Por tanto, para acceder a la administraci\u00f3n del firewall y router deberemos poner en la barra de direcciones https:\/\/192.168.1.1, el nombre de usuario es \u00abadmin\u00bb y la clave es \u00abpfsense\u00bb, as\u00ed accederemos directamente al men\u00fa de configuraci\u00f3n v\u00eda web, donde podremos ver lo siguiente:<\/p>\n
![](\"http:\/\/cordobadirecto.com\/wp-content\/uploads\/2021\/03\/configuracion-del-router-y-firewall-pfsense-internet-vlans-dhcp-y-mas.png\")
<\/p>\n
Configurar conexi\u00f3n a Internet<\/h2>\n
pfSense est\u00e1 dise\u00f1ado para conectarse directamente a Internet y tener la direcci\u00f3n IP p\u00fablica que nos proporciona el operador, es muy importante tener una IP p\u00fablica y no estar detr\u00e1s de CGNAT, de lo contrario, no podremos hacer reenv\u00edo de puertos ni acceder remotamente al propio pfSense. En Espa\u00f1a, es muy habitual que los operadores de FTTH utilicen diferentes VLAN ID para proporcionar su conexi\u00f3n a Internet. En algunas ocasiones, como Movistar \/ O2, podemos poner el router en monopuesto y configurar \u00fanicamente el PPPoE, pero en otras ocasiones como Grupo masmovil, debemos configurar un VLAN ID en la WAN de Internet para que funcione, de lo contrario, no tendremos conexi\u00f3n a Internet.<\/p>\n
Si tu operador necesita hacer uso de un VLAN ID, en pfSense debemos seguir los pasos que os detallamos a continuaci\u00f3n, si no necesitas VLANs, puedes saltarte este paso:<\/p>\n
- \n
- Irnos a \u00abInterfaces \/ Interface Assignments<\/strong>\u00ab, en la pesta\u00f1a de \u00abVLANs\u00bb es donde tendremos que crearlas.<\/li>\n
- Parent Interface<\/strong>: asegurarnos de que elegirmos el puerto asignado a la WAN de Internet, no a la LAN.<\/li>\n
- VLAN Tag<\/strong>: Crear el VLAN ID que se corresponde con la conexi\u00f3n a Internet, en Movistar\/O2 es el 6, en Grupo Masmovil indirecto es VLAN ID 20, esto depende de cada operador.<\/li>\n
- VLAN Priority<\/strong>: podemos dejarlo vac\u00edo.<\/li>\n
- Descripci\u00f3n<\/strong>: ponemos un nombre descriptivo, por ejemplo, \u00abInternet\u00bb.<\/li>\n<\/ol>\n
Una vez que hayamos creado al VLAN, tenemos que aplicarla en la WAN de Internet. Volvemos al men\u00fa de Interfaces \/ Interface Assignments<\/strong> y en la secci\u00f3n de WAN, seleccionamos \u00abVLAN 20 on em0\u00bb, es decir, la VLAN que acabamos de crear. Una vez hecho, pinchamos en \u00abSave\u00bb para guardar los cambios.<\/p>\n
Ahora tendremos que irnos a \u00abInterfaces \/ WAN<\/strong>\u00bb y realizar la configuraci\u00f3n que nos brinda el operador, por ejemplo, Grupo Masmovil hace uso de DHCP, pero Movistar\/O2 hace uso de PPPoE. Dependiendo del operador tendremos un tipo de conexi\u00f3n u otro, un nombre de usuario\/clave u otro, pero todas las opciones de cara a la WAN est\u00e1n en esta secci\u00f3n. Es muy recomendable marcar las dos casillas de la parte inferior, tanto \u00abBlock private networks and loopback addresses\u00bb como \u00abBlock bogon networks\u00bb, para meter reglas en el firewall bloqueando estas redes en la WAN de Internet.<\/p>\n
Llegados a este punto, ya deber\u00edamos tener conexi\u00f3n a Internet sin problemas, obteniendo la IP p\u00fablica del operador y los servidores DNS que nos proporcionan a nivel de red.<\/p>\n
Crear VLANs para segmentar tr\u00e1fico<\/h2>\n
Las VLANs (Virtual LAN) nos permite separar el tr\u00e1fico de diferentes redes para aumentar la seguridad de la red, podremos crear varias VLANs para separar las redes y tener diferentes niveles de permisos y accesos en cada red local creada. Una arquitectura de red t\u00edpica, consiste en tener todas las VLANs creadas en el pfSense, y conectar un cable desde un puerto f\u00edsico de la LAN hasta un puerto de un switch gestionable en modo trunk, de esta forma, estaremos pas\u00e1ndoles todas las VLANs (con etiqueta) creadas en el switch al pfSense para hacer inter-vlan routing, y tambi\u00e9n para tener la posibilidad de configurar diferentes reglas.<\/p>\n
