Cortafuegos con pfSense

2015
Cortafuegos con
pfSense
Rafael García Rodríguez
Seguridad y Alta Disponibilidad | 2 ASIR | IES Polígono Sur
Rafa
Luffi
01/01/2015
Cortafuegos con pfSense
Cortafuegos con pfSense
Dada la siguiente estructura de red:
Monta el escenario mediante máquinas virtuales.
Para la realización de la actividad vamos a usar tres máquinas virtuales, una para pfSense, otra
para WXP, que será un Windows XP, y otra para SWEB, que será un Ubuntu Server.
NOTA: Debido a una equivocación con otras máquinas virtuales de pfSense, de WXP y de
SWEB, cambié la las IPs de estas a 10.0.2.0/24 y 10.0.0.0/24, respectivamente, en un momento
determinado realizando en segunda y tercera fase la actividad.
Rafael García Rodríguez | Seguridad y Alta Disponibilidad
Página 1
Cortafuegos con pfSense
Las máquinas virtuales de WXP y SWEB tendrán solo una interfaz cada una, estableciendo la
configuración de red como Red Interna. Y la máquina virtual de pfSense la configuraremos con tres
interfaces, dos en Red Interna y otra en Adaptador Puente:
Encendemos las máquinas virtuales.
Rafael García Rodríguez | Seguridad y Alta Disponibilidad
Página 2
Cortafuegos con pfSense
Cuando arranque la máquina virtual de pfSense establecemos la IP de la LAN para poder acceder a
través del navegador de esta (Set interface(s) IP address):
Establecemos las IPs de WXP y SWEB
WXP
Hemos de desconectar el cortafuegos, y ya podemos acceder a la interfaz gráfica de pfsense desde
la LAN:
Rafael García Rodríguez | Seguridad y Alta Disponibilidad
Página 3
Cortafuegos con pfSense
Importante: hay que tener en cuenta si la conexión a la WAN se hace a través de wifi o de
ethernet, hay que configurarlo en Preferencias de la máquina virtual de pfSense.
SWEB
Hay que configurar la WAN desde el navegador de WXP:
Guardamos y aplicamos cambios.
Rafael García Rodríguez | Seguridad y Alta Disponibilidad
Página 4
Cortafuegos con pfSense
Comprobamos cómo quedaría en pfSense:
Vamos a crear la regla en WAN para poder acceder a pfSense desde esta, habilitando los puertos
80 y 443 (http y https, respectivamente) en Firewall/Rules desde el navegador de WXP:
Y ya podemos acceder desde la WAN:
Rafael García Rodríguez | Seguridad y Alta Disponibilidad
Página 5
Cortafuegos con pfSense
Realiza la configuración del cortafuegos con pfSense con la siguientes reglas:
1.- Cualquier equipo de la red LAN puede realizar ping al interfaz LAN del pfSense.
Nos situamos en Interfaces>LAN y establecemos la regla:
Rafael García Rodríguez | Seguridad y Alta Disponibilidad
Página 6
Cortafuegos con pfSense
2.- Cualquier equipo de la DMZ puede realizar ping al interfaz DMZ del pfSense.
Nos situamos en Interfaces>DMZ y establecemos la regla:
Rafael García Rodríguez | Seguridad y Alta Disponibilidad
Página 7
Cortafuegos con pfSense
3.- El equipo WXP podrá realizar ping a equipo SWEB.
Nos situamos en Interfaces>LAN y establecemos la regla:
4.- Cualquier equipo de la LAN podrá conectarse al servicio web (http y https) de
SWEB.
Primero definimos un Alias para esos dos puertos, puertos_web:
Rafael García Rodríguez | Seguridad y Alta Disponibilidad
Página 8
Cortafuegos con pfSense
Nos situamos en Interfaces>LAN y establecemos la regla:
Rafael García Rodríguez | Seguridad y Alta Disponibilidad
Página 9
Cortafuegos con pfSense
5.- Los equipos de la DMZ y la LAN se pueden conectar a internet (http y dns).
Primero, en Fire>Alias, voy a crear un alias para los dos servicios, Internet:
Rafael García Rodríguez | Seguridad y Alta Disponibilidad
Página 10
Cortafuegos con pfSense
Establezco la regla para LAN:
Rafael García Rodríguez | Seguridad y Alta Disponibilidad
Página 11
Cortafuegos con pfSense
Y, ahora, para DMZ:
Rafael García Rodríguez | Seguridad y Alta Disponibilidad
Página 12
Cortafuegos con pfSense
6.- WXP se podrá conectar a SWEB por ssh.
Rafael García Rodríguez | Seguridad y Alta Disponibilidad
Página 13
Cortafuegos con pfSense
7.- Los equipos de la DMZ no podrán conectarse a la LAN.
Vamos a crear la regla inversa, o sea, permitir que los equipos de la DMZ puedan conectarse
a la LAN, y después bloquearemos dicha regla.
En Rules quedaría así:
Rafael García Rodríguez | Seguridad y Alta Disponibilidad
Página 14
Cortafuegos con pfSense
8.- Redirecciona los paquetes web recibidos en el interfaz WAN del pfSense a través del
puerto 8080 al equipo SWEB, puerto 80.
Me posiciono en Firewall>Nat:
---------------------------------------------------
Rafael García Rodríguez | Seguridad y Alta Disponibilidad
Página 15

Download Report