Pfsense - The Definitive Guide - En.es

pfSense: The Definitive Guide
La gua definitiva para el Abierto de pfSense Fuente firewall y router de distribucin
hristopher !" #uechler $i% &ingle
pfSense: The Definitive Guide: La gua definitiva para el Abierto de pfSense Fuente firewall y router de distribucin
por hristopher !" #uechler y &ingle $i% Sobre la base de pfSense 'ersin (")"* Fecha de publicacin )++, opyright - )++, hristopher !" #uechler .esu%en La gua oficial para la distribucin de pfSense abrir cortafuegos de origen"
Todos los derechos reservados"
Tabla de contenidos
&refacio """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""""""""""""""""""" """"" //i/
&rlogo """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""""""""""""""""""" """""""" ///i (" Autores """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""""""""""""" ///ii ("(" hris #uechler """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""" ///ii (")" $i% &ingle """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""" ///ii )" Agradeci%ientos """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""" ///ii )"(" Libro de Dise0o de &ortada """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""" ///iii )")" Los desarrolladores pfSense """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""" ///iii )"*" Agradeci%ientos personales """""""""""""""""""""""""""""""""""""""""""""""""" """"" ///iv )"1" Los revisores """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""" ///iv *" o%entarios """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""""""""""" ///v 1" onvenciones tipogr2ficas """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""" ///v (" 3ntroduccin """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""""""""""""""""""" "" (
("(" 3niciacin del &royecto """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""" ( (")" 45u6 significa para pfSense 7 %edia8 """""""""""""""""""""""""""""""""""""""""""""""""" """""""""" ( ("*" 4&or 9u6 Free#SD8 """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""""" ) ("*"(" Soporte inal2%brico """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""" ) ("*")" .endi%iento de la red """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""" ) ("*"*" La fa%iliaridad y la facilidad de tenedor """""""""""""""""""""""""""""""""""""""""""""""""" """""""""" ) ("*"1" Alternativas de Apoyo al Siste%a :perativo """""""""""""""""""""""""""""""""""""""""""""" ) ("1" o%;n de i%ple%entaciones """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""" * ("1"(" Servidor de seguridad de per%etro """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""" * ("1")" LA< o =A< del router """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""" * ("1"*" &unto de acceso inal2%brico """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""" 1 ("1"1" Aparatos de uso especial """""""""""""""""""""""""""""""""""""""""""""""""" """""""""" 1 (">" 'ersiones """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""""""""""""""" > (">"(" (")"* &ublicacin """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""" > (">")" (")? (")"(? (")") @%isiones """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""" A (">"*" ("+ .elease """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""" A (">"1" 3nstant2nea de prensa """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""" A (">">" )"+ &ublicacin """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""" A ("A" &latafor%as """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""""""""""""" A ("A"(" Live D """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""" B ("A")" 3nstalacin co%pleta """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""" B ("A"*" @%bebido """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""" B ("B" onceptos de .edes """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""" C ("B"(" @ntender 3& p;blica y privada Direcciones """""""""""""""""""""""""""""""""" C ("B")" Subredes 3& onceptos """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""" (+ iii
("B"*" Direccin 3&? subred y configuracin de puerta de enlace """""""""""""""""""""""""""""""" (+

("B"1" @ntender la notacin de %2scara de subred 3D. """"""""""""""""""""""""""""""""""""" (+ ("B">" 3D. de resu%en """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""" () ("B"A" Difusin de do%inio """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""" (> ("C" 3nterfaD de no%bres de Ter%inologa """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""" (>
("C"(" LA< """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""""""" (A

("C")" =A< """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""""""" (A ("C"*" :&T """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""""""" (A
("C"1" :&T =A< """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""" (A

("C">" D!E """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""""""" (A
("C"A" Free#SD interfaD de no%enclatura """""""""""""""""""""""""""""""""""""""""""""""""" """""""""" (B ("," #;s9ueda de infor%acin y obtencin de ayuda """""""""""""""""""""""""""""""""""""""""""""""""" """"" (B (","(" #;s9ueda de infor%acin """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""" (B (",")" :btencin de ayuda """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""" (B
)" Fardware """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""""""""""""""""""" """" (C
)"(" De co%patibilidad de hardware """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""" (C )"("(" Adaptadores de red """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""" (C )")" .e9uisitos %ni%os de hardware """""""""""""""""""""""""""""""""""""""""""""""""" """""""""" (, )")"(" #ase de .e9uisitos """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""" (, )")")" .e9uisitos @specficos de la &latafor%a """""""""""""""""""""""""""""""""""""""""""""""""" """ (, )"*" Seleccin de hardware """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""" )+ )"*"(" La prevencin de dolores de cabeDa de hardware """""""""""""""""""""""""""""""""""""""""""""""""" """" )+ )"1" Ta%a0o del hardware de :rientacin """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""" )( )"1"(" onsideraciones de rendi%iento """""""""""""""""""""""""""""""""""""""""""""""""" """"""""" )( )"1")" aracterstica onsideraciones """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""" )* *" 3nstalacin y actualiDacin """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""" )B *"(" Descarga de pfSense """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""" )B *"("(" 'erificacin de la integridad de la descarga """"""""""""""""""""""""""""""""""""""""""" )C *")" 3nstalacin co%pleta """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""" )C *")"(" &reparacin de los D """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""" ), *")")" Arrancando desde el D """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""" *+ *")"*" Asignacin de interfaces """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""" *( *")"1" 3nstalacin en el disco duro """""""""""""""""""""""""""""""""""""""""""""""""" """""""" *) *"*" @%bebido de instalacin """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""" *> *"*"(" 3nstalacin incorporado en =indows """"""""""""""""""""""""""""""""""""""""""""""""" *> *"*")" 3nstalacin incorporado en Linu/ """""""""""""""""""""""""""""""""""""""""""""""""" """ *C *"*"*" 3nstalacin integrado en Free#SD """"""""""""""""""""""""""""""""""""""""""""""""" *C *"*"1" 3nstalacin incorporado en !ac :S G """"""""""""""""""""""""""""""""""""""""""""""" *, *"*">" FinaliDacin de la instalacin incorporado """""""""""""""""""""""""""""""""""""""""""" 1( *"1" Suplente t6cnicas de instalacin """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""" 1) *"1"(" 3nstalacin con la unidad en un e9uipo diferente """""""""""""""""""""""""""""""""""" 1) iv
*"1")" 3nstalacin co%pleta de '!ware con HS# redireccin """""""""""""""""""""""""""" 11

*"1"*" 3nstalacin incrustado en '!ware con HS# redireccin """""""""""""""""""" 11 *">" Solucin de proble%as de instalacin """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""" 11 *">"(" Arrancar desde el Live D se produce un error """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""" 1> *">")" Arrancar desde el disco duro despu6s de la instalacin de D no """"""""""""""""""""""""""""""""" 1> *">"*" 3nterfaD de enlace no se detect hasta """""""""""""""""""""""""""""""""""""""""""""""""" """""" 1A *">"1" Solucin de proble%as de hardware """""""""""""""""""""""""""""""""""""""""""""""""" """""""""" 1B *">">" &roble%as de arran9ue incrustado en el hardware AL3G """""""""""""""""""""""""""""""""" 1C *"A" .ecuperacin de instalacin """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""" >+ *"A"(" 3nstalador de preIvuelo .ecuperacin de la configuracin """""""""""""""""""""""""""""""""""""" >+ *"A")" .ecuperacin de la configuracin instalada """""""""""""""""""""""""""""""""""""""""""""""""" " >( *"A"*" =ebGH3 recuperacin """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""" >( *"B" ActualiDar una instalacin e/istente """""""""""""""""""""""""""""""""""""""""""""""""" """""""""" >(
*"B"(" Facer una copia de seguridad """ y un &lan de copia de seguridad """"""""""""""""""""""""""""""""""""""""""""" >) *"B")" ActualiDacin de una instalacin incorporado """""""""""""""""""""""""""""""""""""""""""""""""" """ >) *"B"*" ActualiDacin de una instalacin co%pleta """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""" >) *"B"1" La actualiDacin de un Live D de instalacin """""""""""""""""""""""""""""""""""""""""""""""""" """"""" >1
1" onfiguracin """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""""""""""""""""" >>
1"(" one/in a la =ebGH3 """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""" >> 1")" Asistente para la instalacin """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""""""" >> 1")"(" &antalla de infor%acin general """""""""""""""""""""""""""""""""""""""""""""""""" """""""" >A 1")")" <T& y onfiguracin del huso horario """"""""""""""""""""""""""""""""""""""""""""""""" >B 1")"*" onfiguracin de =A< """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""" >C 1")"1" onfiguracin de la interfaD LA< """""""""""""""""""""""""""""""""""""""""""""""""" """"""" A) 1")">" @stableDca la contrase0a de ad%inistrador """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""" A) 1")"A" FinaliDacin del Asistente para la instalacin """""""""""""""""""""""""""""""""""""""""""""""""" """""" A* 1"*" 3nterfaD de configuracin """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""" A1 1"*"(" Asignar interfaces """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""" A1 1"*")" De interfaD =A< """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""" A1 1"*"*" 3nterfaD LA< """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""" A> 1"*"1" 3nterfaces opcionales """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""" A> 1"1" :pciones generales de configuracin """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""" AA 1">" :pciones avanDadas de configuracin """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""" AA 1">"(" onsola serie """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""" AA 1">")" Secure Shell JSSFK """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""" AB 1">"*" Fsica co%partida de red """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""" AB
1">"1" 3&vA """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""""""" AC
1">">" Filtrado de &uente """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""" AC 1">"A" =ebGH3 certificado SSL 7 clave """""""""""""""""""""""""""""""""""""""""""""""""" """"""" AC 1">"B" @9uilibrio de carga """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""" AC
1">"C" 'arios """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""" A,
1">"," Traffic Shaper y Firewall avanDado """""""""""""""""""""""""""""""""""""""""""" B+

1">"(+" <etworL Address Translation """""""""""""""""""""""""""""""""""""""""""""""""" """"" B) 1">"((" :pciones de hardware """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""" B) 1"A" onceptos b2sicos del %en; de la consola """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""" B* 1"A"(" Asignar interfaces """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""" B1 1"A")" @stablecer la direccin 3& de la LA< """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""" B1 1"A"*" &erd %i contrase0a web onfigurator """""""""""""""""""""""""""""""""""""""""""""""""" " B1 1"A"1" .establecer los valores predeter%inados de f2brica """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""" B1 1"A">" .einicio del siste%a """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""" B1 1"A"A" Detener el siste%a """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""" B1 1"A"B" &ing de acogida """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""" B>
1"A"C" Shell """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""""""" B>

1"A"," &Ftop """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""""""" B>
1"A"(+" Filtrar registros """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""" B> 1"A"((" .einicie web onfigurator """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""" BA 1"A"()" pfSense desarrolladores Shell Jantes de shell &F&K """""""""""""""""""""""""""""""" BA 1"A"(*" ActualiDacin de la consola """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""" BA 1"A"(1" Activar 7 Desactivar Secure Shell JsshdK """"""""""""""""""""""""""""""""""""""""""""""" BA 1"A"(>" !ueva el archivo de configuracin de dispositivo e/trable """""""""""""""""""""""""""""""""" BA 1"B" SincroniDacin de la hora """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""" BA 1"B"(" Eonas de tie%po """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""" BB 1"B")" Tie%po de !anteni%iento de &roble%as """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""" BB
1"C" Solucin de proble%as """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""" C+
1"C"(" <o se puede acceder desde la LA< =ebGH3 """"""""""""""""""""""""""""""""""""""""""""""""" C+ 1"C")" <o 3nternet desde la LA< """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""" C( 1"," pfSense G!L del archivo de configuracin """""""""""""""""""""""""""""""""""""""""""""""""" """""""""" C1 1","(" @ditar %anual%ente la configuracin de su """"""""""""""""""""""""""""""""""""""""""""""" C1 1"(+" 45u6 hacer si te cerr la puerta de la =ebGH3 """"""""""""""""""""""""""""""""""""""" C> 1"(+"(" 4:lvid su contrase0a """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""" C> 1"(+")" Fe olvidado la contrase0a con una consola errado """""""""""""""""""""""""""""""""""" C> 1"(+"*" vs FTT& FTT&S confusin """""""""""""""""""""""""""""""""""""""""""""""""" """""" CA 1"(+"1" Acceso blo9ueados con reglas de firewall """"""""""""""""""""""""""""""""""""""""""""" CA 1"(+">" Servidor de seguridad de for%a re%ota evadir blo9ueo con las reglas """""""""""""""""""""""""" CA 1"(+"A" Servidor de seguridad de for%a re%ota evadir blo9ueo de t;nel con SSF """"""""""""" CB 1"(+"B" #lo9ueada debido a un error de configuracin de S9uid """""""""""""""""""""""""""""""" CC 1"((" &ensa%ientos finales de configuracin """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""" CC >" #acLup y .ecuperacin """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""""" C, >"(" @strategias de copia de seguridad """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""" C, >")" Facer copias de seguridad en la =ebGH3 """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""" ,+ >"*" Hso del &a9uete Auto onfig#acLup """""""""""""""""""""""""""""""""""""""""""""""""" """" ,+ >"*"(" Funcionalidad y #eneficios """""""""""""""""""""""""""""""""""""""""""""""""" """""""""" ,+ vi
>"*")" pfSense o%patibilidad de versiones """""""""""""""""""""""""""""""""""""""""""""""""" """"" ,(

>"*"*" 3nstalacin y configuracin """""""""""""""""""""""""""""""""""""""""""""""""" """""" ,( >"*"1" .estauracin de %etal desnudo """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""" ,) >"*">" o%probacin del estado Auto onfig#acLup """""""""""""""""""""""""""""""""""""""""" ,* >"1" Suplente t6cnicas de copia de seguridad re%ota """""""""""""""""""""""""""""""""""""""""""""""""" """"" ,* >"1"(" Tire con wget """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""" ,* >"1")" @%puMe con S & """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""" ,1 >"1"*" #2sicas de copia de seguridad de SSF """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""" ,1 >">" La restauracin de copias de seguridad """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""" ,> >">"(" .estauracin de la =ebGH3 """""""""""""""""""""""""""""""""""""""""""""""""" """""""" ,> >">")" La restauracin de la Fistoria de configuracin """"""""""""""""""""""""""""""""""""""""""""""""" ,A >">"*" .estauracin con un 3S& """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""" ,A >">"1" La restauracin de !ontaMe de la F 7 FDD """""""""""""""""""""""""""""""""""""""""""""" ,B >">">" .escate de configuracin durante la instalacin """""""""""""""""""""""""""""""""""""""""""""""""" """""" ,C >"A" Los archivos de copia de seguridad y directorios con el pa9uete de copia de seguridad """"""""""""""""""""""""""""""""" ,C >"A"(" opia de seguridad de datos ..D """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""" ,C >"A")" .estauracin de datos ..D """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""" ,C >"B" Advertencias y Gotchas """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""" ,,
A" Servidor de seguridad """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""""""""""""""""""" """" (++ A"(" Funda%entos de cortafuegos """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""" (++ A"("(" Ter%inologa b2sica """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""" (++ A"(")" Filtrado con estado """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""" (++ A"("*" @l filtrado de entrada """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""" (+( A"("1" @l filtrado de salida """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""" (+( A"(">" #lo9ue vs .echaDar """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""" (+1 A")" 3ntroduccin a la pantalla de .eglas de cortafuegos """""""""""""""""""""""""""""""""""""""""""""""""" (+> A")"(" Adicin de una regla de firewall """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""" (+B A")")" @dicin de reglas de firewall """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""" (+B A")"*" Traslado de reglas de firewall """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""" (+B A")"1" @li%inacin de reglas de firewall """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""" (+C
A"*" Alias """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""""""""""""" (+C
A"*"(" onfiguracin de Alias """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""" (+C A"*")" Hso de alias """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""" (+, A"*"*" Alias !eMoras en )"+ """""""""""""""""""""""""""""""""""""""""""""""""" """""""" ((( A"1" Firewall de !eMores &r2cticas artculo """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""" (() A"1"(" Denegar por defecto """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""" (() A"1")" 5ue sea corto """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""" (() A"1"*" .evise su .egla%ento """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""" (() A"1"1" Docu%entar su configuracin """""""""""""""""""""""""""""""""""""""""""""""""" """" ((* A"1">" .educcin del ruido de registro """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""" ((* A"1"A" .egistro de &r2cticas """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""" ((1 vii
A">" .egla !etodologa """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""" ((1

A">"(" Se agregan auto%2tica%ente reglas de firewall """"""""""""""""""""""""""""""""""""""""""""" ((> A"A" onfiguracin de reglas de firewall """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""" ((C
A"A"(" Accin """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""" ((C

A"A")" &ersonas de %ovilidad reducida """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""" ((C A"A"*" 3nterfaD """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""" ((, A"A"1" &rotocolo """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""" ((, A"A">" Fuente """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""" ((,
A"A"A" Fuente :S """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""" ((,

A"A"B" Destino """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""" ()+ A"A"C" .egistrarse """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""""""" ()+
A"A"," :pciones avanDadas """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""" ()+ A"A"(+" @stado Tipo """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""" ()( A"A"((" < Sync G!LI.& """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""" ()(
A"A"()" Lista """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""" ()) A"A"(*" Gateway """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""" ()) A"A"(1" Descripcin """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""" ())
A"B" !6todos de utiliDacin de direcciones 3& p;blicas adicionales """""""""""""""""""""""""""""""""""""""""""""""""" " ()) A"B"(" @legir entre rutas? puentes? y <AT """""""""""""""""""""""""""""""" ()) A"C" 'irtual 3& """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""""""""" ()1 A"C"(" &ro/y A.& """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""" ()>
A"C")" A.& """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""" ()> A"C"*" :tros """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""""" ()>
A"," Tie%po base de reglas """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""" ()> A","(" Tie%po .eglas lgica basada """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""" ()A A",")" Tie%po Advertencias basada en reglas """""""""""""""""""""""""""""""""""""""""""""""""" """""""" ()A A","*" onfiguracin de los horarios de tie%po basada en reglas """""""""""""""""""""""""""""""""" ()A A"(+" 'isualiDacin de los registros del firewall """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""" ()C A"(+"(" 'iendo en la =ebGH3 """""""""""""""""""""""""""""""""""""""""""""""""" """""""""" (), A"(+")" 'iendo desde el %en; onsola """""""""""""""""""""""""""""""""""""""""""""""" (*+ A"(+"*" &ara ver i%2genes de la Shell """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""" (*+ A"(+"1" 4&or 9u6 a veces veo blo9ueado las entradas del registro para la legti%a
cone/iones8 """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""" (*(
A"((" Solucin de proble%as de reglas de firewall """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""" (*) A"(("(" .evise sus registros """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""" (*) A"((")" .evisin de par2%etros de la regla """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""" (*) A"(("*" .evisin del estado de pedido """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""" (*) A"(("1" <or%as e interfaces """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""" (*) A"((">" Activar la regla de registro """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""" (** A"(("A" Solucin de proble%as con la captura de pa9uetes """""""""""""""""""""""""""""""""""""""""" (** B" <etworL Address Translation """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""" (*1 viii
B"(" onfiguracin por defecto <AT """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""" (*1

B"("(" onfiguracin por defecto <AT Saliente """"""""""""""""""""""""""""""""""""""""""" (*1 B"(")" onfiguracin por defecto <AT entrantes """"""""""""""""""""""""""""""""""""""""""""" (*1 B")" &uerto Delanteros """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""" (*> B")"(" Los riesgos de redirecciona%iento de puertos """""""""""""""""""""""""""""""""""""""""""""""""" """""""""" (*> B")")" @l reenvo de puertos y servicios locales """""""""""""""""""""""""""""""""""""""""""""" (*> B")"*" Agregar Delanteros &uerto """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""" (*> B")"1" Li%itaciones del puerto hacia adelante """""""""""""""""""""""""""""""""""""""""""""""""" """""""""" (*C B")">" Servicio de AutoIconfiguracin con H&n& """""""""""""""""""""""""""""""""""""""""" (*, B")"A" @l desvo del tr2fico con Delanteros &uerto """""""""""""""""""""""""""""""""""""""""" (*, B"*" +(:+( <AT """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""""""""""" (1+ B"*"(" Los riesgos de <AT +(:+( """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""" (1( B"*")" onfiguracin de <AT +(:+( """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""" (1( B"*"*" +(:+( <AT en la =A< 3&? ta%bi6n conocido co%o NDona de distensinN en LinLsys """"""""""""""""""""""""""""" (1* B"1" &edido de procesa%iento de <AT y Firewall """""""""""""""""""""""""""""""""""""""""""""""" (11 B"1"(" @/trapolando a interfaces adicionales """"""""""""""""""""""""""""""""""""""""""""" (1A B"1")" .eglas para <AT """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""" (1A B">" <AT .efle/in """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""" (1A B">"(" onfiguracin y uso de .efle/in <AT """"""""""""""""""""""""""""""""""""""""" (1B B">")" Dividir el D<S """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""" (1B B"A" Salida <AT """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""" (1C B"A"(" &or defecto .eglas <AT Saliente """""""""""""""""""""""""""""""""""""""""""""""""" """" (1C B"A")" &uerto est2tico """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""" (1, B"A"*" Deshabilitar <AT Saliente """""""""""""""""""""""""""""""""""""""""""""""""" """"""""" (1, B"B" @legir una configuracin de <AT """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""" (1, B"B"(" 3& ;nico p;blico por la =A< """""""""""""""""""""""""""""""""""""""""""""""""" """""""" (>+ B"B")" !;ltiples direcciones 3& p;blicas por =A< """""""""""""""""""""""""""""""""""""""""""""""""" """" (>+ B"C" <AT y co%patibilidad de &rotocolo """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""" (>+
B"C"(" FT& """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""""""" (>+

B"C")" TFT& """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""""" (>*
B"C"*" &&T& 7 G.@ """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""" (>* B"C"1" $uegos online """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""" (>1 B"," Solucin de proble%as """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""" (>> B","(" &uerto Adelante Solucin de proble%as """""""""""""""""""""""""""""""""""""""""""""""""" """" (>> B",")" <AT .efle/in Solucin de proble%as """""""""""""""""""""""""""""""""""""""""""""""""" (>B B","*" Solucin de proble%as de salida <AT """""""""""""""""""""""""""""""""""""""""""""""""" " (>C C" @nruta%iento """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""""""""""""""""""" """" (>, C"(" .utas est2ticas """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""""" (>, C"("(" @Me%plo de ruta est2tica """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""" (>, C"(")" #ypass reglas de firewall para el tr2fico en la %is%a interfaD """"""""""""""""""""""""" (A+ C"("*" .edirecciones 3 !& """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""" (A( i/
C")" @nruta%iento 3& &;blica """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""" (A)

C")"(" Asignacin de 3& """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""" (A) C")")" 3nterfaD de configuracin """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""" (A* C")"*" onfiguracin de <AT """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""" (A1 C")"1" onfiguracin del Firewall artculo """""""""""""""""""""""""""""""""""""""""""""""""" """""" (A> C"*" &rotocolos de enruta%iento """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""" (AA
C"*"(" .3& """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""""""" (AA

C"*")" #G& """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""""""" (AA
C"1" .uta Solucin de proble%as """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""" (AB C"1"(" 'isualiDacin de las rutas """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""" (AB C"1")" Hsando traceroute """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""" (B+ C"1"*" .utas y '&< """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""" (B(
," &uente """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""""""""""""""""""" """ (B*
,"(" &uente y la capa ) Loops """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""" (B* ,")" &uente y cortafuegos """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""" (B* ,"*" &uente entre dos redes internas """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""" (B1 ,"*"(" DF & y puentes internos """""""""""""""""""""""""""""""""""""""""""""""""" """"""" (B1 ,"1" Superar :&T a la =A< """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""" (B> ,">" .educcin de la interoperabilidad """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""" (B> ,">"(" &ortal cautivo """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""" (B>
,">")" A.& """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""" (B> ,">"*" !ultiI=A< """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""" (C(
(+" LA< virtuales J'LA<K """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""" (C)

(+"(" .e9uisitos """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""" (C) (+")" Ter%inologa """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""""" (C* (+")"(" TrunLing """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""" (C*
(+")")" 'LA< 3D """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""" (C* (+")"*" &adres interfaD """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""" (C* (+")"1" Acceso al puerto """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""" (C1 (+")">" Doble eti9uetado J5in5K """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""" (C1 (+")"A" 'LA< privada J&'LA<K """""""""""""""""""""""""""""""""""""""""""""""""" """"""""" (C1 (+"*" 'LA<s y seguridad """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""" (C1 (+"*"(" Segregar las Donas Fiduciario """""""""""""""""""""""""""""""""""""""""""""""""" """""""""" (C> (+"*")" Hsando el valor por defecto 'LA<( """""""""""""""""""""""""""""""""""""""""""""""""" """"""" (C> (+"*"*" Hso de un puerto troncal 'LA< por defecto """""""""""""""""""""""""""""""""""""""""""""" (C> (+"*"1" La li%itacin del acceso a los puertos del tronco """""""""""""""""""""""""""""""""""""""""""""""""" "" (CA (+"*">" :tros proble%as con los interruptores """""""""""""""""""""""""""""""""""""""""""""""""" """""" (CA (+"1" pfSense configuracin """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""" (CA (+"1"(" onsola de configuracin de 'LA< """""""""""""""""""""""""""""""""""""""""""""""""" """ (CA (+"1")" interfaD web de configuracin de 'LA< """"""""""""""""""""""""""""""""""""""""""""" (C, (+">" 3nterruptor de configuracin """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""" (,( /
(+">"(" 3nterruptor general sobre la configuracin """""""""""""""""""""""""""""""""""""""""""""""""" " (,(

(+">")" isco 3:S interruptores basados en """""""""""""""""""""""""""""""""""""""""""""""""" """""""" (,) (+">"*" isco basado en interruptores at:S """""""""""""""""""""""""""""""""""""""""""""""""" """" (,1 (+">"1" F& &ro urve interruptores """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""" (,1 (+">">" <etgear switches gestionados """""""""""""""""""""""""""""""""""""""""""""""""" """"""" (,A (+">"A" Dell &ower onnect switches gestionados """"""""""""""""""""""""""""""""""""""""" )+* ((" !;ltiples cone/iones =A< """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""" )+> (("(" La eleccin de su conectividad a 3nternet """""""""""""""""""""""""""""""""""""""""""""""""" """" )+> (("("(" able a%inos """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""" )+> (("(")" .utas de acceso a 3nternet """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""" )+A (("("*" .edundancia %eMor? %2s ancho de banda? %enos dinero """"""""""""""""""""""""" )+A ((")" !ultiI=A< Ter%inologa y conceptos """""""""""""""""""""""""""""""""""""""""""""""""" )+A ((")"(" &oltica de enca%ina%iento """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""" )+B ((")")" &uerta de enlace de &iscinas """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""" )+B
((")"*" on%utacin por error """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""" )+B ((")"1" @9uilibrio de carga """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""" )+B ((")">" !onitor de &3 """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""" )+B (("*" !ultiI=A< Advertencias y consideraciones """"""""""""""""""""""""""""""""""""""""""""""""" )+C (("*"(" !;ltiples =A< co%partiendo una ;nica puerta de enlace 3& """""""""""""""""""""""""""""""""" )+, (("*")" &&&o@ o &&T& %;ltiples =A< """"""""""""""""""""""""""""""""""""""""""""""""" )+, (("*"*" Los servicios locales y !ultiI=A< """""""""""""""""""""""""""""""""""""""""""""""""" )+, (("1" 3nterfaD de configuracin y D<S """""""""""""""""""""""""""""""""""""""""""""""""" """""""" )(+ (("1"(" 3nterfaD de configuracin """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""" )(+ (("1")" onfiguracin del servidor D<S """""""""""""""""""""""""""""""""""""""""""""""""" """"""" )(+ (("1"*" @scala a un gran n;%ero de interfaces =A< """"""""""""""""""""""""""""""" )() ((">" asos especiales de !ultiI=A< """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""" )() ((">"(" !;ltiples cone/iones con la %is%a puerta de enlace 3& """""""""""""""""""""""""""""""" )(* ((">")" !;ltiples cone/iones &&&o@ o &&T& Tipo """""""""""""""""""""""""""""""""" )(* (("A" !ultiI=A< y <AT """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""" )(* (("A"(" <AT de salida %ultiI=A< y AvanDado """"""""""""""""""""""""""""""""""" )(* (("A")" !ultiI=A< y redirecciona%iento de puertos """""""""""""""""""""""""""""""""""""""""""""""" )(* (("A"*" !ultiI=A< y <AT +(:+( """""""""""""""""""""""""""""""""""""""""""""""""" """""""" )(1 (("B" @9uilibrio de carga """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""" )(1 (("B"(" onfiguracin de un grupo de balanceo de carga """"""""""""""""""""""""""""""""""""""""""""" )(1 (("B")" &roble%as con el e9uilibrio de carga """""""""""""""""""""""""""""""""""""""""""""""""" " )(>
(("C" on%utacin por error """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""""""""""" )(A
(("C"(" onfiguracin de un grupo de con%utacin por error """""""""""""""""""""""""""""""""""""""""""""""""" """"" )(A (("," o%probacin de la funcionalidad """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""" )(B ((","(" &rueba de con%utacin por error """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""" )(B ((",")" 'erificacin de la funcionalidad de e9uilibrio de carga """"""""""""""""""""""""""""""""""""""" )(C (("(+" &oltica de enruta%iento? e9uilibrio de carga y estrategias de con%utacin por error """"""""""""""""""""""""""" ))+ /i
(("(+"(" La agregacin de ancho de banda """""""""""""""""""""""""""""""""""""""""""""""""" """"""""" ))+

(("(+")" La segregacin de los servicios prioritarios """""""""""""""""""""""""""""""""""""""""""""""" ))+ (("(+"*" Slo de con%utacin por error """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""" ))( (("(+"1" osto de e9uilibrio de carga desigual """""""""""""""""""""""""""""""""""""""""""""""""" ))( (("((" !ultiI=A< en un palo """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""" )))
(("()" Solucin de proble%as """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""" ))* (("()"(" 'erifi9ue su estado de configuracin """""""""""""""""""""""""""""""""""""""""""""""""" " ))* (("()")" #alanceo de carga no funciona """""""""""""""""""""""""""""""""""""""""""""""""" """ ))1 (("()"*" on%utacin por error no funciona """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""" ))1 ()" .edes privadas virtuales """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""" ))> ()"(" despliegues co%unes """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""" ))> ()"("(" Sitio para conectividad de sitio """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""" ))> ()"(")" Acceso re%oto """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""" ))A ()"("*" &roteccin para redes inal2%bricas """"""""""""""""""""""""""""""""""""""""""""""""" ))A ()"("1" Asegure rel6 """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""" ))B ()")" @legir una solucin '&< para el entorno """"""""""""""""""""""""""""""""""""""" ))B
()")"(" 3nteroperabilidad """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""" ))B
()")")" Autenticacin de las consideraciones """""""""""""""""""""""""""""""""""""""""""""""""" """ ))B ()")"*" Facilidad de configuracin """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""" ))C ()")"1" !ultiI=A< capaD """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""" ))C ()")">" liente disponibilidad """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""" ))C ()")"A" Firewall de a%istad """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""" )), ()")"B" riptogr2fica%ente segura """""""""""""""""""""""""""""""""""""""""""""""""" """"""""" )*+
()")"C" .esu%en """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""" )*+
()"*" '&<s y reglas de firewall """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""" )*(

()"*"(" 3&sec """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""" )*( ()"*")" :pen'&< """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""" )*( ()"*"*" &&T& """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""" )*( (*" 3&sec """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""""""""""""""""""" """""" )*)
(*"(" Ter%inologa de 3&sec """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""" )*) (*"("(" Asociacin de Seguridad """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""" )*) (*"(")" &oltica de Seguridad """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""" )*) (*"("*" Fase ( """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""" )*) (*"("1" Fase ) """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""" )** (*")" @legir opciones de configuracin """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""" )** (*")"(" 3nterfaD de seleccin """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""" )** (*")")" Los algorit%os de cifrado """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""" )*1
(*")"*" ursos de la vida """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""" )*1 (*")"1" &rotocolo """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""" )*1
(*")">" Algorit%os hash """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""" )*1 (*")"A" DF clave de grupo """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""" )*> /ii
(*")"B" &FS de clave de grupo """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""" )*>

(*")"C" !uerto de deteccin de pares JD&DK """""""""""""""""""""""""""""""""""""""""""""""""" """"" )*> (*"*" 3&sec y las reglas del firewall """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""" )*> (*"1" Hn sitio a otro """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""""""" )*A (*"1"(" Sitio en la configuracin de sitio de eMe%plo """"""""""""""""""""""""""""""""""""""""""""""" )*A (*"1")" @nruta%iento y las consideraciones de puerta de enlace """""""""""""""""""""""""""""""""""""""""""" )1( (*"1"*" @nruta%iento de %;ltiples subredes a trav6s de 3&sec """""""""""""""""""""""""""""""""""""""""""" )1) (*"1"1" pfSense iniciado por tr2fico e 3&sec """""""""""""""""""""""""""""""""""""""""""""" )1* (*">" !vil 3&sec """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""" )11 (*">"(" @Me%plo de configuracin del servidor """""""""""""""""""""""""""""""""""""""""""""""""" "" )1> (*">")" @Me%plo de configuracin del cliente """""""""""""""""""""""""""""""""""""""""""""""""" "" )1, (*"A" &ruebas de conectividad 3&sec """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""" )>> (*"B" 3&sec y <ATIT """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""" )>A (*"C" 3&sec Solucin de proble%as """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""" )>A (*"C"(" T;nel no establece """""""""""""""""""""""""""""""""""""""""""""""""" """""""" )>A (*"C")" T;nel establece? pero no pasa el tr2fico """""""""""""""""""""""""""""""""""""""" )>B (*"C"*" Fay algunos e9uipos en el trabaMo? pero no todos """""""""""""""""""""""""""""""""""""""""""""""""" """" )>C (*"C"1" Se blo9uea la cone/in """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""" )>C
(*"C">" N.ando%N T;nel Desconecta 7 Fallas D&D en routers integrados """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""""""""""""""""""" """" )>, (*"C"A" 3&sec 3nterpretacin registro """""""""""""""""""""""""""""""""""""""""""""""""" """""""""" )>, (*"C"B" AvanDadas de depuracin """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""" )A1 (*"," onfiguracin de dispositivos de terceros 3&sec """""""""""""""""""""""""""""""""""""""""""""""""" " )A> (*","(" :rientaciones generales para dispositivos de terceros 3&sec """"""""""""""""""""""""""""""" )A> (*",")" isco &3G :S A"/ """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""" )AA (*","*" isco &3G :S B"/? C"/? y ASA """""""""""""""""""""""""""""""""""""""""""""""" )AA (*","1" isco 3:S de routers """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""" )AB (1" &&T& '&< """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""""""""""""""""" )A, (1"(" &&T& Advertencia de seguridad """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""" )A, (1")" &&T& y reglas de firewall """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""" )A, (1"*" &&T& y !ultiI=A< """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""" )A, (1"1" &&T& Li%itaciones """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""" )A, (1">" onfiguracin del servidor &&T& """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""" )B+ (1">"(" Direcciona%iento 3& """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""" )B+
(1">")" Autenticacin """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""" )B(
(1">"*" .e9uerir cifrado de ()C bits """""""""""""""""""""""""""""""""""""""""""""""""" """""" )B( (1">"1" Guardar los ca%bios para iniciar servidor &&T& """"""""""""""""""""""""""""""""""""""""""""""" )B( (1">">" onfigurar reglas de firewall para clientes &&T& """""""""""""""""""""""""""""""""""""" )B( (1">"A" Adicin de usuarios """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""" )B) (1"A" &&T& configuracin del cliente """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""" )B1 (1"A"(" =indows G& """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""" )B1 /iii
(1"A")" =indows 'ista """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""" )BB

(1"A"*" =indows B """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""" )C* (1"A"1" !ac :S G """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""" )C* (1"B" Au%entar el l%ite de usuarios si%ult2neos """""""""""""""""""""""""""""""""""""""""""""""""" )CA (1"C" &&T& redireccin """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""" )CB (1"," &&T& Solucin de proble%as """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""" )CB (1","(" <o se puede conectar """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""" )CB (1",")" .elacionada con &&T&? pero no puede pasar el tr2fico """""""""""""""""""""""""""""""""""" )CC (1"(+" &&T& enruta%iento trucos """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""" )CC (1"((" &&T& .egistros """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""""" )C,
(>" :pen'&< """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""""""""""""""""" ),( (>"(" 3ntroduccin b2sica a la infraestructura de clave p;blica G">+, """"""""""""""""""""""""""""""" ),( (>")" La generacin de claves y certificados :pen'&< """""""""""""""""""""""""""""""""""""""""""" ),) (>")"(" La generacin de claves co%partidas """""""""""""""""""""""""""""""""""""""""""""""""" """""""""" ),) (>")")" Generacin de ertificados """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""" ),* (>"*" :pciones de configuracin de :pen'&< """""""""""""""""""""""""""""""""""""""""""""""""" """""""" *+( (>"*"(" opciones de configuracin del servidor """""""""""""""""""""""""""""""""""""""""""""""""" """" *+( (>"1" onfiguracin re%ota de acceso """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""" *+> (>"1"(" Deter%inar un es9ue%a de direcciona%iento 3& """""""""""""""""""""""""""""""""""""""""""" *+> (>"1")" @Me%plo de red """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""" *+A (>"1"*" onfiguracin del servidor """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""" *+A (>"1"1" De instalacin del cliente """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""" *+C (>"1">" onfiguracin del cliente """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""" *+, (>">" Sitio para @Me%plo de configuracin de la web """""""""""""""""""""""""""""""""""""""""""""""""" """""" *(* (>">"(" onfiguracin del lado del servidor """""""""""""""""""""""""""""""""""""""""""""""""" """""""""" *(* (>">")" onfiguracin del lado del cliente """""""""""""""""""""""""""""""""""""""""""""""""" """""""""" *(1 (>">"*" &rueba de la cone/in """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""" *(> (>"A" Filtrado y <AT con cone/iones :pen'&< """"""""""""""""""""""""""""""""""""""" *(> (>"A"(" 3nterfaD de configuracin y asignacin de """""""""""""""""""""""""""""""""""""""" *(> (>"A")" Filtrado con :pen'&< """""""""""""""""""""""""""""""""""""""""""""""""" """"""""" *(A (>"A"*" <AT con :pen'&< """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""" *(A (>"B" :pen'&< y !ultiI=A< """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""" *(, (>"B"(" :pen'&< y servidores %ultiI=A< """""""""""""""""""""""""""""""""""""""""""""" *(, (>"B")" :pen'&< clientes y !ultiI=A< """""""""""""""""""""""""""""""""""""""""""""" *)+ (>"C" :pen'&< y A.& """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""" *)( (>"," one/iones en puente :pen'&< """""""""""""""""""""""""""""""""""""""""""""""""" """""""""" *)( Las (>"(+ horas" :pciones de configuracin personaliDada """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""" *)) (>"(+"(" :pciones de ruta """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""" *)) (>"(+")" @specificacin de la interfaD """""""""""""""""""""""""""""""""""""""""""""""""" """"""""" *)* (>"(+"*" Hso de aceleradores de hardware criptogr2fico """"""""""""""""""""""""""""""""""""""""""" *)* (>"(+"1" @specificar la direccin 3& 9ue puede utiliDar """""""""""""""""""""""""""""""""""""""""""""""""" """ *)* /iv
(>"((" Solucin de proble%as de :pen'&< """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""" *)*

(>"(("(" Fay algunos e9uipos en el trabaMo? pero no todos """""""""""""""""""""""""""""""""""""""""""""""""" "" *)* (>"((")" 'erifica en el :pen'&< registros """""""""""""""""""""""""""""""""""""""""""""""""" """""" *)1 (>"(("*" Aseg;rese de 9ue no se superponen cone/iones 3&sec """""""""""""""""""""""""""""""""""" *)1 (>"(("1" 'erifica en el siste%a de la tabla de enruta%iento """"""""""""""""""""""""""""""""""""""""""""""""" *)> (>"((">" &rueba de diferentes puntos de vista """"""""""""""""""""""""""""""""""""""""""""" *)> (>"(("A" Trace el tr2fico con tcpdu%p """""""""""""""""""""""""""""""""""""""""""""""""" *)> (A" Traffic Shaper """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""""""""""""" *)A (A"(" Traffic Shaping #2sico """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""" *)A (A")" Lo 9ue el Traffic Shaper puede hacer por usted """""""""""""""""""""""""""""""""""""""""""""""""" *)A (A")"(" !antenga navegacin suave """""""""""""""""""""""""""""""""""""""""""""""""" """""""""" *)B (A")")" !antenga 'o3& lla%adas claras """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""" *)B (A")"*" .educir el retraso de Muego """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""" *)B (A")"1" !antenga las aplicaciones &)& en la co%probacin """""""""""""""""""""""""""""""""""""""""""""""" *)B (A"*" Li%itaciones del hardware """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""" *)C (A"1" Li%itaciones de la aplicacin Traffic Shaper en (")"/ """"""""""""""""""""""""""" *)C (A"1"(" Slo dos de interfaD de apoyo """""""""""""""""""""""""""""""""""""""""""""""""" """""" *)C (A"1")" @l tr2fico a la interfaD LA< afectados """""""""""""""""""""""""""""""""""""""""""""""" *)C (A"1"*" <o hay inteligencia de las aplicaciones """""""""""""""""""""""""""""""""""""""""""""""""" """""" *), (A">" onfiguracin de la Traffic Shaper on el Asistente """"""""""""""""""""""""""""""""""""""" *), (A">"(" 3nicio del Asistente """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""" *), (A">")" .edes y velocidades """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""" **+ (A">"*" 'oD sobre 3& """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""" **+ (A">"1" &ena de aMa """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""" **( (A">">" .edes peerItoI&eer """""""""""""""""""""""""""""""""""""""""""""""""" """"""""" **) (A">"A" .ed de $uegos """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""" *** (A">"B" Subir o baMar otras aplicaciones """"""""""""""""""""""""""""""""""""""" **1 (A">"C" Fin del Asistente de """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""" **> (A"A" !onitoreo de las colas """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""" **> (A"B" &ersonaliDacin avanDada """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""" **A (A"B"(" @dicin de colas Shaper """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""" **A (A"B")" @dicin de .eglas Shaper """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""" *1+ (A"C" Solucin de proble%as de Shaper """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""" *1) (A"C"(" 4&or 9u6 no el tr2fico de #itTorrent va a la cola de &)&8 """"""""""""""""""""" *1) (A"C")" 4&or 9u6 no es el tr2fico a los puertos abiertos por H&n& correcta%ente en la cola8 """"""""""""" *1)
(A"C"*" 4 %o puedo calcular la cantidad de ancho de banda a asignar a la confir%acin colas8 """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""""""""""" *1* (A"C"1" 4&or 9u6 no O/P for%a adecuada8 """"""""""""""""""""""""""""""""""""""""""""""" *1* (B" Servidor de e9uilibrio de carga """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""" *11 (B"(" @/plicacin de las opciones de configuracin """""""""""""""""""""""""""""""""""""""""""""""""" "" *11 (B"("(" &iscinas de servidor virtual """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""" *11 /v
(B"(")" &egaMosa cone/iones """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""" *1A

(B")" =eb de e9uilibrio de carga del servidor de configuracin de eMe%plo """"""""""""""""""""""""""""""""" *1B (B")"(" @Me%plo de entorno de red """""""""""""""""""""""""""""""""""""""""""""""""" " *1C (B")")" onfiguracin de la piscina """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""" *1, (B")"*" onfiguracin del servidor virtual """""""""""""""""""""""""""""""""""""""""""""""""" """"""" *1, (B")"1" onfiguracin de reglas de firewall """""""""""""""""""""""""""""""""""""""""""""""""" """"""" *>+ (B")">" 'er el estado de e9uilibrador de carga """""""""""""""""""""""""""""""""""""""""""""""""" """" *>) (B")"A" 'erificacin de e9uilibrio de carga """""""""""""""""""""""""""""""""""""""""""""""""" """"""""" *>) (B"*" Solucin de proble%as de e9uilibrio de carga del servidor """"""""""""""""""""""""""""""""""""""""""""""""" *>* (B"*"(" Las cone/iones no est2n e9uilibradas """""""""""""""""""""""""""""""""""""""""""""""""" *>* (B"*")" Desigual e9uilibrio """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""" *>* (B"*"*" AbaMo servidor no %arcados co%o fuera de lnea """""""""""""""""""""""""""""""""""""""""""""" *>1 (B"*"1" servidor de Live no se %arca co%o lnea """""""""""""""""""""""""""""""""""""""""""""""" *>1
(C" =iIfi """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""""""""""""""""""" "" *>> (C"(" .eco%endaciones de hardware inal2%brico """""""""""""""""""""""""""""""""""""""""""""""""" """"""" *>> (C"("(" TarMetas inal2%bricas de los proveedores de reno%bre """"""""""""""""""""""""""""""""""""""""" *>> (C"(")" controladores inal2%bricos incluidos en (")"* """"""""""""""""""""""""""""""""""""""""""""""" *>> (C")" =A< inal2%brica """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""" *>A (C")"(" 3nterface de """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""" *>B (C")")" onfiguracin de su red inal2%brica """""""""""""""""""""""""""""""""""""""""""""" *>B (C")"*" o%probar el estado inal2%brico """""""""""""""""""""""""""""""""""""""""""""""""" """"""""" *>B (C")"1" Se %uestran las redes inal2%bricas disponibles y potencia de la se0al """"""""""""""""" *>C (C"*" Superar e inal2%bricas """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""" *>C (C"*"(" S.S y 3#SS inal2%bricos y puentes """"""""""""""""""""""""""""""""""""""""""" *>, (C"1" @l uso de un punto de acceso e/terno """""""""""""""""""""""""""""""""""""""""""""""""" """""""""" *>, (C"1"(" @n cuanto a su router inal2%brico en un punto de acceso """"""""""""""""""""""""""" *>, (C"1")" &uente inal2%brico para su LA< """""""""""""""""""""""""""""""""""""""""""""""""" *A+ (C"1"*" &uente inal2%brico a una interfaD :&T """""""""""""""""""""""""""""""""""""""""" *A+ (C">" pfSense co%o punto de acceso """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""" *A( (C">"(" 4Debo usar un A& o e/terna pfSense co%o punto de acceso8 """"""""""""" *A) (C">")" pfSense onfiguracin co%o punto de acceso """""""""""""""""""""""""""""""""""""""" *A) (C"A" proteccin adicional para su red inal2%brica """"""""""""""""""""""""""""""""""""""" *AA (C"A"(" proteccin adicional inal2%brica con &ortal autivo """""""""""""""""""""""""" *AA (C"A")" proteccin adicional con '&< """"""""""""""""""""""""""""""""""""""""""""""""" *AB (C"B" onfiguracin de un punto de acceso inal2%brico seguro """""""""""""""""""""""""""""""""""""""""""""""""" *AC (C"B"(" @nfo9ue de %;ltiples cortafuegos """""""""""""""""""""""""""""""""""""""""""""""""" """"""" *A, (C"B")" Servidor de seguridad ;nico enfo9ue """""""""""""""""""""""""""""""""""""""""""""""""" """"""""" *A, (C"B"*" ontrol de acceso y filtrado de salida consideraciones """"""""""""""""""""""""""" *A, (C"C" Solucin de proble%as de cone/iones inal2%bricas """""""""""""""""""""""""""""""""""""""""""""""""" " *B+ (C"C"(" o%pruebe la antena """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""" *B+ (C"C")" &ruebe con varios clientes o tarMetas inal2%bricas """""""""""""""""""""""""""""""""""" *B+ /vi
(C"C"*" 3ntensidad de la se0al es baMa """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""" *B(

(," &ortal autivo """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""""""""""""" *B)
(,"(" Li%itaciones """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""""""" *B) (,"("(" Slo puede eMecutarse en una sola interfaD """""""""""""""""""""""""""""""""""""""""""""""""" "" *B) (,"(")" <o sean capaces de revertir portal """""""""""""""""""""""""""""""""""""""""""""""""" """ *B) (,")" &ortal de onfiguracin sin autenticacin """"""""""""""""""""""""""""""""""""""""""" *B) (,"*" &ortal de configuracin %ediante la autenticacin local """""""""""""""""""""""""""""""""""""" *B) (,"1" &ortal de configuracin %ediante la autenticacin .AD3HS """"""""""""""""""""""""""""""""" *B* (,">" :pciones de configuracin """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""" *B*
(,">"(" 3nterfaD """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""" *B*
(,">")" !2/i%a de cone/iones si%ult2neas """"""""""""""""""""""""""""""""""""""""""""""" *B* (,">"*" Tie%po de inactividad """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""" *B* (,">"1" Duro tie%po de espera """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""" *B1 (,">">" Desconectarse ventana e%ergente """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""" *B1 (,">"A" .edireccin de H.L """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""" *B1 (,">"B" los inicios de sesin de usuario concurrente """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""" *B1 (,">"C" Filtrado de direcciones !A """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""" *B1
(,">"," Autenticacin """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""" *B1
(,">"(+" FTT&S entrada """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""" *B> (,">"((" <o%bre de servidor FTT&S """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""" *B> (,">"()" &ortal de contenidos de la p2gina """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""" *B> (,">"(*" Autenticacin de contenido p2gina de error """"""""""""""""""""""""""""""""""""""""""""" *BA (,"A" Solucin de proble%as de portal cautivo """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""" *BA (,"A"(" Autenticacin de fracasos """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""" *BA (,"A")" &ortal de la p2gina no carga Ja vecesK ni ninguna carga otra p2gina """""""" *BB
)+" Firewall de redundancia 7 alta disponibilidad """""""""""""""""""""""""""""""""""""""""""""""""" """"""""" *BC
)+"(" A.& 3nfor%acin general """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""" *BC )+")" pfsync 3nfor%acin general """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""" *BC )+")"(" pfsync y actualiDaciones """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""" *B, )+"*" pfSense G!LI.& Sync 3nfor%acin general """""""""""""""""""""""""""""""""""""""""""""""""" """"" *B, )+"1" @Me%plo de configuracin redundante """""""""""""""""""""""""""""""""""""""""""""""""" """""" *B, )+"1"(" Deter%inar las asignaciones de direccin 3& """"""""""""""""""""""""""""""""""""""""""""" *C+ )+"1")" onfigurar el servidor de seguridad pri%aria """""""""""""""""""""""""""""""""""""""""""""""""" " *C( )+"1"*" onfiguracin del servidor de seguridad secundaria """""""""""""""""""""""""""""""""""""""""""""" *C1 )+"1"1" onfigurar sincroniDacin de la configuracin """""""""""""""""""""""""""""""""""""" *C> )+">" !ultiI=A< con A.& """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""" *CA )+">"(" Deter%inar las asignaciones de direccin 3& """"""""""""""""""""""""""""""""""""""""""""" *CA )+">")" onfiguracin de <AT """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""" *CC )+">"*" onfiguracin del Firewall """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""" *CC )+">"1" !ultiI=A< A.& con D!E Diagra%a """"""""""""""""""""""""""""""""""""""" *C, )+"A" o%probacin de la funcionalidad de con%utacin por error """""""""""""""""""""""""""""""""""""""""""""""""" """""""""" *C, /vii
)+"A"(" o%pruebe el estado A.& """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""" *C,

)+"A")" o%pruebe configuracin de la replicacin """""""""""""""""""""""""""""""""""""""""""""""" *C, )+"A"*" o%probar el estado de con%utacin por error de DF & """""""""""""""""""""""""""""""""""""""""""""""""" """ *C, )+"A"1" &rueba de con%utacin por error A.& """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""" *,+ )+"B" &roporcionar redundancia Sin <AT """""""""""""""""""""""""""""""""""""""""""""""""" """ *,+ )+"B"(" Asignacin de 3& p;blica """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""" *,( )+"B")" .ed de 3nfor%acin general """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""" *,( )+"C" La redundancia de capa ) """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""" *,) )+"C"(" 3nterruptor de configuracin """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""" *,) )+"C")" Anfitrin de redundancia """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""" *,* )+"C"*" :tros puntos ;nicos de fallo """""""""""""""""""""""""""""""""""""""""""""""""" "" *,* )+"," A.& con puente """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""" *,1 )+"(+" A.& Solucin de proble%as """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""" *,1 )+"(+"(" o%unes errores de configuracin """""""""""""""""""""""""""""""""""""""""""""""""" """ *,1 )+"(+")" 3ncorrecta Fash @rror """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""" *,> )+"(+"*" A%bos siste%as aparecen co%o !AST@. """""""""""""""""""""""""""""""""""""""""""" *,A )+"(+"1" Siste%a !aestro? pegado co%o .@S@.'A """""""""""""""""""""""""""""""""""""""""" *,A )+"(+">" &roble%as en el interior de %29uinas virtuales J@SGK """"""""""""""""""""""""""""""""""""" *,A )+"(+"A" &roble%as de configuracin de sincroniDacin """""""""""""""""""""""""""""""""""" *,B )+"(+"B" A.& y Solucin de &roble%as !ultiI=A< """"""""""""""""""""""""""""""""""""" *,B )+"(+"C" @/traccin de una A.&A '3& """""""""""""""""""""""""""""""""""""""""""""""""" """""""" *,B
)(" Servicios """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""""""""""""""""""" "" *,C )("(" Servidor DF & """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""" *,C
)("("(" onfiguracin """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""" *,C )("(")" ondicin $urdica y Social """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""" 1+) )("("*" Arrenda%ientos """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""" 1+*
)("("1" Servicio DF & .egistros """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""" 1+* )(")" De retrans%isin DF & """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""" 1+1 )("*" D<S Forwarder """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""" 1+1 )("*"(" onfiguracin de D<S Forwarder """""""""""""""""""""""""""""""""""""""""""""""""" "" 1+> )("1" D<S din2%ico """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""" 1+A )("1"(" Hso de D<S din2%ico """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""" 1+B )("1")" .F )(*A D<S din2%ico actualiDaciones """"""""""""""""""""""""""""""""""""""""""""""" 1+C
)(">" S<!& """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""""""""""""" 1+C
)(">"(" S<!& de%onio """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""" 1+C )(">")" S<!& Traps """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""" 1+,
)(">"*" !dulos """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""" 1(+
)(">"1" Se unen a la interfaD LA< slo """""""""""""""""""""""""""""""""""""""""""""""""" """"" 1(+

)("A" H&n& """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""""""""""""" 1(+
)("A"(" Las preocupaciones de seguridad """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""" 1((

)("A")" onfiguracin """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""" 1((
/viii
)("A"*" ondicin $urdica y Social """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""" 1(*

)("A"1" Solucin de proble%as """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""" 1(1 )("B" :pen<T&D """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""""" 1(1
)("C" =aLe on LA< """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""" 1(> )("C"(" Despierta una sola %29uina """""""""""""""""""""""""""""""""""""""""""""""""" """"" 1(> )("C")" Al%acena%iento de direcciones !A """""""""""""""""""""""""""""""""""""""""""""""""" """"""""" 1(A )("C"*" Despierta una sola %29uina al%acenados """""""""""""""""""""""""""""""""""""""""""""""""" " 1(A )("C"1" Despierta Todos los e9uipos al%acenados """""""""""""""""""""""""""""""""""""""""""""""""" """""" 1(A )("C">" .eactivacin desde DF & Arrenda%ientos 'er """""""""""""""""""""""""""""""""""""""""""""""""" 1(A )("C"A" Guardar en DF & Arrenda%ientos 'er """""""""""""""""""""""""""""""""""""""""""""""""" " 1(A )("," Servidor &&&o@ """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""" 1(B ))" Siste%a de segui%iento """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""""" 1(C ))"(" Siste%a de .egistros """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""" 1(C ))"("(" 'iendo los archivos de registro """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""" 1(C ))"(")" a%biar la configuracin de registro """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""" 1(, ))"("*" .egistro re%oto con Syslog """""""""""""""""""""""""""""""""""""""""""""""""" """ 1)+ ))")" @stado del siste%a """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""" 1)( ))"*" @stado de la interfaD """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""" 1)) ))"1" @stado de los servicios """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""" 1)* ))">" ..D Gr2ficos """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""" 1)* ))">"(" Siste%a de Gr2ficos """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""" 1)1 ))">")" Tr2fico Gr2ficos """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""" 1)> ))">"*" &a9uete de Gr2ficos """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""" 1)> ))">"1" alidad de los gr2ficos """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""" 1)> ))">">" ola de gr2ficos """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""" 1)>
))">"A" onfiguracin """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""" 1)>
))"A" Servidor de seguridad de los @stados """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""" 1)A ))"A"(" 'iendo en la =ebGH3 """""""""""""""""""""""""""""""""""""""""""""""""" """""""""" 1)A ))"A")" 'iendo con pftop """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""" 1)A ))"B" Tr2fico Gr2ficos """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""" 1)B
)*" &a9uetes """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""""""""""""""""""" " 1)C
)*"(" 3ntroduccin a los pa9uetes """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""" 1)C )*")" 3nstalacin de pa9uetes """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""" 1), )*"*" .einstalacin y actualiDacin de pa9uetes """""""""""""""""""""""""""""""""""""""""""""""""" """"" 1*+ )*"1" Desinstalacin de pa9uetes """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""" 1*( )*">" &a9uetes de desarrollo """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""" 1*( )1" Software de terceros y pfSense """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""" 1*) )1"(" .AD3HS de autenticacin de =indows Server """""""""""""""""""""""""""""""""""""""" 1*) )1"("(" La eleccin de un servidor para 3AS """""""""""""""""""""""""""""""""""""""""""""""""" """"""" 1*) )1"(")" 3nstalacin de la <3 """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""" 1*) )1"("*" onfiguracin de la <3 """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""" 1** /i/
)1")" Libre de filtro de contenido con :penD<S """""""""""""""""""""""""""""""""""""""""""""""""" "" 1*>

)1")"(" onfiguracin de pfSense utiliDar :penD<S """"""""""""""""""""""""""""""""""""""""" 1*A )1")")" onfigure los servidores D<S internos para utiliDar :penD<S """"""""""""""""""""""""""" 1*A )1")"*" onfiguracin de filtrado de contenido :penD<S """""""""""""""""""""""""""""""""""""" 1*C )1")"1" onfiguracin de las reglas de cortafuegos para prohibir otros servidores D<S """"""""""" 11+ )1")">" FinaliDacin y :tras dudas """"""""""""""""""""""""""""""""""""""""""""""" 11) )1"*" Syslog Server en =indows con Qiwi Syslog """""""""""""""""""""""""""""""""""""""""" 11) )1"1" Hso del software de los puertos de Free#SD siste%a Jpa9uetesK """""""""""""""""""""""""" 11)
)1"1"(" &reocupaciones 7 Advertencias """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""" 11) )1"1")" 3nstalacin de pa9uetes """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""" 111 )1"1"*" @l %anteni%iento de pa9uetes """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""" 111 )>" aptura de pa9uetes """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""""""""" 11> )>"(" aptura de %arco de referencia """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""" 11> )>")" Seleccin de la interfaD adecuada """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""" 11> )>"*" Li%itar el volu%en de captura """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""" 11A )>"1" aptura de pa9uetes de la =ebGH3 """""""""""""""""""""""""""""""""""""""""""""""""" """""" 11A )>"1"(" :btener un pa9uete de captura """""""""""""""""""""""""""""""""""""""""""""""""" """"""""" 11A )>"1")" 'iendo los datos capturados """""""""""""""""""""""""""""""""""""""""""""""""" """""" 11B )>">" Hso de tcpdu%p de la lnea de co%andos """""""""""""""""""""""""""""""""""""""""""""""""" 11B )>">"(" tcpdu%p banderas de lnea de co%andos """""""""""""""""""""""""""""""""""""""""""""""""" """ 11C )>">")" Filtros tcpdu%p """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""" 1>( )>">"*" Solucin de proble%as pr2cticos eMe%plos """""""""""""""""""""""""""""""""""""""""""" 1>1 )>"A" Hso de =iresharL con pfSense """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""" 1>C )>"A"(" 'isualiDacin de archivos de pa9uetes de captura """""""""""""""""""""""""""""""""""""""""""""""""" """" 1>C )>"A")" =iresharL Ferra%ientas de an2lisis """""""""""""""""""""""""""""""""""""""""""""""""" """""""" 1>, )>"A"*" .e%oto en tie%po real de captura """""""""""""""""""""""""""""""""""""""""""""""""" """""""" 1A+ )>"B" Te/to sin for%ato &rotocolo de depuracin con fluMo T & """""""""""""""""""""""""""""""""""""""""""" 1A( )>"C" .eferencias adicionales """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""" 1A) A" Gua de %en;s """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""""""""""""""" 1A*
A"(" Siste%a de """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""""""""""""" 1A* A")" 3nterfaces """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""""""""" 1A* A"*" Servidor de seguridad """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""""""""""" 1A1 A"1" Servicios """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""""""""""" 1A> A">" '&< """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""""""""""""""" 1AA A"A" ondicin $urdica y Social """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""""""""""""""" 1AA A"B" Diagnstico """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""""""" 1AB Rndice """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""" 1A,
//
Lista de figuras
("(" !2scara de subred convertidor """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""" (*
(")" .ed 7 alculadora <odo """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""" (1 ("*" .ed 7 @Me%plo calculadora <odo """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""" (> *"(" 3nterfaD de pantalla de asignacin de """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""" *( 1"(" Asistente para la instalacin de la pantalla 3nicio """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""" >A 1")" &antalla de infor%acin general """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""" >B 1"*" <T& y la pantalla de configuracin de Dona horaria """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""" >B 1"1" onfiguracin de =A< """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""""" >C 1">" onfiguracin General =A< """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""" >, 1"A" onfiguracin de 3& est2tica """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""""""""" >, 1"B" DF & Fostna%e !arco """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""" >, 1"C" onfiguracin de &&&o@ """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""" A+ 1"," &&T& onfiguracin =A< """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""" A( 1"(+" onstruido en el filtrado de entrada :pciones """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""" A( 1"((" onfiguracin de LA< """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""""" A) 1"()" a%biar ontrase0a Ad%inistrativa """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""" A* 1"(*" ActualiDar pfSense =ebGH3 """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""" A* 1"(1" onfiguracin de un t;nel SSF puerto C+ en &uTTS """""""""""""""""""""""""""""""""""""""""""""""""" """" CB >"(" =ebGH3 de copia de seguridad """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""""""""" ,+ >")" =ebGH3 restauracin """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""""""""" ,> >"*" onfiguracin de la Fistoria """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""" ,A A"(" Au%ento del ta%a0o de estado de la tabla a >+"+++ """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""" (+( A")" &redeter%inado =A< nor%as """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""""" (+A A"*" &or defecto de LA< nor%as """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""""" (+A A"1" A0adir LA< opciones de la regla """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""" (+B
A">" anfitriones alias @Me%plo """"""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""" A"A" @Me%plo de alias de red """"""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""" A"B" puertos alias @Me%plo """"""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""""
A"C" Ter%inacin auto%2tica de alias de hosts """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""" ((+ A"," Ter%inacin auto%2tica de alias de puertos """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""" ((+ A"(+" @Me%plo Artculo Hso de alias """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""" ((+ A"((" Al pasar %uestra el contenido de los @M6rcitos """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""" ((( A"()" Al pasar %uestra el contenido de &uertos """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""" ((( A"(*" Las reglas de firewall para prevenir e%isiones de registro """""""""""""""""""""""""""""""""""""""""""""""""" ((1
A"(1" Alias para los puertos de gestin """""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""" A"(>" Alias para los hosts de gestin """""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""" A"(A" Alias lista """""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""""""""""""""" A"(B" @Me%plo restringida nor%as de gestin de LA< """"""""""""""""""""""""""""""""""""""""""""" """" //i
A"(C" .estringidos nor%as de gestin de LA< I eMe%plo alternativo """""""""""""""""""""""""""""""" A"(," de las reglas antiIblo9ueo con discapacidad """"""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""" A")+" &rueba de la resolucin de no%bres para las actualiDaciones #ogon """""""""""""""""""""""""""""""""""""""""""""""""" """" ((B A")(" !;ltiples direcciones 3& p;blicas en uso I solo blo9ue 3& """"""""""""""""""""""""""""""""""""""""" """""" A"))" !;ltiples direcciones 3& p;blicas en uso I dos blo9ues 3& """"""""""""""""""""""""""""""""""""""""" """"""" A")*" Adicin de un rango de tie%po """""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""" A")1" Alta Ga%a Tie%po """"""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""
A")>" Lista la lista despu6s de agregar """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""" ()B A")A" @legir un horario para una regla de firewall """""""""""""""""""""""""""""""""""""""""""""""""" """""" ()C A")B" Firewall de lista de reglas con el cuadro """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""" ()C A")C" @Me%plo de entradas del registro se ve desde la =ebGH3 """"""""""""""""""""""""""""""""""""""""""""""" (), B"(" A0adir Adelante &uerto """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""""""" (*A B")" &uerto @Me%plo Adelante """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""" (*B B"*" Listado de &uerto """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""""""" (*C B"1" Adelante &uerto de reglas de cortafuegos """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""" (*C B">" @Me%plo redirigir puerto para la cone/in """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""" (1+ B"A" +(:+( <AT pantalla @ditar """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""" (1( B"B" @ntrada <AT +(:+( """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""""""""""" (1)
B"C" +(:+( @Me%plo <AT I ;nico en el interior y fuera de 3& """"""""""""""""""""""""""""""""""""""" """ B"," +(:+( entrada <AT para 7 rango 3D. *+ """""""""""""""""""""""""""""""""""""""" """""""""""""""""""""" B"(+" :rdena%iento de <AT y Firewall de &rocesa%iento de """""""""""""""""""""""""""""""""""""""""""" """"""" B"((" LA< a la =A< de procesa%iento """""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""
B"()" &rocesa%iento de =A< a LA< """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""" (1> B"(*" Las reglas de firewall para el puerto hacia adelante a la LA< de host """""""""""""""""""""""""""""""""""""""""""""""""" " (1A B"(1" Fabilitar <AT .efle/in """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""" (1B
B"(>" A0adir .ee%plaDar D<S reenviador """""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""" B"(A" A0adir D<S reenviador 3gnorar para e/a%ple"co% """""""""""""""""""""""""""""""""""""""""" " B"(B" D<S Forwarder anulacin de www"e/a%ple"co% """"""""""""""""""""""""""""""""""""""""" "
C"(" .uta est2tica """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""""""""""""""" (>, C")" onfiguracin de rutas est2ticas """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""" (A+ C"*" @nruta%iento asi%6trico """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""" (A( C"1" =A< 3& y la configuracin de puerta de enlace """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""" (A* C">" onfiguracin de enruta%iento :&T( """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""" (A1 C"A" Salida de configuracin <AT """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""" (A> C"B" nor%as :&T( cortafuegos """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""""" (A> C"C" =A< reglas de firewall """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""""" (AA C"," .uta de pantalla """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""""""""""" (AB ,"(" Las reglas de firewall para per%itir el DF & """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""" (B1 (+"(" 3nterfaces: Asignar """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""""" (C, (+")" Lista de 'LA< """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""""""""""""" (,+ (+"*" @ditar 'LA< """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""""""""""""" (,+
//ii
(+"1" Lista de 'LA< """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""""""""""""" (,+

(+">" 3nterfaD lista con 'LA< """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""" (,( (+"A" 'LA< Grupo !arco """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""" (,B (+"B" Fabilitar C+)"(5 'LA< """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""" (,B (+"C" onfir%ar el ca%bio de C+)"(5 'LA< """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""" (,B (+"," onfiguracin por defecto C+)"(5 """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""" (,C (+"(+" A0adir nueva 'LA< """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""""" (,C (+"((" Agregar la 'LA< (+ """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""""""" (,, (+"()" A0adir 'LA< )+ """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""""""" (,, (+"(*" Activar pertenencia a la 'LA< """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""" )++ (+"(1" onfigurar la 'LA< (+ %ie%bros """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""" )+( (+"(>" onfiguracin de 'LA< )+ %ie%bros """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""" )+( (+"(A" &'3D !arco """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""""""""" )+) (+"(B" onfiguracin por defecto &'3D """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""" )+) (+"(C" 'LA< (+ y )+ de configuracin &'3D """""""""""""""""""""""""""""""""""""""""""""""""" """"""" )+) (+"(," .etire pertenencia a la 'LA< ( """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""" )+* (("(" @Me%plo de configuracin ruta est2tica para !ultiI=A< servicios D<S """""""""""""""""""""""" )() ((")" Desigual carga de los costos de e9uilibrio de configuracin """""""""""""""""""""""""""""""""""""""""""""""""" """" ))) (("*" !ultiI=A< en un palo """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""" ))* (*"(" Fabilitar 3&sec """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""""""""""" )*B
(*")" Hn sitio onfiguracin del t;nel '&< """"""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""" (*"*" Hn sitio de la Fase ( onfiguracin """"""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""
(*"1" Hn sitio de la Fase ) onfiguracin """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""" )*C (*">" Hn sitio Qeep Alive """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""""" )*, (*"A" Aplicar onfiguracin de 3&sec """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""" )*, (*"B" Sitio # onfiguracin del t;nel '&< """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""" )1+ (*"C" Sitio # Qeep Alive """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""""" )1+ (*"," Hn sitio a otro 3&sec uando pfSense no es la puerta de enlace """"""""""""""""""""""""""""""""""""""""" )1) (*"(+" Hn sitio a otro 3&sec """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""""" )1* (*"((" Sitio A I ruta est2tica a la subred re%ota """""""""""""""""""""""""""""""""""""""""""""""""" """"""" )1* (*"()" Sitio # I ruta est2tica a la subred re%ota """""""""""""""""""""""""""""""""""""""""""""""""" """"""" )11 (*"(*" Fabilitar %vil clientes 3&sec """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""" )1> (*"(1" Los clientes %viles de la Fase ( """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""" )1A (*"(>" Los clientes %viles de la Fase ) """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""" )1B (*"(A" Aplicar configuracin del t;nel %vil """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""" )1B (*"(B" 3&sec &reIShared Qey NHsuarioN Lista """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""" )1C (*"(C" Adicin de un 3dentificador 7 par de claves preIco%partidas """""""""""""""""""""""""""""""""""""""""""""""""" """ )1C (*"(," Aplicar los ca%biosT Lista &SQ """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""" )1, (*")+" Do%ada '&< suave Access !anager I Sin cone/iones Sin e%bargo? """""""""""""""""""""""""""""""" )>+
(*")(" onfiguracin del cliente: Ficha General """"""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""" (*"))" onfiguracin del cliente: Ficha cliente """"""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""" //iii
(*")*" (*")1" (*")>" (*")A" (*")B"
onfiguracin del cliente: Ficha de resolucin de no%bres """""""""""""""""""""""""""""""""""""""""""" """""""""""""" onfiguracin del cliente: Autenticacin? 3dentidad Local """""""""""""""""""""""""""""""""""""""""""""""""" " )>( onfiguracin del cliente: Autenticacin? 3dentidad re%oto """"""""""""""""""""""""""""""""""""""""""" " onfiguracin del cliente: la autenticacin? las credenciales """""""""""""""""""""""""""""""""""""""""""" """""" onfiguracin del cliente: Fase ( """"""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""
(*")C" onfiguracin del cliente: Fase ) """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""" )>)
(*")," onfiguracin del cliente: &oltica """""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""" (*"*+ horas" onfiguracin del cliente: &olticas? A0adir Topologa """"""""""""""""""""""""""""""""""""""""""" """""""""""""" (*"*(" onfiguracin del cliente: <o%bre de la cone/in <ueva """""""""""""""""""""""""""""""""""""""""""" """"""""""" (*"*)" Listo para Hsar cone/in """""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""
(*"**" onectado t;nel """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""" )>1 (1"(" &&T& direcciona%iento 3& """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""" )B+ (1")" &&T& '&< Firewall de .egla """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""" )B) (1"*" &&T& usuario Tab """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""""""" )B) (1"1" Adicin de un usuario &&T& """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""" )B* (1">" Aplicar los ca%bios &&T& """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""" )B* (1"A" Lista de Hsuarios &&T& """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""" )B1 (1"B" one/iones de red """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""" )B1 (1"C" Tareas de red """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""""""""" )B>
(1"," @l lugar de trabaMo de cone/in """""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""" (1"(+" onectar a '&< """"""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""""" (1"((" <o%bre de cone/in """""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""" (1"()" one/in de host """""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""" (1"(*" FinaliDar la cone/in """"""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""" (1"(1" onecte di2logo """""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""""
(1"(>" &ropiedades de la cone/in """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""" )BA
(1"(A" Ficha de seguridad """""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""""""""" (1"(B" .edes Tab """""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""""" (1"(C" !arco de puerta de enlace re%ota """"""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""
(1"(," 'ista one/iones de red """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""" )BB (1")+" onfiguracin de una cone/in """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""" )BB (1")(" onectar a un lugar de trabaMo """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""" )BB (1"))" onectarse a trav6s de '&< """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""" )BC (1")*" onfiguracin de la cone/in """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""" )BC (1")1" onfiguracin de autenticacin """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""" )B, (1")>" La cone/in est2 listo """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""" )B,
(1")A" :btener propiedades de cone/in """"""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""

(1")B" '&< onfiguracin de seguridad """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""" )C+ (1")C" '&< onfiguracin de .edes """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""" )C( (1")," '&< Gateway """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""""""""" )C) (1"*+" Agregar una cone/in de red """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""" )C*
//iv
(1"*(" A0adir &&T& '&< cone/in """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""" )C1