Lo primero que tenemos que hacer para crear VLANs en la LAN, es irnos a la secci\u00f3n de \u00abInterfaces \/ Interface Assignments<\/strong>\u00ab.<\/p>\n
![](\"http:\/\/cordobadirecto.com\/wp-content\/uploads\/2021\/03\/configuracion-del-router-y-firewall-pfsense-internet-vlans-dhcp-y-mas-1.png\")
<\/p>\nUna vez aqu\u00ed, pinchamos en la secci\u00f3n de VLANs para crearlas correctamente, por defecto no tenemos ninguna VLAN creada, tal y como pod\u00e9is ver a continuaci\u00f3n:<\/p>\n
![](\"http:\/\/cordobadirecto.com\/wp-content\/uploads\/2021\/03\/configuracion-del-router-y-firewall-pfsense-internet-vlans-dhcp-y-mas-2.png\")
<\/p>\nPara crear una nueva VLAN, pinchamos en \u00abAdd\u00bb, y a continuaci\u00f3n realizamos los siguientes pasos:<\/p>\n
- \n
- Parent Interface<\/strong>: asegurarnos de que elegirmos el puerto asignado a la LAN (no a la WAN de Internet).<\/li>\n
- VLAN Tag<\/strong>: Crear el VLAN ID que se corresponde con el del switch.<\/li>\n
- VLAN Priority<\/strong>: podemos dejarlo vac\u00edo.<\/li>\n
- Descripci\u00f3n<\/strong>: ponemos un nombre descriptivo, por ejemplo, \u00abGesti\u00f3n\u00bb.<\/li>\n<\/ol>\n
Podremos crear todas las VLANs que queramos, siempre \u00abcolgando\u00bb de la interfaz LAN f\u00edsica. Por ejemplo, hemos creado otras dos VLANs adicionales, una VLAN para equipos y otra para invitados. El procedimiento es exactamente el mismo:<\/p>\n
Una vez creadas, nos iremos nuevamente a \u00abInterfaces \/ Interface Assignments<\/strong>\u00ab, aqu\u00ed podremos ver un resumen de las interfaces f\u00edsicas y del puerto de red. Por defecto, tendremos la WAN de Internet (con o sin VLAN), y tambi\u00e9n la LAN. Para a\u00f1adir estas nuevas interfaces a la LAN, simplemente seleccionamos la interfaz \u00abVLAN 2 on em1\u2026\u00bb y pinchamos en \u00abAdd\u00bb, y lo mismo con las dem\u00e1s, tal y como pod\u00e9is ver en las siguientes capturas:<\/p>\n
Una vez que las hayamos creado, en el desplegable de \u00abInterfaces\u00bb nos aparecer\u00e1n todas, con el nombre por defecto que son \u00abOPT1\u00bb, \u00abOPT2\u00bb etc. Por defecto, tenemos la interfaz de la LAN activada, con su correspondiente direcci\u00f3n IPv4 privada, tomando como base esta configuraci\u00f3n, podremos hacer el resto:<\/p>\n
\n\n![](\"http:\/\/cordobadirecto.com\/wp-content\/uploads\/2021\/03\/configuracion-del-router-y-firewall-pfsense-internet-vlans-dhcp-y-mas-3.png\")
<\/div>\n![](\"http:\/\/cordobadirecto.com\/wp-content\/uploads\/2021\/03\/configuracion-del-router-y-firewall-pfsense-internet-vlans-dhcp-y-mas-4.png\")
<\/div>\n<\/div>\n<\/span><\/span><\/div>\n
La configuraci\u00f3n del resto de interfaces es exactamente igual, tendremos que habilitarla, poner un nombre descriptivo, poner la configuraci\u00f3n IPv4 y\/o IPv6 correspondiente, guardar cambios y aplicarlos.<\/p>\n
Una vez configurada, podremos ver que ahora el nombre se le ha cambiado, tendremos que hacer lo mismo con las dem\u00e1s. Cuando hayamos terminado, en la secci\u00f3n de \u00abInterface Assignments\u00bb podremos ver el nombre que le hemos dado a cada una de ellas.<\/p>\n
\n\n![](\"http:\/\/cordobadirecto.com\/wp-content\/uploads\/2021\/03\/configuracion-del-router-y-firewall-pfsense-internet-vlans-dhcp-y-mas-5.png\")
<\/div>\n![](\"http:\/\/cordobadirecto.com\/wp-content\/uploads\/2021\/03\/configuracion-del-router-y-firewall-pfsense-internet-vlans-dhcp-y-mas-6.png\")
<\/div>\n<\/div>\n<\/span><\/span><\/div>\n
