A+A (A?BBB?)(1 **?>>1?1*+ AB?(+C?CA) (*1?)(B?B)A (7)>Ath (7()Cth (7A1th (7*)nd (7(Ao (7Co (71o Hn %edio ( ) 1 C (A *) A1 ()C )>A >() (+)1 )+1C 1+,A C(,) (A?*C1 *)?BAC A>?>*A (*(?+B) )A)?(11 (?+1C?>BA

)>>")>>")>>"+
)>>")>>")>1"+ )>>")>>")>)"+ )>>")>>")1C"+ )>>")>>")1+"+ )>>")>>"))1"+ )>>")>>"(,)"+ )>>")>>"()C"+

7 )1
7 )* 7 )) 7 )( 7 )+ 7 (, 7 (C 7 (B

)>>")>>"+"+
)>>")>1"+"+ )>>")>)"+"+ )>>")1C"+"+ )>>")1+"+"+ )>>"))1"+"+ )>>"(,)"+"+ )>>"()C"+"+

7 (A 7 (> 7 (1 7 (* 7 () 7 (( 7 (+ 7, 7C 7B 7A 7>

)>>"+"+"+ )>1"+"+"+ )>)"+"+"+ )1C"+"+"+

((

3ntroduccin

!2scara de subred Total )1+"+"+"+


))1"+"+"+ (,)"+"+"+ ()C"+"+"+

&refiMo 3D. 3& HtiliDables 3& <;%ero de 7 )1 Direcciones redes Direcciones )AC?1*>?1>A >*A?CB+?,() (?+B*?B1(?C)1 )?(1B?1C*?A1C 1?),1?,AB?),A )AC?1*>?1>1 >*A?CB+?,(+ (?+B*?B1(?C)) )?(1B?1C*?A1A 1?),1?,AB?),1 )?+,B?(>) 1?(,1?*+1 C?*CC?A+C (A?BBB?)(A **?>>1?1*)

71 7* 7) 7( 7+

+"+"+"+

Tabla (")" Tabla de subred 3D.

("B"1"(" @ntonces? 4dnde estas cifras 3D. proceden de todos %odos8


@l n;%ero 3D. proviene del n;%ero de unos en la %2scara de subred cuando se convierte a binario"
La %2scara de subred )>>")>>")>>"+ co%;n es (((((((("(((((((("(((((((("++++++++ en binario"

@sto se su%a a los )1 o )1 horas Jse pronuncia ^tala veinticuatroK"


Hna %2scara de subred de )>>")>>")>>"(,) es (((((((("(((((((("(((((((("((++++++ en binario? o )A

otros? por lo tanto un 7 )A"

("B">" 3D. de resu%en


Ade%2s de especificar las %2scaras de subred? 3D. ta%bi6n se puede e%plear para la propiedad intelectual o de la red efectos de co%presin" @l Ntotal de direcciones 3&N colu%na de la tabla de subred 3D. indica 4 u2ntas direcciones de una %2scara 3D. dado a resu%ir" A los efectos de co%presin de la red? el N<;%ero de redes 7 )1N de colu%na es ;til" resu%en 3D. se puede utiliDar en varios partes de la interfaD web de pfSense? incluyendo las reglas del cortafuegos? <AT? 3&s virtuales? 3&sec? rutas est2ticas?

y %ucho %2s"
Direcciones 3& o redes 9ue pueden estar contenidos dentro de una %2scara 3D. ;nico 9ue se conoce co%o 3D.

resu%ibles"
Al dise0ar una red a la 9ue debe asegurar 9ue todas las subredes 3& privada en uso en un lugar deter%inado 3D. son resu%ibles" &or eMe%plo? si se necesitan tres 7 )1 subredes en un solo lugar? utiliDar un )) 7 de la red en cuatro subredes 7 )1 redes" La siguiente tabla %uestra los cuatro 7 )1 9ue subredes

puede utiliDar con el (+"B+"A1"+7)) subred" (+"B+"A1"+7)) dividido en 7 )1 redes (+"B+"A1"+7)1

()

3ntroduccin

(+"B+"A1"+7)) dividido en 7 )1 redes (+"B+"A>"+7)1 (+"B+"AA"+7)1 (+"B+"AB"+7)1

Tabla ("*" 3D. de resu%en de ruta


@sto ayuda a %antener %2s %aneMable de enruta%iento para redes %ultiIsitio Jlas vinculadas a otro
ubicacin fsica a trav6s de la utiliDacin de un circuito privado =A< o '&<K" on 3D. resu%ibles

subredes? tiene un destino de la ruta 9ue cubre todas las redes en cada lugar" Sin ella?

tiene varias redes destino diferente por ubicacin"


Ahora? si usted no es un gur; de subredes? te est2s preguntando c%o diablos se %e ocurri la tabla anterior" @%piece por elegir un prefiMo 3D. de la red? de acuerdo con el n;%ero de las redes 9ue se re9uieren" A continuacin? eliMa un 7 )1 de red 9ue desea utiliDar" &ara ese eMe%plo? yo eligi (+"B+"A1"+7)1" S6 de %e%oria 9ue //A1"+7)1 ser2 la pri%era 7 )1 de red en un )) 7? pero usted no tiene 9ue escoger la pri%era red" Hsted puede calcular esto utiliDando las herra%ientas disponibles

en el subnet%asL"info [Fttp:77www"subnet%asL"info\ p2gina web"


Hna de las herra%ientas se convierten en deci%ales con puntos de la %2scara 3D.? y viceversa? esta funcin se %uestra en la Figura ("(? Nconvertidor de la %2scara de subredN" Si usted no tiene Tabla (")? Nsubred 3D. Tabla N desde principio de este captulo en frente de usted? usted puede convertir su prefiMo elegido 3D. a la notacin deci%al con puntos utiliDando esta herra%ienta" 3ntroducir un prefiMo de 3D. y haga clic en el botn alcular para

su derecho? o entrar en una %2scara deci%al y haga clic en el botn alcular a su derecha"

Figura ("(" !2scara de subred convertidor


Ar%ado con la %2scara deci%al con puntos? ahora ir a la seccin de .ed 7 <odo alculadora" &oner en la %2scara de subred y una de las 7 )1 redes 9ue desea utiliDar" A continuacin? haga clic en alcular" La parte inferior caMas rellenar? y le %ostrar2 la ga%a considerada en particular? 9ue 7 )1? 9ue se puede ver en Figura (")? N.ed 7 alculadora <odoN" @n este caso? la direccin de red se (+"B+"A1"+7))? y se puede ver 9ue el utiliDables 7 )1 redes de A1 a AB" NDireccin de difusinN no es ter%inologa pertinente cuando se utiliDa esta herra%ienta para deter%inar un rango 3D.? 9ue es si%ple%ente la

direccin %2s alta dentro de la ga%a"

(*

3ntroduccin

Figura (")" .ed 7 alculadora <odo

("B">"(" @ncontrar un Muego de red 3D.


Si usted tiene un rango de direcciones 3& 9ue desea resu%ir? el pfSense @lectrodo%6sticos Ferra%ientas [\ Fttp:77www"pfsense"org7toolsv% incluye cidr_range"pl? un script en &erl 9ue calcula el 3D. redes necesarias para resu%ir una serie de direcciones 3&" Si se eMecuta sin ning;n argu%ento?

podr2s ver las instrucciones de uso" #cidr_range.pl Uso: cidr_range.pl <primer <IP <IP <Apellido> Si desea resu%ir (,)"(AC"("(* (,)"(AC"(")+ a trav6s? eMecute cidr_range"pl de la siguiente %anera" #cidr_range.pl 192.168.1.13 192.168.1.20 192.168.1.13/32 192.168.1.14/31 192.168.1.16/30 192.168.1.20/32
@sto de%uestra 9ue to%ar2 cuatro rangos 3D. para incluir slo a trav6s de (,)"(AC"("(* (,)"(AC"(")+" Si uno %ira hacia atr2s en la %esa de 3D.? un 7 ), %2scara cubre C direcciones 3&? y esto es de C direcciones 3&? por lo 9ue 4por 9u6 no un 7 ), es suficiente8 La respuesta es por9ue no se puede elegir una direccin arbitraria de partida para una a%plia 3D." Si usted va enchufe (,)"(AC"("(* )>>")>>")>>")1C y en la .ed 7 <odo alculadora subnet%asL"info [http:77www"subnet%asL"info7\? &odr2s ver las 7 ), de red 9ue contiene (,)"(AC"("(* es (,)"(AC"("C7), con un rango de +"C a +"(> JFigura ("*? N.ed 7

<odo @Me%plo de la calculadora NK"

(1

3ntroduccin

Figura ("*" .ed 7 @Me%plo calculadora <odo


Si no necesaria%ente una coincidencia e/acta? se puede conectar un n;%ero a la .ed 7 <odo alculadora para acercarse a su resu%en 9ue desee"

("B"A" Difusin de do%inio


Hn do%inio de difusin es la parte de una red de interca%bio de la %is%a capa dos seg%ento de red" @n una red con un solo interruptor? el do%inio de difusin es 9ue el interruptor entero" @n una red con %;ltiples switches interconectados sin el uso de 'LA<s? el do%inio de broadcast incluye todos los

de los interruptores"
Hn do%inio de difusin solo puede contener %2s de una subred 3&? sin e%bargo? 9ue es general%ente no se considera buen dise0o de red" subredes 3& deben ser segregados en e%isin separada

do%inios a trav6s de la utiliDacin de interruptores separados? o 'LA<s"


do%inios de difusin pueden ser co%binados? cerrando dos interfaces de red Muntos? pero debe cuidar deben adoptarse para evitar bucles de ca%biar en este escenario" Ta%bi6n hay algunos servidores pro/y para protocolos deter%inados 9ue no se co%binan do%inios de difusin? sino 9ue el %is%o efecto? co%o un rel6 DF & 9ue trans%ite las peticiones DF & en el do%inio de la difusin de otra interfaD" !2s infor%acin sobre

do%inios de difusin y la for%a de co%binarlos se pueden encontrar en aptulo ,? &uente"

("C" 3nterfaD de no%bres de Ter%inologa


@n esta seccin se describe la interfaD de no%bres ter%inologa utiliDada en pfSense y Free#SD" La %ayora de la gente est2 fa%iliariDada con las dos divisiones de la red b2sica: N=A<N y N one/inN? pero no se puede tantos seg%entos co%o se puede i%aginar" Hsted est2 li%itado ;nica%ente por el n;%ero de interfaces Jo

'LA<K 9ue tiene a su disposicin"


Al e/a%inar los no%bres de interfaD? el te%a de la seg%entacin de la red ta%bi6n viene a la %ente" @s @s una buena pr2ctica para %antener diferentes conMuntos de los siste%as aleMados unos de otros" &or eMe%plo? no

(>

3ntroduccin

9uieres 9ue tu servidor web de acceso p;blico? en la %is%a red 9ue la LA<" Si el servidor se
co%pro%etido? el atacante podra f2cil%ente llegar a cual9uier e9uipo de su LA<" Si han dedicado servidores de bases de datos? estos pueden ser aislados de todo lo de%2s y seguro de todo? %enos los servidores 9ue necesitan acceder a bases de datos" Al igual 9ue con el eMe%plo anterior? un co%pro%etido web servidor no podra poner en peligro los servidores de bases de datos tanto co%o si estuvieran en la %is%a

seg%ento sin un firewall en el %edio"

("C"(" LA<
La interfaD LA< es la pri%era interfaD interna del servidor de seguridad" Abreviatura de .ed de 2rea local? es %2s co%;n el lado privado de un router 9ue a %enudo se utiliDa un es9ue%a de direcciones 3& privadas"

@n i%ple%entaciones pe9ue0as? suele ser la ;nica interfaD interna"

("C")" =A<
La interfaD =A< se utiliDa para la cone/in a 3nternet o cone/in a 3nternet pri%aria en una despliegue %ultiI=A<" Abreviatura de red de 2rea e/tensa? es la red social no son de confianDa p;blica fuera

de su router" one/iones de 3nternet llegar2 a trav6s de la interfaD =A<"

("C"*" :&T
interfaces :&T u opcional se refieren a las interfaces conectadas a las redes locales 9ue no sean

LA<" interfaces :&T se utiliDan co%;n%ente para los seg%entos de LA< en segundo lugar? los seg%entos D!E? inal2%brica

redes y %ucho %2s"

("C"1" :&T =A<


:&T =A< se refiere a las cone/iones de 3nternet a trav6s de una interfaD territorio palestino ocupado? ya sea los configurados para DF & o especificando una direccin de puerta de enlace 3&" @sto se discute en detalle en aptulo ((? !;ltiples

one/iones =A<"

("C">" D!E
orto para la Dona des%ilitariDada" @l t6r%ino fue to%ado de su sentido %ilitar? 9ue se refiere a una especie de a%ortiguador entre un 2rea protegida y una Dona de guerra" @n la creacin de redes? es un 2rea donde su servidores p;blicos 9ue residen es accesible desde 3nternet a trav6s de la =A<? pero ta%bi6n aislado de

la LA< para 9ue un co%pro%iso en la Dona de despeMe no ponga en peligro los siste%as en otros seg%entos"
Algunas co%pa0as de %al uso del t6r%ino NDona de distensinN en sus productos de servidor de seguridad en referencia a (:( <AT en la 3& =A< 9ue e/pone una serie en la LA<" Fay %2s infor%acin sobre este te%a en

Seccin B"*"*? N(:( <AT en la =A< 3&? ta%bi6n conocido co%oN Dona de distensin Nen LinLsysN"

(A

3ntroduccin

("C"A" Free#SD interfaD de no%enclatura


Free#SD no%bres de sus interfaces con el controlador de red utiliDados? seguido de un n;%ero a partir de las +
e incre%entar en uno por cada interfaD adicional usando ese controlador" &or eMe%plo? un co%;n conductor fxp? HtiliDado por las tarMetas de 3ntel &ro7(++" La tarMeta &ro7(++ por pri%era veD en un siste%a se fxp0? el segundo es fxp1? S as sucesiva%ente" :tras de las %2s co%unes son em J3ntel &.:7(+++K? bge J'arios

#roadco% chipsetsK? rl J.ealteL C(),7C(*,K? entre %uchos otros" Si su siste%a de %eDcla una tarMeta de &ro7(++ y una .ealteL C(*,? las interfaces se fxp0 y rl0 ? respectiva%ente" 3nterfaD asignaciones de no%bres y est2n %2s cubiertos en aptulo *? 3nstalacin y actualiDacin"

("," #;s9ueda de infor%acin y obtencin de ayuda


@n esta seccin se ofrece orientacin en la b;s9ueda de infor%acin en este libro? y en pfSense en general?

as co%o el su%inistro de recursos sobre dnde obtener ayuda adicional si es necesario"

(","(" #;s9ueda de infor%acin


La for%a %2s sencilla de encontrar infor%acin sobre un te%a especfico en este libro es revisar el ndice" Todos los caractersticas %2s co%unes y las i%ple%entaciones de pfSense se tratan en este libro? y el ndice de la voluntad

ayudarle a encontrar la seccin o secciones donde se cubre un te%a especfico"


Si usted no puede encontrar la infor%acin 9ue busca en este libro? hay una gran cantidad de nuevos infor%acin y e/periencias de usuario disponibles en los sitios pfsense"org diferentes" La %eMor %anera de #uscar en todos estos sitios es ir a Google? escriba en los t6r%inos 9ue est2 buscando? y ane/ar sitio: pfsense.org a su consulta" @sto buscar2 en la p2gina web? foros? wiLis cvstrac? etc I Todas las fuentes oficiales de infor%acin" Fay una gran cantidad de infor%acin disponible en el foro? y esta es la %eMor %anera de buscar en ella" @sto ta%bi6n localiDar infor%acin en la libre disposicin

partes de este libro"

(",")" :btencin de ayuda


@l proyecto pfSense ofrece varias %aneras de obtener ayuda? incluida una en el foro [http:77foru%"pfsense"org\? wiLi de docu%entacin [Fttp:77doc"pfsense"org\? Listas de correo e 3. J3nternet .elay hat? ` ` &fSense en irc"freenode"netK" Soporte co%ercial ta%bi6n est2 disponible a trav6s de la suscripcin de los fundadores del proyecto pfSense en el pfSense &ortal [https: 7 7 portal"pfsense"org\" Hsted &uede encontrar %2s infor%acin sobre todas estas vas de apoyo en la La obtencin de apoyo [http:77

www"pfsense"org 7\ apoyo p2gina en el sitio pfSense"

(B

aptulo )" Fardware


pfSense es co%patible con cual9uier hardware 9ue sea co%patible con la versin de Free#SD en uso? en i*CA platafor%as de hardware" Suplente ar9uitecturas de hardware? tales co%o &ower& ? !3&S? A.!? S&A. ? etc no son co%patibles en este %o%ento" @l nuevo incrustado puede traer !3&S y A.! apoyo en alg;n %o%ento en )++,? aun9ue no est2 disponible en el %o%ento de escribir este artculo" Ta%bi6n hay a;n no se haya co%unicado de A1 bits? aun9ue la liberacin de *) bits funciona bien en el hardware de A1 bits" A de A1 bits entregar no entrar2 en el futuro para )"+? y actual%ente est2 en fase de pruebas por los desarrolladores" &ara la fecha no ha sido una prioridad? por9ue el ;nico beneficio 9ue ofrece en relacin con los cortafuegos es la capacidad para hacer frente a %2s %e%oria? e incluso la %ayor pfSense instala la proteccin de %iles de

%29uinas no utiliDar 1 G# de .A!"

)"(" De co%patibilidad de hardware


@l %eMor recurso para deter%inar la co%patibilidad del hardware es la nota Free#SD de hardware para el
co%unicado de la versin utiliDada por la liberacin pfSense va a instalar" pfSense (")"* se basa en Free#SD B")? por lo tanto una referencia definitiva sobre el hardware co%patible se las notas de hardware

en http:77www"freebsd"org7releases7B").7hardware"ht%l" La %2s general de hardware de Free#SD &reguntas %2s frecuentes es otro buen recurso a utiliDar para ayudar a la seleccin de hardware" Se puede encontrar en http:77 www"freebsd"org7doc7en_HS"3S:CC>,I(7booLs7fa97hardware"ht%l" @n esta seccin se ofrecen orientacin sobre el %eMor hardware soportado disponibles para fines de cortafuegos y enruta%iento" La consideracin pri%ordial y ;nica reco%endacin fuera de las notas de hardware para la red

adaptadores"

)"("(" Adaptadores de red


&r2ctica%ente todas las tarMetas de cable @thernet J<3 K con el apoyo de pfSense" Sin e%bargo? no toda la red adaptadores son creados iguales" @l hardware utiliDado puede variar %ucho en la calidad de un fabricante a otro? y en algunos casos? %ientras 9ue Free#SD puede apoyar una deter%inada tarMeta de red? el soporte del controlador

puede ser pobre con una i%ple%entacin especfica del chipset"


TarMetas de red 3ntel &ro7(++ y &.:7(+++ son los %2s reco%endables por9ue tienen slidos ayuda al conductor en Free#SD escrito por los e%pleados de 3ntel? y un buen dese%pe0o" @n el otro e/tre%o del del espectro? .ealteL C(*, rl tarMetas de hardware de calidad son %uy co%unes pero %uy pobre" Hn frag%ento de un co%entario en el cdigo fuente para este controlador cuenta la historia I N@l .ealTeL C(*, & 3 <3 redefine el significado de ^ga%a baMa^" @ste es probable%ente el peor controlador @thernet & 3 Ma%2s se ha hecho? con la posible e/cepcin del chip F3@STA realiDado por S! " Nagrava la cuestin es el hecho de 9ue nu%erosos fabricantes incorporar este chip en sus tarMetas de red? con una a%plia diversos grados de calidad" Hsted encontrar2 C"(*, tarMetas integrado en algunos de hardware integrado? y

(C

Fardware

los 9ue en general son confiables y funcionan correcta%ente" De las diversas tarMetas & 3 9ue e/isten algunos trabaMos
bien? y algunos tienen varias cosas 9ue se ro%pen" Las 'LA< pueden no funcionar correcta%ente o en absoluto? y

%odo pro%iscuo necesarios para salvar no pueden trabaMar? entre %uchas otras posibilidades"
Si usted tiene tarMetas de red disponibles y est2n construyendo un siste%a de pieDas de repuesto? vale la pena intentar lo 9ue tiene a %ano" !uchas veces ellos no tendr2n ning;n proble%a" Si usted est2 buscando para co%prar hardware para la i%ple%entacin? van con las tarMetas de 3ntel" @n las redes donde la fiabilidad y el rendi%iento son de la %ayor preocupacin? no escati%an en gastos %ediante el uso de cual9uier <3 le sucede 9ue tiene por ah

JA %enos 9ue estos resultan ser 3ntelsK"


Si utiliDa 'LA<? aseg;rese de seleccionar los adaptadores 9ue soporte 'LA< de procesa%iento en el hardware" @sto es

discutido en aptulo (+? LA< virtuales J'LA<K"

)"("("(" HS# Adaptadores de red


!uchos adaptadores de red HS# son co%patibles? pero en general no se reco%ienda" .ealiDan

%al? especial%ente en siste%as 9ue no son co%patibles con HS# )"+? o con adaptadores 9ue son estricta%ente HS# ("(" <3 HS# son ideales en caso de apuro? o cuando se a0ade la conectividad de red a una & de escritorio? y est2n %uy bien para algunas i%ple%entaciones casa cortafuegos? pero para un rendi%iento fiable en el 9ue los centros de datos

no debe ser considerada"

)"("(")" Adaptadores inal2%bricos


Adaptadores inal2%bricos co%patibles con las reco%endaciones y est2n cubiertos en Seccin (C"(")? N=ireless

controladores incluidos en el apartado (")"* N"

)")" .e9uisitos %ni%os de hardware


A continuacin se describen los re9uisitos %ni%os de hardware para pfSense (")"*" Tenga en cuenta la re9uisitos %ni%os no son adecuados para todos los entornos? v6ase Seccin )"1? NFardware ta%a0o

:rientacin N para el hardware de ta%a0o de orientacin"

)")"(" #ase de .e9uisitos


Los siguientes re9uisitos son co%unes a todas las platafor%as de pfSense" U &H I (++ !FD o %2s r2pido U .A! I ()C !# o %2s

)")")" .e9uisitos @specficos de la &latafor%a


.e9uisitos especficos para platafor%as segui%iento individual"

(,

Fardware

)")")"(" Live D
U Hnidad de DI.:! U unidad flash HS# o unidad de disco para al%acenar archivos de configuracin

)")")")" 3nstalacin co%pleta


U DI.:! para la instalacin inicial U ( G# o disco duro %2s grande

)")")"*" <ano#SD incorporado


U >() !# o %2s TarMeta o%pact Flash U &uerto serie para la consola U @l cable de %de% nulo para conectar con el puerto de consola

)"*" Seleccin de hardware


Abrir los siste%as operativos de fuente puede provocar %uchos dolores de cabeDa con la co%patibilidad de hardware"
!ientras 9ue una deter%inada pieDa de hardware pueden ser co%patibles? una i%ple%entacin especfica de la %is%a puede no funciona correcta%ente? o ciertas co%binaciones de hardware no pueden trabaMar" @sto no se li%ita a Free#SD Jy por lo tanto pfSenseK I distribuciones de Linu/ ta%bi6n sufren la %is%a suerte" @n %2s de una d6cada de e/periencia en el uso #SD y varias distribuciones de Linu/ en una a%plia variedad de hardware? Lo he visto infinidad de veces" Algunos siste%as 9ue funcionan bien con =indows no funciona en absoluto con #SD o Linu/? algunos funcionan bien con #SD? pero no Linu/? algunos con Linu/ pero no #SD" Si le sucede a tener proble%as relacionados con el hardware? Seccin *">"1? NSolucin de proble%as de hardwareN

ofrece conseMos 9ue va a resolver estos proble%as? en algunos casos"

)"*"(" La prevencin de dolores de cabeDa de hardware


@sta seccin ofrece algunos conseMos para evitar proble%as de hardware"

)"*"("(" Htilice el hardware de los desarrolladores el uso


on los a0os? algunos fabricantes de hardware han donado e9uipo %uy necesario para nuestra prueba los desarrolladores" !ediante el uso de e9uipos de estos vendedores? se asegura 9ue el dispositivo 9ue usted est2 co%prando est2 bien probado? y si Free#SD regresiones 9ue afectan al hardware de ocurrir en el futuro? ser2n fiMa antes de 9ue si9uiera saba 9ue e/istan" Ani%a%os a nuestra base de usuarios para apoyar a las e%presas 9ue apoyan el proyecto" Ta%bi6n esta%os en la etapa de planificacin de la oferta de venta directa por hardware?

)+

Fardware

ofreciendo platafor%as de hardware en la preIinstalado 9ue usa%os? y sabe%os 9ue es roca slida y plena%ente co%patibles"
'isita http:77www"pfsense"org7vendors para la infor%acin %2s actualiDada sobre reco%ienda

proveedores de hardware"

)"*"(")" #;s9ueda de las e/periencias de otros


Si est2 utiliDando una pieDa de hardware de un fabricante i%portante? si escribe su %arca? %odelo? y sitio: pfsense.org en Google? hay una alta probabilidad de 9ue se encuentre a alguien 9ue ha intentado o est2 utiliDando el hardware" Ta%bi6n puede intentar la b;s9ueda de la %arca? %odelo? y pfSense para encontrar e/periencias personas han reportado en otros sitios web o los archivos de lista de correo" 3nfor%es de fracaso no necesaria%ente debe considerarse definitivo? ya 9ue los proble%as de un solo usuario en un siste%a en particular puede ser el resultado de hardware defectuoso u otra ano%ala en lugar de inco%patibilidad" .epetir estas b;s9uedas con la %is%a Free SD en lugar de pfSense ta%bi6n puede resultar

hasta e/periencias de usuario ;til"

)"1" Ta%a0o del hardware de :rientacin


Al di%ensionar el hardware para su uso con pfSense? dos factores principales 9ue deben tenerse en cuenta: el rendi%iento

re9uerido y caractersticas 9ue se utiliDar2n" @n las secciones pr/i%as cubrir estas consideraciones"

)"1"(" onsideraciones de rendi%iento


Si necesita %enos de (+ !bps de rendi%iento? puede llegar a funcionar con los re9uisitos %ni%os" &ara los re9uisitos de rendi%iento %2s alto se reco%ienda seguir estas directrices? basadas en nuestra ensayos y a%plias e/periencias de i%ple%entacin" @stas directrices ofrecen un poco de espacio para respirar

por9ue nunca se desea eMecutar el hardware para su plena capacidad durante perodos prolongados"
La eleccin de la tarMeta de red tiene un i%pacto significativo en el rendi%iento %2/i%o alcanDable? dependiendo de la velocidad de la &H" Tabla )"(? Nel rendi%iento %2/i%o por &HN %uestra la rendi%iento %2/i%o alcanDable utiliDando dos tarMetas de red .ealteL C(*, en co%paracin con dos 3ntel &.:7(+++

GT DesLtop tarMetas de red para platafor%as de hardware con las ranuras & 3" &H &entiu% !!G )++ !FD =.A& I )AA !FD Geode A bordo de !a/ .ealteL !a/ &.:7(+++ !a/ .endi%iento J!bpsK .endi%iento J!bpsK .endi%iento J!bpsK n7a )> !bps 1+ !bps )1 !bps n7a n7a

)(

Fardware

&H AL3G I >++ !FD Geode '3A de ( GFD

!a/ &.:7(+++ !a/ A bordo de !a/ .ealteL .endi%iento J!bpsK .endi%iento J!bpsK .endi%iento J!bpsK C> !bps n7a n7a ,* !bps J(++ !b velocidad de cableK )>+ !bps n7a n7a >( !bps C1 !bps ,* !bps J(++ !b velocidad de cableK n7a n7a A1 !bps )(B !bps *A> !bps

<etgate Fa%aLua J( GFD eleronK &entiu% 33 a *>+ !FD n 7 a n7a &entiu% 333 B++ !FD &entiu% 1 ("B GFD n 7 a

Tabla )"(" !2/i%o rendi%iento de la &H

)"1"("(" Diferencia de dese%pe0o por tipo de adaptador de red


La eleccin de <3 tendr2 un i%pacto significativo en el rendi%iento" #aratos tarMetas de ga%a baMa co%o
.ealteLs se consu%en &H significativa%ente %2s 9ue las tarMetas de buena calidad? tales co%o 3ntel" Su pri%era cuello de botella con un rendi%iento de firewall ser2 su &H" Hsted puede obtener el rendi%iento significativa%ente %2s de una &H dada usando una tarMeta de red de %eMor calidad? co%o se %uestra en Tabla )"(? N.endi%iento !2/i%o por &H N con la &H %2s lenta" Si usted tiene una &H capaD de rendi%iento significativa%ente %2s de lo 9ue re9uieren? la eleccin de las <3 tendr2 poco o ning;n i%pacto en el rendi%iento? aun9ue %enor

<3 calidad pueden no ser fiables en algunas circunstancias"

)"1"(")" De ta%a0o para el rendi%iento gigabit


uando el ta%a0o de las i%ple%entaciones de Gigabit? pri%ero tiene 9ue deter%inar la cantidad 9ue el rendi%iento real%ente necesita I ( Gbps de velocidad de cable o si%ple%ente !bps a %2s de (++" @n %uchas redes no hay siste%as capaces de llenar de ( Gbps con los datos del disco? co%o un disco de los siste%as de @ 7 S es incapaD de tal eMercicio" Si lo 9ue desea es ser capaD de golpear de )++ !bps? un siste%a de ( GFD? con buena

<3 calidad suficiente" &ara un %2/i%o de 1++ a >++ !b 7 s? un vieMo servidor de *") GFD es suficiente"

)"1"("*" De ta%a0o de varios gigabits por segundo despliegues


Los n;%eros en Tabla )"(? Nel rendi%iento %2/i%o por &HN parar en un nivel relativa%ente baMo debido a esa es la %edida de lo 9ue raDonable%ente puede probar en nuestro laboratorio" &ruebas %;ltiples servidores Gbps

))

Fardware

re9uiere 9ue los servidores y los siste%as de varias capaD de e%puMar una velocidad de cable Gbps" <o tene%os
e9uipa%iento adecuado para 9ue la escala de las pruebas" &ero eso no 9uiere decir 9ue pfSense no es adecuado en

ese entorno? de hecho se utiliDa en nu%erosos despliegues presionando en e/ceso de ( Gbps"


uando el ta%a0o de los despliegues %ultiIGbps? el factor principal es de pa9uetes por segundo? no Gbps"
Hsted llegar2 al l%ite de Free#SD y hoy el %2s r2pido de hardware de servidor de cuatro n;cleos en torno a >++"+++

pa9uetes por segundo JppsK" 4 u2nto rendi%iento 9ue esto e9uivale a depende de la red %edio a%biente? con algunas referencias proporcionadas en Tabla )")? N>++"+++ de pps en distintos

ta%a0os de %arco N" Ta%a0o del %arco A1 bytes >++ bytes


(+++ bytes (>++ bytes

.endi%iento de procesa%iento en >++Qpps )11 !bps ("CB Gbps *"B* Gbps >">, Gbps

Tabla )")" >++"+++ pps rendi%iento de procesa%iento en el %arco de diversos ta%a0os


&ara i%ple%entaciones 9ue buscan lograr una velocidad de cable entre dos interfaces Gbps? un &entiu% 1
* GFD o %2s r2pido con & 3IG o & 3 <3 Ie debe ser utiliDado" & 3 le per%itir2 alcanDar varios cientos de !bps? pero la velocidad del bus & 3 li%itaciones le i%piden alcanDar la velocidad del cable

rendi%iento con dos tarMetas de red una Gbps"


Si usted es el hardware utiliDado para algo capaD de un rendi%iento Gigabit velocidad de cable en varios interfaces? consiga un nuevo servidor con un procesador de cuatro n;cleos y tarMetas de red & 3Ie y usted estar2 en buenas for%a" Si usted necesita e%puMar %2s de >++"+++ pa9uetes por segundo? 9ue puede e/ceder la capacidad de hardware de & para i%pulsar pa9uetes" onsulte Seccin ("1")"(? N.outer LA<N para %2s

de la infor%acin"

)"1")" aracterstica onsideraciones


La %ayora de las caractersticas no tienen en cuenta en el hardware de ta%a0o? aun9ue algunos tienen un i%pacto significativo en

la utiliDacin de hardware"

)"1")"(" Tablas Grandes @stado


La tabla de estado de servidor de seguridad es donde las cone/iones activas de red a trav6s del servidor de seguridad se realiDa un segui%iento? con cada cone/in consu%e un estado" @stados est2n cubiertos en %2s aptulo A? Servidor de seguridad" @ntornos 9ue re9uieren un gran n;%ero de cone/iones si%ult2neas Jy por lo tanto? estadosK

)*

Fardware

re9uiere .A! adicional" ada estado tiene apro/i%ada%ente ( Q# de %e%oria .A!" Tabla )"*? N@stado Grande
Tabla de onsu%o de .A! N proporciona una gua para la cantidad de %e%oria re9uerida para un gran n;%ero de estados" Tenga presente 9ue esto es slo la %e%oria utiliDada para el segui%iento del estado y el otro co%ponentes de pfSense se re9uieren por lo %enos *) a 1C !# de %e%oria .A! adicional en la parte superior de este y posible%ente

%2s? dependiendo de las caractersticas de uso" @stados (++?+++


>++?+++

.A! necesaria a ,B !# a 1CC !# a ,BA !# a ),++ !#

(?+++?+++
*?+++?+++

Tabla )"*" !esa grande del @stado de .A! onsu%o

)"1")")" '&< Jtodo tipoK


La pregunta la gente suele preguntar acerca de '&< es Ncu2ntas cone/iones puede %i hardware
%aneMar8 N@se es un factor secundario en la %ayora de las i%ple%entaciones? de %enor consideracin" @l principal

consideracin en el hardware de ta%a0o de '&< es el rendi%iento re9uerido"


@l cifrado y descifrado de tr2fico de red con todo tipo de '&< es %uy intensivo de la &H" pfSense ofrece seis opciones de cifrado para su uso con 3&sec: D@S? *D@S? #lowfish? ast()C? A@S y A@S )>A" Los siste%as de cifrado diferentes act;an de for%a diferente? y el %2/i%o rendi%iento de su servidor de seguridad depende del siste%a de cifrado utiliDado" *D@S es a%plia%ente utiliDado por su interoperabilidad con casi
todos los dispositivos 3&Sec? sin e%bargo? es el %2s lento de todos los siste%as de cifrado con el apoyo de pfSense en ausencia de

un acelerador de hardware criptogr2fico" Aceleradores criptogr2ficos de hardware? tales co%o cartas de apoyo Fifn gran au%ento %2/i%o de la '&<? y eli%inar en gran %edida la diferencia de rendi%iento entre los siste%as de cifrado" Tabla )"1? N.endi%iento de 3&sec por ipher I AL3GN %uestra el %2/i%o rendi%iento al siste%a de cifrado de hardware para & !otores AL3G JGeode de >++ !FDK con y sin un

SoeLris vpn(1(( acelerador criptogr2fico Fifn" &rotocolo de cifrado D@S *D@S #lowfish AST()C !2/i%o rendi%iento (*"B !bps C"1 !bps (A"> !bps (A"* !bps !2/i%o rendi%iento Jcon FifnK )1

*1"A !bps *1"* !bps

no acelerada Jsin ca%biosK

no acelerada Jsin ca%biosK

Fardware

&rotocolo de cifrado A@S A@S de )>A

!2/i%o rendi%iento (,"1 !bps (*"> !bps

!2/i%o rendi%iento Jcon FifnK *1") !bps *1") !bps

Tabla )"1" 3&Sec por ipher I AL3G


Tabla )">? N.endi%iento de 3&sec por &HN %uestra el %2/i%o rendi%iento de 3&sec por la &H para la siste%a de cifrado #lowfish? para ilustrar la capacidad de rendi%iento %2/i%o de &H diferentes" &H &entiu% 33 a *>+ AL3G J>++ !FDK &entiu% 333 B++ &entiu% 1 ("B GFD .endi%iento #lowfish J!bpsK ()"1 !bps (A"> !bps *)", !bps >*", !bps

Tabla )">" 3&Sec por &H


aceleradores de hardware criptogr2fico deben ser utiliDados en gran ancho de banda a trav6s de 3&sec es necesario?
e/cepto con &Hs dual o 9uad core? co%o las &Hs realiDar cifrado %2s r2pido 9ue un acelerador

evitando la co%unicacin en el bus & 3"

)"1")"*" &a9uetes
Algunos pa9uetes tienen un i%pacto significativo en los re9uisitos de hardware en su entorno"

)"1")"*"(" #ufido
Snort? el siste%a de deteccin de intrusiones en la red disponibles en el siste%a de pa9uetes pfSense? puede

re9uieren una cantidad significativa de %e%oria .A!? dependiendo de su configuracin" )>A !# debera

considerarse co%o un %ni%o? y algunas configuraciones pueden necesitar de ( G# o %2s"

)"1")"*")" ala%ar
S9uid es un pro/yIcach6 FTT& disponible co%o un pa9uete de pfSense servidor? y el disco @ 7 S es una consideracin i%portante para los usuarios de S9uid? ya 9ue deter%ina el rendi%iento de la cach6" &or el contrario? para la %ayora de los usuarios de pfSense es en gran %edida irrelevante? ya 9ue el ;nico i%pacto significativo 9ue la velocidad del disco tiene en pfSense es el %o%ento de arran9ue y el tie%po de actualiDacin? no tiene i%portancia para el rendi%iento de la red u otros

funciona%iento nor%al"

)>

Fardware

@n a%bientes pe9ue0os? incluso para S9uid? cual9uier unidad de disco duro es suficiente" &ara i%ple%entaciones %2s de )++ usuarios
usando S9uid? usted debe considerar (+Q .&! SATA o discos S S3" Htilice (>Q .&! S S3 o SAS

discos para un %eMor rendi%iento en entornos de gran ta%a0o"


pfSense soporta la %ayora de los controladores .A3D de hardware 9ue se encuentran en el hardware del servidor" @l uso de .A3D (+ en sus arreglos .A3D puede %eMorar a;n %2s el rendi%iento del cala%ar? y se reco%ienda 9ue

para despliegues con %iles de usuarios"

)A

aptulo *" 3nstalacin y actualiDacin


@l hardware ha sido elegido? Munto con la versin de pfSense y la platafor%a a utiliDar" Ahora
es el %o%ento de descargar la versin apropiada pfSense e instalarlo en el dispositivo de destino" Despu6s de descargar la versin correcta? contin;e con la seccin 9ue describe la instalacin de la platafor%a 9ue ha sido elegido: 3nstalacin co%pleta o @%bedded" Si tiene alg;n proble%a durante el proceso?

ver Seccin *">? NSolucin de proble%as de instalacinN adelante en este captulo"


@n este captulo? ta%bi6n habla%os de %6todos de instalacin de recuperacin y c%o actualiDar pfSense" .ecuperacin de las instalaciones JSeccin *"A? NLa recuperacin de la instalacinNK Son for%as de volver a instalar pfSense con una configuracin e/istente? por lo general con %ni%o tie%po de inactividad" ActualiDacin de pfSense JSeccin *"B? NActualiDacin de una instalacin e/istenteNK !antendr2 el siste%a actual? a0adir nuevas funciones? o fiMar errores" La actualiDacin es un proceso bastante indoloro 9ue puede realiDarse de varias %aneras diferentes"

*"(" Descarga de pfSense


@/a%inar para www"pfsense"org [http:77www"pfsense"org\ S haga clic en el Descargas enlace" @n el
p2gina de descargas? haga clic en el enlace para las nuevas instalaciones" @sto llevar2 a la p2gina de seleccin de espeMo" @liMa un espeMo geogr2fica%ente cerca de su ubicacin para un %eMor rendi%iento" Hna veD 9ue el espeMo ha sido seleccionado? una lista de directorios aparecer2 con los archivos de la versin actual pfSense para las nuevas instalaciones" &or Live D o instalaciones co%pletas? descargue el . Iso archivo" @l no%bre de la versin (")"* del archivo es pfSense-1.2.3-LiveCD-Installer.iso" Ta%bi6n hay un archivo !D> a disposicin por la %is%o no%bre? pero 9ue ter%inan en . Md5" @ste archivo contiene un valor hash de la 3S:? 9ue puede ser utiliDado para

garantiDar la descarga co%pleta correcta%ente" &ara las instalaciones incrustadas? descargue el . Img.gz archivo" @l no%bre de la versin (")"* del archivo es pfSense-1.2.3-nanobsd-tamao. Img.gz? Donde tamao es uno de los >()!? (G? )G? 1G o?
para refleMar el ta%a0o de la tarMeta F para el 9ue se pretende 9ue la i%agen Jlos ta%a0os est2n en ! de %egabyte y G de gigabyteK" <or%al%ente usted desea hacer coincidir el ta%a0o de la i%agen al ta%a0o de su tarMeta F? pero se puede utiliDar una i%agen de %enor ta%a0o en una tarMeta F %2s grande? co%o una i%agen de (G a )G La tarMeta F" @ste archivo es una i%agen co%pri%ida con gDip" <o es necesario e/traer el archivo? ya 9ue el proceso de instalacin

describen %2s adelante en este captulo se encargar2 de eso"


Si en cual9uier punto de la instalacin de algo no va co%o se describe? visita Seccin *">?

NSolucin de proble%as de instalacinN"

)B

3nstalacin y actualiDacin

*"("(" 'erificacin de la integridad de la descarga


@l archivo !D> 9ue aco%pa0an pueden ser utiliDados para verificar la descarga se co%plet correcta%ente? y 9ue el lanDa%iento oficial se est2 utiliDando"

*"("("(" 'erificacin !D> en =indows


Los usuarios de =indows pueden instalar FashTab [http:77beeblebro/"org7hashtab7\ o un progra%a si%ilar al Fashes !D> vista de cual9uier archivo" on FashTab instalados? haga clic derecho sobre el archivo descargado y habr2 una pesta0a File Fashes 9ue contiene el hash !D>? entre otros" @l !D> generado

hash se puede co%parar con el contenido de la . Md5 archivo descargado desde el sitio web de pfSense? 9ue se puede ver en cual9uier editor de te/to sin for%ato co%o #loc de notas"

*"("(")" !D> de verificacin en #SD y Linu/


@l co%ando %d> viene de serie en Free#SD? y %uchos otros H<3G y H<3GIco%o
siste%as operativos" Hn hash !D> puede ser generada %ediante la eMecucin del siguiente co%ando de

en el directorio 9ue contiene el archivo descargado: #!d" pfSense-1.2.3-#i$e%D-&nstaller.iso


o%parar el hash resultante con el contenido de la . Md5 archivo descargado desde el pfSense

p2gina web" JSiste%as G<H o Linu/ proporciona un co%ando %d>su% 9ue funciona de %anera si%ilar"K

*"("("*" !D> de verificacin en :S G


:S G ta%bi6n incluye el co%ando %d> co%o Free#SD? pero ta%bi6n hay aplicaciones de interfaD gr2fica de usuario disponibles? tales co%o !D> de Tor%entas @terno [http:77www"eternalstor%s"at7%d>7\"

*")" 3nstalacin co%pleta


@n esta seccin se describe el proceso de instalacin de pfSense en un disco duro" @n pocas palabras? se trata de el arran9ue desde el Live D? realiDar algunas configuraciones b2sicas? y luego invocar el instalador desde el D" Si tiene proble%as al tratar de arrancar o instalar desde el D? consulte Seccin *">?