(1"*)" onfigurar la cone/in &&T& '&< """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""" )C1 (1"**" :pciones avanDadas """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""" )C> (1"*1" onectar con &&T& '&< """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""" )CA (1"*>" &&T& .egistros """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""""""""""""" )C, (>"(" easyIrsa de copia de seguridad """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""""""" ),A (>")" :pen'&< eMe%plo de red de acceso re%oto """""""""""""""""""""""""""""""""""""""""""""""""" """ *+A (>"*" servidor :pen'&< =A< regla """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""" *+B
(>"1" 'iscosidad &referencias """""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""" (>">" 'iscosidad Agregar cone/in """"""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""" (>"A" onfiguracin 'iscosidad: General """""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""" (>"B" onfiguracin 'iscosidad: ertificados """""""""""""""""""""""""""""""""""""""""""""" """""""""""" (>"C" onfiguracin 'iscosidad: :pciones """""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""
(>"," onfiguracin 'iscosidad: .edes """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""" *(( Las (>"(+ horas" 'iscosidad conectar """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""" *()
(>"((" 'iscosidad %en; """""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""""" (>"()" 'iscosidad detalles """""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""" (>"(*" 'iscosidad detalles: @stadsticas de tr2fico """"""""""""""""""""""""""""""""""""""""""""" """"""""""""""" (>"(1" 'iscosidad infor%acin: .egistra """""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""
(>"(>" :pen'&< sitio de eMe%plo a la red de sitio """""""""""""""""""""""""""""""""""""""""""""""""" """"""" *(* (>"(A" :pen'&< sitio de eMe%plo de regla de firewall sitio =A< """"""""""""""""""""""""""""""""""""""""""" *(1 (>"(B" Asignar tun+ interfaD """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""" *(A (>"(C" Hn sitio a otro con subredes en conflicto """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""" *(B (>"(," Hn sitio de configuracin de <AT +(:+( """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""" *(C (>")+" Sitio # +(:+( configuracin de <AT """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""" *(C (>")(" @Me%plo est2tica de las rutas de :pen'&< lient en :&T =A< """""""""""""""""""""""""""""""""" *)( (A"(" 3nicio del Asistente para Shaper """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""" *), (A")" !odelador de configuracin """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""" **+ (A"*" 'oD sobre 3& """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""""""""""" **( (A"1" &ena de aMa """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""""""""""""" **) (A">" .edes peerItoI&eer """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""" *** (A"A" .ed de $uegos """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""""""" **1 (A"B" Subir o baMar otras aplicaciones """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""" **> (A"C" Las colas de base =A< """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""" **A (A"," Traffic Shaper colas Lista """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""" **B (A"(+" .eglas Traffic Shaper Lista """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""" *1+ (B"(" Servidor de e9uilibrio de carga de red de eMe%plo """""""""""""""""""""""""""""""""""""""""""""""""" """""""" *1C
(B")" &ool de configuracin """""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""" (B"*" onfiguracin del servidor virtual """"""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""
(B"1" Alias de servidores web """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""" *>+ (B">" Agregar regla de firewall para servidores web? """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""" *>(
//v
(B"A" Servidor de seguridad de estado de los servidores =eb """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""" *>(
(B"B" 'irtual Server de estado """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""" *>) (C"(" asignacin de interfaD I =A< inal2%brica """""""""""""""""""""""""""""""""""""""""""""""""" """""""" *>B
(C")" =A< inal2%brica asociados """"""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""

(C"*" <inguna co%pa0a de =A< inal2%brica """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""" *>C (C"1" De estado inal2%brico """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""""""""" *>C (C">" <or%as para per%itir 9ue slo 3&sec desde inal2%brica """""""""""""""""""""""""""""""""""""""""""""""""" """"""" *AB (C"A" <or%as para per%itir 9ue slo :pen'&< desde inal2%brica """""""""""""""""""""""""""""""""""""""""""""""""" " *AC (C"B" <or%as para per%itir 9ue slo &&T& desde inal2%brica """""""""""""""""""""""""""""""""""""""""""""""""" """"""" *AC
(,"(" &ortal autivo en subredes %;ltiples """"""""""""""""""""""""""""""""""""""""""""" """""""""""""""" )+"(" @Me%plo de diagra%a de red A.& """""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""
)+")" =A< 3& A.& """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""""""" *C)
)+"*" 3& LA< A.& """"""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""""""" )+"1" 3& virtual lista """"""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""""""""""" )+">" @ntrada salida <AT """"""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""" )+"A" onfiguracin avanDada de <AT de salida """""""""""""""""""""""""""""""""""""""""""""" """"""
)+"B" pfsync interfaD de configuracin """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""" *C1 )+"C" Servidor de seguridad de @stado en la interfaD pfsync """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""" *C>
)+"," Diagra%a de !ultiI=A< A.& con D!E """""""""""""""""""""""""""""""""""""""""" """"""""

)+"(+" on%utacin por error de DF & &ool @stado """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""" *,+
)+"((" Diagra%a del A.& con 3& enrutados """""""""""""""""""""""""""""""""""""""""""" """""""""""""" )+"()" Diagra%a del A.& con con%utadores redundantes """""""""""""""""""""""""""""""""""""""""""" "
)("(" De%onio del servicio DF & @stado """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""" 1+) )(")" D<S @Me%plo .ee%plaDar """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""" 1+> )("*" H&n& pantalla de estado 9ue %uestra los e9uipos cliente con los puertos re%iti """""""""""""""""""""""""""""" 1(* )("1" siste%a de pfSense co%o se ve por =indows B en su navegacin por la .ed """"""""""""""""""""" 1(1 ))"(" @Me%plo de las entradas del registro del siste%a """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""" 1(, ))")" @stado del siste%a """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""""""""""" 1))
))"*" @stado de la interfaD """""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""""""

))"1" Servicios de estado """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""""""""" 1)* ))">" Gr2fico del tr2fico =A< """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""" 1)1 ))"A" @stados @Me%plo """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""""""""" 1)A
))"B" @Me%plo gr2fico =A< """"""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""

)*"(" &a9uete de recuperacin de infor%acin no """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""" 1), )*")" @l pa9uete de venta """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""""""" 1*+ )*"*" &osterior a la instalacin de la pantalla del pa9uete """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""" 1*+ )*"1" Lista de pa9uetes instalados """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""" 1*( )1"(" Agregar nuevo cliente .AD3HS """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""" 1**
)1")" Agregar nuevo cliente .AD3HS I no%bre y direccin del cliente """""""""""""""""""""""""""""""""""" )1"*" Agregar nuevo cliente .AD3HS I Secreto co%partido """"""""""""""""""""""""""""""""""""""""""" """""""
)1"1" Listado del cliente .AD3HS """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""" 1*1
//vi
)1">" <3 &uertos """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""""""""""""""" 1*>

)1"A" onfiguracin de :penD<S en pfSense """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""" 1*A )1"B" &ropiedades del servidor D<S de =indows """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""" 1*B )1"C" Servidor D<S de =indows Transitarios """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""" 1*C )1"," Adicin de una red """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""""""""" 1*,
)1"(+" Agregar una cone/in 3& din2%ica """"""""""""""""""""""""""""""""""""""""""""" """""""""""""""" )1"((" Agregar una cone/in 3& est2tica """"""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""" )1"()" .ed agregado con 6/ito """"""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""" )1"(*" Filtrado de contenidos a nivel """"""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""" )1"(1" Gestin de do%inios individuales """"""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""
)1"(>" servidores D<S de alias """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""" 11( )1"(A" nor%as de LA< para restringir D<S """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""" 11(
)>"(" aptura de referencia """""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""" )>")" 'er captura de =iresharL """"""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""
)>"*" =iresharL An2lisis de .T& """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""" 1>,
//vii
Lista de cuadros
("(" .F (,(C 3& privada del espacio de direcciones """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""" ,
(")" Tabla de subred 3D. """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""""" (( ("*" 3D. de resu%en de ruta """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""" () )"(" !2/i%o rendi%iento de la &H """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""" )( )")" >++"+++ pps rendi%iento de procesa%iento en el %arco de diversos ta%a0os """""""""""""""""""""""""""""""""""""""""""""""""" "" )* )"*" !esa grande del @stado de .A! onsu%o """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""" )1 )"1" 3&Sec por ipher I AL3G """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""" )1 )">" 3&Sec por &H """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""" )> *"(" Las opciones del Lernel """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""""""""""" *1 A"(" Salida de tr2fico necesarios """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""" (+1
B"(" 7 *+ 3D. %apeo I octeto final se pongan en venta """""""""""""""""""""""""""""""""""""""""""""""""" """"" (1*
B")" 7 *+ 3D. %apeo I octeto final no se pongan en venta """"""""""""""""""""""""""""""""""""""""""""""""" (1*
C"(" #lo9ue 3& =A< """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""""""""""""""""""""""" (A) C")" Dentro del blo9ue 3& """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""""""""""" (A) C"*" .uta de las banderas de %esa y de significados """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""" (AC (+"(" GS(+CT <etgear configuracin 'LA< """""""""""""""""""""""""""""""""""""""""""""""""" """""""" (,A (("(" Diseccin de la vigilancia de ping """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""" )+C ((")" Desigual carga de los costos de e9uilibrio """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""" ))( ()"(" aractersticas y propiedades por Tipo de '&< """""""""""""""""""""""""""""""""""""""""""""""""" """" )*+ (*"(" onfiguracin de 3&sec de punto final """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""" )*A )+"(" =A< asignaciones de direccin 3& """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""" *C+ )+")" LA< asignaciones de direccin 3& """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""" *C+ )+"*" pfsync direccin 3& de %isiones """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""" *C( )+"1" Direcciona%iento 3& =A< """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""""" *CB )+">" Direcciona%iento 3& =A<) """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""""""""""""""" *CB )+"A" LA< asignaciones de direccin 3& """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""" *CB )+"B" D!E asignaciones de direccin 3& """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""""""" *CC )+"C" pfsync direccin 3& de %isiones """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""" *CC )>"(" .eal 3nterfaD vs no%bres descriptivos """""""""""""""""""""""""""""""""""""""""""""""""" """"""""""""""" 11> )>")" De uso co%;n banderas tcpdu%p """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""" 11C )>"*" @Me%plos de uso de tcpdu%pIs """""""""""""""""""""""""""""""""""""""""""""""""" """""""""""""""""""""" 11,
//viii
&refacio
!is a%igos y co%pa0eros de trabaMo saben 9ue voy a construir cortafuegos" &or lo %enos una veD al %es
alguien dice N!i e%presa necesita un servidor de seguridad con G e S? y el precio
citas 9ue he recibido decenas de %iles de dlares" 4<os puede ayudar a cabo8 N
ual9uier persona 9ue construye cortafuegos sabe esta pregunta podra ser %2s realista enunciado co%o N4&odra usted por favor? venir una noche y bofetada a unos e9uipo para %? entonces %e deM al aDar se interru%pe durante los pr/i%os tres a cinco a0os para tener 9ue instalar nuevas caractersticas? los proble%as de depuracin? configurar las funciones
So no saba lo suficiente para solicitar? asistir a las reuniones para resolver los proble%as 9ue
no puede posible%ente ser proble%as de firewall? pero alguien piensa 9ue puede ser el servidor de seguridad? y identificar soluciones para %is necesidades innu%erables desconocidos8 Ah? y aseg;rese
para probar cada caso de uso posible antes de i%ple%entar cual9uier cosa" N
.echaDar estas peticiones %e hace parecer grosero" La aceptacin de estas solicitudes ruinas de %i co%porta%iento alegre" Durante %ucho tie%po? yo no construir cortafuegos? e/cepto
para %i e%pleador" pfSense %e per%ite ser una persona %2s agradable sin tener 9ue trabaMar real%ente en ello"
on pfSense puedo i%ple%entar un servidor de seguridad en tan slo unas horas I y la %ayora de
9ue es la instalacin de cables y e/plicar la diferencia entre NdentroN y
//i/
&refacio
NAfueraN" e/tensa docu%entacin pfSense y co%unidad de usuarios %e ofrece

una respuesta f2cil a las preguntas I N4Fas %irado eso8N Si pfSense no ad%ite una caracterstica? lo %2s probable es 9ue no poda apoyar bien" &ero pfSense apoya todo lo 9ue poda pedir? y con una interfaD a%igable para arrancar" La ga%a base de usuarios significa 9ue las caractersticas son probados en diferentes a%bientes y en general? Nslo trabaMoN? aun cuando interact;an con =indows hiMos del @: !@ & conectado a 3nternet por @thernet sobre AT! a trav6s de palo%as %ensaMeras"
Lo %eMor de todo? pfSense se basa en gran parte del software %is%o %e haba uso" onfo
el siste%a operativo Free#SD subyacentes para ser seguro? estable y eficiente" ActualiDaciones de seguridad8 #asta con hacer clic en un botn y reiniciar el siste%a"
Su necesidad de nuevas caractersticas8 Slo tienes 9ue activar" pfSense %aneMa la agrupacin? el tr2fico la for%acin? el e9uilibrio de carga? la integracin con su e9uipo e/istente a trav6s de
.AD3HS? 3&Sec? &&T&? el segui%iento? D<S din2%ico? y %2s"

proveedores de reno%bre de la industria de carga honorarios indignantes para apoyar lo 9ue pfSense proporciona libre%ente" Si su e%pleador insiste en pagar por contratos de apoyo? o si si%ple%ente te sientes %2s seguro sabiendo 9ue puede levantar el tel6fono y el grito de ayuda? usted puede conseguir acuerdos pfSense apoyo %uy raDonable" Si usted no necesidad de un contrato de soporte? %e he enterado de 9ue hris? $i%? o cual9uier otra persona con
pfSense co%eter un poco deMar2 agradecido pfSense usuarios a co%prar una cerveDa o seis"
&ersonal%ente? no construyen cortafuegos de la nada %2s" uando necesito un
firewall? yo uso pfSense"

I!ichael Lucas ="
///
&rlogo
#ienvenido a la gua definitiva de pfSense" @scrito por pfSense #uechler cofundador hris
pfSense y consultor $i% &ingle? este libro cubre la instalacin y configuracin b2sica a trav6s de redes avanDadas y cortafuegos con el firewall de fuente abierta popular y el router
de distribucin"
@ste libro est2 dise0ado para ser un a%istoso gua pasoIaIpaso para la creacin de redes y de seguridad co%;n tareas? ade%2s de una referencia co%pleta de las capacidades de pfSense" La gua definitiva para pfSense cubre
los siguientes te%as: U Hna introduccin a pfSense y sus caractersticas" U Fardware y planificacin del siste%a" U 3nstalacin y actualiDacin pfSense" U HtiliDar la interfaD de configuracin basada en web" U opia de seguridad y restauracin" U ortafuegos funda%entos y las nor%as de la definicin y solucin de proble%as" U @l reenvo de puertos y traduccin de direcciones de red" U General de redes y configuracin de enruta%iento" U .educir? LA< virtuales J'LA<K? y !ultiI=A<" U .edes privadas virtuales con 3&Sec? &&T&? y :pen'&<" U ontrol del tr2fico y balanceo de carga" U .edes inal2%bricas y cautivos configuraciones del portal" U servidores de seguridad redundantes y de alta disponibilidad" U Servicios relacionados con la red de 'arios"
U Siste%a de %onitoreo? registro? an2lisis de tr2fico? aspirados? captura de pa9uetes? y solucin de proble%as"
U &a9uetes de software y las instalaciones de software de terceros y actualiDaciones"
///i
&rlogo
Al final de este libro? usted encontrar2 una gua de %en; con las opciones del %en; est2ndar disponibles en pfSense y un ndice detallado"
(" Autores
("(" hris #uechler
hris es uno de los fundadores del proyecto pfSense? y uno de sus pro%otores %2s activos"
Vl ha estado trabaMando en la industria de T3 durante %2s de una d6cada? trabaMando e/tensa%ente con los cortafuegos y Free#SD para la %ayora de ese tie%po" Vl ha proporcionado seguridad? red y servicios relacionados para las organiDaciones en el sector p;blico y privado? 9ue van desde pe9ue0as organiDaciones de Fortune >++ e%presas y grandes organiDaciones del sector p;blico" Actual%ente se gana la vida ayudando a organiDaciones con necesidades relacionadas con pfSense incluyendo el dise0o de redes? la planificacin de i%ple%entacin? asistencia para la configuracin? la conversin de los cortafuegos e/istentes? el desarrollo y %ucho %2s" Vl se basa en Louisville? QentucLy? @@"HH" y proporciona servicios a clientes de todo el %undo" Tiene nu%erosas certificaciones de la industria incluyendo el 3SS&? SS &? ! S@? <A y entre otros"
Su p2gina web personal se puede encontrar en http:77chrisbuechler"co%"
(")" $i% &ingle

$i% ha estado trabaMando con Free#SD desde hace %2s de dieD a0os? profesional durante los ;lti%os seis a0os" @n la actualidad co%o un ad%inistrador de siste%as de F& Servicios de 3nternet? un 3S& local en #edford? <ew SorL? @@"HH" trabaMa con los servidores de Free#SD? diversos e9uipos de enruta%iento y circuitos? y por supuesto cortafuegos pfSense basado tanto a nivel interno y para %uchos clientes" $i% tiene un ttulo de licenciatura en Siste%as de 3nfor%acin de 3ndianaI&urdue Fort =ayne? y se gradu en )++)" Ta%bi6n contribuye a varios proyectos de cdigo abierto? ade%2s de pfSense? sobre todo .ound ube =eb%ail
y glTail"
uando leMos de la co%putadora? $i% ta%bi6n le gusta pasar tie%po con su fa%ilia? leer? to%ar i%2genes? y ser un adicto a la televisin" Su p2gina web personal se puede encontrar en http:77pingle"org"
)" Agradeci%ientos
@ste libro? y pfSense en s %is%a no sera posible sin un gran e9uipo de desarrolladores? colaboradores? patrocinadores corporativos? y una co%unidad %aravillosa" @l proyecto ha recibido el cdigo contribuciones de %2s de (++ personas? con ), personas 9ue han contribuido considerable%ente suficiente para obtener acceso de confir%acin" ientos de personas han contribuido financiera%ente? con el hardware? y otros recursos necesarios" !iles %2s han hecho su parte para apoyar el proyecto? ayudando a
///ii
&rlogo
otros en la lista de correo? foro? y el 3. " <uestro agradeci%iento a todos los 9ue han hecho su parte para 9ue el proyecto del gran 6/ito se ha convertido"
)"(" Libro de Dise0o de &ortada

Gracias a Folger #auer para el dise0o de la cubierta" Folger fue uno de los colaboradores pri%era al proyecto? despu6s de haber hecho gran parte del trabaMo de te%atiDacin? gr2ficos? y es el creador de la antecedentes 9ue he%os utiliDado en nuestras presentaciones a las seis conferencias #SD en los ;lti%os cinco a0os"
)")" Los desarrolladores pfSense

@l actual e9uipo activo de desarrollo pfSense? enu%erados por orden de antigWedad" U oIfundador Scott Hllrich U oIfundador hris #uechler U &royecto de Ley de !ar9uette U #auer Folger U @riL Qristensen U !os Seth U Dale Scott U !artin Fuchs U Luci @r%al U Los novios !ateo U Gr;a !arcos U Eelaya .ob U .enato #otelho
Ta%bi6n nos gustara dar las gracias a todos los desarrolladores de Free#SD? y especfica%ente? los desarrolladores 9ue
han ayudado considerable%ente con pfSense" U Laier !a/
///iii
&rlogo U hristian S"$" &ern U Andrew Tho%pson #Moern U A" Eeeb
)"*" Agradeci%ientos personales

)"*"(" De hris
Debo dar %i agradeci%iento esposa y de cr6dito i%portantes para la realiDacin de este libro? y el
6/ito del proyecto en general" @ste libro y el proyecto han llevado a un sinn;%ero de das largos y
noches y %eses sin descanso de un da? y su apoyo ha sido crucial"

Ta%bi6n %e gustara dar las gracias a las %uchas e%presas 9ue han co%prado nuestro apoyo y distribuidor
suscripciones? lo 9ue %e per%ite dar el salto a trabaMar a tie%po co%pleto en el proyecto a principios de )++,"
Ta%bi6n debo agradecer a $i% para saltar en este libro y ofrecer una ayuda considerable en la realiDacin de 9ue" Sa han pasado dos a0os en la fabricacin? y trabaMar %ucho %2s de lo 9ue haba i%aginado" &uede 9ue haya sido obsoletos antes de 9ue se ter%ine? si no fuera por su ayuda durante los ;lti%os %eses" Ta%bi6n
gracias a $ere%y .eed? nuestro editor y el editor? por su ayuda con el libro"
&or ;lti%o? %i agradeci%iento a todos los 9ue han contribuido al proyecto pfSense en cual9uier for%a? especial%ente a los desarrolladores 9ue han dado enor%es cantidades de tie%po al proyecto durante los ;lti%os cinco
a0os"
)"*")" De $i%
!e gustara dar las gracias a %i esposa e hiMo? 9ue aguantar%e a trav6s de %i participacin en el
proceso de escritura" Sin ellos? habra vuelto loco hace %ucho tie%po"
Ta%bi6n %e gustara dar las gracias a %i Mefe? .icL SaneD de F& Servicios de internet? por ser de apoyo
de pfSense? Free#SD? y el software de cdigo abierto en general"

La co%unidad pfSense todo es digno de agradeci%iento a;n %2s as? es el %eMor y %2s
grupo de apoyo de los usuarios de software de cdigo abierto y colaboradores 9ue he encontrado"
)"1" Los revisores

Las siguientes personas proporcionaron infor%acin %uy necesaria y los conoci%ientos para ayudar a %eMorar el libro
y su e/actitud" @nu%erados en orden alfab6tico por el apellido"
///iv
&rlogo U #ruce $on U !arL Foster U 3rvine #ryan U !idgley =arren U @iriL :verby
*" o%entarios
@l editor y autores ani%ar a su opinin sobre este libro y la distribucin de pfSense"
&or favor? enve sus sugerencias? crticas y 7 o elogios por La gua definitiva para pfSense
libro <info@reedmedia.net>" p2gina web de la editorial para el libro est2 en http:77 www"reed%edia"net7booLs7pfsense7"
&ara consultas generales relacionadas con el proyecto pfSense? por favor? escribir en el foro o lista de correo"
@nlaces con estos recursos se pueden encontrar en http:77pfsense"org7support"
1" onvenciones tipogr2ficas

A lo largo del libro una serie de convenciones se utiliDan para designar ciertos conceptos? infor%acin o
acciones" La siguiente lista nos da eMe%plos de c%o estos se for%atean en el libro" Selecciones de %en; 3nterfaD gr2fica de las eti9uetas de artculos 7 <o%bres #otones &reguntar por la entrada @ntrada del usuario <o%bres de archivos Los no%bres de los co%andos o progra%as gDip Servidor de seguridad .eglas Destino Aplicar ca%bios Desea continuar? Regla Descripcin / Boot / loader.conf
o%andos escritos en el int6rprete de co%andos #ls-l Los ele%entos 9ue debe ser ree%plaDado por valores especficos a su configuracin ///v 192.168.1.1
&rlogo <otas especiales
<ota
uidado con estoX JFooLleftarrowK" Largo de shell
Largas colas literal en eMe%plos de salida puede ser dividida con el
eMe%plos de lnea de co%andos se puede dividir utiliDando la barra invertida JYK para la continuacin de lnea shell"
///vi
aptulo (" 3ntroduccin

pfSense es un gratuito? de cdigo abierto de distribucin personaliDada de Free#SD adaptado para su uso co%o un servidor de seguridad
y el router? todo a un %aneMo f2cil de usar interfaD web" @sta interfaD web? 9ue se conoce co%o la GH3 basado en web configurador? o =ebGH3 para abreviar" <o se re9uieren conoci%ientos de Free#SD se re9uiere de i%ple%entar y utiliDar pfSense? y de hecho la %ayora de la base de usuarios nunca ha usado Free#SD fuera de pfSense" Ade%2s de ser un siste%a fle/ible de gran alcance? cortafuegos y platafor%a de enruta%iento? 9ue incluye una larga lista de caractersticas relacionadas y un siste%a de pa9uetes 9ue per%ite la capacidad de e/pansin %2s sin a0adir hinchaDn y las vulnerabilidades de seguridad potenciales para la distribucin base" pfSense es un proyecto popular con %2s de ( %illn de descargas desde su creacin? y probado en un sinn;%ero de instalaciones 9ue van desde pe9ue0as redes do%6sticas proteger un solo e9uipo a los grandes
e%presas? universidades y otras organiDaciones de proteccin de %iles de dispositivos de red"
("(" 3niciacin del &royecto

@ste proyecto fue fundado en )++1 por hris #uechler y Hllrich Scott" hris haba sido contribuir a %+n+wall desde hace alg;n tie%po antes de eso? y encontr 9ue es una gran solucin"
Sin e%bargo? al %is%o tie%po e%ocionados con el proyecto? %uchos usuarios anhelaba %2s capacidades 9ue pueden tener cabida en un proyecto estricta%ente enfocado hacia dispositivos integrados y su li%itada los recursos de hardware" 3ntroduDca pfSense" hardware %oderno integrado ta%bi6n est2 bien apoyado y
popular hoy pfSense" @n )++1? hubo nu%erosas soluciones integradas con A1 !#
.A! 9ue no poda ponerse en pr2ctica con la funcin deseada conMunto de pfSense"
(")" 45u6 significa para pfSense 7 %edia8

@l proyecto dur un par de %eses sin no%bre" De hecho? la c2rcel de Free#SD 9ue se eMecuta nuestro 'S
servidor se sigue lla%ando ProjectX"

Scott y hris eran los dos ;nicos %ie%bros del proyecto en el tie%po? co%o sus fundadores" orri%os a trav6s de nu%erosas posibilidades? con la dificultad principal 9ue encontrar algo con el do%inio no%bres disponibles" Scott lleg con pfSense? pf es el software de filtrado de pa9uetes utiliDados? co%o en dar sentido a la &F" la respuesta de hris fue %enos 9ue entusiasta" &ero despu6s de un par de se%anas con
ninguna opcin %eMor? nos fui%os con 6l" Se lleg a decir: N#ueno? sie%pre pode%os ca%biarlo"N
Desde entonces? un ca%bio de no%bre fue considerado entre los desarrolladores? sin ganar ninguna de traccin co%o la %ayora de la gente era indiferente? y nadie sinti una necesidad i%periosa para el ca%bio" A %ediados de )++B? un debate de no%bres fue iniciado por una entrada de blog? y la abru%adora respuesta de la
co%unidad a trav6s de co%entarios eI%ail y el blog fue N%antener el no%breXN
3ntroduccin
("*" 4&or 9u6 Free#SD8

Dado 9ue %uchos de los co%ponentes principales en pfSense proceden de :pen#SD? usted puede preguntarse por 9u6
eligi Free#SD en lugar de :pen#SD" Fubo %uchos factores en cuenta a la hora elegir un siste%a operativo para este proyecto" @sta seccin describe las principales raDones para la eleccin de Free#SD"
("*"(" Soporte inal2%brico

Saba%os soporte inal2%brico sera un ele%ento clave para %uchos usuarios" @n el %o%ento este proyecto fue
fundada en )++1? soporte inal2%brico de :pen#SD fue %uy li%itada" Su co%patibilidad con el controlador era %ucho %2s li%itado 9ue el de Free#SD? y no tena soporte para cosas i%portantes? tales co%o =&A J=iIFi &rotected AccessK y =&A) con ning;n plan de alguna aplicacin de dicho apoyo en el %o%ento" Algunos
esto ha ca%biado desde )++1? pero sigue adelante en Free#SD capacidades inal2%bricas"
("*")" .endi%iento de la red

el rendi%iento de la red de Free#SD es significativa%ente %eMor 9ue la de :pen#SD" &ara pe9ue0as y %edianas i%ple%entaciones de e%presas? por regla general? no es de ninguna preocupacin? co%o la escalabilidad superior es el principal proble%a en :pen#SD" Hno de los desarrolladores de pfSense gestiona varios cientos de servidores de seguridad de :pen#SD &F? y ha tenido 9ue ca%biar sus siste%as de alta carga %2s para los siste%as Free#SD &F para %aneMar la alta pa9uetes por segundo necesarios en porciones de su red" @sto se ha convertido en un proble%a %enor en
:pen#SD desde )++1? pero sigue siendo v2lida"
("*"*" La fa%iliaridad y la facilidad de tenedor

Desde la base de cdigo pfSense parti de %+n+wall? 9ue se basa en Free#SD? 9ue era %2s f2cil 9uedarse con Free#SD" a%biar el siste%a operativo sera necesario %odificar casi cada parte del siste%a" Scott y hris? los fundadores? ta%bi6n est2n %2s fa%iliariDados con Free#SD y haba trabaMado anterior%ente Muntos en un ahoraIdifunto solucin co%ercial de firewall basado en Free#SD" @sto en s %is%o no era una raDn de peso? pero co%binado con los ;lti%os dos factores 9ue era slo otra cosa
nos apuntan en esta direccin"
("*"1" Alternativas de Apoyo al Siste%a :perativo

@n este %o%ento? no hay planes para apoyar a cual9uier otro siste%a operativo? si%ple%ente por raDones de li%itaciones de recursos" Sera un esfuerDo considerable al puerto a cual9uiera de los otros #SD ya 9ue se basan en algunas funciones 9ue slo est2n disponibles en Free#SD? 9ue tendra 9ue ser
co%pleta%ente redise0ado"
3ntroduccin
("1" o%;n de i%ple%entaciones

pfSense se utiliDa en casi todos los tipos y ta%a0os de entorno de red i%aginables? y es casi
cierta%ente adecuado para su red si contiene un ordenador? o %iles" @n esta seccin
se esboDar2n las i%ple%entaciones %2s co%unes"
("1"(" Servidor de seguridad de per%etro

La i%ple%entacin %2s co%;n de pfSense es co%o un servidor de seguridad peri%etral? con una cone/in a 3nternet
conectado a la =A< y la red interna de la LA<"

pfSense tiene capacidad para redes con necesidades %2s co%pleMas? tales co%o 3nternet de %;ltiples
cone/iones %;ltiples redes LA<? D!E %;ltiples redes? etc

Algunos usuarios ta%bi6n se su%an #G& J#order Gateway &rotocolK para proporcionar capacidades de cone/in
redundancia y balanceo de carga" @sto se describe %2s en aptulo C? @nruta%iento"
("1")" LA< o =A< del router

@l segundo despliegue %2s co%;n de pfSense es co%o una LA< o =A< del router" Se trata de un independiente papel del servidor de seguridad peri%etral en las %edianas a grandes redes? y se puede integrar en el
per%etro de servidor de seguridad en entornos %2s pe9ue0os"
("1")"(" LA< del router

@n redes %2s grandes 9ue utiliDan varios seg%entos de red interna? pfSense es una solucin probada para conectar estos seg%entos internos" @sto es %2s co%;n%ente i%ple%entados a trav6s del uso de las 'LA< C+)"(5 con concentracin de enlaces? 9ue ser2n descritos en aptulo (+? LA< virtuales J'LA<K" !;ltiples
interfaces @thernet se utiliDa ta%bi6n en algunos entornos"
<ota
@n entornos 9ue re9uieren %2s de * Gbps de rendi%iento sostenido? o %2s de >++"+++ pa9uetes por segundo? sin router basado en hardware ofrece un rendi%iento adecuado" Tales a%bientes necesidad de desplegar con%utadores de nivel * Jrouting hecho en el hardware por el interruptorK o routers de ga%a alta basados en AS3 " o%o los productos b2sicos au%entos en el rendi%iento de hardware y siste%as operativos de propsito general co%o Free#SD %eMorar las capacidades de procesa%iento de pa9uetes en lnea con lo 9ue el nuevo hardware
capacidades pueden apoyar? escalabilidad seguir2 %eMorando con el tie%po"
3ntroduccin
("1")")" =A< del router

&ara la prestacin de servicios =A< de un puerto @thernet para el cliente? pfSense es una gran solucin para
privado routers =A<" :frece todas las funcionalidades %ayora de las redes re9uieren y en un %ucho %enor
precio punto de 9ue las ofertas de no%bre co%ercial grande"
("1"*" &unto de acceso inal2%brico

pfSense i%ple%entar !uchos estricta%ente co%o un punto de acceso inal2%brico" capacidades inal2%bricas ta%bi6n se pueden a0adir
a cual9uiera de los otros tipos de despliegues"
("1"1" Aparatos de uso especial

pfSense i%ple%entar %uchos co%o un aparato de efectos especiales" Los siguientes son cuatro los escenarios 9ue conoce%os de? y no est2 seguro de 9ue %uchos casos si%ilares 9ue no son conscientes" La %ayora de cual9uiera de las funciones de pfSense se puede utiliDar en una i%ple%entacin en dispositivos tipo" Hsted puede encontrar algo ;nico a el entorno donde este tipo de despliegue es un gran aMuste" o%o el proyecto ha %adurado? no Se ha prestado considerable atencin en el uso co%o un %arco de creacin de e9uipo? especial%ente en el
La versin )"+" Algunos aparatos especiales estar2n disponibles en el futuro"
("1"1"(" '&<
Algunos usuarios de la cada de pfSense co%o '&< detr2s de un cortafuegos e/istente? para agregar '&<
capacidades? sin crear ninguna interrupcin en la infraestructura de servidor de seguridad e/istentes" La %ayora de pfSense i%ple%entaciones '&< ta%bi6n actuar co%o un servidor de seguridad peri%etral? pero este es un %eMor aMuste en algunas circunstancias"
("1"1")" D<S Server Appliance

pfSense ofrece un D<S JDo%ain <a%e Syste%K? pa9uete de servidor basado en tinydns? un pe9ue0o? r2pido? D<S servidor seguro" <o est2 cargado de funciones? por lo 9ue no es capaD de ser utiliDado para ciertos fines? tales co%o !icrosoft Active Directory? pero es un gran aMuste para aloMa%iento D<S p;blicos de 3nternet" .ecuerde 9ue la D<S charla vulnerabilidad en Mulio de )++C8 Daniel $" #ernstein? autor de tinydns? se le atribuye con la idea original y la aplicacin de los puertos de origen al aDar en la resolucin de D<S? el .esolucin a 9ue la vulnerabilidad" De hecho? tinydns fue el ;nico servidor D<S principal 9ue no necesitan ser parcheados en Mulio de )++C" Fa utiliDado los puertos aleatorios de origen desde su creacin" 'arios Face a0os? #ernstein incluso poner HSD Z (+++ de su propio dinero en la lnea para la pri%era persona para encontrar una escalada de privilegios aguMero de seguridad" 5ue no ha sido recla%ada" Si usted est2 recibiendo slo p;blica D<S de 3nternet? tinydns debe considerarse seria%ente" @l pa9uete de pfSense ta%bi6n a0ade con%utacin por error
capacidades"
3ntroduccin
("1"1"*" Sniffer electrodo%6sticos

Hn usuario estaba buscando un aparato rastreador de desplegar a un n;%ero de sucursales"
aparatos co%erciales sniffer est2n disponibles con nu%erosas ca%panas y silbidos? pero a un %uy coste significativo? especial%ente cuando se %ultiplica por un n;%ero de sucursales" pfSense ofrece una web
interfaD para tcpdu%p 9ue per%ite la descarga del archivo pcap 9ue resulta cuando la captura
ha ter%inado" @sto per%ite a esta e%presa para capturar pa9uetes sobre una red de sucursales? descargue el
resultante archivo de captura? y abrirlo en =iresharL [http:77www"wiresharL"org\ &ara el an2lisis"

pfSense no es tan elegante co%o aparatos rastreadores co%ercial? pero ofrece una funcionalidad adecuada
para %uchos fines? a un costo %ucho %2s baMo"

&ara obtener %2s infor%acin sobre c%o utiliDar las caractersticas de la captura de pa9uetes de pfSense? consulte aptulo )>? &a9uete
aptura"
("1"1"1" DF & Server Appliance

Hna despliega usuario instala pfSense estricta%ente co%o DF & JDyna%ic Fost onfiguration &rotocolK servidores para distribuir las direcciones 3& para su red" @n la %ayora de entornos de esto probable%ente no tiene %ucho sentido" &ero en este caso? el personal de los usuarios ya est2n fa%iliariDados y c%odos con pfSense y este despliegue per%iti seguir sin una for%acin adicional para los ad%inistradores?
9ue fue una consideracin i%portante en este despliegue"
(">" 'ersiones
@sta seccin describe los pfSense diferentes versiones disponibles actual%ente y en el pasado"
(">"(" (")"* &ublicacin

@sta es la versin reco%endada para todas las instalaciones en el %o%ento de escribir este artculo" @s un hecho a%plia%ente probado y desplegado? y por9ue es la ;lti%a versin (")"/ es la ;nica publicacin 9ue recibir co%unicados de correccin de errores y cual9uier versin de seguridad necesario fiMar en (")"/ en el futuro" @l (")"*
liberacin prevista una serie de correcciones de errores y %eMoras de la (")")? y actualiD la base de siste%a operativo
Free#SD B")" Hsted puede encontrar la versin actual reco%endado por la navegacin a www"pfsense"org7 versiones [http:77www"pfsense"org7versions\" Las referencias en este libro a (") en su %ayora incluyen todos los
versin (")"/? aun9ue algunas cosas 9ue se %encionan en este libro slo e/isten en (")"* y versiones posteriores"
>
3ntroduccin
(">")" (")? (")"(? (")") @%isiones

(") fue la pri%era versin estable en la lnea (") de nuevos productos? y se puso a disposicin de febrero
)>? )++C" La actualiDacin (")"( proporciona una serie de correcciones de errores y algunos parches de seguridad de %enor i%portancia? y
actualiD la base de siste%a operativo Free#SD B"+" La versin (")") a0ade algunas correcciones de errores"
(">"*" ("+ .elease

@sta fue la pri%era versin de pfSense clasificada co%o estable" Fue lanDado el 1 de octubre de )++A? con un segui%iento ("+"( versin de revisin de errores el )+ de octubre de )++A" Aun9ue sabe%os a;n de instalaciones la eMecucin de algunas versiones alpha te%prana y un sinn;%ero de sitios a;n en %archa ("+? ya no se ad%ite y reco%enda%os encarecida%ente a todos los usuarios actualiDar a (")"*" ("+"( contiene la seguridad de varios %enores
vulnerabilidades fiMas? ya sea en (") o (")"("
(">"1" 3nstant2nea de prensa

@l servidor de instant2neas pfSense construye una nueva i%agen a partir del cdigo actual%ente en nuestro cdigo fuente repositorio cada dos horas" @stos son principal%ente para los desarrolladores y usuarios 9ue prueben las correcciones de errores en la solicitud de un desarrollador" Las instant2neas no sie%pre pueden estar disponibles? dependiendo del punto en el ciclo de liberacin" &oco despu6s de la versin (")? las instant2neas fueron to%adas en lnea co%o la construccin de
la infraestructura se ha actualiDado para Free#SD B"+ y fue el ("* Jen el %o%ento? ahora )"+K de liberacin
preparado para los pri%eros lanDa%ientos a disposicin del p;blico" Situaciones si%ilares pueden e/istir en el futuro" Hsted puede ver lo 9ue las instant2neas? en su caso? est2n disponibles visitando la instant2nea del servidor [http:77
snapshots"pfsense"org\"
(">">" )"+ &ublicacin

La versin )"+ de pfSense Jantes conocido co%o ("*K est2 disponible para las pruebas? y es el alfa calidad en el %o%ento de escribir este artculo" ontiene nu%erosas %eMoras significativas? %uchas de las cuales todava un trabaMo en progreso" Hna versin estable? o al %enos la calidad de candidato de la versin de produccin situacin se espera a finales de )++, o principios de )+(+" @star2 basado en Free#SD C"+? por lo 9ue este progra%a
depende un poco de calendario de lanDa%iento de Free#SD"
("A" &latafor%as
pfSense ofrece tres platafor%as adecuadas para tres diferentes tipos de despliegues" @n esta seccin
cubre cada uno? y los 9ue debe elegir"
3ntroduccin
("A"(" Live D
La platafor%a Live D 9ue per%ite eMecutar directa%ente desde el D sin necesidad de instalar un disco duro
o tarMeta o%pact Flash" La configuracin se puede guardar en un dis9uete o una unidad flash HS#" La D no es de acceso frecuente despu6s del arran9ue ya 9ue el siste%a se eMecuta principal%ente desde la .A! en ese %o%ento? pero no debe ser eli%inado de un siste%a en funciona%iento" @n la %ayora de los casos? esto slo debera ser utiliDa co%o una evaluacin del software con el hardware en particular" !ucha gente lo utiliDa %ucho plaDo? pero reco%enda%os el uso de instalaciones nuevas en su lugar" Los usuarios de Live D no puede utiliDar los pa9uetes? y la
gr2ficos histricos de rendi%iento se pierde al reiniciar"
("A")" 3nstalacin co%pleta

@l D en vivo incluye una opcin de instalacin para instalar pfSense en el disco duro en su siste%a" @ste es el %6todo preferido de eMecucin pfSense" Todo el disco duro debe ser sobreescritoT doble arrancando con otro siste%a operativo no es co%patible" instalaciones co%pletas se reco%ienda para la %ayora de las i%ple%entaciones" De las estadsticas de descarga 9ue puede suponer al %enos el C+] de todos los despliegues de pfSense se instala por co%pleto" La %ayora de los desarrolladores utiliDan las instalaciones nuevas sobre todo si no del todo" &or lo tanto? es el %2s a%plia%ente probado
%eMor y con el apoyo de versin" <o tiene por 9u6 algunas de las li%itaciones de las otras platafor%as"
("A"*" @%bebido
La versin incorporada est2 dise0ado especfica%ente para usarse con cual9uier hardware usando o%pact Flash J FK en lugar de un disco duro" Las tarMetas F pueden %aneMar sola%ente un n;%ero li%itado de escrituras? por lo 9ue el versin incorporada se eMecuta slo lectura de F? con lectura 7 escritura de siste%as de archivos co%o discos .A!" 3ncluso con esa li%itacin? son a%plia%ente co%patibles con el hardware integrado y por %edio de 3D@ a los convertidoresI F" Aun9ue las tarMetas F son %2s pe9ue0os 9ue un conector de la unidad tradicional de disco duro ATA? el n;%ero de pines es los %is%os y 9ue sean co%patibles" @sto hace 9ue sea %2s f2cil de i%ple%entar para los dispositivos 9ue ya soporte 3D@" F siendo los %edios de estado slido? ta%bi6n no tienen la posible 9uiebra de un giro
disco de 9u6 preocuparse"

Los siste%as e%potrados son %uy populares por %uchas raDones? pero son los %2s convincentes 9ue suelen tener pocas o ninguna las partes %viles? y consu%en %ucho %enos energa y producen %enos calor 9ue los grandes siste%as al %is%o tie%po un buen rendi%iento suficiente para las necesidades de la %ayora de las redes" @n este caso? %enos partes %viles significa %enos puntos de falla? %enos calor? y se puede eMecutar en co%pleto silencio" Fistrica%ente? se ha incorporado un ciudadano de segunda clase con pfSense? ya 9ue las instalaciones nuevas se han el obMetivo principal del proyecto" @sto ha ca%biado con la nueva generacin de integrados? basados en
en <ano#SD"
3ntroduccin
Hna desventaMa de los siste%as integrados es 9ue algunos de los datos de gr2ficos histricos en ..Dtool es
perdido si el siste%a no se cierra sin proble%as" &or eMe%plo? un corte de energa har2 9ue algunos gr2fico la p6rdida de datos" @sto no afecta a la funcionalidad? sino 9ue deMa espacios en blanco en los gr2ficos histricos"
("A"*"(" Antiguo incorporado Jantes de la liberacin (")"*K

Los pa9uetes no se ad%ite en las versiones anteriores incrustado (")") y anteriores" !ayores incorporados actualiDaciones ta%bi6n no sie%pre funcionan de for%a fiable" @l ;nico (++] garantiDado %edio fiable de actualiDacin se instala incorporado a la configuracin de copia de seguridad? de reIflash de la F5? y restaurar el
de configuracin" @stas li%itaciones han sido eli%inadas en la nueva configuracin integrado"
("A"*")" <ano#SD incorporado

<ano#SD es una for%a est2ndar de la construccin de Free#SD en una %anera a%istosa incrustado" @s co%patible con fir%ware dual? es fiable y a%pliable" @n el %o%ento de escribir estas lneas? <ano#SD incrustado se co%pleta%ente funcional y 9ue se utiliDan en la produccin de algunos de nuestros desarrolladores" Fabr2 un (")"/ liberacin utiliDando esta %etodologa integrado? %o%ento en el 9ue el antiguo incrustado ser2 descontinuado"
)"+ slo se utiliDa la nueva %etodologa incrustado"

Ade%2s del apoyo de fir%ware %;ltiples 9ue per%ite la con%utacin entre dos instalaciones diferentes? esto aporta dos i%portantes beneficios adicionales" Los pa9uetes ta%bi6n contar2 con el apoyo? por las adecuadas para la un entorno integrado" Ta%bi6n per%ite cruDar la creacin de ar9uitecturas de hardware 9ue no sea
/ CA? !3&S y con platafor%as A.! potencial%ente con el apoyo en el futuro"
("B" onceptos de .edes

Si bien esto no es un libro de introduccin a la creacin de redes? hay ciertos conceptos de red 9ue son i%portantes para entender" @sta parte del libro no va a proporcionar una cobertura adecuada para los 9ue carecen de conoci%ientos b2sicos de redes funda%entales" Si usted no posee este conoci%iento?
es probable 9ue la necesidad de buscar %aterial adicional de redes de introduccin"

Los lectores con un conoci%iento significativo de la propiedad intelectual p;blico y privado 9ue? subredes 3&? 3D.
notacin 3D. y resu%en puede saltar al siguiente captulo"
("B"(" @ntender 3& p;blica y privada Direcciones

Fay dos tipos de direcciones 3& 9ue se encuentran en la %ayora de redes I p;blicos y privados"
3ntroduccin
("B"("(" Direcciones 3& privadas

Las direcciones 3& privadas son las 9ue dentro de una subred reservados? slo para uso interno" La red est2ndar .F (,(C [http:77www"fa9s"org7rfcs7rfc(,(C"ht%l\ Define subredes 3& reservados para uso en redes privadas J uadro ("( N? .F (,(C @spacio privado direccin 3&NK" @n la %ayora de entornos? una subred 3& privada de .F (,(C es elegido y utiliDado en todos los dispositivos de la red interna? 9ue se conectan a 3nternet a trav6s de un firewall o un router de aplicacin de direcciones de red Traduccin J<ATK? co%o pfSense" <AT se e/plica %2s adelante en aptulo B? .ed
Traduccin de direcciones" 3D. .ange (+"+"+"+ 7 C (B)"(A"+"+7() (,)"(AC"+"+7(A 3ntervalo de direcciones 3& (+"+"+"+ I (+")>>")>>")>> (B)"(A"+"+ I (B)"*(")>>")>> (,)"(AC"+"+ I (,)"(AC")>>")>>
Tabla ("(" .F (,(C 3& privada del espacio de direcciones

Fay otros rangos definidos co%o ("+"+"+ 7 C y )"+"+"+ 7 C? pero 6stos no est2n per%anente%ente
reservados? co%o las direcciones .F (,(C" Aun9ue puede ser tentador utiliDar estas? la probabilidad de 9ue sean asignados a los au%entos reales? lugares enrutable co%o espacio 3&v1 se hace %2s escasa" Ta%bi6n debe evitar el uso de (A,")>1"+"+7(A? 9ue de acuerdo con .F *,)B se reserva para NLinLI
Locales Nconfiguracin auto%2tica I? pero no debe ser asignada por DF & o %anual%ente Fay %2s"
de suficiente espacio de direcciones reservado por el .F (,(C? co%o se %uestra en Tabla ("( N? .F (,(C privadas @spacio de direcciones 3& N? por lo 9ue hay pocos incentivos para desviarse de esa lista" <os he%os encontrado con redes con todo tipo de inadecuado direcciona%iento? y conducir2 a los proble%as I no es un cuestin de NsiN? sino NcuandoN los proble%as se produDcan" Si usted se encuentra trabaMando en una ya e/istente red %ediante un espacio de direccin incorrecta? lo %eMor es corregir el direcciona%iento tan pronto co%o sea posible"
Hna lista co%pleta de las redes 3&v1 de uso especial se pueden encontrar en el .F ***+"
("B"(")" Las direcciones 3& p;blicas

Direcciones 3& p;blicas son las asignadas por el 3S& para todos? pero las redes %2s grandes" .edes 9ue re9uieren cientos o %iles de direcciones 3& p;blicas suelen tener espacio de direcciones asignado directa%ente en el .egistro .egional de 3nternet con su regin del %undo" .egionales de 3nternet Los registros son las organiDaciones 9ue supervisan la asignacin y registro de la direccin 3& p;blica en
su regin designada por el %undo"

La %ayora de las cone/iones a 3nternet residenciales cuentan con una ;nica direccin 3& p;blica? %ientras 9ue la %ayora de negocios cone/iones de clase vienen con una opcin de usar %;ltiples 3&s p;blicas si es necesario" Hn p;blico ;nico 3& es adecuada en %uchas circunstancias? y se puede utiliDar en conMunto con <AT para conectar
3ntroduccin
cientos de direcciones privadas de siste%as a 3nternet" ontenido en este libro le ayudar2 a a deter%inar el n;%ero de 3& p;blica de tu red re9uiere"
("B")" Subredes 3& onceptos

Al configurar el protocolo T & 7 3& en un dispositivo? una %2scara de subred debe ser especificado" @sta %2scara per%ite al siste%a deter%inar 9u6 direcciones 3& est2n en la red local? y 9ue debe se llega por una pasarela en la tabla de enruta%iento del siste%a" @l valor por defecto de LA< 3& (,)"(AC"("( con una %2scara de )>>")>>")>>"+ o 7 )1 en notacin 3D.? tiene una direccin de red (,)"(AC"("+7)1"
3D. se e/plica en Seccin ("B"1? NDescripcin de la notacin 3D. !2scara de subredN"
("B"*" Direccin 3&? subred y configuracin de puerta de enlace

La configuracin de T & 7 3& de un host se co%pone de tres cosas principales I la direccin? %2scara de subred y puerta de enlace" La direccin 3& y la %2scara de subred co%binado es co%o el anfitrin sabe 9ue las direcciones 3& est2n en su red local" &ara cual9uier direccin fuera de la red local? el tr2fico se enva JenviadosK a la configurar puerta de enlace predeter%inada 9ue se debe saber c%o llegar al destino deseado" Hna e/cepcin a esta regla es una ruta est2tica? lo 9ue indica a un router o del siste%a en la for%a de contacto especfico no subredes locales accesibles a trav6s de los routers conectados local%ente" @sta lista de las pasarelas y rutas est2ticas es %antiene en cada host en su tabla de enruta%iento" &ara ver la tabla de enruta%iento utiliDada por pfSense? consulte Seccin C"1"(?
N.utas de visinN" !2s infor%acin acerca del enruta%iento se pueden encontrar en aptulo C? @nruta%iento"
@n una i%ple%entacin tpica de pfSense? los anfitriones se le asignar2 una direccin 3& dentro del rango de la LA< pfSense? la %is%a %2scara de subred 9ue la interfaD LA< de pfSense y pfSense uso de 3& de la LA< co%o su puerta de enlace predeter%inada" Lo %is%o se aplica a los hosts conectados a una interfaD 9ue no sea inal2%brica? utiliDando
la configuracin adecuada para la interfaD a la 9ue el dispositivo est2 conectado"

Fosts dentro de una ;nica red co%unicarse directa%ente entre s sin la participacin de la puerta de enlace predeter%inada" @sto significa 9ue no hay cortafuegos? incluyendo pfSense? puede controlar un hu6sped a otro co%unicacin dentro de un seg%ento de red" Si esta funcin se re9uiere? los eM6rcitos o necesidad de ser seg%entada a trav6s de la utiliDacin de %;ltiples switches o 'LA<? o ca%biar la funcionalidad e9uivalente? co%o
&'LA< debe ser e%pleado" Las 'LA< son cubiertos en aptulo (+? LA< virtuales J'LA<K"
("B"1" @ntender la notacin de %2scara de subred 3D.

pfSense utiliDa un for%ato de %2scara de subred es posible 9ue no se conoce" @n lugar de la co%;n
)>>"///? usa 3D. J lassless 3nterDo%ain enruta%ientoK notacin"

&uede hacer referencia a Tabla (")? N uadro de subred 3D.N &ara encontrar el e9uivalente de la subred 3D.
%2scara"
(+
3ntroduccin
!2scara de subred Total )>>")>>")>>")>> 7 *)

)>>")>>")>>")>1 7 *( )>>")>>")>>")>) 7 *+ )>>")>>")>>")1C 7 ), )>>")>>")>>")1+ 7 )C )>>")>>")>>"))1 7 )B )>>")>>")>>"(,) 7 )A )>>")>>")>>"()C 7 )>
&refiMo 3D. 3& HtiliDables 3& <;%ero de 7 )1 Direcciones redes Direcciones ( ) 1 C (A *) A1 ()C )>A >() (+)1 )+1C 1+,A C(,) (A?*C1 *)?BAC A>?>*A (*(?+B) )A)?(11 >)1?)CC (?+1C?>BA )?+,B?(>) 1?(,1?*+1 C?*CC?A+C (A?BBB?)(A **?>>1?1*) AB?(+C?CA1 (*1?)(B?B)C ( + ) A (1 *+ A) ()A )>1 >(+ (+)) )+1A 1+,1 C(,+ (A?*C) *)?BAA A>?>*1 (*(?+B+ )A)?(1) >)1?)CA (?+1C?>B1 )?+,B?(>+ 1?(,1?*+) C?*CC?A+A (A?BBB?)(1 **?>>1?1*+ AB?(+C?CA) (*1?)(B?B)A (7)>Ath (7()Cth (7A1th (7*)nd (7(Ao (7Co (71o Hn %edio ( ) 1 C (A *) A1 ()C )>A >() (+)1 )+1C 1+,A C(,) (A?*C1 *)?BAC A>?>*A (*(?+B) )A)?(11 (?+1C?>BA
)>>")>>")>>"+
)>>")>>")>1"+ )>>")>>")>)"+ )>>")>>")1C"+ )>>")>>")1+"+ )>>")>>"))1"+ )>>")>>"(,)"+ )>>")>>"()C"+
7 )1
7 )* 7 )) 7 )( 7 )+ 7 (, 7 (C 7 (B
)>>")>>"+"+
)>>")>1"+"+ )>>")>)"+"+ )>>")1C"+"+ )>>")1+"+"+ )>>"))1"+"+ )>>"(,)"+"+ )>>"()C"+"+
7 (A 7 (> 7 (1 7 (* 7 () 7 (( 7 (+ 7, 7C 7B 7A 7>
)>>"+"+"+ )>1"+"+"+ )>)"+"+"+ )1C"+"+"+
((
3ntroduccin
!2scara de subred Total )1+"+"+"+

))1"+"+"+ (,)"+"+"+ ()C"+"+"+
&refiMo 3D. 3& HtiliDables 3& <;%ero de 7 )1 Direcciones redes Direcciones )AC?1*>?1>A >*A?CB+?,() (?+B*?B1(?C)1 )?(1B?1C*?A1C 1?),1?,AB?),A )AC?1*>?1>1 >*A?CB+?,(+ (?+B*?B1(?C)) )?(1B?1C*?A1A 1?),1?,AB?),1 )?+,B?(>) 1?(,1?*+1 C?*CC?A+C (A?BBB?)(A **?>>1?1*)
71 7* 7) 7( 7+
+"+"+"+
Tabla (")" Tabla de subred 3D.
("B"1"(" @ntonces? 4dnde estas cifras 3D. proceden de todos %odos8

@l n;%ero 3D. proviene del n;%ero de unos en la %2scara de subred cuando se convierte a binario"
La %2scara de subred )>>")>>")>>"+ co%;n es (((((((("(((((((("(((((((("++++++++ en binario"
@sto se su%a a los )1 o )1 horas Jse pronuncia ^tala veinticuatroK"

Hna %2scara de subred de )>>")>>")>>"(,) es (((((((("(((((((("(((((((("((++++++ en binario? o )A
otros? por lo tanto un 7 )A"
("B">" 3D. de resu%en

Ade%2s de especificar las %2scaras de subred? 3D. ta%bi6n se puede e%plear para la propiedad intelectual o de la red efectos de co%presin" @l Ntotal de direcciones 3&N colu%na de la tabla de subred 3D. indica 4 u2ntas direcciones de una %2scara 3D. dado a resu%ir" A los efectos de co%presin de la red? el N<;%ero de redes 7 )1N de colu%na es ;til" resu%en 3D. se puede utiliDar en varios partes de la interfaD web de pfSense? incluyendo las reglas del cortafuegos? <AT? 3&s virtuales? 3&sec? rutas est2ticas?
y %ucho %2s"
Direcciones 3& o redes 9ue pueden estar contenidos dentro de una %2scara 3D. ;nico 9ue se conoce co%o 3D.
resu%ibles"
Al dise0ar una red a la 9ue debe asegurar 9ue todas las subredes 3& privada en uso en un lugar deter%inado 3D. son resu%ibles" &or eMe%plo? si se necesitan tres 7 )1 subredes en un solo lugar? utiliDar un )) 7 de la red en cuatro subredes 7 )1 redes" La siguiente tabla %uestra los cuatro 7 )1 9ue subredes
puede utiliDar con el (+"B+"A1"+7)) subred" (+"B+"A1"+7)) dividido en 7 )1 redes (+"B+"A1"+7)1
()
3ntroduccin
(+"B+"A1"+7)) dividido en 7 )1 redes (+"B+"A>"+7)1 (+"B+"AA"+7)1 (+"B+"AB"+7)1
Tabla ("*" 3D. de resu%en de ruta

@sto ayuda a %antener %2s %aneMable de enruta%iento para redes %ultiIsitio Jlas vinculadas a otro
ubicacin fsica a trav6s de la utiliDacin de un circuito privado =A< o '&<K" on 3D. resu%ibles
subredes? tiene un destino de la ruta 9ue cubre todas las redes en cada lugar" Sin ella?
tiene varias redes destino diferente por ubicacin"

Ahora? si usted no es un gur; de subredes? te est2s preguntando c%o diablos se %e ocurri la tabla anterior" @%piece por elegir un prefiMo 3D. de la red? de acuerdo con el n;%ero de las redes 9ue se re9uieren" A continuacin? eliMa un 7 )1 de red 9ue desea utiliDar" &ara ese eMe%plo? yo eligi (+"B+"A1"+7)1" S6 de %e%oria 9ue //A1"+7)1 ser2 la pri%era 7 )1 de red en un )) 7? pero usted no tiene 9ue escoger la pri%era red" Hsted puede calcular esto utiliDando las herra%ientas disponibles
en el subnet%asL"info [Fttp:77www"subnet%asL"info\ p2gina web"

Hna de las herra%ientas se convierten en deci%ales con puntos de la %2scara 3D.? y viceversa? esta funcin se %uestra en la Figura ("(? Nconvertidor de la %2scara de subredN" Si usted no tiene Tabla (")? Nsubred 3D. Tabla N desde principio de este captulo en frente de usted? usted puede convertir su prefiMo elegido 3D. a la notacin deci%al con puntos utiliDando esta herra%ienta" 3ntroducir un prefiMo de 3D. y haga clic en el botn alcular para
su derecho? o entrar en una %2scara deci%al y haga clic en el botn alcular a su derecha"
Figura ("(" !2scara de subred convertidor

Ar%ado con la %2scara deci%al con puntos? ahora ir a la seccin de .ed 7 <odo alculadora" &oner en la %2scara de subred y una de las 7 )1 redes 9ue desea utiliDar" A continuacin? haga clic en alcular" La parte inferior caMas rellenar? y le %ostrar2 la ga%a considerada en particular? 9ue 7 )1? 9ue se puede ver en Figura (")? N.ed 7 alculadora <odoN" @n este caso? la direccin de red se (+"B+"A1"+7))? y se puede ver 9ue el utiliDables 7 )1 redes de A1 a AB" NDireccin de difusinN no es ter%inologa pertinente cuando se utiliDa esta herra%ienta para deter%inar un rango 3D.? 9ue es si%ple%ente la
direccin %2s alta dentro de la ga%a"
(*
3ntroduccin
Figura (")" .ed 7 alculadora <odo
("B">"(" @ncontrar un Muego de red 3D.

Si usted tiene un rango de direcciones 3& 9ue desea resu%ir? el pfSense @lectrodo%6sticos Ferra%ientas [\ Fttp:77www"pfsense"org7toolsv% incluye cidr_range"pl? un script en &erl 9ue calcula el 3D. redes necesarias para resu%ir una serie de direcciones 3&" Si se eMecuta sin ning;n argu%ento?
podr2s ver las instrucciones de uso" #cidr_range.pl Uso: cidr_range.pl <primer <IP <IP <Apellido> Si desea resu%ir (,)"(AC"("(* (,)"(AC"(")+ a trav6s? eMecute cidr_range"pl de la siguiente %anera" #cidr_range.pl 192.168.1.13 192.168.1.20 192.168.1.13/32 192.168.1.14/31 192.168.1.16/30 192.168.1.20/32
@sto de%uestra 9ue to%ar2 cuatro rangos 3D. para incluir slo a trav6s de (,)"(AC"("(* (,)"(AC"(")+" Si uno %ira hacia atr2s en la %esa de 3D.? un 7 ), %2scara cubre C direcciones 3&? y esto es de C direcciones 3&? por lo 9ue 4por 9u6 no un 7 ), es suficiente8 La respuesta es por9ue no se puede elegir una direccin arbitraria de partida para una a%plia 3D." Si usted va enchufe (,)"(AC"("(* )>>")>>")>>")1C y en la .ed 7 <odo alculadora subnet%asL"info [http:77www"subnet%asL"info7\? &odr2s ver las 7 ), de red 9ue contiene (,)"(AC"("(* es (,)"(AC"("C7), con un rango de +"C a +"(> JFigura ("*? N.ed 7
<odo @Me%plo de la calculadora NK"
(1
3ntroduccin
Figura ("*" .ed 7 @Me%plo calculadora <odo

Si no necesaria%ente una coincidencia e/acta? se puede conectar un n;%ero a la .ed 7 <odo alculadora para acercarse a su resu%en 9ue desee"
("B"A" Difusin de do%inio

Hn do%inio de difusin es la parte de una red de interca%bio de la %is%a capa dos seg%ento de red" @n una red con un solo interruptor? el do%inio de difusin es 9ue el interruptor entero" @n una red con %;ltiples switches interconectados sin el uso de 'LA<s? el do%inio de broadcast incluye todos los
de los interruptores"
Hn do%inio de difusin solo puede contener %2s de una subred 3&? sin e%bargo? 9ue es general%ente no se considera buen dise0o de red" subredes 3& deben ser segregados en e%isin separada
do%inios a trav6s de la utiliDacin de interruptores separados? o 'LA<s"

do%inios de difusin pueden ser co%binados? cerrando dos interfaces de red Muntos? pero debe cuidar deben adoptarse para evitar bucles de ca%biar en este escenario" Ta%bi6n hay algunos servidores pro/y para protocolos deter%inados 9ue no se co%binan do%inios de difusin? sino 9ue el %is%o efecto? co%o un rel6 DF & 9ue trans%ite las peticiones DF & en el do%inio de la difusin de otra interfaD" !2s infor%acin sobre
do%inios de difusin y la for%a de co%binarlos se pueden encontrar en aptulo ,? &uente"
("C" 3nterfaD de no%bres de Ter%inologa

@n esta seccin se describe la interfaD de no%bres ter%inologa utiliDada en pfSense y Free#SD" La %ayora de la gente est2 fa%iliariDada con las dos divisiones de la red b2sica: N=A<N y N one/inN? pero no se puede tantos seg%entos co%o se puede i%aginar" Hsted est2 li%itado ;nica%ente por el n;%ero de interfaces Jo
'LA<K 9ue tiene a su disposicin"

Al e/a%inar los no%bres de interfaD? el te%a de la seg%entacin de la red ta%bi6n viene a la %ente" @s @s una buena pr2ctica para %antener diferentes conMuntos de los siste%as aleMados unos de otros" &or eMe%plo? no
(>
3ntroduccin
9uieres 9ue tu servidor web de acceso p;blico? en la %is%a red 9ue la LA<" Si el servidor se
co%pro%etido? el atacante podra f2cil%ente llegar a cual9uier e9uipo de su LA<" Si han dedicado servidores de bases de datos? estos pueden ser aislados de todo lo de%2s y seguro de todo? %enos los servidores 9ue necesitan acceder a bases de datos" Al igual 9ue con el eMe%plo anterior? un co%pro%etido web servidor no podra poner en peligro los servidores de bases de datos tanto co%o si estuvieran en la %is%a
seg%ento sin un firewall en el %edio"
("C"(" LA<
La interfaD LA< es la pri%era interfaD interna del servidor de seguridad" Abreviatura de .ed de 2rea local? es %2s co%;n el lado privado de un router 9ue a %enudo se utiliDa un es9ue%a de direcciones 3& privadas"
@n i%ple%entaciones pe9ue0as? suele ser la ;nica interfaD interna"
("C")" =A<
La interfaD =A< se utiliDa para la cone/in a 3nternet o cone/in a 3nternet pri%aria en una despliegue %ultiI=A<" Abreviatura de red de 2rea e/tensa? es la red social no son de confianDa p;blica fuera
de su router" one/iones de 3nternet llegar2 a trav6s de la interfaD =A<"
("C"*" :&T
interfaces :&T u opcional se refieren a las interfaces conectadas a las redes locales 9ue no sean
LA<" interfaces :&T se utiliDan co%;n%ente para los seg%entos de LA< en segundo lugar? los seg%entos D!E? inal2%brica
redes y %ucho %2s"
("C"1" :&T =A<

:&T =A< se refiere a las cone/iones de 3nternet a trav6s de una interfaD territorio palestino ocupado? ya sea los configurados para DF & o especificando una direccin de puerta de enlace 3&" @sto se discute en detalle en aptulo ((? !;ltiples
one/iones =A<"
("C">" D!E
orto para la Dona des%ilitariDada" @l t6r%ino fue to%ado de su sentido %ilitar? 9ue se refiere a una especie de a%ortiguador entre un 2rea protegida y una Dona de guerra" @n la creacin de redes? es un 2rea donde su servidores p;blicos 9ue residen es accesible desde 3nternet a trav6s de la =A<? pero ta%bi6n aislado de
la LA< para 9ue un co%pro%iso en la Dona de despeMe no ponga en peligro los siste%as en otros seg%entos"
Algunas co%pa0as de %al uso del t6r%ino NDona de distensinN en sus productos de servidor de seguridad en referencia a (:( <AT en la 3& =A< 9ue e/pone una serie en la LA<" Fay %2s infor%acin sobre este te%a en
Seccin B"*"*? N(:( <AT en la =A< 3&? ta%bi6n conocido co%oN Dona de distensin Nen LinLsysN"
(A
3ntroduccin
("C"A" Free#SD interfaD de no%enclatura

Free#SD no%bres de sus interfaces con el controlador de red utiliDados? seguido de un n;%ero a partir de las +
e incre%entar en uno por cada interfaD adicional usando ese controlador" &or eMe%plo? un co%;n conductor fxp? HtiliDado por las tarMetas de 3ntel &ro7(++" La tarMeta &ro7(++ por pri%era veD en un siste%a se fxp0? el segundo es fxp1? S as sucesiva%ente" :tras de las %2s co%unes son em J3ntel &.:7(+++K? bge J'arios
#roadco% chipsetsK? rl J.ealteL C(),7C(*,K? entre %uchos otros" Si su siste%a de %eDcla una tarMeta de &ro7(++ y una .ealteL C(*,? las interfaces se fxp0 y rl0 ? respectiva%ente" 3nterfaD asignaciones de no%bres y est2n %2s cubiertos en aptulo *? 3nstalacin y actualiDacin"
("," #;s9ueda de infor%acin y obtencin de ayuda

@n esta seccin se ofrece orientacin en la b;s9ueda de infor%acin en este libro? y en pfSense en general?
as co%o el su%inistro de recursos sobre dnde obtener ayuda adicional si es necesario"
(","(" #;s9ueda de infor%acin

La for%a %2s sencilla de encontrar infor%acin sobre un te%a especfico en este libro es revisar el ndice" Todos los caractersticas %2s co%unes y las i%ple%entaciones de pfSense se tratan en este libro? y el ndice de la voluntad
ayudarle a encontrar la seccin o secciones donde se cubre un te%a especfico"

Si usted no puede encontrar la infor%acin 9ue busca en este libro? hay una gran cantidad de nuevos infor%acin y e/periencias de usuario disponibles en los sitios pfsense"org diferentes" La %eMor %anera de #uscar en todos estos sitios es ir a Google? escriba en los t6r%inos 9ue est2 buscando? y ane/ar sitio: pfsense.org a su consulta" @sto buscar2 en la p2gina web? foros? wiLis cvstrac? etc I Todas las fuentes oficiales de infor%acin" Fay una gran cantidad de infor%acin disponible en el foro? y esta es la %eMor %anera de buscar en ella" @sto ta%bi6n localiDar infor%acin en la libre disposicin
partes de este libro"
(",")" :btencin de ayuda

@l proyecto pfSense ofrece varias %aneras de obtener ayuda? incluida una en el foro [http:77foru%"pfsense"org\? wiLi de docu%entacin [Fttp:77doc"pfsense"org\? Listas de correo e 3. J3nternet .elay hat? ` ` &fSense en irc"freenode"netK" Soporte co%ercial ta%bi6n est2 disponible a trav6s de la suscripcin de los fundadores del proyecto pfSense en el pfSense &ortal [https: 7 7 portal"pfsense"org\" Hsted &uede encontrar %2s infor%acin sobre todas estas vas de apoyo en la La obtencin de apoyo [http:77
www"pfsense"org 7\ apoyo p2gina en el sitio pfSense"
(B
aptulo )" Fardware

pfSense es co%patible con cual9uier hardware 9ue sea co%patible con la versin de Free#SD en uso? en i*CA platafor%as de hardware" Suplente ar9uitecturas de hardware? tales co%o &ower& ? !3&S? A.!? S&A. ? etc no son co%patibles en este %o%ento" @l nuevo incrustado puede traer !3&S y A.! apoyo en alg;n %o%ento en )++,? aun9ue no est2 disponible en el %o%ento de escribir este artculo" Ta%bi6n hay a;n no se haya co%unicado de A1 bits? aun9ue la liberacin de *) bits funciona bien en el hardware de A1 bits" A de A1 bits entregar no entrar2 en el futuro para )"+? y actual%ente est2 en fase de pruebas por los desarrolladores" &ara la fecha no ha sido una prioridad? por9ue el ;nico beneficio 9ue ofrece en relacin con los cortafuegos es la capacidad para hacer frente a %2s %e%oria? e incluso la %ayor pfSense instala la proteccin de %iles de
%29uinas no utiliDar 1 G# de .A!"
)"(" De co%patibilidad de hardware

@l %eMor recurso para deter%inar la co%patibilidad del hardware es la nota Free#SD de hardware para el
co%unicado de la versin utiliDada por la liberacin pfSense va a instalar" pfSense (")"* se basa en Free#SD B")? por lo tanto una referencia definitiva sobre el hardware co%patible se las notas de hardware
en http:77www"freebsd"org7releases7B").7hardware"ht%l" La %2s general de hardware de Free#SD &reguntas %2s frecuentes es otro buen recurso a utiliDar para ayudar a la seleccin de hardware" Se puede encontrar en http:77 www"freebsd"org7doc7en_HS"3S:CC>,I(7booLs7fa97hardware"ht%l" @n esta seccin se ofrecen orientacin sobre el %eMor hardware soportado disponibles para fines de cortafuegos y enruta%iento" La consideracin pri%ordial y ;nica reco%endacin fuera de las notas de hardware para la red
adaptadores"
)"("(" Adaptadores de red

&r2ctica%ente todas las tarMetas de cable @thernet J<3 K con el apoyo de pfSense" Sin e%bargo? no toda la red adaptadores son creados iguales" @l hardware utiliDado puede variar %ucho en la calidad de un fabricante a otro? y en algunos casos? %ientras 9ue Free#SD puede apoyar una deter%inada tarMeta de red? el soporte del controlador
puede ser pobre con una i%ple%entacin especfica del chipset"

TarMetas de red 3ntel &ro7(++ y &.:7(+++ son los %2s reco%endables por9ue tienen slidos ayuda al conductor en Free#SD escrito por los e%pleados de 3ntel? y un buen dese%pe0o" @n el otro e/tre%o del del espectro? .ealteL C(*, rl tarMetas de hardware de calidad son %uy co%unes pero %uy pobre" Hn frag%ento de un co%entario en el cdigo fuente para este controlador cuenta la historia I N@l .ealTeL C(*, & 3 <3 redefine el significado de ^ga%a baMa^" @ste es probable%ente el peor controlador @thernet & 3 Ma%2s se ha hecho? con la posible e/cepcin del chip F3@STA realiDado por S! " Nagrava la cuestin es el hecho de 9ue nu%erosos fabricantes incorporar este chip en sus tarMetas de red? con una a%plia diversos grados de calidad" Hsted encontrar2 C"(*, tarMetas integrado en algunos de hardware integrado? y
(C
Fardware
los 9ue en general son confiables y funcionan correcta%ente" De las diversas tarMetas & 3 9ue e/isten algunos trabaMos
bien? y algunos tienen varias cosas 9ue se ro%pen" Las 'LA< pueden no funcionar correcta%ente o en absoluto? y
%odo pro%iscuo necesarios para salvar no pueden trabaMar? entre %uchas otras posibilidades"
Si usted tiene tarMetas de red disponibles y est2n construyendo un siste%a de pieDas de repuesto? vale la pena intentar lo 9ue tiene a %ano" !uchas veces ellos no tendr2n ning;n proble%a" Si usted est2 buscando para co%prar hardware para la i%ple%entacin? van con las tarMetas de 3ntel" @n las redes donde la fiabilidad y el rendi%iento son de la %ayor preocupacin? no escati%an en gastos %ediante el uso de cual9uier <3 le sucede 9ue tiene por ah
JA %enos 9ue estos resultan ser 3ntelsK"