Ahora, cuando conectemos diferentes equipos al switch en una VLAN de acceso en concreto, podremos acceder a esta subred local, pero debemos recordar que el servidor DHCP a\u00fan no est\u00e1 activado en estas VLANs reci\u00e9n creadas, es justamente lo siguiente que vamos a configurar.<\/p>\n
Servidor DHCP de las interfaces LAN<\/h2>\n
Normalmente cada una de las VLAN tendr\u00e1n configurado un servidor DHCP. Para hacerlo, nos vamos a la secci\u00f3n de \u00abServices \/ DHCP Server\u00bb. Justo debajo tendremos unas pesta\u00f1as de LAN, gesti\u00f3n, equipos e invitados, las mismas redes que hemos creado anteriormente. Aqu\u00ed podremos ver la subred a la que pertenece cada interfaz, y qu\u00e9 rango de DHCP les podemos proporcionar como m\u00e1ximo.<\/p>\n
Para configurar el servidor DHCP, lo que podemos hacer es poner la misma configuraci\u00f3n que la LAN, cambiando \u00fanicamente la subred. De esta forma, nos aseguraremos de que todo funciona bien. En estos men\u00fas tambi\u00e9n podremos a\u00f1adir varios \u00abpools\u00bb e incluso definir unos servidores WINS y DNS, tambi\u00e9n tendremos opciones de configuraci\u00f3n avanzadas que tenemos justo en la parte inferior.<\/p>\n
Las opciones de configuraci\u00f3n del resto de redes que acabamos de crear son exactamente las mismas que en la LAN, lo que s\u00ed debemos tener en cuenta es poner un rango dentro de la misma subred, y que tengan suficientes hosts para que la red funcione correctamente.<\/p>\n
Static DHCP<\/h3>\n
El static DHCP es la funcionalidad de un servidor DHCP que nos permite proporcionar la misma IP privada a la misma tarjeta de red. Poniendo la direcci\u00f3n MAC de la tarjeta de red y la IP privada que queramos que tenga, el servidor DHCP le brindar\u00e1 siempre la misma. En esta secci\u00f3n lo \u00fanico que tendremos que rellenar es lo siguiente:<\/p>\n
- \n
- MAC Address<\/li>\n
- IP Address<\/li>\n
- Hostname: para darle un nombre y acceder v\u00eda dominio a \u00e9l.<\/li>\n
- Descripci\u00f3n: un nombre descriptivo<\/li>\n
- Pinchar en \u00abCreate an ARP Table Static\u00bb para enlazar la IP y MAC.<\/li>\n<\/ol>\n
A continuaci\u00f3n, tenemos la posibilidad de definir servidores WINS y DNS, as\u00ed como otros par\u00e1metros. Si lo dejamos todo en blanco, autom\u00e1ticamente va a heredar la configuraci\u00f3n del \u00abpool\u00bb principal, por lo que no tenemos de qu\u00e9 preocuparnos.<\/p>\n
![](\"http:\/\/cordobadirecto.com\/wp-content\/uploads\/2021\/03\/configuracion-del-router-y-firewall-pfsense-internet-vlans-dhcp-y-mas-7.png\")
<\/p>\nA continuaci\u00f3n, pod\u00e9is ver c\u00f3mo hacerlo con nuestra MAC de un PC y la IP que queramos, faltar\u00eda por poner el hostname y una descripci\u00f3n.<\/p>\n
\n\n![](\"http:\/\/cordobadirecto.com\/wp-content\/uploads\/2021\/03\/configuracion-del-router-y-firewall-pfsense-internet-vlans-dhcp-y-mas-8.png\")
<\/div>\n![](\"http:\/\/cordobadirecto.com\/wp-content\/uploads\/2021\/03\/configuracion-del-router-y-firewall-pfsense-internet-vlans-dhcp-y-mas-9.png\")
<\/div>\n<\/div>\n<\/span><\/span><\/div>\n
Configurar los servidores DNS y el DNS Resolver<\/h2>\n
Para configurar los servidores DNS, nos tenemos que meter en \u00abSystem \/ General Setup<\/strong>\u00ab, aqu\u00ed deberemos incorporar los servidores DNS que nosotros queramos, uno por uno, por defecto se encuentra un servidor DNS pero podremos a\u00f1adir un secundario. Adem\u00e1s, podremos poner el hostname del servidor DNS para la verificaci\u00f3n TLS, siempre que queramos tener DNS over TLS en nuestro pfSense.<\/p>\n
![](\"http:\/\/cordobadirecto.com\/wp-content\/uploads\/2021\/03\/configuracion-del-router-y-firewall-pfsense-internet-vlans-dhcp-y-mas-10.png\")