NSolucin de proble%as de instalacinN adelante en este captulo"

<ota
Si el hardware de destino no tiene una unidad de DI.:!? un e9uipo diferente puede se utiliDa para instalar en el disco duro de destino" 'er otras t6cnicas de instalacin

JSeccin *"1? Notras t6cnicas de la instalacinNK para %2s infor%acin"

)C

3nstalacin y actualiDacin

*")"(" &reparacin de los D


@l D tendr2 9ue ser 9ue%ado de la i%agen 3S: descargada en la seccin anterior" Desde
el archivo descargado es una i%agen de D? tendr2 9ue ser 9ue%ados apropiada%ente para archivos de i%agen I

no co%o un D de datos 9ue contiene el archivo 3S: solo" &rocedi%ientos para hacerlo vara seg;n la :S y software disponible"

*")"("(" Ardor en =indows


&r2ctica%ente todos los principales 9ue%a de D pa9uete de software para =indows incluye la posibilidad de grabar 3%2genes 3S:" onsulte la docu%entacin del progra%a de grabacin de D 9ue se utiliDa" Hna b;s9ueda en Google

con el no%bre del software de grabacin y N'(e!ar isoNDebera ayudar a localiDar las instrucciones"

*")"("("(" Grabacin con <ero


@s f2cil de grabar i%2genes 3S: con <ero" o%ience haciendo clic derecho sobre el archivo 3S:? a continuacin? haga clic en Abrir on y seleccione <ero" La pri%era veD 9ue se hace esto? puede 9ue sea necesario para seleccionar @liMa &redeter%inado &rogra%a de <ero y luego elegir de la lista" @ste %is%o proceso se debe trabaMar con otros co%erciales

Software para 9ue%ar D"

*")"("(")" Grabacin con el 3S: .ecorder


Si utiliDa =indows G&? )++* o 'ista? la libre disposicin 3S: .ecorder [http:77 \ 3sorecorder"ale/fein%an"co% herra%ienta puede ser utiliDada" Descargar e instalar la versin adecuada de la nor%a 3S: .ecorder para el siste%a operativo 9ue se utilice? a continuacin? bus9ue la carpeta en la unidad

9ue contiene la nor%a 3S: pfSense? haga clic derecho sobre 6l y haga clic en la i%agen opiar a D"

*")"("("*" :tros software de grabacin gratuito


:tras opciones gratuitas para los usuarios de =indows incluyen D#urnerG& [http:77www"cdburner/p"se7 \? 3nfra.ecorder [Fttp:77infrarecorder"org7\ S burnatonce J#A:K [http:77www"burnatonce"net7 descargas 7\? @ntre otros" Antes de descargar e instalar cual9uier progra%a? co%probar su funcin

lista para asegurarse de 9ue es capaD de grabar una i%agen 3S:"

*")"(")" Ardor en Linu/


distribuciones de Linu/ co%o Hbuntu suelen incluir alg;n tipo de interfaD gr2fica de usuario de aplicaciones de grabacin de D 9ue puede %aneMar i%2genes 3S:" Si uno se integra con el gestor de ventanas? haga clic derecho en la Archivo 3S: y seleccione Grabar disco de" :tras opciones populares incluyen Q*# y #rasero Disc #urner"

),

3nstalacin y actualiDacin

Si no hay una aplicacin gr2fica 9ue%a instalado? a;n es posible grabar desde el
de lnea de co%andos" @n pri%er lugar? deter%inar el dispositivo de grabacin de S S3 3D 7 LH< JLogical Hnit <u%berK con

el siguiente co%ando: #cdrecord - scan)(s Cdrecord-Clone 2.01 (i686-pc-linux-gnu) Copyright (C) 1995-2004 Jrg Schilling Linux versin del controlador sg: 3.1.25 Al usar la versin libscg 'Schily-0.8'. scsibus0: 0,0,0 100 'LITE-ON') 'COMBO LTC-48161H' KH0F 'extrable de CD-ROM

Tenga en cuenta el S S3 3D 7 LH< 0,0,0" Grabar la i%agen co%o en el eMe%plo siguiente? ree%plaDando <Max > Velocidad con la velocidad de la hornilla y lun con el 3D S S3 7 LH< del grabador: #cdrecord - de$ *lun - +elocidad *speed> <mximo , pfSense-1.2.3-#i$e%D-&nstaller.iso

*")"("*" Ardor en Free#SD


Free#SD incluye el progra%a burncd en su siste%a base 9ue puede utiliDarse para grabar i%2genes 3S: co%o tal" #)(rncd-s e-!a- datos fi.ar pfSense-1.2.3-#i$e%D-&nstaller.iso &ara obtener %2s infor%acin sobre la creacin de D en Free#SD? por favor? consulte la entrada de grabacin de D en el !anual de Free#SD en http:77www"freebsd"org7doc7en7booLs7handbooL7creatingIcds"ht%l"

*")"("1" 'erificacin de la D
Ahora 9ue el D est2 preparado? co%pruebe 9ue se ha grabado correcta%ente consultando los archivos contenidos en el D" !2s de )+ carpetas deben ser visibles? incluyendo depsito? de arran9ue? v6ase? conf? y %ucho %2s" Si slo un archivo 3S: grande 9ue se ve? el D no se ha grabado correcta%ente" .epita los pasos indicados anterior%ente para grabar un D? y aseg;rese de grabar el archivo 3S: co%o una i%agen de D y no co%o un archivo de datos"

*")")" Arrancando desde el D


Ahora el poder en el siste%a de destino y colocar el D en la unidad" pfSense debe e%peDar a arrancar? y %ostrar el resultado de una asignacin de interfaces del siste%a 9ue se trata en una seccin siguiente"

*+

3nstalacin y actualiDacin

*")")"(" @specificacin de la :rden de arran9ue en la #3:S


Si el siste%a de destino no arran9ue desde el D? la raDn %2s probable es 9ue la unidad de DI.:!
no era lo suficiente%ente te%prano en la lista de %edios de arran9ue en la #3:S" !uchas placas base %2s nuevas ta%bi6n per%iten

la educacin de un %en; de arran9ue una veD se pulsa una tecla durante el &:ST? co%;n%ente @sc o F()"
@n su defecto? ca%biar el orden de arran9ue en la #3:S" @n pri%er lugar el poder? en el siste%a y entrar en el #3:S de configuracin" @s tpica%ente encontrado en una prioridad de arran9ue o la partida de inicio? pero podra estar en cual9uier lugar" Si arrancar desde el DI.:! no est2 habilitado? o tiene una prioridad %2s baMa 9ue el arran9ue desde el disco duro y la unidad contiene otro siste%a operativo? el siste%a no arran9ue desde el D de pfSense" onsulte el

placa %anual para obtener infor%acin %2s detallada en la %odificacin de la orden de inicio"

*")"*" Asignacin de interfaces


Despu6s de 9ue el Live D pfSense ha co%pletado el proceso de arran9ue? el siste%a le pedir2 para la interfaD asignacin co%o en Figura *"( N? pantalla de asignacin de interfaDN" A9u es donde las tarMetas de red instalado en el siste%a reciben sus funciones co%o =A<? LA<? e interfaces opcionales J:&T(?

:&T) """ :&T<K"

Figura *"(" 3nterfaD de pantalla de asignacin de

*(

3nstalacin y actualiDacin

Hna lista de las interfaces de red y sus direcciones !A 9ue se encuentra en el siste%a aparecer2? Munto con una indicacin de su estado de vnculos si 9ue es co%patible con la tarMeta de red" @l estado de los vnculos se denota por NJarribaKN 9ue aparece despu6s de la direccin !A si un enlace se detecta en esa interfaD" La !A J!edia Access ontrolK de una tarMeta de red es un identificador ;nico asignado a cada tarMeta? y no hay dos tarMetas de red deben tener la %is%a direccin !A " J@n la pr2ctica? esto no es bastante duplicacin cierto? la direccin !A se produce con bastante frecuencia"K Despu6s de eso? un %ensaMe aparecer2 para La configuracin de 'LA<" Si se desean las 'LA<? consulte aptulo (+? LA< virtuales J'LA<K %2s adelante en

el libro de los detalles de su configuracin y uso" De lo contrario? escriba n y pulse @nter"


La interfaD LA< est2 configurada en pri%er lugar" o%o pfSense (")"* re9uiere al %enos dos tarMetas de red? un dile%a 9ue se presente: 4 %o saber cu2l es cu2l8 Si la identidad de cada tarMeta ya est2
conocida? si%ple%ente escriba los no%bres de los dispositivos adecuados para cada interfaD" Si la diferencia entre

tarMetas de red es desconocida? la for%a %2s sencilla de resolverlo sera utiliDar la deteccin auto%2tica

funcin"
&ara la asignacin auto%2tica de interfaD? en pri%er lugar desconecte todos los cables de la red del siste%a? a continuacin? escriba (na y pulse @nter" Ahora conectar un cable de red en la interfaD 9ue debe conectarse a la LA<?
y pulse @nter" Si todo ha ido bien? pfSense debe saber ahora 9ue la interfaD a utiliDar para la

LA<" @l %is%o proceso se puede repetir para la =A< y las interfaces opcionales 9ue se le sea necesario" Si aparece un %ensaMe co%o <o vinculacin detecta? consulte la Seccin *">? N3nstalacin

Solucin de proble%as N &ara obtener %2s infor%acin sobre la separacin de las identidades de tarMeta de red"
Despu6s de las interfaces se han configurado? aparecer2 un %ensaMe pidiendo Quieres continuar?" Si la asignacin de interfaD de red aparece tipo correcto? /? A continuacin? presione @<T.A." Si el

cesin no es correcto? el tipo n y pulse @nter para repetir este proceso"

*")"1" 3nstalacin en el disco duro


Hna veD 9ue la asignacin de interfaD es co%pleta? aparecer2 un %en; con las tareas adicionales 9ue puedan llevar a cabo" &ara instalar pfSense en el disco duro del siste%a? seleccione la opcin 99 9ue

poner en %archa el proceso de instalacin"


La pri%era pantalla 9ue aparece le pedir2 9ue %odifica configuracin de la consola" A %enos 9ue un idio%a alternativo

teclado se est2 utiliDando? eliMa aceptar esta configuracin y pasar al siguiente paso"
A continuacin? una lista de tareas se presentar2" Si slo hay un disco duro instalado en el siste%a y no es necesario configurar las opciones de encargo? r2pido 7 instalacin sencilla se puede elegir" @sto la instalacin en el pri%er disco duro se encuentra y acepta todas las opciones por defecto" Hn di2logo de confir%acin se %ostrar2" &ulse Aceptar para continuar o ancelar para volver al %en; anterior" La instalacin

continuar2 y 9ue slo deMe para solicitar 9ue el n;cleo debe ser instalado"

*)

3nstalacin y actualiDacin

Si decide utiliDar el 5uicL 7 opcin de instalacin sencilla? vaya a Tabla *"(? N:pciones del LernelN de
opciones del Lernel" De lo contrario? elige la pri%era opcin: 3nstalar pfSense para realiDar una instalacin personaliDada

y continuar por el resto de esta seccin"


Ahora escoMa el disco duro para 9ue pfSense se instalar2" ada unidad de disco duro conectado a la siste%a debe ser %ostrado? Munto con los vol;%enes .A3D ad%itido o g%irror" Seleccione la unidad con las flechas arriba y abaMo? a continuacin? presione @<T.A." Si no hay unidades se encuentran o son las unidades de disco incorrecta se %uestra? es posible 9ue la unidad deseada est2 conectado a un controlador co%patible o un controlador establecido para un %odo de no ad%itidos en el #3:S" 'er Seccin *">? NSolucin de proble%as de instalacinN de

ayudar"
@l siguiente paso es for%atear la unidad 9ue fue elegido Musto" A %enos 9ue se sabe con certeDa 9ue el unidad contiene una particin de Free#SD utiliDable? seleccione For%ato de este disco y pulse enter" De lo contrario? elegir :%itir este paso" uando se present la pantalla de la geo%etra del disco? es %eMor elegir utiliDar esta geo%etra" @s posible ree%plaDar este si hay %2s valores correctos son conocidos? pero en la %ayora de los casos los valores por defecto son correctos" Hna pantalla de confir%acin aparecer2? %o%ento en el 9ue la unidad de for%ato O

opcin na%eP debe ser elegido para continuar"

<ota
@ste es un buen lugar para parar y asegurarse de 9ue la unidad correcta ha sido seleccionada? co%o

no hay vuelta atr2s una veD 9ue esta accin se ha realiDado" Todo en el el disco se destruir2n"
el arran9ue dual con otro siste%a operativo es posible 9ue los usuarios avanDados 9ue saben configurar %anual%ente esas cosas? pero este tipo de configuraciones no se ad%iten oficial%ente y se

<o se detallan a9u"


&articionado se indica? y si%ple%ente debe aceptar los valores predeter%inados eligiendo Aceptar y rear?

a continuacin? eliMa S? la particin en la siguiente pantalla"


Hn siste%a se %uestra a continuacin para la instalacin de blo9ues de arran9ue" @sto es lo 9ue per%itir2 9ue el disco duro para arrancar" 3nstalacin de blo9ues de arran9ue ya estar2 seleccionada Japarece una G en la colu%na Munto a la unidad 9ue se configuradoK" &a9uete %odo puede o puede no ser necesario? dependiendo de la co%binacin de hardware en uso" Algunos de hardware %2s nuevo y %2s grande discos funcionar2n %eMor con el %odo pa9uetes habilitado y hardware antiguo puede preferir el %odo pa9uetes con discapacidad" DeMa los valores por defecto seleccionado a %enos 9ue no
trabaMo en el siste%a por alguna raDn" A continuacin? seleccione Aceptar y blo9ues de arran9ue de instalacin y pulse @nter"

Hn cuadro de confir%acin aparecer2 con el resultado de ese co%ando? y si se logr la prensa? introduDca

una veD %2s para continuar"


Seleccione la particin en la 9ue instalar pfSense en la siguiente pantalla 9ue aparece" Si los valores por defecto se utiliDaron co%o se sugiere? no es probable 9ue slo una opcin" Si aparecen varias opciones? eliMa la

**

3nstalacin y actualiDacin

9ue se cre para pfSense" :tra ventana de confir%acin de presentacin de infor%es del 6/ito del proceso de for%ateo"
Subparticiones ahora se pueden crear? pero de nuevo los valores por defecto en esta pantalla ser2 aceptable para

casi todos los usos" Algunas personas prefieren tener subparticiones separado para / Var?/ Tmp? S as sucesiva%ente? pero
esto no es necesario? y no debe hacerlo a %enos 9ue tenga un conoci%iento considerable de los re9uisitos de espacio especfico para su instalacin" Si va a realiDar una instalacin co%pleta de flash

los %edios de co%unicacin co%o base una tarMeta F o disco HS#? aseg;rese de retirar la de intercambio particin" Facer los ca%bios deseados? a continuacin? seleccione Aceptar y rear"
Ahora si6ntese y espere? espere? y tienen unos pocos sorbos de caf6 %ientras 9ue el proceso de instalacin de copias pfSense a la ubicacin de destino" Despu6s de 9ue el proceso de instalacin ha finaliDado su trabaMo? hay una indicacin final para seleccionar el Lernel para instalar en el siste%a de destino" Fay cuatro opciones disponibles? cada uno con

sus propios fines: Qernel tipo !ultiprocesa%iento si%6trico del n;cleo <;cleo %onoprocesador @%bebido n;cleo Los desarrolladores del Lernel :bMetivo 7 Descripcin Se utiliDa para los siste%as 9ue tienen varios n;cleos o procesadores" Se utiliDa para los siste%as 9ue tienen un solo procesador Deshabilita 'GA de la consola y el teclado? usa consola serie" 3ncluye opciones de depuracin ;til para los desarrolladores"

Tabla *"(" Las opciones del Lernel


@n caso de duda? ya sea el n;cleo %onoprocesador JH&K o el n;cleo de %ultiprocesa%iento si%6trico
JS!&K debera funcionar? sin i%portar el n;%ero de procesadores disponibles" Fay te%as poco frecuentes en

cierto hardware? independiente%ente del n;%ero de procesadores? no funcionar2 de for%a fiable? o en absoluto con el n;cleo %onoprocesador? pero funciona bien con el Lernel S!&? as co%o viceversa" @n caso de 9ue

proble%as? intente ca%biar su n;cleo de leche desnatada en polvo a %onoprocesador o viceversa"


uando la instalacin haya finaliDado? seleccione .einiciar y? a continuacin? una veD reiniciado el siste%a? 9uite

el D antes de 9ue el proceso de arran9ue co%ienDa" Felicidades? pfSense est2 total%ente instaladoX

*1

3nstalacin y actualiDacin

*"*" @%bebido de instalacin


La versin incorporada se lanDa co%o una i%agen de disco? 9ue debe ser escrito a una o%pact Flash tarMeta J FK physdisLwrite utiliDando o dd" Despu6s de la i%agen est2 escrito? 9ue se coloca en la %eta dispositivo y configurar"

<ota
Tenga %ucho cuidado al hacer estoX Si se trata de eMecutar esto en una %29uina 9ue contiene otros
unidades de disco duro es posible seleccionar la unidad e9uivocada y sobrescribir una parte de ese unidad con pfSense" @sto deMa el disco co%pleta%ente ilegible? salvo para ciertos progra%as de recuperacin de disco? y 9ue es golpeado y se pierda en el %eMor" physdisLwrite para =indows contiene una revisin de seguridad 9ue no per%ite sobrescribir una unidad %2s grande de C++ !# sin una opcin especfica en la lnea de co%andos" La %anera %2s segura de instalar pfSense a un F es a trav6s de la redireccin de HS# con '!ware? discutido %2s adelante en este captulo en la instalacin de t6cnicas alternativas para la seccin JSeccin *"1? N3nstalacin Alternativa

T6cnicas NK" Hna veD %2s? sea %uy cuidadoso al hacer estoX Fago hincapi6 en esto por9ue s6 de varios
personas 9ue han escrito %al un disco y sobrescribe el disco duro" @sto puede suceder a nadie? incluido el otro fundador de pfSense? 9ue accidental%ente sobrescribi su

( T# de datos de unidad en lugar de su F con una i%agen de pfSense"

*"*"(" 3nstalacin incorporado en =indows


@l progra%a physdisLwrite por !anuel Qasper? autor de %+n+wall? es el %edio preferido de la escritura de la i%agen pfSense a F en =indows" &uede ser descargarse del sitio web %+n+wall [http:77%+n+"ch7wall7physdisLwrite"php\" Gu2rdelo en alg;n lugar de la & en uso? tales co%o C: \ Herramientas u otra ubicacin conveniente" Si se elige otra ubicacin? sustituya C: \ herramientas en

el eMe%plo con el directorio en el physdiskwrite.exe se ha colocado"

<ota
Ta%bi6n hay disponible una interfaD gr2fica de usuario para physdisLwrite lla%ado &hysGH3? pero slo el

versin disponible de este escrito fue en ale%2n" Dicho esto? la interfaD gr2fica de usuario es si%ple suficiente para el uso 9ue puede 9ue no sea una barrera para %uchas personas" De hecho? puede resultar %2s f2cil de usar? incluso en un idio%a e/tranMero? 9ue la versin de lnea de co%andos se encuentra en 3ngl6s" &or eMe%plo? la identificacin de los dispositivos adecuados es una tarea %ucho %2s si%ple" @s

Ta%bi6n est2n disponibles en el sitio web de %+n+wall"

*>

3nstalacin y actualiDacin

@n =indows 'ista o =indows B? physdisLwrite debe ser lanDado desde un s%bolo del siste%a de eMecucin
co%o ad%inistrador" Si%ple hecho de tener derechos de ad%inistrador no es suficiente" La for%a %2s sencilla de hacer esto

es hacer clic en el botn 3nicio? a continuacin? escriba c!d en el cuadro de b;s9ueda" Faga clic en cmd.exe cuando
aparece y seleccione @Mecutar co%o ad%inistrador" @l progra%a physdisLwrite continuacin? se puede eMecutar desde 9ue el s%bolo del siste%a sin ning;n proble%a" @Mecutarlo desde un s%bolo del siste%a 9ue no ha

eMecutar co%o ad%inistrador se dar2 lugar a ning;n disco 9ue se encuentra" &ara utiliDar physdisLwrite? en pri%er lugar iniciar un s%bolo del siste%a" A continuacin? ca%bie al directorio 9ue contiene physdiskwrite.exe y eMecutarlo seguido por el
ruta de acceso al pfSense.img.gz archivo descargado antes" Despu6s de eMecutar el co%ando? un %ensaMe con una lista de unidades conectadas al siste%a aparecer2" La %anera %2s segura para garantiDar la unidad correcta

es elegido sera eMecutar physdisLwrite antes de insertar el registro F? la salida? a continuacin? pulse trl b para salir" 3nserte la tarMeta F y eMecutar physdisLwrite nuevo? co%parar la salida a la anterior
de eMecucin" @l disco se %uestra ahora 9ue no se haba de%ostrado es la fibrosis 9ustica" @l n;%ero de cilindros

JN ilindrosN de la produccin physdisLwriteK ta%bi6n se puede utiliDar para ayudar a indicar la unidad apropiada" Los >() !#
F utiliDado en el eMe%plo siguiente se cuenta con A* cilindros? %ientras 9ue los discos duros tienen %2s de *+"+++"

Asi%is%o? recuerda 9ue physdisLwrite tiene un %ecanis%o de seguridad 9ue no se sobreponen a un disco %2s grande de ) G#? sin especificar -U despu6s del co%ando physdisLwrite" Tras seleccionar el disco a escribir? physdisLwrite a escribir la i%agen" @sto to%ar2 entre
de dos a dieD %inutos en una %29uina r2pida con HS# )"+ y HS# )"+ escritor F" Si el siste%a o escritor de F es slo HS# ("(? espera%os 9ue to%e varias veces %2s largo debido a la velocidad %uy baMa de

HS# ("(" @l siguiente es un eMe%plo pr2ctico del uso de physdisLwrite para escribir una i%agen pfSense" Microsoft Windows [Versin 6.0.6001] Copyright (c) 2006 Microsoft Corporation. Todos los derechos reservados. C: \ Windows \ system32> cd , tools C: \ Herramientas> p0/sdis12rite.e-e c: , te!p , pfSense-1.2.3-nano)sd-"123.i!g.g4 physdiskwrite v0.5.1 por Manuel Kasper <mk@neon1.net> La bsqueda de unidades fsicas ... Informacin para \ \ \ Windows: cilindros: TPC: SPT: PhysicalDrive0.: 36481 255 63

*A

3nstalacin y actualiDacin

Informacin para \ \ \ Windows: cilindros: TPC: SPT: Informacin para \ \ \ Windows: cilindros: TPC: SPT:

PhysicalDrive1.: 30401 255 63 PhysicalDrive2.: 63 255 63

Informacin para \ \ \ PhysicalDrive3.: DeviceIoControl () fall en \ \. \ PhysicalDrive3. Informacin para \ \ \ PhysicalDrive4.:


DeviceIoControl () fall en \ \. \ PhysicalDrive4.

Informacin para \ \ \ PhysicalDrive5.:


DeviceIoControl () fall en \ \. \ PhysicalDrive5.

Informacin para \ \ \ Windows: cilindros: TPC: SPT: Informacin para \ \ \ Windows: cilindros: TPC: spt:

PhysicalDrive6.: 30515 255 63 PhysicalDrive7.: 0 0 0

Qu disco quieres escribir? (0 .. 7) 2 Acerca de sobreescribir el contenido del disco 2 con nuevos datos. Desea continuar? (Y / n) / Que se encuentran comprimidos archivo de imagen 122441728 / 122441728 bytes escritos en total C: \ Herramientas> Despu6s de physdisLwrite ha co%pletado? el F se puede 9uitar de la escritora y se coloca en el obMetivo de hardware"

*B

3nstalacin y actualiDacin

<ota
@l escrito contiene F #SD particiones for%ateadas siste%a de archivos 9ue no se pueden leer
en =indows" =indows recla%ar2 la unidad necesita ser for%ateado debe intentar para acceder a ella" <o hacerlo? slo tiene 9ue %over el F para el hardware de destino" <o hay

%anera de ver el contenido del escrito F en =indows"

*"*")" 3nstalacin incorporado en Linu/


instalacin incorporado en Linu/ se logra por %edio de tuberas gunDip la salida de la i%agen a dd" #pfSense g(n4ip-c-1.2.3-nano)sd.i!g.g4 5 dd of * 6 de$ 6 0dX )s * 161 donde X especifica el no%bre del dispositivo 3D@ de la tarMeta F o disco 3D@ Jconsulte con 0dpar! i 6 de$ 6 0dXK I Algunos adaptadores? en particular? HS#? pueden aparecer baMo e%ulacin S S3 co%o / dev / sdX" <o haga caso de la advertencia sobre la final de basura I 9ue es por la fir%a digital"

*"*"*" 3nstalacin integrado en Free#SD


gDip hilo a dd a escribir la i%agen a F en Free#SD" Antes de e%peDar? tendr2 9ue conocer el no%bre del dispositivo 9ue corresponde a la tarMeta F en uso" Si F un disco duro oIaI3D@ adaptador se utiliDa? puede ser un anuncios dispositivo? co%o ad0" o%pruebe la salida de d%esg o / var / log / messages" Si un lector HS# F se est2 utiliDando? puede ser una da dispositivo? co%o da0? de verificacin / Var / log / messages despu6s de conectar el lector de tarMetas? se debe infor%ar 9ue el dispositivo Se a0adi"
&ara la i%agen de la tarMeta? usted debera ser capaD de desco%pri%ir la i%agen y copiarla a la tarMeta en un solo paso: #pfSense g4ip-dc-1.2.3-nano)sd.i!g.g4 5 dd of * 6 de$ 6AdX o)s * 671

<o haga caso de la advertencia sobre la final de basura I 9ue es por la fir%a digital" Si la i%agen se 9ueda corta o errores despu6s de slo la transferencia de una pe9ue0a cantidad de datos? es posible necesidad de desco%pri%ir la pri%era i%agen: #g(n4ip pfSense-1.2.3-nano)sd.i!g.g4 #dd if * pfSense-1.2.3-nano)sd.i!g of * 6 de$ 6AdX o)s * 671

*C

3nstalacin y actualiDacin

*"*"1" 3nstalacin incorporado en !ac :S G


@ste proceso ha sido probado en !ac :S G (+"*", y versiones posteriores? hasta e incluyendo la nieve
Leopard7(+"A" Se reco%ienda 9ue desconecte todos los discos? e/cepto para el disco de inicio antes de llevar a cabo este procedi%iento? co%o un error en la especificacin de la unidad 9ue se escriben podran ocasionar 9ue los datos

p6rdida" U onecte su lector de F con la tarMeta F insertada" U Si el !ac :S G aparece un %ensaMe diciendo 9ue la tarMeta no se puede leer? haga clic en 3gnorar" U Abrir Htilidad de Discos"
U Seleccione las particiones de tu tarMeta F 9ue se %ontan? y haga clic en el botn de des%ontar" La

particiones debe aparecer ahora en gris" U Seleccione el lector de tarMetas F en la colu%na de la iD9uierda? y haga clic en el botn de infor%acin" U Tenga en cuenta el N3dentificador de disco: por eMe%plo? ^DisL(" U Abre Ter%inal" U 'aya al directorio 9ue contiene la i%agen pfSense" U Htilice este co%ando? en sustitucin de disco [n] con el disco de identificador 9ue se encuentran por enci%a de: #g4cat pfSense-1.2.3-nano)sd.i!g.g4 5 dd of * 6 de$ 6disco [n] )s * 161 Ta%bi6n e/iste la siguiente alternativa para lograr esto por co%pleto de la lnea de co%andos" $lista dis1(til / Dev/disk0 #: TAMAO TIPO NOMBRE DE IDENTIFICACIN 0: GUID_partition_scheme * 298.1 Gi disk0 1: EFI 200.0 Mi disk0s1 2: Apple_HFS Macintosh HD 297.8 Gi disk0s2 / Dev/disk1 #: TAMAO TIPO NOMBRE DE IDENTIFICACIN 0: CD_partition_scheme 30 das a Gran Francs * 521.4 Mi disk1 1: CD_DA 7.8 Mi disk1s1 2: CD_DA 7.8 Mi disk1s2 3: 18,2 CD_DA Mi disk1s3 4: CD_DA 13.8 Mi disk1s4 5: CD_DA 14.0 Mi disk1s5

*,

3nstalacin y actualiDacin

6: CD_DA 12.1 Mi disk1s6


7: CD_DA 14.2 Mi disk1s7 8: CD_DA 21.5 Mi disk1s8 9: CD_DA 16.6 Mi disk1s9

10: CD_DA 14.7 Mi disk1s10


11: 12: 13: 14: 15: 16: 17: 18: 19: 20: 21: 22: 23: 24: 25: 26: 27: 28: 29: 30: CD_DA CD_DA CD_DA CD_DA CD_DA CD_DA CD_DA CD_DA CD_DA CD_DA CD_DA CD_DA CD_DA CD_DA CD_DA CD_DA CD_DA CD_DA CD_DA CD_DA 24.3 16.6 22.4 14.7 20.5 19.4 15.3 17.9 18.2 16.0 26.8 18.8 21.7 14.5 22.2 16.7 20.9 16.0 20.8 17.1 Mi Mi Mi Mi Mi Mi Mi Mi Mi Mi Mi Mi Mi Mi Mi Mi Mi Mi Mi Mi disk1s11 disk1s12 disk1s13 disk1s14 disk1s15 disk1s16 disk1s17 disk1s18 disk1s19 disk1s20 disk1s21 disk1s22 disk1s23 disk1s24 disk1s25 disk1s26 disk1s27 disk1s28 disk1s29 disk1s30

/ Dev/disk2 #: TAMAO TIPO NOMBRE DE IDENTIFICACIN 0: GUID_partition_scheme * 90.0 Mi disk2 1: Apple_HFS Procesamiento de 90.0 Mi disk2s1 / Dev/disk3
#: TAMAO TIPO NOMBRE DE IDENTIFICACIN

0: FDisk_partition_scheme * 978.5 Mi disk3 1: DOS_FAT_32 UNTITLED 978.4 Mi disk3s1 $dis1(til (!o(nt dis13s1 $g4cat pfSense-e!)edded.i!g.g4 5 dd of * 6 de$6dis13s1 )s * 161 7665 registros en un 7665 un registro de 125587456 bytes transferidos en 188.525272 secs (666157 bytes / seg)

1+

3nstalacin y actualiDacin

*"*">" FinaliDacin de la instalacin incorporado


Ahora 9ue el F contiene una i%agen de pfSense? puede ser colocado en el dispositivo de destino? pero todava puede
necesita alguna configuracin" Los usuarios de Ali/ y SoeLris >>+( hardware puede saltarse esta seccin? co%o 9ue utiliDan vr J1K controladores en red? y supone la instalacin por defecto i%plcitos 9ue vr+ es LA< y =A< es '.(" @stos puertos deben estar eti9uetados en el hardware" Si desea volver a asignar

estas interfaces de la consola en lugar de la =ebGH3? seguir adelante"

*"*">"(" onecte un cable serie


@n pri%er lugar? una %de% nulo [http:77en"wiLipedia"org7wiLi7<ull_%ode%cable serie\ debe estar conectado entre el dispositivo y una & " Dependiendo del puerto serie y cable 9ue se utiliDa? un cable serie ca%biador de g6nero [http:77en"wiLipedia"org7wiLi7Gender_changer\ Ta%bi6n puede ser necesario para 9ue coincida con los puertos disponibles" Si un cable de %de% nulo de serie real no est2 disponible? ta%bi6n hay de %de% nulo

adaptadores 9ue convierten un cable serie est2ndar en un cable de %de% nulo"

*"*">")" 3nicie un cliente de serie


@n el & se utiliDa para configurar el dispositivo incorporado? un progra%a cliente de serie debe ser utiliDado" Algunos clientes son populares para =indows Fyperter%inal? 9ue debera estar en casi cual9uier G& instalacin? y &uTTS [Fttp:77www"chiarL"greenend"org"uL7 a sgtatha% 7 %asilla 7\? 5ue es gratuito y %ucho %2s fiable" @n Linu/? minicom deben estar presentes la %ayora en el pa9uete de distribucin

siste%as" @n Free#SD? utiliDa el incorporado en el progra%a punta" @scribiendo p(nta co!1 se conectar2 para el pri%er puerto serie" Desconecte escribiendo N8.NAl principio de una lnea"
ual9uiera 9ue sea el cliente de serie? se procurar2 9ue se establece para la velocidad adecuada J,A++K? #its de datos JCK? &aridad JnK? y los bits de parada J(K" <or%al%ente? esto se escribe co%o ,A++7C7<7(" Algunas unidades incrustado por defecto a una velocidad %2s r2pida" & !otores =.A& y por defecto AL3G a *C1++7C7<7( y SoeLris por defecto de hardware para (,)++7C7<7(" !uchos clientes por defecto de serie para ,A++7C7<7(? por lo 9ue la adaptacin de 6stas configuracin puede no ser necesario" Hsted tendr2 9ue utiliDar ,A++7C7<7( con pfSense independiente%ente de la configuracin de su hardware" &ara el hardware con otras velocidades de ,A++? es probable 9ue desee
ca%bia la velocidad de trans%isin en ,A++ en la configuracin de la #3:S para 9ue el #3:S y pfSense son accesibles con

la %is%a configuracin" onsulte el %anual de su hardware para obtener infor%acin sobre la configuracin de su velocidad de trans%isin"

*"*">"*" Asignar interfaces de red


Despu6s de 9ue el dispositivo est2 encendido y el proceso de arran9ue se ha iniciado? un %ensaMe aparecer2 para 'LA< y la asignacin de interfaces de red" @ste paso fue cubierto anterior%ente baMo Seccin *")"*? NAsignacin de interfacesN para la deteccin auto%2tica? y %2s tarde en Seccin *">"*"(? N!anual%ente

Asignacin de interfaces N para la asignacin %anual de interfaces"

1(

3nstalacin y actualiDacin

Hna veD 9ue las interfaces se les ha asignado? el siste%a debe estar listo para configurar a trav6s de la =ebGH3"

*"1" Suplente t6cnicas de instalacin


@sta seccin describe algunos %6todos alternativos de instalacin 9ue puede ser %2s f2cil para algunos

i%ple%entaciones"

*"1"(" 3nstalacin con la unidad en un e9uipo diferente


Si es difcil o i%posible para agregar una unidad de DI.:! para el hardware de destino? otro siste%a se puede utiliDar para instalar pfSense en el disco duro de destino" @l disco puede entonces ser trasladado a la

%29uina original" uando se le solicite con Asignar interfaces durante el inicio del Live D? seleccione n para 'LA<s y el tipo salida a asignar la interfaD LA< del siste%a para pasar de asignacin de interfaD" A continuacin? proceder
a trav6s de la instalacin nor%al%ente" Aparecer2 un %ensaMe en el instalador para configurar la red configuracin? y esto se puede o%itir ta%bi6n" Despu6s de la instalacin? per%iten 9ue la %29uina se reinicie y apagarlo? una veD 9ue regresa a la pantalla del #3:S" .etire el disco duro de la instalacin %29uina y colocarla en el siste%a de destino" Despu6s del arran9ue? se le solicitar2 la asignacin de interfaD

y luego el resto de la configuracin se puede realiDar co%o de costu%bre"

*"1"("(" @rror de inicio despu6s de %udarse a la unidad de destino de la %29uina


Si la %29uina utiliDada para realiDar la instalacin asignada la unidad con un no%bre de dispositivo diferente el dispositivo de destino? el siste%a se detiene el arran9ue en un > Mountroot del siste%a" @sto puede suceder si la instalacin se realiD con la unidad en el puerto 3D@ secundario y en el hardware de destino 9ue reside en el puerto 3D@ pri%ario" @n el caso de '!ware? el adaptador HS# puede ser detectada co%o

un dispositivo S S3? %ientras 9ue el hardware de destino utiliDa 3D@"


Si este proble%a se encuentra? el siste%a deMar2 de arrancar y se sientan en un > Mountroot del siste%a?

co%o en este eMe%plo: Timecounter "CET" frecuencia 431646144 Hz calidad 800 Timecounters marque todos los ms 10.000 Rpido IPsec: Procesamiento de iniciada la Asociacin de Seguridad. ad0: DN4OCA2A> <HMS360404D5CF00 3906MB en UDMA33 ata0-master Tratando de montar la raz de ufs: / dev /ad2s1a Manual de sistema de archivos raz de la especificacin: <fstype>: <device> Monte <device> utilizando <fstype> sistema de archivos por ejemplo. ufs: da0s1a

1)

3nstalacin y actualiDacin

? Lista vlida dispositivos de disco de arranque <empty line> Cancelar entrada manual > Mountroot 9FS:ad0s1a Tratando de montar la raz de ufs: ad0s1a ___ ___ / F \ / P \ ___ / Sentido \ ___ / \ \ ___ / @l siste%a est2 tratando de %ontar la unidad con el no%bre de dispositivo incorrecto? co%o ad2" Hna lnea Musto por enci%a de
el mountroot siste%a debe indicar la ubicacin real de la unidad? tales co%o ad0" &ara continuar con el

proceso de arran9ue? escriba el no%bre de dispositivo correcto" @n este caso? 9FS:ad0s1a" #asta con sustituir ad0 en
esa lnea con el no%bre del dispositivo de la unidad de disco duro? co%o se %uestra por enci%a de este siste%a" To%e nota de la

no%bre del dispositivo adecuado? ya 9ue se necesitar2n para el siguiente paso"


Ahora 9ue el siste%a ha arrancado? uno %2s el ca%bio es necesario" La tabla de siste%a de archivos en / Etc / fstab debe ser actualiDada con el dispositivo apropiado" &ara ca%biar esto en el =ebGH3? vaya a

Diagnstico @ditar el archivo y abra / Etc / fstab" .ee%place cada instancia del no%bre del dispositivo en ese archivo y guardar los ca%bios" .einiciar el siste%a para verificar el ca%bio"
&ara 9uienes est2n fa%iliariDados con las operaciones de lnea de co%andos? para ca%biar esto en la lnea de co%andos elegir opcin 8 una veD 9ue la consola de cargas para entrar en el %en; para iniciar una shell" @n este eMe%plo se utiliDa el editor vi" Si

vi no es una opcin deseable? ee ta%bi6n est2 disponible y cuenta con ayuda en pantalla" A continuacin? introduDca el co%ando para editar el fstab archivo" #$i 6 etc 6 fsta) @l contenido del archivo aparecer2" Se ver2 algo co%o esto: # Opciones de dispositivo Punto de montaje fstype dump pass # / Dev/ad2s1a / ufs rw 1 1
Faga los ca%bios necesarios" @n este eMe%plo? el dispositivo es incorrecta ad2? @sto debe ser ca%biado

a ad0:
# Opciones de dispositivo Punto de montaje fstype dump pass #

/ Dev/ad0s1a / ufs rw 1 1

1*

3nstalacin y actualiDacin

Ahora guarda el archivo y salga del editor" J@sc? a continuacin? : :'; si vi fue utiliDado"K

*"1")" 3nstalacin co%pleta de '!ware con HS# redireccin


Hsted puede utiliDar la redireccin de HS# en '!ware &layer y estaciones de trabaMo para instalar un disco duro"
La %ayora de los adaptadores HS# a 3D@ o SFF JS%all For% FactorK 3D@ funciona para este propsito" La

las instrucciones siguientes son especficas de '!ware =orLstation A"+ y versiones anteriores" U rear un e9uipo virtual con redirecciona%iento HS#" U Desconecte el escritor F desde su & " U onecte el F 7 !icrodrive F en su escritor" U 3nicie la %29uina virtual y haga clic en el interior de la %29uina virtual para 9ue tenga el foco"
U onecte el escritor de F en su & " La %29uina virtual se levante el dispositivo HS#? y el pfSense

D de instalacin reconocer2 la tarMeta F 7 !icrodrive co%o un disco duro" U ontin;e con la instalacin de la %is%a co%o una co%pleta instalacin nor%al"
@n '!ware =orLstation A">? podr2s ver un icono para cada dispositivo HS# en la %29uina a lo largo del

parte inferior de la ventana de '!ware" Faga clic en el dispositivo y haga clic en %onecte <Desconecte
de acogida= para utiliDarlo dentro de su %29uina virtual" onsulte la docu%entacin de '!ware para %2s infor%acin

en la redireccin de HS#"

*"1"*" 3nstalacin incrustado en '!ware con HS# .edireccin


La i%agen incrustada puede escribirse ta%bi6n en '!ware %ediante su reorientacin HS#" Se trata de un seguro opcin? ya 9ue hace i%posible para sobrescribir los discos en el host? lo 9ue li%ita la posibilidad de da0os lo 9ue est2 en su %29uina virtual" &ara ello? basta con conectar el escritor de F a la %29uina virtual y realiDar la instalacin co%o lo hara en el %is%o siste%a operativo en una %29uina fsica" onsulte el '!ware

docu%entacin para obtener %2s infor%acin sobre la redireccin de HS#"

*">" Solucin de proble%as de instalacin


La gran %ayora de las veces? las instalaciones ter%inar2 sin proble%as" Si los proble%as surgen? la

secciones siguientes se describen los proble%as %2s co%unes y las %edidas adoptadas para resolverlos"

11

3nstalacin y actualiDacin

*">"(" Arrancar desde el Live D se produce un error


Debido a la a%plia ga%a de co%binaciones de hardware en uso? no es raro 9ue un D de arran9ue %al Jo noK" Los proble%as %2s co%unes y sus soluciones son: Sucio DI.:! Li%pie la unidad con un disco de li%pieDa o una lata de aire co%pri%ido? o utilice otra unidad" !edia #ad DI. uestiones del #3:S uestiones cable 3D@ &roble%as de arran9ue del cargador Grabar otro disco y 7 o grabar el disco a una velocidad inferior" Tal veD pruebe con otra %arca de %edios de co%unicacin" ActualiDar a la ;lti%a #3:S y deshabilitar cual9uier innecesarios perif6ricos tales co%o Firewire? unidades de dis9uete? y audio"
&ruebe con otro cable 3D@ entre la unidad de DI.:! y el 3D@

ontrolador o placa base Fa habido casos donde las versiones especficas de los D de Free#SD gestor de arran9ue no funciona en algunos siste%as" @n este caso? consulte la seccin anterior sobre c%o realiDar la instalacin en un disco duro & por separado y luego pasar al siste%a de destino"

