Instalación y configuración de pfSense 2.4.4 Firewall Router


Internet es un lugar aterrador en estos días. Casi a diario, se produce un nuevo día cero, una infracción de seguridad o ransomware que deja a muchas personas preguntándose si es posible proteger sus sistemas.

Muchas organizaciones gastan cientos de miles, si no millones, de dólares tratando de instalar las últimas y mejores soluciones de seguridad para proteger su infraestructura y datos. Sin embargo, los usuarios domésticos se encuentran en desventaja monetaria. Invertir incluso cien dólares en un firewall dedicado a menudo está fuera del alcance de la mayoría de las redes domésticas.

Afortunadamente, hay proyectos dedicados en la comunidad de código abierto que están logrando grandes avances en el campo de las soluciones de seguridad para usuarios domésticos. Proyectos como Squid y pfSense brindan seguridad a nivel empresarial a precios de productos básicos.

PfSense es una solución de firewall de código abierto basada en FreeBSD. La distribución es de instalación gratuita en el propio equipo o la empresa detrás de pfSense, NetGate, vende dispositivos de firewall preconfigurados.

El hardware requerido para pfSense es mínimo y, por lo general, una torre doméstica más antigua se puede reutilizar fácilmente en un cortafuegos pfSense dedicado. Para aquellos que buscan construir o comprar un sistema más capaz para ejecutar más de las funciones avanzadas de pfSense, hay algunos mínimos de hardware sugeridos:

  • CPU de 500 mhz
  • 1 GB de RAM
  • 4 GB de almacenamiento
  • 2 tarjetas de interfaz de red

  • CPU de 1 GHz
  • 1 GB de RAM
  • 4 GB de almacenamiento
  • 2 o más tarjetas de interfaz de red PCI-e.

En el caso de que un usuario doméstico desee habilitar muchas de las características y funciones adicionales de pfSense, como Snort, escaneo antivirus, listas negras de DNS, filtrado de contenido web, etc., el hardware recomendado se vuelve un poco más complicado.

Para admitir los paquetes de software adicionales en el cortafuegos pfSense, se recomienda que se proporcione el siguiente hardware a pfSense:

  • CPU moderna de varios núcleos que funciona al menos a 2,0 GHz
  • Más de 4 GB de RAM
  • Más de 10 GB de espacio en el disco duro
  • 2 o más tarjetas de interfaz de red Intel PCI-e

Instalación de pfSense 2.4.4

En esta sección, veremos la instalación de pfSense 2.4.4 (última versión al momento de escribir este artículo).

pfSense a menudo resulta frustrante para los usuarios nuevos en los cortafuegos. El comportamiento predeterminado de muchos firewalls es bloquear todo, bueno o malo. Esto es genial desde el punto de vista de la seguridad, pero no desde el punto de vista de la usabilidad. Antes de comenzar con la instalación, es importante conceptualizar el objetivo final antes de comenzar las configuraciones.

Independientemente del hardware que se elija, la instalación de pfSense en el hardware es un proceso sencillo, pero requiere que el usuario preste mucha atención a qué puertos de interfaz de red se utilizarán para qué propósito (LAN, WAN, inalámbrico, etc.).

Parte del proceso de instalación implicará pedirle al usuario que comience a configurar las interfaces LAN y WAN. El autor sugiere solo conectar la interfaz WAN hasta que se haya configurado pfSense y luego proceder a finalizar la instalación conectando la interfaz LAN.

El primer paso es obtener el software pfSense de https://www.pfsense.org/download/. Hay un par de opciones diferentes disponibles según el dispositivo y el método de instalación, pero esta guía utilizará el "Instalador AMD64 CD (ISO)".

Usando el menú desplegable en el enlace proporcionado anteriormente, seleccione un espejo apropiado para descargar el archivo.

Una vez que se ha descargado el instalador, se puede grabar en un CD o se puede copiar a una unidad USB con la herramienta "dd" incluida en la mayoría de las distribuciones de Linux.

El siguiente proceso es escribir la ISO en una unidad USB para iniciar el instalador. Para lograr esto, use la herramienta "dd" dentro de Linux. Primero, el nombre del disco debe ubicarse con "lsblk".

$ lsblk

Con el nombre de la unidad USB determinado como "/ dev/sdc", el pfSense ISO se puede escribir en la unidad con la herramienta "dd".