<\/p>\nLo m\u00e1s importante viene en la secci\u00f3n de \u00abService \/ DNS Resolver\u00bb, aqu\u00ed lo habilitamos y permitimos que los clientes nos env\u00eden queries, aunque lo normal es que los clientes env\u00eden las queries a trav\u00e9s del puerto 53 siempre, sin SSL\/TLS a no ser que tengamos un cliente instalado. El resto de opciones de configuraci\u00f3n son para definir d\u00f3nde \u00abescuchar\u00bb las peticiones de los clientes, en \u00abNetwork interfaces\u00bb elegimos solamente las que nosotros queramos, la LAN, gesti\u00f3n, equipos, invitados y la \u00ablocalhost\u00bb para que el propio pfSense se pregunte a s\u00ed mismo sobre los DNS.<\/p>\n
Tambi\u00e9n tendremos que definir la interfaz de salida, en este caso la WAN. El resto de opciones son las de habilitar soporte para DNSSEC, habilitar el m\u00f3dulo de python que es nuevo en pfSense, y otras opciones avanzadas. Lo normal es tener la opci\u00f3n de \u00abDNS Query Forwarding\u00bb desactivado, para que sea el propio servidor DNS de pfSense quien resuelva las consultas, y posteriormente usar los DNS que nosotros pongamos.<\/p>\n
\n\n![](\"http:\/\/cordobadirecto.com\/wp-content\/uploads\/2021\/03\/configuracion-del-router-y-firewall-pfsense-internet-vlans-dhcp-y-mas-11.png\")
<\/div>\n![](\"http:\/\/cordobadirecto.com\/wp-content\/uploads\/2021\/03\/configuracion-del-router-y-firewall-pfsense-internet-vlans-dhcp-y-mas-12.png\")
<\/div>\n<\/div>\n<\/span><\/span><\/div>\n
En la secci\u00f3n de \u00abopciones avanzadas\u00bb tenemos la posibilidad de configurar el DNS over TLS, podremos hacerlo a\u00f1adiendo estas reglas:<\/p>\n
server:
forward-zone:
name: \".\"
forward-ssl-upstream: yes
forward-addr: 1.1.1.1@853
forward-addr: 8.8.8.8@853<\/code><\/p>\nLuego tenemos otras opciones en las dem\u00e1s pesta\u00f1as del DNS resolver, en principio no deber\u00edamos tocarlas, pero nos permitir\u00e1n configurar opciones muy avanzadas relacionadas con el servidor DNS, y tambi\u00e9n crear listas de control de acceso para usar o no el DNS resolver.<\/p>\n
\n\n![](\"http:\/\/cordobadirecto.com\/wp-content\/uploads\/2021\/03\/configuracion-del-router-y-firewall-pfsense-internet-vlans-dhcp-y-mas-13.png\")
<\/div>\n![](\"http:\/\/cordobadirecto.com\/wp-content\/uploads\/2021\/03\/configuracion-del-router-y-firewall-pfsense-internet-vlans-dhcp-y-mas-14.png\")
<\/div>\n<\/div>\n<\/span><\/span><\/div>\n
Configurar UPnP y NAT-PMP con seguridad<\/h2>\n
El UPnP es un protocolo que nos permite abrir puertos en el firewall y router pfSense de forma autom\u00e1tica, cuando un cliente solicite dicha apertura. Esto es un riesgo para la seguridad de la red, porque es posible que una determinada aplicaci\u00f3n abra un puerto que nosotros no hemos solicitado. De cara a la seguridad, lo mejor que se puede hacer es deshabilitar siempre el protocolo UPnP y NAT-PMP.<\/p>\n
En caso de que tengas que activarlo s\u00ed o s\u00ed, es recomendable solamente hacerlo en las direcciones IP privadas que se necesiten, y no en toda la red, con el objetivo de proteger el resto de dispositivos que est\u00e1n conectados.<\/p>\n
\n\n![](\"http:\/\/cordobadirecto.com\/wp-content\/uploads\/2021\/03\/configuracion-del-router-y-firewall-pfsense-internet-vlans-dhcp-y-mas-15.png\")
<\/div>\n![](\"http:\/\/cordobadirecto.com\/wp-content\/uploads\/2021\/03\/configuracion-del-router-y-firewall-pfsense-internet-vlans-dhcp-y-mas-16.png\")
<\/div>\n<\/div>\n<\/span><\/span><\/div>\n
Abrir puertos en la NAT (Port forwarding)<\/h2>\n
Cuando estamos en un entorno NAT, es posible que necesites abrir puertos para acceder desde el exterior a determinados servicios. Si tienes un servidor NAS con un servidor FTP, VPN o SSH, y quieres acceder desde el exterior a todos estos servicios, deber\u00e1s abrir diferentes puertos en la NAT para permitir iniciar la conexi\u00f3n. Si abres puertos en la NAT, pero tienes el CG-NAT de tu operador, de nada te va a servir.<\/p>\n