Fay %2s t6cnicas de solucin de proble%as 9ue aparecen en la docu%entacin pfSense =iLi en Solucin de proble%as de arran9ue [Fttp:77doc"pfsense"org7inde/"php7#oot_Troubleshooting\"

*">")" Arrancar desde el disco duro despu6s de la instalacin de D no


Despu6s de 9ue el D de instalacin co%pleta y se reinicia el siste%a? hay algunas condiciones 9ue
puede i%pedir 9ue pfSense plena%ente el arran9ue" Las raDones %2s co%unes suelen ser #3:S o duro variador de velocidad relacionados" Algunos de estos puede resolverse eligiendo diferentes opciones para el gestor de arran9ue durante el proceso de instalacin? activar 7 desactivar el %odo de pa9uetes? o %ediante la instalacin de una tercera parte del gestor de arran9ue co%o G.H# (" ActualiDacin de la #3:S a la ;lti%a versin disponible

Ta%bi6n puede ayudar en este caso"


La alteracin de las opciones de SATA en el #3:S ha %eMorado el arran9ue en algunas situaciones ta%bi6n" Si un disco duro SATA se est2 utiliDando? e/peri%entar con ca%biar las opciones de SATA en el #3:S para

configuracin? tales co%o AF 3? Legacy? o 3D@"


(G.H#

es un gestor de arran9ue con %uchas caractersticas 9ue soporta varios siste%as operativos? los %edios de arran9ue? y siste%as de archivos" Su p2gina web es http:77

www"gnu"org7software7grub7"

1>

3nstalacin y actualiDacin

Al igual 9ue en la seccin anterior? hay %2s t6cnicas de solucin de proble%as enu%erados en el
la docu%entacin en lnea en Solucin de proble%as de arran9ue [Fttp:77doc"pfsense"org7inde/"php7

#oot_Troubleshooting\"

*">"*" 3nterfaD de enlace no se detect hasta


Si el siste%a se 9ueMa de 9ue la interfaD de enlace hasta 9ue no se detecta? en pri%er lugar asegurarse de 9ue el cable est6 desconectada y 9ue la interfaD no tiene luD de enlace antes de la eleccin de la deteccin de vnculos opcin" Ta%bi6n es posible 9ue desee probar o ree%plaDar el cable en cuestin" Despu6s de seleccionar la opcin?

enchufe el cable de nuevo en la interfaD y aseg;rese de 9ue tiene una luD de enlace antes de pulsar 3ntro"
Si un cable de red est2 conectado directa%ente entre dos siste%as y no con un interruptor de garantiDar? 9ue un cable cruDado [\ Fttp:77en"wiLipedia"org7wiLi7@thernet_crossover_cable se est2 utiliDando" Algunos adaptadores nuevos pueden apoyar AutoI!D3G [http:77en"wiLipedia"org7wiLi7AutoI!D3G\ S se encargar2 de esto interna%ente? pero %uchos adaptadores %2s vieMos no" Del %is%o %odo? si la cone/in de un pfSense

siste%a a un switch 9ue no soporta AutoI!D3G? utilice un cable de cone/in directa parche"
Si la interfaD est2 conectado correcta%ente? pero pfSense a;n no detecta el enlace hasta el
interfaces de red se utiliDa no detecta correcta%ente enlace por alguna raDn" @n este caso?

asignar %anual%ente las interfaces es necesario"

*">"*"(" La asignacin %anual de interfaces


Si la funcin de deteccin auto%2tica no funciona? todava hay esperanDa de decir la diferencia entre tarMetas de red antes de la instalacin" Hna for%a es %ediante la direccin !A ? 9ue debe ser %ostrado al lado

a los no%bres de interfaD en la pantalla de asignacin: le0 08:00:27:26: a4: 04 le1 08:00:27:32: CE: 2f
La direccin !A es a veces i%preso en una pegatina en alg;n lugar fsica%ente en la tarMeta de red" Las direcciones !A ta%bi6n se asignan por el fabricante? y hay varias bases de datos en lnea 9ue le per%itir2 hacer una b;s9ueda inversa de una direccin !A con el fin de encontrar la e%presa 9ue hiDo

la tarMeta")
Las tarMetas de red de diferentes %arcas? %odelos o conMuntos de chips a veces se pueden detectar con diferentes conductores" &uede ser posible decir una tarMeta 3ntel utiliDando el fxp ade%2s de un controlador .ealteL tarMeta con la rl conductor %irando a las propias tarMetas y la co%paracin de las deno%inaciones

en el circuito"
)http:77www"C+CA"net7tools7%ac7?

http:77www"coffer"co%7%ac_find7? S http:77arulMohn"co%7%ac"pl? entre %uchos otros"

1A

3nstalacin y actualiDacin

Hna veD 9ue se deter%ina 9ue la tarMeta de red se utiliDar2 para una deter%inada funcin? escriba en la interfaD de
pantalla de asignacin cuando se le solicite" @n el eMe%plo anterior? le0 se =A< y le1 ser2 LA<" uando se le pida pri%ero para la direccin de LA<? se hara le1 y pulse @nter" A continuacin? cuando se le pida la =A<? el tipo le0? S pulse @nter" Dado 9ue no e/isten interfaces opcionales? un

%2s prensa de entrar? a continuacin? / co%pletar2 la tarea" @n casi todas las & de torre? la %2s alta
ranura & 3 ser2 la pri%era tarMeta de red? ordenados secuencial%ente en orden de arriba hacia abaMo" uando tienes tres 3ntel fxp tarMetas en un siste%a? la tarMeta de red superior es nor%al%ente fxp0? @l uno por debaMo de ese fxp1? S el

%2s baMa fxp2" @sto depende de la placa base? pero casi sie%pre es cierto" Si
tener una tarMeta de red a bordo 9ue es la %is%a %arca co%o un co%ple%ento de la <3 ? tenga en cuenta 9ue algunos siste%as se

lista de la tarMeta a bordo en pri%er lugar? y otros no"

*">"1" Solucin de proble%as de hardware


Si tiene proble%as con el hardware 9ue est2 intentando utiliDar? las siguientes sugerencias

ayudar2 a resolver en %uchos casos"

*">"1"(" 5uitar hardware innecesario


Si el siste%a contiene todo el hardware 9ue no se utiliDar2? retrelo" &or eMe%plo? si usted tiene reasignan un escritorio antiguo con una tarMeta de sonido? retire la tarMeta de sonido" @sto nor%al%ente no es un proble%a? pero puede causar proble%as y tiene el potencial de reducir el rendi%iento" Si es des%ontable y

no lo necesita? se lo 9uita"

*">"1")" Deshabilitar &<& :S en la #3:S


@sta es la solucin %2s co%;n para los proble%as de hardware" !uchas pantallas de configuracin del #3:S se tienen una configuracin de &<& :S o siste%a operativo &lug and &lay? 9ue se debe establecer en desacti$ar o >o" Algunos

tienen una configuracin para el siste%a operativo? 9ue por lo general se debe establecer en otros"

*">"1"*" ActualiDacin de la #3:S


La correccin de segundo %2s co%;n de proble%as de hardware es actualiDar la #3:S a la ;lti%a

revisin" La gente parece tener dificultades para creer esto? pero confa en %? slo haDlo" #3:S actualiDaciones co%;n%ente corregir errores en el hardware" <o es raro 9ue se encontr con proble%as inducidos por errores de hardware en siste%as 9ue tienen estable eMecutar =indows desde hace a0os" Supongo 9ue cual9uiera de las ventanas no provoca el error? o tiene un trabaMo en torno? co%o yo personal%ente he visto esto en %;ltiples ocasiones" Las cosas 9ue la actualiDacin del #3:S puede solucionar incluyen la falta de arran9ue? tie%po de %anteni%iento de los proble%as? y en general

la inestabilidad? entre otros"

1B

3nstalacin y actualiDacin

*">"1"1" .establecer la configuracin del #3:S a los valores de f2brica


Algunos siste%as de reciclado puede tener una atpica configuracin del #3:S de su uso anterior" La %ayora de
contiene una opcin 9ue le per%ite restablecer todos los aMustes a los valores de f2brica" Trate de hacer esto" Ta%bi6n

de verificacin Seccin *">"1")? NDeshabilitar &<& :S en la #3:SN de nuevo despu6s de hacer esto"

*">"1">" Deshabilitar hardware no utiliDado en la #3:S


Si la placa tiene integrado en los co%ponentes 9ue no se utiliDar2? trate de desactivar"

Los eMe%plos %2s co%unes incluyen el puerto paralelo? %ode%s a bordo? los dispositivos de audio? Firewire? posible%ente

HS# y los puertos serie a %enos 9ue usted planea usar una consola serie"

*">"1"A" :tras configuraciones de #3:S


Si su #3:S per%ite la configuracin de ad%inistracin de energa? trate de apagar o en" &uedes buscar cual9uier cosa cosa 9ue parece pertinente y tratar de ca%biar algunas cosas" Si llegas a este punto? el hardware es probable%ente una causa perdida y debe buscar alternativas de hardware" Ta%bi6n puedes ver para ver si su #3:S

tiene un registro de eventos 9ue puede enu%erar los errores de hardware? tales co%o fallas de prueba de %e%oria"

*">"1"B" :tros proble%as de hardware


Ta%bi6n podra haber alg;n proble%a con el hardware de destino? 9ue las pruebas de diagnstico con

software puede revelar" Debe probar el disco duro con software de diagnstico del fabricante? y poner a prueba la %e%oria con un progra%a co%o el %e%testCA b" @stas y %2s herra%ientas est2n disponibles en el NHlti%ate #oot D [http:77www"ulti%atebootcd"co%7\ N? 5ue se carga con %uchas

herra%ientas gratuitas de diagnstico de hardware"


Ta%bi6n aseg;rese de 9ue todos los fans est2n girando a gran velocidad? y 9ue no son co%ponentes de un sobrecalenta%iento" Si se trata de volver a utiliDar hardware antiguo? algunos co%pri%idos 7 aire co%pri%ido de li%pieDa de los ventiladores y disipadores de calor

puede hacer %aravillas"

*">">" &roble%as de arran9ue incrustado en el hardware AL3G


Si un siste%a e%bebido no arranca correcta%ente? conecte un cable de serie para el dispositivo y el %onitor el proceso de arran9ue en busca de pistas sobre c%o proceder" @l proble%a %2s co%;n ser2n los usuarios tanto de AL3G hardware" Si est2 utiliDando una tarMeta AL3G? usted tendr2 9ue asegurarse de 9ue el #3:S %2s reciente disponible en el %o%ento de escribir esto? +",,h? se carga en el tablero con el fin de arrancar de for%a adecuada

<ano#SD i%2genes de a%bos sectores" Hn AL3G en la necesidad de una actualiDacin del #3:S nor%al%ente presentan los siguientes snto%as en el arran9ue:

1C

3nstalacin y actualiDacin

PC Motores ALIX.2 v0.99 640 KB de memoria base 261.120 KB de memoria ampliada


01F0 Maestro 848A SanDisk SDCFH2-004G

Phys. C / H / S 7964/16/63 C Entrar / H / S 995/128/63 Un FreeBSD 2 FreeBSD Arranque: 1 ############ @l n;%ero de %arcas de al%ohadilla J`K poco a poco crecer2 con el tie%po co%o el arran9ue intenta continuar" Si este
co%porta%iento se ve? siga los procedi%ientos de actualiDacin del #3:S de su proveedor de por lo %enos la versin +",,h Ade%2s de necesitar la versin +",,h #3:S? el #3:S ta%bi6n se debe establecer para el %odo FS Jcilindro 7

$efe 7 Sector %odo para hacer frente a los datos en un discoK? co%o en el eMe%plo siguiente: PC Motores ALIX.2 v0.99h 640 KB de memoria base 261.120 KB de memoria ampliada 01F0 Maestro 848A SanDisk SDCFH2-004G Phys. C / H / S 7964/16/63 C Entrar / H / S 995/128/63 Configuracin de la BIOS: * 9 * 9600 (2) 19 200 baudios (3) 38 400 baudios (5) 57 600 baudios (1) 115.200 baudios ? % ? %@S !odo (L) el modo LBA (W) disco duro de espera (V) del disco duro esclavo (U) UDMA permiten (M) MFGPT solucin (P) a finales de inicio PCI * R * de serie de la consola permiten (E) de arranque PXE permiten (X) Xmodem subir (Q) Salir &ara llegar a esta pantalla? pulse S %ientras 9ue la prueba de %e%oria se %uestra en la consola serie" A continuacin? prensa % para ca%biar al %odo FS? a continuacin? pulse A deMar de fu%ar" @n este punto el AL3G debe arrancar de for%a adecuada ya sea de corte de una i%agen de <ano#SD"

1,

3nstalacin y actualiDacin

*"A" .ecuperacin de instalacin


Fay dos escenarios principales para la necesidad de reinstalar el siste%a" @n el pri%er caso? un disco duro o
dispositivo de al%acena%iento %asivo puede haber fallado y un r2pido instalar con una configuracin de copia de seguridad es necesario" @n el segundo caso? la configuracin sigue presente en el disco duro? pero algunos de los contenidos de el siste%a de archivos puede estar da0ado" pfSense ofrece un proceso f2cil y relativa%ente sin dolor para recuperando r2pida%ente de este tipo de proble%as? y si ninguno de estos escenarios se aplica entonces hay

sie%pre el %6todo tradicional de la restauracin de una configuracin desde dentro de la =ebGH3"

*"A"(" 3nstalador de preIvuelo .ecuperacin de la configuracin


pfSense tiene? co%o parte de la rutina de instalacin? un NpreIvuelo 3nstalarN o &F3" &F3 se busca una configuracin e/istente en una unidad HS# y usarlo en lugar de pedir una nueva configuracin" Al instalar un disco duro? el progra%a de instalacin copia esta configuracin" uando el

se co%plete el proceso? se reiniciar2 con el archivo de configuracin restaurada"


@n pri%er lugar? localiDar una unidad HS# 9ue es el for%ato FAT" Si funciona en =indows? es probable 9ue ya FAT

for%ato" ree un directorio en la raD de esta unidad HS# lla%ada conf"


olo9ue un archivo de configuracin en esta carpeta" Si la copia de seguridad provena de el pfSense =ebGH3? lo %2s probable es no%brado co%o el siguiente: configrouterhostname.example.com-20090520151000.xml" a%biar el no%bre de este archivo para config.xml" &ara obtener %2s infor%acin sobre c%o realiDar copias de seguridad? consulte aptulo >? #acLup y .ecuperacin" La unidad ahora debe estar listo para su uso" &ara corroborar 9ue la configuracin es en el lugar correcto? el

archivo debe estar en E: \ Conf \ config.xml si la unidad HS# E:" Sustituir el caso letra de unidad para el siste%a 9ue se utiliDa"
@/traiga la unidad HS# de la estacin de trabaMo? y luego ench;felo en el siste%a de pfSense se restaurado" &onga el D en vivo en su unidad de DI.:!? y arrancar el siste%a" Debe ser evidente 9ue el siste%a utiliDado la configuracin de la HS# y no del siste%a para configurar las interfaces" Lo ;nico 9ue 9ueda por hacer es seguir los pasos descritos en Seccin *")"1? N3nstalacin del disco duro

Drive N para realiDar una instalacin nor%al en un disco duro"


uando la instalacin haya finaliDado? apagar el siste%a? desenchufe la unidad HS#? y retire el D de instalacin" @ncienda el siste%a de nuevo? y debera arrancar con nor%alidad y estar en pleno funciona%iento" Si los pa9uetes estaban en uso? puede visitar los =ebGH3 y despu6s de la entrada 9ue se volver2 a instalar auto%2tica%ente"

>+

3nstalacin y actualiDacin

<ota
Tenga cuidado al 9uitar una unidad HS# de un siste%a de pfSense" Sie%pre es %2s segura de hacerlo cuando el poder est2 apagado" Si la unidad HS# se %onta por una 9ue eMecutan el siste%a pfSense y 9uitar sin des%ontar? el siste%a se blo9uear2 y reiniciar el siste%a con resultados posible%ente i%predecibles" Free#SD es incapaD de perder Actual%ente los siste%as de ficheros %ontados sin inducir el p2nico" @sto ya no ser2 un

te%a en Free#SD C"+"

*"A")" .ecuperacin de la configuracin instalada


Si partes de la instalacin en el disco duro no est2 trabaMando Jco%o resultado de un error de actualiDacin o

otra causaK? la configuracin se puede conservar al %is%o tie%po acabando con el resto de los archivos instalados"
Durante el proceso de instalacin? antes de elegir pfSense instalacin hay una opcin del %en; %arcada .escate config"/%l" uando se elige esta opcin? la configuracin se puede seleccionar desde cual9uier al%acena%iento %asivo los %edios de co%unicacin relacionada con el siste%a" @l proceso de instalacin se carga esta configuracin? y una veD

la reinstalacin co%pleta? el siste%a va a correr con la configuracin de rescatados"

*"A"*" =ebGH3 recuperacin


Si todo esto falla? proceder2 a efectuar una instalacin nor%al? co%o se describe anterior%ente en este captulo a continuacin? restaurar

la configuracin antigua visitando Diagnstico opia de seguridad 7 restauracin en la red una veD =ebGH3
conectividad ha sido restaurada" @n el 2rea .estaurar configuracin de la p2gina? haga clic en @/a%inar? encontrar el archivo de copia de seguridad de configuracin" Hna veD localiDado? haga clic en Abrir y? final%ente? haga clic en .estaurar De configuracin" La configuracin ser2 restaurada y el siste%a se reiniciar2 auto%2tica%ente" Despu6s de reiniciar el siste%a? la configuracin co%pleta debe estar presente" @ste proceso se describe con %ayor detalle en

Seccin >">? NLa restauracin de copias de seguridadN"

*"B" ActualiDar una instalacin e/istente


Los %edios de apoyo de la %eMora de la liberacin pfSense a otro depender2 de la platafor%a 9ue se utiliDa" @n la %ayora de los casos? pfSense puede ser fiable actualiDar a cual9uier otra versin sin perder

la configuracin e/istente"
Al %antener un siste%a de pfSense actualiDado con una versin actual apoyo? 9ue nunca ser2 obsoleto" Las nuevas versiones se liberan peridica%ente 9ue contienen nuevas caractersticas? actualiDaciones? correccin de errores? y varios otros ca%bios" @n la %ayora de los casos? la actualiDacin de una instalacin de pfSense es %uy f2cil" Si actualiDas a una nueva

liberacin 9ue es un slo un punto de desenganche Jpor eMe%plo? (")") a (")"*K? la actualiDacin debe ser %ni%a%ente invasiva

>(

3nstalacin y actualiDacin

y es i%probable 9ue cause proble%as" @l proble%a %2s co%;n es la regresin especficos del hardware
de una versin de Free#SD a otro? aun9ue esto sea %uy poco frecuente" ActualiDacin versiones fiMar %2s hardware

9ue se ro%pen? pero regresiones son sie%pre posibles" !2s grandes saltos? por eMe%plo de (")"* a )"+ en el futuro debe ser %aneMado con cuidado? y lo ideal sera probado en hardware id6ntico en una prueba

el %edio a%biente antes de su uso en la produccin"

*"B"(" Facer una copia de seguridad """ y un &lan de copia de seguridad


Lo pri%ero es lo pri%ero? antes de realiDar cual9uier %odificacin a un siste%a de pfSense? es una buena idea hacer una copia de seguridad" @n la =ebGH3? visita de diagnstico opia de seguridad 7 restauracin" @n la configuracin de copia de seguridad

seccin de la p2gina? aseg;rese de 9ue la Dona de copia de seguridad se establece en BCDCS? A continuacin? haga clic en Descargar configuracin"
Guardar este archivo en un lugar seguro? y no estara de %2s hacer varias copias" A9uellos con un pfSense &ortal [https: 7 7 portal"pfsense"org 7\ suscripcin debe considerar el uso de la configuracin de copia de seguridad auto%2tica

pa9uete? y hacer una copia de seguridad %anual to%a nota de la raDn co%o antes de la actualiDacin"
Ta%bi6n puede ser una buena idea tener a %ano para instalar los %edios de co%unicacin la liberacin actual%ente en eMecucin? en caso de 9ue algo va %al y una reinstalacin es necesario" Si eso ocurre? tiene el archivo de copia de seguridad en la %ano y se refieren a la anterior Seccin *"A? N3nstalacin de .ecuperacinN" Ta%bi6n se refieren a aptulo >?

#acLup y .ecuperacin"

*"B")" ActualiDacin de una instalacin incorporado


Antes de la versin (")"*? el ;nico (++] garantiDado %anera confiable de actualiDacin fue incorporado a la reI el flash de la F5 y restaurar una copia de seguridad de configuracin anterior despu6s" @ste %6todo todava puede ser
utiliDado? pero? gracias a la nueva versin incrustada <ano#SD basado en el uso de la (")"* hacia adelante

actualiDaciones fiables se puede realiDar co%o una instalacin co%pleta" ontinuar2 en la instalacin co%pleta

instrucciones de actualiDacin si ya est2 eMecutando la versin pfSense (")"* o %2s reciente"

<ota
Si va a actualiDar desde una versin anterior de pfSense hasta la versin (")"*? 9ue se todava tienen 9ue reflash la tarMeta con una nueva i%agen basada en <ano#SD" A partir de entonces se

puede actualiDar co%o de costu%bre"

*"B"*" ActualiDacin de una instalacin co%pleta


Fay varios %6todos disponibles para la actualiDacin de una instalacin co%pleta de pfSense" : bien el =ebGH3 o la consola se puede utiliDar? y cual9uiera de estos %6todos tiene un %edio de proporcionar una descarga

archivo de actualiDacin o tirar de una auto%2tica%ente desde 3nternet"

>)

3nstalacin y actualiDacin

*"B"*"(" ActualiDacin con la =ebGH3


Fay dos opciones para actualiDar utiliDando la interfaD web? con el %anual y auto%2tica actualiDacin" @n las secciones siguientes se describen estos %6todos de actualiDacin"

*"B"*"("(" !anual de actualiDacin de fir%ware


on el fin de realiDar una actualiDacin %anual del fir%ware? en pri%er lugar un archivo de actualiDacin tendr2 9ue ser descargado" @/a%inar para http:77www"pfsense"org y haga clic en el enlace de descarga" @n la p2gina de descargas? haga clic en el enlace de las actualiDaciones" @sto llevar2 a la p2gina de seleccin de espeMo" @liMa un espeMo geogr2fica%ente
cerca de su ubicacin para un %eMor rendi%iento" Hna veD 9ue el espeMo se ha seleccionado un directorio

anuncio aparecer2 con los archivos de actualiDacin para la versin actual de pfSense" Descargue el . Tgz archivo?
J&or eMe%plo? pfSense-Full-Update-1.2.3.tgzK S 9ue aco%pa0a a la . Md5 archivo para verificar la descarga" 'er Seccin *"("(? N o%probar la integridad de la descargaN en !D> para obtener detalles sobre

c%o utiliDar un . Md5 archivo" &ara instalar el archivo de actualiDacin? visite el pfSense =ebGH3" Faga clic en Siste%a Fir%ware" Faga clic en Fabilitar
argar fir%ware" Faga clic en el botn @/a%inar situado Munto al fir%ware de archivo de i%agen" #us9ue la actualiDacin archivo descargado en el paso anterior y haga clic en Abrir" &or ;lti%o? haga clic en la actualiDacin del Fir%ware botn" La actualiDacin tendr2 unos %inutos para cargar y aplicar? en funcin de la velocidad de la cone/in 9ue se utiliDa para la actualiDacin y la velocidad del siste%a de destino" @l firewall se reiniciar2

auto%2tica%ente cuando haya ter%inado"

*"B"*"(")" ActualiDacin auto%2tica


ActualiDacin auto%2tica es una caracterstica nueva 9ue pondr2 en contacto con un servidor pfSense"co% y deter%inar si hay es una versin %2s reciente en libertad 9ue la 9ue se eMecuta actual%ente" @sta co%probacin se realiDa cuando se visite la p2gina de actualiDaciones auto%2ticas 9ue se encuentran baMo el Siste%a Fir%ware? haga clic en la actualiDacin auto%2tica ficha en la =ebGH3" Si hay una nueva actualiDacin disponible? se %ostrar2" Faga clic en el botn para instalar el actualiDacin" La actualiDacin se to%e unos %inutos para descargar y aplicar? en funcin de la velocidad de la cone/in a 3nternet utiliDado y la velocidad del siste%a de destino" @l firewall se reiniciar2

auto%2tica%ente cuando haya ter%inado"


De for%a predeter%inada? la co%probacin de actualiDacin se refiere slo a las versiones de pfSense lanDado oficial%ente? pero es Ta%bi6n es posible utiliDar este %6todo para realiDar un segui%iento instant2neas ta%bi6n" La versin de actualiDacin se puede ca%biar visitando la ficha onfiguracin de actualiDacin? 9ue se encuentra in%ediata%ente a la derecha de la ficha de

actualiDacin auto%2tica" @s %2s seguro es utiliDar las versiones oficiales? ya 9ue ver la %ayora de las pruebas y debe ser raDonable%ente seguro y sin proble%as" Sin e%bargo? co%o con cual9uier actualiDacin? pri%ero debe visitar el sitio web de pfSense y

lea las notas de actualiDacin para esa versin"

>*

3nstalacin y actualiDacin

*"B"*")" ActualiDar %ediante la consola


Hna actualiDacin ta%bi6n puede ser eMecutado desde la consola" La opcin de la consola est2 disponible en cual9uier %edio
de acceso disponibles para la consola: 'ideo 7 teclado? consola serie o SSF" Hna veD conectado a la consola del siste%a pfSense a ser rehabilitado? iniciar el proceso de actualiDacin seleccionando la opcin de %en;

13"

*"B"*")"(" ActualiDar desde una H.L


Si la direccin H.L co%pleta a un archivo de actualiDacin de pfSense se sabe? esta es una buena opcin" Se evitar2 tener 9ue pri%ero descarga el archivo de actualiDacin slo para subirlo otra veD? ya diferencia de la caracterstica ActualiDaciones auto%2ticas

en la =ebGH3 ta%bi6n per%ite una ubicacin de actualiDacin del archivo de encargo para ser utiliDado" Desde el %en; de la consola de actualiDacin? seleccione la opcin 1 para la actualiDacin desde una direccin H.L" 3ntroduDca la direccin H.L co%pleta en el fichero de actualiDacin? tales co%o: http://files.pfsense.org/mirror/updates/pfSense-FullUpdate-1.2.3.tgz
onfir%e 9ue la actualiDacin se debe aplicar? y entonces debera ser descargados y

instalado" Hna veD finaliDada la instalacin? el router se reiniciar2 auto%2tica%ente"

*"B"*")")" ActualiDacin de un archivo local


Hn archivo de actualiDacin se puede descargar? co%o en el %anual de actualiDacin de fir%ware anterior? y luego se copia en el siste%a de pfSense a trav6s de scp o diagnsticos o%ando" &ara instalar un archivo? desde la consola actualiDacin del %en;? seleccione la opcin 2 para la actualiDacin de un archivo local y? a continuacin? escriba la ruta co%pleta a la archivo 9ue se ha subido? co%o / Tmp/pfSense-Full-Update-1.2.3.tgz" onfir%e 9ue la actualiDacin se debe aplicar? y entonces debe ser instalado de for%a auto%2tica" Despu6s de la instalacin

es co%pleto? el router se reiniciar2 auto%2tica%ente"

*"B"1" La actualiDacin de un Live D de instalacin


@n un siste%a por separado? descargar y 9ue%ar un D 9ue contiene la ;lti%a versin" Aseg;rese de 9ue se han trasladado su configuracin en un %edio e/trable JHS# o dis9ueteK desde el %en; de la consola J'6ase el Seccin 1"A"(>? N!over el archivo de configuracin de dispositivo e/trableNK" A continuacin? reinicie el pfSense router y arrancar con el nuevo D" uando las botas pfSense en el nuevo D? el al%acena%iento e/istentes

los %edios de co%unicacin 9ue contiene su configuracin se encuentra y se utiliDa"

>1

aptulo 1" onfiguracin


Despu6s de la instalacin? el router pfSense est2 listo para la configuracin" La %ayor parte de la configuracin
se realiDa %ediante el configurador de interfaD gr2fica de usuario basada en web Jweb onfiguratorK? o =ebGH3 para abreviar" <o son algunas de las tareas 9ue puede realiDar f2cil%ente desde la consola? ya se trate de un %onitor y teclado? %2s de un puerto serie? o a trav6s de SSF" Algunos de ellos pueden ser necesarias antes de 9ue usted pueda para acceder a la =ebGH3? por eMe%plo? si usted 9uiere traer a la LA< en una red LA< e/istente

con una direccin 3& diferente"

1"(" one/in a la =ebGH3


on el fin de llegar a la =ebGH3? debe conectarse desde otro & " @ste e9uipo podra estar directa%ente conectado con un cable cruDado? o conectados al %is%o con%utador" De for%a predeter%inada? la 3& LA< de un pfSense nuevo siste%a es (,)"(AC"("( con una %2scara 7 )1 J)>>")>>")>>"+K? y ta%bi6n hay un servidor DF & servidor 9ue eMecuta" Si el & se utiliDa para conectar se establece para obtener su direccin 3& por DF &? debe

slo una cuestin de apuntar su navegador web favorito para http:77(,)"(AC"("("


Si necesita ca%biar la direccin 3& de la LA< o deshabilitar DF &? esto se puede hacer desde la consola eligiendo la opcin )? a continuacin? introduDca la nueva 3& de LA<? %2scara de subred? y especificar si desea o no activar DF &" Si decide activar DF &? ta%bi6n se le pedir2 9ue introduDca el inicio y la poner fin a la direccin del conMunto DF &? lo 9ue podra ser cual9uier rango 9ue? co%o en el interior de la subred deter%inada" uando se deshabilita el servidor DF &? debe asignar est2tica%ente una direccin 3& en el pfSense subred de LA< del siste%a en el & se utiliDa para la configuracin? tales co%o 192.168.1.5? on

una %2scara de subred 9ue coincide con la dada a pfSense? co%o )>>")>>")>>"+"
Hna veD 9ue el & est2 conectado a la %is%a LA< 9ue el siste%a de pfSense? vaya a la direccin 3& de la LA<"

<ota
Tenga cuidado al asignar una nueva direccin 3& LA<" @sta direccin 3& no puede estar en el

%is%a subred de la =A< o de cual9uier otra interfaD activa"

1")" Asistente para la instalacin


Al navegar a la =ebGH3? pri%ero ser2 recibido por un inicio de sesin del siste%a" &or el no%bre de usuario

entrar ad!in y la contrase0a? introduDca pfSense"

>>

onfiguracin

Dado 9ue esta es la pri%era veD 9ue visita la =ebGH3? el asistente de configuracin se iniciar2 auto%2tica%ente? y
se ver2 co%o Figura 1"(? NAsistente de configuracin de inicio de la pantallaN" Faga clic en Siguiente para iniciar la configuracin

proceso"

Figura 1"(" Asistente para la instalacin de la pantalla 3nicio

1")"(" &antalla de infor%acin general


La siguiente pantalla JFigura 1")? N&antalla de 3nfor%acin GeneralNK Le pedir2 el no%bre de este pfSense router? y el do%inio en el 9ue reside" @l no%bre de host puede ser cual9uier cosa 9ue te gusta? sino 9ue debe co%enDar con una letra? y luego puede contener letras? n;%eros? o un guin" Despu6s de el no%bre de host? escriba un do%inio? por eMe%plo? e-a!ple.co!" Si no tienes un do%inio? puede utiliDar <algo>. #ocales? Donde <algo> es todo lo 9ue 9uieras: un no%bre de e%presa? su apellido? apodo? y as sucesiva%ente" @l no%bre de host y el no%bre de do%inio se co%binan para for%ar el

no%bre de do%inio co%pleto de su router"


@l servidor D<S pri%ario y el servidor D<S secundario puede ser llenado? si se conoce" Si usted est2 utiliDando un tipo din2%ico =A< co%o DF &? &&T& o &&&o@? estos por lo general se asignado auto%2tica%ente por el 3S& y puede deMarse en blanco" @stos tipos de =A< se e/plican en

%2s detalle %2s adelante en el asistente de configuracin" Faga clic en Siguiente cuando haya ter%inado"

>A

onfiguracin

Figura 1")" &antalla de infor%acin general

1")")" <T& y onfiguracin del huso horario


La siguiente pantalla JFigura 1"*? NEona de <T& y el tie%po de la pantalla de configuracinNK Tiene un lugar para una red
Ti%e &rotocol J<T&K? y la Dona horaria en la 9ue este servidor reside" A %enos 9ue tenga una preferencia especfica por un servidor <T& co%o uno dentro de su LA<? lo %eMor es deMar el Tie%po

servidor de no%bre de host en el valor predeter%inado 0.pfsense.pool.ntp.org? 5ue recoger2 los servidores al aDar de un grupo de hosts <T& en buen estado"
&ara la seleccin de Dona horaria? seleccione una Dona geogr2fica%ente no%bre 9ue %eMor coincide con el pfSense siste%a de localiDacin" <o utilice el G!T JGreenwich !ean Ti%eK co%pensar las Donas de estilo" &ara obtener %2s infor%acin? consulte Seccin 1"B"(? NEonas de Tie%poN %2s adelante en este captulo" uando ter%ine? haga clic en Siguiente para

continuar"

Figura 1"*" <T& y la pantalla de configuracin de Dona horaria

>B

onfiguracin

1")"*" onfiguracin de =A<


@stos p2rrafos pr/i%os y sus i%2genes asociadas ayudar2 a guiar a trav6s de la creacin de
la interfaD =A< en el siste%a de pfSense" Dado 9ue este es el lado 9ue da a su 3S& o aguas arriba router? hay opciones de configuracin para el apoyo de varios tipos co%unes de cone/in 3S&" La pri%era eleccin es para el tipo de =A< JFigura 1"1? N onfiguracin de la =A<NK" @ste debe coincidir con lo su 3S& soporta? o lo 9ue sea el router anterior se ha configurado para su uso" @ntre las posibles opciones son @st2tica? DF &? &&&o@ y &&T&" La opcin por defecto es DF & ya 9ue es %uy co%;n y? en %ayora de los casos per%iten 9ue un router Nslo trabaMoN sin ninguna configuracin adicional" Si no est2 seguro 9ue la =A< tipo de uso o de los ca%pos para configurar? tendr2 9ue obtener esta infor%acin

de su 3S&"

<ota
Si usted tiene una interfaD inal2%brica para la interfaD =A<? algunas opciones adicionales puede parecer 9ue no est2n cubiertas en este tutorial de la instalacin est2ndar Asistente" Hsted puede referirse a aptulo (C? =iIfi? 5ue tiene una seccin sobre =ireless =A< para obtener infor%acin adicional" @s posible 9ue deba o%itir la configuracin de la =A< por ahora?

a continuacin? realiDar la configuracin inal2%brica despu6s"

Figura 1"1" onfiguracin de =A<


La direccin !A de ca%po en la siguiente seccin JFigura 1">? N onfiguracin de la =A< en GeneralNK @s ;til para la sustitucin de un router e/istente con %ni%as co%plicaciones" Algunos proveedores de 3nternet? sobre todo las dirigidas por proveedores de cable? no funcionar2 correcta%ente si una nueva direccin !A se encuentra" Algunos re9uieren apagar y encender el %de%? otros re9uieren el registro de la nueva direccin con ellos por tel6fono" Si esta cone/in =A< est2 en un seg%ento de red con otros siste%as 9ue se bus9ue a trav6s de A.&? ca%biar la !A para 9ue coincida o %2s pieDas de e9uipo ta%bi6n puede ayudar a facilitar la transicin?

en lugar de tener 9ue borrar cach6s A.& o actualiDar las entradas A.& est2ticas"
La unidad de trans%isin %2/i%a J!THK? el ta%a0o del ca%po se ve en Figura 1">? N=A< General onfiguracin N <or%al%ente se puede deMar en blanco? pero se puede ca%biar si lo desea" Algunas situaciones pueden convocatoria de una !TH inferior para asegurar los pa9uetes son de ta%a0o apropiado para su cone/in a 3nternet" @n

%ayora de los casos? el valor por defecto asu%e valores para el tipo de cone/in =A< funciona correcta%ente"

>C

onfiguracin

Figura 1">" onfiguracin General =A<


Si la Nest2ticaN opcin para el tipo de =A< es elegido? la direccin 3&? %2scara de subred 3D.? y
&uerta de enlace debe ser co%pletado JFigura 1"A? N onfiguracin de 3& est2ticaNK" @sta infor%acin debe ser obtenidos a partir de su 3S& o 9uien controla la red de la =A< de su pfSense

router" La direccin 3& y puerta de enlace de a%bos deben residir en la %is%a subred"

Figura 1"A" onfiguracin de 3& est2tica


Algunos 3S& re9uieren un cierto no%bre de host DF & JFigura 1"B? Nno%bre de servidor !arcoNK para ser enviados Munto con la solicitud de DF & para obtener una direccin 3& =A<" Si no est2 seguro de 9u6 poner en este ca%po?

tratar de deMar en blanco a %enos 9ue indi9ue lo contrario por su 3S&"

Figura 1"B" DF & Fostna%e !arco


uando se utiliDa la cone/in &&&o@ J&ointIaI&unto sobre @thernetK tipo de =A< JFigura 1"C? N&&&o@ onfiguracin NK? debe al %enos rellenar los ca%pos para &&&o@ no%bre de usuario y contrase0a &&&o@" @stos ser2n proporcionados por su 3S&? y suelen ser en for%a de una direccin de correo electrnico? tales co%o !/co!pan/Dispe-a!ple.co!" @l no%bre del servicio &&&o@ puede ser re9uerida por algunos proveedores de 3nternet? pero a %enudo se deMa en blanco" Si tiene alguna duda? deMarlo en blanco o en contacto con su 3S& y pregunte si es

es necesario"

>,

onfiguracin

Acceso telefnico &&&o@ de la de%anda har2 9ue pfSense para deMar la cone/in abaMo 7 en lnea hasta 9ue los datos se
solicit 9ue se necesita la cone/in a 3nternet" cone/iones &&&o@ suceder %uy r2pido? por lo 9ue en %ayora de los casos el retraso? %ientras 9ue la cone/in se configura sera insignificante" Si planea eMecutar

los servicios detr2s de la caMa pfSense? no co%probarlo? ya 9ue se 9uiere %antener una lnea
con la %edida de lo posible en ese caso" Ta%bi6n tenga en cuenta 9ue esta opcin no va a caer una ya e/istente

cone/in"
@l tie%po de espera inactivo &&&o@ especifica c%o pfSense tie%po 9ue le per%itir2 la cone/in &&&o@ ir sin trans%isin de datos antes de desconectar" @sto es real%ente slo es ;til cuando se co%bina con

!arcar en la de%anda? y por lo general se deMa en blanco JdiscapacitadosK"

Figura 1"C" onfiguracin de &&&o@


@l &&T& J&ointItoI&oint Tunneling &rotocolK =A< tipo JFigura 1",? N&&T& =A< onfiguracin NK es la fuente de una cierta confusin" @sta opcin es para los proveedores de 3nternet 9ue re9uieren un &&T&

entrada? y no para la cone/in a un re%oto '&< &&T&" @stos aMustes? al igual 9ue el &&&o@
configuracin? ser2 proporcionado por su 3S&" A diferencia de &&&o@? sin e%bargo? con una =A< &&T& debe Ta%bi6n se especifica una direccin 3& local? la %2scara de subred 3D.? y establecer la direccin 3& re%ota a la

cone/in"

A+

onfiguracin

Figura 1"," &&T& onfiguracin =A<


@stas dos ;lti%as opciones? se ve en Figura 1"(+? N&iedraIen el filtrado de entrada :pcionesN? son ;tiles
para prevenir el tr2fico v2lido entren en su red? ta%bi6n conocido co%o N@l filtrado de entradaN" Fabilitacin #lo9ue .F (,(C .edes &rivadas blo9uear2 registrados redes privadas? tales co%o (,)"(AC"// (+"/// y de realiDar las cone/iones a la direccin de la =A<" Hna lista co%pleta de estos redes se encuentra en Seccin ("B"("(? NDirecciones 3& privadaN" @l #lo9ue #ogon redes opcin detener el tr2fico de venir en 9ue se obtiene de reservada o no asignado el espacio 3& 9ue no debe estar en uso" La lista de redes #ogon se actualiDa peridica%ente en el fondo? y no re9uiere %anual de %anteni%iento" redes #ogon se e/plican en Seccin A">"("1? N#ogon #lo9ue

.edes N" Faga clic en Siguiente para continuar cuando haya ter%inado"

Figura 1"(+" onstruido en el filtrado de entrada :pciones

A(

onfiguracin

1")"1" onfiguracin de la interfaD LA<


A9u se le da la oportunidad de ca%biar la direccin 3& de la LA< y la %2scara de subred JFigura 1"((?
N onfiguracin de LA<NK" Si no planea sie%pre sobre la cone/in de la red para cual9uier otra red a trav6s de '&<? el defecto est2 %uy bien" Si usted 9uiere ser capaD de conectarse a la red %ediante '&< desde ubicaciones re%otas? usted debe elegir un intervalo de direcciones 3& privadas %ucho %2s oscuro 9ue el %is%o (,)"(AC"("+7)1 co%;n" @spacio en el .F (,(C (B)"(A"+"+7() blo9ue de direcciones privado parece ser el %enos frecuente? as 9ue escoMa algo entre (B)"(A"// y (B)"*("// %enos para probabilidad de tener dificultades de conectividad '&<" Si la LA< es (,)"(AC"("/? y usted est2 en un punto de acceso inal2%brico utiliDando (,)"(AC"("/ J%uy co%;nK? no podr2 co%unicarse a trav6s de

la '&< I (,)"(AC"("/ es la red local? no a su red a trav6s de '&<"


Si la 3& de la LA< tiene 9ue ser ca%biado? introduDca a9u Munto con una nueva %2scara de subred" Tenga en cuenta 9ue si ca%bia esta configuracin? ta%bi6n tendr2 9ue aMustar la direccin 3& de su & ? libere o renueve su concesin DF &? o realiDar una NreparacinN o NDiagnsticoN en la interfaD de red cuando haya ter%inado

con el asistente de configuracin"