Si utiliDa 'LA<? aseg;rese de seleccionar los adaptadores 9ue soporte 'LA< de procesa%iento en el hardware" @sto es
discutido en aptulo (+? LA< virtuales J'LA<K"
)"("("(" HS# Adaptadores de red

!uchos adaptadores de red HS# son co%patibles? pero en general no se reco%ienda" .ealiDan
%al? especial%ente en siste%as 9ue no son co%patibles con HS# )"+? o con adaptadores 9ue son estricta%ente HS# ("(" <3 HS# son ideales en caso de apuro? o cuando se a0ade la conectividad de red a una & de escritorio? y est2n %uy bien para algunas i%ple%entaciones casa cortafuegos? pero para un rendi%iento fiable en el 9ue los centros de datos
no debe ser considerada"
)"("(")" Adaptadores inal2%bricos

Adaptadores inal2%bricos co%patibles con las reco%endaciones y est2n cubiertos en Seccin (C"(")? N=ireless
controladores incluidos en el apartado (")"* N"
)")" .e9uisitos %ni%os de hardware

A continuacin se describen los re9uisitos %ni%os de hardware para pfSense (")"*" Tenga en cuenta la re9uisitos %ni%os no son adecuados para todos los entornos? v6ase Seccin )"1? NFardware ta%a0o
:rientacin N para el hardware de ta%a0o de orientacin"
)")"(" #ase de .e9uisitos

Los siguientes re9uisitos son co%unes a todas las platafor%as de pfSense" U &H I (++ !FD o %2s r2pido U .A! I ()C !# o %2s
)")")" .e9uisitos @specficos de la &latafor%a

.e9uisitos especficos para platafor%as segui%iento individual"
(,
Fardware
)")")"(" Live D
U Hnidad de DI.:! U unidad flash HS# o unidad de disco para al%acenar archivos de configuracin
)")")")" 3nstalacin co%pleta

U DI.:! para la instalacin inicial U ( G# o disco duro %2s grande
)")")"*" <ano#SD incorporado

U >() !# o %2s TarMeta o%pact Flash U &uerto serie para la consola U @l cable de %de% nulo para conectar con el puerto de consola
)"*" Seleccin de hardware

Abrir los siste%as operativos de fuente puede provocar %uchos dolores de cabeDa con la co%patibilidad de hardware"
!ientras 9ue una deter%inada pieDa de hardware pueden ser co%patibles? una i%ple%entacin especfica de la %is%a puede no funciona correcta%ente? o ciertas co%binaciones de hardware no pueden trabaMar" @sto no se li%ita a Free#SD Jy por lo tanto pfSenseK I distribuciones de Linu/ ta%bi6n sufren la %is%a suerte" @n %2s de una d6cada de e/periencia en el uso #SD y varias distribuciones de Linu/ en una a%plia variedad de hardware? Lo he visto infinidad de veces" Algunos siste%as 9ue funcionan bien con =indows no funciona en absoluto con #SD o Linu/? algunos funcionan bien con #SD? pero no Linu/? algunos con Linu/ pero no #SD" Si le sucede a tener proble%as relacionados con el hardware? Seccin *">"1? NSolucin de proble%as de hardwareN
ofrece conseMos 9ue va a resolver estos proble%as? en algunos casos"
)"*"(" La prevencin de dolores de cabeDa de hardware

@sta seccin ofrece algunos conseMos para evitar proble%as de hardware"
)"*"("(" Htilice el hardware de los desarrolladores el uso

on los a0os? algunos fabricantes de hardware han donado e9uipo %uy necesario para nuestra prueba los desarrolladores" !ediante el uso de e9uipos de estos vendedores? se asegura 9ue el dispositivo 9ue usted est2 co%prando est2 bien probado? y si Free#SD regresiones 9ue afectan al hardware de ocurrir en el futuro? ser2n fiMa antes de 9ue si9uiera saba 9ue e/istan" Ani%a%os a nuestra base de usuarios para apoyar a las e%presas 9ue apoyan el proyecto" Ta%bi6n esta%os en la etapa de planificacin de la oferta de venta directa por hardware?
)+
Fardware
ofreciendo platafor%as de hardware en la preIinstalado 9ue usa%os? y sabe%os 9ue es roca slida y plena%ente co%patibles"
'isita http:77www"pfsense"org7vendors para la infor%acin %2s actualiDada sobre reco%ienda
proveedores de hardware"
)"*"(")" #;s9ueda de las e/periencias de otros

Si est2 utiliDando una pieDa de hardware de un fabricante i%portante? si escribe su %arca? %odelo? y sitio: pfsense.org en Google? hay una alta probabilidad de 9ue se encuentre a alguien 9ue ha intentado o est2 utiliDando el hardware" Ta%bi6n puede intentar la b;s9ueda de la %arca? %odelo? y pfSense para encontrar e/periencias personas han reportado en otros sitios web o los archivos de lista de correo" 3nfor%es de fracaso no necesaria%ente debe considerarse definitivo? ya 9ue los proble%as de un solo usuario en un siste%a en particular puede ser el resultado de hardware defectuoso u otra ano%ala en lugar de inco%patibilidad" .epetir estas b;s9uedas con la %is%a Free SD en lugar de pfSense ta%bi6n puede resultar
hasta e/periencias de usuario ;til"
)"1" Ta%a0o del hardware de :rientacin

Al di%ensionar el hardware para su uso con pfSense? dos factores principales 9ue deben tenerse en cuenta: el rendi%iento
re9uerido y caractersticas 9ue se utiliDar2n" @n las secciones pr/i%as cubrir estas consideraciones"
)"1"(" onsideraciones de rendi%iento

Si necesita %enos de (+ !bps de rendi%iento? puede llegar a funcionar con los re9uisitos %ni%os" &ara los re9uisitos de rendi%iento %2s alto se reco%ienda seguir estas directrices? basadas en nuestra ensayos y a%plias e/periencias de i%ple%entacin" @stas directrices ofrecen un poco de espacio para respirar
por9ue nunca se desea eMecutar el hardware para su plena capacidad durante perodos prolongados"
La eleccin de la tarMeta de red tiene un i%pacto significativo en el rendi%iento %2/i%o alcanDable? dependiendo de la velocidad de la &H" Tabla )"(? Nel rendi%iento %2/i%o por &HN %uestra la rendi%iento %2/i%o alcanDable utiliDando dos tarMetas de red .ealteL C(*, en co%paracin con dos 3ntel &.:7(+++
GT DesLtop tarMetas de red para platafor%as de hardware con las ranuras & 3" &H &entiu% !!G )++ !FD =.A& I )AA !FD Geode A bordo de !a/ .ealteL !a/ &.:7(+++ !a/ .endi%iento J!bpsK .endi%iento J!bpsK .endi%iento J!bpsK n7a )> !bps 1+ !bps )1 !bps n7a n7a
)(
Fardware
&H AL3G I >++ !FD Geode '3A de ( GFD
!a/ &.:7(+++ !a/ A bordo de !a/ .ealteL .endi%iento J!bpsK .endi%iento J!bpsK .endi%iento J!bpsK C> !bps n7a n7a ,* !bps J(++ !b velocidad de cableK )>+ !bps n7a n7a >( !bps C1 !bps ,* !bps J(++ !b velocidad de cableK n7a n7a A1 !bps )(B !bps *A> !bps
<etgate Fa%aLua J( GFD eleronK &entiu% 33 a *>+ !FD n 7 a n7a &entiu% 333 B++ !FD &entiu% 1 ("B GFD n 7 a
Tabla )"(" !2/i%o rendi%iento de la &H
)"1"("(" Diferencia de dese%pe0o por tipo de adaptador de red

La eleccin de <3 tendr2 un i%pacto significativo en el rendi%iento" #aratos tarMetas de ga%a baMa co%o
.ealteLs se consu%en &H significativa%ente %2s 9ue las tarMetas de buena calidad? tales co%o 3ntel" Su pri%era cuello de botella con un rendi%iento de firewall ser2 su &H" Hsted puede obtener el rendi%iento significativa%ente %2s de una &H dada usando una tarMeta de red de %eMor calidad? co%o se %uestra en Tabla )"(? N.endi%iento !2/i%o por &H N con la &H %2s lenta" Si usted tiene una &H capaD de rendi%iento significativa%ente %2s de lo 9ue re9uieren? la eleccin de las <3 tendr2 poco o ning;n i%pacto en el rendi%iento? aun9ue %enor
<3 calidad pueden no ser fiables en algunas circunstancias"
)"1"(")" De ta%a0o para el rendi%iento gigabit

uando el ta%a0o de las i%ple%entaciones de Gigabit? pri%ero tiene 9ue deter%inar la cantidad 9ue el rendi%iento real%ente necesita I ( Gbps de velocidad de cable o si%ple%ente !bps a %2s de (++" @n %uchas redes no hay siste%as capaces de llenar de ( Gbps con los datos del disco? co%o un disco de los siste%as de @ 7 S es incapaD de tal eMercicio" Si lo 9ue desea es ser capaD de golpear de )++ !bps? un siste%a de ( GFD? con buena
<3 calidad suficiente" &ara un %2/i%o de 1++ a >++ !b 7 s? un vieMo servidor de *") GFD es suficiente"
)"1"("*" De ta%a0o de varios gigabits por segundo despliegues

Los n;%eros en Tabla )"(? Nel rendi%iento %2/i%o por &HN parar en un nivel relativa%ente baMo debido a esa es la %edida de lo 9ue raDonable%ente puede probar en nuestro laboratorio" &ruebas %;ltiples servidores Gbps
))
Fardware
re9uiere 9ue los servidores y los siste%as de varias capaD de e%puMar una velocidad de cable Gbps" <o tene%os
e9uipa%iento adecuado para 9ue la escala de las pruebas" &ero eso no 9uiere decir 9ue pfSense no es adecuado en
ese entorno? de hecho se utiliDa en nu%erosos despliegues presionando en e/ceso de ( Gbps"

uando el ta%a0o de los despliegues %ultiIGbps? el factor principal es de pa9uetes por segundo? no Gbps"
Hsted llegar2 al l%ite de Free#SD y hoy el %2s r2pido de hardware de servidor de cuatro n;cleos en torno a >++"+++
pa9uetes por segundo JppsK" 4 u2nto rendi%iento 9ue esto e9uivale a depende de la red %edio a%biente? con algunas referencias proporcionadas en Tabla )")? N>++"+++ de pps en distintos
ta%a0os de %arco N" Ta%a0o del %arco A1 bytes >++ bytes

(+++ bytes (>++ bytes
.endi%iento de procesa%iento en >++Qpps )11 !bps ("CB Gbps *"B* Gbps >">, Gbps
Tabla )")" >++"+++ pps rendi%iento de procesa%iento en el %arco de diversos ta%a0os

&ara i%ple%entaciones 9ue buscan lograr una velocidad de cable entre dos interfaces Gbps? un &entiu% 1
* GFD o %2s r2pido con & 3IG o & 3 <3 Ie debe ser utiliDado" & 3 le per%itir2 alcanDar varios cientos de !bps? pero la velocidad del bus & 3 li%itaciones le i%piden alcanDar la velocidad del cable
rendi%iento con dos tarMetas de red una Gbps"

Si usted es el hardware utiliDado para algo capaD de un rendi%iento Gigabit velocidad de cable en varios interfaces? consiga un nuevo servidor con un procesador de cuatro n;cleos y tarMetas de red & 3Ie y usted estar2 en buenas for%a" Si usted necesita e%puMar %2s de >++"+++ pa9uetes por segundo? 9ue puede e/ceder la capacidad de hardware de & para i%pulsar pa9uetes" onsulte Seccin ("1")"(? N.outer LA<N para %2s
de la infor%acin"
)"1")" aracterstica onsideraciones

La %ayora de las caractersticas no tienen en cuenta en el hardware de ta%a0o? aun9ue algunos tienen un i%pacto significativo en
la utiliDacin de hardware"
)"1")"(" Tablas Grandes @stado

La tabla de estado de servidor de seguridad es donde las cone/iones activas de red a trav6s del servidor de seguridad se realiDa un segui%iento? con cada cone/in consu%e un estado" @stados est2n cubiertos en %2s aptulo A? Servidor de seguridad" @ntornos 9ue re9uieren un gran n;%ero de cone/iones si%ult2neas Jy por lo tanto? estadosK
)*
Fardware
re9uiere .A! adicional" ada estado tiene apro/i%ada%ente ( Q# de %e%oria .A!" Tabla )"*? N@stado Grande
Tabla de onsu%o de .A! N proporciona una gua para la cantidad de %e%oria re9uerida para un gran n;%ero de estados" Tenga presente 9ue esto es slo la %e%oria utiliDada para el segui%iento del estado y el otro co%ponentes de pfSense se re9uieren por lo %enos *) a 1C !# de %e%oria .A! adicional en la parte superior de este y posible%ente
%2s? dependiendo de las caractersticas de uso" @stados (++?+++

>++?+++
.A! necesaria a ,B !# a 1CC !# a ,BA !# a ),++ !#
(?+++?+++
*?+++?+++
Tabla )"*" !esa grande del @stado de .A! onsu%o
)"1")")" '&< Jtodo tipoK

La pregunta la gente suele preguntar acerca de '&< es Ncu2ntas cone/iones puede %i hardware
%aneMar8 N@se es un factor secundario en la %ayora de las i%ple%entaciones? de %enor consideracin" @l principal
consideracin en el hardware de ta%a0o de '&< es el rendi%iento re9uerido"

@l cifrado y descifrado de tr2fico de red con todo tipo de '&< es %uy intensivo de la &H" pfSense ofrece seis opciones de cifrado para su uso con 3&sec: D@S? *D@S? #lowfish? ast()C? A@S y A@S )>A" Los siste%as de cifrado diferentes act;an de for%a diferente? y el %2/i%o rendi%iento de su servidor de seguridad depende del siste%a de cifrado utiliDado" *D@S es a%plia%ente utiliDado por su interoperabilidad con casi
todos los dispositivos 3&Sec? sin e%bargo? es el %2s lento de todos los siste%as de cifrado con el apoyo de pfSense en ausencia de
un acelerador de hardware criptogr2fico" Aceleradores criptogr2ficos de hardware? tales co%o cartas de apoyo Fifn gran au%ento %2/i%o de la '&<? y eli%inar en gran %edida la diferencia de rendi%iento entre los siste%as de cifrado" Tabla )"1? N.endi%iento de 3&sec por ipher I AL3GN %uestra el %2/i%o rendi%iento al siste%a de cifrado de hardware para & !otores AL3G JGeode de >++ !FDK con y sin un
SoeLris vpn(1(( acelerador criptogr2fico Fifn" &rotocolo de cifrado D@S *D@S #lowfish AST()C !2/i%o rendi%iento (*"B !bps C"1 !bps (A"> !bps (A"* !bps !2/i%o rendi%iento Jcon FifnK )1
*1"A !bps *1"* !bps
no acelerada Jsin ca%biosK
no acelerada Jsin ca%biosK
Fardware
&rotocolo de cifrado A@S A@S de )>A
!2/i%o rendi%iento (,"1 !bps (*"> !bps
!2/i%o rendi%iento Jcon FifnK *1") !bps *1") !bps
Tabla )"1" 3&Sec por ipher I AL3G

Tabla )">? N.endi%iento de 3&sec por &HN %uestra el %2/i%o rendi%iento de 3&sec por la &H para la siste%a de cifrado #lowfish? para ilustrar la capacidad de rendi%iento %2/i%o de &H diferentes" &H &entiu% 33 a *>+ AL3G J>++ !FDK &entiu% 333 B++ &entiu% 1 ("B GFD .endi%iento #lowfish J!bpsK ()"1 !bps (A"> !bps *)", !bps >*", !bps
Tabla )">" 3&Sec por &H

aceleradores de hardware criptogr2fico deben ser utiliDados en gran ancho de banda a trav6s de 3&sec es necesario?
e/cepto con &Hs dual o 9uad core? co%o las &Hs realiDar cifrado %2s r2pido 9ue un acelerador
evitando la co%unicacin en el bus & 3"
)"1")"*" &a9uetes
Algunos pa9uetes tienen un i%pacto significativo en los re9uisitos de hardware en su entorno"
)"1")"*"(" #ufido
Snort? el siste%a de deteccin de intrusiones en la red disponibles en el siste%a de pa9uetes pfSense? puede
re9uieren una cantidad significativa de %e%oria .A!? dependiendo de su configuracin" )>A !# debera
considerarse co%o un %ni%o? y algunas configuraciones pueden necesitar de ( G# o %2s"
)"1")"*")" ala%ar
S9uid es un pro/yIcach6 FTT& disponible co%o un pa9uete de pfSense servidor? y el disco @ 7 S es una consideracin i%portante para los usuarios de S9uid? ya 9ue deter%ina el rendi%iento de la cach6" &or el contrario? para la %ayora de los usuarios de pfSense es en gran %edida irrelevante? ya 9ue el ;nico i%pacto significativo 9ue la velocidad del disco tiene en pfSense es el %o%ento de arran9ue y el tie%po de actualiDacin? no tiene i%portancia para el rendi%iento de la red u otros
funciona%iento nor%al"
)>
Fardware
@n a%bientes pe9ue0os? incluso para S9uid? cual9uier unidad de disco duro es suficiente" &ara i%ple%entaciones %2s de )++ usuarios
usando S9uid? usted debe considerar (+Q .&! SATA o discos S S3" Htilice (>Q .&! S S3 o SAS
discos para un %eMor rendi%iento en entornos de gran ta%a0o"

pfSense soporta la %ayora de los controladores .A3D de hardware 9ue se encuentran en el hardware del servidor" @l uso de .A3D (+ en sus arreglos .A3D puede %eMorar a;n %2s el rendi%iento del cala%ar? y se reco%ienda 9ue
para despliegues con %iles de usuarios"
)A
aptulo *" 3nstalacin y actualiDacin

@l hardware ha sido elegido? Munto con la versin de pfSense y la platafor%a a utiliDar" Ahora
es el %o%ento de descargar la versin apropiada pfSense e instalarlo en el dispositivo de destino" Despu6s de descargar la versin correcta? contin;e con la seccin 9ue describe la instalacin de la platafor%a 9ue ha sido elegido: 3nstalacin co%pleta o @%bedded" Si tiene alg;n proble%a durante el proceso?
ver Seccin *">? NSolucin de proble%as de instalacinN adelante en este captulo"

@n este captulo? ta%bi6n habla%os de %6todos de instalacin de recuperacin y c%o actualiDar pfSense" .ecuperacin de las instalaciones JSeccin *"A? NLa recuperacin de la instalacinNK Son for%as de volver a instalar pfSense con una configuracin e/istente? por lo general con %ni%o tie%po de inactividad" ActualiDacin de pfSense JSeccin *"B? NActualiDacin de una instalacin e/istenteNK !antendr2 el siste%a actual? a0adir nuevas funciones? o fiMar errores" La actualiDacin es un proceso bastante indoloro 9ue puede realiDarse de varias %aneras diferentes"
*"(" Descarga de pfSense

@/a%inar para www"pfsense"org [http:77www"pfsense"org\ S haga clic en el Descargas enlace" @n el
p2gina de descargas? haga clic en el enlace para las nuevas instalaciones" @sto llevar2 a la p2gina de seleccin de espeMo" @liMa un espeMo geogr2fica%ente cerca de su ubicacin para un %eMor rendi%iento" Hna veD 9ue el espeMo ha sido seleccionado? una lista de directorios aparecer2 con los archivos de la versin actual pfSense para las nuevas instalaciones" &or Live D o instalaciones co%pletas? descargue el . Iso archivo" @l no%bre de la versin (")"* del archivo es pfSense-1.2.3-LiveCD-Installer.iso" Ta%bi6n hay un archivo !D> a disposicin por la %is%o no%bre? pero 9ue ter%inan en . Md5" @ste archivo contiene un valor hash de la 3S:? 9ue puede ser utiliDado para
garantiDar la descarga co%pleta correcta%ente" &ara las instalaciones incrustadas? descargue el . Img.gz archivo" @l no%bre de la versin (")"* del archivo es pfSense-1.2.3-nanobsd-tamao. Img.gz? Donde tamao es uno de los >()!? (G? )G? 1G o?
para refleMar el ta%a0o de la tarMeta F para el 9ue se pretende 9ue la i%agen Jlos ta%a0os est2n en ! de %egabyte y G de gigabyteK" <or%al%ente usted desea hacer coincidir el ta%a0o de la i%agen al ta%a0o de su tarMeta F? pero se puede utiliDar una i%agen de %enor ta%a0o en una tarMeta F %2s grande? co%o una i%agen de (G a )G La tarMeta F" @ste archivo es una i%agen co%pri%ida con gDip" <o es necesario e/traer el archivo? ya 9ue el proceso de instalacin
describen %2s adelante en este captulo se encargar2 de eso"

Si en cual9uier punto de la instalacin de algo no va co%o se describe? visita Seccin *">?
NSolucin de proble%as de instalacinN"
)B
3nstalacin y actualiDacin
*"("(" 'erificacin de la integridad de la descarga

@l archivo !D> 9ue aco%pa0an pueden ser utiliDados para verificar la descarga se co%plet correcta%ente? y 9ue el lanDa%iento oficial se est2 utiliDando"
*"("("(" 'erificacin !D> en =indows

Los usuarios de =indows pueden instalar FashTab [http:77beeblebro/"org7hashtab7\ o un progra%a si%ilar al Fashes !D> vista de cual9uier archivo" on FashTab instalados? haga clic derecho sobre el archivo descargado y habr2 una pesta0a File Fashes 9ue contiene el hash !D>? entre otros" @l !D> generado
hash se puede co%parar con el contenido de la . Md5 archivo descargado desde el sitio web de pfSense? 9ue se puede ver en cual9uier editor de te/to sin for%ato co%o #loc de notas"
*"("(")" !D> de verificacin en #SD y Linu/

@l co%ando %d> viene de serie en Free#SD? y %uchos otros H<3G y H<3GIco%o
siste%as operativos" Hn hash !D> puede ser generada %ediante la eMecucin del siguiente co%ando de
en el directorio 9ue contiene el archivo descargado: #!d" pfSense-1.2.3-#i$e%D-&nstaller.iso

o%parar el hash resultante con el contenido de la . Md5 archivo descargado desde el pfSense
p2gina web" JSiste%as G<H o Linu/ proporciona un co%ando %d>su% 9ue funciona de %anera si%ilar"K
*"("("*" !D> de verificacin en :S G

:S G ta%bi6n incluye el co%ando %d> co%o Free#SD? pero ta%bi6n hay aplicaciones de interfaD gr2fica de usuario disponibles? tales co%o !D> de Tor%entas @terno [http:77www"eternalstor%s"at7%d>7\"
*")" 3nstalacin co%pleta

@n esta seccin se describe el proceso de instalacin de pfSense en un disco duro" @n pocas palabras? se trata de el arran9ue desde el Live D? realiDar algunas configuraciones b2sicas? y luego invocar el instalador desde el D" Si tiene proble%as al tratar de arrancar o instalar desde el D? consulte Seccin *">?
NSolucin de proble%as de instalacinN adelante en este captulo"
<ota
Si el hardware de destino no tiene una unidad de DI.:!? un e9uipo diferente puede se utiliDa para instalar en el disco duro de destino" 'er otras t6cnicas de instalacin
JSeccin *"1? Notras t6cnicas de la instalacinNK para %2s infor%acin"
)C
*")"(" &reparacin de los D

@l D tendr2 9ue ser 9ue%ado de la i%agen 3S: descargada en la seccin anterior" Desde
el archivo descargado es una i%agen de D? tendr2 9ue ser 9ue%ados apropiada%ente para archivos de i%agen I
no co%o un D de datos 9ue contiene el archivo 3S: solo" &rocedi%ientos para hacerlo vara seg;n la :S y software disponible"
*")"("(" Ardor en =indows

&r2ctica%ente todos los principales 9ue%a de D pa9uete de software para =indows incluye la posibilidad de grabar 3%2genes 3S:" onsulte la docu%entacin del progra%a de grabacin de D 9ue se utiliDa" Hna b;s9ueda en Google
con el no%bre del software de grabacin y N'(e!ar isoNDebera ayudar a localiDar las instrucciones"
*")"("("(" Grabacin con <ero

@s f2cil de grabar i%2genes 3S: con <ero" o%ience haciendo clic derecho sobre el archivo 3S:? a continuacin? haga clic en Abrir on y seleccione <ero" La pri%era veD 9ue se hace esto? puede 9ue sea necesario para seleccionar @liMa &redeter%inado &rogra%a de <ero y luego elegir de la lista" @ste %is%o proceso se debe trabaMar con otros co%erciales
Software para 9ue%ar D"
*")"("(")" Grabacin con el 3S: .ecorder

Si utiliDa =indows G&? )++* o 'ista? la libre disposicin 3S: .ecorder [http:77 \ 3sorecorder"ale/fein%an"co% herra%ienta puede ser utiliDada" Descargar e instalar la versin adecuada de la nor%a 3S: .ecorder para el siste%a operativo 9ue se utilice? a continuacin? bus9ue la carpeta en la unidad
9ue contiene la nor%a 3S: pfSense? haga clic derecho sobre 6l y haga clic en la i%agen opiar a D"
*")"("("*" :tros software de grabacin gratuito

:tras opciones gratuitas para los usuarios de =indows incluyen D#urnerG& [http:77www"cdburner/p"se7 \? 3nfra.ecorder [Fttp:77infrarecorder"org7\ S burnatonce J#A:K [http:77www"burnatonce"net7 descargas 7\? @ntre otros" Antes de descargar e instalar cual9uier progra%a? co%probar su funcin
lista para asegurarse de 9ue es capaD de grabar una i%agen 3S:"
*")"(")" Ardor en Linu/

distribuciones de Linu/ co%o Hbuntu suelen incluir alg;n tipo de interfaD gr2fica de usuario de aplicaciones de grabacin de D 9ue puede %aneMar i%2genes 3S:" Si uno se integra con el gestor de ventanas? haga clic derecho en la Archivo 3S: y seleccione Grabar disco de" :tras opciones populares incluyen Q*# y #rasero Disc #urner"
),
Si no hay una aplicacin gr2fica 9ue%a instalado? a;n es posible grabar desde el
de lnea de co%andos" @n pri%er lugar? deter%inar el dispositivo de grabacin de S S3 3D 7 LH< JLogical Hnit <u%berK con
el siguiente co%ando: #cdrecord - scan)(s Cdrecord-Clone 2.01 (i686-pc-linux-gnu) Copyright (C) 1995-2004 Jrg Schilling Linux versin del controlador sg: 3.1.25 Al usar la versin libscg 'Schily-0.8'. scsibus0: 0,0,0 100 'LITE-ON') 'COMBO LTC-48161H' KH0F 'extrable de CD-ROM
Tenga en cuenta el S S3 3D 7 LH< 0,0,0" Grabar la i%agen co%o en el eMe%plo siguiente? ree%plaDando <Max > Velocidad con la velocidad de la hornilla y lun con el 3D S S3 7 LH< del grabador: #cdrecord - de$ *lun - +elocidad *speed> <mximo , pfSense-1.2.3-#i$e%D-&nstaller.iso
*")"("*" Ardor en Free#SD

Free#SD incluye el progra%a burncd en su siste%a base 9ue puede utiliDarse para grabar i%2genes 3S: co%o tal" #)(rncd-s e-!a- datos fi.ar pfSense-1.2.3-#i$e%D-&nstaller.iso &ara obtener %2s infor%acin sobre la creacin de D en Free#SD? por favor? consulte la entrada de grabacin de D en el !anual de Free#SD en http:77www"freebsd"org7doc7en7booLs7handbooL7creatingIcds"ht%l"
*")"("1" 'erificacin de la D
Ahora 9ue el D est2 preparado? co%pruebe 9ue se ha grabado correcta%ente consultando los archivos contenidos en el D" !2s de )+ carpetas deben ser visibles? incluyendo depsito? de arran9ue? v6ase? conf? y %ucho %2s" Si slo un archivo 3S: grande 9ue se ve? el D no se ha grabado correcta%ente" .epita los pasos indicados anterior%ente para grabar un D? y aseg;rese de grabar el archivo 3S: co%o una i%agen de D y no co%o un archivo de datos"
*")")" Arrancando desde el D

Ahora el poder en el siste%a de destino y colocar el D en la unidad" pfSense debe e%peDar a arrancar? y %ostrar el resultado de una asignacin de interfaces del siste%a 9ue se trata en una seccin siguiente"
*+
*")")"(" @specificacin de la :rden de arran9ue en la #3:S

Si el siste%a de destino no arran9ue desde el D? la raDn %2s probable es 9ue la unidad de DI.:!
no era lo suficiente%ente te%prano en la lista de %edios de arran9ue en la #3:S" !uchas placas base %2s nuevas ta%bi6n per%iten
la educacin de un %en; de arran9ue una veD se pulsa una tecla durante el &:ST? co%;n%ente @sc o F()"
@n su defecto? ca%biar el orden de arran9ue en la #3:S" @n pri%er lugar el poder? en el siste%a y entrar en el #3:S de configuracin" @s tpica%ente encontrado en una prioridad de arran9ue o la partida de inicio? pero podra estar en cual9uier lugar" Si arrancar desde el DI.:! no est2 habilitado? o tiene una prioridad %2s baMa 9ue el arran9ue desde el disco duro y la unidad contiene otro siste%a operativo? el siste%a no arran9ue desde el D de pfSense" onsulte el
placa %anual para obtener infor%acin %2s detallada en la %odificacin de la orden de inicio"
*")"*" Asignacin de interfaces

Despu6s de 9ue el Live D pfSense ha co%pletado el proceso de arran9ue? el siste%a le pedir2 para la interfaD asignacin co%o en Figura *"( N? pantalla de asignacin de interfaDN" A9u es donde las tarMetas de red instalado en el siste%a reciben sus funciones co%o =A<? LA<? e interfaces opcionales J:&T(?
:&T) """ :&T<K"
Figura *"(" 3nterfaD de pantalla de asignacin de
*(
Hna lista de las interfaces de red y sus direcciones !A 9ue se encuentra en el siste%a aparecer2? Munto con una indicacin de su estado de vnculos si 9ue es co%patible con la tarMeta de red" @l estado de los vnculos se denota por NJarribaKN 9ue aparece despu6s de la direccin !A si un enlace se detecta en esa interfaD" La !A J!edia Access ontrolK de una tarMeta de red es un identificador ;nico asignado a cada tarMeta? y no hay dos tarMetas de red deben tener la %is%a direccin !A " J@n la pr2ctica? esto no es bastante duplicacin cierto? la direccin !A se produce con bastante frecuencia"K Despu6s de eso? un %ensaMe aparecer2 para La configuracin de 'LA<" Si se desean las 'LA<? consulte aptulo (+? LA< virtuales J'LA<K %2s adelante en
el libro de los detalles de su configuracin y uso" De lo contrario? escriba n y pulse @nter"

La interfaD LA< est2 configurada en pri%er lugar" o%o pfSense (")"* re9uiere al %enos dos tarMetas de red? un dile%a 9ue se presente: 4 %o saber cu2l es cu2l8 Si la identidad de cada tarMeta ya est2
conocida? si%ple%ente escriba los no%bres de los dispositivos adecuados para cada interfaD" Si la diferencia entre
tarMetas de red es desconocida? la for%a %2s sencilla de resolverlo sera utiliDar la deteccin auto%2tica
funcin"
&ara la asignacin auto%2tica de interfaD? en pri%er lugar desconecte todos los cables de la red del siste%a? a continuacin? escriba (na y pulse @nter" Ahora conectar un cable de red en la interfaD 9ue debe conectarse a la LA<?
y pulse @nter" Si todo ha ido bien? pfSense debe saber ahora 9ue la interfaD a utiliDar para la
LA<" @l %is%o proceso se puede repetir para la =A< y las interfaces opcionales 9ue se le sea necesario" Si aparece un %ensaMe co%o <o vinculacin detecta? consulte la Seccin *">? N3nstalacin
Solucin de proble%as N &ara obtener %2s infor%acin sobre la separacin de las identidades de tarMeta de red"
Despu6s de las interfaces se han configurado? aparecer2 un %ensaMe pidiendo Quieres continuar?" Si la asignacin de interfaD de red aparece tipo correcto? /? A continuacin? presione @<T.A." Si el
cesin no es correcto? el tipo n y pulse @nter para repetir este proceso"
*")"1" 3nstalacin en el disco duro

Hna veD 9ue la asignacin de interfaD es co%pleta? aparecer2 un %en; con las tareas adicionales 9ue puedan llevar a cabo" &ara instalar pfSense en el disco duro del siste%a? seleccione la opcin 99 9ue
poner en %archa el proceso de instalacin"

La pri%era pantalla 9ue aparece le pedir2 9ue %odifica configuracin de la consola" A %enos 9ue un idio%a alternativo
teclado se est2 utiliDando? eliMa aceptar esta configuracin y pasar al siguiente paso"
A continuacin? una lista de tareas se presentar2" Si slo hay un disco duro instalado en el siste%a y no es necesario configurar las opciones de encargo? r2pido 7 instalacin sencilla se puede elegir" @sto la instalacin en el pri%er disco duro se encuentra y acepta todas las opciones por defecto" Hn di2logo de confir%acin se %ostrar2" &ulse Aceptar para continuar o ancelar para volver al %en; anterior" La instalacin
continuar2 y 9ue slo deMe para solicitar 9ue el n;cleo debe ser instalado"
*)
Si decide utiliDar el 5uicL 7 opcin de instalacin sencilla? vaya a Tabla *"(? N:pciones del LernelN de
opciones del Lernel" De lo contrario? elige la pri%era opcin: 3nstalar pfSense para realiDar una instalacin personaliDada
y continuar por el resto de esta seccin"

Ahora escoMa el disco duro para 9ue pfSense se instalar2" ada unidad de disco duro conectado a la siste%a debe ser %ostrado? Munto con los vol;%enes .A3D ad%itido o g%irror" Seleccione la unidad con las flechas arriba y abaMo? a continuacin? presione @<T.A." Si no hay unidades se encuentran o son las unidades de disco incorrecta se %uestra? es posible 9ue la unidad deseada est2 conectado a un controlador co%patible o un controlador establecido para un %odo de no ad%itidos en el #3:S" 'er Seccin *">? NSolucin de proble%as de instalacinN de
ayudar"
@l siguiente paso es for%atear la unidad 9ue fue elegido Musto" A %enos 9ue se sabe con certeDa 9ue el unidad contiene una particin de Free#SD utiliDable? seleccione For%ato de este disco y pulse enter" De lo contrario? elegir :%itir este paso" uando se present la pantalla de la geo%etra del disco? es %eMor elegir utiliDar esta geo%etra" @s posible ree%plaDar este si hay %2s valores correctos son conocidos? pero en la %ayora de los casos los valores por defecto son correctos" Hna pantalla de confir%acin aparecer2? %o%ento en el 9ue la unidad de for%ato O
opcin na%eP debe ser elegido para continuar"
<ota
@ste es un buen lugar para parar y asegurarse de 9ue la unidad correcta ha sido seleccionada? co%o
no hay vuelta atr2s una veD 9ue esta accin se ha realiDado" Todo en el el disco se destruir2n"
el arran9ue dual con otro siste%a operativo es posible 9ue los usuarios avanDados 9ue saben configurar %anual%ente esas cosas? pero este tipo de configuraciones no se ad%iten oficial%ente y se
<o se detallan a9u"

&articionado se indica? y si%ple%ente debe aceptar los valores predeter%inados eligiendo Aceptar y rear?
a continuacin? eliMa S? la particin en la siguiente pantalla"

Hn siste%a se %uestra a continuacin para la instalacin de blo9ues de arran9ue" @sto es lo 9ue per%itir2 9ue el disco duro para arrancar" 3nstalacin de blo9ues de arran9ue ya estar2 seleccionada Japarece una G en la colu%na Munto a la unidad 9ue se configuradoK" &a9uete %odo puede o puede no ser necesario? dependiendo de la co%binacin de hardware en uso" Algunos de hardware %2s nuevo y %2s grande discos funcionar2n %eMor con el %odo pa9uetes habilitado y hardware antiguo puede preferir el %odo pa9uetes con discapacidad" DeMa los valores por defecto seleccionado a %enos 9ue no
trabaMo en el siste%a por alguna raDn" A continuacin? seleccione Aceptar y blo9ues de arran9ue de instalacin y pulse @nter"
Hn cuadro de confir%acin aparecer2 con el resultado de ese co%ando? y si se logr la prensa? introduDca
una veD %2s para continuar"

Seleccione la particin en la 9ue instalar pfSense en la siguiente pantalla 9ue aparece" Si los valores por defecto se utiliDaron co%o se sugiere? no es probable 9ue slo una opcin" Si aparecen varias opciones? eliMa la
**
9ue se cre para pfSense" :tra ventana de confir%acin de presentacin de infor%es del 6/ito del proceso de for%ateo"
Subparticiones ahora se pueden crear? pero de nuevo los valores por defecto en esta pantalla ser2 aceptable para
casi todos los usos" Algunas personas prefieren tener subparticiones separado para / Var?/ Tmp? S as sucesiva%ente? pero
esto no es necesario? y no debe hacerlo a %enos 9ue tenga un conoci%iento considerable de los re9uisitos de espacio especfico para su instalacin" Si va a realiDar una instalacin co%pleta de flash
los %edios de co%unicacin co%o base una tarMeta F o disco HS#? aseg;rese de retirar la de intercambio particin" Facer los ca%bios deseados? a continuacin? seleccione Aceptar y rear"
Ahora si6ntese y espere? espere? y tienen unos pocos sorbos de caf6 %ientras 9ue el proceso de instalacin de copias pfSense a la ubicacin de destino" Despu6s de 9ue el proceso de instalacin ha finaliDado su trabaMo? hay una indicacin final para seleccionar el Lernel para instalar en el siste%a de destino" Fay cuatro opciones disponibles? cada uno con
sus propios fines: Qernel tipo !ultiprocesa%iento si%6trico del n;cleo <;cleo %onoprocesador @%bebido n;cleo Los desarrolladores del Lernel :bMetivo 7 Descripcin Se utiliDa para los siste%as 9ue tienen varios n;cleos o procesadores" Se utiliDa para los siste%as 9ue tienen un solo procesador Deshabilita 'GA de la consola y el teclado? usa consola serie" 3ncluye opciones de depuracin ;til para los desarrolladores"
Tabla *"(" Las opciones del Lernel

@n caso de duda? ya sea el n;cleo %onoprocesador JH&K o el n;cleo de %ultiprocesa%iento si%6trico
JS!&K debera funcionar? sin i%portar el n;%ero de procesadores disponibles" Fay te%as poco frecuentes en
cierto hardware? independiente%ente del n;%ero de procesadores? no funcionar2 de for%a fiable? o en absoluto con el n;cleo %onoprocesador? pero funciona bien con el Lernel S!&? as co%o viceversa" @n caso de 9ue
proble%as? intente ca%biar su n;cleo de leche desnatada en polvo a %onoprocesador o viceversa"

uando la instalacin haya finaliDado? seleccione .einiciar y? a continuacin? una veD reiniciado el siste%a? 9uite
el D antes de 9ue el proceso de arran9ue co%ienDa" Felicidades? pfSense est2 total%ente instaladoX
*1
*"*" @%bebido de instalacin

La versin incorporada se lanDa co%o una i%agen de disco? 9ue debe ser escrito a una o%pact Flash tarMeta J FK physdisLwrite utiliDando o dd" Despu6s de la i%agen est2 escrito? 9ue se coloca en la %eta dispositivo y configurar"
<ota
Tenga %ucho cuidado al hacer estoX Si se trata de eMecutar esto en una %29uina 9ue contiene otros
unidades de disco duro es posible seleccionar la unidad e9uivocada y sobrescribir una parte de ese unidad con pfSense" @sto deMa el disco co%pleta%ente ilegible? salvo para ciertos progra%as de recuperacin de disco? y 9ue es golpeado y se pierda en el %eMor" physdisLwrite para =indows contiene una revisin de seguridad 9ue no per%ite sobrescribir una unidad %2s grande de C++ !# sin una opcin especfica en la lnea de co%andos" La %anera %2s segura de instalar pfSense a un F es a trav6s de la redireccin de HS# con '!ware? discutido %2s adelante en este captulo en la instalacin de t6cnicas alternativas para la seccin JSeccin *"1? N3nstalacin Alternativa
T6cnicas NK" Hna veD %2s? sea %uy cuidadoso al hacer estoX Fago hincapi6 en esto por9ue s6 de varios
personas 9ue han escrito %al un disco y sobrescribe el disco duro" @sto puede suceder a nadie? incluido el otro fundador de pfSense? 9ue accidental%ente sobrescribi su
( T# de datos de unidad en lugar de su F con una i%agen de pfSense"
*"*"(" 3nstalacin incorporado en =indows

@l progra%a physdisLwrite por !anuel Qasper? autor de %+n+wall? es el %edio preferido de la escritura de la i%agen pfSense a F en =indows" &uede ser descargarse del sitio web %+n+wall [http:77%+n+"ch7wall7physdisLwrite"php\" Gu2rdelo en alg;n lugar de la & en uso? tales co%o C: \ Herramientas u otra ubicacin conveniente" Si se elige otra ubicacin? sustituya C: \ herramientas en
el eMe%plo con el directorio en el physdiskwrite.exe se ha colocado"
<ota
Ta%bi6n hay disponible una interfaD gr2fica de usuario para physdisLwrite lla%ado &hysGH3? pero slo el
versin disponible de este escrito fue en ale%2n" Dicho esto? la interfaD gr2fica de usuario es si%ple suficiente para el uso 9ue puede 9ue no sea una barrera para %uchas personas" De hecho? puede resultar %2s f2cil de usar? incluso en un idio%a e/tranMero? 9ue la versin de lnea de co%andos se encuentra en 3ngl6s" &or eMe%plo? la identificacin de los dispositivos adecuados es una tarea %ucho %2s si%ple" @s
Ta%bi6n est2n disponibles en el sitio web de %+n+wall"
*>
@n =indows 'ista o =indows B? physdisLwrite debe ser lanDado desde un s%bolo del siste%a de eMecucin
co%o ad%inistrador" Si%ple hecho de tener derechos de ad%inistrador no es suficiente" La for%a %2s sencilla de hacer esto
es hacer clic en el botn 3nicio? a continuacin? escriba c!d en el cuadro de b;s9ueda" Faga clic en cmd.exe cuando
aparece y seleccione @Mecutar co%o ad%inistrador" @l progra%a physdisLwrite continuacin? se puede eMecutar desde 9ue el s%bolo del siste%a sin ning;n proble%a" @Mecutarlo desde un s%bolo del siste%a 9ue no ha
eMecutar co%o ad%inistrador se dar2 lugar a ning;n disco 9ue se encuentra" &ara utiliDar physdisLwrite? en pri%er lugar iniciar un s%bolo del siste%a" A continuacin? ca%bie al directorio 9ue contiene physdiskwrite.exe y eMecutarlo seguido por el
ruta de acceso al pfSense.img.gz archivo descargado antes" Despu6s de eMecutar el co%ando? un %ensaMe con una lista de unidades conectadas al siste%a aparecer2" La %anera %2s segura para garantiDar la unidad correcta
es elegido sera eMecutar physdisLwrite antes de insertar el registro F? la salida? a continuacin? pulse trl b para salir" 3nserte la tarMeta F y eMecutar physdisLwrite nuevo? co%parar la salida a la anterior
de eMecucin" @l disco se %uestra ahora 9ue no se haba de%ostrado es la fibrosis 9ustica" @l n;%ero de cilindros
JN ilindrosN de la produccin physdisLwriteK ta%bi6n se puede utiliDar para ayudar a indicar la unidad apropiada" Los >() !#
F utiliDado en el eMe%plo siguiente se cuenta con A* cilindros? %ientras 9ue los discos duros tienen %2s de *+"+++"
Asi%is%o? recuerda 9ue physdisLwrite tiene un %ecanis%o de seguridad 9ue no se sobreponen a un disco %2s grande de ) G#? sin especificar -U despu6s del co%ando physdisLwrite" Tras seleccionar el disco a escribir? physdisLwrite a escribir la i%agen" @sto to%ar2 entre
de dos a dieD %inutos en una %29uina r2pida con HS# )"+ y HS# )"+ escritor F" Si el siste%a o escritor de F es slo HS# ("(? espera%os 9ue to%e varias veces %2s largo debido a la velocidad %uy baMa de
HS# ("(" @l siguiente es un eMe%plo pr2ctico del uso de physdisLwrite para escribir una i%agen pfSense" Microsoft Windows [Versin 6.0.6001] Copyright (c) 2006 Microsoft Corporation. Todos los derechos reservados. C: \ Windows \ system32> cd , tools C: \ Herramientas> p0/sdis12rite.e-e c: , te!p , pfSense-1.2.3-nano)sd-"123.i!g.g4 physdiskwrite v0.5.1 por Manuel Kasper <mk@neon1.net> La bsqueda de unidades fsicas ... Informacin para \ \ \ Windows: cilindros: TPC: SPT: PhysicalDrive0.: 36481 255 63
*A
Informacin para \ \ \ Windows: cilindros: TPC: SPT: Informacin para \ \ \ Windows: cilindros: TPC: SPT:
PhysicalDrive1.: 30401 255 63 PhysicalDrive2.: 63 255 63
Informacin para \ \ \ PhysicalDrive3.: DeviceIoControl () fall en \ \. \ PhysicalDrive3. Informacin para \ \ \ PhysicalDrive4.:

DeviceIoControl () fall en \ \. \ PhysicalDrive4.
Informacin para \ \ \ PhysicalDrive5.:

DeviceIoControl () fall en \ \. \ PhysicalDrive5.
Informacin para \ \ \ Windows: cilindros: TPC: SPT: Informacin para \ \ \ Windows: cilindros: TPC: spt:
PhysicalDrive6.: 30515 255 63 PhysicalDrive7.: 0 0 0
Qu disco quieres escribir? (0 .. 7) 2 Acerca de sobreescribir el contenido del disco 2 con nuevos datos. Desea continuar? (Y / n) / Que se encuentran comprimidos archivo de imagen 122441728 / 122441728 bytes escritos en total C: \ Herramientas> Despu6s de physdisLwrite ha co%pletado? el F se puede 9uitar de la escritora y se coloca en el obMetivo de hardware"
*B
<ota
@l escrito contiene F #SD particiones for%ateadas siste%a de archivos 9ue no se pueden leer
en =indows" =indows recla%ar2 la unidad necesita ser for%ateado debe intentar para acceder a ella" <o hacerlo? slo tiene 9ue %over el F para el hardware de destino" <o hay
%anera de ver el contenido del escrito F en =indows"
*"*")" 3nstalacin incorporado en Linu/

instalacin incorporado en Linu/ se logra por %edio de tuberas gunDip la salida de la i%agen a dd" #pfSense g(n4ip-c-1.2.3-nano)sd.i!g.g4 5 dd of * 6 de$ 6 0dX )s * 161 donde X especifica el no%bre del dispositivo 3D@ de la tarMeta F o disco 3D@ Jconsulte con 0dpar! i 6 de$ 6 0dXK I Algunos adaptadores? en particular? HS#? pueden aparecer baMo e%ulacin S S3 co%o / dev / sdX" <o haga caso de la advertencia sobre la final de basura I 9ue es por la fir%a digital"
*"*"*" 3nstalacin integrado en Free#SD

gDip hilo a dd a escribir la i%agen a F en Free#SD" Antes de e%peDar? tendr2 9ue conocer el no%bre del dispositivo 9ue corresponde a la tarMeta F en uso" Si F un disco duro oIaI3D@ adaptador se utiliDa? puede ser un anuncios dispositivo? co%o ad0" o%pruebe la salida de d%esg o / var / log / messages" Si un lector HS# F se est2 utiliDando? puede ser una da dispositivo? co%o da0? de verificacin / Var / log / messages despu6s de conectar el lector de tarMetas? se debe infor%ar 9ue el dispositivo Se a0adi"
&ara la i%agen de la tarMeta? usted debera ser capaD de desco%pri%ir la i%agen y copiarla a la tarMeta en un solo paso: #pfSense g4ip-dc-1.2.3-nano)sd.i!g.g4 5 dd of * 6 de$ 6AdX o)s * 671
<o haga caso de la advertencia sobre la final de basura I 9ue es por la fir%a digital" Si la i%agen se 9ueda corta o errores despu6s de slo la transferencia de una pe9ue0a cantidad de datos? es posible necesidad de desco%pri%ir la pri%era i%agen: #g(n4ip pfSense-1.2.3-nano)sd.i!g.g4 #dd if * pfSense-1.2.3-nano)sd.i!g of * 6 de$ 6AdX o)s * 671
*C
*"*"1" 3nstalacin incorporado en !ac :S G

@ste proceso ha sido probado en !ac :S G (+"*", y versiones posteriores? hasta e incluyendo la nieve
Leopard7(+"A" Se reco%ienda 9ue desconecte todos los discos? e/cepto para el disco de inicio antes de llevar a cabo este procedi%iento? co%o un error en la especificacin de la unidad 9ue se escriben podran ocasionar 9ue los datos
p6rdida" U onecte su lector de F con la tarMeta F insertada" U Si el !ac :S G aparece un %ensaMe diciendo 9ue la tarMeta no se puede leer? haga clic en 3gnorar" U Abrir Htilidad de Discos"
U Seleccione las particiones de tu tarMeta F 9ue se %ontan? y haga clic en el botn de des%ontar" La
particiones debe aparecer ahora en gris" U Seleccione el lector de tarMetas F en la colu%na de la iD9uierda? y haga clic en el botn de infor%acin" U Tenga en cuenta el N3dentificador de disco: por eMe%plo? ^DisL(" U Abre Ter%inal" U 'aya al directorio 9ue contiene la i%agen pfSense" U Htilice este co%ando? en sustitucin de disco [n] con el disco de identificador 9ue se encuentran por enci%a de: #g4cat pfSense-1.2.3-nano)sd.i!g.g4 5 dd of * 6 de$ 6disco [n] )s * 161 Ta%bi6n e/iste la siguiente alternativa para lograr esto por co%pleto de la lnea de co%andos" $lista dis1(til / Dev/disk0 #: TAMAO TIPO NOMBRE DE IDENTIFICACIN 0: GUID_partition_scheme * 298.1 Gi disk0 1: EFI 200.0 Mi disk0s1 2: Apple_HFS Macintosh HD 297.8 Gi disk0s2 / Dev/disk1 #: TAMAO TIPO NOMBRE DE IDENTIFICACIN 0: CD_partition_scheme 30 das a Gran Francs * 521.4 Mi disk1 1: CD_DA 7.8 Mi disk1s1 2: CD_DA 7.8 Mi disk1s2 3: 18,2 CD_DA Mi disk1s3 4: CD_DA 13.8 Mi disk1s4 5: CD_DA 14.0 Mi disk1s5
*,
6: CD_DA 12.1 Mi disk1s6

7: CD_DA 14.2 Mi disk1s7 8: CD_DA 21.5 Mi disk1s8 9: CD_DA 16.6 Mi disk1s9
10: CD_DA 14.7 Mi disk1s10

11: 12: 13: 14: 15: 16: 17: 18: 19: 20: 21: 22: 23: 24: 25: 26: 27: 28: 29: 30: CD_DA CD_DA CD_DA CD_DA CD_DA CD_DA CD_DA CD_DA CD_DA CD_DA CD_DA CD_DA CD_DA CD_DA CD_DA CD_DA CD_DA CD_DA CD_DA CD_DA 24.3 16.6 22.4 14.7 20.5 19.4 15.3 17.9 18.2 16.0 26.8 18.8 21.7 14.5 22.2 16.7 20.9 16.0 20.8 17.1 Mi Mi Mi Mi Mi Mi Mi Mi Mi Mi Mi Mi Mi Mi Mi Mi Mi Mi Mi Mi disk1s11 disk1s12 disk1s13 disk1s14 disk1s15 disk1s16 disk1s17 disk1s18 disk1s19 disk1s20 disk1s21 disk1s22 disk1s23 disk1s24 disk1s25 disk1s26 disk1s27 disk1s28 disk1s29 disk1s30
/ Dev/disk2 #: TAMAO TIPO NOMBRE DE IDENTIFICACIN 0: GUID_partition_scheme * 90.0 Mi disk2 1: Apple_HFS Procesamiento de 90.0 Mi disk2s1 / Dev/disk3
#: TAMAO TIPO NOMBRE DE IDENTIFICACIN
0: FDisk_partition_scheme * 978.5 Mi disk3 1: DOS_FAT_32 UNTITLED 978.4 Mi disk3s1 $dis1(til (!o(nt dis13s1 $g4cat pfSense-e!)edded.i!g.g4 5 dd of * 6 de$6dis13s1 )s * 161 7665 registros en un 7665 un registro de 125587456 bytes transferidos en 188.525272 secs (666157 bytes / seg)
1+
*"*">" FinaliDacin de la instalacin incorporado

Ahora 9ue el F contiene una i%agen de pfSense? puede ser colocado en el dispositivo de destino? pero todava puede
necesita alguna configuracin" Los usuarios de Ali/ y SoeLris >>+( hardware puede saltarse esta seccin? co%o 9ue utiliDan vr J1K controladores en red? y supone la instalacin por defecto i%plcitos 9ue vr+ es LA< y =A< es '.(" @stos puertos deben estar eti9uetados en el hardware" Si desea volver a asignar
estas interfaces de la consola en lugar de la =ebGH3? seguir adelante"
*"*">"(" onecte un cable serie

@n pri%er lugar? una %de% nulo [http:77en"wiLipedia"org7wiLi7<ull_%ode%cable serie\ debe estar conectado entre el dispositivo y una & " Dependiendo del puerto serie y cable 9ue se utiliDa? un cable serie ca%biador de g6nero [http:77en"wiLipedia"org7wiLi7Gender_changer\ Ta%bi6n puede ser necesario para 9ue coincida con los puertos disponibles" Si un cable de %de% nulo de serie real no est2 disponible? ta%bi6n hay de %de% nulo
adaptadores 9ue convierten un cable serie est2ndar en un cable de %de% nulo"
*"*">")" 3nicie un cliente de serie

@n el & se utiliDa para configurar el dispositivo incorporado? un progra%a cliente de serie debe ser utiliDado" Algunos clientes son populares para =indows Fyperter%inal? 9ue debera estar en casi cual9uier G& instalacin? y &uTTS [Fttp:77www"chiarL"greenend"org"uL7 a sgtatha% 7 %asilla 7\? 5ue es gratuito y %ucho %2s fiable" @n Linu/? minicom deben estar presentes la %ayora en el pa9uete de distribucin
siste%as" @n Free#SD? utiliDa el incorporado en el progra%a punta" @scribiendo p(nta co!1 se conectar2 para el pri%er puerto serie" Desconecte escribiendo N8.NAl principio de una lnea"
ual9uiera 9ue sea el cliente de serie? se procurar2 9ue se establece para la velocidad adecuada J,A++K? #its de datos JCK? &aridad JnK? y los bits de parada J(K" <or%al%ente? esto se escribe co%o ,A++7C7<7(" Algunas unidades incrustado por defecto a una velocidad %2s r2pida" & !otores =.A& y por defecto AL3G a *C1++7C7<7( y SoeLris por defecto de hardware para (,)++7C7<7(" !uchos clientes por defecto de serie para ,A++7C7<7(? por lo 9ue la adaptacin de 6stas configuracin puede no ser necesario" Hsted tendr2 9ue utiliDar ,A++7C7<7( con pfSense independiente%ente de la configuracin de su hardware" &ara el hardware con otras velocidades de ,A++? es probable 9ue desee
ca%bia la velocidad de trans%isin en ,A++ en la configuracin de la #3:S para 9ue el #3:S y pfSense son accesibles con
la %is%a configuracin" onsulte el %anual de su hardware para obtener infor%acin sobre la configuracin de su velocidad de trans%isin"
*"*">"*" Asignar interfaces de red

Despu6s de 9ue el dispositivo est2 encendido y el proceso de arran9ue se ha iniciado? un %ensaMe aparecer2 para 'LA< y la asignacin de interfaces de red" @ste paso fue cubierto anterior%ente baMo Seccin *")"*? NAsignacin de interfacesN para la deteccin auto%2tica? y %2s tarde en Seccin *">"*"(? N!anual%ente
Asignacin de interfaces N para la asignacin %anual de interfaces"
1(
Hna veD 9ue las interfaces se les ha asignado? el siste%a debe estar listo para configurar a trav6s de la =ebGH3"
*"1" Suplente t6cnicas de instalacin

@sta seccin describe algunos %6todos alternativos de instalacin 9ue puede ser %2s f2cil para algunos
i%ple%entaciones"
*"1"(" 3nstalacin con la unidad en un e9uipo diferente

Si es difcil o i%posible para agregar una unidad de DI.:! para el hardware de destino? otro siste%a se puede utiliDar para instalar pfSense en el disco duro de destino" @l disco puede entonces ser trasladado a la
%29uina original" uando se le solicite con Asignar interfaces durante el inicio del Live D? seleccione n para 'LA<s y el tipo salida a asignar la interfaD LA< del siste%a para pasar de asignacin de interfaD" A continuacin? proceder
a trav6s de la instalacin nor%al%ente" Aparecer2 un %ensaMe en el instalador para configurar la red configuracin? y esto se puede o%itir ta%bi6n" Despu6s de la instalacin? per%iten 9ue la %29uina se reinicie y apagarlo? una veD 9ue regresa a la pantalla del #3:S" .etire el disco duro de la instalacin %29uina y colocarla en el siste%a de destino" Despu6s del arran9ue? se le solicitar2 la asignacin de interfaD
y luego el resto de la configuracin se puede realiDar co%o de costu%bre"
*"1"("(" @rror de inicio despu6s de %udarse a la unidad de destino de la %29uina

Si la %29uina utiliDada para realiDar la instalacin asignada la unidad con un no%bre de dispositivo diferente el dispositivo de destino? el siste%a se detiene el arran9ue en un > Mountroot del siste%a" @sto puede suceder si la instalacin se realiD con la unidad en el puerto 3D@ secundario y en el hardware de destino 9ue reside en el puerto 3D@ pri%ario" @n el caso de '!ware? el adaptador HS# puede ser detectada co%o
un dispositivo S S3? %ientras 9ue el hardware de destino utiliDa 3D@"

Si este proble%a se encuentra? el siste%a deMar2 de arrancar y se sientan en un > Mountroot del siste%a?
co%o en este eMe%plo: Timecounter "CET" frecuencia 431646144 Hz calidad 800 Timecounters marque todos los ms 10.000 Rpido IPsec: Procesamiento de iniciada la Asociacin de Seguridad. ad0: DN4OCA2A> <HMS360404D5CF00 3906MB en UDMA33 ata0-master Tratando de montar la raz de ufs: / dev /ad2s1a Manual de sistema de archivos raz de la especificacin: <fstype>: <device> Monte <device> utilizando <fstype> sistema de archivos por ejemplo. ufs: da0s1a
1)
? Lista vlida dispositivos de disco de arranque <empty line> Cancelar entrada manual > Mountroot 9FS:ad0s1a Tratando de montar la raz de ufs: ad0s1a ___ ___ / F \ / P \ ___ / Sentido \ ___ / \ \ ___ / @l siste%a est2 tratando de %ontar la unidad con el no%bre de dispositivo incorrecto? co%o ad2" Hna lnea Musto por enci%a de
el mountroot siste%a debe indicar la ubicacin real de la unidad? tales co%o ad0" &ara continuar con el
proceso de arran9ue? escriba el no%bre de dispositivo correcto" @n este caso? 9FS:ad0s1a" #asta con sustituir ad0 en
esa lnea con el no%bre del dispositivo de la unidad de disco duro? co%o se %uestra por enci%a de este siste%a" To%e nota de la
no%bre del dispositivo adecuado? ya 9ue se necesitar2n para el siguiente paso"

Ahora 9ue el siste%a ha arrancado? uno %2s el ca%bio es necesario" La tabla de siste%a de archivos en / Etc / fstab debe ser actualiDada con el dispositivo apropiado" &ara ca%biar esto en el =ebGH3? vaya a
Diagnstico @ditar el archivo y abra / Etc / fstab" .ee%place cada instancia del no%bre del dispositivo en ese archivo y guardar los ca%bios" .einiciar el siste%a para verificar el ca%bio"
&ara 9uienes est2n fa%iliariDados con las operaciones de lnea de co%andos? para ca%biar esto en la lnea de co%andos elegir opcin 8 una veD 9ue la consola de cargas para entrar en el %en; para iniciar una shell" @n este eMe%plo se utiliDa el editor vi" Si
vi no es una opcin deseable? ee ta%bi6n est2 disponible y cuenta con ayuda en pantalla" A continuacin? introduDca el co%ando para editar el fstab archivo" #$i 6 etc 6 fsta) @l contenido del archivo aparecer2" Se ver2 algo co%o esto: # Opciones de dispositivo Punto de montaje fstype dump pass # / Dev/ad2s1a / ufs rw 1 1
Faga los ca%bios necesarios" @n este eMe%plo? el dispositivo es incorrecta ad2? @sto debe ser ca%biado
a ad0:
# Opciones de dispositivo Punto de montaje fstype dump pass #
/ Dev/ad0s1a / ufs rw 1 1
1*
Ahora guarda el archivo y salga del editor" J@sc? a continuacin? : :'; si vi fue utiliDado"K
*"1")" 3nstalacin co%pleta de '!ware con HS# redireccin

Hsted puede utiliDar la redireccin de HS# en '!ware &layer y estaciones de trabaMo para instalar un disco duro"
La %ayora de los adaptadores HS# a 3D@ o SFF JS%all For% FactorK 3D@ funciona para este propsito" La
las instrucciones siguientes son especficas de '!ware =orLstation A"+ y versiones anteriores" U rear un e9uipo virtual con redirecciona%iento HS#" U Desconecte el escritor F desde su & " U onecte el F 7 !icrodrive F en su escritor" U 3nicie la %29uina virtual y haga clic en el interior de la %29uina virtual para 9ue tenga el foco"
U onecte el escritor de F en su & " La %29uina virtual se levante el dispositivo HS#? y el pfSense
D de instalacin reconocer2 la tarMeta F 7 !icrodrive co%o un disco duro" U ontin;e con la instalacin de la %is%a co%o una co%pleta instalacin nor%al"
@n '!ware =orLstation A">? podr2s ver un icono para cada dispositivo HS# en la %29uina a lo largo del
parte inferior de la ventana de '!ware" Faga clic en el dispositivo y haga clic en %onecte <Desconecte
de acogida= para utiliDarlo dentro de su %29uina virtual" onsulte la docu%entacin de '!ware para %2s infor%acin
en la redireccin de HS#"
*"1"*" 3nstalacin incrustado en '!ware con HS# .edireccin

La i%agen incrustada puede escribirse ta%bi6n en '!ware %ediante su reorientacin HS#" Se trata de un seguro opcin? ya 9ue hace i%posible para sobrescribir los discos en el host? lo 9ue li%ita la posibilidad de da0os lo 9ue est2 en su %29uina virtual" &ara ello? basta con conectar el escritor de F a la %29uina virtual y realiDar la instalacin co%o lo hara en el %is%o siste%a operativo en una %29uina fsica" onsulte el '!ware
docu%entacin para obtener %2s infor%acin sobre la redireccin de HS#"
*">" Solucin de proble%as de instalacin

La gran %ayora de las veces? las instalaciones ter%inar2 sin proble%as" Si los proble%as surgen? la
secciones siguientes se describen los proble%as %2s co%unes y las %edidas adoptadas para resolverlos"
11
*">"(" Arrancar desde el Live D se produce un error

Debido a la a%plia ga%a de co%binaciones de hardware en uso? no es raro 9ue un D de arran9ue %al Jo noK" Los proble%as %2s co%unes y sus soluciones son: Sucio DI.:! Li%pie la unidad con un disco de li%pieDa o una lata de aire co%pri%ido? o utilice otra unidad" !edia #ad DI. uestiones del #3:S uestiones cable 3D@ &roble%as de arran9ue del cargador Grabar otro disco y 7 o grabar el disco a una velocidad inferior" Tal veD pruebe con otra %arca de %edios de co%unicacin" ActualiDar a la ;lti%a #3:S y deshabilitar cual9uier innecesarios perif6ricos tales co%o Firewire? unidades de dis9uete? y audio"
&ruebe con otro cable 3D@ entre la unidad de DI.:! y el 3D@
ontrolador o placa base Fa habido casos donde las versiones especficas de los D de Free#SD gestor de arran9ue no funciona en algunos siste%as" @n este caso? consulte la seccin anterior sobre c%o realiDar la instalacin en un disco duro & por separado y luego pasar al siste%a de destino"
Fay %2s t6cnicas de solucin de proble%as 9ue aparecen en la docu%entacin pfSense =iLi en Solucin de proble%as de arran9ue [Fttp:77doc"pfsense"org7inde/"php7#oot_Troubleshooting\"
*">")" Arrancar desde el disco duro despu6s de la instalacin de D no

Despu6s de 9ue el D de instalacin co%pleta y se reinicia el siste%a? hay algunas condiciones 9ue
puede i%pedir 9ue pfSense plena%ente el arran9ue" Las raDones %2s co%unes suelen ser #3:S o duro variador de velocidad relacionados" Algunos de estos puede resolverse eligiendo diferentes opciones para el gestor de arran9ue durante el proceso de instalacin? activar 7 desactivar el %odo de pa9uetes? o %ediante la instalacin de una tercera parte del gestor de arran9ue co%o G.H# (" ActualiDacin de la #3:S a la ;lti%a versin disponible
Ta%bi6n puede ayudar en este caso"

La alteracin de las opciones de SATA en el #3:S ha %eMorado el arran9ue en algunas situaciones ta%bi6n" Si un disco duro SATA se est2 utiliDando? e/peri%entar con ca%biar las opciones de SATA en el #3:S para
configuracin? tales co%o AF 3? Legacy? o 3D@"

(G.H#
es un gestor de arran9ue con %uchas caractersticas 9ue soporta varios siste%as operativos? los %edios de arran9ue? y siste%as de archivos" Su p2gina web es http:77
www"gnu"org7software7grub7"
1>
Al igual 9ue en la seccin anterior? hay %2s t6cnicas de solucin de proble%as enu%erados en el
la docu%entacin en lnea en Solucin de proble%as de arran9ue [Fttp:77doc"pfsense"org7inde/"php7
#oot_Troubleshooting\"
*">"*" 3nterfaD de enlace no se detect hasta

Si el siste%a se 9ueMa de 9ue la interfaD de enlace hasta 9ue no se detecta? en pri%er lugar asegurarse de 9ue el cable est6 desconectada y 9ue la interfaD no tiene luD de enlace antes de la eleccin de la deteccin de vnculos opcin" Ta%bi6n es posible 9ue desee probar o ree%plaDar el cable en cuestin" Despu6s de seleccionar la opcin?
enchufe el cable de nuevo en la interfaD y aseg;rese de 9ue tiene una luD de enlace antes de pulsar 3ntro"
Si un cable de red est2 conectado directa%ente entre dos siste%as y no con un interruptor de garantiDar? 9ue un cable cruDado [\ Fttp:77en"wiLipedia"org7wiLi7@thernet_crossover_cable se est2 utiliDando" Algunos adaptadores nuevos pueden apoyar AutoI!D3G [http:77en"wiLipedia"org7wiLi7AutoI!D3G\ S se encargar2 de esto interna%ente? pero %uchos adaptadores %2s vieMos no" Del %is%o %odo? si la cone/in de un pfSense
siste%a a un switch 9ue no soporta AutoI!D3G? utilice un cable de cone/in directa parche"
Si la interfaD est2 conectado correcta%ente? pero pfSense a;n no detecta el enlace hasta el
interfaces de red se utiliDa no detecta correcta%ente enlace por alguna raDn" @n este caso?
asignar %anual%ente las interfaces es necesario"
*">"*"(" La asignacin %anual de interfaces

Si la funcin de deteccin auto%2tica no funciona? todava hay esperanDa de decir la diferencia entre tarMetas de red antes de la instalacin" Hna for%a es %ediante la direccin !A ? 9ue debe ser %ostrado al lado
a los no%bres de interfaD en la pantalla de asignacin: le0 08:00:27:26: a4: 04 le1 08:00:27:32: CE: 2f
La direccin !A es a veces i%preso en una pegatina en alg;n lugar fsica%ente en la tarMeta de red" Las direcciones !A ta%bi6n se asignan por el fabricante? y hay varias bases de datos en lnea 9ue le per%itir2 hacer una b;s9ueda inversa de una direccin !A con el fin de encontrar la e%presa 9ue hiDo
la tarMeta")
Las tarMetas de red de diferentes %arcas? %odelos o conMuntos de chips a veces se pueden detectar con diferentes conductores" &uede ser posible decir una tarMeta 3ntel utiliDando el fxp ade%2s de un controlador .ealteL tarMeta con la rl conductor %irando a las propias tarMetas y la co%paracin de las deno%inaciones
en el circuito"
)http:77www"C+CA"net7tools7%ac7?
http:77www"coffer"co%7%ac_find7? S http:77arulMohn"co%7%ac"pl? entre %uchos otros"
1A
Hna veD 9ue se deter%ina 9ue la tarMeta de red se utiliDar2 para una deter%inada funcin? escriba en la interfaD de
pantalla de asignacin cuando se le solicite" @n el eMe%plo anterior? le0 se =A< y le1 ser2 LA<" uando se le pida pri%ero para la direccin de LA<? se hara le1 y pulse @nter" A continuacin? cuando se le pida la =A<? el tipo le0? S pulse @nter" Dado 9ue no e/isten interfaces opcionales? un
%2s prensa de entrar? a continuacin? / co%pletar2 la tarea" @n casi todas las & de torre? la %2s alta
ranura & 3 ser2 la pri%era tarMeta de red? ordenados secuencial%ente en orden de arriba hacia abaMo" uando tienes tres 3ntel fxp tarMetas en un siste%a? la tarMeta de red superior es nor%al%ente fxp0? @l uno por debaMo de ese fxp1? S el
%2s baMa fxp2" @sto depende de la placa base? pero casi sie%pre es cierto" Si
tener una tarMeta de red a bordo 9ue es la %is%a %arca co%o un co%ple%ento de la <3 ? tenga en cuenta 9ue algunos siste%as se
lista de la tarMeta a bordo en pri%er lugar? y otros no"
*">"1" Solucin de proble%as de hardware

Si tiene proble%as con el hardware 9ue est2 intentando utiliDar? las siguientes sugerencias
ayudar2 a resolver en %uchos casos"
*">"1"(" 5uitar hardware innecesario

Si el siste%a contiene todo el hardware 9ue no se utiliDar2? retrelo" &or eMe%plo? si usted tiene reasignan un escritorio antiguo con una tarMeta de sonido? retire la tarMeta de sonido" @sto nor%al%ente no es un proble%a? pero puede causar proble%as y tiene el potencial de reducir el rendi%iento" Si es des%ontable y
no lo necesita? se lo 9uita"
*">"1")" Deshabilitar &<& :S en la #3:S

@sta es la solucin %2s co%;n para los proble%as de hardware" !uchas pantallas de configuracin del #3:S se tienen una configuracin de &<& :S o siste%a operativo &lug and &lay? 9ue se debe establecer en desacti$ar o >o" Algunos
tienen una configuracin para el siste%a operativo? 9ue por lo general se debe establecer en otros"
*">"1"*" ActualiDacin de la #3:S

La correccin de segundo %2s co%;n de proble%as de hardware es actualiDar la #3:S a la ;lti%a
revisin" La gente parece tener dificultades para creer esto? pero confa en %? slo haDlo" #3:S actualiDaciones co%;n%ente corregir errores en el hardware" <o es raro 9ue se encontr con proble%as inducidos por errores de hardware en siste%as 9ue tienen estable eMecutar =indows desde hace a0os" Supongo 9ue cual9uiera de las ventanas no provoca el error? o tiene un trabaMo en torno? co%o yo personal%ente he visto esto en %;ltiples ocasiones" Las cosas 9ue la actualiDacin del #3:S puede solucionar incluyen la falta de arran9ue? tie%po de %anteni%iento de los proble%as? y en general
la inestabilidad? entre otros"
1B
*">"1"1" .establecer la configuracin del #3:S a los valores de f2brica

Algunos siste%as de reciclado puede tener una atpica configuracin del #3:S de su uso anterior" La %ayora de
contiene una opcin 9ue le per%ite restablecer todos los aMustes a los valores de f2brica" Trate de hacer esto" Ta%bi6n
de verificacin Seccin *">"1")? NDeshabilitar &<& :S en la #3:SN de nuevo despu6s de hacer esto"
*">"1">" Deshabilitar hardware no utiliDado en la #3:S

