Instal·lació i configuració de pfSense 2.4.4 Firewall Router


Internet és un lloc que fa por en aquests dies. Gairebé diàriament, es produeix un nou dia zero, una violació de seguretat o un ransomware que fa que moltes persones es preguntin si és possible protegir els seus sistemes.

Moltes organitzacions gasten centenars de milers, si no milions, de dòlars intentant instal·lar les solucions de seguretat més recents i millors per protegir la seva infraestructura i dades. Els usuaris domèstics, però, estan en desavantatge monetari. Invertir fins i tot cent dòlars en un tallafoc dedicat sovint està fora de l'abast de la majoria de xarxes domèstiques.

Afortunadament, hi ha projectes dedicats a la comunitat de codi obert que estan fent grans avenços en l'àmbit de les solucions de seguretat per a usuaris domèstics. Projectes com Squid i pfSense ofereixen seguretat a nivell empresarial a preus de productes bàsics!

PfSense és una solució de tallafocs de codi obert basada en FreeBSD. La distribució és gratuïta per instal·lar-se en el propi equip o l'empresa darrere de pfSense, NetGate, ven aparells de tallafocs preconfigurats.

El maquinari necessari per a pfSense és molt mínim i, normalment, una torre domèstica antiga es pot convertir fàcilment en un tallafoc pfSense dedicat. Per a aquells que busquen construir o comprar un sistema més capaç per executar més de les funcions avançades de pfSense, hi ha alguns mínims de maquinari suggerits:

  • CPU de 500 mhz
  • 1 GB de RAM
  • 4 GB d'emmagatzematge
  • 2 targetes d'interfície de xarxa

  • CPU d'1 GHz
  • 1 GB de RAM
  • 4 GB d'emmagatzematge
  • 2 o més targetes d'interfície de xarxa PCI-e.

En el cas que un usuari domèstic vulgui habilitar moltes de les característiques i funcions addicionals de pfSense, com ara Snort, escaneig antivirus, llista negra DNS, filtratge de contingut web, etc., el maquinari recomanat es veu una mica més implicat.

Per donar suport als paquets de programari addicionals al tallafoc pfSense, es recomana que es proporcioni el següent maquinari a pfSense:

  • CPU moderna de diversos nuclis amb com a mínim 2,0 GHz
  • 4 GB o més de RAM
  • 10 GB o més d'espai en HD
  • 2 o més targetes d'interfície de xarxa Intel PCI-e

Instal·lació de pfSense 2.4.4

En aquesta secció, veurem la instal·lació de pfSense 2.4.4 (darrera versió en el moment d'escriure aquest article).

pfSense sovint és frustrant per als usuaris nous als tallafocs. El comportament predeterminat de molts tallafocs és bloquejar-ho tot, bo o dolent. Això és fantàstic des del punt de vista de la seguretat, però no des del punt de vista de la usabilitat. Abans de començar la instal·lació, és important conceptualitzar l'objectiu final abans de començar les configuracions.

Independentment del maquinari escollit, instal·lar pfSense al maquinari és un procés senzill, però requereix que l'usuari presti molta atenció a quins ports d'interfície de xarxa s'utilitzaran per a quin propòsit (LAN, WAN, sense fil, etc.).

Una part del procés d'instal·lació implicarà demanar a l'usuari que comenci a configurar les interfícies LAN i WAN. L'autor suggereix connectar només la interfície WAN fins que pfSense s'hagi configurat i després procedir a finalitzar la instal·lació connectant la interfície LAN.

El primer pas és obtenir el programari pfSense a https://www.pfsense.org/download/. Hi ha un parell d'opcions diferents disponibles segons el dispositiu i el mètode d'instal·lació, però aquesta guia utilitzarà l'AMD64 CD (ISO) Installer.

Utilitzant el menú desplegable de l'enllaç proporcionat anteriorment, seleccioneu un mirall adequat per descarregar el fitxer.

Un cop descarregat l'instal·lador, es pot gravar en un CD o copiar-lo a una unitat USB amb l'eina dd inclosa a la majoria de distribucions de Linux.

El següent procés és escriure la ISO a una unitat USB per arrencar l'instal·lador. Per aconseguir-ho, utilitzeu l'eina dd a Linux. En primer lloc, el nom del disc s'ha de localitzar amb lsblk.

$ lsblk

Amb el nom de la unitat USB determinat com a /dev/sdc, la ISO pfSense es pot escriure a la unitat amb l'eina dd.