Figura 1"((" onfiguracin de LA<

1")">" @stableDca la contrase0a de ad%inistrador


A continuacin? debe ca%biar la contrase0a de ad%inistracin para la =ebGH3 co%o se %uestra en Figura 1"()? N a%biar la contrase0a ad%inistrativaN" @sta contrase0a debe ser algo fuerte y segura? pero no hay restricciones aplicadas de for%a auto%2tica" 3ntroduDca la contrase0a dos veces para estar seguro de 9ue ha sido

introducido correcta%ente? a continuacin? haga clic en Siguiente"

A)

onfiguracin

Figura 1"()" a%biar ontrase0a Ad%inistrativa

1")"A" FinaliDacin del Asistente para la instalacin


@se es el final del asistente de configuracin? haga clic en ActualiDar JFigura 1"(*? NpfSense ActualiDar =ebGH3NK y
=ebGH3 volver2 a cargar" Si ha ca%biado la 3& de la LA<? %odifica la direccin 3& de su & en consecuencia"

Ta%bi6n se le pedir2 la contrase0a de nuevo" @l no%bre de usuario sigue siendo ad!in"

Figura 1"(*" ActualiDar pfSense =ebGH3


@n este punto usted debe tener conectividad b2sica a 3nternet? o la red de la =A< secundarios" Los clientes de la LA< debe ser capaD de llegar a los sitios a trav6s del router pfSense" Si en cual9uier

veD 9ue se tenga 9ue repetir esta configuracin inicial? puede hacerlo en Siste%a @l progra%a de instalacin @l asistente desde la =ebGH3"

A*

onfiguracin

1"*" 3nterfaD de configuracin


o%o se ha visto? algunos de configuracin de interfaD se puede realiDar en la consola y en la configuracin
asistente para iniciar las cosas? pero los ca%bios ta%bi6n se pueden hacer despu6s de la configuracin inicial al visitar el

lugares apropiados en el %en; de interfaces"

1"*"(" Asignar interfaces


Si interfaces adicionales se a0aden despu6s de la instalacin? entonces se le puede asignar funciones al visitar

3nterfaces JAsignarK" Fay dos pesta0as a9u? las asignaciones de la interfaD y las 'LA<" J'LA<
configuracin se e/pone %2s adelante en aptulo (+? LA< virtuales J'LA<K"K Las asignaciones de la interfaD
pesta0a %uestra una lista de todas las interfaces actual%ente asignado: =A<? LA<? y cual9uier :&TG 9ue

configurado" Al lado de cada interfaD es una lista desplegable de todas las interfaces de red o puertos 9ue se encuentran en el siste%a? incluyendo interfaces de hardware real? as co%o interfaces 'LA<" La direccin !A

o 'LA< eti9uetas se %ostrar2n Munto a los no%bre de la interfaD para facilitar la identificacin"
Hsted puede ca%biar las interfaces actual%ente asignado al decantarse por un puerto de red nuevos? o a0adir un interfaD adicional :&TG haciendo clic" @sto a0adir2 otra lnea? con una interfaD nueva :&T? n;%ero %2s alto 9ue cual9uier interfaD de :&T e/istentes? o si no los hay? :&T(" De for%a predeter%inada? se seleccione auto%2tica%ente la interfaD disponible siguiente 9ue no est6 asignado" &or eMe%plo? si el obMetivo siste%a ha fxp0?fxp1? S fxp2? S ha establecido =A< fxp0? S LA< fiMado para fxp1? elegir para agregar otra interfaD asu%ir2 auto%2tica%ente :&T( se fxp2" Si usted tiene interfaces adicionales y esto no es el lugar previsto? y puede ser %odificado" Si los ca%bios son

hecho? aseg;rate de hacer clic en Guardar"

1"*")" De interfaD =A<


asi todas las opciones 9ue se encuentran en las interfaces =A< son id6nticos a los especificados en el la parte =A< del Asistente para la instalacin" @l tipo de =A< se puede ca%biar? as co%o la asignacin de un direccin 3& est2tica? %2scara de subred? puerta de entrada? la configuracin de DF &? &&&o@ y &&T&" Ta%bi6n puede activar o desactivar el blo9ueo de redes privadas y redes #ogon" Hna notable e/cepcin a esta es la tecnologa inal2%brica =A<? 9ue %ostrar2 las opciones de configuracin inal2%brica al lado de la tpica

=A< opciones"
Hna de las opciones disponibles a9u 9ue no se %uestra en el asistente de configuracin es la capacidad de deshabilitar la espacio de usuario de aplicacin FT&I&ro/y? ta%bi6n conocido co%o el ayudante de FT&" Si est2 eMecutando un FT& p;blico JFile Transfer &rotocolK detr2s de pfSense? es posible 9ue desee para 9ue el ayudante de FT& para 9ue cone/iones FT& funcione correcta%ente" Tenga en cuenta 9ue al hacer esto todas las cone/iones FT& se parecen

A1

onfiguracin

vienen desde el router pfSense ya estar2 actuando co%o un pro/y" 'er Seccin B"C"(? NFT&N de %2s infor%acin en profundidad sobre el pro/y FT& y te%as relacionados con el FT&"

1"*"*" 3nterfaD LA<


Algunas opciones adicionales para el lado de la LA< est2n disponibles en las interfaces LA< ade%2s de establecer la direccin 3&? 9ue fue cubierto en el Asistente para la instalacin"
@l puente con opcin puente de la interfaD LA< a otra interfaD en el siste%a" onsulte

a aptulo ,? &uente &ara obtener %2s infor%acin sobre el puente"


Al igual 9ue con la configuracin de la interfaD =A<? ta%bi6n hay una opcin para deshabilitar el espacio de usuario de FT&
aplicacin &ro/y" Hsted debe casi sie%pre deMar este habilitado" uando est2 activo en la LA<

lado? esto pro/y cone/iones FT& y hacerlo de %odo 9ue los clientes de la LA< pueden utiliDar la protocolo FT& nor%al%ente en %odo activo? y el pro/y se abrir2 y redireccionar los puertos adecuados

din2%ica%ente durante una sesin FT&"

1"*"1" 3nterfaces opcionales


ual9uier adicional opcional J:&TGK interfaces ta%bi6n se %ostrar2n en este %en;? baMo :&T(? :&T) """ :&TG? o no%bres de encargo dado a la interfaD" @stas interfaces tienen unas cuantas opciones %2s de

la interfaD LA<? pero %enos de la =A<" &ara habilitar una interfaD territorio palestino ocupado? pri%ero debe co%probar la Fabilitar opcional x 3nterfaD de casilla?
donde x es el n;%ero actual de la interfaD del territorio palestino ocupado 9ue est2 configurando" &or eMe%plo? en :&T(? dira Fabilitar una interfaD opcional" Ta%bi6n puede ca%biar el no%bre de esta interfaD %ediante la introduccin de una #reve descripcin" @sta descripcin JD!E? servidores de la :ficina? 3ngeniera? etcK aparecer2 en su lugar de N:&T(N en los %en;s y de configuracin" @sto hace 9ue sea %ucho %2s f2cil de recordar no slo lo 9ue es una interfaD para el? sino ta%bi6n para identificar a un interfaD para a0adir reglas de firewall o elegir

otras funciones de cada interfaD"


interfaces de :&T se puede fiMar para DF & o 3& est2tico? y co%o con la red =A< 9ue puede alterar el !A

direccin y !TH" Al igual 9ue el interfaD LA<? es posible 9ue ta%bi6n puente de una interfaD a otra :&T interfaD? uni6ndose a ellos en el %is%o do%inio de broadcast" Hsted puede usar esto para a0adir otro puerto

a la LA<? o crear un puente D!E"


Si va a ser una interfaD =A< :&TItipo? para una configuracin %ultiI=A<? debe entrar en una direccin de puerta de enlace 3&? as a %enos 9ue est6 utiliDando DF &" @n (")"/ pfSense slo se puede usar un servidor DF & o est2tico cone/in 3& por un perodo adicional de interfaD =A<? no un tipo &&&o@ o &&T& cone/in" @sta cuestin ser2 debatida en pfSense )"+" &ara obtener %2s detalles sobre la configuracin de %;ltiples

cone/iones =A<? consulte aptulo ((? !;ltiples cone/iones =A<"

A>

onfiguracin

La opcin de ayuda de FT& ta%bi6n est2 disponible" onsulte Seccin B"C"(? NFT&N para %2s infor%acin"

1"1" :pciones generales de configuracin


Algunas opciones de siste%a general se encuentran en Siste%a onfiguracin general? la %ayora de ellos se ver2 fa%iliares del asistente de configuracin"
@l no%bre de host y de do%inio? servidores D<S? los rganos de ad%inistracin de usuario y contrase0a? y el

Eona horaria y el servidor <T& de tie%po se puede ca%biar si se desea? co%o se e/plica en el asistente de configuracin"
$unto con la capacidad de ca%biar los servidores D<S? no hay otra opcin: la lista de ad%itidos del servidor D<S 9ue sea ree%plaDada por DF & 7 &&& en =A<" @ste es en esencia lo 9ue dice? si est2 %arcada? pfSense utiliDar2 los servidores D<S 9ue se asignan de for%a din2%ica por DF & o &&&" 5ue se utiliDar2 por el propio siste%a y co%o aguas arriba servidores D<S para el pro%otor de D<S" @stos servidores se

no se trans%ite a los clientes DF & detr2s del siste%a de pfSense? sin e%bargo"
@l puerto y el &rotocolo =ebGH3 =ebGH3 se puede establecer" FTT& y FTT&S est2n disponibles" La las %eMores pr2cticas sera el uso de FTT&S para 9ue el tr2fico =ebGH3 se cifra? sobre todo si la servidor de seguridad se gestiona de for%a re%ota" Traslado de la =ebGH3 a un puerto alternativo es ta%bi6n una buena t2ctica para %ayor seguridad? y se va a liberar los puertos de 3nternet est2ndar para su uso con el puerto o hacia delante otros servicios? co%o un pro/y s9uid" &or defecto? el =ebGH3 utiliDa FTT& en el puerto C+ para el %eMor

co%patibilidad y facilidad de configuracin inicial"


&or ;lti%o? un te%a ta%bi6n se puede elegir" 'arios est2n incluidos en el siste%a base? y slo

hacer cos%6ticos I ca%bios en la apariencia de la =ebGH3 I no funciona"

1">" :pciones avanDadas de configuracin


@n virtud del siste%a AvanDada se encuentra una gran cantidad de opciones 9ue son de car2cter %2s avanDado" <inguna de estas opciones debera ser necesario el aMuste de una base de enruta%iento y configuracin de <AT? pero es posible 9ue algunos de los ca%bios rigen por estas opciones le ayudar2 en la personaliDacin de la configuracin de su

de %anera beneficiosa"
Algunas de estas opciones pueden ser cubiertos en %2s detalle en otras secciones del libro en su
discusin sera %2s actual o relevante? pero todos ellos son %encionados a9u con una breve

descripcin"

1">"(" onsola serie


Si este siste%a pfSense va a correr Nsin cabeDaN Jsin teclado? vdeo? ratn adMuntoK 9ue puede ser deseable para habilitar esta opcin? 9ue se redirigir la consola de entrada 7 salida a la serie

AA

onfiguracin

puerto" @sto desactivar2 el teclado a bordo? vdeo y ratn? pero le per%itir2 conectar un
cable de %de% nulo al puerto serie y 9ue gestiona directa%ente desde otro & o dispositivo de serie" Despu6s de

de hacer cual9uier ca%bio? aseg;rese de hacer clic en Guardar cuando haya ter%inado"
&ara obtener %2s infor%acin sobre la cone/in a una consola serie? consulte Seccin *"*">"(? N onectar una serie

able N y Seccin *"*">")? N@%peDar un cliente de serieN"

1">")" Secure Shell JSSFK


@l Secure Shell JSSFK servidor puede ser activado a distancia 9ue per%itir2 a la consola y el archivo de gestin" Hsted puede conectar con cual9uier cliente est2ndar de SSF? co%o el co%ando de :penSSF lnea de cliente ssh? &uTTS? Secure .T o iTer%" : bien la =ebGH3 no%bre de usuario Jco%o ad%inistradorK o

la cuenta de root puede ser utiliDado? y a%bos aceptan la contrase0a =ebGH3 de entrada"
Las transferencias de archivos desde y hacia el siste%a de pfSense ta%bi6n son posibles %ediante el uso de una copia segura JS &K

cliente? co%o scp de :penSSF de lnea de co%andos? FileEilla? =inS & o Fugu" &ara usar S &? debe conectarse co%o usuario root no ad%in"
&ara habilitar el SSF? active la casilla Munto a Activar Secure Shell" Ta%bi6n es %2s seguro para %over el Servidor SSF a un puerto alternativo" Al igual 9ue con %over el =ebGH3 a un puerto alternativo? 9ue proporciona una pe9ue0a %eMora de la seguridad? y libera el puerto si desea 9ue lo re%ita a un siste%a interno"

&ara ca%biar el puerto? escriba el nuevo puerto en el cuadro del puerto SSF"
Ta%bi6n puede configurar SSF para per%itir 9ue slo los inicios de sesin basada en clave y no una contrase0a" &ara ello? visita Deshabilitar la contrase0a de inicio de sesin de Secure Shell J LA'@ sola%enteK y pegar las teclas per%ite p;blica en el AutoriDado laves ca%po de te/to" a%biar a la entrada ;nica clave basada en una pr2ctica %ucho %2s segura?

aun9ue hace falta ser un poco %2s de preparacin para configurar"


Si usted se encuentra en una situacin 9ue e/ige 9ue se deMe libre el acceso SSF por el firewall nor%as? 9ue puede ser peligroso? es %uy reco%endable 9ue en esta situacin 9ue a%bos se %ueven el servicio SSF en un puerto aleatorio suplentes? y ca%biar a la autenticacin basado en claves" @l logro de un puerto alternativo evitar2 9ue el ruido de registro de los intentos de fuerDa bruta de inicio de sesin SSF y e/ploraciones ocasionales" Todava se puede encontrar con un escaneo de puertos? por lo 9ue ca%biar a la autenticacin basada en claves sie%pre deben debe hacerse en cada servidor SSF de acceso p;blico para eli%inar la posibilidad de 6/ito bruta

ata9ues de fuerDa"

1">"*" Fsica co%partida de red


Si tiene dos o %2s interfaces 9ue co%parten la %is%a red fsica? co%o en un escenario en %;ltiples interfaces est2n conectados a la %is%a trans%isin de do%inio? la opcin ;nica en este seccin? se oculta la espuria %ensaMes A.& 9ue de otro %odo? la sobrecarga de los registros con in;tiles

las entradas"

AB

onfiguracin

1">"1" 3&vA
@n la actualidad? pfSense no es co%patible con 3&vA de filtrado? aun9ue las reglas %uy per%isiva podra per%itir
el tr2fico 3&vA 9ue la %ayora de los usuarios no esperan 9ue el tr2fico 3&vA a abandonar su red? ya 9ue no se utiliDa" o%o tal? el tr2fico 3&vA se blo9uea de for%a predeter%inada" Si usted re9uiere 3&vA para pasar el firewall? consulte la caMa para per%itir el tr2fico 3&vA" Ta%bi6n puede activar <AT encapsulado de pa9uetes 3&vA Jel protocolo 3& 1(7.F )C,*K co%probando 9ue la caMa y entrar en una direccin 3&v1 a 9ue los pa9uetes deben

se trans%itir2"

1">">" Filtrado de &uente


Antes de la versin (")"( de pfSense? no fue una eleccin de si o no para filtrar el tr2fico en el puente interfaces? retenido desde el %6todo %2s antiguo de tender un puente utiliDado en %+n+wall" !2s reciente de Free#SD co%unicados de utiliDar una %etodologa distinta puente 9ue hiDo la pri%era opcin obsoleta" Sin e%bargo una descripcin se conserva a9u para evitar confusiones? ya 9ue %uchos usuarios est2n acostu%brados a utiliDarla? y

es %encionado en nu%erosos lugares"

1">"A" =ebGH3 certificado SSL 7 clave


Al utiliDar el %odo FTT&S para la =ebGH3 para cifrar el acceso a la interfaD web? por defecto el siste%a utiliDar2 un certificado con fir%a personal" @so no es una situacin ideal? pero es %eMor 9ue nada cifrado en absoluto" @sta opcin le per%ite utiliDar un certificado e/istente para %eMorar a;n %2s la seguridad

y proteger contra los ata9ues N%anIinItheI%iddle"


Si usted tiene un certificado SSL e/istentes y la clave? usted puede pegar a9u" Ta%bi6n hay un enlace deno%inado N reacin de certificados de for%a auto%2ticaN? lo 9ue disparar2 una funcin interna de pfSense a

generar un nuevo certificado con fir%a personal en su lugar"


La desventaMa principal de usar un certificado personaliDado de autoIgenerada es la falta de fiabilidad de la la identidad del hu6sped? ya 9ue el certificado no est2 fir%ado por una autoridad de certificacin de confianDa por su navegador" Ade%2s? dado 9ue la %ayor parte de los usuarios de 3nternet? un certificado no v2lido debera ser considera un riesgo? los navegadores %odernos han estado co%batiendo en la for%a en 9ue se %aneMan" Firefo/? por eMe%plo? ofrece una pantalla de advertencia y obliga al usuario a i%portar el certificado y per%iten e/cepcin per%anente" 3nternet @/plorer %ostrar2 una pantalla de advertencia con un enlace para continuar" :pera

%ostrar2 un di2logo de advertencia 9ue ta%bi6n per%ite una derivacin per%anente"

1">"B" @9uilibrio de carga


@l te/to de la =ebGH3 e/plica %eMor opcin Adherido one/iones en esta seccin: Sucesivos cone/iones ser2n redirigidos a los servidores de una for%a de roundIrobin con cone/iones desde el

AC

onfiguracin

%is%a fuente 9ue se enva al %is%o servidor web" @sta Ncone/in pegaMosaN e/istir2 sie%pre y cuando
hay estados 9ue hacen referencia a esta cone/in" Hna veD 9ue los estados e/pirar2? por lo 9ue ser2 la cone/in pegaMosa"

:tras cone/iones de host 9ue ser2 re%itido a un servidor web? el pr/i%o en el round robin"
NSticLyN cone/iones son deseables para algunas aplicaciones 9ue dependen de las 3&s %is%o ser %antenido a lo largo de un deter%inado perodo de sesiones" @sto se utiliDa en co%binacin con la carga del servidor

e9uilibrio de la funcionalidad? describe con detalle en aptulo (B? Servidor de e9uilibrio de carga"

1">"C" 'arios
A pocas opciones 9ue no encaMan en ninguna otra categora se puede encontrar a9u"

1">"C"(" Dispositivo de votacin


dispositivo de votacin es una t6cnica 9ue per%ite 9ue el siste%a peridica%ente dispositivos sondeo de la red para los nuevos datos en lugar de depender de las interrupciones" @sto evita 9ue su =ebGH3? SSF? etc de ser inaccesibles debido a la interrupcin de las inundaciones cuando baMo carga e/tre%a? a costa de latencia ligera%ente superior Jhasta (

%sK" @ste suele ser innecesaria? a %enos 9ue su hardware es insuficiente"


Sondeo ta%bi6n re9uiere soporte de hardware en las tarMetas de red de su siste%a" De acuerdo con la de votacin J1K La p2gina %an para Free#SD B") Jsobre el cual se basa pfSense (")"*K? la bge (4)?CC (4)? em (4)?EFT (4)?fwip (4)?fxp (4)?ixgb (4)?educacin no formal (4)?ESN (4)?Re (4)?rl (4)? sf (4)?sis (4)?ste (4)?stge (4)?GVE (4)?vr (4)? S xl (4) dispositivos son co%patibles?

con el apoyo de otras pendientes en futuras versiones de Free#SD"

1">"C")" !en; de la consola


<or%al%ente? el %en; de la consola sie%pre se %uestre en la consola del siste%a? y estar2 disponible co%o sie%pre y cuando tenga acceso fsico a la serie o el vdeo de la consola" @n algunas situaciones esto no es deseable? por lo 9ue esta opcin per%itir2 a la consola para ser protegido por contrase0a" Hsted puede ingresar con el %is%o no%bre de usuario y contrase0a 9ue se utiliDa para la =ebGH3" Despu6s de configurar esta opcin? debe reiniciar el siste%a

el siste%a de pfSense antes de 9ue surtan efecto"

<ota
Si bien esto deMa de pulsaciones de teclas accidentales? y %antener a los usuarios ocasionales? esto no es en %ediante un %6todo de seguridad perfecto" Hna persona con conoci%ientos de acceso fsico podra restablecer las contrase0as Jv6ase Seccin 1"(+")? NFe olvidado la contrase0a con un errado consola NK" Debe tener en cuenta otros %6todos de seguridad fsica si es 9ue

un re9uisito de su instalacin"

A,

onfiguracin

1">"C"*" =ebGH3 antiIblo9ueo


De for%a predeter%inada? el acceso a la =ebGH3 en la interfaD LA< se dar2 sie%pre? independiente%ente de la
las reglas de filtrado definidas por el usuario" Al habilitar esta caracterstica per%ite un control %2s preciso sobre el cual LA< direcciones 3& pueden acceder a la =ebGH3? pero aseg;rese de tener una regla de filtrado en su lugar para per%itir 9ue

acceso antes de habilitar esta opcinX

<ota
.estableci%iento de la 3& LA< de la consola del siste%a ta%bi6n se restablecer2 esta opcin" Si encuentra blo9ueado despu6s de habilitar esto? elegir la opcin de %en; de la consola para configurar
la 3& de la LA<? y entrar en la direccin e/acta%ente la %is%a 3& y la infor%acin adMunta"

1">"C"1" .uta est2tica de filtrado


Las reglas de firewall bypass para el tr2fico en la opcin %is%a interfaD slo se aplica si se han definido una o %2s rutas est2ticas" Si est2 habilitada? el tr2fico 9ue entra y sale por la %is%a interfaD no se co%probar2 por el firewall" @sto puede ser deseable en algunas situaciones en las %;ltiples

subredes est2n conectadas a la %is%a interfaD"

1">"C">" 3&sec &referral SA


De for%a predeter%inada? el caso de varias asociaciones de seguridad 3&Sec JSAK partido? el %2s nuevo es preferible si se trata de por lo %enos *+ segundos de edad" Seleccione esta opcin para preferir sie%pre SA de edad en los nuevos" @sto rara veD es

deseable" &ara %2s infor%acin sobre asociaciones de seguridad? consulte Seccin (*"("(? NAsociacin de SeguridadN

1">"," Traffic Shaper y Firewall avanDado


@stas opciones se rigen algunas de las funcionalidades %2s avanDadas y el co%porta%iento de baMo nivel

filtrado de pa9uetes realiDado por pf"

1">","(" FT& .F ,>, datos solucin puerto de violacin


Solucin para los sitios 9ue violan .F ,>,? 9ue especifica 9ue la cone/in de datos se obtienen de %enos un puerto 9ue el puerto de co%andos Jnor%al%ente el puerto )+K" @sta solucin no e/pone a un riesgo %ucho %2s co%o el servidor de seguridad sigue siendo slo per%ite cone/iones a un puerto en el 9ue

el pro/y FT& est2 escuchando"

B+

onfiguracin

1">",")" #orrar DF bits en lugar de deMar caer


@sta es una solucin para los siste%as operativos 9ue generan pa9uetes frag%entados con el no
frag%ento JDFK bit" Linu/ <FS J<etworL File Syste%K es conocido por hacer esto" @sto har2 9ue el filtro de no deMar caer los pa9uetes tales? sino 9ue borrar el bit no frag%entar" @l filtro ta%bi6n aleatoriDar el ca%po de identificacin 3& de los pa9uetes de salida con esta opcin? para co%pensar

siste%as operativos 9ue estableDca el bit DF? pero establece un cero de identificacin 3& ca%po de cabecera"

1">","*" Servidor de seguridad de :pciones de opti%iDacin


Fay a9u algunas opciones 9ue controlan c%o el servidor de seguridad caduca establece lo siguiente: <or%al Alta latencia Agresivos onservador @l algorit%o de opti%iDacin est2ndar" HtiliDadas para las cone/iones de alta latencia? co%o los enlaces por sat6lite" @/pira cone/iones inactivas a %2s tardar el defecto" @/pira inactivo cone/iones %2s r2pidas" Hn uso %2s eficiente de la &H y la %e%oria pero puede caer cone/iones legti%as antes de lo esperado" Trata de evitar 9ue se caigan las cone/iones legti%as a e/pensas de %ayor uso de %e%oria y utiliDacin de la &H"

1">","1" Deshabilitar el firewall


Si opta por desactivar todos los filtros de pa9uetes? 9ue a su veD? el siste%a pfSense en una ruta de slo platafor%a" o%o consecuencia? <AT ta%bi6n se desactivar2"

1">",">" Desactivar Firewall de fregado


Desactiva la opcin de lavado de fondos de pensiones? 9ue a veces pueden interferir con <FS y el tr2fico &&T&" De for%a predeter%inada? pfSense utiliDa la opcin de fregar al aDarIid 9ue aleatoriDa la identificacin 3& ca%po de un pa9uete para %ayor seguridad? y frag%entos de la opcin de volver a %ontar la 9ue se vuelva a %ontar pa9uetes frag%entados antes de enviarlos a" !2s infor%acin sobre la funcin Scrub se pueden encontrar

en el :pen#SD &F Scrub Docu%entacin [http:77www"openbsd"org7fa97pf7scrub"ht%l\"

1">","A" Servidor de seguridad de @stados %2/i%o


@stablece el n;%ero %2/i%o de cone/iones de celebrar en la tabla de estado de servidor de seguridad" @l valor por defecto es de (+?+++ y debe ser suficiente para la %ayora de las instalaciones? pero se puede aMustar %ayores o %enores dependiendo de la carga y la %e%oria disponible" ada estado consu%e alrededor de ( Q# de %e%oria .A!? o apro/i%ada%ente ( !# de .A! por cada ( +++ estados? as 9ue aseg;rese de tener suficiente %e%oria .A! antes de au%entar este"

Servidor de seguridad de los estados se tratan %2s en Seccin A"(")? Nfiltrado con estadoN"

B(

onfiguracin

1">","B" Desactivar AutoIagreg reglas '&<


@sto desactiva auto%2tica%ente a0adido nor%as para 3&Sec? &&T&? y :pen'&<" <or%al%ente? cuando se
habilitar una de estas redes privadas virtuales? las reglas se agregan auto%2tica%ente a la interfaD adecuada 9ue per%itir el tr2fico a los puertos" Al desactivar estas reglas auto%2tico? usted puede tener un %ayor control

sobre las 9ue las direcciones pueden conectarse a la '&<"

1">"(+" <etworL Address Translation


@l Deshabilitar <AT .efle/in opcin? cuando est2 activada? desactive la creacin auto%2tica de <AT redirigir las nor%as para acceder a sus direcciones 3& p;blicas dentro de sus redes internas" @ste opcin est2 activada de for%a predeter%inada? las reglas de refle/in para <AT no se crean a %enos 9ue ca%bie este aMuste" <AT refle/in slo funciona en el puerto ele%entos tipo de desvo y no funciona para los grandes rangos de %2s de >++ puertos" onsulte Seccin B">? N.efle/in <ATN para una discusin sobre la

fondo de .efle/in <AT en co%paracin con otras t6cnicas co%o Split D<S"

1">"((" :pciones de hardware


Fay algunas opciones especficas del hardware 9ue se pueden establecer" @stas opciones general%ente se debe deMar

solo? a %enos 9ue uno de los casos %encionados se aplica a su hardware"

1">"(("(" Descarga de su%a de co%probacin de hardware


Al seleccionar esta opcin? se deshabilita la descarga de su%a de co%probacin de hardware" descarga de su%a de co%probacin se ro%pe en algunos de hardware? en particular algunas tarMetas .ealteL" @n raras ocasiones? los conductores pueden tener proble%as con de control de descarga y algunas tarMetas de red especfica" Los snto%as tpicos de la su%a de co%probacin roto descarga

incluyen los pa9uetes da0ados y un rendi%iento pobre"

1">"((")" Deshabilitar la carga gl/sb


@l procesador A!D Geode LG de Seguridad del blo9ue JglxsbK ontrolador se utiliDa principal%ente en Ali/ y SoeLris siste%as e%bebidos" @s un acelerador criptogr2fico 9ue puede %eMorar el rendi%iento de ciertos siste%as de cifrado? co%o A@SI()C" @sto puede %eMorar el rendi%iento de '&< y otros subsiste%as 9ue pueden A@S usoI()C? tales co%o SSF" @ste controlador puede entrar en conflicto con otras tarMetas aceleradoras de criptografa? tales co%o los de Fifn? y tienen prioridad sobre ellos? cuando a%bos se encuentran" Si usted tiene un Fifn tarMeta? debe configurar esta opcin para 9ue el glxsb dispositivo no est2 cargado" Si el controlador ya est2

en uso? debe reiniciar el siste%a despu6s de establecer esta opcin para 9ue pueda ser descargada"

B)

onfiguracin

1"A" onceptos b2sicos del %en; de la consola


Algunas tareas de configuracin y %anteni%iento ta%bi6n se puede realiDar desde la consola del siste%a" La
la consola puede ser alcanDado %ediante el teclado y el ratn? la consola de serie si est2 activado o el uso de incorporado? o usando SSF" A continuacin se %uestra un eMe%plo de lo 9ue el %en; de la consola ser2 si%ilar? pero

puede variar ligera%ente dependiendo de la versin y platafor%a" *** Bienvenidos a pfSense-1.2.3 de pfSense pfSense *** LAN -> fxp1 -> 192.168.1.1 WAN -> fxp0 -> 1.2.3.4 pfSense configuracin de la consola *********************** 0) Cerrar sesin SSH (solamente) 1) Asignar interfaces 2) Establecer la direccin IP LAN 3) Reiniciar contrasea webConfigurator 4) Restablecer los valores predeterminados de fbrica 5) Reiniciar el sistema 6) Sistema de Parada 7) Ping acogida 8) Shell 9) PFtop 10) Filtro de Registros 11) Reiniciar webConfigurator 12) pfSense desarrolladores Shell 13) Actualizacin de la consola 14) Desactivar Secure Shell (sshd) 98) Mover el archivo de configuracin de dispositivo extrable Ingrese una opcin:
Lo 9ue sigue es una descripcin general de lo 9ue es posible %ediante el uso de la %ayora de estas opciones" Al igual 9ue con otras opciones avanDadas? algunos de ellos pueden ser cubiertos con %2s detalle en otras secciones de la

libro en el 9ue la discusin sera %2s actual o relevante"

B*

onfiguracin

1"A"(" Asignar interfaces


@sto reiniciar2 la tarea de asignacin de interfaD? 9ue fue cubierto en detalle en Seccin *")"*?
NAsignacin de interfacesN y Seccin *">"*"(? N%anual de Asignacin de interfacesN" Hsted puede crear

interfaces 'LA<? reasignar las interfaces e/istentes? o asignar nuevos"

1"A")" @stablecer la direccin 3& de la LA<


@sta opcin se puede utiliDar de la %anera obvia? para establecer la direccin 3& de la LA<? pero ta%bi6n hay algunas otras tareas ;tiles 9ue suceden al restablecer la 3& de la LA<" &ara e%peDar? cuando esta se establece?

ta%bi6n tienes la opcin de convertir DF & encendido o apagado? y establecer el rango DF & 3&"
Si ha deshabilitado la regla =ebGH3 antiIblo9ueo? se le pedir2 9ue vuelva a habilitarlo" Ser2 Ade%2s del siste%a para volver a FTT& en el puerto por defecto si se utiliDa un puerto no est2ndar" @sto se hace para

ayudar a los 9ue pueden encontrarse blo9ueado el uso de la =ebGH3 recuperar el acceso"

1"A"*" &erd %i contrase0a web onfigurator


@sta opcin se restablecer2 el no%bre de usuario y contrase0a =ebGH3 de nuevo a ad!in y pfSense?

? respectiva%ente"

1"A"1" .establecer los valores predeter%inados de f2brica


@sto restaurar2 la configuracin del siste%a a los valores predeter%inados de f2brica" Tenga en cuenta 9ue esto no ser2? Sin e%bargo? realiDar ning;n ca%bio en el siste%a de archivos o los pa9uetes instalados en el siste%a operativo" Si usted sospecha 9ue los archivos del siste%a se han da0ado o alterado de alguna %anera no deseada? lo %eMor es hacer una copia de seguridad? y volver a instalar desde el D u otros %edios de instalacin" JTa%bi6n posible en el =ebGH3

Diagnstico en valores predeter%inados de f2bricaK

1"A">" .einicio del siste%a


@sto li%pia el apagado del siste%a de pfSense y reiniciar el siste%a operativo JDiagnstico .einiciar en

=ebGH3K"

1"A"A" Detener el siste%a


@sto li%pia apagar el siste%a y? o bien fuera de detener o de energa? dependiendo en el hardware apoyo" <o se reco%ienda para sacar sie%pre el enchufe de un siste%a en funciona%iento? incluso incrustados siste%as" Detener antes de 9uitar el poder es sie%pre la opcin %2s segura si alguna veD necesita dar vuelta

B1

onfiguracin

apagar el siste%a" @n siste%as e%bebidos? tirando del enchufe? es %enos peligroso? pero si el tie%po es %alo ta%bi6n podra ser perMudicial JDiagnstico Detener siste%a en el =ebGH3K"

1"A"B" &ing de acogida


Solicita una direccin 3&? 9ue se envi a tres peticiones de eco 3 !&" La produccin de la ping

se %uestra? incluyendo el n;%ero de pa9uetes recibidos? los n;%eros de secuencia? los tie%pos de respuesta?

y el porcentaMe de p6rdida de pa9uetes"

1"A"C" Shell
3nicia un shell de lnea de co%andos" !uy ;til? y %uy potente? pero ta%bi6n tiene el potencial de ser %uy peligroso" Algunas tareas de configuracin co%pleMa puede re9uerir 9ue trabaMan en la c2scara? y algunas tareas de reparacin son %2s f2ciles de lograr de a9u? pero sie%pre hay una oportunidad de causar da0os irreparables en el siste%a si no se %aneMa con cuidado" La %ayora de los usuarios pfSense nunca

tocar la concha? e incluso saben 9ue e/iste"


'eterano de usuarios de Free#SD puede sentir un poco co%o en casa? pero hay %uchos co%andos 9ue no est2n presentes en un siste%a de pfSense? ya 9ue las partes innecesarias del siste%a operativo se retiran por raDones

de restricciones de seguridad y ta%a0o"


La concha co%enD de esta %anera se tcsh? y la c2scara slo est2n disponibles en otros es %ierda" A pesar de 9ue puede ser posible instalar otros shells Jv6ase Seccin )1"1? NHtiliDacin de Software de los puertos de Free#SD Siste%a Jpa9uetesK NK &ara la co%odidad de a9uellos 9ue est2n %uy fa%iliariDados con el siste%a operativo? esto no es

reco%ienda ni se ad%ite"

1"A"," &Ftop
&Ftop le da una visin en tie%po real de los estados de firewall? y la cantidad de datos 9ue han enviado y recibidos" &uede ayudar a identificar las direcciones 3& y las sesiones de %o%ento est2 usando el ancho de banda? y ta%bi6n puede ayudar a diagnosticar otros proble%as de cone/in de red" 'er Seccin ))"A")? N %o ver con

pftop N para %2s detalles"

1"A"(+" Filtrar registros


HtiliDando la opcin de filtro .egistros? podr2s ver ninguna de las entradas de registro de filtro aparece en tie%po real? en su for%a cruda" Fay bastante %2s infor%acin 9ue se %uestra por la lnea de lo 9ue nor%al%ente se ven en la vista del registro de firewall en el =ebGH3 J@stado .egistros del siste%a? pesta0a FirewallK? pero no todos los de este

la infor%acin es f2cil de leer"

B>

onfiguracin

1"A"((" .einicie web onfigurator


.einiciar el web onfigurator se reiniciar2 el proceso del siste%a 9ue eMecuta el =ebGH3" @n raras
ocasiones puede haber un ca%bio 9ue puede ser 9ue necesite esto antes de 9ue entrar2 en vigor? o en %uy

algunos casos el proceso puede haberse detenido por alguna raDn? y reiniciar ser2 restaurar el acceso"

1"A"()" pfSense desarrolladores Shell Jantes de shell &F&K


La c2scara de desarrolladores? 9ue sola ser conocido co%o el pfSense shell &F&? es una herra%ienta %uy poderosa 9ue le per%ite eMecutar cdigo &F& en el conte/to del siste%a en eMecucin" Al igual 9ue con la consola nor%al? ta%bi6n puede ser %uy peligroso utiliDar? y f2cil para 9ue las cosas van %al" @ste es utiliDado principal%ente por los desarrolladores y los usuarios e/peri%entados 9ue est2n nti%a%ente fa%iliariDado con &F& y pfSense la

cdigo base"

1"A"(*" ActualiDacin de la consola


on esta opcin? se puede actualiDar %ediante la introduccin de una direccin H.L co%pleta a una i%agen del fir%ware pfSense? o una ruta de acceso co%pleta locales de una i%agen cargada de alguna otra %anera" @ste %6todo de actualiDacin es

cubiertos en %2s detalle en Seccin *"B"*")? NAu%entar el uso de la consolaN"

1"A"(1" Activar 7 Desactivar Secure Shell JsshdK


@sta opcin le per%itir2 ca%biar el estado del de%onio de Secure Shell? sshd" Funciona

de %anera si%ilar a la %is%a opcin en el =ebGH3 cubiertos anterior%ente en este captulo? pero es accesible

desde la consola"

1"A"(>" !ueva el archivo de configuracin de dispositivo e/trable


Si desea %antener la configuracin del siste%a de al%acena%iento e/trable? co%o una %e%oria HS# unidad? esta opcin se puede utiliDar para trasladar el archivo de configuracin" Hna veD usado? aseg;rese de asegurarse de 9ue los %edios de co%unicacin es accesible en tie%po de arran9ue para 9ue pueda volver a cargar" @sto no es un %6todo nor%al de copias de seguridad de la configuracin" &ara infor%acin sobre c%o hacer copias de seguridad? consulte aptulo >? opia de seguridad y

.ecuperacin"

1"B" SincroniDacin de la hora


@l tie%po y los proble%as del reloM no son tan poco frecuentes en la configuracin de cual9uier siste%a? pero se puede i%portante hacerlo bien en los routers? sobre todo si est2 realiDando cual9uier tipo de tareas 9ue i%plican
validacin de certificados co%o parte de una infraestructura de &Q3" :btencin de sincroniDacin de tie%po para trabaMar

adecuada%ente es ta%bi6n una necesidad absoluta en siste%as e%bebidos? algunos de los cuales no tienen una batera

BA

onfiguracin

a bordo para preservar su fecha y la hora cuando se desconecta la ali%entacin" <o puede haber algunas
peculiaridades de obtener no slo una fecha adecuada y el tie%po en el siste%a? y %antener de esa %anera? pero

ta%bi6n en asegurarse de 9ue la Dona horaria est2 bien refleMada"


<o slo va a conseguir esta ayuda en lnea en todas las tareas crticas del siste%a? pero asegura ta%bi6n 9ue su los archivos de registro est2n debida%ente fechados? 9ue puede ser de gran ayuda en la solucin de proble%as? el %anteni%iento de registros?

y la gestin general del siste%a"

1"B"(" Eonas de tie%po


Hsted ver2 un co%porta%iento inesperado si se selecciona una de las co%pensaciones de tie%po con G!T Dones"The son lo contrario de lo 9ue esperas de ellos se basar2 en sus no%bres" &or eMe%plo? la G!TI> Dona es real%ente G!T %2s horas >" @sto viene de la base de datos TE 9ue Free#SD y

%uchos otros siste%as operativos Hni/ y Hni/Ico%o el uso"


Garrett =oll%an describe la raDn de esto en un Free#SD &. entrada de la base de datos [http:77

www"freebsd"org7cgi79ueryIpr"cgi8prc)1*C>\: @stas Donas se incluyen la co%patibilidad con los antiguos siste%as H<3G" Hsted tienen %2s probabilidades de convencer a los desarrolladores de bases de datos TE a caer por co%pleto de lo 9ue van a conseguir 9ue ca%bien las definiciones" @n cual9uier caso? Free#SD seguir la pr2ctica de la base de datos TE"
Actual%ente conta%os con un billete abierto para e/a%inar este asunto confuso para pfSense )"+" &ode%os 9uitar todas estas Donas con G!T desde la interfaD web por co%pleto" @n este %o%ento? se reco%ienda utiliDar

slo el no%bre husos horarios y no las Donas con G!T"

1"B")" Tie%po de !anteni%iento de &roble%as


&uede eMecutar en el hardware 9ue tiene proble%as i%portantes de %anteni%iento de tie%po" Todos los reloMes de la & a la deriva hasta cierto punto? pero usted puede encontrar un poco de hardware 9ue se deriva tanto co%o un %inuto por cada par de %inutos 9ue pasan y recibe co%pleta%ente fuera de sincroniDacin con rapideD" <T& est2 dise0ado de for%a peridica actualiDar la hora del siste%a para dar cuenta de la deriva nor%al? raDonable%ente? no puede corregir los reloMes 9ue la deriva de %anera significativa" @sto es %uy raro? pero si lo encuentro? el siguiente es9ue%a se

las cosas 9ue suelen solucionar este proble%a"


Fay cuatro cosas para co%probar si se encuentra con el hardware con el tie%po de %anteni%iento de i%portantes proble%as"

1"B")"(" &rotocolo de red Tie%po


De for%a predeter%inada? pfSense est2 configurado para sincroniDar su hora con el ntp"org de tie%po de red &rotocol J<T&K grupo de servidores" @sto asegura una fecha e/acta y la hora en su siste%a? y

BB

onfiguracin

cabida a la deriva reloM nor%al" Si la fecha de su siste%a y el tie%po son correctos? aseg;rese de <T& sincroniDacin funciona" @l proble%a %2s co%;n es la prevencin de la sincroniDacin la falta de configuracin de D<S correcta en el firewall" Si el servidor de seguridad no puede resolver no%bres de host? el sincroniDacin <T& fallar2" Los resultados de la sincroniDacin se %uestran en el arran9ue de la

registro del siste%a"

1"B")")" ActualiDaciones de #3:S


Fe visto a hardware antiguo 9ue corri bien durante a0os en el encuentro de =indows hora nor%al de las principales
proble%as despu6s de su repliegue en Free#SD Jy en consecuencia pfSense?K" Los siste%as se

eMecutando una versin de varias revisiones del #3:S de la fecha" Hna de las revisiones dirigi una crono%etraMe cuestin 9ue al parecer nunca afectadas de =indows por alguna raDn" La aplicacin de la #3:S actualiDacin solucionado el proble%a" Lo pri%ero 9ue debe co%probar es asegurarse de 9ue tiene la ;lti%a