Para abrir la NAT, lo primero que tenemos que hacer es irnos a la secci\u00f3n de \u00abFirewall \/ NAT\u00bb, y en la pesta\u00f1a de \u00abPort forward\u00bb crear una nueva regla.<\/p>\n
![](\"http:\/\/cordobadirecto.com\/wp-content\/uploads\/2021\/03\/configuracion-del-router-y-firewall-pfsense-internet-vlans-dhcp-y-mas-17.png\")
<\/p>\nEn este men\u00fa tendremos diferentes opciones de configuraci\u00f3n, pero b\u00e1sicamente lo que deberemos rellenar es lo siguiente:<\/p>\n
- \n
- Interface<\/strong>: WAN<\/li>\n
- Address Family<\/strong>: IPv4<\/li>\n
- Protocol<\/strong>: elegimos el protocolo, en el ejemplo es TCP<\/li>\n
- Source: vac\u00edo<\/li>\n
- Destination<\/strong>: WAN Address<\/li>\n
- Destination Port Range<\/strong>: Tenemos que configurar un rango de puertos o solamente uno, si queremos un rango de puertos, en el \u00abFrom\u00bb ponemos un puerto, por ejemplo el 60000, y en el \u00abTo\u00bb ponemos el puerto final, el 61000. En el ejemplo hemos abierto el puerto 51400.<\/li>\n
- Redirect target IP<\/strong>: type Single host, Address la direcci\u00f3n IP privada a la que quieres abrir el puerto<\/li>\n
- Redirect target port<\/strong>: debe ser el mismo puerto que en \u00abDestination Port Range\u00bb. Esta funci\u00f3n, nos permite que de cara a la WAN tengamos abierto el 51400, pero de cara interno podamos \u00abmodificarlo\u00bb al vuelo y usar el 51500, por ejemplo.<\/li>\n<\/ul>\n
En las siguientes capturas pod\u00e9is ver c\u00f3mo hacerlo:<\/p>\n
pfSense nos permite utilizar una gran cantidad de protocolos, TCP, UDP, ambos, ICMP y muchos otros. Lo m\u00e1s normal es abrir puertos TCP o UDP, pero tambi\u00e9n podremos abrir muchos m\u00e1s tipos de protocolos.<\/p>\n
\n\n![](\"http:\/\/cordobadirecto.com\/wp-content\/uploads\/2021\/03\/configuracion-del-router-y-firewall-pfsense-internet-vlans-dhcp-y-mas-18.png\")
<\/div>\n![](\"http:\/\/cordobadirecto.com\/wp-content\/uploads\/2021\/03\/configuracion-del-router-y-firewall-pfsense-internet-vlans-dhcp-y-mas-19.png\")
<\/div>\n<\/div>\n<\/span><\/span><\/div>\n
Una vez que lo hayamos configurado, lo veremos en la tabla de \u00abFirewall \/ NAT \/ Port Forward<\/strong>\u00ab, tambi\u00e9n debemos asegurarnos que la NAT est\u00e1 realizada correctamente, en \u00abOutbound\u00bb lo podremos verificar. Ahora mismo estaremos \u00abnateando\u00bb todas las subredes creadas. Por \u00faltimo, debemos comprobar que en \u00abFirewall \/ Rules<\/strong>\u00bb y en la pesta\u00f1a WAN est\u00e1 la regla que hemos creado en la NAT, es muy importante el orden de esta regla, si, por ejemplo, tenemos un \u00abdenegar todo\u00bb arriba despu\u00e9s de las reglas de permiso, esta nueva regla se colocar\u00e1 abajo del todo, y debemos reordenarla.<\/p>\n
Debemos recordar que las reglas se analizan en serie, desde arriba hacia abajo, si ponemos una regla muy general arriba, y abajo las m\u00e1s espec\u00edficas, estas \u00faltimas nunca se van a satisfacer, porque anteriormente se ha cumplido una regla m\u00e1s general.<\/p>\n
Configurar reglas en el firewall<\/h2>\n
Las reglas que creamos en el firewall de pfSense es la parte m\u00e1s importante para segmentar correctamente la red, y permitir o denegar cierto tr\u00e1fico de red que fluye por las diferentes interfaces f\u00edsicas y l\u00f3gicas que hemos creado. En la secci\u00f3n de \u00abFirewall \/ Rules<\/strong>\u00bb podremos ver diferentes pesta\u00f1as para crear reglas en las diferentes interfaces, nosotros tenemos un total de cinco interfaces ahora mismo: WAN, LAN, Gesti\u00f3n, Equipos, Invitados.<\/p>\n