$ gunzip ~/Downloads/pfSense-CE-2.4.4-RELEASE-p1-amd64.iso.gz
$ dd if=~/Downloads/pfSense-CE-2.4.4-RELEASE-p1-amd64.iso of=/dev/sdc

Important: l'ordre anterior requereix privilegis de root, així que utilitzeu sudo o inicieu sessió com a usuari root per executar l'ordre. A més, aquesta comanda ELIMINARÀ TOT a la unitat USB. Assegureu-vos de fer una còpia de seguretat de les dades necessàries.

Un cop dd hagi acabat d'escriure a la unitat USB o el CD s'ha gravat, col·loqueu el suport a l'ordinador que es configurarà com a tallafoc pfSense. Engegueu l'ordinador amb aquest suport i es presentarà la pantalla següent.

En aquesta pantalla, permeteu que el temporitzador s'esgoti o seleccioneu 1 per continuar amb l'arrencada a l'entorn de l'instal·lador. Un cop l'instal·lador acabi d'arrencar, el sistema demanarà els canvis desitjats a la disposició del teclat. Si tot es mostra en un idioma nadiu, només cal que feu clic a Accepta aquesta configuració.

La següent pantalla proporcionarà a l'usuari l'opció d'una Instal·lació ràpida/fàcil o opcions d'instal·lació més avançades. Als efectes d'aquesta guia, es recomana utilitzar simplement l'opció Instal·lació ràpida/fàcil.

La següent pantalla simplement confirmarà que l'usuari vol utilitzar el mètode Instal·lació ràpida/fàcil que no farà tantes preguntes durant la instal·lació.

La primera pregunta que és probable que es presentarà preguntarà sobre quin nucli instal·lar. Una vegada més, es recomana instal·lar el Nucli estàndard per a la majoria dels usuaris.

Quan l'instal·lador hagi acabat aquesta etapa, demanarà un reinici. Assegureu-vos d'eliminar també el suport d'instal·lació perquè la màquina no torni a arrencar a l'instal·lador.

Configuració pfSense

Després del reinici i l'eliminació del suport CD/USB, pfSense es reiniciarà al sistema operatiu recentment instal·lat. Per defecte, pfSense triarà una interfície per configurar-la com a interfície WAN amb DHCP i deixarà la interfície LAN sense configurar.

Tot i que pfSense té un sistema de configuració gràfica basat en web, només s'executa al costat LAN del tallafoc, però de moment, el costat LAN no estarà configurat. El primer que cal fer seria establir una adreça IP a la interfície LAN.

Per fer-ho seguiu aquests passos:

  • Anoteu quin nom de la interfície és la interfície WAN (em0 més amunt).
  • Introduïu 1 i premeu la tecla Enter.
  • Escriviu n i premeu la tecla Enter quan us pregunteu sobre les VLAN.
  • Escriviu el nom de la interfície registrat al pas 1 quan se us demani la interfície WAN o canvieu-la ara a la interfície adequada. Un cop més, aquest exemple, em0 és la interfície WAN, ja que serà la interfície orientada a Internet.
  • La següent sol·licitud demanarà la interfície LAN, torneu a escriure el nom de la interfície adequat i premeu la tecla Enter. En aquesta instal·lació, 'em1' és la interfície LAN.
  • pfSense continuarà demanant més interfícies si estan disponibles, però si totes les interfícies s'han assignat, només cal que torneu a prémer la tecla Enter.
  • pfSense demanarà ara que s'asseguri que les interfícies s'assignen correctament.


El següent pas serà assignar a les interfícies la configuració IP adequada. Quan pfSense torni a la pantalla principal, escriviu 2 i premeu la tecla Enter. (Assegureu-vos de fer un seguiment dels noms de les interfícies assignats a les interfícies WAN i LAN).

*NOTA* Per a aquesta instal·lació, la interfície WAN pot utilitzar DHCP sense cap problema, però pot haver-hi casos en què es requereixi una adreça estàtica. El procés per configurar una interfície estàtica a la WAN seria el mateix que la interfície LAN que s'està a punt de configurar.

Torneu a escriure 2 quan se us demani quina interfície definir la informació IP. De nou, 2 és la interfície LAN en aquest recorregut.

Quan se us demani, escriviu l'adreça IPv4 desitjada per a aquesta interfície i premeu la tecla Enter. Aquesta adreça no s'hauria d'utilitzar en cap altre lloc de la xarxa i probablement es convertirà en la passarel·la predeterminada per als amfitrions que es connectaran a aquesta interfície.

El següent indicador demanarà la màscara de subxarxa en el que es coneix com a format de màscara de prefix. Per a aquest exemple de xarxa s'utilitzarà un /24 o 255.255.255.0 simple. Premeu la tecla Enter quan hagis acabat.