#3:S de su siste%a"

1"B")"*" &<& configuracin de siste%a operativo en la #3:S


!e he encontrado con otro hardware 9ue tuvo tie%po de %anteni%iento de las dificultades en Free#SD y pfSense
a %enos &<& :S en el #3:S se pone en N<oN" Si su #3:S no tiene una configuracin de &<& :S

opcin? buscar un Nsiste%a operativoN aMuste y en N:trosN"

1"B")"1" Deshabilitar A &3


Algunos proveedores de #3:S han producido A &3 JAdvanced onfiguration and &ower 3nterfaceK i%ple%entaciones 9ue est2n en el %eMor de los buggy y peligrosos en el peor" @n %2s de una ocasin han encontrado 9ue los siste%as de arran9ue o no funcione correcta%ente si se ha desactivado la co%patibilidad con A &3

en el #3:S y 7 o en el siste%a operativo"


La %eMor %anera de desactivar A &3 en el #3:S" Si no hay opcin de #3:S para desactivar A &3? a continuacin? puede intentar correr sin ella de dos %aneras diferentes" @l pri%er %6todo? te%poral es deshabilitar A &3 en el arran9ue" Te%prano en el proceso de arran9ue? aparece un %en; con varias opciones? una de los cuales es de arran9ue pfSense con discapacidad A &3" Al elegir este? A &3 se desactivar2 para este

de inicio ;nico" Si el co%porta%iento %eMora? entonces debera deshabilitar A &3 de for%a per%anente"
&ara desactivar per%anente%ente A &3? debe agregar un valor a la / Boot / device.hints archivo" Hsted &ara ello? la navegacin de los Diagnsticos @ditar archivo? introduDca / Boot / device.hints y luego

haga clic en argar" A0adir una nueva lnea al final y luego escriba: hint.acpi.0.disabled = "1" A continuacin? haga clic en Guardar"

BC

onfiguracin

&ara una for%a alternativa de hacer esto? a partir de diagnsticos De co%andos o desde una shell tipo? lo siguiente: #ec0o E0int.acpi.0.disa)led * 1EFF 6 )oot 6 de$ice.0ints

<ota
La / Boot / device.hints archivo se sobrescribir2n durante la actualiDacin" Se consciente de 9ue tendr2 9ue repetir este ca%bio despu6s de realiDar una actualiDacin de fir%ware"

1"B")">" AMuste Ti%ecounter !arco de hardware


@n %uy pocos siste%as? el valor sysctl Lern"ti%ecounter"hardware posible 9ue tenga 9ue ser ca%biado a corregir un reloM ine/acta" &ara probar esto? vaya a Diagnsticos o%ando y eMecutar la

siguientes: #1ern.ti!eco(nter.0ard2are s/sctl-2 * i82"7


@sto har2 9ue el siste%a de utiliDar el chip ti%ecounter iC)>1? 9ue nor%al%ente %antiene la hora buena? pero

puede no ser tan r2pido co%o otros %6todos" Las opciones ti%ecounter otros se e/plicar2 %2s adelante"
Si el siste%a %antiene la hora correcta%ente despu6s de realiDar este ca%bio? usted necesita para hacer este ca%bio

per%anente" @l ca%bio anteriores no sobrevivir2 a un reinicio" @/a%inar para diagnstico

@dicin de archivos? la carga / Etc / sysctl.conf? S a0adir esto al final: kern.timecounter.hardware = i8254
Faga clic en Guardar y? a continuacin? 9ue el estableci%iento debe ser ledo de nuevo en el siguiente inicio" Alternativa%ente? usted podra

agregue la lnea utiliDando un %6todo si%ilar al deshabilitar A &3 arriba: #ec0o E1ern.ti!eco(nter.0ard2are i82"7 *EFF 6 etc 6 s/sctl.conf

<ota
La / Etc / sysctl.conf archivo se sobrescribir2n durante la actualiDacin" Tenga en cuenta

9ue tendr2 9ue repetir este ca%bio despu6s de realiDar una actualiDacin de fir%ware"
Dependiendo de la platafor%a y el hardware? ta%bi6n puede haber otros ti%ecounters a intentarlo" &ara una

lista de ti%ecounters disponibles se encuentran en su siste%a? eMecute el siguiente co%ando: #1ern.ti!eco(nter.c0oice s/sctl
A continuacin? debera ver una lista de ti%ecounters disponibles y su NcalidadN seg;n lo infor%ado por Free#SD:

B,

onfiguracin

kern.timecounter.choice: TSC (-100) ACPI de seguridad (850) i8254 (0) ficticia (-1.000.000) A continuacin? podra tratar de probar cual9uiera de los cuatro valores para el Lern"ti%ecounter"hardware sysctl
aMuste" @n t6r%inos de NcalidadN en este listado? cuanto %ayor sea el n;%ero? %eMor? pero real de la

facilidad de uso vara de siste%a a siste%a" @l TS es un contador de la &H? sino 9ue est2 vinculada a la velocidad de reloM y no es legible por otras &Hs" @sto hace 9ue su uso en siste%as S!& i%posible? y en a9uellos con procesadores de velocidad variable" @l iC)>1 es un chip de reloM 9ue se encuentran en la %ayora del hardware? 9ue tiende a ser seguro? pero puede tener algunos proble%as de rendi%iento" @l contador de A &3 de seguridad? si el apoyo adecuado en el hardware disponible? es una buena opcin? ya 9ue no sufren de la li%itaciones de rendi%iento de iC)>1? pero en la pr2ctica su precisin y la velocidad varan a%plia%ente dependiendo sobre la aplicacin" @sto y %2s infor%acin sobre Ti%ecounters Free#SD se puede encontrar en el de papel Ti%ecounters: @ficiente y crono%etraMe preciso en n;cleos S!& [http:77phL"freebsd"dL7 pubs 7\ ti%ecounter"pdf por &oulIFenning Qa%p del &royecto Free#SD"

1"B")"A" AMuste la frecuencia del te%poriDador del Lernel


@n algunos casos ta%bi6n puede ser necesario aMustar la frecuencia del te%poriDador del Lernel? o n;cleo Lern"hD ar%onioso" @sto es especial%ente cierto en entornos virtualiDados" @l valor por defecto es (+++? pero en algunos casos de (++? >+ o incluso (+ ser2 un %eMor valor en funcin del siste%a" uando se pfSense instalado en '!ware? 9ue detecta y configura auto%2tica%ente el (++? 9ue debera funcionar bien en casi todos los casos con los productos de '!ware" Al igual 9ue con el ti%ecounter aMuste anterior? para aMustar este aMuste 9ue a0adir una lnea a / Boot / loader.conf con el nuevo valor: kern.hz = 100

1"C" Solucin de proble%as


@l Asistente para la instalacin y las tareas relacionados con la configuracin funcionar2 para la %ayora? pero puede haber algunos cuestiones conseguir pa9uetes a fluir con nor%alidad en sus direcciones previsto" Algunas de estas cuestiones puede ser ;nico para su configuracin particular? pero se puede trabaMar a trav6s con algunos proble%as b2sicos"

1"C"(" <o se puede acceder desde la LA< =ebGH3


Lo pri%ero 9ue debe verificar si usted no puede acceder a la =ebGH3 de la LA< es el cableado" Si est2n directa%ente la cone/in de un & cliente a un interfaD de red en un siste%a de pfSense? usted puede necesitar una cable de cone/in a %enos 9ue uno o dos tarMetas de red de apoyo de AutoI!D3G"

Hna veD 9ue est6 seguro de 9ue hay una luD de enlace en a%bos tarMeta de red del cliente y la red LA< pfSense la interfaD? el siguiente paso es co%probar la configuracin T & 7 3& en el & desde el 9ue se tratando de conectar" Si el servidor DF & est2 habilitado en el siste%a de pfSense? ya 9ue ser2 por defecto? asegurar 9ue el cliente ta%bi6n se establece para DF &" Si el DF & est2 desactivado en el siste%a de pfSense? 9ue

C+

onfiguracin

tendr2 9ue codificar una direccin 3& en el cliente 9ue residen en la %is%a subred 9ue el pfSense
siste%a de direccin 3& LA<? con la %is%a %2scara de subred? y utiliDar la direccin 3& LA< pfSense co%o

su puerta de enlace y servidor D<S"


Si la configuracin de cableado y la red es correcta? usted debe poder hacer ping a la 3& LA< del
siste%a de pfSense desde el & cliente" Si puede hacer ping? pero sigue sin poder acceder a la =ebGH3? todava hay algunas cosas %2s para intentarlo" @n pri%er lugar? si el error 9ue recibe en la & cliente es un

restableci%iento de la cone/in o el fracaso? a continuacin? o el de%onio del servidor 9ue eMecuta el =ebGH3 no se est2 eMecutando?
o si est2 intentando acceder a 6l desde un puerto e9uivocado" Si el error 9ue recibe es en ca%bio una cone/in

tie%po de espera? 9ue apunta %2s hacia una regla de firewall"


Si recibe un restableci%iento de la cone/in? puede 9ue intenta reiniciar el proceso del servidor de la =ebGH3

consola del siste%a? por lo general la opcin ((" @n caso de 9ue no ayuda? iniciar un shell de la consola Jopcin

CK? y escriba: #soc1stat 5 grep lig0ttpd


@sto debera devolver una lista de todos los procesos 9ue se eMecutan lighttpd? y el puerto en los 9ue se

!;sica? as: raz lighttpd 437 9 TCP4 *: 80 *: *


@n esa salida? %uestra 9ue el proceso est2 escuchando en el puerto C+ de cada interfaD? pero 9ue puede variar seg;n la configuracin" &ruebe a conectar a la pfSense 3& LA< utiliDando ese puerto directa%ente? y con http y https" &or eMe%plo? si tu 3& LA< fue (,)"(AC"("(? y se escucha

en el puerto C)? intenta 0ttp:66192.168.1.1:82 y 0ttps: 6 6 192.168.1.1:82"


Si recibe un tie%po de espera de cone/in? consulte Seccin 1"(+? N5u6 hacer si se blo9uea de =ebGH3 N" on una cone/in de red ha configurado correcta%ente? esto no debera ocurrir? y 9ue

seccin ofrece vas de solucin de proble%as regla de firewall"


Ta%bi6n es una buena idea para corroborar 9ue la =A< y LA< no est2n en la %is%a subred" Si =A< se establece para DF & y est2 conectado detr2s de otro router <AT? ta%bi6n pueden estar usando (,)"(AC"("(" Si la %is%a subred 9ue est2 presente en =A< y LA<? resultados i%previsibles 9ue puede suceder? incluyendo no ser capaD de enrutar el tr2fico o acceder a la =ebGH3" @n caso de duda? desconecte el cable de =A<?

reinicie el router pfSense? y vuelve a intentarlo"

1"C")" <o 3nternet desde la LA<


Si usted es capaD de llegar a la =ebGH3? pero no en 3nternet? hay varias cosas a considerar" La interfaD =A< no est6 correcta%ente configurado? la resolucin D<S puede no estar funcionando? no podra ser un proble%a con las reglas del firewall? las reglas <AT? o incluso algo tan si%ple co%o un local

puerta de entrada cuestin"

C(

onfiguracin

1"C")"(" Te%as de interfaD =A<


@n pri%er lugar? co%probar la interfaD =A< para asegurarse de 9ue pfSense ve co%o operacionales" 'aya a @stado
3nterfaces? y ver el estado de la interfaD =A< all" @l estado debe %ostrar co%o NarribaN" Si %uestra abaMo? vuelva a revisar el cableado y la configuracin de la =A< en interfaces =A<" Si son a trav6s de &&&o@ o &&T& para el tipo de =A<? hay una lnea de situacin 9ue indica si el cone/in &&& est2 activa" Si no funciona? intente presionar el botn onectar" Si eso no funciona?

o%pruebe todos los aMustes en interfaces =A<? che9ue o reiniciar el e9uipo 3S&
J!de% de cable o DSL? etcK? y tal veD consultar con su 3S& para obtener ayuda con respecto a la configuracin 9ue

se debe utiliDar"

1"C")")" &roble%as D<S .esolucin


Dentro de la =ebGH3? vaya a Diagnsticos &ing? e introduDca su direccin de puerta de enlace del 3S& si saberlo" Se cotiDa en estado 3nterfaces para la interfaD =A<" Si usted no sabe la puerta de entrada? puede intentar alguna otra direccin conocida v2lida co%o 7.2.2.2" Si usted es capaD de ping a esa direccin? a continuacin? repetir 9ue la prueba de ping %is%o desde su & cliente" Abra un s%bolo del siste%a o ventana de ter%inal? y ping esa %is%a direccin 3&" Si puede hacer ping a la direccin 3&? a continuacin? intente ping a un sitio por su no%bre co%o 222.google.co!" 3nt6ntelo de la pfSense =ebGH3 y de la & cliente" Si la prueba de ping 3& funciona? pero no puede hacer ping por no%bre? entonces hay un proble%a con la resolucin de D<S" J'6ase Figura A")+? Nla resolucin &ruebas no%bre para actualiDaciones #ogonN para un eMe%plo"K Si la resolucin de D<S no funciona en el siste%a de pfSense? co%pruebe la configuracin del servidor D<S en Siste%a de onfiguracin general? y en @stado 3nterfaces" onsulte con ping para asegurarse de 9ue est2n
alcanDable" Si se puede llegar a la puerta de acceso a su 3S&? pero no a sus servidores D<S? puede ser

aconseMable contactar con su 3S& y co%prueba los valores" Si los servidores D<S son obtenidos a trav6s de DF & o &&&o@ y no se puede contactar con ellos? ta%bi6n puede ponerse en contacto con su proveedor de 3nternet sobre esa cuestin" Si todo esto falla? usted puede desear considerar el uso de :penD<S [http:77www"opendns"co%7\ J'6ase el Seccin )1")? Nfiltrado de contenidos con :penD<SNK servidores de no%bres en el router pfSense

en lugar de los proporcionados por su 3S&"


Si el D<S funciona desde el router pfSense? pero no desde un & cliente? podra ser el reenviador D<S configuracin en el siste%a de pfSense? la configuracin del cliente? o las reglas del cortafuegos" Fuera de la caMa? pfSense tiene un pro%otor de D<S 9ue se encargar2 de las consultas D<S para los clientes detr2s del router" Si & de los clientes est2n configurados con DF &? 9ue va a obtener la direccin 3& del pfSense
interfaD del router al 9ue est2n conectados co%o un servidor D<S? a %enos 9ue especifi9ue un ree%plaDo" &or

eMe%plo? si un ordenador est2 en el lado de la LA<? y el siste%a de LA< de pfSense direccin 3& es (,)"(AC"("(?
a continuacin? el servidor D<S del cliente ta%bi6n debe ser (,)"(AC"("(" Si ha deshabilitado el reenviador D<S?

ta%bi6n puede ser necesario aMustar los servidores D<S 9ue se asignan a los clientes DF & en Servicios

C)

onfiguracin

Servidor DF &" <or%al%ente? cuando el reenviador D<S est2 deshabilitado? el siste%a de servidores de D<S son asignados directa%ente a los clientes? pero si eso no es el caso en la pr2ctica para su configuracin? defina los
a9u" Si el e9uipo cliente no est2 configurado para DF &? aseg;rese de 9ue tiene la adecuada servidores D<S conMunto: o la direccin 3& LA< del siste%a de pfSense o servidores D<S lo interno o e/terno

9ue le gustara para 9ue utilice"


:tra posibilidad para D<S de trabaMo de pfSense en s? pero no un cliente local es de%asiado estricta reglas del firewall" o%probar estado .egistros del siste%a? en la pesta0a Firewall" Si usted ve blo9ueado las cone/iones de su cliente local tratando de llegar a un servidor D<S? entonces usted debe agregar una regla de firewall en el parte superior del conMunto de reglas para 9ue la interfaD 9ue per%ite cone/iones a los servidores D<S en T &

y el puerto HD& >*"

1"C")"*" liente <;%ero de puerta de enlace


&ara 9ue el siste%a de pfSense adecuada%ente el tr2fico de 3nternet de las rutas de & de su cliente? debe ser su puerta de enlace" Si el & del cliente se configuran usando el servidor DF & de pfSense? esto ser2 aMusta auto%2tica%ente" Sin e%bargo? si los clientes reciben infor%acin de DF & de un suplente DF & servidor? o de sus direcciones 3& han sido introducidos de for%a %anual? verifi9ue 9ue su puerta de enlace se establece para la direccin 3& de la interfaD a la 9ue se conectan en el siste%a de pfSense" &or eMe%plo? si los clientes est2n en el lado LA< pfSense? y es la direccin 3& para la interfaD LA< de pfSense

(,)"(AC"("(? entonces la direccin de un cliente de puerta de enlace se debe establecer en (,)"(AC"("("

1"C")"1" Firewall de Asuntos artculo


Si el defecto N one/in a cual9uierN nor%a se ha %odificado o eli%inado desde la interfaD LA<? el tr2fico intentar acceder a 3nternet desde los e9uipos cliente a trav6s del router pfSense pueden ser blo9ueados" @ste debe ser f2cil%ente confir%ado por la navegacin a @stado .egistros del siste%a? y busca en el servidor de seguridad ficha" Si no hay entradas 9ue %uestran blo9ueado las cone/iones de & LA< tratando de llegar a servidores de 3nternet? revisar su conMunto de reglas en el Firewall de one/in .eglas? a continuacin? la ficha one/in y
hacer

los aMustes necesarios para per%itir 9ue el tr2fico" onsultar aptulo A? Servidor de seguridad para %2s detalle infor%acin sobre la edicin o la creacin de nor%as adicionales"
Si funciona desde el lado de la LA<? pero no desde una interfaD territorio palestino ocupado? aseg;rese de tener las nor%as en vigor para

per%itir 9ue el tr2fico de salida" <o hay ninguna regla se crea de for%a predeter%inada en las interfaces de territorio palestino ocupado"

1"C")">" <AT uestiones artculo


Si las reglas <AT de salida han sido ca%biados de sus valores por defecto? ta%bi6n puede ser posible 9ue el tr2fico de intentar llegar a la 3nternet no tiene <AT se aplica correcta%ente" 'aya a Servidor de seguridad

C*

onfiguracin

<AT? y vaya a la ficha de salida" A %enos 9ue est6 seguro 9ue usted necesita es establecer el %anual? el ca%bio el aMuste a la salida de generacin de reglas <AT Jpasarela 3&secK y luego tratar de llegar a
a 3nternet desde un & cliente nuevo" Si eso no ayud a un & en la LA< para salir? entonces el

cuestin es probable 9ue en otros lugares"


Si usted tiene este conMunto en !anual de generacin de reglas de salida <AT J<AT avanDada de salida

JA:<KK? y funciona desde la LA<? pero no desde una interfaD territorio palestino ocupado? tendr2 9ue configurar %anual%ente una regla 9ue coincide con el tr2fico 9ue viene de all" !ira a la nor%a e/istente para LA< y aMustarlo en consecuencia? o consulte el captulo <AT para %2s infor%acin sobre c%o crear reglas de <AT de salida"
Lo %is%o se aplica para el tr2fico procedente de usuarios de '&<: &&T&? :pen'&<? 3&sec? etc Si estos usuarios

necesidad de llegar a 3nternet a trav6s de este router pfSense? se necesitan reglas <AT de salida para su

subredes" 'er Seccin B"A? N<AT SalienteN para %2s infor%acin"

1"," pfSense G!L del archivo de configuracin


tiendas pfSense todas sus configuraciones en un archivo de configuracin de for%ato G!L" Todos los aMustes del siste%a I escenarios? incluyendo los pa9uetes I se llevan a cabo en este archivo un" Todos los otros archivos de configuracin para el siste%a los servicios y el co%porta%iento se generan din2%ica%ente en tie%po de eMecucin basado en la configuracin de celebrarse dentro de

el archivo de configuracin G!L"


Algunas personas 9ue est2n fa%iliariDados con Free#SD y siste%as relacionados con la operacin han encontrado esto de la %anera difcil? cuando sus ca%bios en algunos archivos de configuracin del siste%a se sobrescribe varias veces

por el siste%a antes de llegar a entender 9ue pfSense se encarga de todo auto%2tica%ente"
La %ayora de la gente nunca se necesita saber dnde reside el archivo de configuracin? pero para la referencia es en / Cf / conf / config.xml" &or lo general? / Conf / es un enlace si%blico a / Cf / conf? &or lo 9ue ta%bi6n puede

ser accesible directa%ente desde / Conf / config.xml? &ero esto vara seg;n la platafor%a y siste%a de archivos dise0o"

1","(" @ditar %anual%ente la configuracin de su


Algunas opciones de configuracin est2n disponibles ;nica%ente editando %anual%ente el archivo de configuracin? aun9ue esto no es necesario en la gran %ayora de los despliegues" Algunas de estas opciones est2n cubiertos

en otras partes de este libro"


@l %6todo %2s seguro y %2s f2cil de editar el fichero de configuracin es hacer una copia de seguridad

Diagnstico opia de seguridad 7 restauracin? guarde el archivo en su & ? edite el archivo y realiDar los necesarios ca%bios? a continuacin? restaurar el archivo de configuracin %odificado para el siste%a"

C1

onfiguracin

1"(+" 45u6 hacer si usted consigue acceder a la =ebGH3


#aMo ciertas circunstancias usted puede encontrarse e/cluido de la =ebGH3? sobre todo debido a la
piloto de error" <o tengas %iedo? si esto le sucede? hay varias %aneras de volver pulg Algunos

%6todos son un poco difcil? pero sie%pre debera ser posible recuperar el acceso" Lo peor de los casos escenarios re9uieren acceso fsico" o%o usted recordar2 a principios de este captulo se %enciona 9ue cual9uier persona con acceso fsico puede pasar por alto las %edidas de seguridad y ahora usted ve c%o

f2cil 9ue es"

1"(+"(" 4:lvid su contrase0a


Si ha olvidado la contrase0a para el siste%a 9ue se puede restablecer con facilidad con acceso a la consola" Llegar a la opcin de fsica de la consola Jteclado 7 %onitor? o de serieK y el uso 3 para restablecer la contrase0a =ebGH3"

1"(+")" Fe olvidado la contrase0a con una consola errado


Si la consola est2 protegido por contrase0a y no tengo la contrase0a? no todo est2 perdido" Ser2

to%ar un par de reinicios para llevar a cabo? pero puede ser fiMa con acceso fsico a la consola: U .einiciar el cuadro de pfSense
U Seleccione la opcin 1 J%odo de usuario ;nicoK desde el %en; del gestor Jel uno con el pfSense AS 33

logoK U &ulse 3ntro cuando se le pida para iniciar 7 bin 7 sh U 'olver a %ontar todas las particiones co%o regrabables: #6 S)in 6 (fs !o(nt-tU @Mecute el co%ando integrado de restableci%iento de contrase0a: #6 Gtc 6 rc.initial.pass2ord U Siga las instrucciones para restablecer la contrase0a U .einiciar
Ahora debera ser capaD de acceder al siste%a con el no%bre de usuario y contrase0a por defecto de ad!in

y pfSense? .espectiva%ente"

C>

onfiguracin

1"(+"*" vs FTT& FTT&S confusin


Aseg;rese de 9ue est2 conectando con el protocolo adecuado? FTT& o FTT&S" Si uno no trabaMa?
tratar a los de%2s" Hsted puede encontrar 9ue hay 9ue probar el protocolo de lo contrario en el puerto de los de%2s? as:

U 0ttp:66pfsense)o-:773 U 0ttps: 6 6 pfsense)o-: 80


Si necesita restablecer este de la consola? vuelva a la 3& LA<? escriba la %is%a 3&? y pronto se

para restablecer la =ebGH3 volver a FTT&"

1"(+"1" Acceso blo9ueados con reglas de firewall


Si se blo9uea de la =ebGH3 de for%a re%ota con una regla de firewall? todava puede haber esperanDa" @sto no puede suceder de la LA< a %enos 9ue se desactive la nor%a antiIblo9ueo 9ue %antiene el acceso

a la =ebGH3 de esa interfaD" Tener 9ue ca%inar a alguien en el lugar a trav6s de fiMacin de la nor%a es %eMor 9ue perderlo todoX

1"(+">" Servidor de seguridad de for%a re%ota evadir blo9ueo con las reglas
Hsted puede J%uy te%poral%enteK deshabilita las reglas de firewall utiliDando la consola" &uede utiliDar la fsica consola? o si todava son capaces de obtener a trav6s de SSF? 9ue ta%bi6n va a funcionar" Desde la consola? utilice

opcin C para iniciar un shell? a continuacin? escriba: #pfctl-d


5ue desactivar el firewall" A continuacin? debera ser capaD de entrar en la =ebGH3 desde cual9uier lugar? al %enos por unos %inutos o hasta 9ue se guarda algo en la =ebGH3 9ue hace 9ue el conMunto de reglas para se vuelve a cargar J9ue es casi en cada p2ginaK" Hna veD 9ue haya aMustado a las nor%as y recuper el

el acceso es necesario? activar el firewall de nuevo? escribiendo: #pfctl-e


Alternativa%ente? el conMunto de reglas de carga se %antiene en / Tmp / rules.debug" Si est2 fa%iliariDado con la &F

conMunto de reglas de sinta/is? puede editar 9ue para arreglar el proble%a de conectividad y volver a cargar las reglas de este %odo: #pfctl-f 6 t!p 6 r(les.de)(g
Despu6s de volver a %eterse en la =ebGH3 con ese arreglo te%poral? hacer lo 9ue el trabaMo 9ue tiene 9ue hacer en =ebGH3 para hacer la revisin per%anente" Al guardar las reglas de la =ebGH3? 9ue te%poral

conMunto de reglas se sobrescribir2"

CA

onfiguracin

1"(+"A" Servidor de seguridad de for%a re%ota evadir blo9ueo con SSF T;nel
Si blo9ueado el acceso a la =ebGH3 de for%a re%ota? pero todava tiene acceso con SSF? entonces no es una for%a relativa%ente f2cil de conseguir en: t;nel SSF"
Si la =ebGH3 est2 en el puerto C+? configurar el cliente para reenviar el puerto local C+ Jo C+C+? o lo 9ue seaK al puerto re%oto Nlocalhost: C+N? a continuacin? diriMa su navegador a 0ttp:66local0ost:80 o lo de puerto local 9ue ha elegido" Si su =ebGH3 est2 en otro puerto? utilice en su lugar" Si usted est2

a trav6s de FTT&S 9ue todava tendr2 9ue usar FTT&S para acceder a la =ebGH3 esta %anera"

Figura 1"(1" onfiguracin de un t;nel SSF puerto C+ en &uTTS

CB

onfiguracin

Llene las opciones co%o se %uestra en Figura 1"(1? N onfiguracin de un t;nel SSF puerto C+ en &uTTSN? a continuacin?
haga clic en Agregar" Hna veD 9ue se conecte y escriba su no%bre de usuario 7 contrase0a? puede acceder a la =ebGH3

utiliDando el puerto redirigido locales"

1"(+"B" #lo9ueada debido a un error de configuracin de S9uid


Si accidental%ente configurar S9uid para utiliDar el %is%o puerto 9ue la =ebGH3? y luego no pueden obtener

de nuevo a arreglar la configuracin? puede 9ue tenga 9ue arreglarlo %ediante el siguiente procedi%iento" U onecte el siste%a de pfSense consola con SSF o el acceso fsico U 3niciar una concha? opcin C de la consola" U Ter%inar el proceso de cala%ar de este %odo: #6 9sr 6 local 6 etc 6 rc.d 6 parada s'(id.s0 Si eso no funciona? trate de esta %anera: #1illall -9 cala!ar o #s'(id-1 cierre
Hna veD 9ue el proceso de cala%ar est2 total%ente ter%inado? usted debera ser capaD de recuperar el acceso a la =ebGH3" Tenga en cuenta 9ue puede 9ue tenga 9ue trabaMar con rapideD? o repetir el co%ando shutdown? co%o el cala%ar puede

se reiniciar2 auto%2tica%ente"

1"((" &ensa%ientos finales de configuracin


Fay %illones de for%as de configurar un siste%a de pfSense? por lo 9ue es i%posible cubrir todos los aspectos de cada configuracin y solucin de proble%as en este libro" @n este captulo se proporciona una visin general de algunas de las opciones de configuracin general" Los pr/i%os captulos entrar en detalles sobre las capacidades individuales del software" o%o he%os %encionado al final del captulo introductorio? hay varias otras vas para obtener ayuda" Si ha intentado todas las sugerencias a9u y 9ue todava no son capaces de hacer pfSense realiDar co%o se esperaba? hay foros? 3. ? listas de correo? #;s9uedas de Google? y soporte co%ercial" Hsted es libre de adoptar el enfo9ue de bricolaMe? o si 9uisiera profesionales para cuidar de la configuracin para usted? el e9uipo de Soporte o%ercial es %2s 9ue capaD" &ara los enlaces a los %edios de soporte en lnea? consulte Seccin (",")? N %o

Ayuda N"

CC

aptulo >" #acLup y .ecuperacin


Gracias al archivo de configuracin basado en G!L utiliDado por pfSense? copias de seguridad son una brisa" Todos los
configuracin del siste%a se llevan a cabo en un solo archivo Jv6ase Seccin 1",? NpfSense G!L de configuracin
Archivo NK" @n la gran %ayora de los casos? este archivo se puede utiliDar para restaurar un siste%a a pleno funciona%iento

estado id6ntico a lo 9ue se estaba eMecutando anterior%ente" <o hay necesidad de hacer una copia de seguridad de todo el siste%a? co%o los archivos de siste%a de base no se %odifican por una nor%al? correr? siste%a" La ;nica e/cepcin es la caso de algunos pa9uetes? co%o FreeSwitch? 9ue dispongan de datos fuera del archivo de configuracin"

>"(" @strategias de copia de seguridad


La %eMor pr2ctica es hacer una copia de seguridad despu6s de cada ca%bio de %enor i%portancia? y tanto antes co%o despu6s de cada grandes ca%bios Jo una serie de ca%biosK" &or lo general? una copia de seguridad inicial se to%a slo en caso de 9ue el ca%bio est2n haciendo tiene efectos indeseables" Hna copia de seguridad despu6s de los hechosIse to%a despu6s de evaluar el ca%bio y asegurarse de 9ue tuvo el resultado previsto" copias de seguridad peridicas son ta%bi6n ser de ayuda? independiente%ente de

ca%bios? especial%ente en los casos en 9ue puede ser una copia de seguridad %anual se perdi por una raDn u otra"
pfSense hace una copia de seguridad interna en cada ca%bio? y es una buena idea para descargar un %anual
uno ta%bi6n" Las copias de seguridad auto%2ticas realiDados en cada ca%bio es bueno para volver a antes de

configuraciones despu6s de los ca%bios han de%ostrado ser perMudiciales? pero no son buenos para la recuperacin de desastres est2n en el propio siste%a y no se %antienen al e/terior" o%o es un proceso bastante sencillo y sin dolor? debe ser f2cil hacer un h2bito de descargar una copia de seguridad de veD en cuando? y %antenerlo en un lugar seguro" Si usted tiene una suscripcin de portal"pfsense"org [https: 7 7 portal"pfsense"org\? opias de seguridad

se pueden %aneMar con facilidad y de for%a auto%2tica para usted"


Si realiDa ca%bios en los archivos del siste%a? tales co%o parches personaliDados o %odificacin de los cdigos? 9ue Fay 9ue recordar hacer una copia de estos ca%bios con la %ano o con el pa9uete de copia de seguridad descritos en Seccin >"A? NArchivos de copia de seguridad y directorios con el pa9uete de copia de seguridadN? ya 9ue no ser2 respaldada de seguridad o restauracin de la incorporada en el siste%a de copia de seguridad" @sto incluye %odificaciones en los archivos del siste%a %encionado en el resto del libro? co%o / Boot / device.hints?/ Boot / loader.conf?/ Etc /

sysctl.conf? S otros"
Ade%2s de hacer copias de seguridad? ta%bi6n debe probarlos" Antes de introducir un siste%a en produccin? es posible 9ue desee hacer copia de seguridad de la configuracin? y luego li%pie la unidad de disco duro? y

luego intentar algunas de las diferentes t6cnicas de restauracin en este captulo" Hna veD 9ue est6 fa%iliariDado con la for%a de copia de seguridad y restaurar una configuracin? es posible 9ue desee poner a prueba peridica%ente copias de seguridad en un noIproduccin de la %29uina o la %29uina virtual" La ;nica cosa peor 9ue una copia de seguridad 9ue falta es una

copia de seguridad inservibleX

C,

#acLup y .ecuperacin

@n (")"/ pfSense? los datos del gr2fico de ..D? 9ue se encuentra en / Var / db / RRD? <o est2 respaldada por ninguna de las copia de seguridad de los procesos de accin" @ste proble%a se solucionar2 en la pr/i%a versin? donde los datos ..D puede ser considerado
en la copia de seguridad de archivos G!L de configuracin? pero esto puede no ser conveniente para algunas personas debido a la el au%ento de ta%a0o de este trae" Fay otras %aneras de asegurarse de estos datos es una copia de seguridad? sin e%bargo" 'er

Seccin >"A? NArchivos de copia de seguridad y directorios con el pa9uete de copia de seguridadN %2s adelante en este captulo"

>")" Facer copias de seguridad en la =ebGH3


Facer una copia de seguridad en la =ebGH3 es bastante si%ple" Diagnstico Slo tienes 9ue visitar opia de seguridad 7 restauracin" @n la seccin de configuracin de copia de seguridad de la p2gina? aseg;rese de 9ue la Dona de copia de seguridad se establece en BCDCS? J@l valor predeter%inado eleccinK a continuacin? haga clic en Descargar configuracin JFigura >"(? N opia de seguridad =ebGH3NK"

Figura >"(" =ebGH3 de copia de seguridad


Tu navegador web a continuacin? le pedir2 9ue guarde el archivo en alg;n lugar de la & se utiliDa para

ver la =ebGH3" Ser2 no%brado config-< ostnam!>-<tim!stam">. Xml? &ero 9ue puede ser ca%biado antes de guardar el archivo"

>"*" Hso del &a9uete Auto onfig#acLup


Suscriptores de portal"pfsense"org [https: 7 7 portal"pfsense"org\ Tienen acceso a nuestro auto%2tico onfiguracin de copia de seguridad de servicio? Auto onfig#acLup" La infor%acin %2s actualiDada sobre Auto onfig#acLup se puede encontrar en el sitio de docu%entacin de pfSense" [http:77doc"pfsense"org7

inde/"php 7 Auto onfig#acLup\

>"*"(" Funcionalidad y #eneficios


uando usted hace un ca%bio en su configuracin? es auto%2tica%ente encriptado con la clave

entr en su configuracin? a trav6s de FTT&S y subido a nuestro servidor" Slo cifrado

,+

#acLup y .ecuperacin

configuraciones se conservan en nuestro servidor" @sto le proporciona copia de seguridad instant2nea? segura fuera del sitio de su servidor de seguridad sin intervencin del usuario"

>"*")" pfSense o%patibilidad de versiones


@l pa9uete Auto onfig#acLup trabaMar2 con pfSense (")I.@L@AS@ y posteriores a todos

versiones incluyendo )"+"

<ota
Fay una advertencia a la utiliDacin de este pa9uete en pfSense (") I la ;nica for%a de poder e%pate la copia de seguridad auto%2tica en versin (") es para activar a todos los filtros de recarga"

La %ayora guarda la p2gina se activar2 un filtro a cargar? pero no todos"

>"*"*" 3nstalacin y configuracin


&ara instalar el pa9uete? visite Syste% &a9uetes y haga clic en el lado de la Auto onfig#acLup pa9uete" Se descargar2 e instalar2 el pa9uete" A continuacin? haga clic en el logotipo de pfSense en la parte superior de la p2gina? 9ue le devolver2 a la pri%era p2gina? y volver a cargar sus %en;s" A continuacin? encontrar2

Auto onfig#acLup en el %en; de diagnstico"

>"*"*"(" onfiguracin del no%bre de host


onfiguracin General p2gina" Las configuraciones se al%acenan por F5D< JFully 5ualified Do%ain <a%e? es decir? el no%bre de host b do%inioK? por lo 9ue debe asegurarse de 9ue cada servidor de seguridad 9ue son una copia de seguridad tiene un ;nico no%bre de do%inio co%pleto? de lo contrario
Aseg;rese de 9ue tiene un no%bre de do%inio ;nico y conMunto en el Siste%a

el siste%a no puede diferenciar entre varias instalaciones"

>"*"*")" onfiguracin Auto onfig#acLup


@l servicio se configura en virtud de Diagnstico Auto onfig#acLup" @n la ficha onfiguracin? rellene
portal"pfsense"org su no%bre de usuario y contrase0a? e introduDca una contrase0a de cifrado" Hsted debe usar una contrase0a larga y co%pleMa para asegurar 9ue su configuracin es segura" &ara su seguridad? conserva%os

slo las configuraciones de cifrado 9ue no sirven de nada sin la contrase0a de cifrado"

<ota
@s %uy i%portante guardar esta clave de cifrado en alg;n lugar fuera de su firewall I Si lo pierde? ser2 i%posible restaurar la configuracin si se pierde la

disco duro en el servidor de seguridad"

,(

#acLup y .ecuperacin

>"*"*"*" &rueba de la funcionalidad de copia de seguridad


.ealice un ca%bio en vigor una copia de seguridad de configuracin? tales co%o la edicin y el ahorro de un cortafuegos o <AT regla? haga clic en Aplicar ca%bios" 'isita de los diagnsticos Auto onfig#acLup pantalla? y usted
se %ostrar2 la pesta0a .estaurar? 9ue %ostrar2 una lista de las copias de seguridad disponibles? Munto con la p2gina 9ue

hiDo el ca%bio Jsi est2 disponibleK"

>"*"*"1" .ealiDar copias de seguridad de for%a %anual


A veces? puede obligar a una copia de seguridad de su configuracin" Hsted puede hacer esto en la restauracin ficha de la p2gina Auto onfig#acLup haciendo clic en el botn de copia de seguridad ahora en la parte inferior" @sto aparecer2 un cuadro donde se puede introducir %anual%ente una descripcin de la copia de seguridad" @s posible 9ue desee hacer esto antes de hacer una serie de ca%bios significativos? ya 9ue te deMar2 con una copia de seguridad especfica%ente 9ue %uestra la raDn de la copia de seguridad? 9ue a su veD hace 9ue sea f2cil volver a la configuracin previa de iniciar los ca%bios" Debido a 9ue cada ca%bio en la configuracin activa una copia de seguridad? al realiDar una serie de ca%bios puede ser difcil saber por dnde e%peDar? si usted necesita para volver" : puede 9ue desee %anual%ente copia de seguridad antes de actualiDar a una versin nueva pfSense? y el no%bre

copia de seguridad por lo 9ue es claro 9ue es la raDn por la 9ue hiDo la copia de seguridad"

>"*"*">" La restauracin de la configuracin


&ara restaurar una configuracin? haga clic en el botn a la derecha de la configuracin co%o se %uestra en el diagnstico Auto onfig#acLup pantalla en la ficha .estaurar" Se descargar2 el configuracin especificada de nuestro servidor? descifrarlo con su clave de cifrado? y restaurar 9ue" De for%a predeter%inada? no se reiniciar2" Dependiendo de los ele%entos de configuracin restaurada? un reinicio puede no ser necesario" &or eMe%plo? las reglas de cortafuegos y <AT se vuelve a cargar auto%2tica%ente despu6s de la restauracin de una configuracin" Despu6s de la restauracin? se le pregunta si desea reiniciar el siste%a" Si su restauracin

configuracin de nada los ca%bios 9ue no sean las reglas de <AT y firewall? debe elegir S"

>"*"1" .estauracin de %etal desnudo


Si usted pierde su disco duro? a partir de ahora debe hacer lo siguiente para recuperarse en una instalacin nueva"

(" 3nstale pfSense en el disco duro nuevo"


)" Abrir LA< y =A<? y asignar el no%bre de host y de do%inio e/acta%ente la %is%a 9ue fue

previa%ente configurado" *" 3nstale el pa9uete Auto onfig#acLup"

,)

#acLup y .ecuperacin

1" onfigurar el pa9uete Auto onfig#acLup co%o se describi anterior%ente? utiliDando su cuenta de portal y la contrase0a de cifrado 9ue utiliDaba anterior%ente" >" 'isita la ficha .estaurar y elegir la configuracin 9ue desea restaurar" A" uando se le pida 9ue reinicie despu6s de la restauracin? 9ue lo hagan" Ahora estar2 de regreso al estado de su servidor de seguridad de el ca%bio de configuracin anterior"

>"*">" o%probacin del estado Auto onfig#acLup


&uede co%probar el 6/ito de una carrera Auto onfig#acLup %ediante la revisin de la lista de copias de seguridad se %uestra en la ficha .estaurar" @sta lista se e/trae de nuestros servidores I si la copia de seguridad est2 en la lista? se

creado con 6/ito"


Si una copia de seguridad falla? una alerta se registra? y usted lo ver2 de desplaDa%iento en la parte superior de la interfaD web"

>"1" Suplente t6cnicas de copia de seguridad re%ota


Las siguientes t6cnicas pueden ta%bi6n utiliDarse para realiDar copias de seguridad re%ota? pero cada %6todo sus propios proble%as de seguridad 9ue puede descartar su uso en %uchos lugares" &ara e%peDar? estas t6cnicas no cifrar la configuracin? 9ue puede contener infor%acin confidencial" @sto puede resultar en la configuracin de su trans%isin a trav6s de un enlace no es de confianDa en el claro" Si tiene 9ue usar uno de estas t6cnicas? lo %eMor es hacerlo desde un enlace no =A< JLA<? D!E? etcK oa trav6s de una '&<" @l acceso a los %edios de al%acena%iento celebracin de la copia de seguridad ta%bi6n deben ser controlados? si no cifrado" @l pa9uete Auto onfig#acLup es un %edio %ucho %2s f2cil y %2s segura de la auto%atiDacin a distancia

copias de seguridad"

>"1"(" Tire con wget


La configuracin se puede recuperar desde un siste%a re%oto utiliDando wget? y podra ser un guin
con cron o por cual9uier otro %edio" 3ncluso cuando se utiliDa FTT&S? esto no es un transporte real%ente seguro desde el %odo de co%probacin del certificado est2 desactivado para dar cabida a los certificados con fir%a personal? lo 9ue per%ite

el ho%bre en los ata9ues del %edio" Al eMecutar copias de seguridad con wget a trav6s de redes de confianDa? 9ue debe utiliDar FTT&S con un certificado 9ue puede ser verificado por wget"
&ara una FTT&S enrutador 9ue eMecuta con un certificado con fir%a personal? el co%ando sera algo

co%o este: #2get-' - no-c0ec1-certificado - post-data HGn$iar descarga *H , 0ttps: 6 6admin:pfSenseD192.1 !.1.16 Diag_)ac1(p.p0p , -C-confignom"#e de $os%- IDate JK LK !K dK @K 3K SI -!l.