Tenemos una pesta\u00f1a adicional llamada \u00abFloating\u00bb, estas son unas reglas especiales que afectan a una o varias interfaces, y que se colocan por encima de las reglas que vamos a definir espec\u00edficamente en cada una de las interfaces. Es decir, las reglas que tengamos en \u00abFloating\u00bb, si afectan a una interfaz, se verificar\u00e1n antes que las reglas que vamos a definir a espec\u00edficamente en la interfaz. Estas reglas de \u00abFloating\u00bb se pueden activar en las direcciones de entrada, salida o ambas, el uso de filtrado de entrada y salida podr\u00eda ser m\u00e1s complejo, por lo que deber\u00e1s revisarlas bien antes de aplicarlas. Para ciertas aplicaciones, las \u00abFloating Rules\u00bb son muy \u00fatiles, como para pfblocker-ng, aunque normalmente estas reglas \u00abFloating\u00bb no se usar\u00e1n.<\/p>\n
En la secci\u00f3n de \u00abFirewall \/ Rules \/ WAN\u00bb podremos ver dos reglas predefinidas, las cuales se activan al bloquear las \u00abprivate networks\u00bb y \u00abbogon networks\u00bb, tal y como os hemos explicado anteriormente. La tercera regla es la de apertura de puertos que hemos realizado.<\/p>\n
![](\"http:\/\/cordobadirecto.com\/wp-content\/uploads\/2021\/03\/configuracion-del-router-y-firewall-pfsense-internet-vlans-dhcp-y-mas-20.png\")
<\/p>\nEn la LAN tambi\u00e9n tenemos unas reglas predefinidas, b\u00e1sicamente tendremos una regla que nos impide bloquearnos a nosotros mismos para acceder a la interfaz web de administraci\u00f3n del pfSense, si tuvi\u00e9ramos el servidor SSH activado, tambi\u00e9n se incorporar\u00eda aqu\u00ed una regla para permitir acceso al puerto de SSH. A continuaci\u00f3n, tenemos permiso para acceder a cualquier lugar desde la LAN, tanto con IPv4 como con IPv6.<\/p>\n
Debemos recordar que las reglas se verifican desde arriba hacia abajo, si en la parte superior ponemos un \u00abbloquear todo\u00bb, autom\u00e1ticamente nos quedaremos sin conexi\u00f3n.<\/p>\n
![](\"http:\/\/cordobadirecto.com\/wp-content\/uploads\/2021\/03\/configuracion-del-router-y-firewall-pfsense-internet-vlans-dhcp-y-mas-21.png\")
<\/p>\nEl resto de redes que hemos configurado con su correspondiente VLAN, est\u00e1n totalmente vac\u00edas. Si est\u00e1s vac\u00edas, eso significa que tenemos un denegar todo de manera impl\u00edcita, es decir, tendremos que incorporar una regla de permitir para dejar pasar el tr\u00e1fico de red.<\/p>\n
La interfaz gr\u00e1fica de usuario para crear una regla es la misma para todas las interfaces, en la parte superior podremos configurar diferentes aspectos de esta regla que vamos a crear desde cero:<\/p>\n
- \n
- Action<\/strong>: si queremos permitir (pass) el tr\u00e1fico, bloquearlo (block), o rechazarlo (reject). Es lo primero que deberemos definir, en caso de aplicar esta regla y que se verifique, el firewall actuar\u00e1 en consecuencia.<\/li>\n
- Disabled<\/strong>: permite deshabilitar una regla creada, esto no se deber\u00eda tocar si queremos que la regla funcione.<\/li>\n
- Interface<\/strong>: elegimos la interfaz f\u00edsica o l\u00f3gica donde queremos aplicar esta regla.<\/li>\n
- Address Family<\/strong>: seleccionamos el protocolo IPv4, IPv6 o ambos.<\/li>\n
- Protocol<\/strong>: aqu\u00ed tendremos una lista de todos los protocolos que podremos permitir o bloquear, como TCP, UDP, TCP y UDP, ESP, OSPF y mucho m\u00e1s.<\/li>\n<\/ul>\n
![](\"http:\/\/cordobadirecto.com\/wp-content\/uploads\/2021\/03\/configuracion-del-router-y-firewall-pfsense-internet-vlans-dhcp-y-mas-22.png\")
<\/p>\nEn la siguiente galer\u00eda se pueden ver todas las opciones para interface, address family y tambi\u00e9n para protocol.<\/p>\n