$ gunzip ~/Downloads/pfSense-CE-2.4.4-RELEASE-p1-amd64.iso.gz
$ dd if=~/Downloads/pfSense-CE-2.4.4-RELEASE-p1-amd64.iso of=/dev/sdc

Importante: el comando anterior requiere privilegios de root, así que utilice "sudo" o inicie sesión como usuario root para ejecutar el comando. Además, este comando ELIMINARÁ TODO en la unidad USB. Asegúrese de hacer una copia de seguridad de los datos necesarios.

Una vez que "dd" haya terminado de escribir en la unidad USB o se haya grabado el CD, coloque el medio en la computadora que se configurará como firewall pfSense. Inicie esa computadora en ese medio y se presentará la siguiente pantalla.

En esta pantalla, deje que el temporizador se agote o seleccione 1 para continuar con el arranque en el entorno del instalador. Una vez que el instalador termine de iniciarse, el sistema le solicitará los cambios que desee en la distribución del teclado. Si todo se muestra en un idioma nativo, simplemente haga clic en "Aceptar esta configuración".

La siguiente pantalla le proporcionará al usuario la opción de una "Instalación rápida/fácil" u opciones de instalación más avanzadas. Para los propósitos de esta guía, se sugiere simplemente usar la opción "Instalación rápida/fácil".

La siguiente pantalla simplemente confirmará que el usuario desea utilizar el método "Instalación rápida/fácil", que no hará tantas preguntas durante la instalación.

La primera pregunta que probablemente se presentará será sobre qué kernel instalar. Nuevamente, se sugiere que se instale el "núcleo estándar" para la mayoría de los usuarios.

Cuando el instalador haya finalizado esta etapa, solicitará un reinicio. Asegúrese de quitar también los medios de instalación para que la máquina no se reinicie en el instalador.

Configuración de pfSense

Después del reinicio y la eliminación del CD/medio USB, pfSense se reiniciará en el sistema operativo recién instalado. De forma predeterminada, pfSense elegirá una interfaz para configurar como la interfaz WAN con DHCP y dejará la interfaz LAN sin configurar.

Si bien pfSense tiene un sistema de configuración gráfica basado en la web, solo se está ejecutando en el lado LAN del firewall, pero por el momento, el lado LAN no estará configurado. Lo primero que debe hacer es configurar una dirección IP en la interfaz LAN.

Para hacer esto, siga estos pasos:

  • Tome nota de qué nombre de interfaz es la interfaz WAN (em0 arriba).
  • Ingrese "1" y presione la tecla "Enter".
  • Escriba "n" y presione la tecla "Intro" cuando se le pregunte acerca de las VLAN.
  • Escriba el nombre de la interfaz registrado en el paso uno cuando se le solicite la interfaz WAN o cambie a la interfaz adecuada ahora. De nuevo en este ejemplo, "em0" es la interfaz WAN, ya que será la interfaz frente a Internet.
  • El siguiente mensaje solicitará la interfaz LAN, nuevamente escriba el nombre de la interfaz adecuada y presione la tecla "Enter". En esta instalación, "em1" es la interfaz LAN.
  • pfSense continuará solicitando más interfaces si están disponibles, pero si se han asignado todas las interfaces, simplemente presione la tecla "Enter" nuevamente.
  • pfSense ahora le pedirá que se asegure de que las interfaces estén asignadas correctamente.


El siguiente paso será asignar a las interfaces la configuración IP adecuada. Después de que pfSense regrese a la pantalla principal, escriba "2" y presione la tecla "Enter". (Asegúrese de realizar un seguimiento de los nombres de interfaz asignados a las interfaces WAN y LAN).

* NOTA * Para esta instalación, la interfaz WAN puede usar DHCP sin ningún problema, pero puede haber casos en los que se requiera una dirección estática. El proceso para configurar una interfaz estática en la WAN sería el mismo que el de la interfaz LAN que está a punto de configurarse.

Vuelva a escribir "2" cuando se le solicite en qué interfaz configurar la información de IP. De nuevo, 2 es la interfaz LAN en este tutorial.

Cuando se le solicite, escriba la dirección IPv4 deseada para esta interfaz y presione la tecla "Enter". Esta dirección no debe estar en uso en ningún otro lugar de la red y probablemente se convertirá en la puerta de enlace predeterminada para los hosts que se conectarán a esta interfaz.

El siguiente mensaje le pedirá la máscara de subred en lo que se conoce como formato de máscara de prefijo. Para esta red de ejemplo, se utilizará un simple/24 o 255.255.255.0. Presione la tecla "Enter" cuando termine.