,*

#acLup y .ecuperacin

&ara un router funciona%iento regular FTT&? el co%ando sera: #2get-' - post-data HGn$iar descarga *H , 0ttp:66admin:pfSenseD192.1 !.1.16 Diag_)ac1(p.p0p , -C-confignom"#e de $os%- IDate JK LK !K dK @K 3K SI -!l. @n a%bos casos? ca%bie el no%bre de usuario y la contrase0a con la suya? y la direccin 3&
sera lo 9ue la direccin 3& es accesible desde el siste%a de realiDacin de la copia de seguridad" @l siste%a
realiDar la copia de seguridad ta%bi6n tendr2 acceso a la =ebGH3? por lo 9ue %odifica las reglas de firewall

en consecuencia" La eMecucin de este sobre la =A< no se reco%ienda? co%o %ni%o se debe utiliDar FTT&S? y restringir el acceso a la =ebGH3 de confianDa a un conMunto de direcciones 3& p;blicas" @s preferible hacer

esto a trav6s de '&<"

>"1")" @%puMe con S &


La configuracin ta%bi6n puede ser e%puMado en el cuadro de pfSense a otro siste%a H<3G con

scp" Hsando scp para e%puMar una copia de seguridad de una sola veD con la %ano puede ser ;til? pero su utiliDacin en un siste%a auto%atiDado la %oda tiene sus riesgos" La lnea de co%andos para scp variar2 %ucho dependiendo de su siste%a configuracin? pero puede verse co%o: #scp 6 cf 6 conf 6 config.-!l , usua#ioD"ac&up$os%: ac1(ps6config- I0ostna!eI - Idate JK LK !K dK @K 3K SI -!l. on el fin de i%pulsar la configuracin de una %anera auto%atiDada 9ue tendra 9ue generar un SSF clave sin contrase0a" Debido a la naturaleDa insegura de una clave sin contrase0a? lo 9ue genera co%o una llave se deMa co%o eMercicio para el lector" @sto a0ade cierto grado de riesgo debido al hecho de 9ue cual9uier persona
con acceso a ese archivo tiene acceso a la cuenta designada? sin e%bargo por9ue la clave es %antenerse en el

servidor de seguridad donde el acceso est2 %uy restringido? no es un riesgo considerable en la %ayora de escenarios" Si lo hace esto? garantiDar 9ue el usuario re%oto est2 aislada y tiene poco o nada de privilegios en el siste%a destino" Hn un entorno chroot S & puede ser conveniente en este caso" 'er la scponly shell disponibles para la %ayora de &latafor%as H<3G 9ue per%ite copias S & archivo? pero niega las capacidades interactivas de acceso" Algunos versiones de :penSSF tiene chroot apoyo incorporado para SFT& JSecure FT&K" @stas %edidas en gran %edida li%itar el riesgo de co%pro%iso con respecto al servidor re%oto? pero a;n as salir de su copia de seguridad datos en peligro" Hna veD 9ue el acceso est2 configurado? una entrada de cron se podra a0adir al siste%a de pfSense invocar scp" &ara obtener %2s infor%acin? visite la pfSense =iLi de docu%entacin o de la b;s9ueda en los foros"

>"1"*" #2sicas de copia de seguridad de SSF


Al igual 9ue la copia de seguridad del S &? hay otro %6todo 9ue el trabaMo de un siste%a H<3G otro" @ste %6todo no invoca el S & 7 SFT& capa? 9ue en algunos casos puede no funcionar correcta%ente si un siste%a est2 ya en un estado fallido"

,1

#acLup y .ecuperacin #ss0 root D192.1 !.1.1 cat 6 cf 6 conf 6 )ac1(p.-!lF config.-!l uando se eMecuta? esta orden dar2 lugar a una archivo lla%ado backup.xml en el trabaMo actual
directorio 9ue contiene la configuracin del siste%a de pfSense re%oto" La auto%atiDacin de este %6todo 9ue utiliDa cron es ta%bi6n posible? pero este %6todo re9uiere una clave SSF sin contrase0a co%o en el host realiDar la copia de seguridad" @sta clave per%itir2 el acceso ad%inistrativo a su servidor de seguridad? por lo 9ue debe

estar bien controlado" J'6ase Seccin 1">")? NSecure Shell JSSFKN para los detalles de configuracin de SSF"K

>">" La restauracin de copias de seguridad


opias de seguridad no le har2 %ucho bien sin los %edios para recuperar los archivos? y? por e/tensin? ponerlos a prueba" pfSense ofrece varios %edios para la restauracin de configuraciones" Algunos son %2s co%plicados 9ue otros? pero cada uno debe tener el %is%o resultado final: un siste%a en funciona%iento id6ntico a lo 9ue estaba all cuando

la copia de seguridad se hiDo"

>">"(" .estauracin de la =ebGH3


La for%a %2s f2cil para la %ayora de la gente para restaurar una configuracin es utiliDar la =ebGH3" <avegar

de Diagnstico opia de seguridad 7 restauracin? y ver la seccin de configuracin de restauracin JFigura >")?
N=ebGH3 .estaurarNK" &ara restaurar la copia de seguridad? seleccione el 2rea de la restauracin Jnor%al%ente BCDCSK? A continuacin? haga clic en @/a%inar" #us9ue el archivo de copia de seguridad en su & y? a continuacin? haga clic en el botn .estaurar configuracin" La configuracin se aplicar2? y el firewall se reiniciar2 con los valores obtenidos a partir de

el archivo de copia de seguridad"

Figura >")" =ebGH3 restauracin


!ientras 9ue es f2cil trabaMar con? este %6todo tiene una serie de condiciones cuando se trata de un co%pleto restaurar a un nuevo siste%a" @n pri%er lugar? tendra 9ue hacerse despu6s de 9ue el siste%a de destino no es necesaria en instalado y funcionando" @n segundo lugar? se re9uiere un & adicional conectado a una red de trabaMo Jo

cable cruDadoK detr2s del siste%a de pfSense 9ue est2 siendo restaurado"

,>

#acLup y .ecuperacin

>">")" La restauracin de la Fistoria de configuracin


@n caso de proble%as de %enor i%portancia? una de las copias de seguridad interna pfSense puede ser la %anera %2s f2cil hacer una copia de un
ca%bio" A partir de los diagnsticos opia de seguridad 7 .estaurar? haga clic en la ficha Fistorial de configuracin JFigura >"*? N onfiguracin de la FistoriaNK" Los ;lti%os *+ configuraciones se al%acenan? Munto con el actual onfiguracin en eMecucin" &ara ca%biar a una de estas configuraciones anteriores? haga clic en el lado

su entrada"

Figura >"*" onfiguracin de la Fistoria


La configuracin se puede ca%biar? pero un reinicio no es auto%2tica cuando sea necesario" a%bios %enores no re9uieren reiniciar el siste%a? a pesar de revertir algunos ca%bios i%portantes" &ara estar seguro? es posible 9ue desee para reiniciar el router con la nueva configuracin? vaya a Diagnsticos .einicie el siste%a y

haga clic en S"


configuraciones guardados anterior%ente se pueden eli%inar haciendo clic? pero no es necesario 9ue los eli%ine por %ano para ahorrar espacio? las copias de seguridad de configuracin antiguos se eli%inan auto%2tica%ente cuando los nuevos creado" @s posible 9ue desee eli%inar una copia de seguridad de un ca%bio en la configuracin de %alos conocidos para garantiDar

9ue no es accidental restaurado"

>">"*" .estauracin con un 3S&


ubierto en Seccin *"A? N3nstalacin de .ecuperacinN? @l instalador de &reI'uelo J&3FK se llevar2 a un archivo de configuracin 9ue se ha guardado en una unidad HS# y restaurarla en el funciona%iento configuracin durante el proceso de instalacin" @ste es probable%ente el %6todo %2s r2pido para restaurar una configuracin? co%o ocurre durante el proceso de instalacin sin intervencin %anual en el pfSense caMa" Arranca la pri%era veD con la nueva configuracin? y usted no tendr2 9ue preocuparse

tener un & de %ano para realiDar la restauracin a trav6s de la =ebGH3"

,A

#acLup y .ecuperacin

>">"1" La restauracin de !ontaMe de la F 7 FDD


@ste %6todo es popular entre los usuarios integrados" Si va a colocar la F o disco duro del siste%a de pfSense
a un e9uipo 9ue eMecuta Free#SD se puede %ontar la unidad y copiar una nueva configuracin directa%ente

en un siste%a instalado? o incluso copiar una configuracin de un siste%a fracasado"

<ota
Ta%bi6n puede realiDar esto en un siste%a de pfSense separado en lugar de una co%putadora Free#SD? pero no use un router produccin activa para este fin"

@n su lugar? utiliDar un siste%a de repuesto o un router de la prueba" @l archivo de configuracin se guarda en / Cf / conf / tanto para instala integrado y co%pleto? pero la diferencia es
en el lugar donde reside este directorio" &ara las instalaciones incrustadas? esto es en un seg%ento particular? tales co%o ad0s3 si la unidad est2 ad0" Gracias a G@:! J%arco de al%acena%iento %odularK las eti9uetas en los ;lti%os versiones de Free#SD y en uso en siste%as de archivos incrustados <ano#SD basado en este seg%ento ta%bi6n puede

tener acceso? independiente%ente del no%bre del dispositivo utiliDando la eti9ueta / Dev / ufs / cf" &ara las instalaciones nuevas?
es parte de la divisin de raD Jnor%al%ente ad0s1aK" Los no%bres de las unidades puede variar dependiendo del tipo y

posicin en el siste%a"

>">"1"(" @Me%plo incrustado


@n pri%er lugar? conectar la F a un lector de tarMetas HS# en un siste%a Free#SD u otro pfSense inactivos siste%a Jv6ase la nota en la seccin anteriorK" &ara la %ayora? 9ue se %ostrar2 co%o da0" Hsted ta%bi6n debe

ver %ensaMes de la consola 9ue refleMa el no%bre del dispositivo? y las eti9uetas G@:! reciente%ente disponible" Ahora %ontar la particin de configuracin: #!o(nt-t (fs 6 def 6 (fs 6 cf 6 !nt
Si por alguna raDn usted no puede usar las eti9uetas G@:!? utilice el dispositivo directa%ente co%o /

dev/da0s3" Ahora? una copia de configuracin en la tarMeta: #cp 6 (sr6)ac1(ps6pfSense6config-ali-.e-a!ple.co!-2009060618"M03.-!l , 6 3nt 6 conf 6 config.-!l A continuacin? aseg;rese de des%ontar la particin de configuracin: #(!o(nt 6 !nt

,B

#acLup y .ecuperacin

Desconecte la tarMeta? vuelva a introducirla en el router y vuelva a encenderlo" @l router debe estar en eMecucin
con la configuracin anterior" Si desea copiar la configuracin de la tarMeta? el proceso de

es el %is%o? pero los argu%entos para el co%ando cp se invierten"

>">">" .escate de configuracin durante la instalacin


Ta%bi6n se tratan en Seccin *"A? N3nstalacin de .ecuperacinN? este proceso se vuelva a instalar pfSense en un disco duro? pero %antener la configuracin 9ue est2 presente en esa unidad" @sto se utiliDa cuando el

contenidos del siste%a est2n da0ados de alguna %anera? pero el archivo de configuracin est2 intacto"

>"A" Los archivos de copia de seguridad y directorios con la copia de seguridad &a9uete
@l pa9uete de copia de seguridad le per%itir2 hacer copias de seguridad y restaurar cual9uier conMunto de archivos 7 carpetas en el del siste%a" &ara la %ayora? esto no es necesario? pero puede ser ;til para realiDar copias de seguridad o para la ..D pa9uetes co%o FreeSwitch 9ue pueden tener los archivos 9ue desea guardar Jpor eMe%plo? %ensaMes de voD"K &ara instalar el pa9uete? vaya a Siste%a &a9uetes? y encuentra respaldo en la lista? y haga clic"

Hna veD instalado? est2 disponible a partir de diagnsticos Los archivos de copia de seguridad 7 Dir" @s bastante si%ple de usar? co%o se %uestra en el eMe%plo siguiente"

>"A"(" opia de seguridad de datos ..D


@l uso de este pa9uete de copia de seguridad debe ser %uy f2cil de hacer una copia de seguridad de sus datos gr2fico ..D

J'6ase el Seccin ))">? N..D gr2ficosNK"


@n pri%er lugar? vaya a Diagnsticos Los archivos de copia de seguridad 7 Dir" Faga clic para a0adir una nueva ubicacin para el conMunto de copia de seguridad"

@n el ca%po <o%bre? introduDca RRD de datos" @n el ca%po .uta? escriba 6 +ar 6 d) 6 RRD" @stablecer @nabled +erdadero? S para la Descripcin? escriba NrOfico de datos RRD" Faga clic en Guardar"
@n la pantalla de copia de seguridad principal? haga clic en el botn opia de seguridad y? a continuacin se le presentar2 con un el archivo a descargar 9ue deber2 contener los datos ..D Munto con los otros directorios en el grupo de respaldo" Guardar en un lugar seguro? y considerar el %anteni%iento de %;ltiples copias si los datos es %uy

i%portante para usted"

>"A")" .estauracin de datos ..D

Diagnstico de

opia de seguridad de archivos 7 Dir? haga clic en @/a%inar y bus9ue un archivo de copia de

seguridad 9ue se previa%ente descargados" Faga clic en argar? y los archivos deben ser restaurados" Debido a 9ue la ..D archivos

,C

#acLup y .ecuperacin

slo se toc cuando se actualiDa una veD cada A+ segundos? usted no debera tener 9ue reiniciar el siste%a o reiniciar cual9uiera de los servicios una veD los archivos se restauran"

>"B" Advertencias y Gotchas


!ientras 9ue el archivo G!L de configuracin guardado por pfSense incluye todos los aMustes? lo hace
<o incluye las %odificaciones 9ue se han realiDado en el siste%a a %ano? tales co%o el %anual de

%odificaciones del cdigo fuente" Ade%2s? algunos pa9uetes re9uieren %6todos adicionales de copia de seguridad de

sus datos"
@l archivo de configuracin pueden contener infor%acin confidencial? co%o claves '&< o certificados? y contrase0as J9ue no sea la contrase0a de ad%inistradorK en te/to sin for%ato en algunos casos" Algunas contrase0as deben estar2 disponible en for%ato de te/to en tie%po de eMecucin? por lo 9ue seguro hash de las contrase0as i%posible" ual9uier confusin sera trivial de invertir para cual9uier persona con acceso al cdigo fuente I es decir? todo el %undo" Hna decisin consciente de dise0o se hiDo en %+n+wall? y continu en pfSense? a deMar las contrase0as en claro para 9ue sea su%a%ente claro 9ue el archivo contiene contenido delicado y deben ser protegidas co%o tales" &or lo tanto usted debe proteger las copias de seguridad de estos archivos en algunos %anera" Si los al%acena en un %edio e/trable? tenga cuidado con la seguridad fsica de 9ue los %edios de co%unicacin y7

o cifrar la unidad"
Si tiene 9ue usar la =ebGH3 trav6s de la =A< sin una cone/in '&<? debe por lo %enos el uso de FTT&S" De lo contrario? una copia de seguridad se trans%ite en claro? incluyendo cual9uier infor%acin confidencial dentro de ese archivo de copia de seguridad" @s %uy reco%endable 9ue utilice un vnculo de confianDa o encriptados

cone/in"

,,

aptulo A" Servidor de seguridad


Hna de las principales funciones de pfSense con independencia de la funcin en la 9ue se i%ple%enta es el filtrado
tr2fico" @ste captulo cubre los funda%entos de los cortafuegos? las %eMores pr2cticas? y la infor%acin 9ue

necesidad de configurar reglas de firewall 9ue sea necesario para su entorno"

A"(" Funda%entos de cortafuegos


@sta seccin trata principal%ente con los conceptos de servidor de seguridad de introduccin y sienta las bases para

ayudar a entender la %eMor %anera de configurar correcta%ente las reglas del firewall en pfSense"

A"("(" Ter%inologa b2sica


.egla y conMunto de reglas son dos t6r%inos utiliDados en este captulo" <or%a se refiere a una sola entrada en su firewall .eglas pantalla" Hna nor%a es una configuracin o una accin para saber c%o %irar o %aneMar tr2fico de la red" onMunto de reglas se refiere a todas las reglas de firewall en su conMunto" @sta es la su%a de todos los usuarios

configurado y se a0aden auto%2tica%ente las nor%as? 9ue est2n cubiertos %2s largo de este captulo"
@n pfSense? conMuntos de reglas se eval;an en base pri%er partido" @sto significa 9ue si usted lee el conMunto de reglas para una interfaD de arriba a abaMo? la pri%era regla 9ue coincida ser2 el 9ue se utiliDa" &rocesa%iento se detiene despu6s de llegar a este partido y luego la accin especificada por esa regla se to%a" !antenga sie%pre Teniendo esto en cuenta al crear nuevas reglas? especial%ente cuando se est2n elaborando nor%as para restringir el tr2fico" Las reglas %2s per%isivas sie%pre debe ser hacia la parte inferior de la lista? por lo 9ue las restricciones o

se pueden hacer e/cepciones por enci%a de ellos"

A"(")" Filtrado con estado


pfSense es un firewall" @sto significa 9ue slo per%iten el tr2fico en la interfaD donde el el tr2fico se inicia" uando se inicia una cone/in 9ue coincidan con una regla de paso en el cortafuegos? una entrada se crea en el cuadro del estado del cortafuegos? donde la infor%acin sobre las cone/iones activas a trav6s de la servidor de seguridad se %antiene" @l tr2fico de respuesta a las cone/iones iniciadas dentro de su red de for%a auto%2tica
le per%iti volver a su red por la tabla de estado" @sto incluye todo el tr2fico relacionado con un

protocolo diferente? co%o el control de los %ensaMes 3 !& 9ue se pueden proporcionar en respuesta a una red T &?

HD&? o con otros"


'er Seccin 1">",? NAdvanced Traffic Shaper y FirewallN y Seccin A"A"(+? NTipo de @stadoN

sobre las opciones de @stado y de los tipos"

(++

Servidor de seguridad

A"(")"(" @stado ta%a0o de la tabla


La tabla de estado de servidor de seguridad tiene un ta%a0o %2/i%o? para evitar 9ue el agota%iento de la %e%oria" ada estado tiene
apro/i%ada%ente ( Q# de %e%oria .A!" J'6ase Seccin )"1")"(? Nlas tablas de estado grandeN @stado sobre las grandes

tablas"K @l estado por defecto ta%a0o de la tabla en pfSense es de (+?+++" @sto significa 9ue si usted tiene activos (++++ cone/iones 9ue atraviesan el cortafuegos? cone/iones adicionales ser2 dado de baMa" @ste l%ite puede se incre%entar2 en la navegacin con el siste%a &2gina de avanDada? y desplaDarse hacia abaMo en el tr2fico Shaper y Firewall avanDado JFigura A"(? NAu%ento del ta%a0o de estado de la tabla a >+"+++NK" 3ntroduDca el n;%ero necesario para Servidor de seguridad de @stados %2/i%o? o deMe la casilla en blanco para el valor predeter%inado de (+"+++" Hsted puede ver el uso de su estado histrico en @stado ..D gr2ficos" @n la ficha Siste%a? seleccione

Gstados @n los gr2ficos desplegables"

Figura A"(" Au%ento del ta%a0o de estado de la tabla a >+"+++

A"("*" @l filtrado de entrada


@l filtrado de entrada se refiere al cortafuegos de tr2fico 9ue llega a la red de 3nternet" @n las i%ple%entaciones con %ultiI=A< 9ue tienen %;ltiples puntos de entrada" Las condiciones de entrada por defecto en pfSense es blo9uear todo el tr2fico? ya 9ue no hay reglas de per%iso de =A< de for%a predeter%inada" .espuestas al tr2fico

inici desde el interior de la red? se per%ite auto%2tica%ente a trav6s de la tabla de estado"

A"("1" @l filtrado de salida


@l filtrado de salida se refiere al filtrado de tr2fico iniciado dentro de la red destinada a la 3nternet o cual9uier otra interfaD en el firewall" pfSense? co%o casi todos los co%erciales y si%ilares soluciones de cdigo abierto? viene con una regla de LA< 9ue per%ite todo? desde la salida a la LA< De 3nternet" @sta no es la %eMor %anera de operar? sin e%bargo" Se ha convertido en el valor predeter%inado de facto en la %ayora de soluciones de servidor de seguridad? ya 9ue es si%ple%ente lo 9ue %2s deseo de la gente" @l error co%;n es creer

nada en la red interna es Ndigno de confianDaN? por lo 9ue 4por 9u6 preocuparse de filtrado8

A"("1"(" 4&or 9u6 debo e%plear filtrado de salida8


Desde %i e/periencia de trabaMo con un sinn;%ero de servidores de seguridad de nu%erosos vendedores a trav6s de

%uchas diferentes organiDaciones? e%presas %2s pe9ue0as y las redes do%6sticas no utiliDan salida

(+(

Servidor de seguridad

filtrado" Se puede au%entar la carga ad%inistrativa? ya 9ue cada nueva aplicacin o servicio puede re9uieren la apertura de puertos o protocolos adicionales en el firewall" @n algunos entornos? es difcil por9ue los ad%inistradores no sabe%os real%ente lo 9ue est2 sucediendo en la red? y no se atreven para ro%per las cosas" @n otros? es i%posible por raDones de poltica laboral" &ero usted debe esforDarse para per%itir slo el tr2fico %ni%o re9uerido para salir de la red? sie%pre 9ue sea posible" @strecha salida

filtrado es i%portante por varias raDones"


(" Li%itar el i%pacto de un siste%a co%pro%etido I %alware nor%al%ente utiliDa los puertos y protocolos 9ue no son necesarios en %uchas redes" !uchos robots se basan en cone/iones 3. para lla%ar a casa y recibir instrucciones" Algunos se utiliDan puertos %2s co%unes? co%o el puerto T & C+ Jnor%al%ente FTT&K para evadir el filtrado de salida? pero %uchos no lo hacen" Si no per%iten el puerto T & AAAB? el

habitual puerto de 3. ? 9ue puede paraliDar los robots 9ue se basan en el 3. para funcionar"
:tro eMe%plo 9ue he visto es el caso de 9ue la interfaD en el interior de una instalacin pfSense se viendo >+ a A+ !bps de tr2fico? %ientras 9ue la =A< tenan %enos de ( !bps de rendi%iento" <o se no otras interfaces en el firewall" Algunos investigacin puso de %anifiesto la causa co%o un peligro siste%a en la LA< utiliDando un robot 9ue participan en una denegacin de servicio distribuido JDDoSK contra un sitio web de Muegos de aDar chino" Se utiliDa el puerto HD& C+? probable%ente por un par de raDones" @n pri%er lugar? HD& per%ite enviar grandes pa9uetes sin co%pletar un protocolo de enlace T &" on con estado servidores de seguridad son la nor%a? los grandes pa9uetes T & no pasar2 hasta 9ue el apretn de %anos con 6/ito co%pletado? lo 9ue li%ita la eficacia de los ata9ues DDoS" @n segundo lugar? a9uellos 9ue e%pleen salida filtrado son co%;n%ente de%asiado per%isiva? lo 9ue per%ite T & y HD&? T &? donde slo se re9uiere?
co%o en el caso de FTT&" @n esta red? el puerto HD& C+ no fue per%itido por el conMunto de reglas de salida? por lo 9ue

todos los DDoS estaba realiDando estaba golpeando la interfaD interna del servidor de seguridad con el tr2fico 9ue se estaba cado" @staba buscando en el servidor de seguridad de una raDn no relacionada y encontr6 esto? sino 9ue era feliD avanDaba a sin degradacin del rendi%iento y el ad%inistrador de la red

no saba lo 9ue estaba sucediendo"


S!T& saliente es otro eMe%plo" Slo se debera per%itir S!T&? el puerto T & )>? para deMar la red de su servidor de correo" : si tu servidor de correo aloMadas en servidores e/ternos? slo per%iten sus siste%as internos para hablar con ese siste%a especficos no incluidos en el puerto T & )>" @sto evita 9ue cual9uier otro siste%a en la red se utilice co%o un Do%bie de spa%? ya 9ue su S!T& el tr2fico se reduMo" @sto tiene la ventaMa evidente de hacer su parte para li%itar el spa%? y ta%bi6n evita 9ue su red se agreguen a las nu%erosas listas de negro a trav6s de 3nternet 9ue

le i%pide el envo de correo electrnico legti%o %uchos servidores de correo"


La solucin correcta es evitar 9ue este tipo de cosas suceda en pri%er lugar? pero filtrado de salida proporciona otra capa 9ue puede ayudar a li%itar el i%pacto si otras %edidas

no"
)" &revenir un co%pro%iso I en algunas circunstancias? filtrado de salida puede i%pedir 9ue sus siste%as no se vean co%pro%etidas" Algunas e/plotaciones y gusanos re9uieren el acceso de salida para tener 6/ito" Hn

(+)

Servidor de seguridad

eMe%plo %2s vieMo pero bueno de esto es el gusano ode .ed a partir de )++(" @l e/ploit causado afectados
siste%as para tirar de un archivo eMecutable a trav6s de TFT& JTrivial File Transfer &rotocolK y luego eMecutar 9ue" Su servidor web? casi seguro 9ue no es necesario para utiliDar el protocolo TFT&? y el blo9ueo TFT& a trav6s de filtrado de salida prevenir la infeccin por ode .ed? incluso en los servidores no actualiDados" @ste es en gran %edida slo es ;til para detener total%ente los ata9ues auto%atiDados y gusanos? co%o un hu%ano real

atacante se encuentra todos los aguMeros 9ue e/isten en el filtrado de salida y usarlos a su favor"
Hna veD %2s? la solucin correcta para la prevencin de co%pro%iso es corregir las vulnerabilidades de su red?

Sin e%bargo filtrado de salida puede ayudar"


*" Li%ite el uso de aplicaciones no autoriDadas I %uchas aplicaciones? tales co%o clientes '&<? peerItoIpeer software? progra%as de %ensaMera instant2nea y %2s confan en los puertos o protocolos atpica para su funciona%iento" !ientras 9ue un n;%ero creciente de peerItoIpeer y %ensaMera instant2nea hop ser2 el puerto hasta encontrar algo les per%ite salir de la red? %uchos se ver2 i%pedido de funcionar por una salida restrictivas

conMunto de reglas? y este es un %edio eficaD para li%itar %uchos tipos de conectividad '&<"
1" &revenir 3& spoofing I esta es una raDn co%;n%ente citada para el e%pleo de filtrado de salida?

pero pfSense blo9uea auto%2tica%ente el tr2fico a trav6s de la funcionalidad falsa antispoof &F? por lo 9ue no es aplicable en este caso"
>" prevenir fugas de infor%acin I ciertos protocolos no se debe per%itir 9ue salgan de su red" @Me%plos especficos pueden variar de un entorno a otro" !icrosoft .& J.e%ote &rocedure allK en el puerto T & (*>? <et#3:S sobre T & y los puertos HD& (*B a (*,? y S!# 7 3FS JServer !essage #locL 7 o%%on 3nternet File Syste%K de T & y HD& 11> son eMe%plos co%unes de los servicios 9ue no se debe per%itir 9ue salgan de su red" @sto puede evitar 9ue la infor%acin sobre su red interna de fugas en la 3nternet? y evitar2 9ue sus siste%as de iniciar los intentos de autenticacin con servidores de 3nternet" @stos protocolos ta%bi6n se incluyen en Nli%itar el i%pacto de un siste%a co%pro%etidoN? co%o se indic anterior%ente? ya 9ue %uchos gusanos se han basado en estos protocolos para funcionar en el pasado" :tros protocolos 9ue pueden ser relevantes en su entorno se syslog? S<!& y traps S<!&" La restriccin de este tr2fico prevenir %al configurados los dispositivos de red de envo de registro y otros potencial%ente a la infor%acin sensible en 3nternet" @n lugar de preocuparse por lo 9ue podra protocolos a fuga de infor%acin de la red y deben ser blo9ueados? slo per%iten el tr2fico 9ue

se re9uiere"

A"("1")" @nfo9ues para la aplicacin de filtrado de salida


@n una red 9ue? histrica%ente? no ha e%pleado filtrado de salida? puede ser difcil saber lo 9ue el tr2fico es real%ente necesario" @n esta seccin se describen algunos enfo9ues para la aplicacin de egreso

filtrado en la red"

(+*

Servidor de seguridad

A"("1")"(" DeMe 9ue lo 9ue conoce%os? blo9uear el resto? y el trabaMo a trav6s de la lluvia
Hn enfo9ue es agregar reglas de firewall para el tr2fico 9ue usted conoce necesita estar per%itido" o%ience con hacer una lista de cosas 9ue sabe%os 9ue son necesarios? co%o en Tabla A"(? Ntr2fico de la salida necesariaN" Descripcin FTT& y FTT&S de todos los hosts S!T& de correo 3& de origen cual9uier 3& del servidor de 3& de destino cual9uier cual9uier &uerto de destino T & C+ y 11* T & )> T & y HD& >*

correo cual9uier servidor .ecursiva D<S 3& del servidor D<S consultas de los internos Servidores D<S

Tabla A"(" Salida de tr2fico necesarios


A continuacin? configure las reglas de firewall en consecuencia? y deM caer todo lo de%2s"

A"("1")")" el tr2fico de registro y an2lisis de los registros


:tra alternativa es habilitar el registro en las reglas de su pase? y enviar los logs a un servidor syslog?
donde se puede analiDar para ver lo 9ue el tr2fico se salga de su red" Dos an2lisis de registros

pa9uetes con soporte para for%ato de registro &F son fwanalog ( y Facha)" Hsted puede encontrar %2s f2cil de analiDar los registros con un script personaliDado? si usted tiene e/periencia con el an2lisis de archivos de te/to" @ste ayudar2 a crear el conMunto de reglas necesarias con %enos consecuencias 9ue debe tener una %eMor idea de lo 9ue

el tr2fico es necesario en la red"

A"(">" #lo9ue vs .echaDar


Fay dos %aneras de no per%itir el tr2fico en las reglas del cortafuegos pfSense I blo9uear y rechaDar" @l blo9ue !arco silencio gotas de tr2fico" @ste es el co%porta%iento por defecto de la regla de denegacin de pfSense? por lo tanto? en un

configuracin por defecto? todo el tr2fico iniciado desde 3nternet se reduMo en silencio"
.echaDar enva una respuesta al negar tr2fico T & y HD&? deMando 9ue el host 9ue inici el tr2fico Sabe%os 9ue la cone/in fue rechaDada" .echaDado el tr2fico T & recibe un T & .ST JresetK en respuesta?
y rechaD el tr2fico HD& recibe un %ensaMe 3 !& inalcanDable en respuesta" Aun9ue usted puede especificar

rechaDo de cual9uier regla de firewall? los protocolos 3& 9ue no sean T & y HD& no son capaces de ser rechaDado I
( )

http:77www"di/ongroup"net7hatchet7

(+1

Servidor de seguridad

estas nor%as en silencio caer2 otros protocolos 3&" @sto se debe a 9ue no e/iste un est2ndar para rechaDar otros protocolos"

A"(">"(" 4Debo usar el blo9ue o rechaDar8


Fa habido %ucho debate entre los profesionales de la seguridad en los ;lti%os a0os en cuanto al valor de
blo9ue frente a rechaDar" Algunos argu%entan 9ue el uso de blo9ue tiene %2s sentido? alegando 9ue NralentiDaN

atacantes de e/ploracin de 3nternet" uando se utiliDa rechaDar? una respuesta se enva de nuevo in%ediata%ente 9ue el puerto est2 cerrado? %ientras 9ue el blo9ue silenciosa%ente descarta el tr2fico? haciendo 9ue el esc2ner del atacante puerto esperar una respuesta" @ste argu%ento en realidad no tienen agua por9ue cada lector buen puerto puede escanear cientos o %iles de hosts al %is%o tie%po? y no est2 all sentado esperando un respuesta de los puertos cerrados" Fay una diferencia %ni%a en el consu%o de recursos y velocidad de e/ploracin? pero tan leve 9ue no debe ser una consideracin" Si blo9uea todo el tr2fico de la 3nternet? hay una diferencia notable entre el blo9ue y rechaDar I nadie sabe su siste%a es real%ente en lnea" Si usted tiene incluso un ;nico puerto abierto? el valor es %ni%o por9ue el atacante sabe 9ue se encuentra en lnea? y ta%bi6n saber 9u6 puertos est2n abiertos o no rechace blo9ueado cone/iones" Si bien no es un valor i%portante en el blo9ue %2s de rechaDar? le reco%iendo sie%pre

utiliDando el blo9ue de las reglas de la =A<"


&ara conocer las reglas en las interfaces internas? le reco%iendo usar rechaDar en la %ayora de las situaciones" uando un host intenta para acceder a algo 9ue no est2 per%itido en las reglas de su firewall? la aplicacin puede acceder a 6l cuelgue hasta 9ue el cabo con el tie%po" on el rechaDo? ya 9ue la cone/in es in%ediata%ente rechaDado?
evita estas paradas" @sto es por lo general no es %2s 9ue una %olestia? pero en general siguen siendo

reco%enda%os el uso de rechaDo? para evitar posibles proble%as de aplicacin 9ue en silencio deMando caer el tr2fico dentro de su red podra inducir" <o es un efecto secundario de esto 9ue puede ser un factor en su eleccin de blo9uear o rechaDar" Si utiliDa rechaDar? se hace %2s f2cil para las personas dentro de su red de deter%inar sus polticas de filtrado de salida co%o el servidor de seguridad? 9ue ellos sepan lo 9ue est2 blo9ueando" A;n es posible para los usuarios internos para asignar las reglas de salida cuando se utiliDa el blo9ue? slo se necesita una

poco %2s de tie%po y esfuerDo"

A")" 3ntroduccin a la pantalla de .eglas de cortafuegos


@sta seccin incluye una introduccin y una visin general de la pantalla .eglas de cortafuegos" @n pri%er lugar? ver para Firewall <or%as" on ello se abre el conMunto de reglas =A<? 9ue por defecto no tiene otras entradas 9ue los de las redes privadas y redes de #lo9ue #lo9ue #ogon si habilit ellos? co%o se %uestra en Figura A")? N.eglas predeter%inadas =A<N" Si hace clic en el a la derecha de las redes privadas de blo9ues o #lo9ue redes #ogon nor%as? 9ue le llevar2 a la p2gina de configuracin de interfaD =A<? donde estas opciones pueden ser activadas o desactivadas" J'6ase Seccin A">"("*? N#lo9ue .edes &rivadasN y Seccin A">"("1? N.edes #lo9ue #ogonN para %2s infor%acin sobre el blo9ueo privado y #ogon

redes"K

(+>

Servidor de seguridad

Figura A")" &redeter%inado =A< nor%as


Faga clic en la ficha one/in para ver las reglas de LA<" De for%a predeter%inada? esto es slo el #P> por defecto -F c(al'(ier regla co%o se ve en Figura A"*? N.eglas predeter%inadas de LA<N"

Figura A"*" &or defecto de LA< nor%as


<or%as para otras interfaces se pueden ver haciendo clic en sus fichas respectivas" :&T interfaces aparecen con sus no%bres descriptivos? por lo 9ue si usted design a su :&T( interfaD D!E? a continuacin? la ficha

de sus reglas ta%bi6n dicen D!E"


A la iD9uierda de cada regla es un icono indicador 9ue %uestra la accin del @stado I pass? blo9uear o rechaDar" Si est2 habilitado el registro para la regla? el crculo aDul 9ue contiene un i se %uestra all" Lo %is%o

iconos se utiliDan para las reglas de %ovilidad reducida? e/cepto en el icono? co%o la regla? ser2 atenuada"

(+A

Servidor de seguridad

A")"(" Adicin de una regla de firewall


Faga clic en cual9uiera de los botones del servidor de seguridad: .eglas de la pantalla para agregar una nueva regla" La parte superior e inferior
botones? co%o se %uestra en Figura A"1? NA0adir opciones de la regla de LA<N? a0adir2 una nueva regla" La parte superior agrega

una regla a la parte superior del conMunto de reglas? %ientras 9ue la parte inferior agrega la regla en la parte inferior"

Figura A"1" A0adir LA< opciones de la regla


Si desea hacer una nueva regla 9ue es si%ilar a una regla e/istente? haga clic en el en el final de la fila" La pantalla de edicin aparecer2 con la configuracin de la regla e/istente precargada? lista ser aMustado" &ara obtener %2s infor%acin acerca de c%o configurar la regla 9ue se acaba de agregar? ver

Seccin A"A? N onfiguracin de las reglas del cortafuegosN"

A")")" @dicin de reglas de firewall


&ara editar una regla de firewall? haga clic en el a la derecha de la regla? o haga doble clic en cual9uier parte del la lnea" A continuacin? ser2 llevado a la pantalla de edicin de esta nor%a? donde se puede hacer necesario aMustes" 'er Seccin A"A? N onfiguracin de las reglas del cortafuegosN &ara obtener %2s infor%acin sobre las opciones

disponible cuando se edita una regla"

A")"*" Traslado de reglas de firewall


Las reglas pueden ser reordenados por su cuenta o en grupos" &ara %over las reglas de la lista? %ar9ue la casilla a las nor%as 9ue deben ser %ovidos? o un solo clic en la regla ta%bi6n se %arca la casilla? a continuacin? haga clic en el botn de la fila 9ue debe estar por debaMo de las nor%as reubicados" uando pasa el

(+B

Servidor de seguridad

%2s puntero del ratn? una barra gruesa aparecer2 para indicar 9ue las nor%as se insertan" Despu6s de
hace clic en? las nor%as y luego se introduce por enci%a de la fila elegida" Ta%bi6n puede elegir las reglas de

se %ueven por un solo clic en cual9uier lugar dentro de la fila 9ue desee seleccionar"

A")"1" @li%inacin de reglas de firewall


&ara eli%inar una sola regla? haga clic a la derecha de la regla" Se le pedir2 9ue confir%e la

eli%inacin? y si esto es lo 9ue 9uera hacer? haga clic en Aceptar para eli%inar real%ente la regla"
&ara eli%inar varias reglas? %ar9ue la casilla al inicio de las filas 9ue deben ser eli%inados? a continuacin? haga clic en el en la parte inferior de la lista" Las reglas ta%bi6n se pueden seleccionar haciendo clic en un solo lugar

en su lnea"

A"*" Alias
Alias le per%iten a los puertos de grupo? los eM6rcitos? o las redes y se refieren a ellos por su no%bre en el servidor de seguridad nor%as? la configuracin de <AT y la configuracin de la talladora de tr2fico" @sto le per%ite crear de %anera significativa %2s corto y %2s %aneMables conMuntos de reglas" ual9uier cuadro en la interfaD web con un fondo roMo se

alias a%biente"

<ota
Alias en este conte/to no debe confundirse con la interfaD de alias 3&? 9ue son

un %edio de agregar direcciones 3& adicionales para una interfaD de red"

A"*"(" onfiguracin de Alias


&ara agregar un alias? vaya al servidor de seguridad pantalla de Alias y haga clic en el botn" Los siguientes secciones describen cada tipo de alias 9ue se pueden utiliDar" @n (")"/ pfSense? cada alias est2 li%itado a ),, %ie%bros"
&ara agregar nuevos %ie%bros a un alias? haga clic en el en la parte inferior de la lista de entradas en el Firewall

Alias &antalla de edicin"

A"*"("(" Anfitrin Alias


alias de host per%iten crear grupos de direcciones 3&" Figura A">? N@Me%plo anfitriones aliasN %uestra

un eMe%plo de uso de un alias de hosts para contener una lista de servidores web p;blicos"

(+C

Servidor de seguridad

A"*"(")" .ed de Alias


alias de red le per%ite crear grupos de redes? o rangos de 3& a trav6s del uso de 3D. resu%en" slo los servidores ta%bi6n pueden incluirse en los alias de red %ediante la seleccin de un 7 *) red %2scara" Figura A"A? N@Me%plo de alias de redN %uestra un eMe%plo de un alias de red 9ue se utiliDa

%2s adelante en este captulo"

A"*"("*" &uerto Alias


&uerto alias per%iten la agrupacin de los puertos y rangos de puertos" @l protocolo no se especifica en el alias? %2s bien la regla de firewall en el 9ue utiliDa el alias definir2 el protocolo co%o T &? HD&? o

a%bos" Figura A"B? N@Me%plo puertos aliasN %uestra un eMe%plo de un alias de los puertos"

A"*")" Hso de alias


ual9uier cuadro con un fondo roMo aceptar2 un alias" Al escribir la pri%era letra de un alias en cual9uier cuadro de entrada co%o? una lista de alias de Muego se %uestra" &uede seleccionar el alias deseado?

o su escriba el no%bre en su totalidad"

<ota
autoco%pletar Alias %ay;sculas y %in;sculas" Si usted tiene un alias lla%ado servidores web y tipo de una %in;scula NwN? este alias no aparecer2" Hna capital N=N se debe utiliDar" @ste

ya no ser2 el caso en )"+"


Figura A"C? NTer%inacin auto%2tica de alias de los eM6rcitosN %uestra c%o el alias configurados co%o servidores web %uestra en la Figura A">? N@Me%plo de alias de hostsN se pueden utiliDar en el ca%po de destino cuando se a0ade o edicin de una regla de firewall" Seleccione Nsolo host o aliasN? a continuacin? escriba la pri%era letra del alias 9ue desee" 3 acaba de escribir : y el alias aparece co%o se %uestra" Slo alias del tipo adecuado se %uestran" &or ca%pos 9ue re9uieren una direccin 3& o subred? ;nico hu6sped y los alias de red se %uestran" &ara los ca%pos 9ue re9uieren los puertos? los alias de los puertos slo se %uestran" Si hubiera varios alias a partir de

N=N? la lista desplegable 9ue aparece se %uestran todos los alias correspondientes"

(+,

Servidor de seguridad

Figura A"C" Ter%inacin auto%2tica de alias de hosts


Figura A",? NTer%inacin auto%2tica de alias de los puertosN %uestra la ter%inacin auto%2tica de los alias de los puertos
configurado co%o se %uestra en la Figura A"B? N@Me%plo de alias puertosN" De nuevo? si varios alias 9ue coincida con el letra introducida? todos los alias 9ue se pongan en venta en la lista" &uede hacer clic en el alias 9ue desee para elegirlo"

Figura A"," Ter%inacin auto%2tica de alias de puertos


Figura A"(+? N@Me%plo de uso de la .egla AliasN %uestra la regla 9ue he creado con los servidores web y =ebports alias" @sta regla se encuentra en la =A<? y per%ite a cual9uier fuente para las direcciones 3& se define en el