Una vez que hayamos definido lo anterior, ahora tendremos que seleccionar el origen del tr\u00e1fico (Source). En este caso podremos elegir cualquier origen (any), o definir un origen en concreto para una subred espec\u00edfica, un host individual o un alias (posteriormente os explicaremos qu\u00e9 es esto). Tambi\u00e9n podremos elegir como origen a clietnes PPPoE, clientes L2TP, o directamente una red o direcci\u00f3n IP de la interfaz creada.<\/p>\n
![](\"http:\/\/cordobadirecto.com\/wp-content\/uploads\/2021\/03\/configuracion-del-router-y-firewall-pfsense-internet-vlans-dhcp-y-mas-23.png\")
<\/p>\nExactamente las mismas opciones de configuraci\u00f3n tendremos en la secci\u00f3n de \u00abDestination\u00bb, podremos elegir cualquiera, un host individual, alias, o las diferentes redes que tenemos disponibles.<\/p>\n
![](\"http:\/\/cordobadirecto.com\/wp-content\/uploads\/2021\/03\/configuracion-del-router-y-firewall-pfsense-internet-vlans-dhcp-y-mas-24.png\")
<\/p>\nSi pinchamos en la secci\u00f3n de \u00abSource\u00bb en \u00abDisplay Advanced\u00bb podremos ver que tambi\u00e9n tenemos la posibilidad de filtrar por origen de los puertos, proporcionando un \u00fanico puerto un rango de puertos.<\/p>\n
![](\"http:\/\/cordobadirecto.com\/wp-content\/uploads\/2021\/03\/configuracion-del-router-y-firewall-pfsense-internet-vlans-dhcp-y-mas-25.png\")
<\/p>\nSi en la secci\u00f3n de \u00abProtocol\u00bb elegimos el protocolo TCP u otro, y pinchamos en \u00abExtra options \/ Advanced Options \/ Display Advanced\u00bb podremos ver las opciones avanzadas de este protocolo en concreto, para filtrarlo todo en detalle.<\/p>\n
\n\n![](\"http:\/\/cordobadirecto.com\/wp-content\/uploads\/2021\/03\/configuracion-del-router-y-firewall-pfsense-internet-vlans-dhcp-y-mas-26.png\")
<\/div>\n![](\"http:\/\/cordobadirecto.com\/wp-content\/uploads\/2021\/03\/configuracion-del-router-y-firewall-pfsense-internet-vlans-dhcp-y-mas-27.png\")
<\/div>\n<\/div>\n<\/span><\/span><\/div>\n
Una vez que hayamos rellenado todo, tendremos que pinchar en \u00abSave\u00bb, y posteriormente en \u00abAplicar cambios\u00bb en el pfSense, ya que nos saldr\u00e1 un bot\u00f3n en color verde.<\/p>\n
Aliases<\/h3>\n
Las aliases son muy \u00fatiles para proporcionar un nombre a un conjunto de direcciones IP, subredes o puertos. Esto es ideal para que, con una sola regla en el firewall, poder bloquear varias direcciones IP autom\u00e1ticamente, sin tener que crear 50 o m\u00e1s reglas para bloquear todas las direcciones IP.<\/p>\n
En la secci\u00f3n de \u00abFirewall \/ Aliases\u00bb podremos ver la interfaz gr\u00e1fica de usuario, tendremos la posibilidad de a\u00f1adir IP (hosts o redes), y tambi\u00e9n puertos. Adem\u00e1s, en al secci\u00f3n de URL podremos introducir la direcci\u00f3n a un archivo de texto para realizar al descarga autom\u00e1tica en el pfSense de cientos o miles de direcciones IP, redes y puertos.<\/p>\n
Imaginemos que queremos crear un alias llamado \u00abIp bloquear\u00bb, con un listado de direcciones IP que posteriormente queremos bloquear en el firewall. Entramos en la secci\u00f3n de \u00abIP\u00bb, pinchamos en \u00abadd\u00bb, le damos un nombre, descripci\u00f3n y tambi\u00e9n un tipo. A continuaci\u00f3n, justo debajo vamos introduciendo una a una las diferentes direcciones IP, adem\u00e1s, podremos darle una descripci\u00f3n \u00abOrdenador de pepe\u00bb, para saber a qu\u00e9 equipo se corresponde esa IP. Una vez creado, nos aparecer\u00e1 en el listado de aliases IP:<\/p>\n
\n\n![](\"http:\/\/cordobadirecto.com\/wp-content\/uploads\/2021\/03\/configuracion-del-router-y-firewall-pfsense-internet-vlans-dhcp-y-mas-28.png\")
<\/div>\n![](\"http:\/\/cordobadirecto.com\/wp-content\/uploads\/2021\/03\/configuracion-del-router-y-firewall-pfsense-internet-vlans-dhcp-y-mas-29.png\")
<\/div>\n<\/div>\n<\/span><\/span><\/div>\n