Si la placa tiene integrado en los co%ponentes 9ue no se utiliDar2? trate de desactivar"
Los eMe%plos %2s co%unes incluyen el puerto paralelo? %ode%s a bordo? los dispositivos de audio? Firewire? posible%ente
HS# y los puertos serie a %enos 9ue usted planea usar una consola serie"
*">"1"A" :tras configuraciones de #3:S

Si su #3:S per%ite la configuracin de ad%inistracin de energa? trate de apagar o en" &uedes buscar cual9uier cosa cosa 9ue parece pertinente y tratar de ca%biar algunas cosas" Si llegas a este punto? el hardware es probable%ente una causa perdida y debe buscar alternativas de hardware" Ta%bi6n puedes ver para ver si su #3:S
tiene un registro de eventos 9ue puede enu%erar los errores de hardware? tales co%o fallas de prueba de %e%oria"
*">"1"B" :tros proble%as de hardware

Ta%bi6n podra haber alg;n proble%a con el hardware de destino? 9ue las pruebas de diagnstico con
software puede revelar" Debe probar el disco duro con software de diagnstico del fabricante? y poner a prueba la %e%oria con un progra%a co%o el %e%testCA b" @stas y %2s herra%ientas est2n disponibles en el NHlti%ate #oot D [http:77www"ulti%atebootcd"co%7\ N? 5ue se carga con %uchas
herra%ientas gratuitas de diagnstico de hardware"

Ta%bi6n aseg;rese de 9ue todos los fans est2n girando a gran velocidad? y 9ue no son co%ponentes de un sobrecalenta%iento" Si se trata de volver a utiliDar hardware antiguo? algunos co%pri%idos 7 aire co%pri%ido de li%pieDa de los ventiladores y disipadores de calor
puede hacer %aravillas"
*">">" &roble%as de arran9ue incrustado en el hardware AL3G

Si un siste%a e%bebido no arranca correcta%ente? conecte un cable de serie para el dispositivo y el %onitor el proceso de arran9ue en busca de pistas sobre c%o proceder" @l proble%a %2s co%;n ser2n los usuarios tanto de AL3G hardware" Si est2 utiliDando una tarMeta AL3G? usted tendr2 9ue asegurarse de 9ue el #3:S %2s reciente disponible en el %o%ento de escribir esto? +",,h? se carga en el tablero con el fin de arrancar de for%a adecuada
<ano#SD i%2genes de a%bos sectores" Hn AL3G en la necesidad de una actualiDacin del #3:S nor%al%ente presentan los siguientes snto%as en el arran9ue:
1C
PC Motores ALIX.2 v0.99 640 KB de memoria base 261.120 KB de memoria ampliada

01F0 Maestro 848A SanDisk SDCFH2-004G
Phys. C / H / S 7964/16/63 C Entrar / H / S 995/128/63 Un FreeBSD 2 FreeBSD Arranque: 1 ############ @l n;%ero de %arcas de al%ohadilla J`K poco a poco crecer2 con el tie%po co%o el arran9ue intenta continuar" Si este
co%porta%iento se ve? siga los procedi%ientos de actualiDacin del #3:S de su proveedor de por lo %enos la versin +",,h Ade%2s de necesitar la versin +",,h #3:S? el #3:S ta%bi6n se debe establecer para el %odo FS Jcilindro 7
$efe 7 Sector %odo para hacer frente a los datos en un discoK? co%o en el eMe%plo siguiente: PC Motores ALIX.2 v0.99h 640 KB de memoria base 261.120 KB de memoria ampliada 01F0 Maestro 848A SanDisk SDCFH2-004G Phys. C / H / S 7964/16/63 C Entrar / H / S 995/128/63 Configuracin de la BIOS: * 9 * 9600 (2) 19 200 baudios (3) 38 400 baudios (5) 57 600 baudios (1) 115.200 baudios ? % ? %@S !odo (L) el modo LBA (W) disco duro de espera (V) del disco duro esclavo (U) UDMA permiten (M) MFGPT solucin (P) a finales de inicio PCI * R * de serie de la consola permiten (E) de arranque PXE permiten (X) Xmodem subir (Q) Salir &ara llegar a esta pantalla? pulse S %ientras 9ue la prueba de %e%oria se %uestra en la consola serie" A continuacin? prensa % para ca%biar al %odo FS? a continuacin? pulse A deMar de fu%ar" @n este punto el AL3G debe arrancar de for%a adecuada ya sea de corte de una i%agen de <ano#SD"
1,
*"A" .ecuperacin de instalacin

Fay dos escenarios principales para la necesidad de reinstalar el siste%a" @n el pri%er caso? un disco duro o
dispositivo de al%acena%iento %asivo puede haber fallado y un r2pido instalar con una configuracin de copia de seguridad es necesario" @n el segundo caso? la configuracin sigue presente en el disco duro? pero algunos de los contenidos de el siste%a de archivos puede estar da0ado" pfSense ofrece un proceso f2cil y relativa%ente sin dolor para recuperando r2pida%ente de este tipo de proble%as? y si ninguno de estos escenarios se aplica entonces hay
sie%pre el %6todo tradicional de la restauracin de una configuracin desde dentro de la =ebGH3"
*"A"(" 3nstalador de preIvuelo .ecuperacin de la configuracin

pfSense tiene? co%o parte de la rutina de instalacin? un NpreIvuelo 3nstalarN o &F3" &F3 se busca una configuracin e/istente en una unidad HS# y usarlo en lugar de pedir una nueva configuracin" Al instalar un disco duro? el progra%a de instalacin copia esta configuracin" uando el
se co%plete el proceso? se reiniciar2 con el archivo de configuracin restaurada"

@n pri%er lugar? localiDar una unidad HS# 9ue es el for%ato FAT" Si funciona en =indows? es probable 9ue ya FAT
for%ato" ree un directorio en la raD de esta unidad HS# lla%ada conf"

olo9ue un archivo de configuracin en esta carpeta" Si la copia de seguridad provena de el pfSense =ebGH3? lo %2s probable es no%brado co%o el siguiente: configrouterhostname.example.com-20090520151000.xml" a%biar el no%bre de este archivo para config.xml" &ara obtener %2s infor%acin sobre c%o realiDar copias de seguridad? consulte aptulo >? #acLup y .ecuperacin" La unidad ahora debe estar listo para su uso" &ara corroborar 9ue la configuracin es en el lugar correcto? el
archivo debe estar en E: \ Conf \ config.xml si la unidad HS# E:" Sustituir el caso letra de unidad para el siste%a 9ue se utiliDa"
@/traiga la unidad HS# de la estacin de trabaMo? y luego ench;felo en el siste%a de pfSense se restaurado" &onga el D en vivo en su unidad de DI.:!? y arrancar el siste%a" Debe ser evidente 9ue el siste%a utiliDado la configuracin de la HS# y no del siste%a para configurar las interfaces" Lo ;nico 9ue 9ueda por hacer es seguir los pasos descritos en Seccin *")"1? N3nstalacin del disco duro
Drive N para realiDar una instalacin nor%al en un disco duro"

uando la instalacin haya finaliDado? apagar el siste%a? desenchufe la unidad HS#? y retire el D de instalacin" @ncienda el siste%a de nuevo? y debera arrancar con nor%alidad y estar en pleno funciona%iento" Si los pa9uetes estaban en uso? puede visitar los =ebGH3 y despu6s de la entrada 9ue se volver2 a instalar auto%2tica%ente"
>+
<ota
Tenga cuidado al 9uitar una unidad HS# de un siste%a de pfSense" Sie%pre es %2s segura de hacerlo cuando el poder est2 apagado" Si la unidad HS# se %onta por una 9ue eMecutan el siste%a pfSense y 9uitar sin des%ontar? el siste%a se blo9uear2 y reiniciar el siste%a con resultados posible%ente i%predecibles" Free#SD es incapaD de perder Actual%ente los siste%as de ficheros %ontados sin inducir el p2nico" @sto ya no ser2 un
te%a en Free#SD C"+"
*"A")" .ecuperacin de la configuracin instalada

Si partes de la instalacin en el disco duro no est2 trabaMando Jco%o resultado de un error de actualiDacin o
otra causaK? la configuracin se puede conservar al %is%o tie%po acabando con el resto de los archivos instalados"
Durante el proceso de instalacin? antes de elegir pfSense instalacin hay una opcin del %en; %arcada .escate config"/%l" uando se elige esta opcin? la configuracin se puede seleccionar desde cual9uier al%acena%iento %asivo los %edios de co%unicacin relacionada con el siste%a" @l proceso de instalacin se carga esta configuracin? y una veD
la reinstalacin co%pleta? el siste%a va a correr con la configuracin de rescatados"
*"A"*" =ebGH3 recuperacin

Si todo esto falla? proceder2 a efectuar una instalacin nor%al? co%o se describe anterior%ente en este captulo a continuacin? restaurar
la configuracin antigua visitando Diagnstico opia de seguridad 7 restauracin en la red una veD =ebGH3
conectividad ha sido restaurada" @n el 2rea .estaurar configuracin de la p2gina? haga clic en @/a%inar? encontrar el archivo de copia de seguridad de configuracin" Hna veD localiDado? haga clic en Abrir y? final%ente? haga clic en .estaurar De configuracin" La configuracin ser2 restaurada y el siste%a se reiniciar2 auto%2tica%ente" Despu6s de reiniciar el siste%a? la configuracin co%pleta debe estar presente" @ste proceso se describe con %ayor detalle en
Seccin >">? NLa restauracin de copias de seguridadN"
*"B" ActualiDar una instalacin e/istente

Los %edios de apoyo de la %eMora de la liberacin pfSense a otro depender2 de la platafor%a 9ue se utiliDa" @n la %ayora de los casos? pfSense puede ser fiable actualiDar a cual9uier otra versin sin perder
la configuracin e/istente"
Al %antener un siste%a de pfSense actualiDado con una versin actual apoyo? 9ue nunca ser2 obsoleto" Las nuevas versiones se liberan peridica%ente 9ue contienen nuevas caractersticas? actualiDaciones? correccin de errores? y varios otros ca%bios" @n la %ayora de los casos? la actualiDacin de una instalacin de pfSense es %uy f2cil" Si actualiDas a una nueva
liberacin 9ue es un slo un punto de desenganche Jpor eMe%plo? (")") a (")"*K? la actualiDacin debe ser %ni%a%ente invasiva
>(
y es i%probable 9ue cause proble%as" @l proble%a %2s co%;n es la regresin especficos del hardware
de una versin de Free#SD a otro? aun9ue esto sea %uy poco frecuente" ActualiDacin versiones fiMar %2s hardware
9ue se ro%pen? pero regresiones son sie%pre posibles" !2s grandes saltos? por eMe%plo de (")"* a )"+ en el futuro debe ser %aneMado con cuidado? y lo ideal sera probado en hardware id6ntico en una prueba
el %edio a%biente antes de su uso en la produccin"
*"B"(" Facer una copia de seguridad """ y un &lan de copia de seguridad

Lo pri%ero es lo pri%ero? antes de realiDar cual9uier %odificacin a un siste%a de pfSense? es una buena idea hacer una copia de seguridad" @n la =ebGH3? visita de diagnstico opia de seguridad 7 restauracin" @n la configuracin de copia de seguridad
seccin de la p2gina? aseg;rese de 9ue la Dona de copia de seguridad se establece en BCDCS? A continuacin? haga clic en Descargar configuracin"
Guardar este archivo en un lugar seguro? y no estara de %2s hacer varias copias" A9uellos con un pfSense &ortal [https: 7 7 portal"pfsense"org 7\ suscripcin debe considerar el uso de la configuracin de copia de seguridad auto%2tica
pa9uete? y hacer una copia de seguridad %anual to%a nota de la raDn co%o antes de la actualiDacin"
Ta%bi6n puede ser una buena idea tener a %ano para instalar los %edios de co%unicacin la liberacin actual%ente en eMecucin? en caso de 9ue algo va %al y una reinstalacin es necesario" Si eso ocurre? tiene el archivo de copia de seguridad en la %ano y se refieren a la anterior Seccin *"A? N3nstalacin de .ecuperacinN" Ta%bi6n se refieren a aptulo >?
#acLup y .ecuperacin"
*"B")" ActualiDacin de una instalacin incorporado

Antes de la versin (")"*? el ;nico (++] garantiDado %anera confiable de actualiDacin fue incorporado a la reI el flash de la F5 y restaurar una copia de seguridad de configuracin anterior despu6s" @ste %6todo todava puede ser
utiliDado? pero? gracias a la nueva versin incrustada <ano#SD basado en el uso de la (")"* hacia adelante
actualiDaciones fiables se puede realiDar co%o una instalacin co%pleta" ontinuar2 en la instalacin co%pleta
instrucciones de actualiDacin si ya est2 eMecutando la versin pfSense (")"* o %2s reciente"
<ota
Si va a actualiDar desde una versin anterior de pfSense hasta la versin (")"*? 9ue se todava tienen 9ue reflash la tarMeta con una nueva i%agen basada en <ano#SD" A partir de entonces se
puede actualiDar co%o de costu%bre"
*"B"*" ActualiDacin de una instalacin co%pleta

Fay varios %6todos disponibles para la actualiDacin de una instalacin co%pleta de pfSense" : bien el =ebGH3 o la consola se puede utiliDar? y cual9uiera de estos %6todos tiene un %edio de proporcionar una descarga
archivo de actualiDacin o tirar de una auto%2tica%ente desde 3nternet"
>)
*"B"*"(" ActualiDacin con la =ebGH3

Fay dos opciones para actualiDar utiliDando la interfaD web? con el %anual y auto%2tica actualiDacin" @n las secciones siguientes se describen estos %6todos de actualiDacin"
*"B"*"("(" !anual de actualiDacin de fir%ware

on el fin de realiDar una actualiDacin %anual del fir%ware? en pri%er lugar un archivo de actualiDacin tendr2 9ue ser descargado" @/a%inar para http:77www"pfsense"org y haga clic en el enlace de descarga" @n la p2gina de descargas? haga clic en el enlace de las actualiDaciones" @sto llevar2 a la p2gina de seleccin de espeMo" @liMa un espeMo geogr2fica%ente
cerca de su ubicacin para un %eMor rendi%iento" Hna veD 9ue el espeMo se ha seleccionado un directorio
anuncio aparecer2 con los archivos de actualiDacin para la versin actual de pfSense" Descargue el . Tgz archivo?
J&or eMe%plo? pfSense-Full-Update-1.2.3.tgzK S 9ue aco%pa0a a la . Md5 archivo para verificar la descarga" 'er Seccin *"("(? N o%probar la integridad de la descargaN en !D> para obtener detalles sobre
c%o utiliDar un . Md5 archivo" &ara instalar el archivo de actualiDacin? visite el pfSense =ebGH3" Faga clic en Siste%a Fir%ware" Faga clic en Fabilitar
argar fir%ware" Faga clic en el botn @/a%inar situado Munto al fir%ware de archivo de i%agen" #us9ue la actualiDacin archivo descargado en el paso anterior y haga clic en Abrir" &or ;lti%o? haga clic en la actualiDacin del Fir%ware botn" La actualiDacin tendr2 unos %inutos para cargar y aplicar? en funcin de la velocidad de la cone/in 9ue se utiliDa para la actualiDacin y la velocidad del siste%a de destino" @l firewall se reiniciar2
auto%2tica%ente cuando haya ter%inado"
*"B"*"(")" ActualiDacin auto%2tica

ActualiDacin auto%2tica es una caracterstica nueva 9ue pondr2 en contacto con un servidor pfSense"co% y deter%inar si hay es una versin %2s reciente en libertad 9ue la 9ue se eMecuta actual%ente" @sta co%probacin se realiDa cuando se visite la p2gina de actualiDaciones auto%2ticas 9ue se encuentran baMo el Siste%a Fir%ware? haga clic en la actualiDacin auto%2tica ficha en la =ebGH3" Si hay una nueva actualiDacin disponible? se %ostrar2" Faga clic en el botn para instalar el actualiDacin" La actualiDacin se to%e unos %inutos para descargar y aplicar? en funcin de la velocidad de la cone/in a 3nternet utiliDado y la velocidad del siste%a de destino" @l firewall se reiniciar2
auto%2tica%ente cuando haya ter%inado"

De for%a predeter%inada? la co%probacin de actualiDacin se refiere slo a las versiones de pfSense lanDado oficial%ente? pero es Ta%bi6n es posible utiliDar este %6todo para realiDar un segui%iento instant2neas ta%bi6n" La versin de actualiDacin se puede ca%biar visitando la ficha onfiguracin de actualiDacin? 9ue se encuentra in%ediata%ente a la derecha de la ficha de
actualiDacin auto%2tica" @s %2s seguro es utiliDar las versiones oficiales? ya 9ue ver la %ayora de las pruebas y debe ser raDonable%ente seguro y sin proble%as" Sin e%bargo? co%o con cual9uier actualiDacin? pri%ero debe visitar el sitio web de pfSense y
lea las notas de actualiDacin para esa versin"
>*
*"B"*")" ActualiDar %ediante la consola

Hna actualiDacin ta%bi6n puede ser eMecutado desde la consola" La opcin de la consola est2 disponible en cual9uier %edio
de acceso disponibles para la consola: 'ideo 7 teclado? consola serie o SSF" Hna veD conectado a la consola del siste%a pfSense a ser rehabilitado? iniciar el proceso de actualiDacin seleccionando la opcin de %en;
13"
*"B"*")"(" ActualiDar desde una H.L

Si la direccin H.L co%pleta a un archivo de actualiDacin de pfSense se sabe? esta es una buena opcin" Se evitar2 tener 9ue pri%ero descarga el archivo de actualiDacin slo para subirlo otra veD? ya diferencia de la caracterstica ActualiDaciones auto%2ticas
en la =ebGH3 ta%bi6n per%ite una ubicacin de actualiDacin del archivo de encargo para ser utiliDado" Desde el %en; de la consola de actualiDacin? seleccione la opcin 1 para la actualiDacin desde una direccin H.L" 3ntroduDca la direccin H.L co%pleta en el fichero de actualiDacin? tales co%o: http://files.pfsense.org/mirror/updates/pfSense-FullUpdate-1.2.3.tgz
onfir%e 9ue la actualiDacin se debe aplicar? y entonces debera ser descargados y
instalado" Hna veD finaliDada la instalacin? el router se reiniciar2 auto%2tica%ente"
*"B"*")")" ActualiDacin de un archivo local

Hn archivo de actualiDacin se puede descargar? co%o en el %anual de actualiDacin de fir%ware anterior? y luego se copia en el siste%a de pfSense a trav6s de scp o diagnsticos o%ando" &ara instalar un archivo? desde la consola actualiDacin del %en;? seleccione la opcin 2 para la actualiDacin de un archivo local y? a continuacin? escriba la ruta co%pleta a la archivo 9ue se ha subido? co%o / Tmp/pfSense-Full-Update-1.2.3.tgz" onfir%e 9ue la actualiDacin se debe aplicar? y entonces debe ser instalado de for%a auto%2tica" Despu6s de la instalacin
es co%pleto? el router se reiniciar2 auto%2tica%ente"
*"B"1" La actualiDacin de un Live D de instalacin

@n un siste%a por separado? descargar y 9ue%ar un D 9ue contiene la ;lti%a versin" Aseg;rese de 9ue se han trasladado su configuracin en un %edio e/trable JHS# o dis9ueteK desde el %en; de la consola J'6ase el Seccin 1"A"(>? N!over el archivo de configuracin de dispositivo e/trableNK" A continuacin? reinicie el pfSense router y arrancar con el nuevo D" uando las botas pfSense en el nuevo D? el al%acena%iento e/istentes
los %edios de co%unicacin 9ue contiene su configuracin se encuentra y se utiliDa"
>1
aptulo 1" onfiguracin

Despu6s de la instalacin? el router pfSense est2 listo para la configuracin" La %ayor parte de la configuracin
se realiDa %ediante el configurador de interfaD gr2fica de usuario basada en web Jweb onfiguratorK? o =ebGH3 para abreviar" <o son algunas de las tareas 9ue puede realiDar f2cil%ente desde la consola? ya se trate de un %onitor y teclado? %2s de un puerto serie? o a trav6s de SSF" Algunos de ellos pueden ser necesarias antes de 9ue usted pueda para acceder a la =ebGH3? por eMe%plo? si usted 9uiere traer a la LA< en una red LA< e/istente
con una direccin 3& diferente"
1"(" one/in a la =ebGH3

on el fin de llegar a la =ebGH3? debe conectarse desde otro & " @ste e9uipo podra estar directa%ente conectado con un cable cruDado? o conectados al %is%o con%utador" De for%a predeter%inada? la 3& LA< de un pfSense nuevo siste%a es (,)"(AC"("( con una %2scara 7 )1 J)>>")>>")>>"+K? y ta%bi6n hay un servidor DF & servidor 9ue eMecuta" Si el & se utiliDa para conectar se establece para obtener su direccin 3& por DF &? debe
slo una cuestin de apuntar su navegador web favorito para http:77(,)"(AC"("("

Si necesita ca%biar la direccin 3& de la LA< o deshabilitar DF &? esto se puede hacer desde la consola eligiendo la opcin )? a continuacin? introduDca la nueva 3& de LA<? %2scara de subred? y especificar si desea o no activar DF &" Si decide activar DF &? ta%bi6n se le pedir2 9ue introduDca el inicio y la poner fin a la direccin del conMunto DF &? lo 9ue podra ser cual9uier rango 9ue? co%o en el interior de la subred deter%inada" uando se deshabilita el servidor DF &? debe asignar est2tica%ente una direccin 3& en el pfSense subred de LA< del siste%a en el & se utiliDa para la configuracin? tales co%o 192.168.1.5? on
una %2scara de subred 9ue coincide con la dada a pfSense? co%o )>>")>>")>>"+"
Hna veD 9ue el & est2 conectado a la %is%a LA< 9ue el siste%a de pfSense? vaya a la direccin 3& de la LA<"
<ota
Tenga cuidado al asignar una nueva direccin 3& LA<" @sta direccin 3& no puede estar en el
%is%a subred de la =A< o de cual9uier otra interfaD activa"
1")" Asistente para la instalacin

Al navegar a la =ebGH3? pri%ero ser2 recibido por un inicio de sesin del siste%a" &or el no%bre de usuario
entrar ad!in y la contrase0a? introduDca pfSense"
>>
onfiguracin
Dado 9ue esta es la pri%era veD 9ue visita la =ebGH3? el asistente de configuracin se iniciar2 auto%2tica%ente? y
se ver2 co%o Figura 1"(? NAsistente de configuracin de inicio de la pantallaN" Faga clic en Siguiente para iniciar la configuracin
proceso"
Figura 1"(" Asistente para la instalacin de la pantalla 3nicio
1")"(" &antalla de infor%acin general

La siguiente pantalla JFigura 1")? N&antalla de 3nfor%acin GeneralNK Le pedir2 el no%bre de este pfSense router? y el do%inio en el 9ue reside" @l no%bre de host puede ser cual9uier cosa 9ue te gusta? sino 9ue debe co%enDar con una letra? y luego puede contener letras? n;%eros? o un guin" Despu6s de el no%bre de host? escriba un do%inio? por eMe%plo? e-a!ple.co!" Si no tienes un do%inio? puede utiliDar <algo>. #ocales? Donde <algo> es todo lo 9ue 9uieras: un no%bre de e%presa? su apellido? apodo? y as sucesiva%ente" @l no%bre de host y el no%bre de do%inio se co%binan para for%ar el
no%bre de do%inio co%pleto de su router"

@l servidor D<S pri%ario y el servidor D<S secundario puede ser llenado? si se conoce" Si usted est2 utiliDando un tipo din2%ico =A< co%o DF &? &&T& o &&&o@? estos por lo general se asignado auto%2tica%ente por el 3S& y puede deMarse en blanco" @stos tipos de =A< se e/plican en
%2s detalle %2s adelante en el asistente de configuracin" Faga clic en Siguiente cuando haya ter%inado"
>A
onfiguracin
Figura 1")" &antalla de infor%acin general
1")")" <T& y onfiguracin del huso horario

La siguiente pantalla JFigura 1"*? NEona de <T& y el tie%po de la pantalla de configuracinNK Tiene un lugar para una red
Ti%e &rotocol J<T&K? y la Dona horaria en la 9ue este servidor reside" A %enos 9ue tenga una preferencia especfica por un servidor <T& co%o uno dentro de su LA<? lo %eMor es deMar el Tie%po
servidor de no%bre de host en el valor predeter%inado 0.pfsense.pool.ntp.org? 5ue recoger2 los servidores al aDar de un grupo de hosts <T& en buen estado"
&ara la seleccin de Dona horaria? seleccione una Dona geogr2fica%ente no%bre 9ue %eMor coincide con el pfSense siste%a de localiDacin" <o utilice el G!T JGreenwich !ean Ti%eK co%pensar las Donas de estilo" &ara obtener %2s infor%acin? consulte Seccin 1"B"(? NEonas de Tie%poN %2s adelante en este captulo" uando ter%ine? haga clic en Siguiente para
continuar"
Figura 1"*" <T& y la pantalla de configuracin de Dona horaria
>B
onfiguracin
1")"*" onfiguracin de =A<

@stos p2rrafos pr/i%os y sus i%2genes asociadas ayudar2 a guiar a trav6s de la creacin de
la interfaD =A< en el siste%a de pfSense" Dado 9ue este es el lado 9ue da a su 3S& o aguas arriba router? hay opciones de configuracin para el apoyo de varios tipos co%unes de cone/in 3S&" La pri%era eleccin es para el tipo de =A< JFigura 1"1? N onfiguracin de la =A<NK" @ste debe coincidir con lo su 3S& soporta? o lo 9ue sea el router anterior se ha configurado para su uso" @ntre las posibles opciones son @st2tica? DF &? &&&o@ y &&T&" La opcin por defecto es DF & ya 9ue es %uy co%;n y? en %ayora de los casos per%iten 9ue un router Nslo trabaMoN sin ninguna configuracin adicional" Si no est2 seguro 9ue la =A< tipo de uso o de los ca%pos para configurar? tendr2 9ue obtener esta infor%acin
de su 3S&"
<ota
Si usted tiene una interfaD inal2%brica para la interfaD =A<? algunas opciones adicionales puede parecer 9ue no est2n cubiertas en este tutorial de la instalacin est2ndar Asistente" Hsted puede referirse a aptulo (C? =iIfi? 5ue tiene una seccin sobre =ireless =A< para obtener infor%acin adicional" @s posible 9ue deba o%itir la configuracin de la =A< por ahora?
a continuacin? realiDar la configuracin inal2%brica despu6s"
Figura 1"1" onfiguracin de =A<

La direccin !A de ca%po en la siguiente seccin JFigura 1">? N onfiguracin de la =A< en GeneralNK @s ;til para la sustitucin de un router e/istente con %ni%as co%plicaciones" Algunos proveedores de 3nternet? sobre todo las dirigidas por proveedores de cable? no funcionar2 correcta%ente si una nueva direccin !A se encuentra" Algunos re9uieren apagar y encender el %de%? otros re9uieren el registro de la nueva direccin con ellos por tel6fono" Si esta cone/in =A< est2 en un seg%ento de red con otros siste%as 9ue se bus9ue a trav6s de A.&? ca%biar la !A para 9ue coincida o %2s pieDas de e9uipo ta%bi6n puede ayudar a facilitar la transicin?
en lugar de tener 9ue borrar cach6s A.& o actualiDar las entradas A.& est2ticas"
La unidad de trans%isin %2/i%a J!THK? el ta%a0o del ca%po se ve en Figura 1">? N=A< General onfiguracin N <or%al%ente se puede deMar en blanco? pero se puede ca%biar si lo desea" Algunas situaciones pueden convocatoria de una !TH inferior para asegurar los pa9uetes son de ta%a0o apropiado para su cone/in a 3nternet" @n
%ayora de los casos? el valor por defecto asu%e valores para el tipo de cone/in =A< funciona correcta%ente"
>C
onfiguracin
Figura 1">" onfiguracin General =A<

Si la Nest2ticaN opcin para el tipo de =A< es elegido? la direccin 3&? %2scara de subred 3D.? y
&uerta de enlace debe ser co%pletado JFigura 1"A? N onfiguracin de 3& est2ticaNK" @sta infor%acin debe ser obtenidos a partir de su 3S& o 9uien controla la red de la =A< de su pfSense
router" La direccin 3& y puerta de enlace de a%bos deben residir en la %is%a subred"
Figura 1"A" onfiguracin de 3& est2tica

Algunos 3S& re9uieren un cierto no%bre de host DF & JFigura 1"B? Nno%bre de servidor !arcoNK para ser enviados Munto con la solicitud de DF & para obtener una direccin 3& =A<" Si no est2 seguro de 9u6 poner en este ca%po?
tratar de deMar en blanco a %enos 9ue indi9ue lo contrario por su 3S&"
Figura 1"B" DF & Fostna%e !arco

uando se utiliDa la cone/in &&&o@ J&ointIaI&unto sobre @thernetK tipo de =A< JFigura 1"C? N&&&o@ onfiguracin NK? debe al %enos rellenar los ca%pos para &&&o@ no%bre de usuario y contrase0a &&&o@" @stos ser2n proporcionados por su 3S&? y suelen ser en for%a de una direccin de correo electrnico? tales co%o !/co!pan/Dispe-a!ple.co!" @l no%bre del servicio &&&o@ puede ser re9uerida por algunos proveedores de 3nternet? pero a %enudo se deMa en blanco" Si tiene alguna duda? deMarlo en blanco o en contacto con su 3S& y pregunte si es
es necesario"
>,
onfiguracin
Acceso telefnico &&&o@ de la de%anda har2 9ue pfSense para deMar la cone/in abaMo 7 en lnea hasta 9ue los datos se
solicit 9ue se necesita la cone/in a 3nternet" cone/iones &&&o@ suceder %uy r2pido? por lo 9ue en %ayora de los casos el retraso? %ientras 9ue la cone/in se configura sera insignificante" Si planea eMecutar
los servicios detr2s de la caMa pfSense? no co%probarlo? ya 9ue se 9uiere %antener una lnea
con la %edida de lo posible en ese caso" Ta%bi6n tenga en cuenta 9ue esta opcin no va a caer una ya e/istente
cone/in"
@l tie%po de espera inactivo &&&o@ especifica c%o pfSense tie%po 9ue le per%itir2 la cone/in &&&o@ ir sin trans%isin de datos antes de desconectar" @sto es real%ente slo es ;til cuando se co%bina con
!arcar en la de%anda? y por lo general se deMa en blanco JdiscapacitadosK"
Figura 1"C" onfiguracin de &&&o@

@l &&T& J&ointItoI&oint Tunneling &rotocolK =A< tipo JFigura 1",? N&&T& =A< onfiguracin NK es la fuente de una cierta confusin" @sta opcin es para los proveedores de 3nternet 9ue re9uieren un &&T&
entrada? y no para la cone/in a un re%oto '&< &&T&" @stos aMustes? al igual 9ue el &&&o@
configuracin? ser2 proporcionado por su 3S&" A diferencia de &&&o@? sin e%bargo? con una =A< &&T& debe Ta%bi6n se especifica una direccin 3& local? la %2scara de subred 3D.? y establecer la direccin 3& re%ota a la
cone/in"
A+
onfiguracin
Figura 1"," &&T& onfiguracin =A<

@stas dos ;lti%as opciones? se ve en Figura 1"(+? N&iedraIen el filtrado de entrada :pcionesN? son ;tiles
para prevenir el tr2fico v2lido entren en su red? ta%bi6n conocido co%o N@l filtrado de entradaN" Fabilitacin #lo9ue .F (,(C .edes &rivadas blo9uear2 registrados redes privadas? tales co%o (,)"(AC"// (+"/// y de realiDar las cone/iones a la direccin de la =A<" Hna lista co%pleta de estos redes se encuentra en Seccin ("B"("(? NDirecciones 3& privadaN" @l #lo9ue #ogon redes opcin detener el tr2fico de venir en 9ue se obtiene de reservada o no asignado el espacio 3& 9ue no debe estar en uso" La lista de redes #ogon se actualiDa peridica%ente en el fondo? y no re9uiere %anual de %anteni%iento" redes #ogon se e/plican en Seccin A">"("1? N#ogon #lo9ue
.edes N" Faga clic en Siguiente para continuar cuando haya ter%inado"
Figura 1"(+" onstruido en el filtrado de entrada :pciones
A(
onfiguracin
1")"1" onfiguracin de la interfaD LA<

A9u se le da la oportunidad de ca%biar la direccin 3& de la LA< y la %2scara de subred JFigura 1"((?
N onfiguracin de LA<NK" Si no planea sie%pre sobre la cone/in de la red para cual9uier otra red a trav6s de '&<? el defecto est2 %uy bien" Si usted 9uiere ser capaD de conectarse a la red %ediante '&< desde ubicaciones re%otas? usted debe elegir un intervalo de direcciones 3& privadas %ucho %2s oscuro 9ue el %is%o (,)"(AC"("+7)1 co%;n" @spacio en el .F (,(C (B)"(A"+"+7() blo9ue de direcciones privado parece ser el %enos frecuente? as 9ue escoMa algo entre (B)"(A"// y (B)"*("// %enos para probabilidad de tener dificultades de conectividad '&<" Si la LA< es (,)"(AC"("/? y usted est2 en un punto de acceso inal2%brico utiliDando (,)"(AC"("/ J%uy co%;nK? no podr2 co%unicarse a trav6s de
la '&< I (,)"(AC"("/ es la red local? no a su red a trav6s de '&<"

Si la 3& de la LA< tiene 9ue ser ca%biado? introduDca a9u Munto con una nueva %2scara de subred" Tenga en cuenta 9ue si ca%bia esta configuracin? ta%bi6n tendr2 9ue aMustar la direccin 3& de su & ? libere o renueve su concesin DF &? o realiDar una NreparacinN o NDiagnsticoN en la interfaD de red cuando haya ter%inado
con el asistente de configuracin"
Figura 1"((" onfiguracin de LA<
1")">" @stableDca la contrase0a de ad%inistrador

A continuacin? debe ca%biar la contrase0a de ad%inistracin para la =ebGH3 co%o se %uestra en Figura 1"()? N a%biar la contrase0a ad%inistrativaN" @sta contrase0a debe ser algo fuerte y segura? pero no hay restricciones aplicadas de for%a auto%2tica" 3ntroduDca la contrase0a dos veces para estar seguro de 9ue ha sido
introducido correcta%ente? a continuacin? haga clic en Siguiente"
A)
onfiguracin
Figura 1"()" a%biar ontrase0a Ad%inistrativa
1")"A" FinaliDacin del Asistente para la instalacin

@se es el final del asistente de configuracin? haga clic en ActualiDar JFigura 1"(*? NpfSense ActualiDar =ebGH3NK y
=ebGH3 volver2 a cargar" Si ha ca%biado la 3& de la LA<? %odifica la direccin 3& de su & en consecuencia"
Ta%bi6n se le pedir2 la contrase0a de nuevo" @l no%bre de usuario sigue siendo ad!in"
Figura 1"(*" ActualiDar pfSense =ebGH3

@n este punto usted debe tener conectividad b2sica a 3nternet? o la red de la =A< secundarios" Los clientes de la LA< debe ser capaD de llegar a los sitios a trav6s del router pfSense" Si en cual9uier
veD 9ue se tenga 9ue repetir esta configuracin inicial? puede hacerlo en Siste%a @l progra%a de instalacin @l asistente desde la =ebGH3"
A*
onfiguracin
1"*" 3nterfaD de configuracin

o%o se ha visto? algunos de configuracin de interfaD se puede realiDar en la consola y en la configuracin
asistente para iniciar las cosas? pero los ca%bios ta%bi6n se pueden hacer despu6s de la configuracin inicial al visitar el
lugares apropiados en el %en; de interfaces"
1"*"(" Asignar interfaces

Si interfaces adicionales se a0aden despu6s de la instalacin? entonces se le puede asignar funciones al visitar
3nterfaces JAsignarK" Fay dos pesta0as a9u? las asignaciones de la interfaD y las 'LA<" J'LA<
configuracin se e/pone %2s adelante en aptulo (+? LA< virtuales J'LA<K"K Las asignaciones de la interfaD
pesta0a %uestra una lista de todas las interfaces actual%ente asignado: =A<? LA<? y cual9uier :&TG 9ue
configurado" Al lado de cada interfaD es una lista desplegable de todas las interfaces de red o puertos 9ue se encuentran en el siste%a? incluyendo interfaces de hardware real? as co%o interfaces 'LA<" La direccin !A
o 'LA< eti9uetas se %ostrar2n Munto a los no%bre de la interfaD para facilitar la identificacin"
Hsted puede ca%biar las interfaces actual%ente asignado al decantarse por un puerto de red nuevos? o a0adir un interfaD adicional :&TG haciendo clic" @sto a0adir2 otra lnea? con una interfaD nueva :&T? n;%ero %2s alto 9ue cual9uier interfaD de :&T e/istentes? o si no los hay? :&T(" De for%a predeter%inada? se seleccione auto%2tica%ente la interfaD disponible siguiente 9ue no est6 asignado" &or eMe%plo? si el obMetivo siste%a ha fxp0?fxp1? S fxp2? S ha establecido =A< fxp0? S LA< fiMado para fxp1? elegir para agregar otra interfaD asu%ir2 auto%2tica%ente :&T( se fxp2" Si usted tiene interfaces adicionales y esto no es el lugar previsto? y puede ser %odificado" Si los ca%bios son
hecho? aseg;rate de hacer clic en Guardar"
1"*")" De interfaD =A<

asi todas las opciones 9ue se encuentran en las interfaces =A< son id6nticos a los especificados en el la parte =A< del Asistente para la instalacin" @l tipo de =A< se puede ca%biar? as co%o la asignacin de un direccin 3& est2tica? %2scara de subred? puerta de entrada? la configuracin de DF &? &&&o@ y &&T&" Ta%bi6n puede activar o desactivar el blo9ueo de redes privadas y redes #ogon" Hna notable e/cepcin a esta es la tecnologa inal2%brica =A<? 9ue %ostrar2 las opciones de configuracin inal2%brica al lado de la tpica
=A< opciones"
Hna de las opciones disponibles a9u 9ue no se %uestra en el asistente de configuracin es la capacidad de deshabilitar la espacio de usuario de aplicacin FT&I&ro/y? ta%bi6n conocido co%o el ayudante de FT&" Si est2 eMecutando un FT& p;blico JFile Transfer &rotocolK detr2s de pfSense? es posible 9ue desee para 9ue el ayudante de FT& para 9ue cone/iones FT& funcione correcta%ente" Tenga en cuenta 9ue al hacer esto todas las cone/iones FT& se parecen
A1
onfiguracin
vienen desde el router pfSense ya estar2 actuando co%o un pro/y" 'er Seccin B"C"(? NFT&N de %2s infor%acin en profundidad sobre el pro/y FT& y te%as relacionados con el FT&"
1"*"*" 3nterfaD LA<

Algunas opciones adicionales para el lado de la LA< est2n disponibles en las interfaces LA< ade%2s de establecer la direccin 3&? 9ue fue cubierto en el Asistente para la instalacin"
@l puente con opcin puente de la interfaD LA< a otra interfaD en el siste%a" onsulte
a aptulo ,? &uente &ara obtener %2s infor%acin sobre el puente"

Al igual 9ue con la configuracin de la interfaD =A<? ta%bi6n hay una opcin para deshabilitar el espacio de usuario de FT&
aplicacin &ro/y" Hsted debe casi sie%pre deMar este habilitado" uando est2 activo en la LA<
lado? esto pro/y cone/iones FT& y hacerlo de %odo 9ue los clientes de la LA< pueden utiliDar la protocolo FT& nor%al%ente en %odo activo? y el pro/y se abrir2 y redireccionar los puertos adecuados
din2%ica%ente durante una sesin FT&"
1"*"1" 3nterfaces opcionales

ual9uier adicional opcional J:&TGK interfaces ta%bi6n se %ostrar2n en este %en;? baMo :&T(? :&T) """ :&TG? o no%bres de encargo dado a la interfaD" @stas interfaces tienen unas cuantas opciones %2s de
la interfaD LA<? pero %enos de la =A<" &ara habilitar una interfaD territorio palestino ocupado? pri%ero debe co%probar la Fabilitar opcional x 3nterfaD de casilla?
donde x es el n;%ero actual de la interfaD del territorio palestino ocupado 9ue est2 configurando" &or eMe%plo? en :&T(? dira Fabilitar una interfaD opcional" Ta%bi6n puede ca%biar el no%bre de esta interfaD %ediante la introduccin de una #reve descripcin" @sta descripcin JD!E? servidores de la :ficina? 3ngeniera? etcK aparecer2 en su lugar de N:&T(N en los %en;s y de configuracin" @sto hace 9ue sea %ucho %2s f2cil de recordar no slo lo 9ue es una interfaD para el? sino ta%bi6n para identificar a un interfaD para a0adir reglas de firewall o elegir
otras funciones de cada interfaD"

interfaces de :&T se puede fiMar para DF & o 3& est2tico? y co%o con la red =A< 9ue puede alterar el !A
direccin y !TH" Al igual 9ue el interfaD LA<? es posible 9ue ta%bi6n puente de una interfaD a otra :&T interfaD? uni6ndose a ellos en el %is%o do%inio de broadcast" Hsted puede usar esto para a0adir otro puerto
a la LA<? o crear un puente D!E"

Si va a ser una interfaD =A< :&TItipo? para una configuracin %ultiI=A<? debe entrar en una direccin de puerta de enlace 3&? as a %enos 9ue est6 utiliDando DF &" @n (")"/ pfSense slo se puede usar un servidor DF & o est2tico cone/in 3& por un perodo adicional de interfaD =A<? no un tipo &&&o@ o &&T& cone/in" @sta cuestin ser2 debatida en pfSense )"+" &ara obtener %2s detalles sobre la configuracin de %;ltiples
cone/iones =A<? consulte aptulo ((? !;ltiples cone/iones =A<"
A>
onfiguracin
La opcin de ayuda de FT& ta%bi6n est2 disponible" onsulte Seccin B"C"(? NFT&N para %2s infor%acin"
1"1" :pciones generales de configuracin

Algunas opciones de siste%a general se encuentran en Siste%a onfiguracin general? la %ayora de ellos se ver2 fa%iliares del asistente de configuracin"
@l no%bre de host y de do%inio? servidores D<S? los rganos de ad%inistracin de usuario y contrase0a? y el
Eona horaria y el servidor <T& de tie%po se puede ca%biar si se desea? co%o se e/plica en el asistente de configuracin"
$unto con la capacidad de ca%biar los servidores D<S? no hay otra opcin: la lista de ad%itidos del servidor D<S 9ue sea ree%plaDada por DF & 7 &&& en =A<" @ste es en esencia lo 9ue dice? si est2 %arcada? pfSense utiliDar2 los servidores D<S 9ue se asignan de for%a din2%ica por DF & o &&&" 5ue se utiliDar2 por el propio siste%a y co%o aguas arriba servidores D<S para el pro%otor de D<S" @stos servidores se
no se trans%ite a los clientes DF & detr2s del siste%a de pfSense? sin e%bargo"
@l puerto y el &rotocolo =ebGH3 =ebGH3 se puede establecer" FTT& y FTT&S est2n disponibles" La las %eMores pr2cticas sera el uso de FTT&S para 9ue el tr2fico =ebGH3 se cifra? sobre todo si la servidor de seguridad se gestiona de for%a re%ota" Traslado de la =ebGH3 a un puerto alternativo es ta%bi6n una buena t2ctica para %ayor seguridad? y se va a liberar los puertos de 3nternet est2ndar para su uso con el puerto o hacia delante otros servicios? co%o un pro/y s9uid" &or defecto? el =ebGH3 utiliDa FTT& en el puerto C+ para el %eMor
co%patibilidad y facilidad de configuracin inicial"

&or ;lti%o? un te%a ta%bi6n se puede elegir" 'arios est2n incluidos en el siste%a base? y slo
hacer cos%6ticos I ca%bios en la apariencia de la =ebGH3 I no funciona"
1">" :pciones avanDadas de configuracin

@n virtud del siste%a AvanDada se encuentra una gran cantidad de opciones 9ue son de car2cter %2s avanDado" <inguna de estas opciones debera ser necesario el aMuste de una base de enruta%iento y configuracin de <AT? pero es posible 9ue algunos de los ca%bios rigen por estas opciones le ayudar2 en la personaliDacin de la configuracin de su
de %anera beneficiosa"
Algunas de estas opciones pueden ser cubiertos en %2s detalle en otras secciones del libro en su
discusin sera %2s actual o relevante? pero todos ellos son %encionados a9u con una breve
descripcin"
1">"(" onsola serie

Si este siste%a pfSense va a correr Nsin cabeDaN Jsin teclado? vdeo? ratn adMuntoK 9ue puede ser deseable para habilitar esta opcin? 9ue se redirigir la consola de entrada 7 salida a la serie
AA
onfiguracin
puerto" @sto desactivar2 el teclado a bordo? vdeo y ratn? pero le per%itir2 conectar un
cable de %de% nulo al puerto serie y 9ue gestiona directa%ente desde otro & o dispositivo de serie" Despu6s de
de hacer cual9uier ca%bio? aseg;rese de hacer clic en Guardar cuando haya ter%inado"
&ara obtener %2s infor%acin sobre la cone/in a una consola serie? consulte Seccin *"*">"(? N onectar una serie
able N y Seccin *"*">")? N@%peDar un cliente de serieN"
1">")" Secure Shell JSSFK

@l Secure Shell JSSFK servidor puede ser activado a distancia 9ue per%itir2 a la consola y el archivo de gestin" Hsted puede conectar con cual9uier cliente est2ndar de SSF? co%o el co%ando de :penSSF lnea de cliente ssh? &uTTS? Secure .T o iTer%" : bien la =ebGH3 no%bre de usuario Jco%o ad%inistradorK o
la cuenta de root puede ser utiliDado? y a%bos aceptan la contrase0a =ebGH3 de entrada"
Las transferencias de archivos desde y hacia el siste%a de pfSense ta%bi6n son posibles %ediante el uso de una copia segura JS &K
cliente? co%o scp de :penSSF de lnea de co%andos? FileEilla? =inS & o Fugu" &ara usar S &? debe conectarse co%o usuario root no ad%in"
&ara habilitar el SSF? active la casilla Munto a Activar Secure Shell" Ta%bi6n es %2s seguro para %over el Servidor SSF a un puerto alternativo" Al igual 9ue con %over el =ebGH3 a un puerto alternativo? 9ue proporciona una pe9ue0a %eMora de la seguridad? y libera el puerto si desea 9ue lo re%ita a un siste%a interno"
&ara ca%biar el puerto? escriba el nuevo puerto en el cuadro del puerto SSF"
Ta%bi6n puede configurar SSF para per%itir 9ue slo los inicios de sesin basada en clave y no una contrase0a" &ara ello? visita Deshabilitar la contrase0a de inicio de sesin de Secure Shell J LA'@ sola%enteK y pegar las teclas per%ite p;blica en el AutoriDado laves ca%po de te/to" a%biar a la entrada ;nica clave basada en una pr2ctica %ucho %2s segura?
aun9ue hace falta ser un poco %2s de preparacin para configurar"

Si usted se encuentra en una situacin 9ue e/ige 9ue se deMe libre el acceso SSF por el firewall nor%as? 9ue puede ser peligroso? es %uy reco%endable 9ue en esta situacin 9ue a%bos se %ueven el servicio SSF en un puerto aleatorio suplentes? y ca%biar a la autenticacin basado en claves" @l logro de un puerto alternativo evitar2 9ue el ruido de registro de los intentos de fuerDa bruta de inicio de sesin SSF y e/ploraciones ocasionales" Todava se puede encontrar con un escaneo de puertos? por lo 9ue ca%biar a la autenticacin basada en claves sie%pre deben debe hacerse en cada servidor SSF de acceso p;blico para eli%inar la posibilidad de 6/ito bruta
ata9ues de fuerDa"
1">"*" Fsica co%partida de red

Si tiene dos o %2s interfaces 9ue co%parten la %is%a red fsica? co%o en un escenario en %;ltiples interfaces est2n conectados a la %is%a trans%isin de do%inio? la opcin ;nica en este seccin? se oculta la espuria %ensaMes A.& 9ue de otro %odo? la sobrecarga de los registros con in;tiles
las entradas"
AB
onfiguracin
1">"1" 3&vA
@n la actualidad? pfSense no es co%patible con 3&vA de filtrado? aun9ue las reglas %uy per%isiva podra per%itir
el tr2fico 3&vA 9ue la %ayora de los usuarios no esperan 9ue el tr2fico 3&vA a abandonar su red? ya 9ue no se utiliDa" o%o tal? el tr2fico 3&vA se blo9uea de for%a predeter%inada" Si usted re9uiere 3&vA para pasar el firewall? consulte la caMa para per%itir el tr2fico 3&vA" Ta%bi6n puede activar <AT encapsulado de pa9uetes 3&vA Jel protocolo 3& 1(7.F )C,*K co%probando 9ue la caMa y entrar en una direccin 3&v1 a 9ue los pa9uetes deben
se trans%itir2"
1">">" Filtrado de &uente

Antes de la versin (")"( de pfSense? no fue una eleccin de si o no para filtrar el tr2fico en el puente interfaces? retenido desde el %6todo %2s antiguo de tender un puente utiliDado en %+n+wall" !2s reciente de Free#SD co%unicados de utiliDar una %etodologa distinta puente 9ue hiDo la pri%era opcin obsoleta" Sin e%bargo una descripcin se conserva a9u para evitar confusiones? ya 9ue %uchos usuarios est2n acostu%brados a utiliDarla? y
es %encionado en nu%erosos lugares"
1">"A" =ebGH3 certificado SSL 7 clave

Al utiliDar el %odo FTT&S para la =ebGH3 para cifrar el acceso a la interfaD web? por defecto el siste%a utiliDar2 un certificado con fir%a personal" @so no es una situacin ideal? pero es %eMor 9ue nada cifrado en absoluto" @sta opcin le per%ite utiliDar un certificado e/istente para %eMorar a;n %2s la seguridad
y proteger contra los ata9ues N%anIinItheI%iddle"

Si usted tiene un certificado SSL e/istentes y la clave? usted puede pegar a9u" Ta%bi6n hay un enlace deno%inado N reacin de certificados de for%a auto%2ticaN? lo 9ue disparar2 una funcin interna de pfSense a
generar un nuevo certificado con fir%a personal en su lugar"

La desventaMa principal de usar un certificado personaliDado de autoIgenerada es la falta de fiabilidad de la la identidad del hu6sped? ya 9ue el certificado no est2 fir%ado por una autoridad de certificacin de confianDa por su navegador" Ade%2s? dado 9ue la %ayor parte de los usuarios de 3nternet? un certificado no v2lido debera ser considera un riesgo? los navegadores %odernos han estado co%batiendo en la for%a en 9ue se %aneMan" Firefo/? por eMe%plo? ofrece una pantalla de advertencia y obliga al usuario a i%portar el certificado y per%iten e/cepcin per%anente" 3nternet @/plorer %ostrar2 una pantalla de advertencia con un enlace para continuar" :pera
%ostrar2 un di2logo de advertencia 9ue ta%bi6n per%ite una derivacin per%anente"
1">"B" @9uilibrio de carga

@l te/to de la =ebGH3 e/plica %eMor opcin Adherido one/iones en esta seccin: Sucesivos cone/iones ser2n redirigidos a los servidores de una for%a de roundIrobin con cone/iones desde el
AC
onfiguracin
%is%a fuente 9ue se enva al %is%o servidor web" @sta Ncone/in pegaMosaN e/istir2 sie%pre y cuando
hay estados 9ue hacen referencia a esta cone/in" Hna veD 9ue los estados e/pirar2? por lo 9ue ser2 la cone/in pegaMosa"
:tras cone/iones de host 9ue ser2 re%itido a un servidor web? el pr/i%o en el round robin"
NSticLyN cone/iones son deseables para algunas aplicaciones 9ue dependen de las 3&s %is%o ser %antenido a lo largo de un deter%inado perodo de sesiones" @sto se utiliDa en co%binacin con la carga del servidor
e9uilibrio de la funcionalidad? describe con detalle en aptulo (B? Servidor de e9uilibrio de carga"
1">"C" 'arios
A pocas opciones 9ue no encaMan en ninguna otra categora se puede encontrar a9u"
1">"C"(" Dispositivo de votacin

dispositivo de votacin es una t6cnica 9ue per%ite 9ue el siste%a peridica%ente dispositivos sondeo de la red para los nuevos datos en lugar de depender de las interrupciones" @sto evita 9ue su =ebGH3? SSF? etc de ser inaccesibles debido a la interrupcin de las inundaciones cuando baMo carga e/tre%a? a costa de latencia ligera%ente superior Jhasta (
%sK" @ste suele ser innecesaria? a %enos 9ue su hardware es insuficiente"

Sondeo ta%bi6n re9uiere soporte de hardware en las tarMetas de red de su siste%a" De acuerdo con la de votacin J1K La p2gina %an para Free#SD B") Jsobre el cual se basa pfSense (")"*K? la bge (4)?CC (4)? em (4)?EFT (4)?fwip (4)?fxp (4)?ixgb (4)?educacin no formal (4)?ESN (4)?Re (4)?rl (4)? sf (4)?sis (4)?ste (4)?stge (4)?GVE (4)?vr (4)? S xl (4) dispositivos son co%patibles?
con el apoyo de otras pendientes en futuras versiones de Free#SD"
1">"C")" !en; de la consola

<or%al%ente? el %en; de la consola sie%pre se %uestre en la consola del siste%a? y estar2 disponible co%o sie%pre y cuando tenga acceso fsico a la serie o el vdeo de la consola" @n algunas situaciones esto no es deseable? por lo 9ue esta opcin per%itir2 a la consola para ser protegido por contrase0a" Hsted puede ingresar con el %is%o no%bre de usuario y contrase0a 9ue se utiliDa para la =ebGH3" Despu6s de configurar esta opcin? debe reiniciar el siste%a
el siste%a de pfSense antes de 9ue surtan efecto"
<ota
Si bien esto deMa de pulsaciones de teclas accidentales? y %antener a los usuarios ocasionales? esto no es en %ediante un %6todo de seguridad perfecto" Hna persona con conoci%ientos de acceso fsico podra restablecer las contrase0as Jv6ase Seccin 1"(+")? NFe olvidado la contrase0a con un errado consola NK" Debe tener en cuenta otros %6todos de seguridad fsica si es 9ue
un re9uisito de su instalacin"
A,
onfiguracin
1">"C"*" =ebGH3 antiIblo9ueo

De for%a predeter%inada? el acceso a la =ebGH3 en la interfaD LA< se dar2 sie%pre? independiente%ente de la
las reglas de filtrado definidas por el usuario" Al habilitar esta caracterstica per%ite un control %2s preciso sobre el cual LA< direcciones 3& pueden acceder a la =ebGH3? pero aseg;rese de tener una regla de filtrado en su lugar para per%itir 9ue
acceso antes de habilitar esta opcinX
<ota
.estableci%iento de la 3& LA< de la consola del siste%a ta%bi6n se restablecer2 esta opcin" Si encuentra blo9ueado despu6s de habilitar esto? elegir la opcin de %en; de la consola para configurar
la 3& de la LA<? y entrar en la direccin e/acta%ente la %is%a 3& y la infor%acin adMunta"
1">"C"1" .uta est2tica de filtrado

Las reglas de firewall bypass para el tr2fico en la opcin %is%a interfaD slo se aplica si se han definido una o %2s rutas est2ticas" Si est2 habilitada? el tr2fico 9ue entra y sale por la %is%a interfaD no se co%probar2 por el firewall" @sto puede ser deseable en algunas situaciones en las %;ltiples
subredes est2n conectadas a la %is%a interfaD"
1">"C">" 3&sec &referral SA

De for%a predeter%inada? el caso de varias asociaciones de seguridad 3&Sec JSAK partido? el %2s nuevo es preferible si se trata de por lo %enos *+ segundos de edad" Seleccione esta opcin para preferir sie%pre SA de edad en los nuevos" @sto rara veD es
deseable" &ara %2s infor%acin sobre asociaciones de seguridad? consulte Seccin (*"("(? NAsociacin de SeguridadN
1">"," Traffic Shaper y Firewall avanDado

@stas opciones se rigen algunas de las funcionalidades %2s avanDadas y el co%porta%iento de baMo nivel
filtrado de pa9uetes realiDado por pf"
1">","(" FT& .F ,>, datos solucin puerto de violacin

Solucin para los sitios 9ue violan .F ,>,? 9ue especifica 9ue la cone/in de datos se obtienen de %enos un puerto 9ue el puerto de co%andos Jnor%al%ente el puerto )+K" @sta solucin no e/pone a un riesgo %ucho %2s co%o el servidor de seguridad sigue siendo slo per%ite cone/iones a un puerto en el 9ue
el pro/y FT& est2 escuchando"
B+
onfiguracin
1">",")" #orrar DF bits en lugar de deMar caer

@sta es una solucin para los siste%as operativos 9ue generan pa9uetes frag%entados con el no
frag%ento JDFK bit" Linu/ <FS J<etworL File Syste%K es conocido por hacer esto" @sto har2 9ue el filtro de no deMar caer los pa9uetes tales? sino 9ue borrar el bit no frag%entar" @l filtro ta%bi6n aleatoriDar el ca%po de identificacin 3& de los pa9uetes de salida con esta opcin? para co%pensar
siste%as operativos 9ue estableDca el bit DF? pero establece un cero de identificacin 3& ca%po de cabecera"
1">","*" Servidor de seguridad de :pciones de opti%iDacin

Fay a9u algunas opciones 9ue controlan c%o el servidor de seguridad caduca establece lo siguiente: <or%al Alta latencia Agresivos onservador @l algorit%o de opti%iDacin est2ndar" HtiliDadas para las cone/iones de alta latencia? co%o los enlaces por sat6lite" @/pira cone/iones inactivas a %2s tardar el defecto" @/pira inactivo cone/iones %2s r2pidas" Hn uso %2s eficiente de la &H y la %e%oria pero puede caer cone/iones legti%as antes de lo esperado" Trata de evitar 9ue se caigan las cone/iones legti%as a e/pensas de %ayor uso de %e%oria y utiliDacin de la &H"
1">","1" Deshabilitar el firewall

Si opta por desactivar todos los filtros de pa9uetes? 9ue a su veD? el siste%a pfSense en una ruta de slo platafor%a" o%o consecuencia? <AT ta%bi6n se desactivar2"
1">",">" Desactivar Firewall de fregado

Desactiva la opcin de lavado de fondos de pensiones? 9ue a veces pueden interferir con <FS y el tr2fico &&T&" De for%a predeter%inada? pfSense utiliDa la opcin de fregar al aDarIid 9ue aleatoriDa la identificacin 3& ca%po de un pa9uete para %ayor seguridad? y frag%entos de la opcin de volver a %ontar la 9ue se vuelva a %ontar pa9uetes frag%entados antes de enviarlos a" !2s infor%acin sobre la funcin Scrub se pueden encontrar
en el :pen#SD &F Scrub Docu%entacin [http:77www"openbsd"org7fa97pf7scrub"ht%l\"
1">","A" Servidor de seguridad de @stados %2/i%o

@stablece el n;%ero %2/i%o de cone/iones de celebrar en la tabla de estado de servidor de seguridad" @l valor por defecto es de (+?+++ y debe ser suficiente para la %ayora de las instalaciones? pero se puede aMustar %ayores o %enores dependiendo de la carga y la %e%oria disponible" ada estado consu%e alrededor de ( Q# de %e%oria .A!? o apro/i%ada%ente ( !# de .A! por cada ( +++ estados? as 9ue aseg;rese de tener suficiente %e%oria .A! antes de au%entar este"
Servidor de seguridad de los estados se tratan %2s en Seccin A"(")? Nfiltrado con estadoN"
B(
onfiguracin
1">","B" Desactivar AutoIagreg reglas '&<

@sto desactiva auto%2tica%ente a0adido nor%as para 3&Sec? &&T&? y :pen'&<" <or%al%ente? cuando se
habilitar una de estas redes privadas virtuales? las reglas se agregan auto%2tica%ente a la interfaD adecuada 9ue per%itir el tr2fico a los puertos" Al desactivar estas reglas auto%2tico? usted puede tener un %ayor control
sobre las 9ue las direcciones pueden conectarse a la '&<"
1">"(+" <etworL Address Translation

@l Deshabilitar <AT .efle/in opcin? cuando est2 activada? desactive la creacin auto%2tica de <AT redirigir las nor%as para acceder a sus direcciones 3& p;blicas dentro de sus redes internas" @ste opcin est2 activada de for%a predeter%inada? las reglas de refle/in para <AT no se crean a %enos 9ue ca%bie este aMuste" <AT refle/in slo funciona en el puerto ele%entos tipo de desvo y no funciona para los grandes rangos de %2s de >++ puertos" onsulte Seccin B">? N.efle/in <ATN para una discusin sobre la
fondo de .efle/in <AT en co%paracin con otras t6cnicas co%o Split D<S"
1">"((" :pciones de hardware

Fay algunas opciones especficas del hardware 9ue se pueden establecer" @stas opciones general%ente se debe deMar
solo? a %enos 9ue uno de los casos %encionados se aplica a su hardware"
1">"(("(" Descarga de su%a de co%probacin de hardware

Al seleccionar esta opcin? se deshabilita la descarga de su%a de co%probacin de hardware" descarga de su%a de co%probacin se ro%pe en algunos de hardware? en particular algunas tarMetas .ealteL" @n raras ocasiones? los conductores pueden tener proble%as con de control de descarga y algunas tarMetas de red especfica" Los snto%as tpicos de la su%a de co%probacin roto descarga
incluyen los pa9uetes da0ados y un rendi%iento pobre"
1">"((")" Deshabilitar la carga gl/sb

@l procesador A!D Geode LG de Seguridad del blo9ue JglxsbK ontrolador se utiliDa principal%ente en Ali/ y SoeLris siste%as e%bebidos" @s un acelerador criptogr2fico 9ue puede %eMorar el rendi%iento de ciertos siste%as de cifrado? co%o A@SI()C" @sto puede %eMorar el rendi%iento de '&< y otros subsiste%as 9ue pueden A@S usoI()C? tales co%o SSF" @ste controlador puede entrar en conflicto con otras tarMetas aceleradoras de criptografa? tales co%o los de Fifn? y tienen prioridad sobre ellos? cuando a%bos se encuentran" Si usted tiene un Fifn tarMeta? debe configurar esta opcin para 9ue el glxsb dispositivo no est2 cargado" Si el controlador ya est2
en uso? debe reiniciar el siste%a despu6s de establecer esta opcin para 9ue pueda ser descargada"
B)
onfiguracin
1"A" onceptos b2sicos del %en; de la consola

Algunas tareas de configuracin y %anteni%iento ta%bi6n se puede realiDar desde la consola del siste%a" La
la consola puede ser alcanDado %ediante el teclado y el ratn? la consola de serie si est2 activado o el uso de incorporado? o usando SSF" A continuacin se %uestra un eMe%plo de lo 9ue el %en; de la consola ser2 si%ilar? pero
puede variar ligera%ente dependiendo de la versin y platafor%a" *** Bienvenidos a pfSense-1.2.3 de pfSense pfSense *** LAN -> fxp1 -> 192.168.1.1 WAN -> fxp0 -> 1.2.3.4 pfSense configuracin de la consola *********************** 0) Cerrar sesin SSH (solamente) 1) Asignar interfaces 2) Establecer la direccin IP LAN 3) Reiniciar contrasea webConfigurator 4) Restablecer los valores predeterminados de fbrica 5) Reiniciar el sistema 6) Sistema de Parada 7) Ping acogida 8) Shell 9) PFtop 10) Filtro de Registros 11) Reiniciar webConfigurator 12) pfSense desarrolladores Shell 13) Actualizacin de la consola 14) Desactivar Secure Shell (sshd) 98) Mover el archivo de configuracin de dispositivo extrable Ingrese una opcin:
Lo 9ue sigue es una descripcin general de lo 9ue es posible %ediante el uso de la %ayora de estas opciones" Al igual 9ue con otras opciones avanDadas? algunos de ellos pueden ser cubiertos con %2s detalle en otras secciones de la
libro en el 9ue la discusin sera %2s actual o relevante"
B*
onfiguracin
1"A"(" Asignar interfaces

@sto reiniciar2 la tarea de asignacin de interfaD? 9ue fue cubierto en detalle en Seccin *")"*?
NAsignacin de interfacesN y Seccin *">"*"(? N%anual de Asignacin de interfacesN" Hsted puede crear
interfaces 'LA<? reasignar las interfaces e/istentes? o asignar nuevos"
1"A")" @stablecer la direccin 3& de la LA<

@sta opcin se puede utiliDar de la %anera obvia? para establecer la direccin 3& de la LA<? pero ta%bi6n hay algunas otras tareas ;tiles 9ue suceden al restablecer la 3& de la LA<" &ara e%peDar? cuando esta se establece?
ta%bi6n tienes la opcin de convertir DF & encendido o apagado? y establecer el rango DF & 3&"
Si ha deshabilitado la regla =ebGH3 antiIblo9ueo? se le pedir2 9ue vuelva a habilitarlo" Ser2 Ade%2s del siste%a para volver a FTT& en el puerto por defecto si se utiliDa un puerto no est2ndar" @sto se hace para
ayudar a los 9ue pueden encontrarse blo9ueado el uso de la =ebGH3 recuperar el acceso"
1"A"*" &erd %i contrase0a web onfigurator

@sta opcin se restablecer2 el no%bre de usuario y contrase0a =ebGH3 de nuevo a ad!in y pfSense?
? respectiva%ente"
1"A"1" .establecer los valores predeter%inados de f2brica

@sto restaurar2 la configuracin del siste%a a los valores predeter%inados de f2brica" Tenga en cuenta 9ue esto no ser2? Sin e%bargo? realiDar ning;n ca%bio en el siste%a de archivos o los pa9uetes instalados en el siste%a operativo" Si usted sospecha 9ue los archivos del siste%a se han da0ado o alterado de alguna %anera no deseada? lo %eMor es hacer una copia de seguridad? y volver a instalar desde el D u otros %edios de instalacin" JTa%bi6n posible en el =ebGH3
Diagnstico en valores predeter%inados de f2bricaK
1"A">" .einicio del siste%a

@sto li%pia el apagado del siste%a de pfSense y reiniciar el siste%a operativo JDiagnstico .einiciar en
=ebGH3K"
1"A"A" Detener el siste%a

@sto li%pia apagar el siste%a y? o bien fuera de detener o de energa? dependiendo en el hardware apoyo" <o se reco%ienda para sacar sie%pre el enchufe de un siste%a en funciona%iento? incluso incrustados siste%as" Detener antes de 9uitar el poder es sie%pre la opcin %2s segura si alguna veD necesita dar vuelta
B1
onfiguracin
apagar el siste%a" @n siste%as e%bebidos? tirando del enchufe? es %enos peligroso? pero si el tie%po es %alo ta%bi6n podra ser perMudicial JDiagnstico Detener siste%a en el =ebGH3K"
1"A"B" &ing de acogida

Solicita una direccin 3&? 9ue se envi a tres peticiones de eco 3 !&" La produccin de la ping
se %uestra? incluyendo el n;%ero de pa9uetes recibidos? los n;%eros de secuencia? los tie%pos de respuesta?
y el porcentaMe de p6rdida de pa9uetes"
1"A"C" Shell
3nicia un shell de lnea de co%andos" !uy ;til? y %uy potente? pero ta%bi6n tiene el potencial de ser %uy peligroso" Algunas tareas de configuracin co%pleMa puede re9uerir 9ue trabaMan en la c2scara? y algunas tareas de reparacin son %2s f2ciles de lograr de a9u? pero sie%pre hay una oportunidad de causar da0os irreparables en el siste%a si no se %aneMa con cuidado" La %ayora de los usuarios pfSense nunca
tocar la concha? e incluso saben 9ue e/iste"

'eterano de usuarios de Free#SD puede sentir un poco co%o en casa? pero hay %uchos co%andos 9ue no est2n presentes en un siste%a de pfSense? ya 9ue las partes innecesarias del siste%a operativo se retiran por raDones
de restricciones de seguridad y ta%a0o"

La concha co%enD de esta %anera se tcsh? y la c2scara slo est2n disponibles en otros es %ierda" A pesar de 9ue puede ser posible instalar otros shells Jv6ase Seccin )1"1? NHtiliDacin de Software de los puertos de Free#SD Siste%a Jpa9uetesK NK &ara la co%odidad de a9uellos 9ue est2n %uy fa%iliariDados con el siste%a operativo? esto no es
reco%ienda ni se ad%ite"
1"A"," &Ftop
&Ftop le da una visin en tie%po real de los estados de firewall? y la cantidad de datos 9ue han enviado y recibidos" &uede ayudar a identificar las direcciones 3& y las sesiones de %o%ento est2 usando el ancho de banda? y ta%bi6n puede ayudar a diagnosticar otros proble%as de cone/in de red" 'er Seccin ))"A")? N %o ver con
pftop N para %2s detalles"
1"A"(+" Filtrar registros

HtiliDando la opcin de filtro .egistros? podr2s ver ninguna de las entradas de registro de filtro aparece en tie%po real? en su for%a cruda" Fay bastante %2s infor%acin 9ue se %uestra por la lnea de lo 9ue nor%al%ente se ven en la vista del registro de firewall en el =ebGH3 J@stado .egistros del siste%a? pesta0a FirewallK? pero no todos los de este
la infor%acin es f2cil de leer"
B>
onfiguracin
1"A"((" .einicie web onfigurator

.einiciar el web onfigurator se reiniciar2 el proceso del siste%a 9ue eMecuta el =ebGH3" @n raras
ocasiones puede haber un ca%bio 9ue puede ser 9ue necesite esto antes de 9ue entrar2 en vigor? o en %uy
algunos casos el proceso puede haberse detenido por alguna raDn? y reiniciar ser2 restaurar el acceso"
1"A"()" pfSense desarrolladores Shell Jantes de shell &F&K

La c2scara de desarrolladores? 9ue sola ser conocido co%o el pfSense shell &F&? es una herra%ienta %uy poderosa 9ue le per%ite eMecutar cdigo &F& en el conte/to del siste%a en eMecucin" Al igual 9ue con la consola nor%al? ta%bi6n puede ser %uy peligroso utiliDar? y f2cil para 9ue las cosas van %al" @ste es utiliDado principal%ente por los desarrolladores y los usuarios e/peri%entados 9ue est2n nti%a%ente fa%iliariDado con &F& y pfSense la
cdigo base"
1"A"(*" ActualiDacin de la consola

on esta opcin? se puede actualiDar %ediante la introduccin de una direccin H.L co%pleta a una i%agen del fir%ware pfSense? o una ruta de acceso co%pleta locales de una i%agen cargada de alguna otra %anera" @ste %6todo de actualiDacin es
cubiertos en %2s detalle en Seccin *"B"*")? NAu%entar el uso de la consolaN"
1"A"(1" Activar 7 Desactivar Secure Shell JsshdK

@sta opcin le per%itir2 ca%biar el estado del de%onio de Secure Shell? sshd" Funciona
de %anera si%ilar a la %is%a opcin en el =ebGH3 cubiertos anterior%ente en este captulo? pero es accesible
desde la consola"
1"A"(>" !ueva el archivo de configuracin de dispositivo e/trable

Si desea %antener la configuracin del siste%a de al%acena%iento e/trable? co%o una %e%oria HS# unidad? esta opcin se puede utiliDar para trasladar el archivo de configuracin" Hna veD usado? aseg;rese de asegurarse de 9ue los %edios de co%unicacin es accesible en tie%po de arran9ue para 9ue pueda volver a cargar" @sto no es un %6todo nor%al de copias de seguridad de la configuracin" &ara infor%acin sobre c%o hacer copias de seguridad? consulte aptulo >? opia de seguridad y
.ecuperacin"
1"B" SincroniDacin de la hora

@l tie%po y los proble%as del reloM no son tan poco frecuentes en la configuracin de cual9uier siste%a? pero se puede i%portante hacerlo bien en los routers? sobre todo si est2 realiDando cual9uier tipo de tareas 9ue i%plican
validacin de certificados co%o parte de una infraestructura de &Q3" :btencin de sincroniDacin de tie%po para trabaMar
adecuada%ente es ta%bi6n una necesidad absoluta en siste%as e%bebidos? algunos de los cuales no tienen una batera
BA
onfiguracin
a bordo para preservar su fecha y la hora cuando se desconecta la ali%entacin" <o puede haber algunas
peculiaridades de obtener no slo una fecha adecuada y el tie%po en el siste%a? y %antener de esa %anera? pero
ta%bi6n en asegurarse de 9ue la Dona horaria est2 bien refleMada"

<o slo va a conseguir esta ayuda en lnea en todas las tareas crticas del siste%a? pero asegura ta%bi6n 9ue su los archivos de registro est2n debida%ente fechados? 9ue puede ser de gran ayuda en la solucin de proble%as? el %anteni%iento de registros?
y la gestin general del siste%a"
1"B"(" Eonas de tie%po

Hsted ver2 un co%porta%iento inesperado si se selecciona una de las co%pensaciones de tie%po con G!T Dones"The son lo contrario de lo 9ue esperas de ellos se basar2 en sus no%bres" &or eMe%plo? la G!TI> Dona es real%ente G!T %2s horas >" @sto viene de la base de datos TE 9ue Free#SD y
%uchos otros siste%as operativos Hni/ y Hni/Ico%o el uso"