La següent pregunta es preguntarà sobre una passarela IPv4 amunt. Com que la interfície LAN està configurada actualment, només cal que premeu la tecla Enter.

El següent missatge us demanarà que configureu IPv6 a la interfície LAN. Aquesta guia simplement utilitza IPv4, però si l'entorn requereix IPv6, es pot configurar ara. En cas contrari, només premeu la tecla Enter continuarà.

La següent pregunta preguntarà sobre com iniciar el servidor DHCP a la interfície LAN. La majoria dels usuaris domèstics hauran d'habilitar aquesta funció. De nou, pot ser que s'hagi d'ajustar en funció de l'entorn.

Aquesta guia suposa que l'usuari voldrà que el tallafoc proporcioni serveis DHCP i assignarà 51 adreces per a altres ordinadors per obtenir una adreça IP del dispositiu pfSense.

La següent pregunta demanarà revertir l'eina web de pfSense al protocol HTTP. Es recomana NO fer això, ja que el protocol HTTPS proporcionarà un cert nivell de seguretat per evitar la divulgació de la contrasenya d'administrador per a l'eina de configuració web.

Un cop l'usuari premeu Enter, pfSense desarà els canvis de la interfície i iniciarà els serveis DHCP a la interfície LAN.

Tingueu en compte que pfSense proporcionarà l'adreça web per accedir a l'eina de configuració web mitjançant un ordinador connectat al costat de la LAN del dispositiu tallafoc. Això conclou els passos bàsics de configuració per preparar el dispositiu tallafoc per a més configuracions i regles.

S'accedeix a la interfície web mitjançant un navegador web navegant a l'adreça IP de la interfície LAN.

La informació per defecte de pfSense en el moment d'escriure aquest article és la següent:

Username: admin
Password: pfsense

Després d'iniciar sessió amb èxit a través de la interfície web per primera vegada, pfSense executarà una configuració inicial per restablir la contrasenya d'administrador.

La primera sol·licitud és registrar-se a pfSense Gold Subscription, que té avantatges com ara una còpia de seguretat automàtica de la configuració, accés als materials de formació de pfSense i reunions virtuals periòdiques amb desenvolupadors de pfSense. La compra d'una subscripció Gold no és necessària i el pas es pot saltar si ho desitja.

El pas següent demanarà a l'usuari més informació de configuració del tallafoc, com ara el nom d'amfitrió, el nom de domini (si escau) i els servidors DNS.

El següent missatge serà el protocol de temps de xarxa configurat, NTP. Les opcions predeterminades es poden deixar tret que es desitgin diferents servidors de temps.

Després de configurar NTP, l'assistent d'instal·lació de pfSense demanarà a l'usuari que configuri la interfície WAN. pfSense admet diversos mètodes per configurar la interfície WAN.

El valor predeterminat per a la majoria dels usuaris domèstics és utilitzar DHCP. DHCP del proveïdor de serveis d'Internet de l'usuari és el mètode més comú per obtenir la configuració IP necessària.

El següent pas us demanarà la configuració de la interfície LAN. Si l'usuari està connectat a la interfície web, és probable que la interfície LAN ja s'hagi configurat.

Tanmateix, si cal canviar la interfície LAN, aquest pas permetria fer canvis. Assegureu-vos de recordar en quina s'ha establert l'adreça IP de la LAN, ja que així és com el
l'administrador accedirà a la interfície web!

Com passa amb totes les coses del món de la seguretat, les contrasenyes predeterminades representen un risc de seguretat extrem. La pàgina següent demanarà a l'administrador que canviï la contrasenya predeterminada per a l'usuari administrador a la interfície web pfSense.

El pas final consisteix a reiniciar pfSense amb les noves configuracions. Simplement feu clic al botó Recarrega.

Després de tornar a carregar pfSense, presentarà a l'usuari una pantalla final abans d'iniciar sessió a la interfície web completa. Simplement feu clic al segon Feu clic aquí per iniciar sessió a la interfície web completa.

Per fi pfSense està a punt per tenir regles configurades!

Ara que pfSense està en funcionament, l'administrador haurà de passar i crear regles per permetre el trànsit adequat a través del tallafoc. Cal tenir en compte que pfSense té una regla per defecte per permetre tot. Per motius de seguretat, això s'hauria de canviar, però aquesta és una altra decisió de l'administrador.

Gràcies per llegir aquest article de TecMint sobre la instal·lació de pfSense! Estigueu atents als futurs articles sobre la configuració d'algunes de les opcions més avançades disponibles a pfSense.