La siguiente pregunta se referirá a una "puerta de enlace IPv4 ascendente". Dado que la interfaz LAN está configurada actualmente, simplemente presione la tecla "Enter".

El siguiente mensaje le pedirá que configure IPv6 en la interfaz LAN. Esta guía simplemente usa IPv4, pero si el entorno requiere IPv6, se puede configurar ahora. De lo contrario, continuará presionando la tecla "Enter".

La siguiente pregunta le preguntará acerca de cómo iniciar el servidor DHCP en la interfaz LAN. La mayoría de los usuarios domésticos necesitarán habilitar esta función. Nuevamente, esto puede necesitar ser ajustado dependiendo del entorno.

Esta guía asume que el usuario querrá que el firewall proporcione servicios DHCP y asignará 51 direcciones para que otras computadoras obtengan una dirección IP del dispositivo pfSense.

La siguiente pregunta pedirá revertir la herramienta web de pfSense al protocolo HTTP. Se recomienda encarecidamente NO hacer esto, ya que el protocolo HTTPS proporcionará cierto nivel de seguridad para evitar la divulgación de la contraseña de administrador para la herramienta de configuración web.

Una vez que el usuario presione "Enter", pfSense guardará los cambios de la interfaz e iniciará los servicios DHCP en la interfaz LAN.

Tenga en cuenta que pfSense proporcionará la dirección web para acceder a la herramienta de configuración web a través de una computadora conectada en el lado LAN del dispositivo de firewall. Con esto concluyen los pasos de configuración básicos para que el dispositivo de firewall esté listo para más configuraciones y reglas.

Se accede a la interfaz web a través de un navegador web navegando hasta la dirección IP de la interfaz LAN.

La información predeterminada para pfSense en el momento de escribir este artículo es la siguiente:

Username: admin
Password: pfsense

Después de un inicio de sesión exitoso a través de la interfaz web por primera vez, pfSense ejecutará una configuración inicial para restablecer la contraseña de administrador.

El primer mensaje es para registrarse en la Suscripción Gold de pfSense, que tiene beneficios tales como copia de seguridad automática de la configuración, acceso a los materiales de capacitación de pfSense y reuniones virtuales periódicas con los desarrolladores de pfSense. No es necesario comprar una suscripción Gold y, si lo desea, puede omitir el paso.

El siguiente paso solicitará al usuario más información de configuración para el firewall, como el nombre de host, el nombre de dominio (si corresponde) y los servidores DNS.

El siguiente mensaje será configurar el protocolo de tiempo de red, NTP. Las opciones predeterminadas se pueden dejar a menos que se deseen diferentes servidores de tiempo.

Después de configurar NTP, el asistente de instalación de pfSense le pedirá al usuario que configure la interfaz WAN. pfSense admite varios métodos para configurar la interfaz WAN.

El valor predeterminado para la mayoría de los usuarios domésticos es utilizar DHCP. DHCP del proveedor de servicios de Internet del usuario es el método más común para obtener la configuración IP necesaria.

El siguiente paso solicitará la configuración de la interfaz LAN. Si el usuario está conectado a la interfaz web, es probable que la interfaz LAN ya esté configurada.

Sin embargo, si es necesario cambiar la interfaz LAN, este paso permitiría realizar cambios. Asegúrese de recordar cuál es la dirección IP de LAN, ya que así es como
El administrador accederá a la interfaz web.

Como ocurre con todas las cosas en el mundo de la seguridad, las contraseñas predeterminadas representan un riesgo de seguridad extremo. La siguiente página le pedirá al administrador que cambie la contraseña predeterminada para el usuario "admin" a la interfaz web pfSense.

El paso final implica reiniciar pfSense con las nuevas configuraciones. Simplemente haga clic en el botón "Recargar".

Después de que pfSense se vuelva a cargar, le presentará al usuario una pantalla final antes de iniciar sesión en la interfaz web completa. Simplemente haga clic en el segundo "Haga clic aquí" para iniciar sesión en la interfaz web completa.

¡Por fin pfSense está listo para configurar las reglas!

Ahora que pfSense está en funcionamiento, el administrador deberá seguir adelante y crear reglas para permitir el tráfico adecuado a través del firewall. Cabe señalar que pfSense tiene una regla predeterminada permitir todo. Por razones de seguridad, esto debería cambiarse, pero nuevamente es una decisión del administrador.

¡Gracias por leer este artículo de TecMint sobre la instalación de pfSense! Esté atento a los artículos futuros sobre la configuración de algunas de las opciones más avanzadas disponibles en pfSense.