Garrett =oll%an describe la raDn de esto en un Free#SD &. entrada de la base de datos [http:77
www"freebsd"org7cgi79ueryIpr"cgi8prc)1*C>\: @stas Donas se incluyen la co%patibilidad con los antiguos siste%as H<3G" Hsted tienen %2s probabilidades de convencer a los desarrolladores de bases de datos TE a caer por co%pleto de lo 9ue van a conseguir 9ue ca%bien las definiciones" @n cual9uier caso? Free#SD seguir la pr2ctica de la base de datos TE"
Actual%ente conta%os con un billete abierto para e/a%inar este asunto confuso para pfSense )"+" &ode%os 9uitar todas estas Donas con G!T desde la interfaD web por co%pleto" @n este %o%ento? se reco%ienda utiliDar
slo el no%bre husos horarios y no las Donas con G!T"
1"B")" Tie%po de !anteni%iento de &roble%as

&uede eMecutar en el hardware 9ue tiene proble%as i%portantes de %anteni%iento de tie%po" Todos los reloMes de la & a la deriva hasta cierto punto? pero usted puede encontrar un poco de hardware 9ue se deriva tanto co%o un %inuto por cada par de %inutos 9ue pasan y recibe co%pleta%ente fuera de sincroniDacin con rapideD" <T& est2 dise0ado de for%a peridica actualiDar la hora del siste%a para dar cuenta de la deriva nor%al? raDonable%ente? no puede corregir los reloMes 9ue la deriva de %anera significativa" @sto es %uy raro? pero si lo encuentro? el siguiente es9ue%a se
las cosas 9ue suelen solucionar este proble%a"

Fay cuatro cosas para co%probar si se encuentra con el hardware con el tie%po de %anteni%iento de i%portantes proble%as"
1"B")"(" &rotocolo de red Tie%po

De for%a predeter%inada? pfSense est2 configurado para sincroniDar su hora con el ntp"org de tie%po de red &rotocol J<T&K grupo de servidores" @sto asegura una fecha e/acta y la hora en su siste%a? y
BB
onfiguracin
cabida a la deriva reloM nor%al" Si la fecha de su siste%a y el tie%po son correctos? aseg;rese de <T& sincroniDacin funciona" @l proble%a %2s co%;n es la prevencin de la sincroniDacin la falta de configuracin de D<S correcta en el firewall" Si el servidor de seguridad no puede resolver no%bres de host? el sincroniDacin <T& fallar2" Los resultados de la sincroniDacin se %uestran en el arran9ue de la
registro del siste%a"
1"B")")" ActualiDaciones de #3:S

Fe visto a hardware antiguo 9ue corri bien durante a0os en el encuentro de =indows hora nor%al de las principales
proble%as despu6s de su repliegue en Free#SD Jy en consecuencia pfSense?K" Los siste%as se
eMecutando una versin de varias revisiones del #3:S de la fecha" Hna de las revisiones dirigi una crono%etraMe cuestin 9ue al parecer nunca afectadas de =indows por alguna raDn" La aplicacin de la #3:S actualiDacin solucionado el proble%a" Lo pri%ero 9ue debe co%probar es asegurarse de 9ue tiene la ;lti%a
#3:S de su siste%a"
1"B")"*" &<& configuracin de siste%a operativo en la #3:S

!e he encontrado con otro hardware 9ue tuvo tie%po de %anteni%iento de las dificultades en Free#SD y pfSense
a %enos &<& :S en el #3:S se pone en N<oN" Si su #3:S no tiene una configuracin de &<& :S
opcin? buscar un Nsiste%a operativoN aMuste y en N:trosN"
1"B")"1" Deshabilitar A &3

Algunos proveedores de #3:S han producido A &3 JAdvanced onfiguration and &ower 3nterfaceK i%ple%entaciones 9ue est2n en el %eMor de los buggy y peligrosos en el peor" @n %2s de una ocasin han encontrado 9ue los siste%as de arran9ue o no funcione correcta%ente si se ha desactivado la co%patibilidad con A &3
en el #3:S y 7 o en el siste%a operativo"

La %eMor %anera de desactivar A &3 en el #3:S" Si no hay opcin de #3:S para desactivar A &3? a continuacin? puede intentar correr sin ella de dos %aneras diferentes" @l pri%er %6todo? te%poral es deshabilitar A &3 en el arran9ue" Te%prano en el proceso de arran9ue? aparece un %en; con varias opciones? una de los cuales es de arran9ue pfSense con discapacidad A &3" Al elegir este? A &3 se desactivar2 para este
de inicio ;nico" Si el co%porta%iento %eMora? entonces debera deshabilitar A &3 de for%a per%anente"
&ara desactivar per%anente%ente A &3? debe agregar un valor a la / Boot / device.hints archivo" Hsted &ara ello? la navegacin de los Diagnsticos @ditar archivo? introduDca / Boot / device.hints y luego
haga clic en argar" A0adir una nueva lnea al final y luego escriba: hint.acpi.0.disabled = "1" A continuacin? haga clic en Guardar"
BC
onfiguracin
&ara una for%a alternativa de hacer esto? a partir de diagnsticos De co%andos o desde una shell tipo? lo siguiente: #ec0o E0int.acpi.0.disa)led * 1EFF 6 )oot 6 de$ice.0ints
<ota
La / Boot / device.hints archivo se sobrescribir2n durante la actualiDacin" Se consciente de 9ue tendr2 9ue repetir este ca%bio despu6s de realiDar una actualiDacin de fir%ware"
1"B")">" AMuste Ti%ecounter !arco de hardware

@n %uy pocos siste%as? el valor sysctl Lern"ti%ecounter"hardware posible 9ue tenga 9ue ser ca%biado a corregir un reloM ine/acta" &ara probar esto? vaya a Diagnsticos o%ando y eMecutar la
siguientes: #1ern.ti!eco(nter.0ard2are s/sctl-2 * i82"7

@sto har2 9ue el siste%a de utiliDar el chip ti%ecounter iC)>1? 9ue nor%al%ente %antiene la hora buena? pero
puede no ser tan r2pido co%o otros %6todos" Las opciones ti%ecounter otros se e/plicar2 %2s adelante"
Si el siste%a %antiene la hora correcta%ente despu6s de realiDar este ca%bio? usted necesita para hacer este ca%bio
per%anente" @l ca%bio anteriores no sobrevivir2 a un reinicio" @/a%inar para diagnstico
@dicin de archivos? la carga / Etc / sysctl.conf? S a0adir esto al final: kern.timecounter.hardware = i8254
Faga clic en Guardar y? a continuacin? 9ue el estableci%iento debe ser ledo de nuevo en el siguiente inicio" Alternativa%ente? usted podra
agregue la lnea utiliDando un %6todo si%ilar al deshabilitar A &3 arriba: #ec0o E1ern.ti!eco(nter.0ard2are i82"7 *EFF 6 etc 6 s/sctl.conf
<ota
La / Etc / sysctl.conf archivo se sobrescribir2n durante la actualiDacin" Tenga en cuenta
9ue tendr2 9ue repetir este ca%bio despu6s de realiDar una actualiDacin de fir%ware"
Dependiendo de la platafor%a y el hardware? ta%bi6n puede haber otros ti%ecounters a intentarlo" &ara una
lista de ti%ecounters disponibles se encuentran en su siste%a? eMecute el siguiente co%ando: #1ern.ti!eco(nter.c0oice s/sctl
A continuacin? debera ver una lista de ti%ecounters disponibles y su NcalidadN seg;n lo infor%ado por Free#SD:
B,
onfiguracin
kern.timecounter.choice: TSC (-100) ACPI de seguridad (850) i8254 (0) ficticia (-1.000.000) A continuacin? podra tratar de probar cual9uiera de los cuatro valores para el Lern"ti%ecounter"hardware sysctl
aMuste" @n t6r%inos de NcalidadN en este listado? cuanto %ayor sea el n;%ero? %eMor? pero real de la
facilidad de uso vara de siste%a a siste%a" @l TS es un contador de la &H? sino 9ue est2 vinculada a la velocidad de reloM y no es legible por otras &Hs" @sto hace 9ue su uso en siste%as S!& i%posible? y en a9uellos con procesadores de velocidad variable" @l iC)>1 es un chip de reloM 9ue se encuentran en la %ayora del hardware? 9ue tiende a ser seguro? pero puede tener algunos proble%as de rendi%iento" @l contador de A &3 de seguridad? si el apoyo adecuado en el hardware disponible? es una buena opcin? ya 9ue no sufren de la li%itaciones de rendi%iento de iC)>1? pero en la pr2ctica su precisin y la velocidad varan a%plia%ente dependiendo sobre la aplicacin" @sto y %2s infor%acin sobre Ti%ecounters Free#SD se puede encontrar en el de papel Ti%ecounters: @ficiente y crono%etraMe preciso en n;cleos S!& [http:77phL"freebsd"dL7 pubs 7\ ti%ecounter"pdf por &oulIFenning Qa%p del &royecto Free#SD"
1"B")"A" AMuste la frecuencia del te%poriDador del Lernel

@n algunos casos ta%bi6n puede ser necesario aMustar la frecuencia del te%poriDador del Lernel? o n;cleo Lern"hD ar%onioso" @sto es especial%ente cierto en entornos virtualiDados" @l valor por defecto es (+++? pero en algunos casos de (++? >+ o incluso (+ ser2 un %eMor valor en funcin del siste%a" uando se pfSense instalado en '!ware? 9ue detecta y configura auto%2tica%ente el (++? 9ue debera funcionar bien en casi todos los casos con los productos de '!ware" Al igual 9ue con el ti%ecounter aMuste anterior? para aMustar este aMuste 9ue a0adir una lnea a / Boot / loader.conf con el nuevo valor: kern.hz = 100
1"C" Solucin de proble%as

@l Asistente para la instalacin y las tareas relacionados con la configuracin funcionar2 para la %ayora? pero puede haber algunos cuestiones conseguir pa9uetes a fluir con nor%alidad en sus direcciones previsto" Algunas de estas cuestiones puede ser ;nico para su configuracin particular? pero se puede trabaMar a trav6s con algunos proble%as b2sicos"
1"C"(" <o se puede acceder desde la LA< =ebGH3

Lo pri%ero 9ue debe verificar si usted no puede acceder a la =ebGH3 de la LA< es el cableado" Si est2n directa%ente la cone/in de un & cliente a un interfaD de red en un siste%a de pfSense? usted puede necesitar una cable de cone/in a %enos 9ue uno o dos tarMetas de red de apoyo de AutoI!D3G"
Hna veD 9ue est6 seguro de 9ue hay una luD de enlace en a%bos tarMeta de red del cliente y la red LA< pfSense la interfaD? el siguiente paso es co%probar la configuracin T & 7 3& en el & desde el 9ue se tratando de conectar" Si el servidor DF & est2 habilitado en el siste%a de pfSense? ya 9ue ser2 por defecto? asegurar 9ue el cliente ta%bi6n se establece para DF &" Si el DF & est2 desactivado en el siste%a de pfSense? 9ue
C+
onfiguracin
tendr2 9ue codificar una direccin 3& en el cliente 9ue residen en la %is%a subred 9ue el pfSense
siste%a de direccin 3& LA<? con la %is%a %2scara de subred? y utiliDar la direccin 3& LA< pfSense co%o
su puerta de enlace y servidor D<S"

Si la configuracin de cableado y la red es correcta? usted debe poder hacer ping a la 3& LA< del
siste%a de pfSense desde el & cliente" Si puede hacer ping? pero sigue sin poder acceder a la =ebGH3? todava hay algunas cosas %2s para intentarlo" @n pri%er lugar? si el error 9ue recibe en la & cliente es un
restableci%iento de la cone/in o el fracaso? a continuacin? o el de%onio del servidor 9ue eMecuta el =ebGH3 no se est2 eMecutando?
o si est2 intentando acceder a 6l desde un puerto e9uivocado" Si el error 9ue recibe es en ca%bio una cone/in
tie%po de espera? 9ue apunta %2s hacia una regla de firewall"

Si recibe un restableci%iento de la cone/in? puede 9ue intenta reiniciar el proceso del servidor de la =ebGH3
consola del siste%a? por lo general la opcin ((" @n caso de 9ue no ayuda? iniciar un shell de la consola Jopcin
CK? y escriba: #soc1stat 5 grep lig0ttpd

@sto debera devolver una lista de todos los procesos 9ue se eMecutan lighttpd? y el puerto en los 9ue se
!;sica? as: raz lighttpd 437 9 TCP4 *: 80 *: *

@n esa salida? %uestra 9ue el proceso est2 escuchando en el puerto C+ de cada interfaD? pero 9ue puede variar seg;n la configuracin" &ruebe a conectar a la pfSense 3& LA< utiliDando ese puerto directa%ente? y con http y https" &or eMe%plo? si tu 3& LA< fue (,)"(AC"("(? y se escucha
en el puerto C)? intenta 0ttp:66192.168.1.1:82 y 0ttps: 6 6 192.168.1.1:82"

Si recibe un tie%po de espera de cone/in? consulte Seccin 1"(+? N5u6 hacer si se blo9uea de =ebGH3 N" on una cone/in de red ha configurado correcta%ente? esto no debera ocurrir? y 9ue
seccin ofrece vas de solucin de proble%as regla de firewall"

Ta%bi6n es una buena idea para corroborar 9ue la =A< y LA< no est2n en la %is%a subred" Si =A< se establece para DF & y est2 conectado detr2s de otro router <AT? ta%bi6n pueden estar usando (,)"(AC"("(" Si la %is%a subred 9ue est2 presente en =A< y LA<? resultados i%previsibles 9ue puede suceder? incluyendo no ser capaD de enrutar el tr2fico o acceder a la =ebGH3" @n caso de duda? desconecte el cable de =A<?
reinicie el router pfSense? y vuelve a intentarlo"
1"C")" <o 3nternet desde la LA<

Si usted es capaD de llegar a la =ebGH3? pero no en 3nternet? hay varias cosas a considerar" La interfaD =A< no est6 correcta%ente configurado? la resolucin D<S puede no estar funcionando? no podra ser un proble%a con las reglas del firewall? las reglas <AT? o incluso algo tan si%ple co%o un local
puerta de entrada cuestin"
C(
onfiguracin
1"C")"(" Te%as de interfaD =A<

@n pri%er lugar? co%probar la interfaD =A< para asegurarse de 9ue pfSense ve co%o operacionales" 'aya a @stado
3nterfaces? y ver el estado de la interfaD =A< all" @l estado debe %ostrar co%o NarribaN" Si %uestra abaMo? vuelva a revisar el cableado y la configuracin de la =A< en interfaces =A<" Si son a trav6s de &&&o@ o &&T& para el tipo de =A<? hay una lnea de situacin 9ue indica si el cone/in &&& est2 activa" Si no funciona? intente presionar el botn onectar" Si eso no funciona?
o%pruebe todos los aMustes en interfaces =A<? che9ue o reiniciar el e9uipo 3S&
J!de% de cable o DSL? etcK? y tal veD consultar con su 3S& para obtener ayuda con respecto a la configuracin 9ue
se debe utiliDar"
1"C")")" &roble%as D<S .esolucin

Dentro de la =ebGH3? vaya a Diagnsticos &ing? e introduDca su direccin de puerta de enlace del 3S& si saberlo" Se cotiDa en estado 3nterfaces para la interfaD =A<" Si usted no sabe la puerta de entrada? puede intentar alguna otra direccin conocida v2lida co%o 7.2.2.2" Si usted es capaD de ping a esa direccin? a continuacin? repetir 9ue la prueba de ping %is%o desde su & cliente" Abra un s%bolo del siste%a o ventana de ter%inal? y ping esa %is%a direccin 3&" Si puede hacer ping a la direccin 3&? a continuacin? intente ping a un sitio por su no%bre co%o 222.google.co!" 3nt6ntelo de la pfSense =ebGH3 y de la & cliente" Si la prueba de ping 3& funciona? pero no puede hacer ping por no%bre? entonces hay un proble%a con la resolucin de D<S" J'6ase Figura A")+? Nla resolucin &ruebas no%bre para actualiDaciones #ogonN para un eMe%plo"K Si la resolucin de D<S no funciona en el siste%a de pfSense? co%pruebe la configuracin del servidor D<S en Siste%a de onfiguracin general? y en @stado 3nterfaces" onsulte con ping para asegurarse de 9ue est2n
alcanDable" Si se puede llegar a la puerta de acceso a su 3S&? pero no a sus servidores D<S? puede ser
aconseMable contactar con su 3S& y co%prueba los valores" Si los servidores D<S son obtenidos a trav6s de DF & o &&&o@ y no se puede contactar con ellos? ta%bi6n puede ponerse en contacto con su proveedor de 3nternet sobre esa cuestin" Si todo esto falla? usted puede desear considerar el uso de :penD<S [http:77www"opendns"co%7\ J'6ase el Seccin )1")? Nfiltrado de contenidos con :penD<SNK servidores de no%bres en el router pfSense
en lugar de los proporcionados por su 3S&"

Si el D<S funciona desde el router pfSense? pero no desde un & cliente? podra ser el reenviador D<S configuracin en el siste%a de pfSense? la configuracin del cliente? o las reglas del cortafuegos" Fuera de la caMa? pfSense tiene un pro%otor de D<S 9ue se encargar2 de las consultas D<S para los clientes detr2s del router" Si & de los clientes est2n configurados con DF &? 9ue va a obtener la direccin 3& del pfSense
interfaD del router al 9ue est2n conectados co%o un servidor D<S? a %enos 9ue especifi9ue un ree%plaDo" &or
eMe%plo? si un ordenador est2 en el lado de la LA<? y el siste%a de LA< de pfSense direccin 3& es (,)"(AC"("(?
a continuacin? el servidor D<S del cliente ta%bi6n debe ser (,)"(AC"("(" Si ha deshabilitado el reenviador D<S?
ta%bi6n puede ser necesario aMustar los servidores D<S 9ue se asignan a los clientes DF & en Servicios
C)
onfiguracin
Servidor DF &" <or%al%ente? cuando el reenviador D<S est2 deshabilitado? el siste%a de servidores de D<S son asignados directa%ente a los clientes? pero si eso no es el caso en la pr2ctica para su configuracin? defina los
a9u" Si el e9uipo cliente no est2 configurado para DF &? aseg;rese de 9ue tiene la adecuada servidores D<S conMunto: o la direccin 3& LA< del siste%a de pfSense o servidores D<S lo interno o e/terno
9ue le gustara para 9ue utilice"

:tra posibilidad para D<S de trabaMo de pfSense en s? pero no un cliente local es de%asiado estricta reglas del firewall" o%probar estado .egistros del siste%a? en la pesta0a Firewall" Si usted ve blo9ueado las cone/iones de su cliente local tratando de llegar a un servidor D<S? entonces usted debe agregar una regla de firewall en el parte superior del conMunto de reglas para 9ue la interfaD 9ue per%ite cone/iones a los servidores D<S en T &
y el puerto HD& >*"
1"C")"*" liente <;%ero de puerta de enlace

&ara 9ue el siste%a de pfSense adecuada%ente el tr2fico de 3nternet de las rutas de & de su cliente? debe ser su puerta de enlace" Si el & del cliente se configuran usando el servidor DF & de pfSense? esto ser2 aMusta auto%2tica%ente" Sin e%bargo? si los clientes reciben infor%acin de DF & de un suplente DF & servidor? o de sus direcciones 3& han sido introducidos de for%a %anual? verifi9ue 9ue su puerta de enlace se establece para la direccin 3& de la interfaD a la 9ue se conectan en el siste%a de pfSense" &or eMe%plo? si los clientes est2n en el lado LA< pfSense? y es la direccin 3& para la interfaD LA< de pfSense
(,)"(AC"("(? entonces la direccin de un cliente de puerta de enlace se debe establecer en (,)"(AC"("("
1"C")"1" Firewall de Asuntos artculo

Si el defecto N one/in a cual9uierN nor%a se ha %odificado o eli%inado desde la interfaD LA<? el tr2fico intentar acceder a 3nternet desde los e9uipos cliente a trav6s del router pfSense pueden ser blo9ueados" @ste debe ser f2cil%ente confir%ado por la navegacin a @stado .egistros del siste%a? y busca en el servidor de seguridad ficha" Si no hay entradas 9ue %uestran blo9ueado las cone/iones de & LA< tratando de llegar a servidores de 3nternet? revisar su conMunto de reglas en el Firewall de one/in .eglas? a continuacin? la ficha one/in y
hacer
los aMustes necesarios para per%itir 9ue el tr2fico" onsultar aptulo A? Servidor de seguridad para %2s detalle infor%acin sobre la edicin o la creacin de nor%as adicionales"
Si funciona desde el lado de la LA<? pero no desde una interfaD territorio palestino ocupado? aseg;rese de tener las nor%as en vigor para
per%itir 9ue el tr2fico de salida" <o hay ninguna regla se crea de for%a predeter%inada en las interfaces de territorio palestino ocupado"
1"C")">" <AT uestiones artculo

Si las reglas <AT de salida han sido ca%biados de sus valores por defecto? ta%bi6n puede ser posible 9ue el tr2fico de intentar llegar a la 3nternet no tiene <AT se aplica correcta%ente" 'aya a Servidor de seguridad
C*
onfiguracin
<AT? y vaya a la ficha de salida" A %enos 9ue est6 seguro 9ue usted necesita es establecer el %anual? el ca%bio el aMuste a la salida de generacin de reglas <AT Jpasarela 3&secK y luego tratar de llegar a
a 3nternet desde un & cliente nuevo" Si eso no ayud a un & en la LA< para salir? entonces el
cuestin es probable 9ue en otros lugares"

Si usted tiene este conMunto en !anual de generacin de reglas de salida <AT J<AT avanDada de salida
JA:<KK? y funciona desde la LA<? pero no desde una interfaD territorio palestino ocupado? tendr2 9ue configurar %anual%ente una regla 9ue coincide con el tr2fico 9ue viene de all" !ira a la nor%a e/istente para LA< y aMustarlo en consecuencia? o consulte el captulo <AT para %2s infor%acin sobre c%o crear reglas de <AT de salida"
Lo %is%o se aplica para el tr2fico procedente de usuarios de '&<: &&T&? :pen'&<? 3&sec? etc Si estos usuarios
necesidad de llegar a 3nternet a trav6s de este router pfSense? se necesitan reglas <AT de salida para su
subredes" 'er Seccin B"A? N<AT SalienteN para %2s infor%acin"
1"," pfSense G!L del archivo de configuracin

tiendas pfSense todas sus configuraciones en un archivo de configuracin de for%ato G!L" Todos los aMustes del siste%a I escenarios? incluyendo los pa9uetes I se llevan a cabo en este archivo un" Todos los otros archivos de configuracin para el siste%a los servicios y el co%porta%iento se generan din2%ica%ente en tie%po de eMecucin basado en la configuracin de celebrarse dentro de
el archivo de configuracin G!L"

Algunas personas 9ue est2n fa%iliariDados con Free#SD y siste%as relacionados con la operacin han encontrado esto de la %anera difcil? cuando sus ca%bios en algunos archivos de configuracin del siste%a se sobrescribe varias veces
por el siste%a antes de llegar a entender 9ue pfSense se encarga de todo auto%2tica%ente"
La %ayora de la gente nunca se necesita saber dnde reside el archivo de configuracin? pero para la referencia es en / Cf / conf / config.xml" &or lo general? / Conf / es un enlace si%blico a / Cf / conf? &or lo 9ue ta%bi6n puede
ser accesible directa%ente desde / Conf / config.xml? &ero esto vara seg;n la platafor%a y siste%a de archivos dise0o"
1","(" @ditar %anual%ente la configuracin de su

Algunas opciones de configuracin est2n disponibles ;nica%ente editando %anual%ente el archivo de configuracin? aun9ue esto no es necesario en la gran %ayora de los despliegues" Algunas de estas opciones est2n cubiertos
en otras partes de este libro"

@l %6todo %2s seguro y %2s f2cil de editar el fichero de configuracin es hacer una copia de seguridad
Diagnstico opia de seguridad 7 restauracin? guarde el archivo en su & ? edite el archivo y realiDar los necesarios ca%bios? a continuacin? restaurar el archivo de configuracin %odificado para el siste%a"
C1
onfiguracin
1"(+" 45u6 hacer si usted consigue acceder a la =ebGH3

#aMo ciertas circunstancias usted puede encontrarse e/cluido de la =ebGH3? sobre todo debido a la
piloto de error" <o tengas %iedo? si esto le sucede? hay varias %aneras de volver pulg Algunos
%6todos son un poco difcil? pero sie%pre debera ser posible recuperar el acceso" Lo peor de los casos escenarios re9uieren acceso fsico" o%o usted recordar2 a principios de este captulo se %enciona 9ue cual9uier persona con acceso fsico puede pasar por alto las %edidas de seguridad y ahora usted ve c%o
f2cil 9ue es"
1"(+"(" 4:lvid su contrase0a

Si ha olvidado la contrase0a para el siste%a 9ue se puede restablecer con facilidad con acceso a la consola" Llegar a la opcin de fsica de la consola Jteclado 7 %onitor? o de serieK y el uso 3 para restablecer la contrase0a =ebGH3"
1"(+")" Fe olvidado la contrase0a con una consola errado

Si la consola est2 protegido por contrase0a y no tengo la contrase0a? no todo est2 perdido" Ser2
to%ar un par de reinicios para llevar a cabo? pero puede ser fiMa con acceso fsico a la consola: U .einiciar el cuadro de pfSense
U Seleccione la opcin 1 J%odo de usuario ;nicoK desde el %en; del gestor Jel uno con el pfSense AS 33
logoK U &ulse 3ntro cuando se le pida para iniciar 7 bin 7 sh U 'olver a %ontar todas las particiones co%o regrabables: #6 S)in 6 (fs !o(nt-tU @Mecute el co%ando integrado de restableci%iento de contrase0a: #6 Gtc 6 rc.initial.pass2ord U Siga las instrucciones para restablecer la contrase0a U .einiciar
Ahora debera ser capaD de acceder al siste%a con el no%bre de usuario y contrase0a por defecto de ad!in
y pfSense? .espectiva%ente"
C>
onfiguracin
1"(+"*" vs FTT& FTT&S confusin

Aseg;rese de 9ue est2 conectando con el protocolo adecuado? FTT& o FTT&S" Si uno no trabaMa?
tratar a los de%2s" Hsted puede encontrar 9ue hay 9ue probar el protocolo de lo contrario en el puerto de los de%2s? as:
U 0ttp:66pfsense)o-:773 U 0ttps: 6 6 pfsense)o-: 80

Si necesita restablecer este de la consola? vuelva a la 3& LA<? escriba la %is%a 3&? y pronto se
para restablecer la =ebGH3 volver a FTT&"
1"(+"1" Acceso blo9ueados con reglas de firewall

Si se blo9uea de la =ebGH3 de for%a re%ota con una regla de firewall? todava puede haber esperanDa" @sto no puede suceder de la LA< a %enos 9ue se desactive la nor%a antiIblo9ueo 9ue %antiene el acceso
a la =ebGH3 de esa interfaD" Tener 9ue ca%inar a alguien en el lugar a trav6s de fiMacin de la nor%a es %eMor 9ue perderlo todoX
1"(+">" Servidor de seguridad de for%a re%ota evadir blo9ueo con las reglas
Hsted puede J%uy te%poral%enteK deshabilita las reglas de firewall utiliDando la consola" &uede utiliDar la fsica consola? o si todava son capaces de obtener a trav6s de SSF? 9ue ta%bi6n va a funcionar" Desde la consola? utilice
opcin C para iniciar un shell? a continuacin? escriba: #pfctl-d

5ue desactivar el firewall" A continuacin? debera ser capaD de entrar en la =ebGH3 desde cual9uier lugar? al %enos por unos %inutos o hasta 9ue se guarda algo en la =ebGH3 9ue hace 9ue el conMunto de reglas para se vuelve a cargar J9ue es casi en cada p2ginaK" Hna veD 9ue haya aMustado a las nor%as y recuper el
el acceso es necesario? activar el firewall de nuevo? escribiendo: #pfctl-e

Alternativa%ente? el conMunto de reglas de carga se %antiene en / Tmp / rules.debug" Si est2 fa%iliariDado con la &F
conMunto de reglas de sinta/is? puede editar 9ue para arreglar el proble%a de conectividad y volver a cargar las reglas de este %odo: #pfctl-f 6 t!p 6 r(les.de)(g
Despu6s de volver a %eterse en la =ebGH3 con ese arreglo te%poral? hacer lo 9ue el trabaMo 9ue tiene 9ue hacer en =ebGH3 para hacer la revisin per%anente" Al guardar las reglas de la =ebGH3? 9ue te%poral
conMunto de reglas se sobrescribir2"
CA
onfiguracin
1"(+"A" Servidor de seguridad de for%a re%ota evadir blo9ueo con SSF T;nel
Si blo9ueado el acceso a la =ebGH3 de for%a re%ota? pero todava tiene acceso con SSF? entonces no es una for%a relativa%ente f2cil de conseguir en: t;nel SSF"
Si la =ebGH3 est2 en el puerto C+? configurar el cliente para reenviar el puerto local C+ Jo C+C+? o lo 9ue seaK al puerto re%oto Nlocalhost: C+N? a continuacin? diriMa su navegador a 0ttp:66local0ost:80 o lo de puerto local 9ue ha elegido" Si su =ebGH3 est2 en otro puerto? utilice en su lugar" Si usted est2
a trav6s de FTT&S 9ue todava tendr2 9ue usar FTT&S para acceder a la =ebGH3 esta %anera"
Figura 1"(1" onfiguracin de un t;nel SSF puerto C+ en &uTTS
CB
onfiguracin
Llene las opciones co%o se %uestra en Figura 1"(1? N onfiguracin de un t;nel SSF puerto C+ en &uTTSN? a continuacin?
haga clic en Agregar" Hna veD 9ue se conecte y escriba su no%bre de usuario 7 contrase0a? puede acceder a la =ebGH3
utiliDando el puerto redirigido locales"
1"(+"B" #lo9ueada debido a un error de configuracin de S9uid

Si accidental%ente configurar S9uid para utiliDar el %is%o puerto 9ue la =ebGH3? y luego no pueden obtener
de nuevo a arreglar la configuracin? puede 9ue tenga 9ue arreglarlo %ediante el siguiente procedi%iento" U onecte el siste%a de pfSense consola con SSF o el acceso fsico U 3niciar una concha? opcin C de la consola" U Ter%inar el proceso de cala%ar de este %odo: #6 9sr 6 local 6 etc 6 rc.d 6 parada s'(id.s0 Si eso no funciona? trate de esta %anera: #1illall -9 cala!ar o #s'(id-1 cierre
Hna veD 9ue el proceso de cala%ar est2 total%ente ter%inado? usted debera ser capaD de recuperar el acceso a la =ebGH3" Tenga en cuenta 9ue puede 9ue tenga 9ue trabaMar con rapideD? o repetir el co%ando shutdown? co%o el cala%ar puede
se reiniciar2 auto%2tica%ente"
1"((" &ensa%ientos finales de configuracin

Fay %illones de for%as de configurar un siste%a de pfSense? por lo 9ue es i%posible cubrir todos los aspectos de cada configuracin y solucin de proble%as en este libro" @n este captulo se proporciona una visin general de algunas de las opciones de configuracin general" Los pr/i%os captulos entrar en detalles sobre las capacidades individuales del software" o%o he%os %encionado al final del captulo introductorio? hay varias otras vas para obtener ayuda" Si ha intentado todas las sugerencias a9u y 9ue todava no son capaces de hacer pfSense realiDar co%o se esperaba? hay foros? 3. ? listas de correo? #;s9uedas de Google? y soporte co%ercial" Hsted es libre de adoptar el enfo9ue de bricolaMe? o si 9uisiera profesionales para cuidar de la configuracin para usted? el e9uipo de Soporte o%ercial es %2s 9ue capaD" &ara los enlaces a los %edios de soporte en lnea? consulte Seccin (",")? N %o
Ayuda N"
CC
aptulo >" #acLup y .ecuperacin

Gracias al archivo de configuracin basado en G!L utiliDado por pfSense? copias de seguridad son una brisa" Todos los
configuracin del siste%a se llevan a cabo en un solo archivo Jv6ase Seccin 1",? NpfSense G!L de configuracin
Archivo NK" @n la gran %ayora de los casos? este archivo se puede utiliDar para restaurar un siste%a a pleno funciona%iento
estado id6ntico a lo 9ue se estaba eMecutando anterior%ente" <o hay necesidad de hacer una copia de seguridad de todo el siste%a? co%o los archivos de siste%a de base no se %odifican por una nor%al? correr? siste%a" La ;nica e/cepcin es la caso de algunos pa9uetes? co%o FreeSwitch? 9ue dispongan de datos fuera del archivo de configuracin"
>"(" @strategias de copia de seguridad

La %eMor pr2ctica es hacer una copia de seguridad despu6s de cada ca%bio de %enor i%portancia? y tanto antes co%o despu6s de cada grandes ca%bios Jo una serie de ca%biosK" &or lo general? una copia de seguridad inicial se to%a slo en caso de 9ue el ca%bio est2n haciendo tiene efectos indeseables" Hna copia de seguridad despu6s de los hechosIse to%a despu6s de evaluar el ca%bio y asegurarse de 9ue tuvo el resultado previsto" copias de seguridad peridicas son ta%bi6n ser de ayuda? independiente%ente de
ca%bios? especial%ente en los casos en 9ue puede ser una copia de seguridad %anual se perdi por una raDn u otra"
pfSense hace una copia de seguridad interna en cada ca%bio? y es una buena idea para descargar un %anual
uno ta%bi6n" Las copias de seguridad auto%2ticas realiDados en cada ca%bio es bueno para volver a antes de
configuraciones despu6s de los ca%bios han de%ostrado ser perMudiciales? pero no son buenos para la recuperacin de desastres est2n en el propio siste%a y no se %antienen al e/terior" o%o es un proceso bastante sencillo y sin dolor? debe ser f2cil hacer un h2bito de descargar una copia de seguridad de veD en cuando? y %antenerlo en un lugar seguro" Si usted tiene una suscripcin de portal"pfsense"org [https: 7 7 portal"pfsense"org\? opias de seguridad
se pueden %aneMar con facilidad y de for%a auto%2tica para usted"

Si realiDa ca%bios en los archivos del siste%a? tales co%o parches personaliDados o %odificacin de los cdigos? 9ue Fay 9ue recordar hacer una copia de estos ca%bios con la %ano o con el pa9uete de copia de seguridad descritos en Seccin >"A? NArchivos de copia de seguridad y directorios con el pa9uete de copia de seguridadN? ya 9ue no ser2 respaldada de seguridad o restauracin de la incorporada en el siste%a de copia de seguridad" @sto incluye %odificaciones en los archivos del siste%a %encionado en el resto del libro? co%o / Boot / device.hints?/ Boot / loader.conf?/ Etc /
sysctl.conf? S otros"
Ade%2s de hacer copias de seguridad? ta%bi6n debe probarlos" Antes de introducir un siste%a en produccin? es posible 9ue desee hacer copia de seguridad de la configuracin? y luego li%pie la unidad de disco duro? y
luego intentar algunas de las diferentes t6cnicas de restauracin en este captulo" Hna veD 9ue est6 fa%iliariDado con la for%a de copia de seguridad y restaurar una configuracin? es posible 9ue desee poner a prueba peridica%ente copias de seguridad en un noIproduccin de la %29uina o la %29uina virtual" La ;nica cosa peor 9ue una copia de seguridad 9ue falta es una
copia de seguridad inservibleX
C,
#acLup y .ecuperacin
@n (")"/ pfSense? los datos del gr2fico de ..D? 9ue se encuentra en / Var / db / RRD? <o est2 respaldada por ninguna de las copia de seguridad de los procesos de accin" @ste proble%a se solucionar2 en la pr/i%a versin? donde los datos ..D puede ser considerado
en la copia de seguridad de archivos G!L de configuracin? pero esto puede no ser conveniente para algunas personas debido a la el au%ento de ta%a0o de este trae" Fay otras %aneras de asegurarse de estos datos es una copia de seguridad? sin e%bargo" 'er
Seccin >"A? NArchivos de copia de seguridad y directorios con el pa9uete de copia de seguridadN %2s adelante en este captulo"
>")" Facer copias de seguridad en la =ebGH3

Facer una copia de seguridad en la =ebGH3 es bastante si%ple" Diagnstico Slo tienes 9ue visitar opia de seguridad 7 restauracin" @n la seccin de configuracin de copia de seguridad de la p2gina? aseg;rese de 9ue la Dona de copia de seguridad se establece en BCDCS? J@l valor predeter%inado eleccinK a continuacin? haga clic en Descargar configuracin JFigura >"(? N opia de seguridad =ebGH3NK"
Figura >"(" =ebGH3 de copia de seguridad

Tu navegador web a continuacin? le pedir2 9ue guarde el archivo en alg;n lugar de la & se utiliDa para
ver la =ebGH3" Ser2 no%brado config-< ostnam!>-<tim!stam">. Xml? &ero 9ue puede ser ca%biado antes de guardar el archivo"
>"*" Hso del &a9uete Auto onfig#acLup

Suscriptores de portal"pfsense"org [https: 7 7 portal"pfsense"org\ Tienen acceso a nuestro auto%2tico onfiguracin de copia de seguridad de servicio? Auto onfig#acLup" La infor%acin %2s actualiDada sobre Auto onfig#acLup se puede encontrar en el sitio de docu%entacin de pfSense" [http:77doc"pfsense"org7
inde/"php 7 Auto onfig#acLup\
>"*"(" Funcionalidad y #eneficios

uando usted hace un ca%bio en su configuracin? es auto%2tica%ente encriptado con la clave
entr en su configuracin? a trav6s de FTT&S y subido a nuestro servidor" Slo cifrado
,+
configuraciones se conservan en nuestro servidor" @sto le proporciona copia de seguridad instant2nea? segura fuera del sitio de su servidor de seguridad sin intervencin del usuario"
>"*")" pfSense o%patibilidad de versiones

@l pa9uete Auto onfig#acLup trabaMar2 con pfSense (")I.@L@AS@ y posteriores a todos
versiones incluyendo )"+"
<ota
Fay una advertencia a la utiliDacin de este pa9uete en pfSense (") I la ;nica for%a de poder e%pate la copia de seguridad auto%2tica en versin (") es para activar a todos los filtros de recarga"
La %ayora guarda la p2gina se activar2 un filtro a cargar? pero no todos"
>"*"*" 3nstalacin y configuracin

&ara instalar el pa9uete? visite Syste% &a9uetes y haga clic en el lado de la Auto onfig#acLup pa9uete" Se descargar2 e instalar2 el pa9uete" A continuacin? haga clic en el logotipo de pfSense en la parte superior de la p2gina? 9ue le devolver2 a la pri%era p2gina? y volver a cargar sus %en;s" A continuacin? encontrar2
Auto onfig#acLup en el %en; de diagnstico"
>"*"*"(" onfiguracin del no%bre de host

onfiguracin General p2gina" Las configuraciones se al%acenan por F5D< JFully 5ualified Do%ain <a%e? es decir? el no%bre de host b do%inioK? por lo 9ue debe asegurarse de 9ue cada servidor de seguridad 9ue son una copia de seguridad tiene un ;nico no%bre de do%inio co%pleto? de lo contrario
Aseg;rese de 9ue tiene un no%bre de do%inio ;nico y conMunto en el Siste%a
el siste%a no puede diferenciar entre varias instalaciones"
>"*"*")" onfiguracin Auto onfig#acLup

@l servicio se configura en virtud de Diagnstico Auto onfig#acLup" @n la ficha onfiguracin? rellene
portal"pfsense"org su no%bre de usuario y contrase0a? e introduDca una contrase0a de cifrado" Hsted debe usar una contrase0a larga y co%pleMa para asegurar 9ue su configuracin es segura" &ara su seguridad? conserva%os
slo las configuraciones de cifrado 9ue no sirven de nada sin la contrase0a de cifrado"
<ota
@s %uy i%portante guardar esta clave de cifrado en alg;n lugar fuera de su firewall I Si lo pierde? ser2 i%posible restaurar la configuracin si se pierde la
disco duro en el servidor de seguridad"
,(
>"*"*"*" &rueba de la funcionalidad de copia de seguridad

.ealice un ca%bio en vigor una copia de seguridad de configuracin? tales co%o la edicin y el ahorro de un cortafuegos o <AT regla? haga clic en Aplicar ca%bios" 'isita de los diagnsticos Auto onfig#acLup pantalla? y usted
se %ostrar2 la pesta0a .estaurar? 9ue %ostrar2 una lista de las copias de seguridad disponibles? Munto con la p2gina 9ue
hiDo el ca%bio Jsi est2 disponibleK"
>"*"*"1" .ealiDar copias de seguridad de for%a %anual

A veces? puede obligar a una copia de seguridad de su configuracin" Hsted puede hacer esto en la restauracin ficha de la p2gina Auto onfig#acLup haciendo clic en el botn de copia de seguridad ahora en la parte inferior" @sto aparecer2 un cuadro donde se puede introducir %anual%ente una descripcin de la copia de seguridad" @s posible 9ue desee hacer esto antes de hacer una serie de ca%bios significativos? ya 9ue te deMar2 con una copia de seguridad especfica%ente 9ue %uestra la raDn de la copia de seguridad? 9ue a su veD hace 9ue sea f2cil volver a la configuracin previa de iniciar los ca%bios" Debido a 9ue cada ca%bio en la configuracin activa una copia de seguridad? al realiDar una serie de ca%bios puede ser difcil saber por dnde e%peDar? si usted necesita para volver" : puede 9ue desee %anual%ente copia de seguridad antes de actualiDar a una versin nueva pfSense? y el no%bre
copia de seguridad por lo 9ue es claro 9ue es la raDn por la 9ue hiDo la copia de seguridad"
>"*"*">" La restauracin de la configuracin

&ara restaurar una configuracin? haga clic en el botn a la derecha de la configuracin co%o se %uestra en el diagnstico Auto onfig#acLup pantalla en la ficha .estaurar" Se descargar2 el configuracin especificada de nuestro servidor? descifrarlo con su clave de cifrado? y restaurar 9ue" De for%a predeter%inada? no se reiniciar2" Dependiendo de los ele%entos de configuracin restaurada? un reinicio puede no ser necesario" &or eMe%plo? las reglas de cortafuegos y <AT se vuelve a cargar auto%2tica%ente despu6s de la restauracin de una configuracin" Despu6s de la restauracin? se le pregunta si desea reiniciar el siste%a" Si su restauracin
configuracin de nada los ca%bios 9ue no sean las reglas de <AT y firewall? debe elegir S"
>"*"1" .estauracin de %etal desnudo

Si usted pierde su disco duro? a partir de ahora debe hacer lo siguiente para recuperarse en una instalacin nueva"
(" 3nstale pfSense en el disco duro nuevo"

)" Abrir LA< y =A<? y asignar el no%bre de host y de do%inio e/acta%ente la %is%a 9ue fue
previa%ente configurado" *" 3nstale el pa9uete Auto onfig#acLup"
,)
1" onfigurar el pa9uete Auto onfig#acLup co%o se describi anterior%ente? utiliDando su cuenta de portal y la contrase0a de cifrado 9ue utiliDaba anterior%ente" >" 'isita la ficha .estaurar y elegir la configuracin 9ue desea restaurar" A" uando se le pida 9ue reinicie despu6s de la restauracin? 9ue lo hagan" Ahora estar2 de regreso al estado de su servidor de seguridad de el ca%bio de configuracin anterior"
>"*">" o%probacin del estado Auto onfig#acLup

&uede co%probar el 6/ito de una carrera Auto onfig#acLup %ediante la revisin de la lista de copias de seguridad se %uestra en la ficha .estaurar" @sta lista se e/trae de nuestros servidores I si la copia de seguridad est2 en la lista? se
creado con 6/ito"

Si una copia de seguridad falla? una alerta se registra? y usted lo ver2 de desplaDa%iento en la parte superior de la interfaD web"
>"1" Suplente t6cnicas de copia de seguridad re%ota

Las siguientes t6cnicas pueden ta%bi6n utiliDarse para realiDar copias de seguridad re%ota? pero cada %6todo sus propios proble%as de seguridad 9ue puede descartar su uso en %uchos lugares" &ara e%peDar? estas t6cnicas no cifrar la configuracin? 9ue puede contener infor%acin confidencial" @sto puede resultar en la configuracin de su trans%isin a trav6s de un enlace no es de confianDa en el claro" Si tiene 9ue usar uno de estas t6cnicas? lo %eMor es hacerlo desde un enlace no =A< JLA<? D!E? etcK oa trav6s de una '&<" @l acceso a los %edios de al%acena%iento celebracin de la copia de seguridad ta%bi6n deben ser controlados? si no cifrado" @l pa9uete Auto onfig#acLup es un %edio %ucho %2s f2cil y %2s segura de la auto%atiDacin a distancia
copias de seguridad"
>"1"(" Tire con wget

La configuracin se puede recuperar desde un siste%a re%oto utiliDando wget? y podra ser un guin
con cron o por cual9uier otro %edio" 3ncluso cuando se utiliDa FTT&S? esto no es un transporte real%ente seguro desde el %odo de co%probacin del certificado est2 desactivado para dar cabida a los certificados con fir%a personal? lo 9ue per%ite
el ho%bre en los ata9ues del %edio" Al eMecutar copias de seguridad con wget a trav6s de redes de confianDa? 9ue debe utiliDar FTT&S con un certificado 9ue puede ser verificado por wget"
&ara una FTT&S enrutador 9ue eMecuta con un certificado con fir%a personal? el co%ando sera algo
co%o este: #2get-' - no-c0ec1-certificado - post-data HGn$iar descarga *H , 0ttps: 6 6admin:pfSenseD192.1 !.1.16 Diag_)ac1(p.p0p , -C-confignom"#e de $os%- IDate JK LK !K dK @K 3K SI -!l.
,*
&ara un router funciona%iento regular FTT&? el co%ando sera: #2get-' - post-data HGn$iar descarga *H , 0ttp:66admin:pfSenseD192.1 !.1.16 Diag_)ac1(p.p0p , -C-confignom"#e de $os%- IDate JK LK !K dK @K 3K SI -!l. @n a%bos casos? ca%bie el no%bre de usuario y la contrase0a con la suya? y la direccin 3&
sera lo 9ue la direccin 3& es accesible desde el siste%a de realiDacin de la copia de seguridad" @l siste%a
realiDar la copia de seguridad ta%bi6n tendr2 acceso a la =ebGH3? por lo 9ue %odifica las reglas de firewall
en consecuencia" La eMecucin de este sobre la =A< no se reco%ienda? co%o %ni%o se debe utiliDar FTT&S? y restringir el acceso a la =ebGH3 de confianDa a un conMunto de direcciones 3& p;blicas" @s preferible hacer
esto a trav6s de '&<"
>"1")" @%puMe con S &

La configuracin ta%bi6n puede ser e%puMado en el cuadro de pfSense a otro siste%a H<3G con
scp" Hsando scp para e%puMar una copia de seguridad de una sola veD con la %ano puede ser ;til? pero su utiliDacin en un siste%a auto%atiDado la %oda tiene sus riesgos" La lnea de co%andos para scp variar2 %ucho dependiendo de su siste%a configuracin? pero puede verse co%o: #scp 6 cf 6 conf 6 config.-!l , usua#ioD"ac&up$os%: ac1(ps6config- I0ostna!eI - Idate JK LK !K dK @K 3K SI -!l. on el fin de i%pulsar la configuracin de una %anera auto%atiDada 9ue tendra 9ue generar un SSF clave sin contrase0a" Debido a la naturaleDa insegura de una clave sin contrase0a? lo 9ue genera co%o una llave se deMa co%o eMercicio para el lector" @sto a0ade cierto grado de riesgo debido al hecho de 9ue cual9uier persona
con acceso a ese archivo tiene acceso a la cuenta designada? sin e%bargo por9ue la clave es %antenerse en el
servidor de seguridad donde el acceso est2 %uy restringido? no es un riesgo considerable en la %ayora de escenarios" Si lo hace esto? garantiDar 9ue el usuario re%oto est2 aislada y tiene poco o nada de privilegios en el siste%a destino" Hn un entorno chroot S & puede ser conveniente en este caso" 'er la scponly shell disponibles para la %ayora de &latafor%as H<3G 9ue per%ite copias S & archivo? pero niega las capacidades interactivas de acceso" Algunos versiones de :penSSF tiene chroot apoyo incorporado para SFT& JSecure FT&K" @stas %edidas en gran %edida li%itar el riesgo de co%pro%iso con respecto al servidor re%oto? pero a;n as salir de su copia de seguridad datos en peligro" Hna veD 9ue el acceso est2 configurado? una entrada de cron se podra a0adir al siste%a de pfSense invocar scp" &ara obtener %2s infor%acin? visite la pfSense =iLi de docu%entacin o de la b;s9ueda en los foros"
>"1"*" #2sicas de copia de seguridad de SSF

Al igual 9ue la copia de seguridad del S &? hay otro %6todo 9ue el trabaMo de un siste%a H<3G otro" @ste %6todo no invoca el S & 7 SFT& capa? 9ue en algunos casos puede no funcionar correcta%ente si un siste%a est2 ya en un estado fallido"
,1
#acLup y .ecuperacin #ss0 root D192.1 !.1.1 cat 6 cf 6 conf 6 )ac1(p.-!lF config.-!l uando se eMecuta? esta orden dar2 lugar a una archivo lla%ado backup.xml en el trabaMo actual
directorio 9ue contiene la configuracin del siste%a de pfSense re%oto" La auto%atiDacin de este %6todo 9ue utiliDa cron es ta%bi6n posible? pero este %6todo re9uiere una clave SSF sin contrase0a co%o en el host realiDar la copia de seguridad" @sta clave per%itir2 el acceso ad%inistrativo a su servidor de seguridad? por lo 9ue debe
estar bien controlado" J'6ase Seccin 1">")? NSecure Shell JSSFKN para los detalles de configuracin de SSF"K
>">" La restauracin de copias de seguridad

opias de seguridad no le har2 %ucho bien sin los %edios para recuperar los archivos? y? por e/tensin? ponerlos a prueba" pfSense ofrece varios %edios para la restauracin de configuraciones" Algunos son %2s co%plicados 9ue otros? pero cada uno debe tener el %is%o resultado final: un siste%a en funciona%iento id6ntico a lo 9ue estaba all cuando
la copia de seguridad se hiDo"
>">"(" .estauracin de la =ebGH3

La for%a %2s f2cil para la %ayora de la gente para restaurar una configuracin es utiliDar la =ebGH3" <avegar
de Diagnstico opia de seguridad 7 restauracin? y ver la seccin de configuracin de restauracin JFigura >")?
N=ebGH3 .estaurarNK" &ara restaurar la copia de seguridad? seleccione el 2rea de la restauracin Jnor%al%ente BCDCSK? A continuacin? haga clic en @/a%inar" #us9ue el archivo de copia de seguridad en su & y? a continuacin? haga clic en el botn .estaurar configuracin" La configuracin se aplicar2? y el firewall se reiniciar2 con los valores obtenidos a partir de
el archivo de copia de seguridad"
Figura >")" =ebGH3 restauracin

!ientras 9ue es f2cil trabaMar con? este %6todo tiene una serie de condiciones cuando se trata de un co%pleto restaurar a un nuevo siste%a" @n pri%er lugar? tendra 9ue hacerse despu6s de 9ue el siste%a de destino no es necesaria en instalado y funcionando" @n segundo lugar? se re9uiere un & adicional conectado a una red de trabaMo Jo
cable cruDadoK detr2s del siste%a de pfSense 9ue est2 siendo restaurado"
,>
>">")" La restauracin de la Fistoria de configuracin

@n caso de proble%as de %enor i%portancia? una de las copias de seguridad interna pfSense puede ser la %anera %2s f2cil hacer una copia de un
ca%bio" A partir de los diagnsticos opia de seguridad 7 .estaurar? haga clic en la ficha Fistorial de configuracin JFigura >"*? N onfiguracin de la FistoriaNK" Los ;lti%os *+ configuraciones se al%acenan? Munto con el actual onfiguracin en eMecucin" &ara ca%biar a una de estas configuraciones anteriores? haga clic en el lado
su entrada"
Figura >"*" onfiguracin de la Fistoria

La configuracin se puede ca%biar? pero un reinicio no es auto%2tica cuando sea necesario" a%bios %enores no re9uieren reiniciar el siste%a? a pesar de revertir algunos ca%bios i%portantes" &ara estar seguro? es posible 9ue desee para reiniciar el router con la nueva configuracin? vaya a Diagnsticos .einicie el siste%a y
haga clic en S"

configuraciones guardados anterior%ente se pueden eli%inar haciendo clic? pero no es necesario 9ue los eli%ine por %ano para ahorrar espacio? las copias de seguridad de configuracin antiguos se eli%inan auto%2tica%ente cuando los nuevos creado" @s posible 9ue desee eli%inar una copia de seguridad de un ca%bio en la configuracin de %alos conocidos para garantiDar
9ue no es accidental restaurado"
>">"*" .estauracin con un 3S&

ubierto en Seccin *"A? N3nstalacin de .ecuperacinN? @l instalador de &reI'uelo J&3FK se llevar2 a un archivo de configuracin 9ue se ha guardado en una unidad HS# y restaurarla en el funciona%iento configuracin durante el proceso de instalacin" @ste es probable%ente el %6todo %2s r2pido para restaurar una configuracin? co%o ocurre durante el proceso de instalacin sin intervencin %anual en el pfSense caMa" Arranca la pri%era veD con la nueva configuracin? y usted no tendr2 9ue preocuparse
tener un & de %ano para realiDar la restauracin a trav6s de la =ebGH3"
,A
>">"1" La restauracin de !ontaMe de la F 7 FDD

@ste %6todo es popular entre los usuarios integrados" Si va a colocar la F o disco duro del siste%a de pfSense
a un e9uipo 9ue eMecuta Free#SD se puede %ontar la unidad y copiar una nueva configuracin directa%ente
en un siste%a instalado? o incluso copiar una configuracin de un siste%a fracasado"
<ota
Ta%bi6n puede realiDar esto en un siste%a de pfSense separado en lugar de una co%putadora Free#SD? pero no use un router produccin activa para este fin"
@n su lugar? utiliDar un siste%a de repuesto o un router de la prueba" @l archivo de configuracin se guarda en / Cf / conf / tanto para instala integrado y co%pleto? pero la diferencia es
en el lugar donde reside este directorio" &ara las instalaciones incrustadas? esto es en un seg%ento particular? tales co%o ad0s3 si la unidad est2 ad0" Gracias a G@:! J%arco de al%acena%iento %odularK las eti9uetas en los ;lti%os versiones de Free#SD y en uso en siste%as de archivos incrustados <ano#SD basado en este seg%ento ta%bi6n puede
tener acceso? independiente%ente del no%bre del dispositivo utiliDando la eti9ueta / Dev / ufs / cf" &ara las instalaciones nuevas?
es parte de la divisin de raD Jnor%al%ente ad0s1aK" Los no%bres de las unidades puede variar dependiendo del tipo y
posicin en el siste%a"
>">"1"(" @Me%plo incrustado

@n pri%er lugar? conectar la F a un lector de tarMetas HS# en un siste%a Free#SD u otro pfSense inactivos siste%a Jv6ase la nota en la seccin anteriorK" &ara la %ayora? 9ue se %ostrar2 co%o da0" Hsted ta%bi6n debe
ver %ensaMes de la consola 9ue refleMa el no%bre del dispositivo? y las eti9uetas G@:! reciente%ente disponible" Ahora %ontar la particin de configuracin: #!o(nt-t (fs 6 def 6 (fs 6 cf 6 !nt
Si por alguna raDn usted no puede usar las eti9uetas G@:!? utilice el dispositivo directa%ente co%o /
dev/da0s3" Ahora? una copia de configuracin en la tarMeta: #cp 6 (sr6)ac1(ps6pfSense6config-ali-.e-a!ple.co!-2009060618"M03.-!l , 6 3nt 6 conf 6 config.-!l A continuacin? aseg;rese de des%ontar la particin de configuracin: #(!o(nt 6 !nt
,B
Desconecte la tarMeta? vuelva a introducirla en el router y vuelva a encenderlo" @l router debe estar en eMecucin
con la configuracin anterior" Si desea copiar la configuracin de la tarMeta? el proceso de
es el %is%o? pero los argu%entos para el co%ando cp se invierten"
>">">" .escate de configuracin durante la instalacin

Ta%bi6n se tratan en Seccin *"A? N3nstalacin de .ecuperacinN? este proceso se vuelva a instalar pfSense en un disco duro? pero %antener la configuracin 9ue est2 presente en esa unidad" @sto se utiliDa cuando el
contenidos del siste%a est2n da0ados de alguna %anera? pero el archivo de configuracin est2 intacto"
>"A" Los archivos de copia de seguridad y directorios con la copia de seguridad &a9uete
@l pa9uete de copia de seguridad le per%itir2 hacer copias de seguridad y restaurar cual9uier conMunto de archivos 7 carpetas en el del siste%a" &ara la %ayora? esto no es necesario? pero puede ser ;til para realiDar copias de seguridad o para la ..D pa9uetes co%o FreeSwitch 9ue pueden tener los archivos 9ue desea guardar Jpor eMe%plo? %ensaMes de voD"K &ara instalar el pa9uete? vaya a Siste%a &a9uetes? y encuentra respaldo en la lista? y haga clic"
Hna veD instalado? est2 disponible a partir de diagnsticos Los archivos de copia de seguridad 7 Dir" @s bastante si%ple de usar? co%o se %uestra en el eMe%plo siguiente"
>"A"(" opia de seguridad de datos ..D

@l uso de este pa9uete de copia de seguridad debe ser %uy f2cil de hacer una copia de seguridad de sus datos gr2fico ..D
J'6ase el Seccin ))">? N..D gr2ficosNK"

@n pri%er lugar? vaya a Diagnsticos Los archivos de copia de seguridad 7 Dir" Faga clic para a0adir una nueva ubicacin para el conMunto de copia de seguridad"
@n el ca%po <o%bre? introduDca RRD de datos" @n el ca%po .uta? escriba 6 +ar 6 d) 6 RRD" @stablecer @nabled +erdadero? S para la Descripcin? escriba NrOfico de datos RRD" Faga clic en Guardar"
@n la pantalla de copia de seguridad principal? haga clic en el botn opia de seguridad y? a continuacin se le presentar2 con un el archivo a descargar 9ue deber2 contener los datos ..D Munto con los otros directorios en el grupo de respaldo" Guardar en un lugar seguro? y considerar el %anteni%iento de %;ltiples copias si los datos es %uy
i%portante para usted"
>"A")" .estauracin de datos ..D
Diagnstico de
opia de seguridad de archivos 7 Dir? haga clic en @/a%inar y bus9ue un archivo de copia de
seguridad 9ue se previa%ente descargados" Faga clic en argar? y los archivos deben ser restaurados" Debido a 9ue la ..D archivos
,C
slo se toc cuando se actualiDa una veD cada A+ segundos? usted no debera tener 9ue reiniciar el siste%a o reiniciar cual9uiera de los servicios una veD los archivos se restauran"
>"B" Advertencias y Gotchas

!ientras 9ue el archivo G!L de configuracin guardado por pfSense incluye todos los aMustes? lo hace
<o incluye las %odificaciones 9ue se han realiDado en el siste%a a %ano? tales co%o el %anual de
%odificaciones del cdigo fuente" Ade%2s? algunos pa9uetes re9uieren %6todos adicionales de copia de seguridad de
sus datos"
@l archivo de configuracin pueden contener infor%acin confidencial? co%o claves '&< o certificados? y contrase0as J9ue no sea la contrase0a de ad%inistradorK en te/to sin for%ato en algunos casos" Algunas contrase0as deben estar2 disponible en for%ato de te/to en tie%po de eMecucin? por lo 9ue seguro hash de las contrase0as i%posible" ual9uier confusin sera trivial de invertir para cual9uier persona con acceso al cdigo fuente I es decir? todo el %undo" Hna decisin consciente de dise0o se hiDo en %+n+wall? y continu en pfSense? a deMar las contrase0as en claro para 9ue sea su%a%ente claro 9ue el archivo contiene contenido delicado y deben ser protegidas co%o tales" &or lo tanto usted debe proteger las copias de seguridad de estos archivos en algunos %anera" Si los al%acena en un %edio e/trable? tenga cuidado con la seguridad fsica de 9ue los %edios de co%unicacin y7
o cifrar la unidad"
Si tiene 9ue usar la =ebGH3 trav6s de la =A< sin una cone/in '&<? debe por lo %enos el uso de FTT&S" De lo contrario? una copia de seguridad se trans%ite en claro? incluyendo cual9uier infor%acin confidencial dentro de ese archivo de copia de seguridad" @s %uy reco%endable 9ue utilice un vnculo de confianDa o encriptados
cone/in"
,,
aptulo A" Servidor de seguridad

Hna de las principales funciones de pfSense con independencia de la funcin en la 9ue se i%ple%enta es el filtrado
tr2fico" @ste captulo cubre los funda%entos de los cortafuegos? las %eMores pr2cticas? y la infor%acin 9ue
necesidad de configurar reglas de firewall 9ue sea necesario para su entorno"
A"(" Funda%entos de cortafuegos

@sta seccin trata principal%ente con los conceptos de servidor de seguridad de introduccin y sienta las bases para
ayudar a entender la %eMor %anera de configurar correcta%ente las reglas del firewall en pfSense"
A"("(" Ter%inologa b2sica

.egla y conMunto de reglas son dos t6r%inos utiliDados en este captulo" <or%a se refiere a una sola entrada en su firewall .eglas pantalla" Hna nor%a es una configuracin o una accin para saber c%o %irar o %aneMar tr2fico de la red" onMunto de reglas se refiere a todas las reglas de firewall en su conMunto" @sta es la su%a de todos los usuarios
configurado y se a0aden auto%2tica%ente las nor%as? 9ue est2n cubiertos %2s largo de este captulo"
@n pfSense? conMuntos de reglas se eval;an en base pri%er partido" @sto significa 9ue si usted lee el conMunto de reglas para una interfaD de arriba a abaMo? la pri%era regla 9ue coincida ser2 el 9ue se utiliDa" &rocesa%iento se detiene despu6s de llegar a este partido y luego la accin especificada por esa regla se to%a" !antenga sie%pre Teniendo esto en cuenta al crear nuevas reglas? especial%ente cuando se est2n elaborando nor%as para restringir el tr2fico" Las reglas %2s per%isivas sie%pre debe ser hacia la parte inferior de la lista? por lo 9ue las restricciones o
se pueden hacer e/cepciones por enci%a de ellos"
A"(")" Filtrado con estado

pfSense es un firewall" @sto significa 9ue slo per%iten el tr2fico en la interfaD donde el el tr2fico se inicia" uando se inicia una cone/in 9ue coincidan con una regla de paso en el cortafuegos? una entrada se crea en el cuadro del estado del cortafuegos? donde la infor%acin sobre las cone/iones activas a trav6s de la servidor de seguridad se %antiene" @l tr2fico de respuesta a las cone/iones iniciadas dentro de su red de for%a auto%2tica
le per%iti volver a su red por la tabla de estado" @sto incluye todo el tr2fico relacionado con un
protocolo diferente? co%o el control de los %ensaMes 3 !& 9ue se pueden proporcionar en respuesta a una red T &?
HD&? o con otros"

'er Seccin 1">",? NAdvanced Traffic Shaper y FirewallN y Seccin A"A"(+? NTipo de @stadoN
sobre las opciones de @stado y de los tipos"
(++
Servidor de seguridad
A"(")"(" @stado ta%a0o de la tabla

La tabla de estado de servidor de seguridad tiene un ta%a0o %2/i%o? para evitar 9ue el agota%iento de la %e%oria" ada estado tiene
apro/i%ada%ente ( Q# de %e%oria .A!" J'6ase Seccin )"1")"(? Nlas tablas de estado grandeN @stado sobre las grandes
tablas"K @l estado por defecto ta%a0o de la tabla en pfSense es de (+?+++" @sto significa 9ue si usted tiene activos (++++ cone/iones 9ue atraviesan el cortafuegos? cone/iones adicionales ser2 dado de baMa" @ste l%ite puede se incre%entar2 en la navegacin con el siste%a &2gina de avanDada? y desplaDarse hacia abaMo en el tr2fico Shaper y Firewall avanDado JFigura A"(? NAu%ento del ta%a0o de estado de la tabla a >+"+++NK" 3ntroduDca el n;%ero necesario para Servidor de seguridad de @stados %2/i%o? o deMe la casilla en blanco para el valor predeter%inado de (+"+++" Hsted puede ver el uso de su estado histrico en @stado ..D gr2ficos" @n la ficha Siste%a? seleccione
Gstados @n los gr2ficos desplegables"
Figura A"(" Au%ento del ta%a0o de estado de la tabla a >+"+++
A"("*" @l filtrado de entrada

@l filtrado de entrada se refiere al cortafuegos de tr2fico 9ue llega a la red de 3nternet" @n las i%ple%entaciones con %ultiI=A< 9ue tienen %;ltiples puntos de entrada" Las condiciones de entrada por defecto en pfSense es blo9uear todo el tr2fico? ya 9ue no hay reglas de per%iso de =A< de for%a predeter%inada" .espuestas al tr2fico
inici desde el interior de la red? se per%ite auto%2tica%ente a trav6s de la tabla de estado"
A"("1" @l filtrado de salida

@l filtrado de salida se refiere al filtrado de tr2fico iniciado dentro de la red destinada a la 3nternet o cual9uier otra interfaD en el firewall" pfSense? co%o casi todos los co%erciales y si%ilares soluciones de cdigo abierto? viene con una regla de LA< 9ue per%ite todo? desde la salida a la LA< De 3nternet" @sta no es la %eMor %anera de operar? sin e%bargo" Se ha convertido en el valor predeter%inado de facto en la %ayora de soluciones de servidor de seguridad? ya 9ue es si%ple%ente lo 9ue %2s deseo de la gente" @l error co%;n es creer
nada en la red interna es Ndigno de confianDaN? por lo 9ue 4por 9u6 preocuparse de filtrado8
A"("1"(" 4&or 9u6 debo e%plear filtrado de salida8

Desde %i e/periencia de trabaMo con un sinn;%ero de servidores de seguridad de nu%erosos vendedores a trav6s de
%uchas diferentes organiDaciones? e%presas %2s pe9ue0as y las redes do%6sticas no utiliDan salida
(+(
filtrado" Se puede au%entar la carga ad%inistrativa? ya 9ue cada nueva aplicacin o servicio puede re9uieren la apertura de puertos o protocolos adicionales en el firewall" @n algunos entornos? es difcil por9ue los ad%inistradores no sabe%os real%ente lo 9ue est2 sucediendo en la red? y no se atreven para ro%per las cosas" @n otros? es i%posible por raDones de poltica laboral" &ero usted debe esforDarse para per%itir slo el tr2fico %ni%o re9uerido para salir de la red? sie%pre 9ue sea posible" @strecha salida
filtrado es i%portante por varias raDones"

(" Li%itar el i%pacto de un siste%a co%pro%etido I %alware nor%al%ente utiliDa los puertos y protocolos 9ue no son necesarios en %uchas redes" !uchos robots se basan en cone/iones 3. para lla%ar a casa y recibir instrucciones" Algunos se utiliDan puertos %2s co%unes? co%o el puerto T & C+ Jnor%al%ente FTT&K para evadir el filtrado de salida? pero %uchos no lo hacen" Si no per%iten el puerto T & AAAB? el
habitual puerto de 3. ? 9ue puede paraliDar los robots 9ue se basan en el 3. para funcionar"
:tro eMe%plo 9ue he visto es el caso de 9ue la interfaD en el interior de una instalacin pfSense se viendo >+ a A+ !bps de tr2fico? %ientras 9ue la =A< tenan %enos de ( !bps de rendi%iento" <o se no otras interfaces en el firewall" Algunos investigacin puso de %anifiesto la causa co%o un peligro siste%a en la LA< utiliDando un robot 9ue participan en una denegacin de servicio distribuido JDDoSK contra un sitio web de Muegos de aDar chino" Se utiliDa el puerto HD& C+? probable%ente por un par de raDones" @n pri%er lugar? HD& per%ite enviar grandes pa9uetes sin co%pletar un protocolo de enlace T &" on con estado servidores de seguridad son la nor%a? los grandes pa9uetes T & no pasar2 hasta 9ue el apretn de %anos con 6/ito co%pletado? lo 9ue li%ita la eficacia de los ata9ues DDoS" @n segundo lugar? a9uellos 9ue e%pleen salida filtrado son co%;n%ente de%asiado per%isiva? lo 9ue per%ite T & y HD&? T &? donde slo se re9uiere?
co%o en el caso de FTT&" @n esta red? el puerto HD& C+ no fue per%itido por el conMunto de reglas de salida? por lo 9ue
todos los DDoS estaba realiDando estaba golpeando la interfaD interna del servidor de seguridad con el tr2fico 9ue se estaba cado" @staba buscando en el servidor de seguridad de una raDn no relacionada y encontr6 esto? sino 9ue era feliD avanDaba a sin degradacin del rendi%iento y el ad%inistrador de la red
no saba lo 9ue estaba sucediendo"

S!T& saliente es otro eMe%plo" Slo se debera per%itir S!T&? el puerto T & )>? para deMar la red de su servidor de correo" : si tu servidor de correo aloMadas en servidores e/ternos? slo per%iten sus siste%as internos para hablar con ese siste%a especficos no incluidos en el puerto T & )>" @sto evita 9ue cual9uier otro siste%a en la red se utilice co%o un Do%bie de spa%? ya 9ue su S!T& el tr2fico se reduMo" @sto tiene la ventaMa evidente de hacer su parte para li%itar el spa%? y ta%bi6n evita 9ue su red se agreguen a las nu%erosas listas de negro a trav6s de 3nternet 9ue
le i%pide el envo de correo electrnico legti%o %uchos servidores de correo"

La solucin correcta es evitar 9ue este tipo de cosas suceda en pri%er lugar? pero filtrado de salida proporciona otra capa 9ue puede ayudar a li%itar el i%pacto si otras %edidas
no"
)" &revenir un co%pro%iso I en algunas circunstancias? filtrado de salida puede i%pedir 9ue sus siste%as no se vean co%pro%etidas" Algunas e/plotaciones y gusanos re9uieren el acceso de salida para tener 6/ito" Hn
(+)
eMe%plo %2s vieMo pero bueno de esto es el gusano ode .ed a partir de )++(" @l e/ploit causado afectados
siste%as para tirar de un archivo eMecutable a trav6s de TFT& JTrivial File Transfer &rotocolK y luego eMecutar 9ue" Su servidor web? casi seguro 9ue no es necesario para utiliDar el protocolo TFT&? y el blo9ueo TFT& a trav6s de filtrado de salida prevenir la infeccin por ode .ed? incluso en los servidores no actualiDados" @ste es en gran %edida slo es ;til para detener total%ente los ata9ues auto%atiDados y gusanos? co%o un hu%ano real
atacante se encuentra todos los aguMeros 9ue e/isten en el filtrado de salida y usarlos a su favor"
Hna veD %2s? la solucin correcta para la prevencin de co%pro%iso es corregir las vulnerabilidades de su red?
Sin e%bargo filtrado de salida puede ayudar"

*" Li%ite el uso de aplicaciones no autoriDadas I %uchas aplicaciones? tales co%o clientes '&<? peerItoIpeer software? progra%as de %ensaMera instant2nea y %2s confan en los puertos o protocolos atpica para su funciona%iento" !ientras 9ue un n;%ero creciente de peerItoIpeer y %ensaMera instant2nea hop ser2 el puerto hasta encontrar algo les per%ite salir de la red? %uchos se ver2 i%pedido de funcionar por una salida restrictivas
conMunto de reglas? y este es un %edio eficaD para li%itar %uchos tipos de conectividad '&<"
1" &revenir 3& spoofing I esta es una raDn co%;n%ente citada para el e%pleo de filtrado de salida?
pero pfSense blo9uea auto%2tica%ente el tr2fico a trav6s de la funcionalidad falsa antispoof &F? por lo 9ue no es aplicable en este caso"
>" prevenir fugas de infor%acin I ciertos protocolos no se debe per%itir 9ue salgan de su red" @Me%plos especficos pueden variar de un entorno a otro" !icrosoft .& J.e%ote &rocedure allK en el puerto T & (*>? <et#3:S sobre T & y los puertos HD& (*B a (*,? y S!# 7 3FS JServer !essage #locL 7 o%%on 3nternet File Syste%K de T & y HD& 11> son eMe%plos co%unes de los servicios 9ue no se debe per%itir 9ue salgan de su red" @sto puede evitar 9ue la infor%acin sobre su red interna de fugas en la 3nternet? y evitar2 9ue sus siste%as de iniciar los intentos de autenticacin con servidores de 3nternet" @stos protocolos ta%bi6n se incluyen en Nli%itar el i%pacto de un siste%a co%pro%etidoN? co%o se indic anterior%ente? ya 9ue %uchos gusanos se han basado en estos protocolos para funcionar en el pasado" :tros protocolos 9ue pueden ser relevantes en su entorno se syslog? S<!& y traps S<!&" La restriccin de este tr2fico prevenir %al configurados los dispositivos de red de envo de registro y otros potencial%ente a la infor%acin sensible en 3nternet" @n lugar de preocuparse por lo 9ue podra protocolos a fuga de infor%acin de la red y deben ser blo9ueados? slo per%iten el tr2fico 9ue
se re9uiere"
A"("1")" @nfo9ues para la aplicacin de filtrado de salida