Lo mismo ocurre con los puertos, podremos crear un aliases para \u00abbloquear puertos\u00bb, y definir uno o varios puertos que posteriormente bloquearemos en el firewall.<\/p>\n
\n\n![](\"http:\/\/cordobadirecto.com\/wp-content\/uploads\/2021\/03\/configuracion-del-router-y-firewall-pfsense-internet-vlans-dhcp-y-mas-30.png\")
<\/div>\n![](\"http:\/\/cordobadirecto.com\/wp-content\/uploads\/2021\/03\/configuracion-del-router-y-firewall-pfsense-internet-vlans-dhcp-y-mas-31.png\")
<\/div>\n<\/div>\n<\/span><\/span><\/div>\n
La interfaz gr\u00e1fica de usuario de URL ser\u00eda de la siguiente forma, y deberemos elegir el tipo que sea, IPs o puertos.<\/p>\n
![](\"http:\/\/cordobadirecto.com\/wp-content\/uploads\/2021\/03\/configuracion-del-router-y-firewall-pfsense-internet-vlans-dhcp-y-mas-32.png\")
<\/p>\nUna vez que tengamos el aliases creado, basta con irnos a la secci\u00f3n de \u00abFirewall\u00bb, y podremos cargarla en origen y\/o destino, elegimos la opci\u00f3n de \u00abSingle host or alias\u00bb, y justo a la derecha escribimos el nombre del aliases que hemos creado, autom\u00e1ticamente lo reconocer\u00e1 y nos saldr\u00e1 un listado de aliases que empiezan por la misma letra que hemos introducido. Y lo mismo ocurre si vamos a configurar puertos, pero aqu\u00ed tendremos que ponerlo en la secci\u00f3n de puertos de origen y\/o destino.<\/p>\n
Tal y como hab\u00e9is visto, utilizar pfSense como router y firewall en nuestra casa es realmente f\u00e1cil y r\u00e1pido, es un sistema operativo muy profesional y completo, pero con esta gu\u00eda de puesta en marcha estamos seguros que pod\u00e9is empezar con una buena base de c\u00f3mo configurarlo.<\/p>\n","protected":false},"excerpt":{"rendered":"
Lo primero que tenemos que hacer es entrar en pfSense con la puerta de enlace predeterminada. Por defecto, tenemos dos interfaces con la siguiente configuraci\u00f3n: WAN: configurada como DHCP cliente sin VLANs ni ninguna configuraci\u00f3n adicional. No se permite acceso a la administraci\u00f3n por defecto. LAN: configurada con 192.168.1.1\/24 y con DHCP activado. Se permite […]<\/p>\n","protected":false},"author":1,"featured_media":3511,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":[],"categories":[42],"tags":[],"_links":{"self":[{"href":"http:\/\/cordobadirecto.com\/index.php\/wp-json\/wp\/v2\/posts\/3510"}],"collection":[{"href":"http:\/\/cordobadirecto.com\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"http:\/\/cordobadirecto.com\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"http:\/\/cordobadirecto.com\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"http:\/\/cordobadirecto.com\/index.php\/wp-json\/wp\/v2\/comments?post=3510"}],"version-history":[{"count":0,"href":"http:\/\/cordobadirecto.com\/index.php\/wp-json\/wp\/v2\/posts\/3510\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"http:\/\/cordobadirecto.com\/index.php\/wp-json\/wp\/v2\/media\/3511"}],"wp:attachment":[{"href":"http:\/\/cordobadirecto.com\/index.php\/wp-json\/wp\/v2\/media?parent=3510"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"http:\/\/cordobadirecto.com\/index.php\/wp-json\/wp\/v2\/categories?post=3510"},{"taxonomy":"post_tag","embeddable":true,"href":"http:\/\/cordobadirecto.com\/index.php\/wp-json\/wp\/v2\/tags?post=3510"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}
- Disabled<\/strong>: permite deshabilitar una regla creada, esto no se deber\u00eda tocar si queremos que la regla funcione.<\/li>\n
- Address Family<\/strong>: IPv4<\/li>\n
- Interface<\/strong>: WAN<\/li>\n
- VLAN Tag<\/strong>: Crear el VLAN ID que se corresponde con el del switch.<\/li>\n
- Parent Interface<\/strong>: asegurarnos de que elegirmos el puerto asignado a la WAN de Internet, no a la LAN.<\/li>\n