Alias de servidores web utiliDando los puertos definidos en el alias webports"

Figura A"(+" @Me%plo Artculo Hso de alias


Si pasas el ratn sobre un alias en el servidor de seguridad .eglas de pantalla? aparece un cuadro 9ue %uestra el contenido de los alias con las descripciones incluidas en el alias" Figura A"((? NAl pasar por %uestra @M6rcitos contenido N %uestra esto para el alias de servidores web y Figura A"()? NAl pasar %uestra &uertos

contenido N para el alias puertos"

((+

Servidor de seguridad

Figura A"((" Al pasar %uestra el contenido de los @M6rcitos

Figura A"()" Al pasar %uestra el contenido de &uertos

A"*"*" Alias !eMoras en )"+


pfSense )"+ le per%itir2 a los alias nido dentro de otros alias? e incluir2 la capacidad de introducir una direccin H.L de un alias para su descarga"
pfSense )"+ ta%bi6n incluye un ad%inistrador de usuario para :pen'&<? y la posibilidad de crear alias agrupacin :pen'&< usuarios" &or eMe%plo? los usuarios de T3 pueden necesitar el acceso a su red interna? pero los de%2s usuarios slo necesitan tener acceso a un pe9ue0o subconMunto de la red" :pen'&< alias de usuario

hacer tan f2cil de lograr" :pen'&< se aborda con %2s detalle en aptulo (>? :pen'&<"

(((

Servidor de seguridad

A"1" Firewall de !eMores &r2cticas artculo


@sta seccin cubre algunas de las pr2cticas %2s generales a tener en cuenta a la hora de configurar el cortafuegos"

A"1"(" Denegar por defecto


Fay dos filosofas b2sicas de seguridad infor%2tica relacionados con control de acceso I por defecto per%itir y denegar por defecto" Hsted sie%pre debe seguir una estrategia de denegacin predeter%inada con el servidor de seguridad reglas" onfigurar las reglas para per%itir slo el tr2fico desnudo %ni%o re9uerido para las necesidades de la red? y deMar 9ue la cada de descanso con pfSense incorporado en su defecto regla de denegacin" Al seguir esta %etodologa? el n;%ero de reglas de denegacin en su conMunto de reglas debe ser %ni%a" @llos todava tienen un lugar para algunos usos? pero se reducir2n al %ni%o en la %ayora de entornos? siguiendo una estrategia de denegacin predeter%inada" @n una LA< predeter%inado de la interfaD de configuracin de dos y =A<? pfSense utiliDa un defecto negar la filosofa en la =A< y per%itir 9ue un defecto en la LA<" Todo entrante desde 3nternet se le niega? y todo lo 9ue a 3nternet desde la LA< est2 per%itido" Todos los routers do%6sticos grado utiliDar este %etodologa? al igual 9ue todos los proyectos si%ilares de cdigo abierto y las ofertas co%erciales %2s si%ilares" @s lo 9ue la %ayora de la gente 9uiere I por lo tanto? es la configuracin por defecto" Sin e%bargo? no es la reco%endada

%edio de la operacin"
pfSense usuarios suelen preguntar N49u6 cosas %alas tengo 9ue blo9uear8 @sa es la pregunta e9uivocada? ya 9ue se aplica a un defecto per%iso de %etodologa" To% nota de la seguridad profesional .anu% !arcus incluye por defecto per%iso de su NSeis ideas %2s tontos en Seguridad 3nfor%2ticaN de papel? 9ue se reco%ienda lectura para cual9uier profesional de la seguridad" * &er%ita 9ue slo lo 9ue necesita? y no deMar la por defecto 9ue todos los pronunciarse sobre la LA< y la adicin de reglas de blo9ueo de Ncosas %alasN por enci%a del @stado lo per%itan"

A"1")" 5ue sea corto


uanto %2s corto sea el conMunto de reglas? %2s f2cil es %aneMar" conMuntos de reglas largas son difciles de trabaMar? au%entar las posibilidades de error hu%ano? tienden a ser de%asiado per%isiva? y %ucho %2s

difciles de auditar" HtiliDar alias para ayudar a %antener su conMunto de reglas lo %2s corto posible"

A"1"*" .evise su .egla%ento


Hsted debe revisar su %anual de reglas de cortafuegos y la configuracin <AT de for%a peridica para asegurarse de 9ue siguen coincidiendo con los re9uisitos %ni%os de su entorno de red actual" La frecuencia reco%endada de dicho control variar2n de un entorno a otro" @n
*http:77ranu%"co%7security7co%puter_security7editorials7du%b7inde/"ht%l

(()

Servidor de seguridad

redes 9ue no ca%bian con frecuencia? con un pe9ue0o n;%ero de ad%inistradores del servidor de seguridad y las buenas
procedi%ientos de control de ca%bios? tri%estral o se%estral es general%ente adecuado" &ara un r2pido ca%bio de entornos o a9uellos con pobre control de ca%bios y varias personas con acceso a servidor de seguridad? el

configuracin debe ser revisado al %enos una veD al %es"

A"1"1" Docu%entar su configuracin


@n todos %enos en las redes %2s pe9ue0as? puede ser difcil de recordar lo 9ue se configura dnde y por 9u6" @l uso del ca%po Descripcin de reglas de firewall y <AT es sie%pre reco%endable" @n %ayor o i%ple%entaciones %2s co%pleMas? ta%bi6n debe %antener un docu%ento de configuracin %2s detallada 9ue describe la configuracin de su pfSense entero" Al revisar la configuracin en el futuro? esto debera ayudar a deter%inar 9u6 nor%as son necesarias y por 9u6 est2n all" @sto ta%bi6n

se aplica a cual9uier otra 2rea de la configuracin"


Ta%bi6n es i%portante tener este docu%ento hasta la fecha" Al realiDar su peridico .ese0as de configuracin? es una buena idea revisar ta%bi6n este docu%ento para asegurar se %antenga hasta la fecha con su configuracin actual" Debe asegurarse de este docu%ento se actualiDa cada veD

los ca%bios de configuracin se realiDan"

A"1">" .educcin del ruido de registro


@l registro est2 habilitado por defecto en la regla de denegacin de pfSense de for%a predeter%inada" @sto significa 9ue todo el ruido se blo9ueen de 3nternet se va a registrar" A veces no se ve %ucho ruido? pero en %uchos a%bientes se encuentra algo incesante%ente correo basura a sus registros" on cone/iones con grandes do%inios de difusin I una pr2ctica co%;n%ente e%pleada por cable 3S& I esto es %2s a %enudo se trans%ite de <et#3:S de personas deficientes pistaI9ue se conectan !29uinas con =indows directa%ente a sus cone/iones de banda ancha" @stas %29uinas constante%ente bo%bear solicitudes de difusin para la navegacin de la red? entre otras cosas" Ta%bi6n puede ver el protocolo de enruta%iento del 3S&? o los protocolos de redundancia de router co%o '..& o FS.&" @n la coIlocaliDacin

entornos co%o centros de datos? a veces se ve una co%binacin de todas esas cosas"
&or9ue no hay ning;n valor en conocer el firewall blo9uea (1 %illones en e%isiones de <et#3:S del da de ayer? y 9ue el ruido podra encubrir los registros 9ue son i%portantes? es una buena idea a0adir una regla de blo9ueo en la interfaD =A< para el ruido del tr2fico repetido" Al a0adir una regla de blo9ueo sin el registro habilitado en la interfaD =A<? este tr2fico seguir2 siendo blo9ueada? pero ya no llenan su

registros"
La regla se %uestra en la Figura A"(*? Nlas reglas de firewall para prevenir e%isiones de registroN es 9ue tengo configurado en uno de los siste%as de %i prueba? donde el N=A<N est2 en una LA<" &ara deshacerse del registro ruido para 9ue pueda ver las cosas de inter6s? he a0adido esta regla para blo9uear? pero no registra nada con la

destino de la direccin de difusin de la subred"

((*

Servidor de seguridad

Figura A"(*" Las reglas de firewall para prevenir e%isiones de registro


Se deben agregar las nor%as si%ilares? se pongan en venta los detalles de cual9uier ruido de registro 9ue est2 viendo en su
el %edio a%biente" o%pruebe los registros del cortafuegos en @stado Siste%a de .egistros ficha Firewall para ver 9u6 tipo de tr2fico 9ue son el blo9ueo y la revisin de su frecuencia" Si el tr2fico particular es consistente 9ue se registran %2s de > veces por %inuto? probable%ente debera a0adir una regla de blo9ue para 9ue reduDca

el registro de ruido"

A"1"A" .egistro de &r2cticas


Fuera de la caMa? pfSense no registra todo el tr2fico pasa y registra todo el tr2fico se reduMo" @ste es el co%porta%iento por defecto tpico de fuente abierta y casi todos los cortafuegos co%erciales" @s %2s
pr2cticos? co%o la tala todo el tr2fico pasa rara veD se debe hacer debido a los niveles de carga y registro

generados" Sin e%bargo? esta %etodologa es en realidad un poco hacia atr2s" el tr2fico blo9ueado no puede hacer da0o por lo su valor de registro es li%itado? %ientras 9ue el tr2fico 9ue se pasa puede ser %uy i%portante la infor%acin de registro haber si un siste%a est2 en peligro" Despu6s de eli%inar cual9uier ruido de blo9ue in;til co%o se describe en el seccin anterior? el resto es de alg;n valor para fines de an2lisis de tendencias" Si usted est2 viendo significativa%ente %ayor o %enor volu%en de registro de lo habitual? es probable%ente bueno para investigar por 9u6" :SS@ ? un cdigo abierto siste%a de intrusiones basado en host de deteccin J3DSK? es un siste%a 9ue puede

registros de recopilacin de pfSense a trav6s de syslog y alerta de 9ue inicie sesin ano%alas volu%en" 1

A">" .egla !etodologa


.eglas de pfSense se aplican sobre una base por interfaD? sie%pre en la direccin de entrada en el 9ue interfaD" @sto significa iniciados desde la LA< se filtra utiliDando las reglas de la interfaD LA<" Tr2fico inicia desde el 3nternet se filtra a las nor%as de interfaD =A<" Debido a 9ue todas las reglas de pfSense son de estado por defecto? una entrada de tabla de estado se crea cuando el tr2fico coincide con una regla"

Todo el tr2fico de respuesta es auto%2tica per%itido por esta entrada de la tabla de estado"
@n este %o%ento? no hay %anera de adaptarse a las nor%as de salida en cual9uier interfaD" De salida nor%as no son necesarios? por9ue se aplica el filtrado de la direccin de entrada de cada interfaD" @n algunas circunstancias li%itadas? tales co%o un firewall con nu%erosas interfaces internas? 9ue tienen
1http:77www"ossec"net

((1

Servidor de seguridad

disponibles puede reducir significativa%ente el n;%ero de reglas de firewall necesarias" @n tal caso? podra
aplicar las reglas de salida para el tr2fico de 3nternet co%o las nor%as de salida en la =A< para evitar tener 9ue duplicarlos para cada interfaD interna" @l uso de entrada y de salida de filtrado hace cosas %2s co%pleMas y %2s propenso a errores del usuario? pero entende%os 9ue puede ser deseable y

@spera%os dar cabida a esta de alguna %anera en el futuro"

A">"(" Se agregan auto%2tica%ente reglas de firewall


pfSense agrega auto%2tica%ente algunas reglas de firewall para una variedad de raDones" @n esta seccin se describe

toda nor%a agrega auto%2tica%ente y su propsito"

A">"("(" AntiIblo9ueo de la .egla


&ara evitar el blo9ueo a ti %is%o de la interfaD web? pfSense per%ite una de las reglas antiIblo9ueo de

por defecto" @sto se puede configurar en el siste%a AvanDada la p2gina en =ebGH3 de Lucha contra el cierre patronal" @ste
auto%2tica%ente la regla per%ite el tr2fico agregado de cual9uier fuente dentro de la red de cual9uier protocolo

escuchando en la 3& LA<"


@n los entornos preocupados por la seguridad? debe desactivar esta regla? y configurar las reglas de LA<

por lo 9ue slo un alias de hosts de confianDa pueden tener acceso a las interfaces de ad%inistracin del servidor de seguridad"

A">"("("(" .estringir el acceso a la interfaD de ad%inistracin de LA<


&ri%ero tendr2 9ue configurar las reglas del firewall si lo desea restringir el acceso a la gestin interfaces" 'oy a ca%inar a trav6s de un eMe%plo de c%o suele configurar esto" &uedo utiliDar SSF y FTT&S para la ad%inistracin? por lo 9ue crear un alias de !anage%ent&orts contiene estos puertos

JFigura A"(1? NAlias para los puertos de gestinNK"


@ntonces puedo crear un alias para las %29uinas y 7 o redes 9ue tendr2n acceso a la gestin

interfaces JFigura A"(>? NAlias de los eM6rcitos de gestinNK" Los alias resultantes se %uestran en la Figura A"(A? Nlista AliasN"
A continuacin? las reglas del firewall LA< debe estar configurado para per%itir el acceso a los previa%ente definidos

los eM6rcitos? y denegar el acceso a todo lo de%2s" Fay %uchas %aneras 9ue usted puede lograr esto? dependiendo sobre aspectos especficos de su entorno y c%o %aneMar filtrado de salida" Figura A"(B? N@Me%plo .estringido nor%as de gestin de LA< Ny la Figura A"(C?N restringido las nor%as de gestin de LA< I eMe%plo alternativo N%uestran dos eMe%plos" La pri%era per%ite 9ue las consultas D<S a la 3& LA<? 9ue es necesario si usted est2 utiliDando el agente de D<S? y ta%bi6n per%ite a los hosts de LA< hacer ping a la 3& de la LA<" A continuacin? rechaDa el resto del tr2fico" @l segundo eMe%plo se per%ite el acceso desde la gestin de los eM6rcitos a los puertos de gestin? a continuacin? rechaDa el resto del tr2fico a los puertos de gestin" @liMa el

((>

Servidor de seguridad

%etodologa 9ue %eMor se adapte a su entorno" .ecuerde 9ue el puerto de origen no es el %is%o 9ue el puerto de destino"
Hna veD 9ue las reglas del firewall se configuran? es necesario deshabilitar la regla =ebGH3 antiIblo9ueo de

el Siste%a p2gina AvanDadas JFigura A"(,? Nlas reglas antiIblo9ueo con discapacidadNK" !ar9ue la casilla y haga clic en Guardar"

<ota
Si ya no se puede acceder a la interfaD de ad%inistracin despu6s de desactivar el antiI regla de blo9ueo? no se ha configurado las reglas de firewall adecuada%ente" Se puede volver a habilitar la regla antiIblo9ueo %ediante el uso de la opcin 3& de LA< en el %en; de la consola"

Slo tienes 9ue configurar su 3& actual? y el @stado auto%2tica%ente se vuelve a habilitar"

A">"(")" AntiIspoofing .egla%ento


pfSense utiliDa la funcin &F antispoof para blo9uear el tr2fico falso" @sto proporciona Hnicast 3nvertir traDado Forwarding Ju.&FK funcionalidad tal co%o se define en .F *B+1 [Fttp:77www"ietf"org7rfc7rfc*B+1"t/t\" @l servidor de seguridad co%prueba cada pa9uete contra su tabla de enruta%iento? y si un intento de cone/in viene de una direccin 3& de origen en una interfaD donde el servidor de seguridad de la red sabe 9ue no reside? se ha cado" &or eMe%plo? algo 9ue viene de la =A< con una 3& de origen de una red interna se ha cado" Todo inici en la red interna con una direccin 3& de origen 9ue no residen en el interior

la red se cae"

A">"("*" #lo9ue de redes privadas


La opcin #lo9uear las redes privadas en la interfaD =A< pone auto%2tica%ente en una regla de blo9ue para .F (,(C subredes" A %enos 9ue tenga un espacio 3& privado de la =A<? se debe per%itir esto" @ste slo se aplica al tr2fico iniciado en el lado =A<" &uede acceder a los hosts de redes privadas desde el interior" @sta opcin no est2 disponible para el T&& interfaces =A< de pfSense (")"/? pero es en )"+" &uede agregar %anual%ente una regla para blo9uear redes privadas en el territorio palestino ocupado interfaces =A< la creacin de un alias 9ue contiene el .F (,(C subredes y la adicin de una regla de firewall en la parte superior de su :&T nor%as de interfaD =A< para blo9uear el tr2fico con una fuente de Muego ese alias" J'6ase Seccin ("B"("(?

NDirecciones 3& privadaN &ara obtener %2s infor%acin acerca de direcciones 3& privadas"K

A">"("1" #lo9ue .edes #ogon


redes #ogon son los 9ue nunca debe ser visto en 3nternet? incluidos los reservados y
sin asignar espacio de direcciones 3&" @stas redes no debe ser visto co%o 3& de origen en 3nternet?

((A

Servidor de seguridad

e indicar ya sea el tr2fico falso? o una subred no utiliDados 9ue ha sido secuestrado por un uso %alicioso"
pfSense proporciona una lista bogons 9ue se actualiDa seg;n sea necesario" Si usted tiene redes #lo9ue #ogon habilitado? el servidor de seguridad obtendr2 una lista actualiDada bogons el pri%er da de cada %es a partir de files.pfsense.org" @l guin corre a las *:++ a% hora local? y duer%e una cantidad aleatoria de tie%po hasta () horas antes de realiDar la actualiDacin" @sta lista no ca%bia con %ucha frecuencia? y nuevas asignaciones de 3& se 9uitan de la lista bogons %eses antes de 9ue sean real%ente utiliDadas? por lo 9ue la actualiDacin %ensual es suficiente" Aseg;rese de 9ue su firewall puede resolver no%bres de host D<S? de lo contrario

la actualiDacin fallar2" &ara asegurarse de 9ue puede resolver D<S? vaya a Diagnsticos &ing? y tratar de hacer ping files.pfsense.org co%o se de%uestra en Figura A")+? N&rueba de resolucin de no%bres para actualiDaciones #ogon N"

Figura A")+" &rueba de la resolucin de no%bres para las actualiDaciones #ogon A">"("1"(" ForDar una actualiDacin bogons
on los ca%bios relativa%ente frecuentes a la lista bogons? y previo aviso de los nuevos 3& p;blica asignaciones? la actualiDacin bogons %ensual es suficiente" Sin e%bargo puede haber situaciones en las 9ue desea forDar %anual%ente una actualiDacin #ogon? co%o si las actualiDaciones han estado fallando #ogon debido a una incorrecta configuracin de D<S" &uede eMecutar una actualiDacin a trav6s de la interfaD web Diagnstico pantalla de co%andos? eMecutando 7 etc 7 rc"update_bogons"sh ahora" @l argu%ento ahora

siguiendo el guin es i%portante por9ue le dice a la secuencia de co%andos para eMecutar de in%ediato y el sue0o no"

((B

Servidor de seguridad

A">"(">" 3&sec
uando se habilita un sitio a sitio de cone/in 3&sec? las reglas se agregan auto%2tica%ente per%itiendo 9ue el
e/tre%o re%oto del t;nel direccin 3& de acceso al puerto HD& >++ y el protocolo @S& en la =A< direccin 3& utiliDada para la cone/in" uando los clientes %viles de 3&sec es activado? el puerto HD& >++ y

tr2fico @S& se per%ite a partir de cual9uier fuente"


Debido a la poltica de %anera de enruta%iento obras? el tr2fico 9ue coincide con una regla 9ue especifica una puerta de enlace se ver2n obligados a 3nternet y evitar el procesa%iento 3&sec" uando usted tiene una regla de especificar una puerta de enlace en la interfaD 9ue contiene dentro de la subred utiliDada por la cone/in 3&sec? y el destino de la regla es NtodoN? por regla general se a0ade auto%2tica%ente a negar la poltica de enruta%iento

para el tr2fico destinado a la subred re%ota '&<" Agrega auto%2tica%ente reglas de 3&sec se discuten en %ayor profundidad en aptulo (*? 3&sec"

A">"("A" &&T&
uando se habilita el servidor &&T&? reglas ocultas se agregan auto%2tica%ente per%itiendo 9ue el puerto T & (B)* y el G.@ JGeneric .outing @ncapsulationK protocolo para la direccin 3& de =A< de cual9uier direccin 3& de origen" !2s infor%acin acerca de estas nor%as se pueden encontrar en Seccin ()"*? N'&<s y

.eglas de cortafuegos N"

A">"("B" Denegar por defecto el artculo


<or%as 9ue no coinciden con ninguna de las reglas definidas por el usuario ni ninguna de las otras reglas se agregan auto%2tica%ente

silencio blo9ueada por la regla de denegacin por defecto Jco%o se e/plica en Seccin A"1"(? NDenegar por defectoNK"

A"A" onfiguracin de reglas de firewall


@sta seccin cubre cada opcin individual disponibles en el servidor de seguridad .eglas &antalla de edicin la hora de configurar reglas de firewall"

A"A"(" Accin
A9u es donde puede especificar si el @stado va a pasar? blo9uear o rechaDar el tr2fico" ada uno de ellos es

cubiertos anterior%ente en este captulo"

A"A")" &ersonas de %ovilidad reducida


Si desea desactivar una regla sin eli%inarla de la lista de reglas? %ar9ue esta casilla" Todava se

%ostrar en su pantalla de reglas de firewall? pero en gris para indicar su estado de discapacidad"

((C

Servidor de seguridad

A"A"*" 3nterfaD
La cada de la interfaD de abaMo especifica la interfaD en la 9ue se aplicar2 la regla" .ecuerde 9ue
el tr2fico slo es filtrada en la interfaD donde se inicia el tr2fico" Tr2fico inicia desde su
LA< destinados a la 3nternet o cual9uier otra interfaD en el servidor de seguridad es filtrada por el conMunto de reglas de LA<"

A"A"1" &rotocolo
A9u es donde se especifica el protocolo de esta regla partido" La %ayora de estas opciones son autoI
e/plicativo" T & 7 HD& coincidir2 con el tr2fico T & y HD&" @specificacin de 3 !& har2

otra lista desplegable aparece donde puede seleccionar el tipo de 3 !&" 'arios otros co%unes

protocolos est2n ta%bi6n disponibles"

A"A">" Fuente
A9u es donde se especifica la direccin 3& de origen? subred? o alias 9ue coincida con esta regla" Hsted

Ta%bi6n puede %arcar la casilla no para negar el partido"


&ara el tipo 9ue se0ale: ual9uiera? 9ue coincidir2 con cual9uier direccinT solo host o alias? 9ue coincidir2 con una ;nica direccin 3& 7 no%bre de host o no%bre de alias? o de redes? 9ue se llevar2 a la veD un direccin 3& y la %2scara de subred para 9ue coincida con un rango de direcciones" &or ;lti%o? hay varios disponibles presets 9ue pueden ser %uy ;tiles en lugar de entrar en estas direcciones a %ano: Direccin de =A<? LA<

direccin de subred LA<? los clientes &&T&? &&&o@ y usuarios"


&ara conocer las reglas a trav6s de T & y 7 o HD&? ta%bi6n puede especificar el puerto de origen a9u haciendo clic en el
@l botn AvanDado" @l puerto de origen se oculta detr2s del botn :pciones avanDadas? ya 9ue se

nor%al%ente 9uiere deMar el puerto de origen en Ncual9uierN? co%o las cone/iones T & y HD& son de origen desde un puerto aleatorio en el intervalo de puerto ef%ero Jentre (+)1 a A>>*>? el rango e/acto utiliDa variables dependiendo del siste%a operativo y versin del siste%a operativo 9ue inicia la cone/inK" La fuente puerto casi nunca es el %is%o 9ue el puerto de destino? y no se lo debe configurar co%o tal a %enos 9ue sepa la aplicacin 9ue est2 utiliDando e%plea este co%porta%iento atpico" Ta%bi6n es seguro 9ue

definir su puerto de origen en un rango de (+)1 a A>>*>"

A"A"A" Fuente :S
Hna de las caractersticas %2s singulares de la &F y? por tanto pfSense es la posibilidad de filtrar por el siste%a operativo iniciar la cone/in" &ara conocer las reglas del & T? pf per%ite al siste%a operativo pasiva to%a de huellas digitales 9ue le per%ite crear reglas basadas en el siste%a operativo de iniciar el protocolo T & cone/in" La caracterstica p+f de pf deter%ina el siste%a operativo en uso %ediante la co%paracin de las caractersticas de la T & SS< pa9uete 9ue inicia las cone/iones T & con un archivo de huellas dactilares" Tenga en cuenta 9ue es posible

((,

Servidor de seguridad

ca%biar la huella digital de su siste%a operativo para parecerse a otro siste%a operativo? especial%ente en abierto
siste%as operativos de cdigo co%o la #SD y Linu/" @sto no es f2cil? pero si usted tiene t6cnico

usuarios de do%inio con el ad%inistrador o el acceso de root a los siste%as? es posible"

A"A"B" Destino
A9u es donde se especifica la direccin 3& de destino? subred? o alias 9ue coincida con esta regla" '6ase la descripcin de la opcin Fuente de Seccin A"A">? NFuenteN para %2s detalles" Al igual 9ue con la

!arco Direccin de origen? usted puede co%probar? no para negar el partido"


&ara reglas 9ue especifican T & y 7 o HD&? el puerto de destino? rango de puertos? o alias se especifica ta%bi6n

a9u"

A"A"C" .egistrarse
@sta casilla deter%ina si los pa9uetes 9ue coincidan con esta regla se registra en el registro del cortafuegos"

@l registro es discutido en %2s detalle en Seccin A"1"A? N.egistro de &r2cticasN"

A"A"," :pciones avanDadas


@sta seccin le per%ite configurar las capacidades de gran alcance pf de li%itar los estados servidor de seguridad en funcin de cada regla"

De for%a predeter%inada? no hay l%ites establecidos para cual9uiera de estos par2%etros"

A"A","(" l%ite de cone/iones de cliente si%ult2neas


@sta opcin especifica el n;%ero de entradas total del estado puedan e/istir para esta regla" Si esto se establece en (+? y hay (+ cone/iones 9ue coincidan con la regla? el (( ser2 dado de baMa" &odra ser de (+ diferentes

los eM6rcitos? o , cone/iones en un host y una en otra? es el total 9ue i%porta"

A"A",")" !2/i%a de las entradas del estado por host


Si prefiere l%ite basado en cone/iones por host? este valor es lo 9ue 9uieres" @l uso de este

configuracin? puede li%itar la regla a (+ cone/iones por host de origen? en lugar de (+ cone/iones totales"

A"A","*" !2/i%o nuevas cone/iones 7 por segundo


@ste %6todo de li%itacin de velocidad puede ayudar a asegurar 9ue una tasa de cone/in de alta no sobrecargar un servidor o su tabla de estado" &or eMe%plo? los l%ites se pueden colocar en las cone/iones entrantes a un correo servidor para reducir la carga de ser sobrecargado por contra spa% bots" Ta%bi6n se puede utiliDar en salida las nor%as de tr2fico para establecer l%ites 9ue i%pidan a cual9uier %29uina de una sola carga de su tabla de estado

()+

Servidor de seguridad

o hacer cone/iones r2pidas de%asiados? los co%porta%ientos 9ue son co%unes con los virus" Hsted puede establecer
una cone/in de cantidad y un n;%ero de segundos para el perodo de tie%po" ual9uier direccin 3& superior

9ue el n;%ero de cone/iones dentro del plaDo establecido ser2n blo9ueadas durante una hora" Detr2s de la

escenas? esto es %aneMado por el cuadro virusprot? lla%ado as por su finalidad tpica de la proteccin antivirus"

A"A","1" @stado de tie%po de espera en segundos


A9u se puede definir un tie%po de espera de estado para el tr2fico 9ue coincidan con esta regla? anulando por defecto del siste%a estado de tie%po de espera" Las cone/iones inactivas se cerrar2 cuando la cone/in ha estado inactivo durante esta cantidad de tie%po" @l tie%po de espera de estado por defecto depende del algorit%o de opti%iDacin del servidor de seguridad en

uso" Las opciones de opti%iDacin se tratan en Seccin 1">","*? N:pciones de Firewall de opti%iDacinN

A"A"(+" @stado Tipo


Fay tres opciones para el segui%iento del estado en pfSense 9ue se pueden especificar para cada regla"

A"A"(+"(" %antener el estado


@ste es el valor predeter%inado? y lo 9ue debe casi sie%pre uso"

A"A"(+")" @stado synpro/y


@sta opcin hace 9ue pfSense para poder cone/iones T & entrantes" cone/iones T & co%enDar con un apretn de %anos de tres vas" @l pri%er pa9uete de una cone/in T & es un SS< de la fuente? 9ue provoca una respuesta SS< A Q del destino" @sto ayuda a proteger contra un tipo de negacin Servicio de ata9ue? inundaciones SS<" @sto es tpica%ente utiliDado con las nor%as en las interfaces =A<" @ste tipo de ata9ue no es %uy co%;n hoy en da? e incluye todos los principales siste%as operativos %odernos capacidad de %aneMar esto por s solo" &odra ser ;til al abrir los puertos T & a los anfitriones 9ue

no se ocupan de abuso de la red ta%bi6n"

A"A"(+"*" ninguno
@sta opcin no %antener el estado de esta regla" @sto slo es necesario en algunos alta%ente especialiDados escenarios avanDados? ninguno de los cuales se tratan en este libro? ya 9ue son e/tre%ada%ente raros"

<unca debera haber una necesidad para el uso de esta opcin"

A"A"((" < Sync G!LI.&


Al %arcar esta casilla i%pide 9ue esta nor%a a partir de la sincroniDacin con otros %ie%bros de la A.&" @sto es

cubiertos en aptulo )+? Firewall de redundancia 7 alta disponibilidad"

()(

Servidor de seguridad

A"A"()" Lista
A9u puede seleccionar un progra%a 9ue especifica los das y horas esta nor%a estar2 en vigor" Seleccin de
N<ingunoN? la regla sie%pre se activar2" &ara obtener %2s infor%acin? consulte Seccin A",? NTie%po

.eglas de base N %2s adelante en este captulo"

A"A"(*" Gateway
Gateway le per%ite especificar una interfaD =A< o en la piscina e9uilibrador de carga para el tr2fico 9ue coincidan con esta

regla para su uso" @sto se trata en aptulo ((? !;ltiples cone/iones =A<"

A"A"(1" Descripcin
@scriba una descripcin a9u para su consulta" @sto es opcional? y no afecta a la funcionalidad de la regla" Hsted debe entrar en algo a9u 9ue describe el propsito de la regla" @l %2/i%o

longitud es de >) caracteres"

A"B" !6todos de utiliDacin de direcciones 3& p;blicas adicionales


Si slo tiene una ;nica direccin 3& p;blica? puede pasar a la siguiente seccin" Los %6todos de el despliegue de %2s direcciones 3& p;blicas puede variar dependiendo de c%o se asignan? co%o %uchos le han asignado? y los obMetivos de su entorno de red" &ara uso p;blico adicional 3&s con <AT? es necesario configurar direcciones 3& virtuales" Ta%bi6n tiene dos opciones para asignar directa%ente

3&s p;blicas a los anfitriones con el enruta%iento y subredes 3& p;blica puente"

A"B"(" @legir entre rutas? puentes? y <AT


Hsted puede usar su 3& p;blica adicional directa%ente a la asignacin de los siste%as 9ue se

uso de ellos? o %ediante el uso de <AT"

A"B"("(" Direcciones 3& adicionales a trav6s de DF &


Algunos proveedores le obligan a obtener las direcciones 3& adicionales a trav6s de DF &" @sto ofrece una fle/ibilidad li%itada

en lo 9ue puede hacer con estas direcciones? deM2ndote con dos opciones viables"

A"B"("("(" &uente
Si 9uiere 9ue el 3& adicionales asignados directa%ente a los siste%as 9ue los utiliDan? es puente

su ;nica opcin" Htilice una interfaD :&T puente con =A< para estos siste%as"

())

Servidor de seguridad

A"B"("(")" &seudo %ultiI=A<


Su ;nica opcin para tener el firewall tire estas direcciones co%o arrenda%ientos es una pseudo %ultiI=A<
i%ple%entacin" 3nstale una interfaD de red por 3& p;blica? y configurarlos para DF &" @nchufe todos los las interfaces en un interruptor entre el cortafuegos y el %de% o router" &uesto 9ue usted tiene %;ltiples interfaces de co%partir un ;nico do%inio de difusin? tendr2 9ue %arcar la casilla a N@sto A.& supri%ir %ensaMes cuando interfaces de co%partir la %is%a red fsicaN en el Siste%a de &2gina de avanDada para eli%inar A.& advertencias en sus registros 9ue son nor%ales en este tipo

de la i%ple%entacin"
@l ;nico uso de %;ltiples direcciones 3& p;blica asignada de esta for%a es para el reenvo de puertos" Hsted puede configurar el puerto hacia delante en cada interfaD =A< 9ue se utiliDa la direccin 3& asignada a la interfaD por su proveedor de 3nternet del servidor DF &" Salida <AT para el territorio palestino ocupado =A< no funcionar2 debido a la li%itacin de 9ue cada =A< debe tener una puerta de enlace 3& ;nica a cabo adecuada%ente el tr2fico directo de 9ue

=A<" @sto se discute %2s en aptulo ((? !;ltiples cone/iones =A<"

A"B"(")" Adicional direcciones 3& est2ticas


!6todos de utiliDacin de direcciones 3& adicionales est2ticos p;blicos pueden variar seg;n el tipo de cesin"

ada uno de los escenarios co%unes 9ue se describe a9u"

A"B"(")"(" dnica subred 3&


on una subred 3& p;blica ;nica? una de las 3&s p;blicas ser2 en el router arriba? co%;n%ente
9ue pertenecen a su 3S&? con una de las direcciones 3& asignadas a la 3& =A< de pfSense" @l resto de direcciones 3&

se puede utiliDar con <AT? tendiendo un puente o una co%binacin de los dos" &ara usarlos con <AT? agregue A.& pro/y o carpa '3&" &ara asignar direcciones 3& p;blica directa%ente a las %29uinas detr2s del firewall? se le necesidad de una interfaD dedicada para los anfitriones 9ue se enlaDa a =A<" uando se utiliDa con puente? el hosts con la 3& p;blica directa%ente afectados deber2n utiliDar la puerta de enlace predeter%inada %is%o 9ue el de la =A< cortafuegos? el router del 3S& aguas arriba" @sto crear2 dificultades si los hosts con direcciones 3& p;blicas deben iniciar las cone/iones a las %29uinas detr2s de otras interfaces de su servidor de seguridad? ya 9ue la puerta de enlace 3S& no la ruta de tr2fico para las subredes internas de nuevo a su servidor de seguridad" Figura A")(? Np;blico %;ltiple 3&s en uso I solo blo9ue de 3& Nse %uestra un eMe%plo del uso de %;ltiples direcciones 3& p;blicas en un solo blo9ue con una co%binacin de <AT y puente" &ara infor%acin sobre la configuracin? <AT se discute

%2s en aptulo B? <etworL Address Translation? y reducir en aptulo ,? &uente"

A"B"(")")" &e9ue0a subred 3& =A< con %ayor LA< subred 3&
Algunos 3S& le dar2 una pe9ue0a subred 3& 9ue el N=A<N cesin? y una ruta %2s grande NDentroN de subred para la final de la subred de la =A<" o%;n%ente se trata de un *+ 7 de la =A<? y

()*

Servidor de seguridad

un 7 ), o %ayor para el interior" router del proveedor se le asigna uno de los e/tre%os de la 7 *+? por lo general la
%2s baMo de propiedad intelectual? y el servidor de seguridad se le asigna la propiedad intelectual %2s alto" @l proveedor entonces las rutas de la subred LA< al tel6fono 3& de la =A<" &uede utiliDar las direcciones 3& adicionales en una interfaD de enrutado con 3&s p;blicas directa%ente asignado a los hosts? o con <AT con otras personalidades? o una co%binacin de los dos" Dado 9ue los proyectos de investigacin se dirigen a usted? A.& no es necesaria? y no necesita ninguna de las entradas '3& para el uso con (:( <AT"
Debido a pfSense es la entrada en el seg%ento de :&T(? enruta%iento de :&T( anfitriones a LA< es %ucho

%2s f2cil 9ue en el escenario de un puente necesario cuando se utiliDa un ;nico blo9ue 3& p;blica" Figura A"))? N!;ltiples 3&s p;blicas en el uso I a dos cuadras de propiedad intelectualN se %uestra un eMe%plo 9ue co%bina un enrutado 3& blo9ue y <AT" @nruta%iento 3& p;blica se trata en Seccin C")? N@nruta%iento 3& &;blicaN? S <AT

en aptulo B? <etworL Address Translation"


Si est2 utiliDando A.&? la subred =A< tendr2 9ue ser un 7 ),? de %anera 9ue cada servidor de seguridad tiene su propio 3& de la =A<? y usted tiene una direccin 3& A.& donde el proveedor %2s grande dentro de la ruta del blo9ue" La dentro de la subred 3& debe ser enviado a una direccin 3& 9ue est2 sie%pre disponible? independiente%ente de 9ue servidor de seguridad se ha ter%inado? y el %2s pe9ue0o de subred se puede usar con la carpa es un ), 7" @sta configuracin con la carpa es el %is%o co%o se ilustra arriba? con la puerta de entrada :&T( ser una 3& A.&? y el proveedor de enruta%iento a un A.& 3& en veD de la 3& =A<" A.& se trata en aptulo )+? Firewall de redundancia y Alto

Disponibilidad"

A"B"(")"*" !;ltiples subredes 3&


@n otros casos? puede tener varias subredes 3& de su 3S&" &or lo general se inicia con uno de las dos %odalidades anterior%ente descritas? y %2s tarde? cuando se solicite 3&s adicionales 9ue se sie%pre con un adicional de subred 3&" @sta subred adicional debe ser enviado a usted por su 3S&? ya sea para su =A< 3& en el caso de un ;nico servidor de seguridad? o para una direccin 3& cuando se utiliDa A.& A.&" Si su proveedor se niega a la ruta de la subred 3& para usted? sino %2s bien las rutas a su router y los usos una de las direcciones 3& de la subred co%o puerta de enlace 3&? usted tendr2 9ue usar pro/y A.& para la '3& subred adicional" Si es posible? su proveedor? la ruta si la subred 3& para usted? ya 9ue hace

es %2s f2cil trabaMar con independencia de su servidor de seguridad de la eleccin"


@n caso de la subred 3& se dirige a usted? el escenario descrito en Seccin A"B"(")")? N=A< pe9ue0as Subred 3& con %ayor LA< subred 3& N se aplica? slo para una subred dentro adicionales" Hsted puede asignar

a una interfaD nueva :&T? usarlo con <AT? o una co%binacin de los dos"

A"C" 'irtual 3&


pfSense per%ite el uso de %;ltiples direcciones 3& p;blicas en relacin con el <AT a trav6s de 'irtual

3& J'3&K"

Fay tres tipos de direcciones 3& virtuales disponibles en pfSense: &ro/y A.&? la carpa? y otros" ada uno es ;til en situaciones diferentes" @n la %ayora de circunstancias? pfSense tendr2 9ue proporcionar A.& en su

()1

Servidor de seguridad

'3& por lo 9ue debe usar pro/y A.& o A.&" @n situaciones en las A.& no es necesario? co%o cuando %2s direcciones 3& p;blicas son dirigidas por el proveedor de la =A< 3&? utilice otras personalidades tipo"

A"C"(" &ro/y A.&


&ro/y A.& funciones estricta%ente en la capa )? ofrecer respuestas A.& para la direccin 3& 3D. o rango de direcciones 3&" @sto per%ite 9ue pfSense para reenviar el tr2fico destinado a esa direccin de acuerdo a la configuracin de <AT" La direccin o rango de direcciones no est2n asignados a ninguna interfaD en pfSense? por9ue no tienen 9ue ser" @sto significa 9ue no hay servicios en pfSense se puede responder a estas direcciones 3&" @sto general%ente se considera un beneficio? ya 9ue su 3& p;blica adicional

slo debe ser usado para los propsitos <AT"

A"C")" A.&
A.&A '3& se utiliDan sobre todo con las i%ple%entaciones redundantes utiliDando A.&" &ara obtener infor%acin sobre

utiliDando A.&A '3&? consulte aptulo )+? Firewall de redundancia 7 alta disponibilidad sobre el hardware redundancia"
Algunas personas prefieren utiliDar '3& A.& incluso cuando se e%plea slo un ;nico servidor de seguridad" @sto es por lo general pfSense por9ue responde a los pings en la carpa '3&? si las reglas de su cortafuegos per%ite este tr2fico JLas reglas por defecto no lo hace? para '3&s en =A<K" :tra situacin en la A.&A '3& se debe utiliDar es para cual9uier personalidades 9ue ser2 el anfitrin de un servidor FT&" @l pro/y FT& en pfSense debe ser capaD de unirse a

el '3& para funcionar? y slo A.&A '3& per%ite"


pfSense no responde a los pings destinados a &ro/y A.& y otras personalidades? independiente%ente de su
configuracin de reglas de firewall" on &ro/y A.& y otras personalidades? debe configurar <AT para

un host interno de ping para funcionar" 'er aptulo B? <etworL Address Translation para %2s de la infor%acin"

A"C"*" :tros
N:trosN '3& per%iten definir direcciones 3& adicionales para su uso cuando las respuestas A.& para la direccin 3& no son necesarios" La ;nica funcin de la adicin de un :tro '3& est2 haciendo 9ue la direccin disponible en las pantallas de configuracin de <AT" @sto es ;til cuando se tiene un blo9ue 3& p;blica dirigida a su direccin 3& =A< o un '3& A.&"

A"," Tie%po base de reglas


nor%as basadas en el tie%po le per%iten aplicar reglas de firewall slo en los das especificados y 7 o %2rgenes de tie%po" nor%as basadas en el tie%po se i%ple%entan en (")"/ con el ipfw filtro? por9ue las dificultades con el estado

()>

Servidor de seguridad

%anteni%iento en el %o%ento esta funcionalidad fue escrito significaba esta era la ;nica posibilidad de adecuada
desconectar sesiones activas cuando el calendario de venci%iento" <ueva funcionalidad en pfSense )"+ per%ite 9ue se trata de integrarse con el &F de filtro? per%itiendo 9ue el tie%po basado en nor%as para funcionar igual 9ue cual9uier otra regla" &or el %o%ento? hay algunas advertencias a usar el tie%po basado en nor%as? y la lgica de estos nor%as es un poco diferente" @n esta seccin se analiDar2 c%o el uso del tie%po basado en nor%as? y las diferencias

entre ellos y otras nor%as de firewall"