@n una red 9ue? histrica%ente? no ha e%pleado filtrado de salida? puede ser difcil saber lo 9ue el tr2fico es real%ente necesario" @n esta seccin se describen algunos enfo9ues para la aplicacin de egreso
filtrado en la red"
(+*
A"("1")"(" DeMe 9ue lo 9ue conoce%os? blo9uear el resto? y el trabaMo a trav6s de la lluvia
Hn enfo9ue es agregar reglas de firewall para el tr2fico 9ue usted conoce necesita estar per%itido" o%ience con hacer una lista de cosas 9ue sabe%os 9ue son necesarios? co%o en Tabla A"(? Ntr2fico de la salida necesariaN" Descripcin FTT& y FTT&S de todos los hosts S!T& de correo 3& de origen cual9uier 3& del servidor de 3& de destino cual9uier cual9uier &uerto de destino T & C+ y 11* T & )> T & y HD& >*
correo cual9uier servidor .ecursiva D<S 3& del servidor D<S consultas de los internos Servidores D<S
Tabla A"(" Salida de tr2fico necesarios

A continuacin? configure las reglas de firewall en consecuencia? y deM caer todo lo de%2s"
A"("1")")" el tr2fico de registro y an2lisis de los registros

:tra alternativa es habilitar el registro en las reglas de su pase? y enviar los logs a un servidor syslog?
donde se puede analiDar para ver lo 9ue el tr2fico se salga de su red" Dos an2lisis de registros
pa9uetes con soporte para for%ato de registro &F son fwanalog ( y Facha)" Hsted puede encontrar %2s f2cil de analiDar los registros con un script personaliDado? si usted tiene e/periencia con el an2lisis de archivos de te/to" @ste ayudar2 a crear el conMunto de reglas necesarias con %enos consecuencias 9ue debe tener una %eMor idea de lo 9ue
el tr2fico es necesario en la red"
A"(">" #lo9ue vs .echaDar

Fay dos %aneras de no per%itir el tr2fico en las reglas del cortafuegos pfSense I blo9uear y rechaDar" @l blo9ue !arco silencio gotas de tr2fico" @ste es el co%porta%iento por defecto de la regla de denegacin de pfSense? por lo tanto? en un
configuracin por defecto? todo el tr2fico iniciado desde 3nternet se reduMo en silencio"
.echaDar enva una respuesta al negar tr2fico T & y HD&? deMando 9ue el host 9ue inici el tr2fico Sabe%os 9ue la cone/in fue rechaDada" .echaDado el tr2fico T & recibe un T & .ST JresetK en respuesta?
y rechaD el tr2fico HD& recibe un %ensaMe 3 !& inalcanDable en respuesta" Aun9ue usted puede especificar
rechaDo de cual9uier regla de firewall? los protocolos 3& 9ue no sean T & y HD& no son capaces de ser rechaDado I
( )
http:77www"di/ongroup"net7hatchet7
(+1
estas nor%as en silencio caer2 otros protocolos 3&" @sto se debe a 9ue no e/iste un est2ndar para rechaDar otros protocolos"
A"(">"(" 4Debo usar el blo9ue o rechaDar8

Fa habido %ucho debate entre los profesionales de la seguridad en los ;lti%os a0os en cuanto al valor de
blo9ue frente a rechaDar" Algunos argu%entan 9ue el uso de blo9ue tiene %2s sentido? alegando 9ue NralentiDaN
atacantes de e/ploracin de 3nternet" uando se utiliDa rechaDar? una respuesta se enva de nuevo in%ediata%ente 9ue el puerto est2 cerrado? %ientras 9ue el blo9ue silenciosa%ente descarta el tr2fico? haciendo 9ue el esc2ner del atacante puerto esperar una respuesta" @ste argu%ento en realidad no tienen agua por9ue cada lector buen puerto puede escanear cientos o %iles de hosts al %is%o tie%po? y no est2 all sentado esperando un respuesta de los puertos cerrados" Fay una diferencia %ni%a en el consu%o de recursos y velocidad de e/ploracin? pero tan leve 9ue no debe ser una consideracin" Si blo9uea todo el tr2fico de la 3nternet? hay una diferencia notable entre el blo9ue y rechaDar I nadie sabe su siste%a es real%ente en lnea" Si usted tiene incluso un ;nico puerto abierto? el valor es %ni%o por9ue el atacante sabe 9ue se encuentra en lnea? y ta%bi6n saber 9u6 puertos est2n abiertos o no rechace blo9ueado cone/iones" Si bien no es un valor i%portante en el blo9ue %2s de rechaDar? le reco%iendo sie%pre
utiliDando el blo9ue de las reglas de la =A<"

&ara conocer las reglas en las interfaces internas? le reco%iendo usar rechaDar en la %ayora de las situaciones" uando un host intenta para acceder a algo 9ue no est2 per%itido en las reglas de su firewall? la aplicacin puede acceder a 6l cuelgue hasta 9ue el cabo con el tie%po" on el rechaDo? ya 9ue la cone/in es in%ediata%ente rechaDado?
evita estas paradas" @sto es por lo general no es %2s 9ue una %olestia? pero en general siguen siendo
reco%enda%os el uso de rechaDo? para evitar posibles proble%as de aplicacin 9ue en silencio deMando caer el tr2fico dentro de su red podra inducir" <o es un efecto secundario de esto 9ue puede ser un factor en su eleccin de blo9uear o rechaDar" Si utiliDa rechaDar? se hace %2s f2cil para las personas dentro de su red de deter%inar sus polticas de filtrado de salida co%o el servidor de seguridad? 9ue ellos sepan lo 9ue est2 blo9ueando" A;n es posible para los usuarios internos para asignar las reglas de salida cuando se utiliDa el blo9ue? slo se necesita una
poco %2s de tie%po y esfuerDo"
A")" 3ntroduccin a la pantalla de .eglas de cortafuegos

@sta seccin incluye una introduccin y una visin general de la pantalla .eglas de cortafuegos" @n pri%er lugar? ver para Firewall <or%as" on ello se abre el conMunto de reglas =A<? 9ue por defecto no tiene otras entradas 9ue los de las redes privadas y redes de #lo9ue #lo9ue #ogon si habilit ellos? co%o se %uestra en Figura A")? N.eglas predeter%inadas =A<N" Si hace clic en el a la derecha de las redes privadas de blo9ues o #lo9ue redes #ogon nor%as? 9ue le llevar2 a la p2gina de configuracin de interfaD =A<? donde estas opciones pueden ser activadas o desactivadas" J'6ase Seccin A">"("*? N#lo9ue .edes &rivadasN y Seccin A">"("1? N.edes #lo9ue #ogonN para %2s infor%acin sobre el blo9ueo privado y #ogon
redes"K
(+>
Figura A")" &redeter%inado =A< nor%as

Faga clic en la ficha one/in para ver las reglas de LA<" De for%a predeter%inada? esto es slo el #P> por defecto -F c(al'(ier regla co%o se ve en Figura A"*? N.eglas predeter%inadas de LA<N"
Figura A"*" &or defecto de LA< nor%as

<or%as para otras interfaces se pueden ver haciendo clic en sus fichas respectivas" :&T interfaces aparecen con sus no%bres descriptivos? por lo 9ue si usted design a su :&T( interfaD D!E? a continuacin? la ficha
de sus reglas ta%bi6n dicen D!E"

A la iD9uierda de cada regla es un icono indicador 9ue %uestra la accin del @stado I pass? blo9uear o rechaDar" Si est2 habilitado el registro para la regla? el crculo aDul 9ue contiene un i se %uestra all" Lo %is%o
iconos se utiliDan para las reglas de %ovilidad reducida? e/cepto en el icono? co%o la regla? ser2 atenuada"
(+A
A")"(" Adicin de una regla de firewall

Faga clic en cual9uiera de los botones del servidor de seguridad: .eglas de la pantalla para agregar una nueva regla" La parte superior e inferior
botones? co%o se %uestra en Figura A"1? NA0adir opciones de la regla de LA<N? a0adir2 una nueva regla" La parte superior agrega
una regla a la parte superior del conMunto de reglas? %ientras 9ue la parte inferior agrega la regla en la parte inferior"
Figura A"1" A0adir LA< opciones de la regla

Si desea hacer una nueva regla 9ue es si%ilar a una regla e/istente? haga clic en el en el final de la fila" La pantalla de edicin aparecer2 con la configuracin de la regla e/istente precargada? lista ser aMustado" &ara obtener %2s infor%acin acerca de c%o configurar la regla 9ue se acaba de agregar? ver
Seccin A"A? N onfiguracin de las reglas del cortafuegosN"
A")")" @dicin de reglas de firewall

&ara editar una regla de firewall? haga clic en el a la derecha de la regla? o haga doble clic en cual9uier parte del la lnea" A continuacin? ser2 llevado a la pantalla de edicin de esta nor%a? donde se puede hacer necesario aMustes" 'er Seccin A"A? N onfiguracin de las reglas del cortafuegosN &ara obtener %2s infor%acin sobre las opciones
disponible cuando se edita una regla"
A")"*" Traslado de reglas de firewall

Las reglas pueden ser reordenados por su cuenta o en grupos" &ara %over las reglas de la lista? %ar9ue la casilla a las nor%as 9ue deben ser %ovidos? o un solo clic en la regla ta%bi6n se %arca la casilla? a continuacin? haga clic en el botn de la fila 9ue debe estar por debaMo de las nor%as reubicados" uando pasa el
(+B
%2s puntero del ratn? una barra gruesa aparecer2 para indicar 9ue las nor%as se insertan" Despu6s de
hace clic en? las nor%as y luego se introduce por enci%a de la fila elegida" Ta%bi6n puede elegir las reglas de
se %ueven por un solo clic en cual9uier lugar dentro de la fila 9ue desee seleccionar"
A")"1" @li%inacin de reglas de firewall

&ara eli%inar una sola regla? haga clic a la derecha de la regla" Se le pedir2 9ue confir%e la
eli%inacin? y si esto es lo 9ue 9uera hacer? haga clic en Aceptar para eli%inar real%ente la regla"
&ara eli%inar varias reglas? %ar9ue la casilla al inicio de las filas 9ue deben ser eli%inados? a continuacin? haga clic en el en la parte inferior de la lista" Las reglas ta%bi6n se pueden seleccionar haciendo clic en un solo lugar
en su lnea"
A"*" Alias
Alias le per%iten a los puertos de grupo? los eM6rcitos? o las redes y se refieren a ellos por su no%bre en el servidor de seguridad nor%as? la configuracin de <AT y la configuracin de la talladora de tr2fico" @sto le per%ite crear de %anera significativa %2s corto y %2s %aneMables conMuntos de reglas" ual9uier cuadro en la interfaD web con un fondo roMo se
alias a%biente"
<ota
Alias en este conte/to no debe confundirse con la interfaD de alias 3&? 9ue son
un %edio de agregar direcciones 3& adicionales para una interfaD de red"
A"*"(" onfiguracin de Alias

&ara agregar un alias? vaya al servidor de seguridad pantalla de Alias y haga clic en el botn" Los siguientes secciones describen cada tipo de alias 9ue se pueden utiliDar" @n (")"/ pfSense? cada alias est2 li%itado a ),, %ie%bros"
&ara agregar nuevos %ie%bros a un alias? haga clic en el en la parte inferior de la lista de entradas en el Firewall
Alias &antalla de edicin"
A"*"("(" Anfitrin Alias

alias de host per%iten crear grupos de direcciones 3&" Figura A">? N@Me%plo anfitriones aliasN %uestra
un eMe%plo de uso de un alias de hosts para contener una lista de servidores web p;blicos"
(+C
A"*"(")" .ed de Alias

alias de red le per%ite crear grupos de redes? o rangos de 3& a trav6s del uso de 3D. resu%en" slo los servidores ta%bi6n pueden incluirse en los alias de red %ediante la seleccin de un 7 *) red %2scara" Figura A"A? N@Me%plo de alias de redN %uestra un eMe%plo de un alias de red 9ue se utiliDa
%2s adelante en este captulo"
A"*"("*" &uerto Alias

&uerto alias per%iten la agrupacin de los puertos y rangos de puertos" @l protocolo no se especifica en el alias? %2s bien la regla de firewall en el 9ue utiliDa el alias definir2 el protocolo co%o T &? HD&? o
a%bos" Figura A"B? N@Me%plo puertos aliasN %uestra un eMe%plo de un alias de los puertos"
A"*")" Hso de alias

ual9uier cuadro con un fondo roMo aceptar2 un alias" Al escribir la pri%era letra de un alias en cual9uier cuadro de entrada co%o? una lista de alias de Muego se %uestra" &uede seleccionar el alias deseado?
o su escriba el no%bre en su totalidad"
<ota
autoco%pletar Alias %ay;sculas y %in;sculas" Si usted tiene un alias lla%ado servidores web y tipo de una %in;scula NwN? este alias no aparecer2" Hna capital N=N se debe utiliDar" @ste
ya no ser2 el caso en )"+"

Figura A"C? NTer%inacin auto%2tica de alias de los eM6rcitosN %uestra c%o el alias configurados co%o servidores web %uestra en la Figura A">? N@Me%plo de alias de hostsN se pueden utiliDar en el ca%po de destino cuando se a0ade o edicin de una regla de firewall" Seleccione Nsolo host o aliasN? a continuacin? escriba la pri%era letra del alias 9ue desee" 3 acaba de escribir : y el alias aparece co%o se %uestra" Slo alias del tipo adecuado se %uestran" &or ca%pos 9ue re9uieren una direccin 3& o subred? ;nico hu6sped y los alias de red se %uestran" &ara los ca%pos 9ue re9uieren los puertos? los alias de los puertos slo se %uestran" Si hubiera varios alias a partir de
N=N? la lista desplegable 9ue aparece se %uestran todos los alias correspondientes"
(+,
Figura A"C" Ter%inacin auto%2tica de alias de hosts

Figura A",? NTer%inacin auto%2tica de alias de los puertosN %uestra la ter%inacin auto%2tica de los alias de los puertos
configurado co%o se %uestra en la Figura A"B? N@Me%plo de alias puertosN" De nuevo? si varios alias 9ue coincida con el letra introducida? todos los alias 9ue se pongan en venta en la lista" &uede hacer clic en el alias 9ue desee para elegirlo"
Figura A"," Ter%inacin auto%2tica de alias de puertos

Figura A"(+? N@Me%plo de uso de la .egla AliasN %uestra la regla 9ue he creado con los servidores web y =ebports alias" @sta regla se encuentra en la =A<? y per%ite a cual9uier fuente para las direcciones 3& se define en el
Alias de servidores web utiliDando los puertos definidos en el alias webports"
Figura A"(+" @Me%plo Artculo Hso de alias

Si pasas el ratn sobre un alias en el servidor de seguridad .eglas de pantalla? aparece un cuadro 9ue %uestra el contenido de los alias con las descripciones incluidas en el alias" Figura A"((? NAl pasar por %uestra @M6rcitos contenido N %uestra esto para el alias de servidores web y Figura A"()? NAl pasar %uestra &uertos
contenido N para el alias puertos"
((+
Figura A"((" Al pasar %uestra el contenido de los @M6rcitos
Figura A"()" Al pasar %uestra el contenido de &uertos
A"*"*" Alias !eMoras en )"+

pfSense )"+ le per%itir2 a los alias nido dentro de otros alias? e incluir2 la capacidad de introducir una direccin H.L de un alias para su descarga"
pfSense )"+ ta%bi6n incluye un ad%inistrador de usuario para :pen'&<? y la posibilidad de crear alias agrupacin :pen'&< usuarios" &or eMe%plo? los usuarios de T3 pueden necesitar el acceso a su red interna? pero los de%2s usuarios slo necesitan tener acceso a un pe9ue0o subconMunto de la red" :pen'&< alias de usuario
hacer tan f2cil de lograr" :pen'&< se aborda con %2s detalle en aptulo (>? :pen'&<"
(((
A"1" Firewall de !eMores &r2cticas artculo

@sta seccin cubre algunas de las pr2cticas %2s generales a tener en cuenta a la hora de configurar el cortafuegos"
A"1"(" Denegar por defecto

Fay dos filosofas b2sicas de seguridad infor%2tica relacionados con control de acceso I por defecto per%itir y denegar por defecto" Hsted sie%pre debe seguir una estrategia de denegacin predeter%inada con el servidor de seguridad reglas" onfigurar las reglas para per%itir slo el tr2fico desnudo %ni%o re9uerido para las necesidades de la red? y deMar 9ue la cada de descanso con pfSense incorporado en su defecto regla de denegacin" Al seguir esta %etodologa? el n;%ero de reglas de denegacin en su conMunto de reglas debe ser %ni%a" @llos todava tienen un lugar para algunos usos? pero se reducir2n al %ni%o en la %ayora de entornos? siguiendo una estrategia de denegacin predeter%inada" @n una LA< predeter%inado de la interfaD de configuracin de dos y =A<? pfSense utiliDa un defecto negar la filosofa en la =A< y per%itir 9ue un defecto en la LA<" Todo entrante desde 3nternet se le niega? y todo lo 9ue a 3nternet desde la LA< est2 per%itido" Todos los routers do%6sticos grado utiliDar este %etodologa? al igual 9ue todos los proyectos si%ilares de cdigo abierto y las ofertas co%erciales %2s si%ilares" @s lo 9ue la %ayora de la gente 9uiere I por lo tanto? es la configuracin por defecto" Sin e%bargo? no es la reco%endada
%edio de la operacin"
pfSense usuarios suelen preguntar N49u6 cosas %alas tengo 9ue blo9uear8 @sa es la pregunta e9uivocada? ya 9ue se aplica a un defecto per%iso de %etodologa" To% nota de la seguridad profesional .anu% !arcus incluye por defecto per%iso de su NSeis ideas %2s tontos en Seguridad 3nfor%2ticaN de papel? 9ue se reco%ienda lectura para cual9uier profesional de la seguridad" * &er%ita 9ue slo lo 9ue necesita? y no deMar la por defecto 9ue todos los pronunciarse sobre la LA< y la adicin de reglas de blo9ueo de Ncosas %alasN por enci%a del @stado lo per%itan"
A"1")" 5ue sea corto

uanto %2s corto sea el conMunto de reglas? %2s f2cil es %aneMar" conMuntos de reglas largas son difciles de trabaMar? au%entar las posibilidades de error hu%ano? tienden a ser de%asiado per%isiva? y %ucho %2s
difciles de auditar" HtiliDar alias para ayudar a %antener su conMunto de reglas lo %2s corto posible"
A"1"*" .evise su .egla%ento

Hsted debe revisar su %anual de reglas de cortafuegos y la configuracin <AT de for%a peridica para asegurarse de 9ue siguen coincidiendo con los re9uisitos %ni%os de su entorno de red actual" La frecuencia reco%endada de dicho control variar2n de un entorno a otro" @n
*http:77ranu%"co%7security7co%puter_security7editorials7du%b7inde/"ht%l
(()
redes 9ue no ca%bian con frecuencia? con un pe9ue0o n;%ero de ad%inistradores del servidor de seguridad y las buenas
procedi%ientos de control de ca%bios? tri%estral o se%estral es general%ente adecuado" &ara un r2pido ca%bio de entornos o a9uellos con pobre control de ca%bios y varias personas con acceso a servidor de seguridad? el
configuracin debe ser revisado al %enos una veD al %es"
A"1"1" Docu%entar su configuracin

@n todos %enos en las redes %2s pe9ue0as? puede ser difcil de recordar lo 9ue se configura dnde y por 9u6" @l uso del ca%po Descripcin de reglas de firewall y <AT es sie%pre reco%endable" @n %ayor o i%ple%entaciones %2s co%pleMas? ta%bi6n debe %antener un docu%ento de configuracin %2s detallada 9ue describe la configuracin de su pfSense entero" Al revisar la configuracin en el futuro? esto debera ayudar a deter%inar 9u6 nor%as son necesarias y por 9u6 est2n all" @sto ta%bi6n
se aplica a cual9uier otra 2rea de la configuracin"

Ta%bi6n es i%portante tener este docu%ento hasta la fecha" Al realiDar su peridico .ese0as de configuracin? es una buena idea revisar ta%bi6n este docu%ento para asegurar se %antenga hasta la fecha con su configuracin actual" Debe asegurarse de este docu%ento se actualiDa cada veD
los ca%bios de configuracin se realiDan"
A"1">" .educcin del ruido de registro

@l registro est2 habilitado por defecto en la regla de denegacin de pfSense de for%a predeter%inada" @sto significa 9ue todo el ruido se blo9ueen de 3nternet se va a registrar" A veces no se ve %ucho ruido? pero en %uchos a%bientes se encuentra algo incesante%ente correo basura a sus registros" on cone/iones con grandes do%inios de difusin I una pr2ctica co%;n%ente e%pleada por cable 3S& I esto es %2s a %enudo se trans%ite de <et#3:S de personas deficientes pistaI9ue se conectan !29uinas con =indows directa%ente a sus cone/iones de banda ancha" @stas %29uinas constante%ente bo%bear solicitudes de difusin para la navegacin de la red? entre otras cosas" Ta%bi6n puede ver el protocolo de enruta%iento del 3S&? o los protocolos de redundancia de router co%o '..& o FS.&" @n la coIlocaliDacin
entornos co%o centros de datos? a veces se ve una co%binacin de todas esas cosas"
&or9ue no hay ning;n valor en conocer el firewall blo9uea (1 %illones en e%isiones de <et#3:S del da de ayer? y 9ue el ruido podra encubrir los registros 9ue son i%portantes? es una buena idea a0adir una regla de blo9ueo en la interfaD =A< para el ruido del tr2fico repetido" Al a0adir una regla de blo9ueo sin el registro habilitado en la interfaD =A<? este tr2fico seguir2 siendo blo9ueada? pero ya no llenan su
registros"
La regla se %uestra en la Figura A"(*? Nlas reglas de firewall para prevenir e%isiones de registroN es 9ue tengo configurado en uno de los siste%as de %i prueba? donde el N=A<N est2 en una LA<" &ara deshacerse del registro ruido para 9ue pueda ver las cosas de inter6s? he a0adido esta regla para blo9uear? pero no registra nada con la
destino de la direccin de difusin de la subred"
((*
Figura A"(*" Las reglas de firewall para prevenir e%isiones de registro

Se deben agregar las nor%as si%ilares? se pongan en venta los detalles de cual9uier ruido de registro 9ue est2 viendo en su
el %edio a%biente" o%pruebe los registros del cortafuegos en @stado Siste%a de .egistros ficha Firewall para ver 9u6 tipo de tr2fico 9ue son el blo9ueo y la revisin de su frecuencia" Si el tr2fico particular es consistente 9ue se registran %2s de > veces por %inuto? probable%ente debera a0adir una regla de blo9ue para 9ue reduDca
el registro de ruido"
A"1"A" .egistro de &r2cticas

Fuera de la caMa? pfSense no registra todo el tr2fico pasa y registra todo el tr2fico se reduMo" @ste es el co%porta%iento por defecto tpico de fuente abierta y casi todos los cortafuegos co%erciales" @s %2s
pr2cticos? co%o la tala todo el tr2fico pasa rara veD se debe hacer debido a los niveles de carga y registro
generados" Sin e%bargo? esta %etodologa es en realidad un poco hacia atr2s" el tr2fico blo9ueado no puede hacer da0o por lo su valor de registro es li%itado? %ientras 9ue el tr2fico 9ue se pasa puede ser %uy i%portante la infor%acin de registro haber si un siste%a est2 en peligro" Despu6s de eli%inar cual9uier ruido de blo9ue in;til co%o se describe en el seccin anterior? el resto es de alg;n valor para fines de an2lisis de tendencias" Si usted est2 viendo significativa%ente %ayor o %enor volu%en de registro de lo habitual? es probable%ente bueno para investigar por 9u6" :SS@ ? un cdigo abierto siste%a de intrusiones basado en host de deteccin J3DSK? es un siste%a 9ue puede
registros de recopilacin de pfSense a trav6s de syslog y alerta de 9ue inicie sesin ano%alas volu%en" 1
A">" .egla !etodologa

.eglas de pfSense se aplican sobre una base por interfaD? sie%pre en la direccin de entrada en el 9ue interfaD" @sto significa iniciados desde la LA< se filtra utiliDando las reglas de la interfaD LA<" Tr2fico inicia desde el 3nternet se filtra a las nor%as de interfaD =A<" Debido a 9ue todas las reglas de pfSense son de estado por defecto? una entrada de tabla de estado se crea cuando el tr2fico coincide con una regla"
Todo el tr2fico de respuesta es auto%2tica per%itido por esta entrada de la tabla de estado"
@n este %o%ento? no hay %anera de adaptarse a las nor%as de salida en cual9uier interfaD" De salida nor%as no son necesarios? por9ue se aplica el filtrado de la direccin de entrada de cada interfaD" @n algunas circunstancias li%itadas? tales co%o un firewall con nu%erosas interfaces internas? 9ue tienen
1http:77www"ossec"net
((1
disponibles puede reducir significativa%ente el n;%ero de reglas de firewall necesarias" @n tal caso? podra
aplicar las reglas de salida para el tr2fico de 3nternet co%o las nor%as de salida en la =A< para evitar tener 9ue duplicarlos para cada interfaD interna" @l uso de entrada y de salida de filtrado hace cosas %2s co%pleMas y %2s propenso a errores del usuario? pero entende%os 9ue puede ser deseable y
@spera%os dar cabida a esta de alguna %anera en el futuro"
A">"(" Se agregan auto%2tica%ente reglas de firewall

pfSense agrega auto%2tica%ente algunas reglas de firewall para una variedad de raDones" @n esta seccin se describe
toda nor%a agrega auto%2tica%ente y su propsito"
A">"("(" AntiIblo9ueo de la .egla

&ara evitar el blo9ueo a ti %is%o de la interfaD web? pfSense per%ite una de las reglas antiIblo9ueo de
por defecto" @sto se puede configurar en el siste%a AvanDada la p2gina en =ebGH3 de Lucha contra el cierre patronal" @ste
auto%2tica%ente la regla per%ite el tr2fico agregado de cual9uier fuente dentro de la red de cual9uier protocolo
escuchando en la 3& LA<"

@n los entornos preocupados por la seguridad? debe desactivar esta regla? y configurar las reglas de LA<
por lo 9ue slo un alias de hosts de confianDa pueden tener acceso a las interfaces de ad%inistracin del servidor de seguridad"
A">"("("(" .estringir el acceso a la interfaD de ad%inistracin de LA<

&ri%ero tendr2 9ue configurar las reglas del firewall si lo desea restringir el acceso a la gestin interfaces" 'oy a ca%inar a trav6s de un eMe%plo de c%o suele configurar esto" &uedo utiliDar SSF y FTT&S para la ad%inistracin? por lo 9ue crear un alias de !anage%ent&orts contiene estos puertos
JFigura A"(1? NAlias para los puertos de gestinNK"

@ntonces puedo crear un alias para las %29uinas y 7 o redes 9ue tendr2n acceso a la gestin
interfaces JFigura A"(>? NAlias de los eM6rcitos de gestinNK" Los alias resultantes se %uestran en la Figura A"(A? Nlista AliasN"
A continuacin? las reglas del firewall LA< debe estar configurado para per%itir el acceso a los previa%ente definidos
los eM6rcitos? y denegar el acceso a todo lo de%2s" Fay %uchas %aneras 9ue usted puede lograr esto? dependiendo sobre aspectos especficos de su entorno y c%o %aneMar filtrado de salida" Figura A"(B? N@Me%plo .estringido nor%as de gestin de LA< Ny la Figura A"(C?N restringido las nor%as de gestin de LA< I eMe%plo alternativo N%uestran dos eMe%plos" La pri%era per%ite 9ue las consultas D<S a la 3& LA<? 9ue es necesario si usted est2 utiliDando el agente de D<S? y ta%bi6n per%ite a los hosts de LA< hacer ping a la 3& de la LA<" A continuacin? rechaDa el resto del tr2fico" @l segundo eMe%plo se per%ite el acceso desde la gestin de los eM6rcitos a los puertos de gestin? a continuacin? rechaDa el resto del tr2fico a los puertos de gestin" @liMa el
((>
%etodologa 9ue %eMor se adapte a su entorno" .ecuerde 9ue el puerto de origen no es el %is%o 9ue el puerto de destino"
Hna veD 9ue las reglas del firewall se configuran? es necesario deshabilitar la regla =ebGH3 antiIblo9ueo de
el Siste%a p2gina AvanDadas JFigura A"(,? Nlas reglas antiIblo9ueo con discapacidadNK" !ar9ue la casilla y haga clic en Guardar"
<ota
Si ya no se puede acceder a la interfaD de ad%inistracin despu6s de desactivar el antiI regla de blo9ueo? no se ha configurado las reglas de firewall adecuada%ente" Se puede volver a habilitar la regla antiIblo9ueo %ediante el uso de la opcin 3& de LA< en el %en; de la consola"
Slo tienes 9ue configurar su 3& actual? y el @stado auto%2tica%ente se vuelve a habilitar"
A">"(")" AntiIspoofing .egla%ento

pfSense utiliDa la funcin &F antispoof para blo9uear el tr2fico falso" @sto proporciona Hnicast 3nvertir traDado Forwarding Ju.&FK funcionalidad tal co%o se define en .F *B+1 [Fttp:77www"ietf"org7rfc7rfc*B+1"t/t\" @l servidor de seguridad co%prueba cada pa9uete contra su tabla de enruta%iento? y si un intento de cone/in viene de una direccin 3& de origen en una interfaD donde el servidor de seguridad de la red sabe 9ue no reside? se ha cado" &or eMe%plo? algo 9ue viene de la =A< con una 3& de origen de una red interna se ha cado" Todo inici en la red interna con una direccin 3& de origen 9ue no residen en el interior
la red se cae"
A">"("*" #lo9ue de redes privadas

La opcin #lo9uear las redes privadas en la interfaD =A< pone auto%2tica%ente en una regla de blo9ue para .F (,(C subredes" A %enos 9ue tenga un espacio 3& privado de la =A<? se debe per%itir esto" @ste slo se aplica al tr2fico iniciado en el lado =A<" &uede acceder a los hosts de redes privadas desde el interior" @sta opcin no est2 disponible para el T&& interfaces =A< de pfSense (")"/? pero es en )"+" &uede agregar %anual%ente una regla para blo9uear redes privadas en el territorio palestino ocupado interfaces =A< la creacin de un alias 9ue contiene el .F (,(C subredes y la adicin de una regla de firewall en la parte superior de su :&T nor%as de interfaD =A< para blo9uear el tr2fico con una fuente de Muego ese alias" J'6ase Seccin ("B"("(?
NDirecciones 3& privadaN &ara obtener %2s infor%acin acerca de direcciones 3& privadas"K
A">"("1" #lo9ue .edes #ogon

redes #ogon son los 9ue nunca debe ser visto en 3nternet? incluidos los reservados y
sin asignar espacio de direcciones 3&" @stas redes no debe ser visto co%o 3& de origen en 3nternet?
((A
e indicar ya sea el tr2fico falso? o una subred no utiliDados 9ue ha sido secuestrado por un uso %alicioso"
pfSense proporciona una lista bogons 9ue se actualiDa seg;n sea necesario" Si usted tiene redes #lo9ue #ogon habilitado? el servidor de seguridad obtendr2 una lista actualiDada bogons el pri%er da de cada %es a partir de files.pfsense.org" @l guin corre a las *:++ a% hora local? y duer%e una cantidad aleatoria de tie%po hasta () horas antes de realiDar la actualiDacin" @sta lista no ca%bia con %ucha frecuencia? y nuevas asignaciones de 3& se 9uitan de la lista bogons %eses antes de 9ue sean real%ente utiliDadas? por lo 9ue la actualiDacin %ensual es suficiente" Aseg;rese de 9ue su firewall puede resolver no%bres de host D<S? de lo contrario
la actualiDacin fallar2" &ara asegurarse de 9ue puede resolver D<S? vaya a Diagnsticos &ing? y tratar de hacer ping files.pfsense.org co%o se de%uestra en Figura A")+? N&rueba de resolucin de no%bres para actualiDaciones #ogon N"
Figura A")+" &rueba de la resolucin de no%bres para las actualiDaciones #ogon A">"("1"(" ForDar una actualiDacin bogons
on los ca%bios relativa%ente frecuentes a la lista bogons? y previo aviso de los nuevos 3& p;blica asignaciones? la actualiDacin bogons %ensual es suficiente" Sin e%bargo puede haber situaciones en las 9ue desea forDar %anual%ente una actualiDacin #ogon? co%o si las actualiDaciones han estado fallando #ogon debido a una incorrecta configuracin de D<S" &uede eMecutar una actualiDacin a trav6s de la interfaD web Diagnstico pantalla de co%andos? eMecutando 7 etc 7 rc"update_bogons"sh ahora" @l argu%ento ahora
siguiendo el guin es i%portante por9ue le dice a la secuencia de co%andos para eMecutar de in%ediato y el sue0o no"
((B
A">"(">" 3&sec
uando se habilita un sitio a sitio de cone/in 3&sec? las reglas se agregan auto%2tica%ente per%itiendo 9ue el
e/tre%o re%oto del t;nel direccin 3& de acceso al puerto HD& >++ y el protocolo @S& en la =A< direccin 3& utiliDada para la cone/in" uando los clientes %viles de 3&sec es activado? el puerto HD& >++ y
tr2fico @S& se per%ite a partir de cual9uier fuente"

Debido a la poltica de %anera de enruta%iento obras? el tr2fico 9ue coincide con una regla 9ue especifica una puerta de enlace se ver2n obligados a 3nternet y evitar el procesa%iento 3&sec" uando usted tiene una regla de especificar una puerta de enlace en la interfaD 9ue contiene dentro de la subred utiliDada por la cone/in 3&sec? y el destino de la regla es NtodoN? por regla general se a0ade auto%2tica%ente a negar la poltica de enruta%iento
para el tr2fico destinado a la subred re%ota '&<" Agrega auto%2tica%ente reglas de 3&sec se discuten en %ayor profundidad en aptulo (*? 3&sec"
A">"("A" &&T&
uando se habilita el servidor &&T&? reglas ocultas se agregan auto%2tica%ente per%itiendo 9ue el puerto T & (B)* y el G.@ JGeneric .outing @ncapsulationK protocolo para la direccin 3& de =A< de cual9uier direccin 3& de origen" !2s infor%acin acerca de estas nor%as se pueden encontrar en Seccin ()"*? N'&<s y
.eglas de cortafuegos N"
A">"("B" Denegar por defecto el artculo

<or%as 9ue no coinciden con ninguna de las reglas definidas por el usuario ni ninguna de las otras reglas se agregan auto%2tica%ente
silencio blo9ueada por la regla de denegacin por defecto Jco%o se e/plica en Seccin A"1"(? NDenegar por defectoNK"
A"A" onfiguracin de reglas de firewall

@sta seccin cubre cada opcin individual disponibles en el servidor de seguridad .eglas &antalla de edicin la hora de configurar reglas de firewall"
A"A"(" Accin
A9u es donde puede especificar si el @stado va a pasar? blo9uear o rechaDar el tr2fico" ada uno de ellos es
cubiertos anterior%ente en este captulo"
A"A")" &ersonas de %ovilidad reducida

Si desea desactivar una regla sin eli%inarla de la lista de reglas? %ar9ue esta casilla" Todava se
%ostrar en su pantalla de reglas de firewall? pero en gris para indicar su estado de discapacidad"
((C
A"A"*" 3nterfaD
La cada de la interfaD de abaMo especifica la interfaD en la 9ue se aplicar2 la regla" .ecuerde 9ue
el tr2fico slo es filtrada en la interfaD donde se inicia el tr2fico" Tr2fico inicia desde su
LA< destinados a la 3nternet o cual9uier otra interfaD en el servidor de seguridad es filtrada por el conMunto de reglas de LA<"
A"A"1" &rotocolo
A9u es donde se especifica el protocolo de esta regla partido" La %ayora de estas opciones son autoI
e/plicativo" T & 7 HD& coincidir2 con el tr2fico T & y HD&" @specificacin de 3 !& har2
otra lista desplegable aparece donde puede seleccionar el tipo de 3 !&" 'arios otros co%unes
protocolos est2n ta%bi6n disponibles"
A"A">" Fuente
A9u es donde se especifica la direccin 3& de origen? subred? o alias 9ue coincida con esta regla" Hsted
Ta%bi6n puede %arcar la casilla no para negar el partido"

&ara el tipo 9ue se0ale: ual9uiera? 9ue coincidir2 con cual9uier direccinT solo host o alias? 9ue coincidir2 con una ;nica direccin 3& 7 no%bre de host o no%bre de alias? o de redes? 9ue se llevar2 a la veD un direccin 3& y la %2scara de subred para 9ue coincida con un rango de direcciones" &or ;lti%o? hay varios disponibles presets 9ue pueden ser %uy ;tiles en lugar de entrar en estas direcciones a %ano: Direccin de =A<? LA<
direccin de subred LA<? los clientes &&T&? &&&o@ y usuarios"

&ara conocer las reglas a trav6s de T & y 7 o HD&? ta%bi6n puede especificar el puerto de origen a9u haciendo clic en el
@l botn AvanDado" @l puerto de origen se oculta detr2s del botn :pciones avanDadas? ya 9ue se
nor%al%ente 9uiere deMar el puerto de origen en Ncual9uierN? co%o las cone/iones T & y HD& son de origen desde un puerto aleatorio en el intervalo de puerto ef%ero Jentre (+)1 a A>>*>? el rango e/acto utiliDa variables dependiendo del siste%a operativo y versin del siste%a operativo 9ue inicia la cone/inK" La fuente puerto casi nunca es el %is%o 9ue el puerto de destino? y no se lo debe configurar co%o tal a %enos 9ue sepa la aplicacin 9ue est2 utiliDando e%plea este co%porta%iento atpico" Ta%bi6n es seguro 9ue
definir su puerto de origen en un rango de (+)1 a A>>*>"
A"A"A" Fuente :S
Hna de las caractersticas %2s singulares de la &F y? por tanto pfSense es la posibilidad de filtrar por el siste%a operativo iniciar la cone/in" &ara conocer las reglas del & T? pf per%ite al siste%a operativo pasiva to%a de huellas digitales 9ue le per%ite crear reglas basadas en el siste%a operativo de iniciar el protocolo T & cone/in" La caracterstica p+f de pf deter%ina el siste%a operativo en uso %ediante la co%paracin de las caractersticas de la T & SS< pa9uete 9ue inicia las cone/iones T & con un archivo de huellas dactilares" Tenga en cuenta 9ue es posible
((,
ca%biar la huella digital de su siste%a operativo para parecerse a otro siste%a operativo? especial%ente en abierto
siste%as operativos de cdigo co%o la #SD y Linu/" @sto no es f2cil? pero si usted tiene t6cnico
usuarios de do%inio con el ad%inistrador o el acceso de root a los siste%as? es posible"
A"A"B" Destino
A9u es donde se especifica la direccin 3& de destino? subred? o alias 9ue coincida con esta regla" '6ase la descripcin de la opcin Fuente de Seccin A"A">? NFuenteN para %2s detalles" Al igual 9ue con la
!arco Direccin de origen? usted puede co%probar? no para negar el partido"

&ara reglas 9ue especifican T & y 7 o HD&? el puerto de destino? rango de puertos? o alias se especifica ta%bi6n
a9u"
A"A"C" .egistrarse
@sta casilla deter%ina si los pa9uetes 9ue coincidan con esta regla se registra en el registro del cortafuegos"
@l registro es discutido en %2s detalle en Seccin A"1"A? N.egistro de &r2cticasN"
A"A"," :pciones avanDadas

@sta seccin le per%ite configurar las capacidades de gran alcance pf de li%itar los estados servidor de seguridad en funcin de cada regla"
De for%a predeter%inada? no hay l%ites establecidos para cual9uiera de estos par2%etros"
A"A","(" l%ite de cone/iones de cliente si%ult2neas

@sta opcin especifica el n;%ero de entradas total del estado puedan e/istir para esta regla" Si esto se establece en (+? y hay (+ cone/iones 9ue coincidan con la regla? el (( ser2 dado de baMa" &odra ser de (+ diferentes
los eM6rcitos? o , cone/iones en un host y una en otra? es el total 9ue i%porta"
A"A",")" !2/i%a de las entradas del estado por host

Si prefiere l%ite basado en cone/iones por host? este valor es lo 9ue 9uieres" @l uso de este
configuracin? puede li%itar la regla a (+ cone/iones por host de origen? en lugar de (+ cone/iones totales"
A"A","*" !2/i%o nuevas cone/iones 7 por segundo

@ste %6todo de li%itacin de velocidad puede ayudar a asegurar 9ue una tasa de cone/in de alta no sobrecargar un servidor o su tabla de estado" &or eMe%plo? los l%ites se pueden colocar en las cone/iones entrantes a un correo servidor para reducir la carga de ser sobrecargado por contra spa% bots" Ta%bi6n se puede utiliDar en salida las nor%as de tr2fico para establecer l%ites 9ue i%pidan a cual9uier %29uina de una sola carga de su tabla de estado
()+
o hacer cone/iones r2pidas de%asiados? los co%porta%ientos 9ue son co%unes con los virus" Hsted puede establecer
una cone/in de cantidad y un n;%ero de segundos para el perodo de tie%po" ual9uier direccin 3& superior
9ue el n;%ero de cone/iones dentro del plaDo establecido ser2n blo9ueadas durante una hora" Detr2s de la
escenas? esto es %aneMado por el cuadro virusprot? lla%ado as por su finalidad tpica de la proteccin antivirus"
A"A","1" @stado de tie%po de espera en segundos

A9u se puede definir un tie%po de espera de estado para el tr2fico 9ue coincidan con esta regla? anulando por defecto del siste%a estado de tie%po de espera" Las cone/iones inactivas se cerrar2 cuando la cone/in ha estado inactivo durante esta cantidad de tie%po" @l tie%po de espera de estado por defecto depende del algorit%o de opti%iDacin del servidor de seguridad en
uso" Las opciones de opti%iDacin se tratan en Seccin 1">","*? N:pciones de Firewall de opti%iDacinN
A"A"(+" @stado Tipo

Fay tres opciones para el segui%iento del estado en pfSense 9ue se pueden especificar para cada regla"
A"A"(+"(" %antener el estado

@ste es el valor predeter%inado? y lo 9ue debe casi sie%pre uso"
A"A"(+")" @stado synpro/y

@sta opcin hace 9ue pfSense para poder cone/iones T & entrantes" cone/iones T & co%enDar con un apretn de %anos de tres vas" @l pri%er pa9uete de una cone/in T & es un SS< de la fuente? 9ue provoca una respuesta SS< A Q del destino" @sto ayuda a proteger contra un tipo de negacin Servicio de ata9ue? inundaciones SS<" @sto es tpica%ente utiliDado con las nor%as en las interfaces =A<" @ste tipo de ata9ue no es %uy co%;n hoy en da? e incluye todos los principales siste%as operativos %odernos capacidad de %aneMar esto por s solo" &odra ser ;til al abrir los puertos T & a los anfitriones 9ue
no se ocupan de abuso de la red ta%bi6n"
A"A"(+"*" ninguno
@sta opcin no %antener el estado de esta regla" @sto slo es necesario en algunos alta%ente especialiDados escenarios avanDados? ninguno de los cuales se tratan en este libro? ya 9ue son e/tre%ada%ente raros"
<unca debera haber una necesidad para el uso de esta opcin"
A"A"((" < Sync G!LI.&

Al %arcar esta casilla i%pide 9ue esta nor%a a partir de la sincroniDacin con otros %ie%bros de la A.&" @sto es
cubiertos en aptulo )+? Firewall de redundancia 7 alta disponibilidad"
()(
A"A"()" Lista
A9u puede seleccionar un progra%a 9ue especifica los das y horas esta nor%a estar2 en vigor" Seleccin de
N<ingunoN? la regla sie%pre se activar2" &ara obtener %2s infor%acin? consulte Seccin A",? NTie%po
.eglas de base N %2s adelante en este captulo"
A"A"(*" Gateway
Gateway le per%ite especificar una interfaD =A< o en la piscina e9uilibrador de carga para el tr2fico 9ue coincidan con esta
regla para su uso" @sto se trata en aptulo ((? !;ltiples cone/iones =A<"
A"A"(1" Descripcin
@scriba una descripcin a9u para su consulta" @sto es opcional? y no afecta a la funcionalidad de la regla" Hsted debe entrar en algo a9u 9ue describe el propsito de la regla" @l %2/i%o
longitud es de >) caracteres"
A"B" !6todos de utiliDacin de direcciones 3& p;blicas adicionales

Si slo tiene una ;nica direccin 3& p;blica? puede pasar a la siguiente seccin" Los %6todos de el despliegue de %2s direcciones 3& p;blicas puede variar dependiendo de c%o se asignan? co%o %uchos le han asignado? y los obMetivos de su entorno de red" &ara uso p;blico adicional 3&s con <AT? es necesario configurar direcciones 3& virtuales" Ta%bi6n tiene dos opciones para asignar directa%ente
3&s p;blicas a los anfitriones con el enruta%iento y subredes 3& p;blica puente"
A"B"(" @legir entre rutas? puentes? y <AT

Hsted puede usar su 3& p;blica adicional directa%ente a la asignacin de los siste%as 9ue se
uso de ellos? o %ediante el uso de <AT"
A"B"("(" Direcciones 3& adicionales a trav6s de DF &

Algunos proveedores le obligan a obtener las direcciones 3& adicionales a trav6s de DF &" @sto ofrece una fle/ibilidad li%itada
en lo 9ue puede hacer con estas direcciones? deM2ndote con dos opciones viables"
A"B"("("(" &uente
Si 9uiere 9ue el 3& adicionales asignados directa%ente a los siste%as 9ue los utiliDan? es puente
su ;nica opcin" Htilice una interfaD :&T puente con =A< para estos siste%as"
())
A"B"("(")" &seudo %ultiI=A<

Su ;nica opcin para tener el firewall tire estas direcciones co%o arrenda%ientos es una pseudo %ultiI=A<
i%ple%entacin" 3nstale una interfaD de red por 3& p;blica? y configurarlos para DF &" @nchufe todos los las interfaces en un interruptor entre el cortafuegos y el %de% o router" &uesto 9ue usted tiene %;ltiples interfaces de co%partir un ;nico do%inio de difusin? tendr2 9ue %arcar la casilla a N@sto A.& supri%ir %ensaMes cuando interfaces de co%partir la %is%a red fsicaN en el Siste%a de &2gina de avanDada para eli%inar A.& advertencias en sus registros 9ue son nor%ales en este tipo
de la i%ple%entacin"
@l ;nico uso de %;ltiples direcciones 3& p;blica asignada de esta for%a es para el reenvo de puertos" Hsted puede configurar el puerto hacia delante en cada interfaD =A< 9ue se utiliDa la direccin 3& asignada a la interfaD por su proveedor de 3nternet del servidor DF &" Salida <AT para el territorio palestino ocupado =A< no funcionar2 debido a la li%itacin de 9ue cada =A< debe tener una puerta de enlace 3& ;nica a cabo adecuada%ente el tr2fico directo de 9ue
=A<" @sto se discute %2s en aptulo ((? !;ltiples cone/iones =A<"
A"B"(")" Adicional direcciones 3& est2ticas

!6todos de utiliDacin de direcciones 3& adicionales est2ticos p;blicos pueden variar seg;n el tipo de cesin"
ada uno de los escenarios co%unes 9ue se describe a9u"
A"B"(")"(" dnica subred 3&

on una subred 3& p;blica ;nica? una de las 3&s p;blicas ser2 en el router arriba? co%;n%ente
9ue pertenecen a su 3S&? con una de las direcciones 3& asignadas a la 3& =A< de pfSense" @l resto de direcciones 3&
se puede utiliDar con <AT? tendiendo un puente o una co%binacin de los dos" &ara usarlos con <AT? agregue A.& pro/y o carpa '3&" &ara asignar direcciones 3& p;blica directa%ente a las %29uinas detr2s del firewall? se le necesidad de una interfaD dedicada para los anfitriones 9ue se enlaDa a =A<" uando se utiliDa con puente? el hosts con la 3& p;blica directa%ente afectados deber2n utiliDar la puerta de enlace predeter%inada %is%o 9ue el de la =A< cortafuegos? el router del 3S& aguas arriba" @sto crear2 dificultades si los hosts con direcciones 3& p;blicas deben iniciar las cone/iones a las %29uinas detr2s de otras interfaces de su servidor de seguridad? ya 9ue la puerta de enlace 3S& no la ruta de tr2fico para las subredes internas de nuevo a su servidor de seguridad" Figura A")(? Np;blico %;ltiple 3&s en uso I solo blo9ue de 3& Nse %uestra un eMe%plo del uso de %;ltiples direcciones 3& p;blicas en un solo blo9ue con una co%binacin de <AT y puente" &ara infor%acin sobre la configuracin? <AT se discute
%2s en aptulo B? <etworL Address Translation? y reducir en aptulo ,? &uente"
A"B"(")")" &e9ue0a subred 3& =A< con %ayor LA< subred 3&
Algunos 3S& le dar2 una pe9ue0a subred 3& 9ue el N=A<N cesin? y una ruta %2s grande NDentroN de subred para la final de la subred de la =A<" o%;n%ente se trata de un *+ 7 de la =A<? y
()*
un 7 ), o %ayor para el interior" router del proveedor se le asigna uno de los e/tre%os de la 7 *+? por lo general la
%2s baMo de propiedad intelectual? y el servidor de seguridad se le asigna la propiedad intelectual %2s alto" @l proveedor entonces las rutas de la subred LA< al tel6fono 3& de la =A<" &uede utiliDar las direcciones 3& adicionales en una interfaD de enrutado con 3&s p;blicas directa%ente asignado a los hosts? o con <AT con otras personalidades? o una co%binacin de los dos" Dado 9ue los proyectos de investigacin se dirigen a usted? A.& no es necesaria? y no necesita ninguna de las entradas '3& para el uso con (:( <AT"
Debido a pfSense es la entrada en el seg%ento de :&T(? enruta%iento de :&T( anfitriones a LA< es %ucho
%2s f2cil 9ue en el escenario de un puente necesario cuando se utiliDa un ;nico blo9ue 3& p;blica" Figura A"))? N!;ltiples 3&s p;blicas en el uso I a dos cuadras de propiedad intelectualN se %uestra un eMe%plo 9ue co%bina un enrutado 3& blo9ue y <AT" @nruta%iento 3& p;blica se trata en Seccin C")? N@nruta%iento 3& &;blicaN? S <AT
en aptulo B? <etworL Address Translation"

Si est2 utiliDando A.&? la subred =A< tendr2 9ue ser un 7 ),? de %anera 9ue cada servidor de seguridad tiene su propio 3& de la =A<? y usted tiene una direccin 3& A.& donde el proveedor %2s grande dentro de la ruta del blo9ue" La dentro de la subred 3& debe ser enviado a una direccin 3& 9ue est2 sie%pre disponible? independiente%ente de 9ue servidor de seguridad se ha ter%inado? y el %2s pe9ue0o de subred se puede usar con la carpa es un ), 7" @sta configuracin con la carpa es el %is%o co%o se ilustra arriba? con la puerta de entrada :&T( ser una 3& A.&? y el proveedor de enruta%iento a un A.& 3& en veD de la 3& =A<" A.& se trata en aptulo )+? Firewall de redundancia y Alto
Disponibilidad"
A"B"(")"*" !;ltiples subredes 3&

@n otros casos? puede tener varias subredes 3& de su 3S&" &or lo general se inicia con uno de las dos %odalidades anterior%ente descritas? y %2s tarde? cuando se solicite 3&s adicionales 9ue se sie%pre con un adicional de subred 3&" @sta subred adicional debe ser enviado a usted por su 3S&? ya sea para su =A< 3& en el caso de un ;nico servidor de seguridad? o para una direccin 3& cuando se utiliDa A.& A.&" Si su proveedor se niega a la ruta de la subred 3& para usted? sino %2s bien las rutas a su router y los usos una de las direcciones 3& de la subred co%o puerta de enlace 3&? usted tendr2 9ue usar pro/y A.& para la '3& subred adicional" Si es posible? su proveedor? la ruta si la subred 3& para usted? ya 9ue hace
es %2s f2cil trabaMar con independencia de su servidor de seguridad de la eleccin"

@n caso de la subred 3& se dirige a usted? el escenario descrito en Seccin A"B"(")")? N=A< pe9ue0as Subred 3& con %ayor LA< subred 3& N se aplica? slo para una subred dentro adicionales" Hsted puede asignar
a una interfaD nueva :&T? usarlo con <AT? o una co%binacin de los dos"
A"C" 'irtual 3&

pfSense per%ite el uso de %;ltiples direcciones 3& p;blicas en relacin con el <AT a trav6s de 'irtual
3& J'3&K"
Fay tres tipos de direcciones 3& virtuales disponibles en pfSense: &ro/y A.&? la carpa? y otros" ada uno es ;til en situaciones diferentes" @n la %ayora de circunstancias? pfSense tendr2 9ue proporcionar A.& en su
()1
'3& por lo 9ue debe usar pro/y A.& o A.&" @n situaciones en las A.& no es necesario? co%o cuando %2s direcciones 3& p;blicas son dirigidas por el proveedor de la =A< 3&? utilice otras personalidades tipo"
A"C"(" &ro/y A.&

&ro/y A.& funciones estricta%ente en la capa )? ofrecer respuestas A.& para la direccin 3& 3D. o rango de direcciones 3&" @sto per%ite 9ue pfSense para reenviar el tr2fico destinado a esa direccin de acuerdo a la configuracin de <AT" La direccin o rango de direcciones no est2n asignados a ninguna interfaD en pfSense? por9ue no tienen 9ue ser" @sto significa 9ue no hay servicios en pfSense se puede responder a estas direcciones 3&" @sto general%ente se considera un beneficio? ya 9ue su 3& p;blica adicional
slo debe ser usado para los propsitos <AT"
A"C")" A.&
A.&A '3& se utiliDan sobre todo con las i%ple%entaciones redundantes utiliDando A.&" &ara obtener infor%acin sobre
utiliDando A.&A '3&? consulte aptulo )+? Firewall de redundancia 7 alta disponibilidad sobre el hardware redundancia"
Algunas personas prefieren utiliDar '3& A.& incluso cuando se e%plea slo un ;nico servidor de seguridad" @sto es por lo general pfSense por9ue responde a los pings en la carpa '3&? si las reglas de su cortafuegos per%ite este tr2fico JLas reglas por defecto no lo hace? para '3&s en =A<K" :tra situacin en la A.&A '3& se debe utiliDar es para cual9uier personalidades 9ue ser2 el anfitrin de un servidor FT&" @l pro/y FT& en pfSense debe ser capaD de unirse a
el '3& para funcionar? y slo A.&A '3& per%ite"

pfSense no responde a los pings destinados a &ro/y A.& y otras personalidades? independiente%ente de su
configuracin de reglas de firewall" on &ro/y A.& y otras personalidades? debe configurar <AT para
un host interno de ping para funcionar" 'er aptulo B? <etworL Address Translation para %2s de la infor%acin"
A"C"*" :tros
N:trosN '3& per%iten definir direcciones 3& adicionales para su uso cuando las respuestas A.& para la direccin 3& no son necesarios" La ;nica funcin de la adicin de un :tro '3& est2 haciendo 9ue la direccin disponible en las pantallas de configuracin de <AT" @sto es ;til cuando se tiene un blo9ue 3& p;blica dirigida a su direccin 3& =A< o un '3& A.&"
A"," Tie%po base de reglas

nor%as basadas en el tie%po le per%iten aplicar reglas de firewall slo en los das especificados y 7 o %2rgenes de tie%po" nor%as basadas en el tie%po se i%ple%entan en (")"/ con el ipfw filtro? por9ue las dificultades con el estado
()>
%anteni%iento en el %o%ento esta funcionalidad fue escrito significaba esta era la ;nica posibilidad de adecuada
desconectar sesiones activas cuando el calendario de venci%iento" <ueva funcionalidad en pfSense )"+ per%ite 9ue se trata de integrarse con el &F de filtro? per%itiendo 9ue el tie%po basado en nor%as para funcionar igual 9ue cual9uier otra regla" &or el %o%ento? hay algunas advertencias a usar el tie%po basado en nor%as? y la lgica de estos nor%as es un poco diferente" @n esta seccin se analiDar2 c%o el uso del tie%po basado en nor%as? y las diferencias
entre ellos y otras nor%as de firewall"
A","(" Tie%po .eglas lgica basada

uando se trate de nor%as basadas en el tie%po? el progra%a deter%ina el %o%ento de aplicar la accin especificada en la regla de firewall" uando la hora actual o la fecha no est2 cubierto por el progra%a? la accin de la regla se invierte" &or eMe%plo? una regla 9ue pasa el tr2fico de los s2bados lo blo9uear2 todos los de%2s da? independiente%ente de las reglas definidas %2s adelante en el firewall" Las reglas son transfor%ados a base de la parte superiorI abaMo? lo %is%o 9ue las reglas del cortafuegos otros" @l pri%er partido se utiliDa? y una veD se encontr coincidencia? 9ue 9ue se to%en %edidas y no otras reglas son evaluados" Si est2 trabaMando con una regla de trans%itir una cierta calendario? por eMe%plo s2bado y do%ingo? y 9ue no tiene el efecto deseado? entonces podra
en lugar de tratar una regla de blo9ueo de lunes a viernes"

@s i%portante recordar sie%pre 9ue el uso horario 9ue la nor%a tendr2 un efecto si est2 dentro de la hora progra%ada o no" La nor%a no slo se o%iten debido a 9ue el
%o%ento actual no se encuentra dentro de la hora progra%ada" Tenga esto en cuenta para asegurarse de 9ue no
accidental%ente per%itir un acceso %2s de lo previsto con una regla progra%ada" To%e este otro eMe%plo: Si usted tiene una poltica restrictiva de la salida para el tr2fico FTT&? y desea progra%ar el tr2fico FTT& reglas? entonces usted tendr2 9ue progra%ar las nor%as restrictivas? y no slo tiene un blo9ue progra%ado regla para el tr2fico FTT&" @n este caso el blo9ue progra%ado regla general? cuando fuera de la hora progra%ada?
se convertir2 en una regla general pasan FTT& y FTT& ignorar las nor%as %2s restrictivas de la salida"
A",")" Tie%po Advertencias basada en reglas

&or9ue el tie%po de las reglas basadas en el uso ipfw en lugar de fondos de pensiones? 9ue son inco%patibles con el portal cautivo" &or la %is%a raDn? %ultiI=A< y algunas de las otras capacidades avanDadas de firewall regla ta%bi6n se
disponible con el tie%po basado en nor%as"
A","*" onfiguracin de los horarios de tie%po basada en reglas

Los horarios se definen en firewall Forarios y calendario de cada uno puede contener %;ltiples tie%po rangos" Hna veD 9ue un progra%a se define? entonces se puede utiliDar para una regla de firewall" @n el siguiente eMe%plo? una e%presa 9uiere negar el acceso a FTT& durante el horario laboral? y per%ita 9ue todos los de%2s
veces"
()A
A","*"(" Definicin de los tie%pos de la Lista

&ara agregar un progra%a de servidor de seguridad Listas? haga clic en" @sto debera abrir el calendario pantalla de edicin? co%o se ve en la Figura A")*? NAdicin de un rango de tie%poN" @l pri%er ca%po en esta pantalla
es para el no%bre de Lista" @ste valor es el no%bre 9ue aparecer2 en la lista de seleccin para su uso en las reglas del cortafuegos" Al igual 9ue los no%bres de alias? este no%bre slo puede contener letras y dgitos? y no espacios" &ara este eMe%plo? va%os a poner en (siness@o(rs" Siguiente en el cuadro Descripcin? escriba una ya de for%a libre descripcin de este horario? co%o @orario >or!al" Desde un progra%acin se co%pone de una o %2s definiciones de intervalo de tie%po? lo pr/i%o debe definir un rango de tie%po
antes de poder guardar la progra%acin"

Hn progra%a se puede aplicar a das especficos? tales co%o +) de septie%bre )++,? o los das de la se%ana? co%o de lunes a %i6rcoles" &ara seleccionar un da cual9uiera en el pr/i%o a0o? elegir el %es de la lista desplegable? a continuacin? haga clic en el da o das especficos en el calendario" &ara seleccionar un da de la se%ana? haga clic en su no%bre en los encabeDados de colu%na" &ara nuestro eMe%plo? haga clic en L? !? G? $? y 'ie" @sto har2 9ue el progra%a activo para cual9uier lunes a viernes? con independencia del %es" Ahora seleccionar el tie%po en 9ue este progra%a debe ser activa? en for%ato de )1 horas" <uestro horario de atencin
ser2 09:00 a 1M:00 J(B:++K" Todas las horas se dan en la Dona horaria local" Ahora entrar en un tie%po Descripcin del 2rea de distribucin? co%o Se!ana la)oral? A continuacin? haga clic en Agregar Tie%po"
Hna veD 9ue el intervalo de tie%po se ha definido? aparecer2 en la lista en la parte inferior de la progra%acin
pantalla de edicin? co%o en la Figura A")1? NAlta Ga%a de tie%poN"

Si hay %2s tie%po para definir? repita el proceso hasta 9ue est6 satisfecho con los resultados" &or eMe%plo? para a%pliar este progra%a de instalacin? puede ser un %edio da del s2bado para definir? o tal veD el tienda abre a ;lti%a hora del lunes" @n ese caso? definir un rango de tie%po para los das id6nticos? y luego otro rango para cada da con diferentes tie%pos" @sta coleccin de rangos de tie%po ser2 el pleno horario" uando todos los rangos de tie%po necesarios han sido definidos? haga clic en Guardar" A continuacin? se volver a la lista de lo previsto? y el nuevo calendario aparecer2? co%o en Figura A")>? N alendario de la lista
despu6s de agregar N" @ste progra%a estar2 disponible para su uso en las reglas del cortafuegos"
Figura A")>" Lista la lista despu6s de agregar
A","*")" Hso de la Lista en una regla de firewall

&ara crear una regla de firewall 9ue utiliDan este progra%a? debe agregar una regla en la interfaD deseada" 'er Seccin A")"(? NAdicin de una regla de firewallN y Seccin A"A? N onfiguracin de las reglas del cortafuegosN de
()B
%2s infor%acin sobre c%o agregar y las nor%as de edicin" &ara nuestro eMe%plo? agregar una regla para blo9uear el T &
tr2fico en la interfaD LA< de la subred LA<? a cual9uier destino en el puerto FTT&" uando
llegar a la Lista !arco elegir el horario 9ue acaba%os de definir? (siness@o(rs? o%o en Figura A")A? N@leccin de una lista de reglas de firewallN"
Figura A")A" @legir un horario para una regla de firewall

Despu6s de guardar la regla? el progra%a aparecer2 en la lista de reglas de firewall? Munto con una indicacin de estado activo de la progra%acin" o%o se puede ver en Figura A")B? NFirewall lista de reglas con el cuadroN? esta es una regla de blo9ueo? pero la colu%na de horario es lo 9ue indica 9ue el @stado no est2 en sus activos estado de blo9ueo? ya 9ue se est2 viendo en un %o%ento en 9ue se encuentra fuera del rango progra%ado" Si &ase el ratn sobre el no%bre del progra%a? se %ostrar2 el tie%po definido para ese horario" Si pasa %2s de el indicador de estado de progra%a? le dir2 descriptiva%ente c%o el @stado se est2 co%portando en ese punto en el tie%po" o%o se trata de 9ue se est2 viendo fuera de los tie%pos definidos en nuestro progra%a #usinessFours? este va a decir NTr2fico coinciden con esta regla se est2 per%itidoN" Si hubi6ra%os usado una regla de pase?
lo contrario sera cierto"
Figura A")B" Firewall de lista de reglas con el cuadro

Ahora 9ue el @stado se define? aseg;rese de probar tanto dentro co%o fuera de las horas progra%adas para garantiDar 9ue el co%porta%iento deseado es pro%ulgada" Ta%bi6n hay 9ue tener el tie%po de advertencias basadas en reglas JSeccin A",")?
NAdvertencias basada en el tie%po .egla%entoNK en cuenta el %o%ento de elaborar estas nor%as"
A"(+" 'isualiDacin de los registros del firewall

&ara cada regla 9ue se establece para iniciar la sesin? y por defecto la regla de denegacin? una entrada de registro 9ue se haga" Fay varios for%as de ver estas entradas de registro? con diferentes niveles de detalle? y no hay una clara N%eMorN %6todo" Al igual 9ue otros registros en pfSense? los registros del firewall slo %antienen un cierto n;%ero de registros" Si las necesidades de su organiDacin re9uieren 9ue usted %antenga un registro per%anente de los registros del firewall para una %ayor perodo de tie%po? ver Seccin ))"(? NSiste%a de .egistrosN para obtener infor%acin relativa a la copia estas entradas de registro
a un servidor syslog a %edida 9ue ocurren"
()C
A"(+"(" 'iendo en la =ebGH3

Los registros del firewall es visible desde el =ebGH3? y puede ser encontrado en estado de .egistros del siste%a?
en la pesta0a Firewall" Hsted puede ver o analiDar los registros? 9ue son %2s f2ciles de leer? o los registros de la %ateria pri%a? 9ue tienen %2s detalles si usted entiende for%ato de registro &F" Ta%bi6n hay un escenario de la los registros del siste%a 9ue se %uestran estas entradas en adelante o para atr2s" Si no est2 seguro en el 9ue &ara las entradas del registro se %uestran? co%pruebe la fecha y hora de la pri%era y la ;lti%a? o visite
Seccin ))"(? NSiste%a de .egistrosN para obtener infor%acin sobre c%o ver y ca%biar esta configuracin"
@l =ebGH3 analiDa los registros? se ve en Figura A")C? N@Me%plo de entradas del registro se ve desde la =ebGH3N? en A colu%nas: Accin? Tie%po? 3nterfaD? :rigen? Destino? y el &rotocolo" Accin %uestra lo 9ue pas con el pa9uete 9ue genera la entrada de registro? ya sea pasar? blo9uear o rechaDar" @l tie%po es el %o%ento en 9ue lleg el pa9uete" La interfaD es en el pa9uete entr en pfSense" Fuente es la fuente Direccin 3& y el puerto" Destino es la direccin 3& de destino y el puerto" @l protocolo es el protocolo
del pa9uete? ya sea 3 !&? T &? HD&? etc
Figura A")C" @Me%plo de entradas del registro se ve desde la =ebGH3

@l icono de accin es un vnculo 9ue las operaciones de b;s9ueda y %ostrar la regla 9ue provoc la entrada del registro" !2s infor%acin A %enudo? esto si%ple%ente dice NDenegar por defectoN? pero cuando la solucin de proble%as regla 9ue puede ayudar
reducir el n;%ero de sospechosos"

Si el protocolo es T &? ta%bi6n ver2 ca%pos adicionales a9u 9ue representan las banderas T & en la pa9uete" Vstos indican diversos estados de cone/in o los atributos de pa9uetes" Algunos de los %2s co%unes
cu2les son: S I SS< SincroniDar n;%eros de secuencia" 3ndica una nueva cone/in intento cuando slo SS< est2 fiMado" AIA Q F I F3< 3ndica aceptacin de los datos" o%o se se0al anterior%ente?
estas son las respuestas para 9ue el re%itente saber datos se han recibido en Aceptar" 3ndica 9ue no hay %2s datos del re%itente? el cierre de una
cone/in"
(),
Servidor de seguridad . I .ST
.estableci%iento de la cone/in" @sta bandera se fiMa al responder a una solicitud de abrir una cone/in en un puerto 9ue no tiene ning;n de%onio de escucha" Ta%bi6n se puede aMustar por el software de servidor de seguridad para la espalda no deseados cone/iones"
Fay varios otros indicadores? y su significado se resu%e en %uchos %ateriales de

el protocolo T &" o%o es habitual? el Artculo =iLipedia sobre T & [Fttp:77en"wiLipedia"org7wiLi7
Trans%ission_ ontrol_&rotocol ` T &_seg%ent_structure\ Tiene %2s infor%acin"
A"(+")" 'iendo desde el %en; onsola

Los troncos se pueden ver en tie%po real directa%ente desde la interfaD de registro &F %ediante la opcin 10 desde el %en; de la consola" Hn eMe%plo sencillo es una entrada de registro co%o la 9ue se ve arriba en Figura A")C?
N@Me%plo de entradas del registro se ve desde la =ebGH3N:
@sto de%uestra 9ue el artculo >1 se e%pareM? 9ue dio lugar a una accin de blo9ueo en la vr1 interfaD" Las direcciones 3& de origen y de destino se %uestran a continuacin" Los pa9uetes de otros protocolos pueden %ostrar
de datos %ucho %2s"
A"(+"*" &ara ver i%2genes de la Shell

uando se utiliDa la c2scara sea de SSF o desde la consola? hay nu%erosas opciones disponibles
para ver el filtro de registros"

uando se %ira directa%ente a los contenidos del archivo de obstruir? las entradas de registro pueden ser %uy co%pleMas y detallado" Debera ser relativa%ente f2cil de seleccionar los distintos ca%pos? pero dependiendo del conte/to
del partido? puede ser %2s difcil"
A"(+"*"(" 'iendo el contenido actual del archivo de registro

@l registro de filtro? co%o se e/plica en la apertura de este captulo? est2 contenido en un registro circular binario por lo 9ue no puede utiliDar las herra%ientas tradicionales co%o el gato? grep? etc en el archivo directa%ente" @l registro debe ser ledo
de nuevo con el progra%a de obstruir? y entonces puede ser conducido a trav6s de cual9uier progra%a 9ue desee" &ara ver el contenido actual del archivo de registro? eMecute el siguiente co%ando: #o)str(ir 6 $ar 6 log 6 filter.log
Todo el contenido del archivo de registro se %ostrar2" Si usted est2 interesado slo en los ;lti%os a0os
lneas? se pueden canaliDar a trav6s de la cola de este %odo:
(*+
Servidor de seguridad #o)str(ir 6 $ar 6 log 6 filter.log 5 tail
A"(+"*")" Tras la salida del registro en tie%po real

&ara NseguirN a la salida del archivo de obstruir? debe utiliDar el -F par2%etro para tapar" @ste es el e9uivalente de tailIf para a9uellos acostu%brados a trabaMar con los archivos de registro nor%al en los siste%as H<3G" #o)str(ir-f 6 $ar 6 log 6 filter.log
@sta es la salida todo el contenido del archivo de registro? pero no deMar de fu%ar despu6s" @n su lugar? se espera
para obtener %2s entradas e i%pri%irlos a %edida 9ue ocurren"
A"(+"*"*" 'iendo el registro de salida analiDado en el depsito

<o es un analiDador de registro si%ple escrito en &F& 9ue puede ser utiliDado de la c2scara para producir reducida
de salida en lugar del registro de pri%as por co%pleto" &ara ver el contenido analiDado de la sesin actual? eMecute: #o)str(ir 6 $ar 6 log 6 filter.log 5 p0p 6 (sr 6 local 6 222 6 filterparser.p0p &odr2s ver el registro de las entradas de salida por lnea? con salida si%plificada de este %odo: 17 de julio 00:06:05 bloque vr1 UDP 0.0.0.0:68 255.255.255.255:67
A"(+"*"1" @ncontrar la regla 9ue provoc una entrada de registro

Al ver uno de los for%atos de registro sin procesar? el n;%ero de la regla para una entrada en la pantalla" Hsted puede utiliDar este n;%ero de la regla para encontrar la regla 9ue caus el partido" @n el siguiente eMe%plo? esta%os tratando de averiguar 9u6 nor%a se nu%era 5#" #pfctl-$$sr 5 grep Q HD'( H @ 54 cada de bloques en el registro rpido todo el sello "regla de denegacin por defecto" o%o puede ver? esta fue la regla de denegacin por defecto"
A"(+"1" 4&or 9u6 a veces veo blo9ueado las entradas del registro de cone/iones legti%as8
A veces podr2s ver las entradas de registro 9ue? si bien eti9uetados con el NDefault negarN la regla? se parecen a pertenecen al tr2fico legti%o" @l eMe%plo %2s co%;n es ver una cone/in blo9ueada participacin de un servidor web" @s probable 9ue esto suceda cuando un pa9uete T & F3<? 9ue nor%al%ente se cierra la cone/in?
llega despu6s de 9ue el estado de la cone/in se ha 9uitado" @sto sucede por9ue en ocasiones un pa9uete
(*(
se perder2n? y la retrans%ite ser2n blo9ueados por el cortafuegos ha cerrado ya la cone/in"

@s inofensivo? y no indica una cone/in real blo9ueado" Todos los firewalls ello? aun9ue algunos no generan %ensaMes de registro para este tr2fico blo9ueado incluso si se registra todos los blo9ueados
tr2fico"
Hsted ver2 esto en ocasiones incluso si ha per%itir 9ue todas las nor%as en todas sus interfaces? ya 9ue todos los para las cone/iones T & slo per%ite pa9uetes T & SS<" @l resto de tr2fico T & o ser2 parte de
un estado 9ue e/isten en la tabla de estado? o se i%itan los pa9uetes con las banderas T &"
A"((" Solucin de proble%as de reglas de firewall