A","(" Tie%po .eglas lgica basada


uando se trate de nor%as basadas en el tie%po? el progra%a deter%ina el %o%ento de aplicar la accin especificada en la regla de firewall" uando la hora actual o la fecha no est2 cubierto por el progra%a? la accin de la regla se invierte" &or eMe%plo? una regla 9ue pasa el tr2fico de los s2bados lo blo9uear2 todos los de%2s da? independiente%ente de las reglas definidas %2s adelante en el firewall" Las reglas son transfor%ados a base de la parte superiorI abaMo? lo %is%o 9ue las reglas del cortafuegos otros" @l pri%er partido se utiliDa? y una veD se encontr coincidencia? 9ue 9ue se to%en %edidas y no otras reglas son evaluados" Si est2 trabaMando con una regla de trans%itir una cierta calendario? por eMe%plo s2bado y do%ingo? y 9ue no tiene el efecto deseado? entonces podra

en lugar de tratar una regla de blo9ueo de lunes a viernes"


@s i%portante recordar sie%pre 9ue el uso horario 9ue la nor%a tendr2 un efecto si est2 dentro de la hora progra%ada o no" La nor%a no slo se o%iten debido a 9ue el
%o%ento actual no se encuentra dentro de la hora progra%ada" Tenga esto en cuenta para asegurarse de 9ue no

accidental%ente per%itir un acceso %2s de lo previsto con una regla progra%ada" To%e este otro eMe%plo: Si usted tiene una poltica restrictiva de la salida para el tr2fico FTT&? y desea progra%ar el tr2fico FTT& reglas? entonces usted tendr2 9ue progra%ar las nor%as restrictivas? y no slo tiene un blo9ue progra%ado regla para el tr2fico FTT&" @n este caso el blo9ue progra%ado regla general? cuando fuera de la hora progra%ada?

se convertir2 en una regla general pasan FTT& y FTT& ignorar las nor%as %2s restrictivas de la salida"

A",")" Tie%po Advertencias basada en reglas


&or9ue el tie%po de las reglas basadas en el uso ipfw en lugar de fondos de pensiones? 9ue son inco%patibles con el portal cautivo" &or la %is%a raDn? %ultiI=A< y algunas de las otras capacidades avanDadas de firewall regla ta%bi6n se

disponible con el tie%po basado en nor%as"

A","*" onfiguracin de los horarios de tie%po basada en reglas


Los horarios se definen en firewall Forarios y calendario de cada uno puede contener %;ltiples tie%po rangos" Hna veD 9ue un progra%a se define? entonces se puede utiliDar para una regla de firewall" @n el siguiente eMe%plo? una e%presa 9uiere negar el acceso a FTT& durante el horario laboral? y per%ita 9ue todos los de%2s

veces"

()A

Servidor de seguridad

A","*"(" Definicin de los tie%pos de la Lista


&ara agregar un progra%a de servidor de seguridad Listas? haga clic en" @sto debera abrir el calendario pantalla de edicin? co%o se ve en la Figura A")*? NAdicin de un rango de tie%poN" @l pri%er ca%po en esta pantalla
es para el no%bre de Lista" @ste valor es el no%bre 9ue aparecer2 en la lista de seleccin para su uso en las reglas del cortafuegos" Al igual 9ue los no%bres de alias? este no%bre slo puede contener letras y dgitos? y no espacios" &ara este eMe%plo? va%os a poner en (siness@o(rs" Siguiente en el cuadro Descripcin? escriba una ya de for%a libre descripcin de este horario? co%o @orario >or!al" Desde un progra%acin se co%pone de una o %2s definiciones de intervalo de tie%po? lo pr/i%o debe definir un rango de tie%po

antes de poder guardar la progra%acin"


Hn progra%a se puede aplicar a das especficos? tales co%o +) de septie%bre )++,? o los das de la se%ana? co%o de lunes a %i6rcoles" &ara seleccionar un da cual9uiera en el pr/i%o a0o? elegir el %es de la lista desplegable? a continuacin? haga clic en el da o das especficos en el calendario" &ara seleccionar un da de la se%ana? haga clic en su no%bre en los encabeDados de colu%na" &ara nuestro eMe%plo? haga clic en L? !? G? $? y 'ie" @sto har2 9ue el progra%a activo para cual9uier lunes a viernes? con independencia del %es" Ahora seleccionar el tie%po en 9ue este progra%a debe ser activa? en for%ato de )1 horas" <uestro horario de atencin

ser2 09:00 a 1M:00 J(B:++K" Todas las horas se dan en la Dona horaria local" Ahora entrar en un tie%po Descripcin del 2rea de distribucin? co%o Se!ana la)oral? A continuacin? haga clic en Agregar Tie%po"
Hna veD 9ue el intervalo de tie%po se ha definido? aparecer2 en la lista en la parte inferior de la progra%acin

pantalla de edicin? co%o en la Figura A")1? NAlta Ga%a de tie%poN"


Si hay %2s tie%po para definir? repita el proceso hasta 9ue est6 satisfecho con los resultados" &or eMe%plo? para a%pliar este progra%a de instalacin? puede ser un %edio da del s2bado para definir? o tal veD el tienda abre a ;lti%a hora del lunes" @n ese caso? definir un rango de tie%po para los das id6nticos? y luego otro rango para cada da con diferentes tie%pos" @sta coleccin de rangos de tie%po ser2 el pleno horario" uando todos los rangos de tie%po necesarios han sido definidos? haga clic en Guardar" A continuacin? se volver a la lista de lo previsto? y el nuevo calendario aparecer2? co%o en Figura A")>? N alendario de la lista

despu6s de agregar N" @ste progra%a estar2 disponible para su uso en las reglas del cortafuegos"

Figura A")>" Lista la lista despu6s de agregar

A","*")" Hso de la Lista en una regla de firewall


&ara crear una regla de firewall 9ue utiliDan este progra%a? debe agregar una regla en la interfaD deseada" 'er Seccin A")"(? NAdicin de una regla de firewallN y Seccin A"A? N onfiguracin de las reglas del cortafuegosN de

()B

Servidor de seguridad

%2s infor%acin sobre c%o agregar y las nor%as de edicin" &ara nuestro eMe%plo? agregar una regla para blo9uear el T &
tr2fico en la interfaD LA< de la subred LA<? a cual9uier destino en el puerto FTT&" uando

llegar a la Lista !arco elegir el horario 9ue acaba%os de definir? (siness@o(rs? o%o en Figura A")A? N@leccin de una lista de reglas de firewallN"

Figura A")A" @legir un horario para una regla de firewall


Despu6s de guardar la regla? el progra%a aparecer2 en la lista de reglas de firewall? Munto con una indicacin de estado activo de la progra%acin" o%o se puede ver en Figura A")B? NFirewall lista de reglas con el cuadroN? esta es una regla de blo9ueo? pero la colu%na de horario es lo 9ue indica 9ue el @stado no est2 en sus activos estado de blo9ueo? ya 9ue se est2 viendo en un %o%ento en 9ue se encuentra fuera del rango progra%ado" Si &ase el ratn sobre el no%bre del progra%a? se %ostrar2 el tie%po definido para ese horario" Si pasa %2s de el indicador de estado de progra%a? le dir2 descriptiva%ente c%o el @stado se est2 co%portando en ese punto en el tie%po" o%o se trata de 9ue se est2 viendo fuera de los tie%pos definidos en nuestro progra%a #usinessFours? este va a decir NTr2fico coinciden con esta regla se est2 per%itidoN" Si hubi6ra%os usado una regla de pase?

lo contrario sera cierto"

Figura A")B" Firewall de lista de reglas con el cuadro


Ahora 9ue el @stado se define? aseg;rese de probar tanto dentro co%o fuera de las horas progra%adas para garantiDar 9ue el co%porta%iento deseado es pro%ulgada" Ta%bi6n hay 9ue tener el tie%po de advertencias basadas en reglas JSeccin A",")?

NAdvertencias basada en el tie%po .egla%entoNK en cuenta el %o%ento de elaborar estas nor%as"

A"(+" 'isualiDacin de los registros del firewall


&ara cada regla 9ue se establece para iniciar la sesin? y por defecto la regla de denegacin? una entrada de registro 9ue se haga" Fay varios for%as de ver estas entradas de registro? con diferentes niveles de detalle? y no hay una clara N%eMorN %6todo" Al igual 9ue otros registros en pfSense? los registros del firewall slo %antienen un cierto n;%ero de registros" Si las necesidades de su organiDacin re9uieren 9ue usted %antenga un registro per%anente de los registros del firewall para una %ayor perodo de tie%po? ver Seccin ))"(? NSiste%a de .egistrosN para obtener infor%acin relativa a la copia estas entradas de registro

a un servidor syslog a %edida 9ue ocurren"

()C

Servidor de seguridad

A"(+"(" 'iendo en la =ebGH3


Los registros del firewall es visible desde el =ebGH3? y puede ser encontrado en estado de .egistros del siste%a?
en la pesta0a Firewall" Hsted puede ver o analiDar los registros? 9ue son %2s f2ciles de leer? o los registros de la %ateria pri%a? 9ue tienen %2s detalles si usted entiende for%ato de registro &F" Ta%bi6n hay un escenario de la los registros del siste%a 9ue se %uestran estas entradas en adelante o para atr2s" Si no est2 seguro en el 9ue &ara las entradas del registro se %uestran? co%pruebe la fecha y hora de la pri%era y la ;lti%a? o visite

Seccin ))"(? NSiste%a de .egistrosN para obtener infor%acin sobre c%o ver y ca%biar esta configuracin"
@l =ebGH3 analiDa los registros? se ve en Figura A")C? N@Me%plo de entradas del registro se ve desde la =ebGH3N? en A colu%nas: Accin? Tie%po? 3nterfaD? :rigen? Destino? y el &rotocolo" Accin %uestra lo 9ue pas con el pa9uete 9ue genera la entrada de registro? ya sea pasar? blo9uear o rechaDar" @l tie%po es el %o%ento en 9ue lleg el pa9uete" La interfaD es en el pa9uete entr en pfSense" Fuente es la fuente Direccin 3& y el puerto" Destino es la direccin 3& de destino y el puerto" @l protocolo es el protocolo

del pa9uete? ya sea 3 !&? T &? HD&? etc

Figura A")C" @Me%plo de entradas del registro se ve desde la =ebGH3


@l icono de accin es un vnculo 9ue las operaciones de b;s9ueda y %ostrar la regla 9ue provoc la entrada del registro" !2s infor%acin A %enudo? esto si%ple%ente dice NDenegar por defectoN? pero cuando la solucin de proble%as regla 9ue puede ayudar

reducir el n;%ero de sospechosos"


Si el protocolo es T &? ta%bi6n ver2 ca%pos adicionales a9u 9ue representan las banderas T & en la pa9uete" Vstos indican diversos estados de cone/in o los atributos de pa9uetes" Algunos de los %2s co%unes

cu2les son: S I SS< SincroniDar n;%eros de secuencia" 3ndica una nueva cone/in intento cuando slo SS< est2 fiMado" AIA Q F I F3< 3ndica aceptacin de los datos" o%o se se0al anterior%ente?
estas son las respuestas para 9ue el re%itente saber datos se han recibido en Aceptar" 3ndica 9ue no hay %2s datos del re%itente? el cierre de una

cone/in"

(),

Servidor de seguridad . I .ST

.estableci%iento de la cone/in" @sta bandera se fiMa al responder a una solicitud de abrir una cone/in en un puerto 9ue no tiene ning;n de%onio de escucha" Ta%bi6n se puede aMustar por el software de servidor de seguridad para la espalda no deseados cone/iones"

Fay varios otros indicadores? y su significado se resu%e en %uchos %ateriales de


el protocolo T &" o%o es habitual? el Artculo =iLipedia sobre T & [Fttp:77en"wiLipedia"org7wiLi7

Trans%ission_ ontrol_&rotocol ` T &_seg%ent_structure\ Tiene %2s infor%acin"

A"(+")" 'iendo desde el %en; onsola


Los troncos se pueden ver en tie%po real directa%ente desde la interfaD de registro &F %ediante la opcin 10 desde el %en; de la consola" Hn eMe%plo sencillo es una entrada de registro co%o la 9ue se ve arriba en Figura A")C?

N@Me%plo de entradas del registro se ve desde la =ebGH3N:

@sto de%uestra 9ue el artculo >1 se e%pareM? 9ue dio lugar a una accin de blo9ueo en la vr1 interfaD" Las direcciones 3& de origen y de destino se %uestran a continuacin" Los pa9uetes de otros protocolos pueden %ostrar

de datos %ucho %2s"

A"(+"*" &ara ver i%2genes de la Shell


uando se utiliDa la c2scara sea de SSF o desde la consola? hay nu%erosas opciones disponibles

para ver el filtro de registros"


uando se %ira directa%ente a los contenidos del archivo de obstruir? las entradas de registro pueden ser %uy co%pleMas y detallado" Debera ser relativa%ente f2cil de seleccionar los distintos ca%pos? pero dependiendo del conte/to

del partido? puede ser %2s difcil"

A"(+"*"(" 'iendo el contenido actual del archivo de registro


@l registro de filtro? co%o se e/plica en la apertura de este captulo? est2 contenido en un registro circular binario por lo 9ue no puede utiliDar las herra%ientas tradicionales co%o el gato? grep? etc en el archivo directa%ente" @l registro debe ser ledo

de nuevo con el progra%a de obstruir? y entonces puede ser conducido a trav6s de cual9uier progra%a 9ue desee" &ara ver el contenido actual del archivo de registro? eMecute el siguiente co%ando: #o)str(ir 6 $ar 6 log 6 filter.log
Todo el contenido del archivo de registro se %ostrar2" Si usted est2 interesado slo en los ;lti%os a0os

lneas? se pueden canaliDar a trav6s de la cola de este %odo:

(*+

Servidor de seguridad #o)str(ir 6 $ar 6 log 6 filter.log 5 tail

A"(+"*")" Tras la salida del registro en tie%po real


&ara NseguirN a la salida del archivo de obstruir? debe utiliDar el -F par2%etro para tapar" @ste es el e9uivalente de tailIf para a9uellos acostu%brados a trabaMar con los archivos de registro nor%al en los siste%as H<3G" #o)str(ir-f 6 $ar 6 log 6 filter.log
@sta es la salida todo el contenido del archivo de registro? pero no deMar de fu%ar despu6s" @n su lugar? se espera

para obtener %2s entradas e i%pri%irlos a %edida 9ue ocurren"

A"(+"*"*" 'iendo el registro de salida analiDado en el depsito


<o es un analiDador de registro si%ple escrito en &F& 9ue puede ser utiliDado de la c2scara para producir reducida

de salida en lugar del registro de pri%as por co%pleto" &ara ver el contenido analiDado de la sesin actual? eMecute: #o)str(ir 6 $ar 6 log 6 filter.log 5 p0p 6 (sr 6 local 6 222 6 filterparser.p0p &odr2s ver el registro de las entradas de salida por lnea? con salida si%plificada de este %odo: 17 de julio 00:06:05 bloque vr1 UDP 0.0.0.0:68 255.255.255.255:67

A"(+"*"1" @ncontrar la regla 9ue provoc una entrada de registro


Al ver uno de los for%atos de registro sin procesar? el n;%ero de la regla para una entrada en la pantalla" Hsted puede utiliDar este n;%ero de la regla para encontrar la regla 9ue caus el partido" @n el siguiente eMe%plo? esta%os tratando de averiguar 9u6 nor%a se nu%era 5#" #pfctl-$$sr 5 grep Q HD'( H @ 54 cada de bloques en el registro rpido todo el sello "regla de denegacin por defecto" o%o puede ver? esta fue la regla de denegacin por defecto"

A"(+"1" 4&or 9u6 a veces veo blo9ueado las entradas del registro de cone/iones legti%as8
A veces podr2s ver las entradas de registro 9ue? si bien eti9uetados con el NDefault negarN la regla? se parecen a pertenecen al tr2fico legti%o" @l eMe%plo %2s co%;n es ver una cone/in blo9ueada participacin de un servidor web" @s probable 9ue esto suceda cuando un pa9uete T & F3<? 9ue nor%al%ente se cierra la cone/in?
llega despu6s de 9ue el estado de la cone/in se ha 9uitado" @sto sucede por9ue en ocasiones un pa9uete

(*(

Servidor de seguridad

se perder2n? y la retrans%ite ser2n blo9ueados por el cortafuegos ha cerrado ya la cone/in"


@s inofensivo? y no indica una cone/in real blo9ueado" Todos los firewalls ello? aun9ue algunos no generan %ensaMes de registro para este tr2fico blo9ueado incluso si se registra todos los blo9ueados

tr2fico"
Hsted ver2 esto en ocasiones incluso si ha per%itir 9ue todas las nor%as en todas sus interfaces? ya 9ue todos los para las cone/iones T & slo per%ite pa9uetes T & SS<" @l resto de tr2fico T & o ser2 parte de

un estado 9ue e/isten en la tabla de estado? o se i%itan los pa9uetes con las banderas T &"

A"((" Solucin de proble%as de reglas de firewall


@n esta seccin se ofrece orientacin sobre 9u6 hacer si las reglas de firewall no se co%portan co%o

deseo o esperar"

A"(("(" .evise sus registros


@l pri%er paso para solucionar proble%as de tr2fico sospechoso debe ser blo9ueado para revisar sus cortafuegos

los registros Jde estado .egistros del siste%a? en la pesta0a FirewallK" .ecuerde 9ue pfSense por defecto de registro
todo el tr2fico se reduMo y no se registra ning;n tr2fico 9ue pasa" A %enos 9ue se a0ada el blo9ue o rechaDar las reglas 9ue no utilice el registro? todo el tr2fico blo9ueado sie%pre podr2 ingresar" Si no ve el tr2fico con un

G roMa Munto a 6l en su registros de cortafuegos? pfSense no va a abandonar el tr2fico"

A"((")" .evisin de par2%etros de la regla


!odificar la nor%a en cuestin y la revisin de los par2%etros 9ue haya especificado para cada ca%po" &ara T & y el tr2fico HD&? recuerda el puerto de origen casi nunca es el %is%o 9ue el puerto de destino? y por lo general se debe establecer en cual9uier" Si la regla de denegacin por defecto es el culpable? puede ser necesario para elaborar una nueva

pasar regla 9ue coincide con el tr2fico 9ue debe ser per%itido"

A"(("*" .evisin del estado de pedido


.ecuerde 9ue la pri%era regla 9ue coincida gana I sin otras nor%as 9ue se eval;an"

A"(("1" <or%as e interfaces


Aseg;rese de 9ue sus nor%as se encuentran en la interfaD correcta para funcionar seg;n lo previsto" .ecuerde 9ue el tr2fico se filtra

slo por el conMunto de reglas configuradas en la interfaD donde se inicia el tr2fico" @l tr2fico proveniente de

(*)

Servidor de seguridad

un siste%a de la LA< con destino a un siste%a en cual9uier otra interfaD se filtra slo por la LA< reglas" Lo %is%o es cierto para todas las otras interfaces"

A"((">" Activar la regla de registro


&uede ser ;til para deter%inar 9u6 regla se pongan en venta el tr2fico en cuestin" Al habilitar el registro en las reglas de su pase? puede ver los registros del firewall y haga clic en una entrada individual para deter%inar

9ue aprob la nor%a de tr2fico"

A"(("A" Solucin de proble%as con la captura de pa9uetes


captura de pa9uetes puede ser %uy valiosa para la solucin de proble%as y la depuracin de los proble%as de tr2fico" Hsted puede decir si el tr2fico est2 llegando a la interfaD e/terna en absoluto? o salir de la interfaD en el interior? entre otras %uchas

otros usos" 'er aptulo )>? aptura de pa9uetes para %2s detalles sobre la solucin de proble%as con el pa9uete captura y tcpdu%p"

(**

aptulo B" <etworL Address Translation


@n su uso %2s co%;n? <etworL Address Translation J<ATK le per%ite conectar %;ltiples
ordenadores a 3nternet %ediante una ;nica direccin 3& p;blica" pfSense per%ite 9ue estos si%ples i%ple%entaciones? pero ta%bi6n tiene capacidad para %ucho %2s avanDadas y co%pleMas configuraciones de <AT

necesaria en redes con %;ltiples direcciones 3& p;blicas"


<AT se configura en dos direcciones I entrada y de salida" Salida <AT define c%o el tr2fico 9ue sale de la red destinado a 3nternet se traduce" @ntrada <AT se refiere al tr2fico ingresen a su red desde 3nternet" @l tipo %2s co%;n de <AT entrante y uno de los

la %ayora est2 fa%iliariDado con el puerto es hacia delante"

B"(" onfiguracin por defecto <AT


@n esta seccin se describe la configuracin de <AT por defecto de pfSense" @l %2s adecuado configuracin de <AT se genera auto%2tica%ente" @n algunos a%bientes se desea %odificar esta configuracin? y pfSense plena%ente le per%ite hacerlo I todo desde la interfaD web" @sto es un contraste de %uchas otras distribuciones de cdigo abierto cortafuegos? 9ue no per%iten la

capacidades? son necesarios en todos los %as pe9ue0os? si%ples redes"

B"("(" onfiguracin por defecto <AT Saliente


La configuracin de <AT por defecto en pfSense con una interfaD LA< y el despliegue de dos =A< traduce auto%2tica%ente el tr2fico de 3nternet enlaDado a la direccin 3& de la =A<" uando %;ltiples =A< interfaces se configuran? el tr2fico de deMar cual9uier interfaD =A< se traduce auto%2tica%ente a la

direccin de la interfaD =A< 9ue se utiliDa"


puerto est2tico se configura auto%2tica%ente para 3Q@ Jparte de 3&secK y S3& J'o3&K de tr2fico" @st2ticas de puertos

se aborda con %2s detalle en Seccin B"A? N<AT SalienteN sobre la salida <AT"

B"(")" onfiguracin por defecto <AT entrantes


De for%a predeter%inada? no est2 per%itido en el de 3nternet" Si tiene 9ue per%itir el tr2fico iniciado en la 3nternet a un host en la red interna? debe configurar el puerto hacia delante o <AT (:(" @ste

se trata en las secciones pr/i%as"

(*1

<etworL Address Translation

B")" &uerto Delanteros


delante del puerto le per%iten abrir un puerto especfico? rango de puerto o protocolo de una e%presa privada dirigida
dispositivo en su red interna" @l no%bre de Npuerto hacia adelanteN fue elegido por9ue es lo 9ue %2s la gente entiende? y pas a lla%arse de la t6cnica%ente %2s adecuado N<AT entrantesN despu6s de innu%erables 9ueMas de los usuarios confundidos" Sin e%bargo? es un poco de un no%bre poco apropiado? co%o se puede reorientar el G.@ y protocolos de pesetas? ade%2s de los puertos T & y HD&" @sto es %2s co%;n
utiliDa cuando servidores de aloMa%iento? o el uso de aplicaciones 9ue re9uieren cone/iones de entrada de la

De 3nternet"

B")"(" Los riesgos de redirecciona%iento de puertos


@n una configuracin por defecto? pfSense no per%ite en ning;n tr2fico iniciado en 3nternet" @ste

proporciona la proteccin de cual9uier persona de e/ploracin de 3nternet en busca de los siste%as de ata9ue" uando se agregar un puerto para la cone/in? pfSense per%itir2 ning;n tr2fico 9ue coincide con la regla de firewall correspondiente" @s no sabe la diferencia de un pa9uete con una carga %aliciosa y 9ue es benigno" Si coincide con la regla de firewall? es per%itido" Tienes 9ue confiar en los controles basado en host para asegurar 9ue ninguna

los servicios per%itidos a trav6s del firewall"

B")")" @l reenvo de puertos y servicios locales


&uerto delanteros tienen prioridad sobre los servicios 9ue se eMecutan local%ente en el servidor de seguridad? tales co%o la web interfaD? SSF? y cual9uier otros servicios 9ue se est6n eMecutando" &or eMe%plo? esto significa 9ue si usted per%ite 9ue =eb re%oto acceder a la interfaD de la =A< %ediante FTT&S en el puerto T & 11*? si se a0ade un puerto avanDar en la =A< para 9ue el puerto T & 11* hacia adelante va a funcionar y el acceso de la interfaD web de =A< ya no funciona" @sto no afecta el acceso a otras interfaces? slo la interfaD

9ue contiene el puerto para la cone/in"

B")"*" Agregar Delanteros &uerto


Delanteros &uerto se gestionan a cortafuegos <AT? en la ficha Avance del puerto" Las reglas en esta pantalla se gestionan de la %is%a %anera 9ue las reglas del cortafuegos Jv6ase Seccin A")? N3ntroduccin al servidor de seguridad

pantalla .egla%ento NK"


&ara e%peDar a agregar tus puerto para la cone/in? haga clic en el botn en la parte superior o inferior de la lista?

seg;n lo indicado por Figura B"(? NAgregar &uerto AdelanteN"

(*>

<etworL Address Translation

Figura B"(" A0adir Adelante &uerto


Ahora va a estar %irando a la pantalla de edicin de &uerto Adelante? se %uestra en la Figura B")? N&uerto Adelante
@Me%plo N? con las opciones por defecto elegido" @n pri%er lugar? seleccionar la interfaD en la 9ue el puerto 9ue se va trans%iti reside" @n la %ayora de los casos esto se =A<? pero si usted tiene un vnculo =A< :&T? o si este

Ser2 un local de redireccin? puede ser otra interfaD"


La direccin e/terna en la %ayora de los casos se debe establecer en Direccin de interfa4 o una disposicin

3& virtual Jv6ase Seccin A"C? N3&s virtualesNK? a %enos 9ue se trata de un local de redireccin"
@l &rotocolo y el rango de puerto e/terno se debe establecer en consecuencia para el servicio 9ue se trans%iti"

&or eMe%plo? 9ue trans%ita '< seleccin de puerto"K

se establecera &rotocolo B%R y el rango de puertos e/ternos para

"900" J o%o se trata de un puerto co%;n%ente trans%itido? 9ue ta%bi6n est2 disponible en la lista desplegable para La 3& <AT debe ser la direccin 3& local a la 9ue este puerto e/teriores situados por delante la voluntad y el local puerto es donde el rango de puertos re%itido co%enDar2" Si va a reenviar un rango de puertos? por eMe%plo (,+++I(,(++? slo tiene 9ue especificar un punto de partida local ya 9ue los puertos deben coincidir una a uno" @ste ca%po le per%ite abrir un puerto diferente en el e/terior de la sede en el interior est2 escuchando? por eMe%plo el puerto e/terno CCCC podr2 re%itir al puerto local C+ para FTT& en un

servidor interno"
@l ca%po de descripcin? co%o en otras partes de pfSense? est2 disponible para una breve frase acerca de lo 9ue

el puerto se invo9ue o por 9u6 e/iste"


Si no est2 utiliDando un cl;ster de con%utacin por error A.&? saltar sobre el n G!LI.& opcin de sincroniDacin" Si son? a continuacin? %arcar esta casilla? evitar2 9ue esta regla de ser sincroniDado con los de%2s %ie%bros

de un cl;ster de con%utacin por error Jver aptulo )+? Firewall de redundancia 7 alta disponibilidadK? 5ue suele ser indeseables"
La ;lti%a opcin es %uy i%portante" Si %arca AutoIa0adir una regla de firewall para per%itir el tr2fico a trav6s de esta regla <AT? entonces una regla de firewall se crear2 auto%2tica%ente para usted 9ue le per%ita el tr2fico
('irtual

<etworL o%puting? una co%putadora de escritorio %ultiplatafor%a protocolo de uso co%partido con %uchos libres 7 i%ple%entaciones de cdigo abierto? co%o Hltra'<

Jhttp:77www"uvnc"co%7K

(*A

<etworL Address Translation

para llegar al puerto de destino" <or%al%ente es %eMor deMar esta %arcada? y %odificar entonces la regla de firewall despu6s? si es necesario" Faga clic en Guardar cuando haya ter%inado? a continuacin? en Aplicar ca%bios"
@n Figura B")? N@Me%plo de Avance del puertoN hay un eMe%plo de la pantalla hacia adelante edicin de puerto

co%pletado con la configuracin adecuada 9ue trans%ita la '< para un siste%a local"

Figura B")" &uerto @Me%plo Adelante


Despu6s de hacer clic en Guardar? se le llevar2 de nuevo a la lista de reenviar el puerto? y ver2s la nueva

entrada creados co%o en Figura B"*? NListado de puertosN"

(*B

<etworL Address Translation

Figura B"*" Listado de &uerto


Si lo desea? para corroborar la regla de firewall? co%o se ve en firewall .eglas en la ficha de
la interfaD en la 9ue el puerto hacia adelante se ha creado" Se %ostrar2 9ue el tr2fico se per%itir2

en el perodo de investigacin <AT en el puerto adecuado? co%o se %uestra en Figura B"1? NAdelante &uerto reglas de firewallN"

Figura B"1" Adelante &uerto de reglas de cortafuegos


Hsted tendr2 9ue restringir el F(ente de la nor%a genera auto%2tica%ente cuando sea posible" &or
cosas tales co%o servidores de correo 9ue deben ser a%plia%ente accesibles? esto no es pr2ctico? pero para el '< eMe%plo? es probable 9ue slo hay un pe9ue0o n;%ero de %29uinas 9ue deben ser capaces de conectarse a trav6s de '< en un servidor de a trav6s de 3nternet" reacin de un alias de hosts autoriDados? y el ca%bio la fuente de la c(al'(ier al alias es %ucho %2s seguro 9ue salir de la fuente abierta a toda la De 3nternet" @s posible 9ue desee probar pri%ero con la fuente sin restricciones? y tras co%probar 9ue funciona co%o

deseada? restringir la fuente si lo desea"


Si todo est2 correcto? el puerto para la cone/in debera funcionar en las pruebas fuera de su red" Si algo sali %al? consulte Seccin B","(? N&uerto Adelante Solucin de proble%asN %2s adelante en este captulo"

B")"1" Li%itaciones del puerto hacia adelante


Slo se puede presentar un solo puerto a un host interno para cada direccin 3& p;blica 9ue ha disponible" &or eMe%plo? si slo tiene una direccin 3& p;blica? slo puede tener una
servidor web interno 9ue utiliDa el puerto T & C+ para el tr2fico web" ual9uier servidor adicional necesario

utiliDar puertos alternativos? tales co%o C+C+" Si usted tiene cinco direcciones 3& p;blicas disponibles configurado co%o 'irtual 3&? usted podra tener cinco servidores web internos a trav6s del puerto C+" 'er Seccin A"C? N'irtual

3&s N para %2s infor%acin sobre las direcciones 3& virtuales"

(*C

<etworL Address Translation

&ara 9ue re%ite el puerto =A< en las direcciones 9ue sean accesibles por %edio de su respectiva 3& =A<
direccin de la residencia de cara interfaces? tendr2 9ue configurar <AT refle/in 9ue se describe en Seccin B">? N.efle/in <ATN" Hsted sie%pre debe probar su puerto hacia adelante de un siste%a de

otra cone/in a 3nternet? y no desde el interior de la red"

B")">" Servicio de AutoIconfiguracin con H&n&


Algunos progra%as ahora son co%patibles con Hniversal &lugIandI&lay JH&n&K para configurar auto%2tica%ente <AT delante del puerto y las reglas del cortafuegos" A;n %2s los proble%as de seguridad se apli9ue en ellos? pero en la casa de utiliDar el beneficios superan a %enudo las preocupaciones potenciales" 'er Seccin )("A? NH&n&N para %2s infor%acin

sobre la configuracin y el uso de H&n&"

B")"A" @l desvo del tr2fico con Delanteros &uerto


:tro uso de los forwards puerto es para redireccionar de for%a transparente el tr2fico de su red interna" Adelante &uerto especificar la interfaD LA< u otra interfaD interna se redirigir2 el tr2fico coincida con el avance hacia el destino especificado" @ste es el %2s co%;n%ente usado para transparencia

pro/y el tr2fico FTT& a un servidor pro/y o redirigir todos los salientes de S!T& a un servidor"

<ota
@l siste%a 9ue est2 dirigiendo el tr2fico a esta debe residir en una interfaD diferente de el servidor de seguridad" De lo contrario su propio tr2fico de red se redirige a s %is%o" @n el caso de un servidor pro/y FTT& con un puerto para la cone/in de redireccin de la LA<? por su propio solicitudes nunca ser2 capaD de salir de la red a %enos 9ue el servidor reside en una interfaD de territorio palestino ocupado" <o hay %anera de negar un puerto para la cone/in en una interfaD interna en (")"/ pfSense? aun9ue hay una solicitud abierta en funcin de eso y se puede incluir

en )"+"
La entrada <AT se %uestra en la Figura B">? N@Me%plo de redireccin del puerto hacia adelanteN es un eMe%plo de un

configuracin 9ue va a redirigir todo el tr2fico FTT& 9ue llegan a la interfaD LA< de ala%ar Jpuerto

*(),K en el host (B)"*+">+"(+"

(*,

<etworL Address Translation

Figura B">" @Me%plo redirigir puerto para la cone/in


.ecuerde 9ue el servidor est2 redirigiendo a debe residir en una interfaD diferente 9ue el utiliDado en el puerto para la cone/in? co%o se describi anterior%ente"

B"*" +(:+( <AT


+(:+( Jse pronuncia uno a unoK los %apas de <AT una 3& p;blica a una 3& privada" Todo el tr2fico de esa 3& privada a 3nternet ser2 asignado a la direccin 3& p;blica se define en la asignacin de <AT (:(? ree%plaDar la configuracin de <AT de salida" Todo el tr2fico iniciado en 3nternet destinado a especifica la direccin 3& p;blica se traducir2 a la 3& privada? y luego evaluados por el firewall =A<

conMunto de reglas" Si el tr2fico es per%itido por las reglas de su firewall? ser2 pasado al host interno"

(1+

<etworL Address Translation

B"*"(" Los riesgos de <AT +(:+(


Los riesgos de (:( <AT son en gran %edida el %is%o 9ue trans%ite el puerto? si se per%ite el tr2fico a 9ue aloMan en su =A< reglas de firewall" ada veD 9ue per%itir el tr2fico? 9ue se per%ita el tr2fico potencial%ente da0inos en su red" Fay un riesgo a0adido ligero utiliDando las +(:+( <AT en 9ue los errores reglas del firewall puede tener consecuencias %2s graves" on las entradas del puerto hacia adelante? 9ue est2n li%itando el tr2fico 9ue se se per%ite dentro de la regla de <AT? as co%o la regla de firewall" Si el puerto hacia adelante el puerto T & C+? a continuacin? agregue una regla de per%itir 9ue todos en la =A<? slo T & C+ en 9ue host interno ser2 accesible" Si est2 utiliDando <AT (:( y a0ade 9ue todos los pronunciarse sobre =A<? todo lo 9ue en ese host interno ser2 accesible desde 3nternet" @rrores de configuracin son sie%pre un peligro potencial? y esto por lo general no debe considerarse co%o una raDn para evitar (:+( <AT" Fe%os de tener en cuenta este hecho cuando

configurar las reglas de firewall? y co%o sie%pre? 9ue per%ita evitar cual9uier cosa 9ue no es necesario"

B"*")" onfiguracin de <AT +(:+(


&ara configurar <AT +(:+(? pri%ero agregar una direccin 3& virtual para el perodo de investigacin p;blica 9ue se utiliDa para la entrada <AT +(:+( co%o se describe en Seccin A"C? N3&s virtualesN" A continuacin vaya al servidor de seguridad <AT y haga clic en el (:+(

ficha" Faga clic para a0adir una entrada de (:("

B"*")"(" +(:+( Los ca%pos de entrada <AT


Figura B"A? N(:+( <AT pantalla @ditarN %uestra la pantalla de edicin de <AT +(:+(? a continuacin? cada ca%po se detallar2n"

Figura B"A" +(:+( <AT pantalla @ditar B"*")"("(" 3nterfaD


La caMa de interfaD le per%ite seleccionar la ubicacin de la subred e/terna" @sto es casi sie%pre

la =A<? o una interfaD =A< :&T en i%ple%entaciones %ultiI=A<"

(1(

<etworL Address Translation

B"*")"(")" @/teriores de subred


La subred e/terna es donde se define la direccin 3& p;blica o rango de direcciones 3& para las +(:+(
cartografa" @sto puede ser una ;nica direccin 3& %ediante la especificacin de un 7 *) %2scara? o un rango 3D. %ediante la seleccin de

otra %2scara"

B"*")"("*" 3nterior de subred


La subred interna es donde se especifica la direccin 3& interna o rango de direcciones 3& para la (:+( cartografa" @sta direccin 3& o el intervalo debe ser alcanDable en una de sus interfaces internas? ya sea

en una subred conectados directa%ente? o accesible a trav6s de una ruta est2tica"

B"*")"("1" Descripcin
@ste es un ca%po opcional 9ue no afecta el co%porta%iento de la entrada <AT (:(" .ellene algo

9ue le per%itir2 identificar f2cil%ente a esta entrada cuando se trabaMa con el servidor de seguridad en el futuro"

B"*")")" @Me%plo de configuracin de 3& ;nica +(:+(


@n esta seccin se %ostrar2 c%o configurar una entrada <AT (:( con un solo interno y e/terno 3&" @n este eMe%plo? (+"+"+"> es una direccin 3& virtual en la =A<" @n la %ayora de las i%ple%entaciones de este se
sustituido con uno de sus direcciones 3& p;blicas" @l servidor de correo est2 configurado para este

los %apas se encuentra en un seg%ento de la D!E con 3& interna (,)"(AC")">" +(:+( La entrada <AT para %apear (+"+"+"> a (,)"(AC")"> se %uestra en la Figura B"B? NLa entrada <AT (:(N" Hn diagra%a 9ue representa este

configuracin en la Figura B"C? N@Me%plo de <AT +(:+( I ;nico en el interior y fuera de 3&N"

Figura B"B" @ntrada <AT +(:+(

(1)

<etworL Address Translation

B"*")"*" @Me%plo de configuracin 3& de ga%a +(:+(


+(:+( <AT se puede configurar para %;ltiples 3&s p;blicas %ediante el uso de rangos 3D." 3D. resu%en
se trata en Seccin ("B">? Nde resu%en 3D.N" @sta seccin cubre la configuracin de (:(

<AT para una a%plia 3D. 7 *+ de los &3" 3& e/terna (+"+"+"A17*+ (+"+"+"A1 (+"+"+"A> (+"+"+"AA (+"+"+"AB 3nterior 3& (,)"(AC")"A17*+ (,)"(AC")"A1 (,)"(AC")"A> (,)"(AC")"AA (,)"(AC")"AB

Tabla B"(" 7 *+ 3D. %apeo I octeto final se pongan en venta


@l ;lti%o octeto de las direcciones 3& no tiene por 9u6 ser el %is%o en el interior y el e/terior? pero reco%enda%os 9ue hacerlo sie%pre 9ue sea posible" &or eMe%plo? Tabla B")? N7 *+ %apas 3D. I no se pongan en venta final

octeto N ta%bi6n sera v2lida" 3& e/terna (+"+"+"A17*+ (+"+"+"A1 (+"+"+"A> (+"+"+"AA (+"+"+"AB 3nterior 3& (,)"(AC")")++7*+ (,)"(AC")")++ (,)"(AC")")+( (,)"(AC")")+) (,)"(AC")")+*

Tabla B")" 7 *+ 3D. %apeo I octeto final no se pongan en venta


.eco%iendo elegir un es9ue%a de direcciona%iento en el ;lti%o octeto partidos? por9ue hace
la red %2s f2cil de entender y por lo tanto %antener" Figura B",? Nla entrada de +(:+( <AT 7 *+ 3D. a%plia N%uestra c%o configurar <AT +(:+( para lograr la asignacin enu%erados en el Tabla B"(? N7 *+ 3D.

%apas I octeto final se pongan en venta N"

B"*"*" +(:+( <AT en la =A< 3&? ta%bi6n conocido co%o NDona de distensinN en LinLsys
Algunos routers de consu%o co%o los de LinLsys tienen lo 9ue lla%an una NDona de distensinN? caracterstica 9ue se adelante todos los puertos y protocolos destinados a la direccin 3& de la =A< a un siste%a en la LA<" @n

(1*

<etworL Address Translation

efecto? esto es de (:( <AT entre la direccin 3& de la =A< y la direccin 3& del siste%a interno"
NEona de distensinN en ese conte/to? sin e%bargo? no tiene nada 9ue ver con lo 9ue una verdadera red D!E es en tie%po real la creacin de redes de ter%inologa" De hecho? es casi todo lo contrario" Hn host en una verdadera Dona de distensin se encuentra en una
aislado de la red leMos de los anfitriones otra LA<? asegur fuera de la 3nternet y los host LA<

por igual" &or el contrario? una NDona des%ilitariDadaN de acogida en el sentido de LinLsys no es slo en la %is%a red 9ue el

hosts de LA<? pero co%pleta%ente e/puestos al tr2fico entrante con ninguna proteccin"
@n pfSense? no se puede tener +(:+( <AT activo en la 3& =A<" @l =ebGH3 no per%itir 9ue dicho

configuracin? ya 9ue se ro%pera la conectividad para otras %29uinas en la red" @n su lugar? debe slo hacia delante de los protocolos y puertos necesarios para el servidor o aplicacin? y restringir su el uso de reglas de firewall 9ue sea posible" 5ue t6cnica%ente se puede lograr lo %is%o %ediante el envo de Los puertos T & y HD& del ( al A>>*> y el G.@ y protocolos de pesetas? pero esto es %uy fuerte

desalentados? ya 9ue tiene consecuencias graves de seguridad"

B"1" &edido de procesa%iento de <AT y Firewall


o%prender el orden en 9ue los cortafuegos y <AT se produce es i%portante en la configuracin <AT y las reglas del cortafuegos" La Figura B"(+? N.ealiDacin de pedidos de <AT y Firewall de procesa%ientoN? ilustra

este ordena%iento" Ta%bi6n %uestra 9ue los laDos de tcpdu%p? ya 9ue su uso co%o herra%ienta de solucin de proble%as se se describir2 %2s adelante en este libro Jv6ase aptulo )>? aptura de pa9uetesK"
ada capa no sie%pre tiene 6/ito" Figura B"((? NLA< a la =A< de procesa%ientoN y Figura B"()? N=A< a la LA< de procesa%iento N %uestran 9ue las capas se aplican para el tr2fico iniciado desde la LA< va a la

=A<? y ta%bi6n para el tr2fico iniciado en la =A< va a LA< Jpor eMe%plo cuando el tr2fico est2 per%itidoK"
&ara el tr2fico de LA< a =A<? en pri%er lugar las reglas del firewall 9ue se eval;an? el <AT de salida se aplica si el tr2fico est2 per%itido" @l <AT =A< y las reglas del firewall no se aplican al tr2fico

inici en la LA<"

(11

<etworL Address Translation

Figura B"()" &rocesa%iento de =A< a LA<

(1>

<etworL Address Translation

&ara el tr2fico iniciado en la =A<? <AT se aplica en pri%er lugar? a continuacin? las reglas del firewall" Tenga en cuenta 9ue tcpdu%p es sie%pre lo pri%ero y el ;lti%o en ver e