@n esta seccin se ofrece orientacin sobre 9u6 hacer si las reglas de firewall no se co%portan co%o
deseo o esperar"
A"(("(" .evise sus registros

@l pri%er paso para solucionar proble%as de tr2fico sospechoso debe ser blo9ueado para revisar sus cortafuegos
los registros Jde estado .egistros del siste%a? en la pesta0a FirewallK" .ecuerde 9ue pfSense por defecto de registro
todo el tr2fico se reduMo y no se registra ning;n tr2fico 9ue pasa" A %enos 9ue se a0ada el blo9ue o rechaDar las reglas 9ue no utilice el registro? todo el tr2fico blo9ueado sie%pre podr2 ingresar" Si no ve el tr2fico con un
G roMa Munto a 6l en su registros de cortafuegos? pfSense no va a abandonar el tr2fico"
A"((")" .evisin de par2%etros de la regla

!odificar la nor%a en cuestin y la revisin de los par2%etros 9ue haya especificado para cada ca%po" &ara T & y el tr2fico HD&? recuerda el puerto de origen casi nunca es el %is%o 9ue el puerto de destino? y por lo general se debe establecer en cual9uier" Si la regla de denegacin por defecto es el culpable? puede ser necesario para elaborar una nueva
pasar regla 9ue coincide con el tr2fico 9ue debe ser per%itido"
A"(("*" .evisin del estado de pedido

.ecuerde 9ue la pri%era regla 9ue coincida gana I sin otras nor%as 9ue se eval;an"
A"(("1" <or%as e interfaces

Aseg;rese de 9ue sus nor%as se encuentran en la interfaD correcta para funcionar seg;n lo previsto" .ecuerde 9ue el tr2fico se filtra
slo por el conMunto de reglas configuradas en la interfaD donde se inicia el tr2fico" @l tr2fico proveniente de
(*)
un siste%a de la LA< con destino a un siste%a en cual9uier otra interfaD se filtra slo por la LA< reglas" Lo %is%o es cierto para todas las otras interfaces"
A"((">" Activar la regla de registro

&uede ser ;til para deter%inar 9u6 regla se pongan en venta el tr2fico en cuestin" Al habilitar el registro en las reglas de su pase? puede ver los registros del firewall y haga clic en una entrada individual para deter%inar
9ue aprob la nor%a de tr2fico"
A"(("A" Solucin de proble%as con la captura de pa9uetes

captura de pa9uetes puede ser %uy valiosa para la solucin de proble%as y la depuracin de los proble%as de tr2fico" Hsted puede decir si el tr2fico est2 llegando a la interfaD e/terna en absoluto? o salir de la interfaD en el interior? entre otras %uchas
otros usos" 'er aptulo )>? aptura de pa9uetes para %2s detalles sobre la solucin de proble%as con el pa9uete captura y tcpdu%p"
(**
aptulo B" <etworL Address Translation

@n su uso %2s co%;n? <etworL Address Translation J<ATK le per%ite conectar %;ltiples
ordenadores a 3nternet %ediante una ;nica direccin 3& p;blica" pfSense per%ite 9ue estos si%ples i%ple%entaciones? pero ta%bi6n tiene capacidad para %ucho %2s avanDadas y co%pleMas configuraciones de <AT
necesaria en redes con %;ltiples direcciones 3& p;blicas"

<AT se configura en dos direcciones I entrada y de salida" Salida <AT define c%o el tr2fico 9ue sale de la red destinado a 3nternet se traduce" @ntrada <AT se refiere al tr2fico ingresen a su red desde 3nternet" @l tipo %2s co%;n de <AT entrante y uno de los
la %ayora est2 fa%iliariDado con el puerto es hacia delante"
B"(" onfiguracin por defecto <AT

@n esta seccin se describe la configuracin de <AT por defecto de pfSense" @l %2s adecuado configuracin de <AT se genera auto%2tica%ente" @n algunos a%bientes se desea %odificar esta configuracin? y pfSense plena%ente le per%ite hacerlo I todo desde la interfaD web" @sto es un contraste de %uchas otras distribuciones de cdigo abierto cortafuegos? 9ue no per%iten la
capacidades? son necesarios en todos los %as pe9ue0os? si%ples redes"
B"("(" onfiguracin por defecto <AT Saliente

La configuracin de <AT por defecto en pfSense con una interfaD LA< y el despliegue de dos =A< traduce auto%2tica%ente el tr2fico de 3nternet enlaDado a la direccin 3& de la =A<" uando %;ltiples =A< interfaces se configuran? el tr2fico de deMar cual9uier interfaD =A< se traduce auto%2tica%ente a la
direccin de la interfaD =A< 9ue se utiliDa"

puerto est2tico se configura auto%2tica%ente para 3Q@ Jparte de 3&secK y S3& J'o3&K de tr2fico" @st2ticas de puertos
se aborda con %2s detalle en Seccin B"A? N<AT SalienteN sobre la salida <AT"
B"(")" onfiguracin por defecto <AT entrantes

De for%a predeter%inada? no est2 per%itido en el de 3nternet" Si tiene 9ue per%itir el tr2fico iniciado en la 3nternet a un host en la red interna? debe configurar el puerto hacia delante o <AT (:(" @ste
se trata en las secciones pr/i%as"
(*1
<etworL Address Translation
B")" &uerto Delanteros

delante del puerto le per%iten abrir un puerto especfico? rango de puerto o protocolo de una e%presa privada dirigida
dispositivo en su red interna" @l no%bre de Npuerto hacia adelanteN fue elegido por9ue es lo 9ue %2s la gente entiende? y pas a lla%arse de la t6cnica%ente %2s adecuado N<AT entrantesN despu6s de innu%erables 9ueMas de los usuarios confundidos" Sin e%bargo? es un poco de un no%bre poco apropiado? co%o se puede reorientar el G.@ y protocolos de pesetas? ade%2s de los puertos T & y HD&" @sto es %2s co%;n
utiliDa cuando servidores de aloMa%iento? o el uso de aplicaciones 9ue re9uieren cone/iones de entrada de la
De 3nternet"
B")"(" Los riesgos de redirecciona%iento de puertos

@n una configuracin por defecto? pfSense no per%ite en ning;n tr2fico iniciado en 3nternet" @ste
proporciona la proteccin de cual9uier persona de e/ploracin de 3nternet en busca de los siste%as de ata9ue" uando se agregar un puerto para la cone/in? pfSense per%itir2 ning;n tr2fico 9ue coincide con la regla de firewall correspondiente" @s no sabe la diferencia de un pa9uete con una carga %aliciosa y 9ue es benigno" Si coincide con la regla de firewall? es per%itido" Tienes 9ue confiar en los controles basado en host para asegurar 9ue ninguna
los servicios per%itidos a trav6s del firewall"
B")")" @l reenvo de puertos y servicios locales

&uerto delanteros tienen prioridad sobre los servicios 9ue se eMecutan local%ente en el servidor de seguridad? tales co%o la web interfaD? SSF? y cual9uier otros servicios 9ue se est6n eMecutando" &or eMe%plo? esto significa 9ue si usted per%ite 9ue =eb re%oto acceder a la interfaD de la =A< %ediante FTT&S en el puerto T & 11*? si se a0ade un puerto avanDar en la =A< para 9ue el puerto T & 11* hacia adelante va a funcionar y el acceso de la interfaD web de =A< ya no funciona" @sto no afecta el acceso a otras interfaces? slo la interfaD
9ue contiene el puerto para la cone/in"
B")"*" Agregar Delanteros &uerto

Delanteros &uerto se gestionan a cortafuegos <AT? en la ficha Avance del puerto" Las reglas en esta pantalla se gestionan de la %is%a %anera 9ue las reglas del cortafuegos Jv6ase Seccin A")? N3ntroduccin al servidor de seguridad
pantalla .egla%ento NK"

&ara e%peDar a agregar tus puerto para la cone/in? haga clic en el botn en la parte superior o inferior de la lista?
seg;n lo indicado por Figura B"(? NAgregar &uerto AdelanteN"
(*>
Figura B"(" A0adir Adelante &uerto

Ahora va a estar %irando a la pantalla de edicin de &uerto Adelante? se %uestra en la Figura B")? N&uerto Adelante
@Me%plo N? con las opciones por defecto elegido" @n pri%er lugar? seleccionar la interfaD en la 9ue el puerto 9ue se va trans%iti reside" @n la %ayora de los casos esto se =A<? pero si usted tiene un vnculo =A< :&T? o si este
Ser2 un local de redireccin? puede ser otra interfaD"

La direccin e/terna en la %ayora de los casos se debe establecer en Direccin de interfa4 o una disposicin
3& virtual Jv6ase Seccin A"C? N3&s virtualesNK? a %enos 9ue se trata de un local de redireccin"
@l &rotocolo y el rango de puerto e/terno se debe establecer en consecuencia para el servicio 9ue se trans%iti"
&or eMe%plo? 9ue trans%ita '< seleccin de puerto"K
se establecera &rotocolo B%R y el rango de puertos e/ternos para
"900" J o%o se trata de un puerto co%;n%ente trans%itido? 9ue ta%bi6n est2 disponible en la lista desplegable para La 3& <AT debe ser la direccin 3& local a la 9ue este puerto e/teriores situados por delante la voluntad y el local puerto es donde el rango de puertos re%itido co%enDar2" Si va a reenviar un rango de puertos? por eMe%plo (,+++I(,(++? slo tiene 9ue especificar un punto de partida local ya 9ue los puertos deben coincidir una a uno" @ste ca%po le per%ite abrir un puerto diferente en el e/terior de la sede en el interior est2 escuchando? por eMe%plo el puerto e/terno CCCC podr2 re%itir al puerto local C+ para FTT& en un
servidor interno"
@l ca%po de descripcin? co%o en otras partes de pfSense? est2 disponible para una breve frase acerca de lo 9ue
el puerto se invo9ue o por 9u6 e/iste"

Si no est2 utiliDando un cl;ster de con%utacin por error A.&? saltar sobre el n G!LI.& opcin de sincroniDacin" Si son? a continuacin? %arcar esta casilla? evitar2 9ue esta regla de ser sincroniDado con los de%2s %ie%bros
de un cl;ster de con%utacin por error Jver aptulo )+? Firewall de redundancia 7 alta disponibilidadK? 5ue suele ser indeseables"
La ;lti%a opcin es %uy i%portante" Si %arca AutoIa0adir una regla de firewall para per%itir el tr2fico a trav6s de esta regla <AT? entonces una regla de firewall se crear2 auto%2tica%ente para usted 9ue le per%ita el tr2fico
('irtual
<etworL o%puting? una co%putadora de escritorio %ultiplatafor%a protocolo de uso co%partido con %uchos libres 7 i%ple%entaciones de cdigo abierto? co%o Hltra'<
Jhttp:77www"uvnc"co%7K
(*A
para llegar al puerto de destino" <or%al%ente es %eMor deMar esta %arcada? y %odificar entonces la regla de firewall despu6s? si es necesario" Faga clic en Guardar cuando haya ter%inado? a continuacin? en Aplicar ca%bios"
@n Figura B")? N@Me%plo de Avance del puertoN hay un eMe%plo de la pantalla hacia adelante edicin de puerto
co%pletado con la configuracin adecuada 9ue trans%ita la '< para un siste%a local"
Figura B")" &uerto @Me%plo Adelante

Despu6s de hacer clic en Guardar? se le llevar2 de nuevo a la lista de reenviar el puerto? y ver2s la nueva
entrada creados co%o en Figura B"*? NListado de puertosN"
(*B
Figura B"*" Listado de &uerto

Si lo desea? para corroborar la regla de firewall? co%o se ve en firewall .eglas en la ficha de
la interfaD en la 9ue el puerto hacia adelante se ha creado" Se %ostrar2 9ue el tr2fico se per%itir2
en el perodo de investigacin <AT en el puerto adecuado? co%o se %uestra en Figura B"1? NAdelante &uerto reglas de firewallN"
Figura B"1" Adelante &uerto de reglas de cortafuegos

Hsted tendr2 9ue restringir el F(ente de la nor%a genera auto%2tica%ente cuando sea posible" &or
cosas tales co%o servidores de correo 9ue deben ser a%plia%ente accesibles? esto no es pr2ctico? pero para el '< eMe%plo? es probable 9ue slo hay un pe9ue0o n;%ero de %29uinas 9ue deben ser capaces de conectarse a trav6s de '< en un servidor de a trav6s de 3nternet" reacin de un alias de hosts autoriDados? y el ca%bio la fuente de la c(al'(ier al alias es %ucho %2s seguro 9ue salir de la fuente abierta a toda la De 3nternet" @s posible 9ue desee probar pri%ero con la fuente sin restricciones? y tras co%probar 9ue funciona co%o
deseada? restringir la fuente si lo desea"

Si todo est2 correcto? el puerto para la cone/in debera funcionar en las pruebas fuera de su red" Si algo sali %al? consulte Seccin B","(? N&uerto Adelante Solucin de proble%asN %2s adelante en este captulo"
B")"1" Li%itaciones del puerto hacia adelante

Slo se puede presentar un solo puerto a un host interno para cada direccin 3& p;blica 9ue ha disponible" &or eMe%plo? si slo tiene una direccin 3& p;blica? slo puede tener una
servidor web interno 9ue utiliDa el puerto T & C+ para el tr2fico web" ual9uier servidor adicional necesario
utiliDar puertos alternativos? tales co%o C+C+" Si usted tiene cinco direcciones 3& p;blicas disponibles configurado co%o 'irtual 3&? usted podra tener cinco servidores web internos a trav6s del puerto C+" 'er Seccin A"C? N'irtual
3&s N para %2s infor%acin sobre las direcciones 3& virtuales"
(*C
&ara 9ue re%ite el puerto =A< en las direcciones 9ue sean accesibles por %edio de su respectiva 3& =A<
direccin de la residencia de cara interfaces? tendr2 9ue configurar <AT refle/in 9ue se describe en Seccin B">? N.efle/in <ATN" Hsted sie%pre debe probar su puerto hacia adelante de un siste%a de
otra cone/in a 3nternet? y no desde el interior de la red"
B")">" Servicio de AutoIconfiguracin con H&n&

Algunos progra%as ahora son co%patibles con Hniversal &lugIandI&lay JH&n&K para configurar auto%2tica%ente <AT delante del puerto y las reglas del cortafuegos" A;n %2s los proble%as de seguridad se apli9ue en ellos? pero en la casa de utiliDar el beneficios superan a %enudo las preocupaciones potenciales" 'er Seccin )("A? NH&n&N para %2s infor%acin
sobre la configuracin y el uso de H&n&"
B")"A" @l desvo del tr2fico con Delanteros &uerto

:tro uso de los forwards puerto es para redireccionar de for%a transparente el tr2fico de su red interna" Adelante &uerto especificar la interfaD LA< u otra interfaD interna se redirigir2 el tr2fico coincida con el avance hacia el destino especificado" @ste es el %2s co%;n%ente usado para transparencia
pro/y el tr2fico FTT& a un servidor pro/y o redirigir todos los salientes de S!T& a un servidor"
<ota
@l siste%a 9ue est2 dirigiendo el tr2fico a esta debe residir en una interfaD diferente de el servidor de seguridad" De lo contrario su propio tr2fico de red se redirige a s %is%o" @n el caso de un servidor pro/y FTT& con un puerto para la cone/in de redireccin de la LA<? por su propio solicitudes nunca ser2 capaD de salir de la red a %enos 9ue el servidor reside en una interfaD de territorio palestino ocupado" <o hay %anera de negar un puerto para la cone/in en una interfaD interna en (")"/ pfSense? aun9ue hay una solicitud abierta en funcin de eso y se puede incluir
en )"+"
La entrada <AT se %uestra en la Figura B">? N@Me%plo de redireccin del puerto hacia adelanteN es un eMe%plo de un
configuracin 9ue va a redirigir todo el tr2fico FTT& 9ue llegan a la interfaD LA< de ala%ar Jpuerto
*(),K en el host (B)"*+">+"(+"
(*,
Figura B">" @Me%plo redirigir puerto para la cone/in

.ecuerde 9ue el servidor est2 redirigiendo a debe residir en una interfaD diferente 9ue el utiliDado en el puerto para la cone/in? co%o se describi anterior%ente"
B"*" +(:+( <AT

+(:+( Jse pronuncia uno a unoK los %apas de <AT una 3& p;blica a una 3& privada" Todo el tr2fico de esa 3& privada a 3nternet ser2 asignado a la direccin 3& p;blica se define en la asignacin de <AT (:(? ree%plaDar la configuracin de <AT de salida" Todo el tr2fico iniciado en 3nternet destinado a especifica la direccin 3& p;blica se traducir2 a la 3& privada? y luego evaluados por el firewall =A<
conMunto de reglas" Si el tr2fico es per%itido por las reglas de su firewall? ser2 pasado al host interno"
(1+
B"*"(" Los riesgos de <AT +(:+(

Los riesgos de (:( <AT son en gran %edida el %is%o 9ue trans%ite el puerto? si se per%ite el tr2fico a 9ue aloMan en su =A< reglas de firewall" ada veD 9ue per%itir el tr2fico? 9ue se per%ita el tr2fico potencial%ente da0inos en su red" Fay un riesgo a0adido ligero utiliDando las +(:+( <AT en 9ue los errores reglas del firewall puede tener consecuencias %2s graves" on las entradas del puerto hacia adelante? 9ue est2n li%itando el tr2fico 9ue se se per%ite dentro de la regla de <AT? as co%o la regla de firewall" Si el puerto hacia adelante el puerto T & C+? a continuacin? agregue una regla de per%itir 9ue todos en la =A<? slo T & C+ en 9ue host interno ser2 accesible" Si est2 utiliDando <AT (:( y a0ade 9ue todos los pronunciarse sobre =A<? todo lo 9ue en ese host interno ser2 accesible desde 3nternet" @rrores de configuracin son sie%pre un peligro potencial? y esto por lo general no debe considerarse co%o una raDn para evitar (:+( <AT" Fe%os de tener en cuenta este hecho cuando
configurar las reglas de firewall? y co%o sie%pre? 9ue per%ita evitar cual9uier cosa 9ue no es necesario"
B"*")" onfiguracin de <AT +(:+(

&ara configurar <AT +(:+(? pri%ero agregar una direccin 3& virtual para el perodo de investigacin p;blica 9ue se utiliDa para la entrada <AT +(:+( co%o se describe en Seccin A"C? N3&s virtualesN" A continuacin vaya al servidor de seguridad <AT y haga clic en el (:+(
ficha" Faga clic para a0adir una entrada de (:("
B"*")"(" +(:+( Los ca%pos de entrada <AT

Figura B"A? N(:+( <AT pantalla @ditarN %uestra la pantalla de edicin de <AT +(:+(? a continuacin? cada ca%po se detallar2n"
Figura B"A" +(:+( <AT pantalla @ditar B"*")"("(" 3nterfaD

La caMa de interfaD le per%ite seleccionar la ubicacin de la subred e/terna" @sto es casi sie%pre
la =A<? o una interfaD =A< :&T en i%ple%entaciones %ultiI=A<"
(1(
B"*")"(")" @/teriores de subred

La subred e/terna es donde se define la direccin 3& p;blica o rango de direcciones 3& para las +(:+(
cartografa" @sto puede ser una ;nica direccin 3& %ediante la especificacin de un 7 *) %2scara? o un rango 3D. %ediante la seleccin de
otra %2scara"
B"*")"("*" 3nterior de subred

La subred interna es donde se especifica la direccin 3& interna o rango de direcciones 3& para la (:+( cartografa" @sta direccin 3& o el intervalo debe ser alcanDable en una de sus interfaces internas? ya sea
en una subred conectados directa%ente? o accesible a trav6s de una ruta est2tica"
B"*")"("1" Descripcin
@ste es un ca%po opcional 9ue no afecta el co%porta%iento de la entrada <AT (:(" .ellene algo
9ue le per%itir2 identificar f2cil%ente a esta entrada cuando se trabaMa con el servidor de seguridad en el futuro"
B"*")")" @Me%plo de configuracin de 3& ;nica +(:+(

@n esta seccin se %ostrar2 c%o configurar una entrada <AT (:( con un solo interno y e/terno 3&" @n este eMe%plo? (+"+"+"> es una direccin 3& virtual en la =A<" @n la %ayora de las i%ple%entaciones de este se
sustituido con uno de sus direcciones 3& p;blicas" @l servidor de correo est2 configurado para este
los %apas se encuentra en un seg%ento de la D!E con 3& interna (,)"(AC")">" +(:+( La entrada <AT para %apear (+"+"+"> a (,)"(AC")"> se %uestra en la Figura B"B? NLa entrada <AT (:(N" Hn diagra%a 9ue representa este
configuracin en la Figura B"C? N@Me%plo de <AT +(:+( I ;nico en el interior y fuera de 3&N"
Figura B"B" @ntrada <AT +(:+(
(1)
B"*")"*" @Me%plo de configuracin 3& de ga%a +(:+(

+(:+( <AT se puede configurar para %;ltiples 3&s p;blicas %ediante el uso de rangos 3D." 3D. resu%en
se trata en Seccin ("B">? Nde resu%en 3D.N" @sta seccin cubre la configuracin de (:(
<AT para una a%plia 3D. 7 *+ de los &3" 3& e/terna (+"+"+"A17*+ (+"+"+"A1 (+"+"+"A> (+"+"+"AA (+"+"+"AB 3nterior 3& (,)"(AC")"A17*+ (,)"(AC")"A1 (,)"(AC")"A> (,)"(AC")"AA (,)"(AC")"AB
Tabla B"(" 7 *+ 3D. %apeo I octeto final se pongan en venta

@l ;lti%o octeto de las direcciones 3& no tiene por 9u6 ser el %is%o en el interior y el e/terior? pero reco%enda%os 9ue hacerlo sie%pre 9ue sea posible" &or eMe%plo? Tabla B")? N7 *+ %apas 3D. I no se pongan en venta final
octeto N ta%bi6n sera v2lida" 3& e/terna (+"+"+"A17*+ (+"+"+"A1 (+"+"+"A> (+"+"+"AA (+"+"+"AB 3nterior 3& (,)"(AC")")++7*+ (,)"(AC")")++ (,)"(AC")")+( (,)"(AC")")+) (,)"(AC")")+*
Tabla B")" 7 *+ 3D. %apeo I octeto final no se pongan en venta

.eco%iendo elegir un es9ue%a de direcciona%iento en el ;lti%o octeto partidos? por9ue hace
la red %2s f2cil de entender y por lo tanto %antener" Figura B",? Nla entrada de +(:+( <AT 7 *+ 3D. a%plia N%uestra c%o configurar <AT +(:+( para lograr la asignacin enu%erados en el Tabla B"(? N7 *+ 3D.
%apas I octeto final se pongan en venta N"
B"*"*" +(:+( <AT en la =A< 3&? ta%bi6n conocido co%o NDona de distensinN en LinLsys
Algunos routers de consu%o co%o los de LinLsys tienen lo 9ue lla%an una NDona de distensinN? caracterstica 9ue se adelante todos los puertos y protocolos destinados a la direccin 3& de la =A< a un siste%a en la LA<" @n
(1*
efecto? esto es de (:( <AT entre la direccin 3& de la =A< y la direccin 3& del siste%a interno"
NEona de distensinN en ese conte/to? sin e%bargo? no tiene nada 9ue ver con lo 9ue una verdadera red D!E es en tie%po real la creacin de redes de ter%inologa" De hecho? es casi todo lo contrario" Hn host en una verdadera Dona de distensin se encuentra en una
aislado de la red leMos de los anfitriones otra LA<? asegur fuera de la 3nternet y los host LA<
por igual" &or el contrario? una NDona des%ilitariDadaN de acogida en el sentido de LinLsys no es slo en la %is%a red 9ue el
hosts de LA<? pero co%pleta%ente e/puestos al tr2fico entrante con ninguna proteccin"
@n pfSense? no se puede tener +(:+( <AT activo en la 3& =A<" @l =ebGH3 no per%itir 9ue dicho
configuracin? ya 9ue se ro%pera la conectividad para otras %29uinas en la red" @n su lugar? debe slo hacia delante de los protocolos y puertos necesarios para el servidor o aplicacin? y restringir su el uso de reglas de firewall 9ue sea posible" 5ue t6cnica%ente se puede lograr lo %is%o %ediante el envo de Los puertos T & y HD& del ( al A>>*> y el G.@ y protocolos de pesetas? pero esto es %uy fuerte
desalentados? ya 9ue tiene consecuencias graves de seguridad"
B"1" &edido de procesa%iento de <AT y Firewall

o%prender el orden en 9ue los cortafuegos y <AT se produce es i%portante en la configuracin <AT y las reglas del cortafuegos" La Figura B"(+? N.ealiDacin de pedidos de <AT y Firewall de procesa%ientoN? ilustra
este ordena%iento" Ta%bi6n %uestra 9ue los laDos de tcpdu%p? ya 9ue su uso co%o herra%ienta de solucin de proble%as se se describir2 %2s adelante en este libro Jv6ase aptulo )>? aptura de pa9uetesK"
ada capa no sie%pre tiene 6/ito" Figura B"((? NLA< a la =A< de procesa%ientoN y Figura B"()? N=A< a la LA< de procesa%iento N %uestran 9ue las capas se aplican para el tr2fico iniciado desde la LA< va a la
=A<? y ta%bi6n para el tr2fico iniciado en la =A< va a LA< Jpor eMe%plo cuando el tr2fico est2 per%itidoK"
&ara el tr2fico de LA< a =A<? en pri%er lugar las reglas del firewall 9ue se eval;an? el <AT de salida se aplica si el tr2fico est2 per%itido" @l <AT =A< y las reglas del firewall no se aplican al tr2fico
inici en la LA<"
(11
Figura B"()" &rocesa%iento de =A< a LA<
(1>
&ara el tr2fico iniciado en la =A<? <AT se aplica en pri%er lugar? a continuacin? las reglas del firewall" Tenga en cuenta 9ue tcpdu%p es sie%pre lo pri%ero y el ;lti%o en ver el tr2fico I por pri%era veD en la interfaD de entrada? antes de cual9uier procesa%iento de firewall y <AT? y el ;lti%o en la interfaD de salida" @sto de%uestra lo 9ue est2 en el cable" J'6ase aptulo )>? aptura de pa9uetesK
B"1"(" @/trapolando a interfaces adicionales

Los diagra%as anteriores slo ilustran un b2sico de dos interfaD LA< y =A< de i%ple%entacin" uando trabaMar con servidores de seguridad con :&T e interfaces =A< :&T? aplican las %is%as reglas" Todos los territorios palestinos ocupados interfaces se co%portan de la %is%a LA<? y todas las interfaces =A< :&T se co%portan de la %is%a co%o =A<" @l tr2fico entre dos interfaces internas se co%porta de la %is%a LA< a la =A< de tr2fico? aun9ue la reglas predeter%inadas <AT no traducen el tr2fico entre las interfaces internas por lo 9ue la capa de <AT no hacer nada en esos casos" Si define las reglas de <AT de salida 9ue coincidan con el tr2fico entre
interfaces internas? se aplicar2 tal co%o se %uestra"
B"1")" .eglas para <AT

&ara conocer las reglas de la =A< o interfaces =A< :&T? por9ue <AT traduce la direccin 3& de destino de la tr2fico antes de las reglas del firewall 9ue evaluar? las reglas de firewall =A< sie%pre debe especificar el direccin 3& privada co%o destino" &or eMe%plo? al agregar un puerto para la cone/in para el puerto T & C+ en la =A<? y co%probar la AutoIA0ade una caMa de servidor de seguridad general? esta es la regla de firewall 9ue resulta en la =A<" @l perodo de investigacin interna en el puerto de avanDar es (,)"(AC"(">" Sa sea 9ue utilice el puerto hacia delante o <AT (:(? reglas de firewall en todas las interfaces =A< debe utiliDar la direccin 3& interna co%o la direccin de destino" onsulte a Figura B"(*? Nlas reglas de firewall para el puerto hacia adelante a la LA< de hostN para un eMe%plo de c%o un
regla debe aparecer"
Figura B"(*" Las reglas de firewall para el puerto hacia adelante a la LA< de host
B">" <AT .efle/in

<AT refle/in se refiere a la capacidad de acceder a los servicios e/ternos de la red interna 3& p;blica? lo %is%o 9ue usted hara si estuviera en 3nternet" !uchos de origen co%ercial y abierta cortafuegos no ad%ite esta funcionalidad en todos" pfSense tiene algo li%itado el apoyo a <AT refle/in? aun9ue algunos a%bientes se re9uiere una infraestructura D<S dividida para dar cabida a
esta funcionalidad" Dividir el D<S est2 cubierta en Seccin B">")? NSplit D<SN"
(1A
B">"(" onfiguracin y uso de .efle/in <AT

&ara habilitar la refle/in <AT? vaya al Siste%a &2gina de avanDada" Despl2cese hacia abaMo en
Traduccin de direcciones de red y desactive la casilla de Deshabilitar <AT refle/in co%o se %uestra en Figura B"(1? NActivar <AT .efle/inN" Faga clic en Guardar y? a la refle/in <AT se activar2" <
una configuracin adicional 9ue se necesita? in%ediata%ente va a funcionar"
Figura B"(1" Fabilitar <AT .efle/in
B">"("(" <AT Advertencias .efle/in

refle/in <AT es sie%pre un poco de un truco? ya 9ue los bucles de tr2fico a trav6s del firewall" Debido a la pf opciones li%itadas prev6 la adaptacin estos escenarios? hay algunas li%itaciones en el aplicacin pfSense refle/in <AT" &uerto rangos de %2s de >++ puertos no tienen <AT refle/in activa? y (:( <AT no es co%patible" Dividir el D<S es el ;nico %edio de hacer frente grandes rangos de puertos y <AT (:(" !e encantara decirle a esta situacin %eMorar2 en pfSense )"+? pero 9ue es poco probable debido a los desafos del %aneMo de este dados los l%ites de la subyacente software" @l %anteni%iento de una infraestructura D<S dividida es re9uerido por %uchos de los firewalls co%erciales? incluso?
y por lo general no es un proble%a"
B">")" Dividir el D<S

Hna alternativa preferible a la refle/in <AT es i%ple%entar una infraestructura D<S dividida" Dividir el D<S hace referencia a una configuracin de D<S? donde su p;blico D<S de 3nternet resuelve a su 3& p;blica? y D<S en la red interna se resuelve en la 3& privada interna" Los %edios para conseguir esto variar2 dependiendo de las caractersticas especficas de su infraestructura de D<S? pero es el resultado final de la %is%o" Se o%ite la necesidad de refle/ionar <AT %ediante la resolucin de no%bres de host a la 3& privada en el interior
su red"
B">")"(" 3nvalida D<S Forwarder

Si utiliDa pfSense co%o su servidor D<S para los hosts internos? puede utiliDar anula D<S reenviador
para llevar a cabo una i%ple%entacin de D<S dividida" &ara agregar un ree%plaDo para el agente de D<S? vaya
a los servicios .eenviador D<S y haga clic en la seccin NHsted puede entrar en los registros 9ue anulan
(1B
los resultados de los agentes de abaMo N? co%o se indica en la Figura B"(>?N Add D<S Forwarder
.ee%plaDar N"
@l resultado ser2 el pro%otor de D<S: pantalla de edicin de acogida" La Figura B"(A? NAdd Forwarder D<S Au%ento al presupuesto para e/a%ple"co% Ny la Figura B"(B?N D<S reenviador anulacin de www"e/a%ple"co% N
%uestran eMe%plos de anulaciones D<S para e/a%ple"co% y www"e/a%ple"co%" Hsted tendr2 9ue a0adir un au%ento al presupuesto para cada no%bre de host en el uso de detr2s de su firewall"
B">")")" 3nterior servidores D<S

Si utiliDa otros servidores D<S en su red interna? co%o es co%;n cuando se utiliDa !icrosoft Active Directory? usted tendr2 9ue crear Donas para 9ue todos los do%inios de acogida dentro de su red?
Munto con todos los de%2s registros de los do%inios JA? <A!@? !G? etc"K
@n entornos 9ue utiliDan el servidor D<S de #3<D D<S donde el p;blico se encuentra aloMado en el %is%o servidor D<S co%o el privado? cuentan con puntos de vista de #3<D se utiliDa para resolver D<S diferente de la residencia los eM6rcitos 9ue las e/ternas" Si est2 usando un servidor D<S diferente? es posible 9ue un apoyo si%ilar
funcionalidad" o%pruebe su docu%entacin para obtener infor%acin"
B"A" Salida <AT

Salida <AT controla c%o el tr2fico 9ue sale de la red ser2n traducidos" &ara configurarlo? visite el Firewall &2gina de <AT y elegir la pesta0a de salida" Fay dos de configuracin opciones para la salida <AT en pfSense? generacin auto%2tica de salida regla de <AT y el !anual generacin de salida <AT JAdvanced salida <AT JA:<KK" @n las redes con un p;blico ;nico direccin 3& por la =A<? por lo general hay ninguna raDn para 9ue A:<" @n entornos con %;ltiples direcciones 3& p;blicas? puede ser deseable" &ara entornos con A.&? es i%portante <AT el tr2fico de salida a una direccin 3& A.&? co%o se e/plica en aptulo )+? Firewall de redundancia y Alto
Disponibilidad"
B"A"(" &or defecto .eglas <AT Saliente

Al usar el <AT por defecto auto%2tico de salida? pfSense auto%2tica%ente crear reglas <AT el tr2fico de traducir deMar la red interna a la direccin 3& de la interfaD =A< 9ue
el tr2fico de hoMas"
(1C
B"A")" &uerto est2tico

De for%a predeter%inada? pfSense vuelve a escribir el puerto de origen en todos los pa9uetes salientes" !uchos siste%as operativos no
un %al trabaMo de la aleatoriDacin de puerto de origen? si lo hacen en absoluto" @sto hace %2s f2cil la suplantacin de 3&? y per%ite a los hosts de huellas digitales detr2s de su servidor de seguridad de su tr2fico saliente" .eescritura
el puerto de origen eli%ina estos posibles Jaun9ue poco probableK vulnerabilidades de seguridad"
Sin e%bargo? esto ro%pe algunas aplicaciones" <o se construyen en las reglas cuando avanDadas de salida <AT es con discapacidad 9ue no lo hace para HD& >++ J3Q@ para el tr2fico '&<K y >+A+ JS3&K? por9ue estos tipos de tr2fico? casi sie%pre se ro%pe por reescribir el puerto de origen" @l resto del tr2fico se ha
el puerto de origen reescrito de for%a predeter%inada"

Hsted puede utiliDar otros protocolos? co%o algunos Muegos entre otras cosas? 9ue no funcionan correcta%ente cuando el puerto de origen se reescribe" &ara desactivar esta funcionalidad? deber2 utiliDar la est2tica
opcin de puerto" Faga clic en Firewall <AT? y la ficha de salida" Faga clic en !anual de salida regla <AT
generacin JAdvanced salida <AT JA:<KK y haga clic en Guardar" A continuacin ver2 una regla en el parte inferior de la p2gina eti9uetada Auto creado regla para LA<" Faga clic en el botn a la derecha de la regla para editarlo" !ar9ue la casilla de puerto est2tico en la p2gina y haga clic en Guardar" Aplicar ca%bios" Despu6s de
hacer ese ca%bio? el puerto de origen en el tr2fico de salida se %antendr2"
B"A"*" Deshabilitar <AT Saliente

Si est2 utiliDando direcciones 3& p;blicas en las interfaces locales? y por lo tanto no es necesario aplicar <AT el tr2fico 9ue pasa a trav6s del firewall? debe desactivar <AT para esa interfaD" on el fin de hacer esto? pri%ero debe ca%biar la configuracin de <AT de salida en !anual de salida <AT? y luego Guardar" Despu6s de hacer ese ca%bio? una o %2s reglas 9ue aparecen en la lista en la pantalla de salida <AT" @li%inar la regla o reglas para el p;blico en subredes 3& haciendo clic en cada lnea una veD Jo %arcar la casilla de el inicio de la lneaK y? a continuacin? haga clic en el botn en la parte inferior de la lista" Faga clic en Aplicar ca%bios
para co%pletar el proceso"

Hna veD 9ue todas las reglas se han eli%inado? de salida <AT ya no se activa para los
direcciones y pfSense entonces las direcciones 3& va p;blica sin necesidad de traduccin"
&ara desactivar co%pleta%ente <AT saliente? eli%inar todas las reglas 9ue est2n presentes cuando se utiliDa %anual
<AT de salida"
B"B" @legir una configuracin de <AT

Su opcin de configuracin de <AT depende principal%ente del n;%ero de 3&s p;blicas 9ue han
y el n;%ero de siste%as 9ue re9uieren el acceso de entrada desde 3nternet"
(1,
B"B"(" 3& ;nico p;blico por la =A<

uando slo tiene una ;nica 3& p;blica por la =A<? las opciones de <AT son li%itados" Slo se puede utiliDar +(:+( <AT con 'irtual 3&? no con cual9uier 3& =A<" @n este caso? slo se puede usar hacia delante del puerto"
B"B")" !;ltiples direcciones 3& p;blicas por =A<

on %;ltiples direcciones 3& p;blicas por la =A<? 9ue tiene nu%erosas opciones para su entrada y de salida configuracin de <AT" delante del puerto? <AT (:(? y AvanDado de salida <AT todo puede ser deseable
en algunas circunstancias"
B"C" <AT y co%patibilidad de &rotocolo

Algunos protocolos no funcionan bien y otras no en todos con <AT" Algunos protocolos de integrar 3& Las direcciones dentro de los pa9uetes? algunos no funcionan correcta%ente si el puerto de origen se reescribe? y algunos son difciles debido a las li%itaciones de la F@&" @sta seccin trata de los protocolos 9ue tienen dificultades
con <AT en pfSense? y c%o evitar estos proble%as cuando sea posible"
B"C"(" FT&
FT& plantea proble%as tanto con <AT y firewalls debido al dise0o del protocolo" FT& fue dise0ado inicial%ente en la d6cada de (,B+? y el nivel actual de definicin de las especificaciones de la protocolo fue escrita en (,C>" Desde FT& se cre %2s de una d6cada antes de la <AT? y largo antes de servidores de seguridad son co%unes? 9ue hace algunas cosas 9ue son %uy <AT y cortafuegos hostil" pfSense utiliDa dos diferentes aplicaciones pro/y FT&? pftp/ y ftpsesa%e" pftp/ se utiliDa para todos
escenarios de <AT? %ientras aco%oda ftpsesa%e puente y de enruta%iento de direcciones 3& p;blicas"
B"C"("(" FT& Li%itaciones

Debido a pf carece de la capacidad para %aneMar adecuada%ente el tr2fico FT& sin un pro/y? y el pfSense FT&
aplicacin pro/y es algo falta? hay algunas restricciones en el uso de FT&" )
B"C"("("(" one/iones de cliente FT& a 3nternet

cone/iones FT& cliente sie%pre usar2 la interfaD =A< pri%ario y no se puede utiliDar cual9uier :&T interfaces =A<" !2s infor%acin sobre esto puede encontrarse en aptulo ((? !;ltiples =A<
one/iones
)@n
pfSense )"+? el servidor pro/y FT& y au/iliares relacionadas han sido eli%inados y toda esta funcionalidad se %aneMa a la perfeccin en un %2s
%anera robusta en el interior del n;cleo"
(>+
B"C"("(")" Servidores FT& detr2s de <AT

servidores FT& detr2s de <AT debe utiliDar el puerto )(? ya 9ue el pro/y FT& slo se iniciar2 cuando el puerto )( es especificado"
B"C"(")" FT& %odos

B"C"(")"(" !odo Activo
on FT& en %odo activo? cuando una transferencia de archivos se solicita? el cliente escucha en un puerto local? y a continuacin? indica al servidor la direccin 3& del cliente y el puerto" @l servidor se conectar2 de nuevo a 9ue la propiedad intelectual direccin y el puerto con el fin de transferir los datos" @ste es un proble%a para los servidores de seguridad por9ue el puerto est2 nor%al%ente al aDar? aun9ue los clientes %odernos per%iten li%itar el alcance 9ue se utiliDa" o%o es posible 9ue han adivinado? en el caso de un cliente detr2s de <AT? la direccin 3& deter%inada sera una direccin local? inalcanDable desde el servidor" <o slo eso? sino una regla de firewall 9ue hay 9ue a0adir y un puerto
hacia adelante para per%itir el tr2fico en este puerto"

uando el pro/y FT& est2 en uso? se trata de hacer tres cosas i%portantes" @n pri%er lugar? se volver2 a escribir el FT& &H@.T: co%andos para 9ue la direccin 3& es la direccin 3& =A< del servidor de seguridad? y al aDar un
elegido el puerto en esa direccin 3&" A continuacin? se a0ade un puerto para la cone/in 9ue conecta la traduccin de direcciones 3&
y el puerto a la direccin 3& original y el puerto especificado por el cliente FT&" &or ;lti%o? se per%ite el tr2fico
desde el servidor FT& para conectarse a ese Np;blicoN del puerto"

uando todo est2 funcionando co%o debera? todo esto sucede de %anera transparente" @l servidor nunca se sabe se est2 hablando con un cliente detr2s de <AT? y el cliente no sabe 9ue el servidor no se conecta
directa%ente"
@n el caso de un servidor detr2s de <AT? esto no suele ser un proble%a ya 9ue el servidor slo se !;sica para las cone/iones en el est2ndar de los puertos FT& y luego hacer las cone/iones de salida de nuevo
a los clientes"
B"C"(")")" !odo pasivo

!odo pasivo J&AS'K act;a un poco a la inversa" &ara los clientes? es %2s <AT y firewalls
ya 9ue el servidor escucha en un puerto cuando una transferencia de archivos se solicita? no el cliente" &or lo general? el %odo &AS' trabaMar2 para los clientes FT& detr2s de <AT sin usar pro/y o un trata%iento especial
en absoluto"
Si un servidor est2 detr2s de <AT? sin e%bargo? el tr2fico debe ser pro/y a la inversa? cuando a sus clientes intento de utiliDar el %odo &AS'" @l pro/y FT& puede %aneMar esta situacin? pero todas las lla%adas entrantes FT& las solicitudes se parecen provenir del siste%a de pfSense en lugar de los clientes" Al igual 9ue el situacin en la seccin anterior? cuando un cliente solicita el %odo &AS' el servidor tendr2 9ue dar
(>(
su direccin 3& y un puerto aleatorio para el cual el cliente puede intentar conectarse" Sa 9ue el servidor es
en una red privada? 9ue la direccin 3& y el puerto tendr2 9ue ser traducido y per%ite a trav6s de
el servidor de seguridad"
B"C"(")"*" @/tendido %odo pasivo

@/tendido %odo pasivo J@&S'K funciona de for%a si%ilar al %odo &AS' pero hace concesiones para el uso en 3&vA" uando un cliente solicita una transferencia? el servidor responde con el puerto al 9ue el cliente
debe conectar" Las %is%as advertencias para los servidores en %odo &AS' se aplican a9u"
B"C"("*" Servidores FT& y reenvos &uerto

&ara garantiDar el pro/y FT& funciona correcta%ente para el puerto hacia delante
U 3& p;blica debe ser 3& de la interfaD =A< o de un tipo de carpas '3&? por9ue el pro/y FT& debe
para escuchar en la 3& p;blica? y A.& &ro/y y otras personalidades de tipo no per%iten esto" U ayudante de FT& debe estar habilitado en la interfaD =A< en el puerto hacia adelante reside" U @l servidor debe estar usando el puerto )("
B"C"("1" Servidores FT& y <AT +(:+(

Al aloMar un servidor FT& usando +(:+( <AT? debe hacer tres cosas para garantiDar el pro/y FT&
funcionar2? lo 9ue per%ite FT& para 9ue funcione correcta%ente" U Htilice A.&A '3& tipo
Debido a 9ue el pro/y FT& debe ser capaD de escuchar en el '3&? y &ro/y A.& y otras personalidades de tipo
no per%itir esto? debe utiliDar A.&A '3& con ninguna de las entradas +(:+( <AT aloMa%iento de servidores FT&" U Fabilitar el ayudante de FT& en la red =A<? donde la entrada se configura +(:+(
'aya a la interfaD donde la subred e/terna +(:+( resida? en el %en; de interfaces" @n un solo despliegue de =A<? se trata de interfaces =A<" #aMo FT& ayudante? aseg;rese de desactivar la
espacio de usuario de aplicacin pro/y FT& est2 %arcada" U A0adir una entrada al puerto para la cone/in de T & )(
@sto no es precisa%ente sencillo? pero la for%a de activar la ayuda de FT& para escuchar en una relacin (:(
<AT 3& es %ediante la adicin de una entrada de puerto para la cone/in con la %is%a 3& internas y e/ternas y el puerto T &
)(" @sto en realidad no agregar la configuracin de <AT se especifica? co%o el siste%a reconoce su
(>)
+(:+( entrada <AT? y si%ple%ente lanDa el pro/y FT& en 9ue la propiedad intelectual" @sto puede ser %2s recta
adelante en pfSense )"+? pero el co%porta%iento e/istentes se %antendr2n para la co%patibilidad hacia atr2s"
B"C")" TFT&
<or%a tr2fico T & y HD& iniciar cone/iones a hosts re%otos usando un puerto de origen al aDar en el rango de puertos ef%eros Jrango vara seg;n el siste%a operativo? pero entra dentro (+)1IA>>*>K? y el puerto de destino del protocolo en uso" Las respuestas del servidor al cliente 9ue revertir I la fuente puerto es el puerto del cliente de destino y el puerto de destino es el puerto del cliente de origen" As es co%o
asociados pf el tr2fico de respuesta a las cone/iones iniciadas desde el interior de la red"

TFT& JTrivial File Transfer &rotocolK no se sigue de esto? sin e%bargo" @l est2ndar 9ue define TFT&? .F (*>+? especifica la respuesta del servidor TFT& al cliente se obtienen de un pseudoI n;%ero de puerto aleatorio" Su cliente TFT& puede elegir un puerto de origen de los (+"*)> Jco%o eMe%ploK y utiliDar el puerto de destino para TFT&? puerto A," @l servidor para otros protocolos entonces enviar el respuesta a trav6s de puerto de origen A, y puerto de destino (+*)>" Desde TFT& en su lugar utiliDa un pseudoIaleatorios puerto de origen? el tr2fico de respuesta no coincide con el pf @stado ha creado para este tr2fico" De ah 9ue la
respuestas ser2n blo9ueados debido a 9ue parecen ser el tr2fico no solicitado a trav6s de 3nternet"
TFT& no es un protocolo de uso general a trav6s de 3nternet" La ;nica situacin 9ue en ocasiones surge cuando se trata de un proble%a es con algunos tel6fonos 3& 9ue se conectan al e/terior de los proveedores de 'o3& a trav6s de 3nternet usando TFT& para tirar de configuracin y otra infor%acin" La %ayora de los proveedores de 'o3&
no lo re9uieren"
<o hay for%a de solucionar esta li%itacin en este %o%ento I TFT& no funcionar2 a trav6s de pfSense
(")" pfSense )"+ incluye un pro/y TFT& 9ue eli%ina esta li%itacin"
B"C"*" &&T& 7 G.@

Las li%itaciones con &&T& en pfSense son causados por las li%itaciones en la capacidad de pf de <AT el G.@ protocolo" &or lo tanto? las li%itaciones se aplican a cual9uier uso del protocolo G.@? sin e%bargo es el &&T&
uso %2s co%;n del G.@ en la %ayora de las redes actuales"

@l estado del cdigo de segui%iento en pf para el protocolo G.@ slo puede seguir una sola sesin por 3& p;blica por un servidor e/terno" @sto significa 9ue si usted utiliDa cone/iones '&< &&T&? slo una %29uina interna se pueden conectar si%ult2nea%ente a un servidor &&T& en 3nternet" Hn %illar de %29uinas se pueden conectar si%ult2nea%ente a un %illar de diferentes servidores &&T&? pero a una sola veD una sola
servidor" Hn solo cliente ta%bi6n puede conectarse a un n;%ero ili%itado de servidores fuera de &&T&"
@l ;nico trabaMo disponible todo es el uso de %;ltiples direcciones 3& p;blicas en el servidor de seguridad? uno por cada cliente a trav6s de <AT de salida o (:(? o utiliDar %;ltiples direcciones 3& p;blica e/terna en el servidor &&T&" @sto no es un
proble%a con otros tipos de cone/iones '&<"
(>*
Debido a las %is%as li%itaciones G.@ se %encion anterior%ente? si activas el servidor &&T& en pfSense?
no se puede conectar a cual9uier servidor &&T& en 3nternet de los clientes <AT a la 3& =A< pfSense" @l trabaMo alrededor de esto ta%bi6n re9uiere el uso de %2s de una direccin 3& p;blica" &uede <AT clientes internos a otra 3& p;blica? y slo se suMeta a los %is%os por p;blicos
restricciones de propiedad intelectual antes %encionados"

Desde 9ue en gran %edida dependen de la funcionalidad del siste%a subyacente? y si%ple%ente envolver una interfaD gr2fica de usuario en torno a esa funcionalidad? este es un proble%a difcil de resolver para nosotros" @n el %o%ento de escribir este artculo esta%os investigando las posibles soluciones para este proble%a en pfSense )"+? pero no tienen todava un
solucin"
B"C"1" $uegos online

$uegos nor%al%ente son <AT a%biente aparte de un par de advertencias" @sta seccin se refiere a los Muegos de & con capacidades en lnea? as co%o siste%as de consola de Muegos con opciones online" @n esta seccin proporciona una visin general de las e/periencias de nu%erosos usuarios pfSense" .eco%iendo visitar el
@n el tablero de Muego pfSense foro [http:77foru%"pfsense"org\ para encontrar %2s infor%acin"
B"C"1"(" &uerto est2tico

Algunos Muegos no funcionan correcta%ente a %enos 9ue se habilite el puerto est2tico" Si usted est2 teniendo proble%as con un Muego? lo %eMor 9ue probar pri%ero es 9ue per%ite puerto est2tico" 'ea la seccin de puerto est2tico al principio de este
captulo para obtener %2s infor%acin"
B"C"1")" !;ltiples Mugadores o e9uipos detr2s de un dispositivo <AT

Algunos Muegos tienen proble%as donde los Mugadores %;ltiples o dispositivos est2n detr2s de un dispositivo <AT sola" @stos proble%as parecen ser especficos a <AT? no pfSense? ya 9ue los usuarios 9ue han probado otros servidores de seguridad e/peri%entan los %is%os proble%as con ellos" #uscar en el tablero de Muego en el foro de pfSense para el Muego o el siste%a 9ue est2 utiliDando y es probable 9ue encontrar infor%acin de otros con
e/periencias si%ilares en el pasado"
B"C"1"*" Superar los proble%as con <AT H&n&

!uchos siste%as de Muego %odernos soportan Hniversal &lugIandI&lay JH&n&K para 9ue auto%2tica%ente configurar alguna necesidad especial en t6r%inos de los delanteros de puertos <AT y las reglas del cortafuegos" Hsted puede encontrar 9ue habilitar H&n& en su siste%a pfSense le per%itir2 f2cil%ente Muegos para trabaMar con poca o ninguna
intervencin" 'er Seccin )("A? NH&n&N &ara obtener %2s infor%acin sobre la configuracin y el uso de H&n&"
(>1
B"," Solucin de proble%as

<AT puede ser un ani%al co%pleMo? y en todos %enos en los a%bientes %2s b2sica? es inevitable 9ue
haber algunos proble%as de conseguir una buena configuracin de trabaMo" @n esta seccin se repasar2 algunos co%unes
proble%as y algunas sugerencias sobre c%o podran resolverse"
B","(" &uerto Adelante Solucin de proble%as

delante del puerto? en particular? puede ser difcil? ya 9ue hay %uchas cosas 9ue van %al? %uchos de los cuales podra estar en la configuracin del cliente y no pfSense" La %ayora de los proble%as encontrados por nuestros usuarios
ha resuelto %ediante una o varias de las siguientes sugerencias"
B","("(" &uerta de entrada hacia delante incorrecta

Antes de cual9uier tarea de solucin de proble%as? aseg;rese 9ue las configuraciones para el puerto hacia adelante son correctos" 3r sobre el proceso de Seccin B")"*? NA0adir Delanteros &uertoN otra veD? y vuelva a co%probar 9ue el
los valores son correctos" .ecuerde? si usted ca%bia la 3& <AT o los puertos? ta%bi6n se tendr2 9ue aMustar
la regla de firewall se pongan en venta" Las cosas co%unes para verificar: U orregir la interfaD Jpor lo general =A<? o donde9uiera 9ue el tr2fico va a ingresar en el cuadro de pfSenseK" U orregir <AT 3&? 9ue debe ser accesible desde una interfaD en el router pfSense" U orregir rango de puertos? 9ue debe corresponder al servicio 9ue est2n tratando de avanDar"
B","(")" Falta o regla de firewall incorrecta

Despu6s de co%probar la configuracin de puerto para la cone/in? verifi9ue 9ue la regla de firewall tiene la adecuada
aMustes" Hna regla de servidor de seguridad incorrecto ta%bi6n sera evidente al ver los registros del firewall JSeccin A"(+? N'isualiDacin de los registros del firewallNK" .ecuerde? 9ue el destino del servidor de seguridad regla debe ser la direccin 3& interna del siste%a de destino y no la direccin de la interfaD
9ue contiene el puerto para la cone/in" 'er Seccin B"1")? N<or%as para <ATN para %2s detalles"
B","("*" Firewall est2 habilitado en el e9uipo de destino

:tra cosa a considerar es 9ue pfSense puede reenviar el puerto correcta%ente? pero un servidor de seguridad en el e9uipo de destino puede estar blo9ueando el tr2fico" Si hay un firewall en el siste%a obMetivo? tendr2 9ue co%probar sus registros y configuracin para confir%ar si el tr2fico est2 siendo blo9ueado
en ese punto"
(>>
B","("1" pfSense no es puerta de entrada del siste%a de destino

on el fin de pfSense 9ue trans%ita correcta%ente un puerto para un siste%a local? pfSense debe ser el valor por defecto
puerta de entrada para el siste%a de destino" Si pfSense no es la puerta de entrada? el siste%a de destino intentar2 enviar las respuestas al tr2fico portuario hacia adelante a cual9uier siste%a es la puerta? y luego uno de los dos las cosas van a suceder: e%bargo? se eli%inar2 en ese %o%ento ya no habra cone/in correspondiente @stado en 9ue el router I o I 9ue habra 9ue aplicar <AT del router y luego se reduMo en el siste%a 9ue origina la solicitud ya la respuesta es de una direccin 3& diferente de la de
9ue la solicitud se envi inicial%ente"
B","(">" La %29uina de destino no est2 escuchando en el puerto redirigido

Si? cuando la cone/in se prueba? se rechaDa la solicitud en lugar de tie%po de espera? con toda probabilidad pfSense es el reenvo de la cone/in correcta y la cone/in es rechaDada por el siste%a de destino" @sto puede ocurrir cuando el siste%a de destino no tiene servicio de escucha en el puerto en cuestin? o si el
puerto 9ue est2 siendo enviado no coincide con el puerto en el 9ue el siste%a de destino est2 a la escucha"
&or eMe%plo? si el siste%a de destino se supone 9ue es %;sica para cone/iones SSF? pero el puerto adelante se introduMo por el puerto )* en lugar de ))? la peticin lo %2s probable es 9ue sea rechaDada" Hsted puede
por lo general la diferencia al tratar de conectar con el puerto en cuestin a trav6s de telnet" Hn %ensaMe
tales co%o one/in rechaDada indica algo? con frecuencia de acogida en el interior? se activa negarse
la cone/in"
B","("A" 3S& est2 blo9ueando el puerto 9ue est2 tratando de avanDar

@n algunos casos? los 3S& filtrar el tr2fico entrante a los puertos conocidos" .evise los t6r%inos de su 3S& de Servicio JT:SK? y ver si hay una cl2usula sobre la eMecucin de los servidores" @stas restricciones son %2s co%unes en las cone/iones residenciales de cone/iones co%erciales" @n caso de duda? una lla%ada a la
3S& puede aclarar el asunto"

Si los puertos est2n siendo filtrados por su 3S&? puede 9ue tenga 9ue %over sus servicios a un puerto diferente con el fin de evitar la filtracin" &or eMe%plo? si su 3S& no per%ite servidores en el puerto C+? prueba
C+C+ o CCCC"
Antes de tratar de evitar un filtro? consulte a su e9uipo de especialistas del 3S& para asegurarse de 9ue no est2 violando
sus reglas"
B","("B" &rueba del interior de su red en lugar de fuera de

De for%a predeter%inada? delante del puerto slo funciona cuando las cone/iones se realiDan desde fuera de su
red" @sto es un error %uy co%;n cuando se prueba delante del puerto"
(>A
Si necesita delante del puerto de trabaMar interna%ente? v6ase Seccin B">? N.efle/in <ATN" Sin e%bargo?
Dividir el D<S JSeccin B">")? NSplit D<SNK @s una solucin %2s apropiada y elegante a este proble%a sin necesidad de depender de la refle/in <AT o hacia el puerto? y sera digno de su tie%po
para aplicar en su lugar"
B","("C" @s incorrecta o falta de direcciones 3& virtuales

Al utiliDar direcciones 3& 9ue no son los reales direcciones 3& asignadas a una interfaD? debe
uso de direcciones 3& virtuales J'3&? consulte Seccin A"C? N3&s virtualesNK" Si un puerto para la cone/in de una direccin 3& alternativa
no funciona? puede 9ue tenga 9ue ca%biar a un tipo diferente de '3&" &or eMe%plo? es posible 9ue necesite
utiliDar un tipo de pro/y A.& en lugar de un NotroN tipo '3&" uando la prueba? aseg;rese ta%bi6n de 9ue se est2 conectando a la adecuada '3&"
B","("," pfSense no es la frontera 7 router de frontera

@n algunos casos? pfSense es un enrutador interno? y hay otros routers entre 6ste y el 3nternet ta%bi6n realiDan <AT" @n tal caso? un puerto para la cone/in tendra 9ue ser inscrito en la @dge .outer reenvo del puerto de pfSense? 9ue luego se utiliDa otro puerto para la cone/in a conseguirlo
en el siste%a local"
B","("(+" Ade%2s las pruebas necesarias

Si ninguna de estas soluciones le ayud a obtener un puerto de trabaMo hacia adelante? consulte aptulo )>? &a9uete
aptura para obtener infor%acin sobre el uso de capturas de pa9uetes para diagnosticar proble%as de reenvo de puerto"
B",")" <AT .efle/in Solucin de proble%as

<AT .efle/in JSeccin B">? N.efle/in <ATNK @s %2s de una chapuDa 9ue una solucin? y co%o tal es propenso a no funcionar co%o se esperaba" <o pode%os reco%endar lo suficiente 9ue utilice Split D<S en su lugar Jver Seccin B">")? NSplit D<SNK" Si <AT La refle/in no est2 funcionando correcta%ente? aseg;rese de 9ue
fue activado de la %anera correcta? y asegurarse de 9ue no son el reenvo de una a%plia ga%a de puertos"
<AT nor%as de refle/in ta%bi6n se duplican para cada interfaD presente en el siste%a? as 9ue si usted tiene una gran cantidad de delanteros del puerto y las interfaces? el n;%ero de reflectores puede f2cil%ente superar los l%ites de la
del siste%a" Si esto ocurre? una entrada se i%pri%e en los registros del siste%a"
B",")"(" =eb Access es roto con <AT habilitado .efle/in

Si usted tiene un %al especificado de puertos <AT hacia adelante? puede causar proble%as cuando <AT
La refle/in es per%itido" La for%a %2s co%;n de este proble%a se plantea es cuando usted tiene una web local
servidor y el puerto C+ es enviado all con un %al especificado de direcciones e/ternas"
(>B
Si <AT refle/in est2 habilitado y la direccin e/terna se establece en c(al'(ier? ual9uier cone/in 9ue hacen aparece co%o su propia p2gina web" &ara solucionar este proble%a? edite el <AT del puerto hacia adelante para el puerto de ofender? y el ca%bio de direcciones e/terna a Direccin de interfa4 en su lugar"
Si real%ente necesita una direccin e/terna de c(al'(ier? A continuacin? <AT La refle/in no funciona para usted?
y tendr2 9ue e%plear a Split D<S en su lugar"
B","*" Solucin de proble%as de salida <AT

uando haya activado <AT %anual de salida? y hay varias subredes locales? un entrada de <AT de salida ser2 necesario para cada uno" @sto se aplica especial%ente si va a tener tr2fico salir con <AT despu6s de entrar en el router pfSense trav6s de una cone/in '&< co%o &&T& o
:pen'&<"
Hn indicio de una regla <AT saliente falta sera pa9uetes ver salir de la interfaD =A<
con una direccin de origen de una red privada" 'er aptulo )>? aptura de pa9uetes para obtener %2s detalles
en la obtencin e interpretacin de captura de pa9uetes"
(>C
aptulo C" @nruta%iento

Hna de las principales funciones de un servidor de seguridad es de enruta%iento de tr2fico? ade%2s de filtrar y realiDar
<AT" @ste captulo se refiere a varios te%as relacionados con la ruta? incluyendo las rutas est2ticas? protocolos de enruta%iento?
enruta%iento de direcciones 3& p;blicas? y %ostrar la infor%acin de enruta%iento"
C"(" .utas est2ticas

Las rutas est2ticas se utiliDan cuando se han hosts o redes accesibles a trav6s de un otro router 9ue no sea su puerta de enlace predeter%inada" Su firewall o router conoce las redes directa%ente unido a 6l? y
llega a todas las de%2s redes seg;n las indicaciones de su tabla de enruta%iento" @n las redes donde se tiene una interna
router conectar subredes internas adicionales? debe definir una ruta est2tica para 9ue la red de
ser alcanDable"
C"("(" @Me%plo de ruta est2tica

Figura C"(? Nruta est2ticaN ilustra un escenario en el 9ue se re9uiere una ruta est2tica"
Figura C"(" .uta est2tica

Debido a 9ue la red (,)"(AC")"+7)1 en Figura C"(? Nruta est2ticaN no est2 en una relacin directa interfaD de pfSense? necesita una ruta est2tica para 9ue sepa c%o llegar a esa red" Figura C")?
N onfiguracin de rutas est2ticasN %uestra la ruta est2tica adecuado para el diagra%a anterior"
(>,
@nruta%iento
Figura C")" onfiguracin de rutas est2ticas

La caMa de interfaD define la interfaD? donde la puerta de enlace es accesible" La
.ed de destino especifica la subred accesible a trav6s de esta ruta" &uerta de enlace especifica el perodo de investigacin
la direccin del router en esta red es accesible" @sta debe ser una direccin 3& dentro de la subred 3& de la interfaD elegida" aMustes de servidor de seguridad regla ta%bi6n puede ser re9uerido" @l valor por defecto LA< ;nica regla per%ite el tr2fico procedente de la subred LA<? por lo 9ue si %antiene esa nor%a? 9ue tendr2 9ue abrir la red de origen para incluir ta%bi6n a las redes accesibles a trav6s de rutas est2ticas de la LA<" La siguiente seccin describe un escenario co%;n con rutas est2ticas para 9ue ta%bi6n vosotros
revisin"
C"(")" #ypass reglas de firewall para el tr2fico en la %is%a interfaD

@n %uchos casos cuando se utiliDa rutas est2ticas se ter%ina con el enruta%iento asi%6trico" @sto significa 9ue el tr2fico en una direccin to%ar2 un ca%ino diferente del tr2fico en la direccin opuesta" To%e
Figura C"*? Nasi%6trica de enruta%ientoN por eMe%plo"
(A+
@nruta%iento
Figura C"*" @nruta%iento asi%6trico

@l tr2fico de & ( a & ) pasar2 por pfSense? ya 9ue es & ( de puerta de enlace predeter%inada? pero el tr2fico en
la direccin opuesta ir2n directa%ente desde el router a la & (" Desde pfSense es un firewall? debe velar por todos los de la cone/in para poder filtrar el tr2fico correcta%ente" on el enruta%iento asi%6trico de esta %anera? cual9uier servidor de seguridad con estado acabar2 cayendo el tr2fico de fiar por9ue no pueden %antener adecuada%ente estado sin ver el tr2fico en a%bas direcciones" o%pruebe sie%pre las reglas del firewall de derivacin para el tr2fico
en la caMa %is%a interfaD en el Siste%a AvanDada la p2gina en los escenarios de enruta%iento asi%6trico
para evitar el tr2fico legti%o de ser retirados" @sto se su%a reglas de firewall 9ue per%ite todo el tr2fico entre las redes se definen en las rutas est2ticas con ninguna opcin estado &F" o%o alternativa? puede agregar las reglas del firewall se especifica ning(no co%o el tipo de @stado? el tr2fico de correspondencia entre lo local y lo subredes re%otas? pero 9ue general%ente no se reco%ienda debido a la co%pleMidad 9ue puede presentar y la %ayor probabilidad de errores" @n caso de necesidad de filtrar el tr2fico entre est2tica%ente enrutado subredes? se debe hacer en el router y no el servidor de seguridad desde el servidor de seguridad no est2 en condiciones de
en la red donde se puede controlar el tr2fico"
C"("*" .edirecciones 3 !&

uando un dispositivo enva un pa9uete a su puerta de enlace predeter%inada? y la puerta de entrada sabe 9ue el e%isor puede llegar a la red de destino a trav6s de una ruta %2s directa? se enviar2 un %ensaMe de redireccin 3 !& en respuesta
y re%itir el pa9uete tal co%o est2 configurado" La redireccin 3 !& causa una ruta para ese destino a se a0adir2 a la tabla de enruta%iento del dispositivo de envo? y el dispositivo 9ue posterior%ente utiliDar2 ruta %2s directa para llegar a esa red" @sto no funcionar2 si su siste%a operativo est2 configurado para no per%itir
.edirecciones 3 !&? 9ue no suele ser el caso por incu%pli%iento"

.edirecciones 3 !& son co%unes cuando se tiene una ruta est2tica 9ue apunta a un enrutador en la %is%a interfaD de & co%o cliente y otros dispositivos de red" @l diagra%a de enruta%iento asi%6trico de la
seccin anterior es un eMe%plo de esto"
(A(
@nruta%iento
.edireccin 3 !& en su %ayora han in%erecida%ente recibido una %ala reputacin de algunos en la seguridad
co%unidad debido a 9ue per%iten la %odificacin de la tabla de enruta%iento de un siste%a" Sin e%bargo? no se el riesgo de 9ue algunos suponen? co%o para ser aceptado? el %ensaMe de redireccin 3 !& debe incluir la pri%era C bytes de datos del datagra%a original" Hna gran cantidad en condiciones de ver 9ue los datos y por lo tanto poder para forMar con 6/ito ilcito redirecciones 3 !& se encuentra en una posicin para lograr el %is%o resultado final en
varias otras %aneras"
C")" @nruta%iento 3& &;blica

@sta seccin cubre la ruta de 3&s p;blicas? donde hay un p;blico subred 3& asignada al una interfaD interna? y las i%ple%entaciones de un solo servidor de seguridad" Si est2 utiliDando A.&? consulte Seccin )+"B?
N&roporcionar redundancia Sin <ATN"
C")"(" Asignacin de 3&

Hsted necesita por lo %enos dos subredes 3& p;blica asignada por su 3S&" Hno es para la =A< de su
servidor de seguridad? y uno para la interfaD en el interior" @ste es co%;n%ente un 7 *+ de subred de la =A<? con un segunda subred asignada a la interfaD interna" @n este eMe%plo se utiliDar2 un 7 *+ sobre la =A<? co%o se %uestra en Tabla C"(? N#locL =A< 3&N y un 7 ), de subred p;blica en una interfaD :&T interno co%o se %uestra
en Tabla C")? NDentro del blo9ue de 3&N" ((">+"B>"A17*+ Direccin 3& ((">+"B>"A>
((">+"B>"AA
Asignado a router del 3S& JpfSense puerta de enlace predeter%inada 3&K pfSense interfaD =A< 3&
Tabla C"(" #lo9ue 3& =A<

(,)"+")"()C7), Direccin 3& (,)"+")"(), (,)"+")"(*+ (,)"+")"(*( (,)"+")"(*) (,)"+")"(** Asignado a pfSense interfaD :&T 3nterior anfitriones
(A)
@nruta%iento
(,)"+")"()C7), Direccin 3& (,)"+")"(*1 Asignado a
Tabla C")" Dentro del blo9ue 3&
C")")" 3nterfaD de configuracin

@n pri%er lugar? configure las interfaces =A< y el territorio palestino ocupado" La interfaD LA< ta%bi6n se puede utiliDar para 3&s p;blicas si lo desea" @n este eMe%plo? LA< es una organiDacin privada de subred 3& y :&T( es el p;blico de subred 3&"
C")")"(" onfigurar =A<

Agregue la direccin 3& y puerta de enlace en consecuencia" Figura C"1? N=A< 3& y la configuracin de puerta de enlaceN
%uestra de la =A< se configura co%o se %uestra en la Tabla C"(? N#locL =A< 3&N"
Figura C"1" =A< 3& y la configuracin de puerta de enlace
C")")")" onfigurar :&T(

Ahora per%iten :&T(? opcional%ente ca%biar su no%bre? y configurar la direccin 3& y la %2scara" Figura C">? N onfiguracin de enruta%iento :&T(N %uestra :&T( configurado co%o se %uestra en Tabla C")?
NDentro del blo9ue 3&N"
(A*
@nruta%iento
Figura C">" onfiguracin de enruta%iento :&T(
C")"*" onfiguracin de <AT

@l valor predeter%inado de traducir el tr2fico interno a la 3& =A< debe ser anulado cuando se utiliDa
3&s p;blicas en una interfaD interna" 'aya a Servidor de seguridad <AT? y haga clic en la ficha de salida" Seleccione !anual salida generacin de reglas <AT y haga clic en Guardar" @sto generar2 una nor%a por defecto
traduccin de todo el tr2fico de la subred LA< de salir de la interfaD =A< a la 3& =A<? el valor predeter%inado
co%porta%iento de pfSense" Si su red contiene una subred privada co%o en este eMe%plo? esta es la e/acta configuracin deseada" @l tr2fico procedente de la red (,)"+")"()C7), :&T( es no traducidas por9ue la fuente se li%ita a (,)"(AC"("+7)1" @sta configuracin se %uestra en la Figura C"A? NSalida de configuracin <ATN" Si utiliDa direcciones 3& p;blicas en su LA<? eli%inar auto%2tica%ente
agreg entrada" A continuacin? haga clic en Aplicar ca%bios"
(A1
@nruta%iento
Figura C"A" Salida de configuracin <AT
C")"1" onfiguracin del Firewall artculo

La configuracin de <AT y el perodo se ha co%pletado" Las reglas de firewall deber2 a0adirse a
per%itir el tr2fico saliente y entrante" Figura C"B? N:&T( las reglas del cortafuegosN %uestra una Dona de despeMe? co%o configuracin? donde se rechaDa todo el tr2fico destinado a la subred LA<? D<S y pings a la
:&T( interfaD 3& est2n per%itidas? y se per%ite la salida FTT&"
Figura C"B" nor%as :&T( cortafuegos
(A>
@nruta%iento
&ara per%itir el tr2fico de 3nternet a las direcciones 3& p;blicas en una interfaD interna? necesita a0adir reglas
en la =A< utiliDando la 3& p;blica co%o el destino" Figura C"C? Nlas reglas del firewall =A<N %uestra una regla 9ue per%ite FTT& a (,)"+")"(*+? una de las 3&s p;blicas en la interfaD interna? co%o se %uestra
en Tabla C")? NDentro del blo9ue de 3&N"
Figura C"C" =A< reglas de firewall

Despu6s de configurar las reglas del firewall si lo desea? la configuracin se ha co%pletado"
C"*" &rotocolos de enruta%iento

@n el %o%ento de escribir estas lneas? dos protocolos de enruta%iento son co%patibles con pfSense? .3& J.outing &rotocolo de infor%acinK y #G& J#order Gateway &rotocoloK" :S&F JAbrir pri%ero la ruta %2s cortaK es probable 9ue se agreg co%o un pa9uete en alg;n %o%ento" @sta seccin es la luD en los detalles? y presu%e co%prensin de los protocolos de enruta%iento? co%o re9uisito previo" Hna discusin a fondo de enruta%iento
protocolos est2 fuera del alcance de este libro"
C"*"(" .3&
.3& se puede configurar en Servicios .3&" &ara utiliDarlo: (" o%pruebe la casilla Fabilitar .3& )" Seleccione las interfaces .3& escuchar y enviar actualiDaciones de enruta%iento en *" Seleccione su versin .3& 1" uando se usa .3&v)? introduDca una contrase0a .3&v) si se utiliDa en la red" >" Faga clic en Guardar
.3& de in%ediato pondr2 en %archa y e%peDar a enviar y recibir actualiDaciones de enruta%iento en el especificado
interfaces"
C"*")" #G&
Hn pa9uete #G& usando :pen#SD :pen#G&D [http:77www"openbgpd"org\ est2 disponible" &ara instalarlo? visite Syste% &a9uetes y haga clic en el signo %2s a la derecha de :pen#G&D" Faga clic en Aceptar para
(AA
@nruta%iento
instalar el pa9uete" A continuacin? haga clic en el logotipo de pfSense en la parte superior iD9uierda? 9ue le llevar2 a la p2gina de inicio y volver a cargar los %en;s" Hsted encontrar2 :pen#G&D en el %en; Servicios" #G& es es una co%pleMo bestia? y describiendo de 9ue esta en detalle libro" fuera el onfiguracin 2%bito de aplicacin de
pfSense de :pen#G&D es #G&" Durante desarrollo
:^.eilly #G& libro es decir? c HTFC e tag c pfSenseI)+ y linL ode c AS) y ca%po c (BC, c ,*)> y creativa y creativeAS3< c +>,A++)>1C\ y lo reco%iendo para cual9uiera 9ue 9uiera i%ple%entar #G&"
recta hacia adelante si 9ue entender de esta pa9uete? 9ue se bas en [http:77www"a%aDon"co%7gp7product7+>,A++)>1C8
C"1" .uta Solucin de proble%as

uando el diagnstico de proble%as de fluMo de tr2fico? una de las pri%eras cosas 9ue debe verificar son las rutas conocidas
pfSense"
C"1"(" 'isualiDacin de las rutas

Fay dos %aneras de ver las rutas: A trav6s de la =ebGH3? ya trav6s de la lnea de co%andos" &ara ver las rutas en la =ebGH3? visita de diagnstico .utas y podr2s ver la salida co%o 9ue se %uestra en la Figura C",? N!ostrar rutaN"
Figura C"," .uta de pantalla

La salida de la lnea de co%andos es si%ilar a la observada en el =ebGH3: #netstat-rn Las tablas de enrutamiento Internet:
(AB
@nruta%iento
Destino Banderas Gateway Refs Use Netif Vencimiento predeterminado 10.0.2.2 UGS 0 53 le0 link 10.0.2.0/24 # 1 de la UC 0 0 le0
10.0.2.2 52:54:00:12:35:02 UHLW 2 35 796 le0
10.0.2.15 127.0.0.1 UGHS 0 0 lo0 127.0.0.1 127.0.0.1 UH 1 0 lo0 enlace 192.168.56.0/24 # 2 de la UC 0 0 le1
192.168.56.101 08:00:27:00: d4: 84 UHLW 1 590 le1 1197
Las colu%nas aparecen en estas pantallas indicar diversas propiedades de las rutas? y se e/plican siguiente"
C"1"("(" Destino
@l host de destino o de la red" La ruta por defecto para el siste%a es si%ple%ente aparece co%o Npredeter%inadoN"
De lo contrario? los anfitriones se enu%eran por su direccin 3& y las redes se %uestran con una direccin 3& y 3D.
%2scara de subred"
C"1"(")" Gateway
Hn gateway es el router 9ue los pa9uetes 9ue van a un destino especfico necesario para ser enviados" Si este colu%na %uestra un enlace? co%o el enlace ` (? luego de 9ue la red es directa%ente accesible desde la interfaD y no especiales de enca%ina%iento es necesario" Si un host es visible con una direccin !A ? entonces es un local de acogida puede llegar con una entrada en la tabla A.&? y los pa9uetes son enviados all directa%ente"
C"1"("*" #anderas
Fay un buen n;%ero de banderas de unos pocos? todos los cuales est2n cubiertos en la p2gina del %anual de Free#SD
netstat (1)? reproduce en el Tabla C"*? N#anderas tabla de rutas y significadosN con algunas %odificaciones" arta ( ) * # b #andera .TF_&.:T:( .TF_&.:T:) .TF_&.:T:* .TF_#LA QF:L@ .TF_#.:AD AST (AC
Significado &rotocolo especfico bandera de enruta%iento `(
&rotocolo especfico bandera de enruta%iento `) &rotocolo especfico bandera
de enruta%iento `* Descartar pa9uetes durante el actualiDaciones .epresenta una direccin de broadcast
@nruta%iento
.TF_ L:<3<G c D G F L ! . S H = G .TF_&. L:<3<G .TF_DS<A!3

.TF_GAT@=AS
Generar nuevas rutas en el uso &rotocolo especificado por generar nuevas rutas en el uso reado din2%ica%ente por redirigir Destino re9uiere trans%isin por inter%ediario entrada de host Jneto de otra %aneraK protocolo v2lido para vincular la direccin traduccin !odificados din2%ica%ente Jpor redireccinK Fost o una red inalcanDable Agregar %anual%ente .uta ;til
.uta se gener co%o resultado
.TF_F:ST .TF_LL3<F: .TF_!:D3F3@D .TF_.@$@ T .TF_STAT3 .TF_H& .TF_=AS L:<@D .TF_G.@S:L'@
de la clonacin @/terno se traduce de%onio proto vincular la direccin
Tabla C"*" .uta de las banderas de %esa y de significados

&or eMe%plo? una ruta %arcada co%o HGS es una va ;til? los pa9uetes se envan a trav6s de la puerta de entrada en la lista? y es una ruta est2tica"
C"1"("1" .efs
@sta colu%na cuenta el n;%ero actual de los usos activos de una ruta deter%inada"
C"1"(">" Htilice
@ste contador es el n;%ero total de pa9uetes enviados a trav6s de esta ruta" @sto es ;til para deter%inar si un ruta se est2 utiliDando? ya 9ue continua%ente incre%ento en el fluMo de pa9uetes si esta ruta se utiliD"
C"1"("A" <etif
La interfaD de red utiliDada para esta ruta"
(A,
@nruta%iento
C"1"("B" @/pirar2
&ara las entradas din2%icas? este ca%po %uestra la duracin de esta ruta hasta 9ue caduca si no se utiliDa de nuevo"
C"1")" Hsando traceroute

Traceroute es una herra%ienta ;til para probar y verificar las rutas y la funcionalidad %ultiI=A<? entre
otros usos" @sto le per%itir2 ver cada NsaltoN a lo largo de la ruta de un pa9uete a %edida 9ue viaMa de un e/tre%o a la otra? Munto con la latencia encontrado en llegar a ese punto inter%edio" @n pfSense? puede realiDar un rastreo de ruta yendo a diagnsticos TraDado? o usando traceroute en el de lnea de co%andos" De los clientes 9ue eMecutan =indows? el progra%a est2 disponible baMo los tracert no%bre"
ada pa9uete 3& contiene un tie%po de vida JTTLK" uando un router pasa un pa9uete? dis%inuye
el TTL en uno" uando un router recibe un pa9uete con un TTL de ( y el destino no es un red conectada local%ente? el enrutador devuelve un %ensaMe de error 3 !& I Tie%po para vivir superado I S descarta el pa9uete" @sto es para li%itar el i%pacto de los bucles de enruta%iento? 9ue de otro %odo
hacen 9ue cada pa9uete de un bucle indefinida%ente"

TraDado utiliDa esta TTL a su favor para asignar la ruta a un destino de red especfica" @s se inicia %ediante el envo del pri%er pa9uete con un TTL de (" @l pri%er router Jnor%al%ente por defecto del siste%a gatewayK devolver2 el error 3 !& superado el tie%po de vivir" @l tie%po entre el envo del pa9uete y recibir el error 3 !& es la hora 9ue se %uestra? aparece Munto con la 3& 9ue envi el error y su D<S inversa? si los hubiere" Despu6s de enviar tres pa9uetes con un TTL de ( y %ostrar sus tie%pos de respuesta? se incre%enta el TTL en ) y enva tres pa9uetes %2s? teniendo en cuenta la %is%a infor%acin para el segundo salto" !antiene incre%entando el TTL hasta 9ue llega a la especificada
destino? o e/cede el n;%ero %2/i%o de saltos"

TraDado de funciones de for%a ligera%ente diferente en =indows y siste%as operativos tipo Hni/ J#SD? Linu/? !ac :S G? Hni/? etc"K =indows utiliDa pa9uetes de solicitud de eco 3 !& JpingK? %ientras 9ue en Hni/ siste%as co%o el uso de pa9uetes HD&" 3 !& y HD& son los protocolos de la capa 1? y la .uta de segui%iento se realiDa en la capa *? por lo 9ue el protocolo utiliDado es irrelevante? e/cepto cuando se considera su poltica de enruta%iento de configuracin" TraDado de los clientes de =indows se enca%ina la poltica sobre la base de 9ue la regla per%isos de peticiones de eco 3 !&? %ientras 9ue los clientes Hni/ ser2n enviados por la regla de correspondencia de la
HD& en uso" @n este eMe%plo? va%os a tratar de encontrar la ruta a www"google"co%: #tracero(te 222.google.co! traceroute: Warning: www.google.com tiene varias direcciones, utilizando 74.125.95.99 traceroute para www.l.google.com (74.125.95.99), 64 saltos mximo, 40 paquetes de bytes
(B+
@nruta%iento
1 2 3 ms 4 5 6 7 8
conductor (172.17.23.1) 1.450 ms 1.901 ms 2.213 ms 172.17.25.21 (172.17.25.21) 4,852 ms 3.698 ms 3.120 ms BB1-g4-0-2.ipltin.ameritech.net (151.164.42.156) 3.275 ms 3.210 ms 3.215
151.164.93.49 (151.164.93.49) 8,791 ms 8.593 ms 8.891 ms 74.125.48.117 (74.125.48.117) 8,460 ms 39.941 ms 8.551 ms 209.85.254.120 (209.85.254.120) 10,376 ms 8.904 ms 8.765 ms 209.85.241.22 (209.85.241.22) 19,479 ms 20.058 ms 19.550 ms 209.85.241.29 (209.85.241.29) 20,547 ms 19.761 ms 209.85.241.27 (209.85.241.27) 20,131 ms 9 209.85.240.49 (209.85.240.49) 30,184 ms 72.14.239.189 (72.14.239.189) 21,337 ms 21.756 ms 10 iw en f99.google.com (74.125.95.99) 19.793 ms 19.665 ms 20.603 ms o%o puede ver? to% (+ saltos para llegar all? y la latencia en general au%enta con cada salto"
C"1"*" .utas y '&<

Dependiendo de la '&< se utiliDa? puede o no puede ver una ruta 9ue %uestra en la tabla para el leMos a tu lado" 3&sec no utiliDa la tabla de enruta%iento? en su lugar se %aneMan interna%ente en el n;cleo usando el S&D 3&sec" Las rutas est2ticas no har2 9ue el tr2fico 9ue se dirige a trav6s de una cone/in 3&sec" :pen'&< utiliDa el siste%a de la tabla de enruta%iento y? co%o tal? podr2s ver las entradas de las redes accesibles a trav6s de un t;nel :pen'&<? co%o en el eMe%plo siguiente: #netstat-rn Las tablas de enrutamiento Internet: Destino Banderas Gateway Refs Use Netif Vencimiento predeterminado 10.34.29.1 UGS 0 19693837 ng0 10.34.29.1 72.69.77.6 UH 1 205 590 ng0 72.69.77.6 lo0 UHS 0 0 lo0 172.17.212.0/22 192.168.100.1 UGS 0 617 tun0 127.0.0.1 127.0.0.1 UH 0 0 lo0 enlace 192.168.10.0/24 # 2 de la UC 0 0 Em0 192.168.100.1 192.168.100.2 UH 3 0 tun0 192.168.130.0/24 192.168.100.1 UGS 0 144 143 tun0 192.168.140.0/24 192.168.100.1 UGS 0 0 tun0 La interfaD de :pen'&< es (,)"(AC"(++")? con una puerta de entrada de (,)"(AC"(++"( y la interfaD tun+" Fay tres redes con :pen'&< e%puM rutas en ese eMe%plo: (,)"(AC"(*+"+7)1? (,)"(AC"(1+"+7)1 y (B)"(B")()"+7))"
(B(
@nruta%iento
on 3&sec? traceroute no es tan ;til co%o con las configuraciones de enrutado co%o :pen'&<? ya 9ue el 3&sec
t;nel en s no tiene direcciones 3&" uando se eMecuta traceroute a un destino a trav6s de 3&sec? se le
ver un tie%po de espera para el salto 9ue es el t;nel 3&sec por esta raDn"
(B)
aptulo ," &uente

<or%al%ente? cada interfaD en pfSense representa su propio do%inio de difusin con una ;nica subred 3&?
actuando de la %is%a co%o interruptores separados" @n algunas circunstancias es deseable o necesario
co%binar interfaces %;ltiples en un ;nico do%inio de difusin? donde dos puertos en el firewall act;an co%o si estuvieran en el %is%o switch? e/cepto el tr2fico entre las interfaces pueden ser controlados con
las reglas del cortafuegos" @sto se conoce co%;n%ente co%o cortafuegos transparente"
,"(" &uente y la capa ) Loops

uando puente? es necesario tener cuidado para evitar la capa ) bucles? o tiene una configuracin de interruptor en
lugar 9ue las trata co%o usted desea" Hna capa de ) bucle es cuando se crea el %is%o efecto 9ue si
conectado los dos e/tre%os de un cable de cone/in en el %is%o interruptor" Si usted tiene una instalacin con dos pfSense interfaces? las interfaces de puente Muntos? a continuacin? conecte las dos interfaces en el %is%o interruptor 9ue han creado una capa de ) bucle" La cone/in de dos cables de cone/in entre dos switches ta%bi6n lo hace" switches gestionables e%plean Spanning Tree &rotocol JST&K para %aneMar situaciones co%o 6sta? por9ue a %enudo es deseable tener %;ltiples enlaces entre los switches? y usted no desee 9ue su red estar e/puesto al colapso total por alguien conectar un puerto de red a otra red puerto" ST& no est2 habilitado por defecto en todos los switches gestionados sin e%bargo? y casi nunca disponibles con switches no gestionables" Sin ST&? el resultado de una capa de ) bucle %arcos en la red crculo sin fin y la red ser2 co%pleta%ente deMar2 de funcionar hasta 9ue el laDo se 9uita" @n pocas palabras I puente tiene el potencial de derretirse por co%pleto por la red a la 9ue conectar
en caso de no ver lo 9ue est2s conectando dnde"
,")" &uente y cortafuegos

on funciones de filtrado de interfaces de puente de %anera diferente 9ue con interfaces de enrutado" Servidor de seguridad nor%as se aplican a cada %ie%bro de interfaD del puente sobre una base de entrada" Los 9ue han pfSense estado utiliDando durante bastante tie%po recordar2n un cuadro Fabilitar el filtrado de verificacin en el puente Siste%a de &2gina de avanDada" <o est2 actualiDado la infor%acin en referencia a nu%erosos lugares de este casilla de verificacin" Fue heredado de %+n+wall? 9ue hiDo cerrar de una %anera diferente" Desde pfSense utiliDa una %etodologa diferente superar este cuadro no es necesario? y con la for%a en la reduccin de la %etodologa en las ;lti%as versiones de Free#SD funciona es i%posible tener un puente no filtrado
a %enos 9ue pf desactivar por co%pleto"
(B*
&uente
,"*" &uente entre dos redes internas

&uede puente de dos interfaces internas para co%binar en el %is%o do%inio de broadcast y per%itir filtrado de tr2fico entre las dos interfaces" @sto se hace co%;n%ente con interfaces inal2%bricas configurado co%o un punto de acceso? para conectar los seg%entos de cable e inal2%bricas en la %is%a e%isin do%inio" De veD en cuando un servidor de seguridad con una interfaD LA< y :&T se utiliDar2 en lugar de un interruptor en redes en las 9ue slo dos siste%as internos son necesarios" Hsted puede encontrar escenarios en los 9ue
dos interfaces del servidor de seguridad deben estar en el %is%o do%inio de broadcast por otra raDn"
<ota
@/isten re9uisitos adicionales y restricciones al puente inal2%brico interfaces por la for%a en C+)?(( funciones" 'er Seccin (C"*? N.educcin y
sin hilos N para %2s infor%acin"
,"*"(" DF & y puentes internos

Si un puente de red interna a otra? dos cosas se deben hacer" @n pri%er lugar? aseg;rese de 9ue DF & slo se eMecuta en la interfaD principal Jel 9ue tiene la direccin 3&K y no el 9ue se est2 puente" @n segundo lugar? usted necesitar2 una regla de servidor de seguridad adicionales en la parte superior de las reglas en este territorio palestino ocupado
interfaD para per%itir el tr2fico DF &"

<or%al%ente? al crear una regla para per%itir el tr2fico en una interfaD? la fuente se especifica si%ilares a N:&T( subredN? por lo 9ue slo el tr2fico de la subred se les per%ite salir de ese seg%ento" on DF &? 9ue no es suficiente" Debido a 9ue un cliente no cuenta a;n con una direccin 3&? una solicitud DF & realiDa co%o una e%isin" &ara adaptarse a estas solicitudes? debe crear una regla en el puente interfaD con el protocolo establecido en 9DR? @l origen es 0.0.0.0? &uerto de origen 68? Destino 2"".2"".2"".2""? &uerto de destino 6M" A0adir una descripcin 9ue indica 9ue esto Rer!itir D@%R? a continuacin? haga clic en Guardar ca%bios y aplicar" Hsted va a ter%inar con una regla 9ue parece Figura ,"(?
NLas reglas de firewall para per%itir el DF &N"
Figura ,"(" Las reglas de firewall para per%itir el DF &
(B1
&uente
Despu6s de a0adir esta regla? los clientes en el seg%ento de puente debe ser capaD de realiDar con 6/ito
pide al de%onio DF & escuchando en la interfaD a la 9ue se tiende un puente"
,"1" Superar :&T a la =A<

Superar una interfaD opcional con =A< 9ue per%ite utiliDar 3&s p;blicas en su red interna 9ue tener una puerta de enlace 3& 9ue residen en la red =A<" Hna situacin en la 9ue esto es co%;n es para DF & asigna direcciones 3& p;blicas" Hsted puede utiliDar pfSense para proteger los siste%as 9ue obtienen p;blica 3& directa%ente desde su servidor 3S& DF & %ediante una interfaD de puente" @sto ta%bi6n es ;til en escenarios con un solo blo9ue 3& p;blica donde se necesita 3&s p;blicas directa%ente asignados a los hosts? co%o
se describe en Seccin A"B"(")"(? NSingle subred 3&N"
,">" .educcin de la interoperabilidad

Desde interfaces puente co%portan de %anera diferente 9ue las interfaces nor%ales en algunos aspectos? hay algunas cosas 9ue son inco%patibles con el puente? y otras en las consideraciones adicionales se debe hacer para dar cabida a salvar" @n esta seccin se describen las funciones 9ue trabaMan de %anera diferente con
puente 9ue con interfaces no puenteado"
,">"(" &ortal cautivo

&ortal cautivo J aptulo (,? &ortal autivoK <o es co%patible con el puente? ya 9ue re9uiere
una direccin 3& en la interfaD 9ue es un puente? 9ue se utiliDa para servir a los contenidos del portal" interfaces de puente no
tiene una 3& asignada"
,">")" A.&
A.& J aptulo )+? Firewall de redundancia 7 alta disponibilidadK no es co%patible con el puente en esta veD I pero? hay algunos hacLs %anual" Hso de A.& con las redes 9ue involucran puente General%ente no se reco%ienda? pero este tipo de instalacin ha trabaMado para un n;%ero de individuos" Gran cuidado se debe to%ar para %aneMar la capa ) bucles? 9ue son inevitables en una carpa b &uente escenario" uando dos seg%entos de red son un puente? 9ue est2n en vigor se fusionaron en uno %2s grande de red? co%o se e/plic anterior%ente en este captulo" uando A.& se a0ade a la %eDcla? eso significa 9ue hay
ser2 de dos vas entre los interruptores para cada interfaD respectiva? la creacin de un bucle"
switches gestionables puede %aneMar esto con Spanning Tree &rotocol JST&K? pero switches no gestionables no tienen defensas contra el bucle" Si no se controla? puede poner un laDo de una red de rodillas y hacen 9ue sea i%posible de pasar todo el tr2fico" Si ST& no est2 disponible? hay otros dos enfo9ues para el %aneMo de un puente en este escenario? si%ilar pero no tan elegante co%o ST&" A%bos %6todos
(B>
&uente
necesario ca%biar los archivos en el siste%a de pfSense? y no podra sobrevivir una copia de seguridad 7 restauracin? sin una consideracin especial" @stas t6cnicas son una secuencia de co%andos cron para gestionar el puente? o un gancho D@'D
para gestionar el puente" A%bos %6todos se describen en un puesto pegaMosa en el A.& 7 '3&
[Foro http:77foru%"pfsense"org7inde/"php7topic? 1,C1"+"ht%l\"(
,">")"(" onfigurar los servidores de seguridad pri%aria y de copia de seguridad

onfigurar los servidores de seguridad pri%aria y de copia de seguridad co%o lo hara con cual9uier i%ple%entacin de A.&? co%o
cubiertos en aptulo )+? Firewall de redundancia 7 alta disponibilidad" onfigure el puente de interfaD
tanto en la pri%aria y secundaria? con la descripcin %is%a interfaD" Si el puente se :&T( en el pri%ario? lo convierten en :&T( en el secundario" <o conecte a%bos puentes al %is%o tie%po hasta el final" Tendr2 9ue ser capaD de acceder a la pfSense =ebGH3 desde una interfaD de servidor de seguridad 9ue no sea la interfaD de puente" Hsted tendr2 9ue realiDar todos estos pasos? tanto para la pri%aria
y cortafuegos secundaria"
,">")")" onfiguracin ST&

3ncluso con ST& activa? la configuracin ser2 necesario en el interruptor con el fin de e%puMar ST& en to%ar la decisin correcta sobre 9u6 puerto debe %antenerse abierta y 9ue debe ser blo9ueado" De lo contrario? podra ter%inar con una situacin donde el tr2fico es en realidad 9ue fluye a trav6s de su enrutador de copia de seguridad del puente en lugar del router principal? 9ue conduce a un co%porta%iento i%predecible" &uerto
blo9ueo en esta situacin se controla %ediante el estableci%iento de las prioridades del puerto y los costos de ruta" @n un con%utador isco? la configuracin sera algo co%o esto: interfaz FastEthernet0 / 1 descripcin Firewall - Primaria - Puerto DMZ switchport access vlan 20 spanning-tree vlan 20 puertos con prioridad 64 no cdp enable interfaz FastEthernet0 / 2 Descripcin del servidor de seguridad - Copia de seguridad - Puerto DMZ switchport access vlan 20 spanning-tree vlan 20 costar 500 no cdp enable
Al dar el puerto principal de una prioridad %2s baMa de lo nor%al JA1 vs el valor predeter%inado ()CK? ser2 %2s susceptibles de ser utiliDados? especial%ente dado el coste de la ruta %2s alta J>++ vs el valor predeter%inado (,K del puerto"
@stos valores se pueden co%probar de la siguiente %anera Jen el interruptorK:

(http:77foru%"pfsense"org7inde/"php7topic?
1,C1"+"ht%l
(BA
&uente #!ostrar FastGt0ernet0 spanning-tree interfa4 6 1 Interfaz FastEthernet0 / 1 (puerto 13) en el Arbol 20 se BRP>S3&S&S> r(ta R(erto cost 19,R(erto de la prioridad 67 Designado raz tiene prioridad 32768, 0002.4b6e.xxxx direccin puente designado tiene prioridad 32768, 0002.b324.xxxx direccin puerto designado es el 3, el recorrido de costo 131 Temporizadores: edad mensaje 6, adelante retraso 0, mantenga oprimida 0 BPDU: 18411032 enviado, recibido 16199798 #!ostrar FastGt0ernet0 spanning-tree interfa4 6 2 Interfaz FastEthernet0 / 2 (puerto 14) en el rbol de expansin 20 se
#CA9GC
r(ta R(erto costarO "00,R(erto de la prioridad 128 Designado raz tiene prioridad 32768, 0002.4b6e.xxxx direccin puente designado tiene prioridad 32768, 0002.b324.xxxx direccin puerto designado es el 4, el recorrido de costo 131 Temporizadores: edad mensaje 6, adelante retraso 0, mantenga oprimida 0 BPDU: 434174 enviado, recibido 15750118 o%o puede ver? el puerto de la red pri%aria de interruptor de reenvo se debe ser? y la copia de seguridad est2 blo9ueando el puerto" Si el tr2fico deMa de fluir a trav6s del puerto principal? la copia de seguridad debera ca%biar a un estado de reenvo" a%bia de otros proveedores de apoyo una funcionalidad si%ilar" onsulte la docu%entacin del con%utador para obtener infor%acin sobre la configuracin de ST&" @n pfSense )"+? ST& se pueden configurar y %aneMar directa%ente en una interfaD de puente"
,">")"*" A.& secuencia de co%andos de verificacin de cron

@n este %6todo? un script se eMecuta desde cron cada %inuto y co%prueba si el siste%a es !AST@. o copia de seguridad del cl;ster A.&" Si el siste%a !AST@.? el puente es educado? si el siste%a es el respaldo? el puente es derribado" 3%pide 9ue el bucle slo por tener un puente activa en un %o%ento dado? pero co%o usted puede decir probable%ente por la frecuencia con la secuencia de co%andos cron se eMecuta? no puede ser tanto co%o un %inuto de tie%po de inactividad de los siste%as de puente antes de 9ue el script detecta el interruptor y activa el puente de copia de seguridad"
,">")"*"(" A0adir la secuencia de co%andos

@n pri%er lugar es necesario a0adir un script para co%probar el estado de A.& y %odificar su estado de puente
en consecuencia" A continuacin se presenta un eMe%plo 9ue puede ser utiliDado" Ta%bi6n est2 disponible para descarga [\ Fttp:77files"pfsense"org7%isc7bridgechecL"sh"
(BB
&uente
#! / Bin / sh # # CARP script de verificacin para salvar # # De eblevins en el foro # si ifconfig carp0 | / grep COPIA DE SEGURIDAD> / dev null 2> & 1, a continuacin, / Sbin / ifconfig bridge0 abajo ms / Sbin / ifconfig bridge0 hasta fi opiar el script en alguna parte? por eMe%plo? / Usr / bin / bridgecheck.sh" Los siguientes
co%ando descargar este archivo desde files"pfsense"org y gu2rdelo co%o / Usr / bin /
bridgecheck.sh" #)(scar-o 6 (sr 6 )in 6 )ridgec0ec1.s0 , 0ttp:66files.pfsense.org6!isc6)ridgec0ec1.s0 Luego hay 9ue hacer el script eMecutable eMecutando el siguiente co%ando" #c0!od J - 6 (sr 6 )in 6 )ridgec0ec1.s0
,">")"*")" &rogra%ar la secuencia de co%andos

Ahora tiene 9ue progra%ar la secuencia de co%andos para eMecutar" Descargar una copia de seguridad de su configuracin en el Diagnstico opia de seguridad 7 restauracin de la pantalla" Abra la configuracin en un editor de te/to? y la b;s9ueda de TcronF" Hsted encontrar2 la seccin de la configuracin 9ue contiene todas las tareas progra%adas 9ue
cron se eMecuta" <cron> <item> <minute> 0 </ min> <hora> * </ hora> <mday> * </ mday> <mes> * </ mes> <wday> * </ wday> <quin> raz </ OMS> <command> / usr / bin / bonita-n20 newsyslog </ command> </ Item> <item> <minute> 1,31 </ minuto>
(BC
&uente
<hora> 0-5 </ hora> <mday> * </ mday>

<mes> * </ mes>
<wday> * </ wday> <quin> raz </ OMS> <command> / usr / bin / bonita-n20 adjkerntz-a </ command> </ Item> A0adir bridgechecL"sh co%o una entrada de cron" Agregar el siguiente eMecutar el script cada %inuto" <item> * <minute> / 1 </ minuto> <hora> * </ hora> <mday> * </ mday> <mes> * </ mes> <wday> * </ wday> <quin> raz </ OMS> <command> / usr / bin / bridgecheck.sh </ command> </ Item> Aseg;rese de ca%biar tanto la pri%aria y la secundaria"
,">")"*"*" Deshabilitar puente en el arran9ue

Hsted desea agregar un co%ando para la configuracin de abaMo del puente en el arran9ue" @sto
ayudar a prevenir la capa ) bucles? co%o bridgechecL"sh va a instalar el %aestro A.& de puente en
( %inuto" &or enci%a de la lnea 9ue dice </ Sistema>? Agregue la lnea siguiente" Ts0ellc!dF 6 s)in 6 ifconfig )ridge0 a)a.o T6 s0ellc!dF
Guarde los ca%bios en los archivos de configuracin" Ahora restaurar las configuraciones %odificadas para tanto la pri%aria y la secundaria" Los cortafuegos se reiniciar2 despu6s de restaurar la configuracin? y
cuando arran9ue una copia de seguridad 9ue debera ser plena%ente funcional"
,">")"1" D@'D Ganchos

@sta solucin slo es posible en pfSense (")"* o posterior? y consiste en utiliDar D@'D para coger el transicin real del estado A.& co%o es el caso" @ditar / Etc / devd.conf en la copia de seguridad y %aestro?
y agregue estas lneas: notificar a 100 { coinciden con "sistema" "IFNET";
(B,
&uente
coinciden con "tipo" "LINK_UP"; coinciden con "subsistema", "la carpa"; accin "/ usr / local / bin / carpup";
};
notificar a 100 { coinciden coinciden coinciden accin "/

};
con con con usr
"sistema" "IFNET"; "tipo" "LINK_DOWN"; "subsistema", "la carpa"; / local / bin / carpdown";
A continuacin? cree dos archivos nuevos: / Usr / local / bin / carpup #! / Bin / sh / Sbin / ifconfig bridge0 hasta S: / Usr / local / bin / carpdown #! / Bin / sh / Sbin / ifconfig bridge0 abajo A continuacin? realice los scripts eMecutables: #c0!od a J - 6 (sr 6 local 6 )in 6 carp(p #c0!od a J - 6 (sr 6 local 6 )in 6 carpdo2n 5ue auto%2tica%ente traer2 el puente de arriba a abaMo cada veD 9ue se detecta un ca%bio de estado A.&"
,">")">" Solucin de proble%as de con%utacin por error puente

Si algo no est2 funcionando co%o se esperaba? co%pruebe el estado de 3nterfaces de la p2gina en a%bos siste%as
para revisar el bridge0 interfaD? y la p2gina de estado A.& para verificar %aestro A.& o
estado de copia de seguridad" &uede eMecutar bridgechecL"sh de la lnea de co%andos? as co%o la verificacin de la interfaD estado usando ifconfig" La co%prensin del siste%a operativo subyacente Free#SD puede ser necesario
6/ito solucionar cual9uier proble%a con este tipo de i%ple%entacin"

!uchos de los proble%as con la carpa y el puente se levantar2 a partir de bucles interruptor y cuestiones ST&" 3r %2s Seccin ,">")? N A.&N otra veD? y ta%bi6n co%probar la configuracin del interruptor para ver el estado del puerto para sus interfaces de puente" Si los puertos est2n blo9ueando cuando deberan estar e/pedicin? se le probable%ente necesite aMustar la configuracin de ST& o e%plear una de las t6cnicas alternativas para apagar un
puente de copia de seguridad"
(C+
&uente
,">"*" !ultiI=A<
&uente? por su naturaleDa es inco%patible con %ultiI=A< en %uchos de sus usos" uando se utiliDa de transicin?
co%;n algo %2s 9ue pfSense ser2 la puerta de enlace predeter%inada para los anfitriones en el puente interfaD? y el router 9ue es lo ;nico 9ue puede dirigir el tr2fico de los anfitriones" @sto no
evitar 9ue el uso de %;ltiples interfaces =A< con otros en el %is%o servidor de seguridad 9ue no son
puente? 9ue slo afecta a los anfitriones en las interfaces de un puente en el 9ue usar algo 9ue no sea pfSense co%o su puerta de enlace predeter%inada" Si puente de %;ltiples interfaces internas Muntos y pfSense es la puerta de enlace predeter%inada para sus anfitriones en una interfaD de puente? entonces usted puede utiliDar de %;ltiples =A<
%is%o 9ue con las interfaces no puenteado"
(C(
aptulo (+" LA< virtuales J'LA<K

Las 'LA< ofrecen un %edio para seg%entar un solo interruptor en do%inios de difusin %;ltiple?
per%itiendo 9ue un solo interruptor para funcionar lo %is%o 9ue varios switches" @sto se utiliDa co%;n%ente para seg%entacin de la red de la %is%a %anera 9ue los interruptores %;ltiples podra ser utiliDado? para colocar las %29uinas de un seg%ento especfico tal co%o est2 configurada en el interruptor" uando se e%plea trunLing entre switches? dispositivos en el %is%o seg%ento no es necesario residir en el %is%o interruptor" Los conceptos? ter%inologa y
configuracin de 'LA< son tratados en este captulo"
(+"(" .e9uisitos
Fay dos re9uisitos? los cuales se deben cu%plir para i%ple%entar las 'LA<"
(" C+)"(5 'LA< pueden ca%biar I cada interruptor decente logrado fabricados desde alrededor de el a0o )+++ es co%patible con C+)"(5 'LA< trunLing" <o se puede utiliDar con una 'LA< no ad%inistrado
interruptor"
)" Adaptador de red capaD de eti9uetado 'LA< I usted necesitar2 una tarMeta de red 9ue soporta el hardware @l eti9uetado 'LA< o cuenta con el apoyo del %arco de largo" Debido a 9ue cada %arco tiene una eti9ueta de 1 bytes agreg C+)"(5 en la cabecera? el ta%a0o del %arco puede ser de hasta (>)) bytes" Hna tarMeta de red al hardware de soporte 'LA< %arcos de %arcado o largo plaDo es necesario por9ue otros adaptadores no funcionar2n con los %arcos %2s grandes 9ue el %2/i%o de bytes nor%al de (>(C con (>++ @thernet !TH" @sto har2 9ue grandes %arcos
se caigan? lo 9ue provoca proble%as de rendi%iento y cone/in de estanca%iento"
<ota
@l hecho de 9ue un adaptador se %uestra co%o contar con el apoyo del %arco de largo no garantiDa aplicacin especfica de su tarMeta de red de ese chipset soporta correcta%ente los %arcos de largo" .ealteL rl (4) <3 son los %ayores infractores" !uchos no tendr2n ning;n proble%a? pero algunos
no adecuada%ente soporta fra%es de largo? y algunos no aceptar2 eti9uetado C+)"(5
en todos los %arcos" Si encuentra proble%as al utiliDar una de las <3 9ue figuran en soporte de la estructura de largo? tratando de una interfaD de hardware con soporte 'LA< eti9uetado es reco%ienda" <o tene%os conoci%iento de ning;n proble%a si%ilar con las <3 9ue figuran en
'LA< soporte de hardware" 3nterfaces @thernet con soporte 'LA< de hardware:

AEC (4)?bge (4)?cxgb (4)?em (4)?ixgb (4)?msk (4)?ESN (4)?Re (4)?stge (4)?
ti (4)?txp (4)?GVE (4)"
(C)
LA< virtuales J'LA<K
interfaces @thernet con soporte de la estructura de largo: bfe (4)?CC (4)?fxp (4)?gema (4)?hme (4)?-le (4)?educacin no formal (4)?NVE (4)?rl (4)? sis (4)?sk (4)?ste (4)?tl (4)?tx (4)?vr (4)?xl (4)
(+")" Ter%inologa
@sta seccin cubre la ter%inologa 9ue necesitar2 entender para i%ple%entar con 6/ito las 'LA<"
(+")"(" TrunLing
TrunLing se refiere a un %edio de cu%plir con varias 'LA< en el puerto %is%o interruptor" Los %arcos
deMando a un puerto troncal est2n %arcados con una eti9ueta C+)"(5 en la cabecera? per%itiendo 9ue la relacionada dispositivo para diferenciar entre varias 'LA<" puertos troncales se utiliDan para conectar %;ltiples
interruptores? y para conectar todos los dispositivos 9ue son capaces de eti9uetado C+)"(5 y re9uieren el acceso a %;ltiples 'LA<s" @sto co%;n%ente se li%ita slo a la conectividad entre el router proporciona
las 'LA<? en este caso? pfSense? as co%o las cone/iones con otros switches 9ue contiene
'arias 'LA<"
(+")")" 'LA< 3D
ada 'LA< tiene un identificador asociado a 6l 9ue se utiliDa para la identificacin del tr2fico agreg" Se trata de un n;%ero entre ( y 1+,1" La 'LA< por defecto en los switches es la 'LA< (? y debe esta 'LA< <o se utiliDar2 al i%ple%entar 'LA< trunLing" @sto se discute %2s en Seccin (+"*? N'LA< y la seguridad N" Ade%2s de evitar el uso de la 'LA< (? puede elegir 9u6 n;%eros de las 'LA< 9ue desea utiliDar" Algunos se iniciar2 con la 'LA< ) y el incre%ento por uno hasta el n;%ero re9uerido de 'LA< 9ue se lleg" :tra pr2ctica co%;n es usar el tercer octeto de la subred 3& de la 'LA< co%o el 3D de 'LA<" &or eMe%plo? si utiliDa (+"+"(+"+7)1? (+"+")+"+7)1 y (+"+"*+"+7)1? es lgico utiliDar 'LA< (+? )+ y *+ respectiva%ente" @legir un es9ue%a de asignacin de 'LA< 3D
9ue tenga sentido para usted"
(+")"*" &adres interfaD

La interfaD principal se refiere a la interfaD fsica en la 'LA< de residencia? tales co%o Em0 o bge0" Al configurar redes 'LA< en pfSense o Free#SD? cada uno se le asigna una interfaD virtual? co%enDando con vlan0 e incre%entar en uno por cada 'LA< adicional configurado" @n pfSense (")"/? el n;%ero de la interfaD 'LA< no tiene correlacin con el 3D de 'LA<" Hsted no debe asignar la interfaD de los padres a cual9uier interfaD de pfSense I su ;nica funcin debe ser co%o el
los padres de las 'LA< definida" @n algunas situaciones esto funcionar2? pero puede causar dificultades
(C*
con la configuracin de interruptor? puede causar proble%as con el uso de &ortal autivo? y te obliga a usar
'LA< del puerto por defecto del tronco? 9ue deben evitarse co%o se analiDa en Seccin (+"*?
N'LA< y la seguridadN"
(+")"1" Acceso al puerto

Hn puerto de acceso se refiere a un puerto del con%utador de acceso a una sola 'LA<? donde los %arcos son no eti9uetados con una cabecera C+)"(5" Se conecta todos los dispositivos 9ue residen en una sola 'LA< a un acceso al puerto" La %ayora de los puertos switch se configura co%o puertos de acceso" Los dispositivos de acceso
los puertos no son conscientes de 9ue ninguna de las 'LA< en la red" @llos ven cada 'LA< los %is%os 9ue se
un interruptor sin 'LA<"
(+")">" Doble eti9uetado J5in5K

Ta%bi6n es posible duplicar el tr2fico de eti9uetas? usando una eti9ueta C+)"(5 e/terior e interior" @sto se conoce
co%o 5in5" @sto puede ser ;til en grandes entornos 3S& y algunas otras redes %uy grandes" Triple
eti9uetado ta%bi6n es posible" pfSense no ad%ite 5in5 en este %o%ento? pero en )"+" @stos tipos de a%bientes general%ente necesitan el tipo de enruta%iento de poder 9ue slo un router de ga%a alta basados en AS3
puede soportar? y 5in5 agrega un nivel de co%pleMidad 9ue no es necesaria en la %ayora de entornos"
(+")"A" 'LA< privada J&'LA<K

&'LA< se refiere a las capacidades de algunos interruptores de los eM6rcitos seg%ento dentro de una sola 'LA<" <or%al%ente los hosts dentro de una 'LA< solo funcionan igual 9ue las %29uinas de un solo interruptor sin 'LA< configurado" &'LA< proporciona un %edio para la prevencin de los eM6rcitos en una 'LA< de hablar con cual9uier otro e9uipo en esa 'LA<? slo per%ite la co%unicacin entre el anfitrin y su valor predeter%inado puerta de enlace" @sto no guarda relacin directa con pfSense? pero es una pregunta co%;n usuarios" Switch funcionalidad de este tipo es la ;nica %anera de i%pedir la co%unicacin entre hosts en el %is%o subred" Sin una funcin co%o &'LA<? sin firewall de la red puede controlar el tr2fico dentro de una subred
por9ue nunca toca la puerta de enlace predeter%inada"
(+"*" 'LA<s y seguridad

Las 'LA< ofrecen un gran %edio para seg%entar la red y aislar subredes? pero hay algunas
proble%as de seguridad 9ue deben tenerse en cuenta al dise0ar e i%ple%entar una solucin participacin de las 'LA<" 'LA< no son inherente%ente inseguro? pero puede salir de una %ala configuracin de su red vulnerables" Ta%bi6n ha habido proble%as de seguridad en las i%ple%entaciones de proveedores de con%utadores ^
de 'LA< en el pasado"
(C1
(+"*"(" Segregar las Donas Fiduciario

Debido a la posibilidad de una %ala configuracin? usted debe separar las redes de for%a considerable
diferentes niveles confianDa en sus propios con%utadores fsicos" &or eMe%plo? %ientras 9ue t6cnica%ente podra utiliDar el %is%o interruptor con 'LA< para todas sus redes internas? as co%o la red e/terior los servidores de seguridad? 9ue debe ser evitado co%o una %ala configuracin del interruptor podra dar lugar a el tr2fico de 3nternet sin filtro entren en su red interna" o%o %ni%o? usted debe utiliDar dos interruptores en tales escenarios? uno para fuera del firewall y dentro de uno" @n %uchos entornos? seg%entos de D!E ta%bi6n son tratados por separado? en un tercer interruptor? ade%2s de la =A< y LA< interruptores" @n otros? la =A< est2 en su propio interruptor? %ientras 9ue todas las redes de detr2s del firewall est2n en los %is%os %odificadores utiliDando 'LA<" 45u6 escenario es el %2s apropiado para su red
depende de sus circunstancias especficas? y el nivel de riesgo y la paranoia"
(+"*")" Hsando el valor por defecto 'LA<(

Debido a la 'LA<( es el valor predeter%inado? o NnativosN? 'LA<? puede ser utiliDado de %anera inesperada por la interruptor" @s si%ilar al uso de un defecto per%itir 9ue la poltica sobre las reglas del cortafuegos por defecto en lugar de negar y seleccionar lo 9ue usted necesita" Sie%pre es %eMor usar una 'LA< diferente? y asegurarse de 9ue slo selecciona los puertos 9ue desea en su grupo de pasar a estar en esa 'LA<? para li%itar el acceso %eMor"
3nterruptores enviar2 protocolos internos co%o ST& JSpanning Tree &rotocolK? 'T& J'LA<
TrunLing &rotocolK? y D& J isco Descubre &rotocoloK sin eti9uetar en la 'LA< nativa? donde los interruptores utiliDar estos protocolos" &or lo general? la %eMor %anera de %antener ese tr2fico interno aislado de
sus datos de tr2fico"

Si tiene 9ue usar 'LA<(? debe tener %ucho cuidado al asignar a cada puerto ;nico en cada interruptor una 'LA< diferente? e/cepto a9uellos 9ue desee en 'LA<(? y no crear una interfaD de gestin para el ca%bio en 'LA<(" Ta%bi6n debe ca%biar la 'LA< nativa del grupo de ca%biar a un diferentes? 'LA< no utiliDada" Algunos interruptores no puede apoyar ninguna de estas soluciones? por lo 9ue es nor%al%ente %2s f2ciles de %over los datos a una 'LA< diferente? en lugar de 9ueMarse con la fabricacin de 'LA<( disponible" on la identificacin de 'LA< del ) al 1+,1 para elegir? sin duda es %eMor ignorar
'LA<( la hora de dise0ar su es9ue%a de 'LA<"
(+"*"*" Hso de un puerto troncal 'LA< por defecto

uando el tr2fico de 'LA< eti9uetado se envan a trav6s de un tronco en la 'LA< nativa? las eti9uetas en los pa9uetes 9ue coincide con la 'LA< nativa puede ser despoMado por el interruptor para %antener la co%patibilidad con %ayores
redes" &eor a;n? los pa9uetes 9ue son el doble eti9uetado con la 'LA< nativa y una 'LA< diferente
slo tienen la eti9ueta de 'LA< nativa 9uita cuando canaliDacin de esta %anera y cuando se procesan
despu6s? 9ue el tr2fico puede ter%inar en una 'LA< diferente" @sto ta%bi6n se lla%a Nsalto de 'LA<N"
(C>
o%o se %enciona en la seccin anterior? el tr2fico sin eti9ueta en un puerto troncal se supone 9ue
la 'LA< nativa? lo 9ue ta%bi6n podra coincidir con una interfaD 'LA< asignado" Dependiendo de c%o el interruptor controla el tr2fico tal y co%o es visto por pfSense? %ediante la interfaD directa
podra dar lugar a dos interfaces de estar en la %is%a 'LA<"
(+"*"1" La li%itacin del acceso a los puertos del tronco

Debido a un puerto troncal puede hablar con cual9uier 'LA< en un grupo de con%utadores troncales? posible%ente? incluso los no est2 presente en el interruptor de corriente en funcin de las configuraciones de su con%utador? es i%portante fsica%ente puertos troncales seguro" Ta%bi6n aseg;rese de 9ue no hay puertos configurados para trunLing 9ue se deMa desconectado donde gancho alguien puede en una sola? accidental%ente o de otra %anera" Dependiendo en el con%utador? se puede apoyar la negociacin din2%ica de concentracin de enlaces" Hsted debe garantiDar este
funcionalidad est2 deshabilitada o restringida correcta%ente"
(+"*">" :tros proble%as con los interruptores

Fa habido infor%es de 9ue algunos interruptores basados en 'LA< se escapar2 tr2fico a trav6s de las redes 'LA< cuando sean obMeto de cargas pesadas? o si una direccin !A de un & en una 'LA< se ve en otro 'LA<" @stos proble%as tienden a ser %ayores en los interruptores con fir%ware anticuado o %uy baMos calidad de switches gestionados" @ste tipo de cuestiones se han resuelto en gran %edida hace %uchos a0os? cuando este tipo de proble%as de seguridad eran co%unes" <o i%porta lo 9ue ca%biar de %arca lo 9ue tiene? no algunas investigaciones en lnea para ver si ha sido so%etido a ning;n tipo de pruebas de seguridad? y asegurarse de 9ue se con el fir%ware %2s reciente" Si bien estas cuestiones son un proble%a con el interruptor? y no pfSense?
9ue son parte de su seguridad general"

!uchas de las cosas a9u son especficos de %arcas y %odelos de interruptores" <o puede ser diferentes consideraciones de seguridad especficas para el interruptor 9ue est2 utiliDando" onsulte su docu%entacin
para las reco%endaciones de la 'LA< de seguridad"
(+"1" pfSense configuracin

@sta seccin cubre la configuracin de 'LA< en el lado pfSense"
(+"1"(" onsola de configuracin de 'LA<

&uede configurar redes 'LA< en la consola usando la funcin de Asignacin de interfaces" Los siguientes
eMe%plo %uestra c%o configurar dos 'LA<? 3D (+ y )+? con le2 co%o la interfaD principal" Las interfaces 'LA< se asignan co%o :&T( y :&T)" pfSense configuracin de la consola ***********************
(CA
0) 1) 2) 3) 4) 5) 6) 7) 8) 9) 10) 11) 12) 13) 14) 98)
Cerrar sesin SSH (solamente) Asignar interfaces Establecer la direccin IP LAN Reiniciar contrasea webConfigurator Restablecer los valores predeterminados de fbrica Reiniciar el sistema Sistema de Parada Ping acogida Shell PFtop Filtro de Registros Reiniciar webConfigurator pfSense desarrolladores Shell Actualizacin de la consola Desactivar Secure Shell (sshd) Mover el archivo de configuracin de dispositivo extrable
Ingrese una opcin: 1 interfaces vlidos son: le0 00:0 c: 29: d6: e7: CC (hasta) le1 00:0 c: 29: d6: e7: e6 (hasta) Le2 00:0 c: 29: d6: e7: f0 (hasta) plip0 0 Quieres crear VLANs por primera vez? Si no se va a utilizar VLAN, o slo para interfaces opcionales, debe
dicen que no aqu y utilizar el webConfigurator para configurar redes VLAN despus, si es necesario.
Quieres crear VLANs ahora [y | n]? / Capaz interfaces VLAN: le0 00:0 c: 29: d6: e7: CC (hasta) le1 00:0 c: 29: d6: e7: e6 (hasta) Le2 00:0 c: 29: d6: e7: f0 (hasta) Escriba el nombre de la interfaz principal para la nueva VLAN (o nada si ha terminado): Introduzca la etiqueta de VLAN (1 a 4094): 10
(CB
Capaz interfaces VLAN: le0 00:0 c: 29: d6: e7: CC (hasta) le1 00:0 c: 29: d6: e7: e6 (hasta) Le2 00:0 c: 29: d6: e7: f0 (hasta) Escriba el nombre de la interfaz principal para la nueva VLAN (o nada si ha terminado): Introduzca la etiqueta de VLAN (1 a 4094): 20 Capaz interfaces VLAN: le0 00:0 c: 29: d6: e7: CC (hasta) le1 00:0 c: 29: d6: e7: e6 (hasta) Le2 00:0 c: 29: d6: e7: f0 (hasta)
Escriba el nombre de la interfaz principal para la nueva VLAN (o nada si ha terminado):
VLAN interfaces: vlan0 etiquetas VLAN 10, la interfaz le2 vlan1 etiquetas VLAN 20, la interfaz le2 Si usted no sabe los nombres de las interfaces, puede optar por utilizar auto-deteccin. En ese caso, desconecte todos los interfaces de ahora, antes de golpear "a" para iniciar la deteccin automtica. Escriba el nombre de la interfaz LAN o 'a' para la deteccin automtica: le1 Escriba el nombre de la interfaz WAN o 'a' para la deteccin automtica: le0 Escriba el nombre de la interfaz opcional 1 o 'a' para la deteccin automtica (O nada si acabados): $lan0 Escriba el nombre de la interfaz opcional de 2 o 'a' para la deteccin automtica (O nada si acabados): $lan1 Escriba el nombre de la interfaz opcional de 3 o 'a' para la deteccin automtica (O nada si acabados): TenterF Las interfaces sern asignados de la siguiente manera:
(CC
LAN -> le1

WAN -> le0
OPT1 -> vlan0

OPT2 -> vlan1
Desea continuar [y | n]? / Un momento mientras recarga la configuracin de ... Despu6s de unos segundos? la configuracin volver2 a cargar y se le devuelve al %en; de la consola"
Al configurar las interfaces 'LA< en la consola? no le advierten sobre el reinicio de 9ue puede ser necesaria antes de 'LA< funcionar2" Algunos adaptadores de red o los controladores no funcionan correcta%ente con 'LA< hasta 9ue se reinicie el siste%a" @sto no sie%pre es necesario? pero no he%os sido capaD de encontrar la for%a de detectar cuando se necesiten" &ara estar en el lado seguro? reiniciar despu6s de 9ue su configuracin 'LA< inicial se reco%ienda" &ara adiciones 'LA< 'LA< futuro una veD 9ue se
ya est2 configurado? un reinicio no es necesario"
(+"1")" interfaD web de configuracin de 'LA<

@/a%inar a las interfaces Asignar" Figura (+"(? N3nterfaces: AsignarN %uestra el siste%a utiliDado para este eMe%plo" =A< y LA< se asignan co%o le0 y le1 ? respectiva%ente" Ta%bi6n hay un le2
interfaD 9ue se utiliDa co%o la interfaD principal de 'LA<"
Figura (+"(" 3nterfaces: Asignar

Faga clic en la ficha 'LA<" A continuacin? haga clic a9u para agregar una nueva 'LA<? co%o se %uestra en Figura (+")? NLista de 'LA<N"
(C,
Figura (+")" Lista de 'LA<

La pantalla de edicin de 'LA< ahora se %uestra? co%o Figura (+"*? N@dicin de 'LA<N" A partir de a9u? elegir una interfaD de &adres? le2" A continuacin? introduDca una eti9ueta de 'LA<? 10? S escriba una descripcin? co%o lo red est2 en esa 'LA< JD!E? bases de datos? pruebas? etc"K
Figura (+"*" @ditar 'LA<

Hna veD 9ue se hace clic en Guardar? volver2 a la lista de las 'LA< disponibles? 9ue ahora debe incluir el reci6n agregado 'LA< (+" .epita este proceso para agregar 'LA< adicionales? tales co%o 'LA< )+"
@stos pueden verse en Figura (+"1? NLista de 'LA<N
Figura (+"1" Lista de 'LA<
(,+
Ahora? para asignar la 'LA< a las interfaces? haga clic en la ficha 3nterfaD de %isiones? a continuacin? haga clic en? y
en la lista desplegable de las asignaciones de interfaD disponibles? debera ver la nueva 'LA<" &or :&T(? escoMa la interfaD con el 3D de 'LA< (+" Faga clic de nuevo? y para :&T)? escoMa la interfaD con el 3D de 'LA< )+" uando haya ter%inado? 9ue se ver2 algo as co%o Figura (+">? N3nterfaD lista con
'LA< N
Figura (+">" 3nterfaD lista con 'LA<

Las interfaces 'LA< basada en :&TIse co%portan co%o las interfaces :&T hacen otros? lo 9ue significa Se deben activar? configurar reglas de firewall a0adido? y servicios co%o el servidor de DF & necesitar2 para configurar si es necesario" 'er Seccin 1"*"1? N3nterfaces opcionalesN &ara obtener %2s infor%acin sobre
configurar las interfaces opcionales"
(+">" 3nterruptor de configuracin

@n esta seccin se proporciona orientacin sobre la configuracin de su con%utador" @sto ofrece una gua gen6rica 9ue se aplican a la %ayora si no todos los interruptores capaces C+)"(5? luego pasa a la cubierta de configuracin en interruptores especficos de isco? F&? <etgear? y Dell" <ota: esta es la configuracin de %ni%o Hd" va a necesitar para 'LA<s para funcionar? y no necesaria%ente el interruptor de seguridad ideal configuracin para su entorno" Hna discusin a fondo de la seguridad interruptor est2 fuera de la
alcance de este libro"
(+">"(" 3nterruptor general sobre la configuracin

@n general? usted tendr2 9ue configurar tres o cuatro cosas en 'LA< interruptores capaces"
(" Agregar o definir la 'LA< I la %ayora de interruptores de tener un %edio de 'LA<s a0adir? y 9ue se debe
agreg antes de 9ue se pueden configurar en cual9uier puerto"
(,(
)" onfigure el puerto troncal I configurar el puerto de pfSense se conectar2 a un puerto troncal? eti9uetado de todas sus redes 'LA< en la interfaD"
*" onfigurar los puertos de acceso I configurar los puertos de su servidor interno va a utiliDar co%o el acceso
puertos de la 'LA< 9ue desee? con 'LA< sin eti9ueta"

1" onfigurar el puerto de 'LA< 3D J&'3DK I algunas de las opciones necesitan configurar el &'3D para un puerto" @sto especifica 9ue la 'LA< a utiliDar para el tr2fico 9ue entra en ese puerto del switch" &ara algunos interruptores se trata de un proceso de paso? configurando el puerto co%o un puerto de acceso en un deter%inado 'LA<? auto%2tica%ente el tr2fico 9ue viene en las eti9uetas en ese puerto" :tros interruptores 9ue necesita para configurar esto en dos lugares" onsulte la docu%entacin del con%utador para obtener %2s infor%acin si no es un
se detallan en este captulo"
(+">")" isco 3:S interruptores basados en

onfiguracin y uso de las 'LA< en los switches de isco con 3:S es un proceso bastante sencillo? teniendo slo unos pocos co%andos para crear y utiliDar 'LA<s? puertos troncales y la asignacin de puertos a las 'LA<" !uchos interruptores de otros fabricantes se co%portan de %anera si%ilar a 3:S? y utiliDar2 si no casi la %is%a
sinta/is id6ntica para la configuracin"
(+">")"(" rear 'LA<

Las 'LA< se pueden crear de %anera independiente? o el uso de 'LA< TrunL &rotocol J'T&K" Hso de 'T& puede ser %2s conveniente? ya 9ue se propagan auto%2tica%ente la configuracin de 'LA< a todos los interruptores en un do%inio 'T&? aun9ue ta%bi6n puede crear sus propios proble%as de seguridad y abrir posibilidades de inadvertida%ente acabando con la configuracin de 'LA<" on 'T&? si usted decide necesidad de otra 'LA< slo necesita a0adirse a un solo interruptor? y luego todos los interruptores de concentracin de enlaces otros en el grupo puede asignar los puertos a la 'LA<" Si 'LA< se configuran de for%a independiente? debe a0adir a cada interruptor con la %ano" onsulte la docu%entacin de isco en 'T& para asegurarse de tener una configuracin segura 9ue no son propensas a la destruccin accidental" @n una red con slo unos interruptores donde las 'LA< no ca%bian con frecuencia? suelen ser %eMor no usar 'T& para evitar su
cadas potenciales"
(+">")"("(" 3ndependiente de las 'LA<

&ara crear 'LA<s independiente: sw # $lan )ase de datos sw (vlan) # $lan 10 no!)re ESe#)ido#es *M+E sw (vlan) # $lan 20 no!)re EM,)ilesE
(,)
sw (vlan) # salida
(+">")"(")" 'T& 'LA<

&ara configurar el switch para 'T& y las 'LA<? crear una base de datos 'T& en el interruptor principal y? a continuacin
crear dos 'LA<: sw sw sw sw sw sw sw # $lan )ase de datos (vlan) # +BR ser$idor (vlan) # $tp de do!inio example.com (vlan) # $tp contraseUa Supe#Sec#e% (vlan) # $lan 10 no!)re ESe#)ido#es *M+E (vlan) # $lan 20 no!)re EM,)ilesE (vlan) # salida
(+">")")" onfigurar puerto troncal

&ara pfSense? un puerto del con%utador no slo tiene 9ue estar en %odo de tronco? pero ta%bi6n debe utiliDar C+)"(9
eti9uetado" @sto se puede hacer as: sw sw sw sw # config(re ter!inal (config) # #a interfa4 FastGt0ernet0 - 2( (config-if) # s2itc0port tronco de !odo de (config-if) # s2itc0port dot1' tronco encaps(lacin
<ota
@n algunos nuevos con%utadores de isco 3:S? el iscoIpropietario de 3SL 'LA< %6todo de encapsulacin es obsoleto y ya no es soportada" Si el interruptor se
<o per%ita 9ue el dot1' encaps(lacin opcin de configuracin? slo es co%patible con C+)"(5 y usted no necesita preocuparse acerca de c%o especificar la encapsulacin"
(+">")"*" Agregar puertos a la 'LA<

&ara a0adir puertos a estas redes 'LA<? es necesario para asignar de la siguiente %anera: sw sw sw sw # config(re ter!inal (config) # #a interfa4 FastGt0ernet0 - 12 (config-if) # s2itc0port acceder al !odo (config-if) # s2itc0port access $lan 10
(,*
(+">"*" isco basado en interruptores at:S

La creacin de 'LA< en at:S es un poco diferente? aun9ue la ter%inologa es la %is%a 9ue utiliDa
'LA< en 3:S" A;n dispone de la opcin de utiliDar independiente o 'T& 'LA< o para %antener
la base de datos de 'LA<: #con.(nto de do!inio +BR e.e!plo el !odo de ser$idor #con.(nto $tp pass2d Supe#Sec#e% #con.(nto $lan 10 no!)re *M+ #con.(nto $lan 20 no!)re %el.fonos S configurar un puerto troncal para %aneMar de for%a auto%2tica cada 'LA<: #con.(nto del tronco ' - 2( en dot1' 1-7097 A continuacin? agregue los puertos a la 'LA<: #con.(nto $lan 10 '-1/! #con.(nto $lan 20 '-9/1'
(+">"1" F& &ro urve interruptores

F& &ro urve ca%bia slo el apoyo de trunLing C+)"(9? por lo 9ue no cuenta es necesario all" @n pri%er lugar?
telnet en el interruptor y hacer aparecer el %en; de gestin"
(+">"1"(" Fabilitar el soporte 'LA<

@n pri%er lugar? soporte 'LA< debe estar habilitado en el interruptor? si no lo est2 ya" (" @liMa la configuracin del interruptor )" @liMa las funciones avanDadas *" @liMa !en; 'LA< """ 1" @liMa Apoyo 'LA<
>" @stablecer redes 'LA< Fabilitar a S? si no est2 ya? y elegir un n;%ero de 'LA<" ada veD 9ue este valor se ca%bia el interruptor debe ser reiniciado? as 9ue aseg;rese de 9ue es lo suficiente%ente grande co%o para apoyar
'LA< co%o usted i%aginar 9ue necesitan" A" .einicie el interruptor para aplicar los ca%bios"
(,1
(+">"1")" rear 'LA<

Antes de la 'LA< se puede asignar a los puertos? es necesario crear las 'LA<" @n el interruptor configuracin del %en;: (" @liMa la configuracin del interruptor )" @liMa las funciones avanDadas *" @liMa !en; 'LA< """ 1" @legir los no%bres de 'LA< >" @liMa Agregar A" 3ntroduDca el 3D de 'LA<? 10 B" @scriba el no%bre? 0A1 C" Seleccione Guardar ," .epita los pasos de A0adir a Guardar para cual9uier 'LA< restantes
(+">"1"*" Asignacin de puertos a las 'LA< TrunL

A continuacin? configure el puerto troncal para el servidor de seguridad? as co%o los puertos tronco va a otros con%utadores
contiene varias 'LA<" (" @liMa la configuracin del interruptor )" @liMa !en; 'LA< """ *" @liMa asignacin de 'LA< de puerto 1" @liMa @dicin >" @ncuentra el puerto 9ue desea asignar A" @spacio prensa en la 'LA< por defecto hasta 9ue dice no
B" FaDte a un lado de la colu%na para cada una de las 'LA< en este puerto del tronco? y el espacio de prensa hasta 9ue
dice la eti9ueta" ada 'LA< en uso deben ser %arcados en el puerto troncal"
(+">"1"1" Asignacin de puertos de acceso a las 'LA<

(" @liMa la configuracin del interruptor
(,>
LA< virtuales J'LA<K )" @liMa !en; 'LA< """ *" @liMa asignacin de 'LA< de puerto 1" @liMa @dicin >" @ncuentra el puerto 9ue desea asignar A" @spacio prensa en la 'LA< por defecto hasta 9ue dice no B" FaDte a un lado de la colu%na de la 'LA< a la 9ue este puerto se le asignar2 C" @spacio prensa hasta 9ue se dice sin eti9uetar"
(+">">" <etgear switches gestionados

@ste eMe%plo est2 en el buen GS(+CT? pero otros %odelos de <etgear he%os visto son %uy si%ilares? si no
id6nticos" Fay ta%bi6n varios otros proveedores incluyendo Ey/el 9ue venden con%utadores realiDados por el %is%o fabricante? utiliDando la %is%a interfaD web con un logotipo diferente" Acceda a su con%utador
interfaD web para e%peDar"
(+">">"(" &lanificacin de la configuracin de 'LA<

Antes de configurar el interruptor? lo 9ue necesita saber c%o las 'LA< 9ue usted va a configurar? lo 9ue 3D 9ue va a utiliDar? y c%o cada puerto del switch debe ser configurado" &ara este eMe%plo? esta%os utiliDando un GS(+CT puerto C? y ser2 la configuracin co%o se %uestra en Tabla (+"(? NGS(+CT <etgear
onfiguracin de 'LA< N" &uerto del switch ( ) * 1 > A B C @l %odo de 'LA< tronco el acceso el acceso el acceso el acceso el acceso el acceso el acceso 'LA< asignado 10 y 20? Agreg 10 sin eti9uetar 10 sin eti9uetar 10 sin eti9uetar 20 sin eti9uetar 20 sin eti9uetar 20 sin eti9uetar 20 sin eti9uetar
Tabla (+"(" GS(+CT <etgear configuracin 'LA<
(,A
(+">">")" Fabilitar C+)"(5 'LA<

@n el %en; del siste%a en el lado iD9uierdo de la p2gina? haga clic en onfiguracin del grupo de 'LA<? co%o se indica en Figura (+"A? NGrupo de 'LA< !arcoN"
Figura (+"A" 'LA< Grupo !arco

Seleccione 3@@@ C+)"(5 'LA< JFigura (+"B? NFabilitar C+)"(5 'LA<NK"
Figura (+"B" Fabilitar C+)"(5 'LA<

Le avisar2 con un popIup preguntando si real%ente 9uieres ca%biar? y la lista de algunos de las consecuencias? co%o se %uestra en Figura (+"C? N@l ca%bio de confir%acin para C+)"(5 'LA<N" Si desea
'LA< tronco? debe usar C+)"(5" Faga clic en Aceptar"
Figura (+"C" onfir%ar el ca%bio de C+)"(5 'LA<
(,B
Despu6s de hacer clic en Aceptar? la p2gina se actualiDar2 con la configuracin de 'LA< C+)"(5? co%o se %uestra en Figura (+",? N onfiguracin por defecto C+)"(5N"
Figura (+"," onfiguracin por defecto C+)"(5
(+">">"*" A0adir 'LA<

&ara este eMe%plo? voy a a0adir dos 'LA< con 3D 10 y 20" &ara agregar una 'LA<? haga clic en la 'LA<
Gestin desplegable y haga clic en Agregar nueva 'LA< co%o se %uestra en Figura (+"(+? NA0adir nueva 'LA<N"
Figura (+"(+" A0adir nueva 'LA<

3ntroduDca el 3D de 'LA< para esta nueva 'LA<? a continuacin? haga clic en Aplicar" La pantalla de 'LA< ahora te deMar6 configurar 'LA< 10 JFigura (+"((? NA0adir 'LA< (+NK" Antes de configurar? yo de nuevo? haga clic en A0adir nueva 'LA< co%o se %uestra en Figura (+"(+? NA0adir nueva 'LA<N para agregar 'LA< 20 JFigura (+"()?
NA0adir 'LA< )+NK"
(,C
Figura (+"((" Agregar la 'LA< (+
Figura (+"()" A0adir 'LA< )+

A0adir co%o 'LA< 9ue sea necesario? y luego continuar a la siguiente seccin"
(+">">"1" onfigurar el eti9uetado 'LA<

uando se selecciona una 'LA< del %en; desplegable de la 'LA< de ad%inistracin hacia abaMo? 9ue le %uestra la for%a en 9ue
'LA< se configura en cada puerto" Hn cuadro en blanco indica 9ue el puerto no es %ie%bro del seleccionado
(,,
'LA<" Hna caMa 9ue contiene B %ediante la 'LA< se enva en ese puerto con la eti9ueta C+)"(5" 9 indica
el puerto es un %ie%bro de esa 'LA< y deMa el puerto sin eti9uetar" @l puerto troncal tendr2 9ue
han a0adido dos 'LA< y eti9uetados"
<ota
<o ca%bie la configuracin del puerto 9ue est2 utiliDando para acceder al interruptor de interfaD web" Hsted %is%o blo9ueo? con el ;nico %edio de recuperacin en la GS(+CT est2 golpeando el restableci%iento de f2brica de botones por defecto I no tiene consola serie" &ara los interruptores 9ue tiene de serie consolas? tiene un cable de %de% nulo ;til en caso de 9ue desconectarse de la conectividad de red con el interruptor"
onfiguracin de la 'LA< de ad%inistracin se describe %2s adelante en esta seccin"

Faga clic en las casillas baMo el n;%ero de puerto co%o se %uestra en Figura (+"(*? NActivar 'LA<
%ie%bros N para alternar entre las tres opciones de 'LA<"
Figura (+"(*" Activar pertenencia a la 'LA< (+">">"1"(" onfigurar la 'LA< (+ %ie%bros

Figura (+"(1? N onfiguracin de la 'LA< (+ %ie%brosN %uestra 'LA< 10 configurado co%o se indica en Tabla (+"(? N onfiguracin de 'LA< <etgear GS(+CTN" Los puertos de acceso en esta 'LA< se establecen en
sin eti9ueta? %ientras 9ue el puerto troncal se establece agreg"
)++
Figura (+"(1" onfigurar la 'LA< (+ %ie%bros (+">">"1")" onfiguracin de 'LA< )+ %ie%bros

Seleccione 20 de la 'LA< de ad%inistracin desplegable para configurar los %ie%bros en el puerto de 'LA< 20"
Figura (+"(>" onfiguracin de 'LA< )+ %ie%bros (+">">"1"*" a%bio &'3D

@n los switches de <etgear? ade%2s de la configuracin configurado previa%ente %arcado? ta%bi6n debe
configurar el &'3D para especificar la 'LA< utiliDa para los %arcos de entrar en ese puerto" @n la 'LA<
Gestin desplegable? haga clic en &'3D !arco co%o se %uestra en Figura (+"(A? N&'3D !arcoN"
)+(
Figura (+"(A" &'3D !arco

@l valor predeter%inado &'3D configuracin es la 'LA< ( para todos los puertos co%o se %uestra en Figura (+"(B? N&'3D por defecto onfiguracin N"
Figura (+"(B" onfiguracin por defecto &'3D

a%biar el &'3D para cada puerto de acceso? pero abandonar el puerto del tronco y el puerto 9ue est2 utiliDando
acceder a la interfaD de ad%inistracin del con%utador establece 1"Figura (+"(C? N'LA< (+ y )+

&'3D de configuracin N %uestra la configuracin &'3D Muego las asignaciones de puerto se %uestra en la
Tabla (+"(? NGS(+CT <etgear configuracin 'LA<N? on C puertos se utiliDan para acceder a la
ca%biar la interfaD de gestin" Aplica los ca%bios cuando haya ter%inado"
Figura (+"(C" 'LA< (+ y )+ de configuracin &'3D
)+)
(+">">"1"1" 5uite la configuracin de 'LA< (

&or defecto? todos los puertos son %ie%bros de una 'LA< con %arcos de salida sin eti9uetar" Seleccione 1
<Ror defecto= desde la cada de la 'LA< de ad%inistracin hacia abaMo" @li%inar una 'LA< de todos los puertos e/cepto el 9ue usted est2 utiliDando para gestionar el switch y el puerto de tronco? por lo 9ue no se desconecta" 3 estoy usando el puerto de C a gestionar el switch" uando haya ter%inado? la pantalla debe ser si%ilar a Figura (+"(,?
N@li%inar la pertenencia a 'LA< (N"
Figura (+"(," .etire pertenencia a la 'LA< (

Aplica los ca%bios cuando haya ter%inado"
(+">">"1">" 'erificar la funcionalidad 'LA<

onfigure su 'LA< en pfSense? incluyendo el servidor DF & en la 'LA< de interfaces si se utiliDa DF &" onecte los siste%as en los puertos de acceso configurado y la conectividad de la prueba" Si todo funciona co%o se desea? contin;e con el siguiente paso" Si las cosas no funcionan co%o se esperaba? la revisin el eti9uetado y la configuracin &'3D en el interruptor? y la configuracin de 'LA< y la interfaD
asignaciones en pfSense"
(+">"A" Dell &ower onnect switches gestionados

La interfaD de gestin de con%utadores de Dell vara ligera%ente entre los %odelos? pero los siguientes procedi%iento tendr2 en cuenta la %ayora de %odelos" La configuracin es %uy si%ilar en estilo a isco
3:S" @n pri%er lugar? crear las 'LA<: consola consola consola consola consola # config (config) # $lan )ase de datos (config-vlan) # $lan 10 no!)re *M+ los !edios de co!(nicacin Gt0ernet (config-vlan) # $lan 20 no!)re %el.fonos los !edios de co!(nicacin Gt0ernet (config-vlan) # salida
)+*
LA< virtuales J'LA<K A continuacin? configurar un puerto troncal: consola consola consola consola (config) # &nterfa4 Gt0ernet 1 - 1 (config-if) # s2itc0port tronco de !odo de (config-if) # s2itc0port +#P> per!ite aUadir 1-7097 eti'(etado (config-if) # salida
&or ;lti%o? agregar los puertos a las 'LA<: consola (config) # &nterfa4 Gt0ernet 1 - 1' consola (config-if) # s2itc0port per!ite aUadir $lan 10 sin eti'(etar consola (config-if) # salida
)+1
aptulo ((" !;ltiples cone/iones =A<

La =A< %;ltiples J%ultiI=A<K de las capacidades de pfSense le per%iten utiliDar 3nternet de %;ltiples
cone/iones para lograr un %ayor tie%po de actividad y una %ayor capacidad de rendi%iento" Antes de proceder a una configuracin %ultiI=A<? se necesita un trabaMo de dos de interfaD JLA< y =A<K de configuracin" pfSense es capaD de %aneMar %uchas interfaces =A<? con las %;ltiples partidas con (+I()
=A< en la produccin" Debe escala a;n %ayor 9ue? a pesar de 9ue no son conscientes de 9ue ninguna de
instalaciones 9ue utiliDan %2s de () redes =A<"

ual9uier adicionales interfaces =A< se conocen co%o :&T interfaces =A<" Las referencias a la =A< referirse a la principal interfaD =A< y =A< :&T a cual9uier adicional interfaces =A<" <o diferencias i%portantes entre los dos tipos de pfSense (") 9ue se cubren a trav6s de este
captulo"
@ste captulo co%ienDa cubriendo cosas 9ue usted debe tener en cuenta al i%ple%entar cual9uier %ultiI=A<
solucin? entonces cubre configuracin %ultiI=A< con pfSense"
(("(" La eleccin de su conectividad a 3nternet

La eleccin ideal de conectividad a 3nternet depender2 en gran %edida las opciones disponibles en su
ubicacin? pero hay algunos factores adicionales a tener en cuenta"
(("("(" able a%inos

Fablando desde la e/periencia de a9uellos 9ue han visto de pri%era %ano los efectos de cable de %;ltiples la b;s9ueda de retroe/cavadoras? as co%o infa%es ladrones de cobre? es %uy i%portante asegurarse de 9ue su opciones de conectividad para una i%ple%entacin %ultiI=A< utiliDan diferentes rutas de cableado" @n %uchos lugares? todas las cone/iones T( y DSL? as co%o cuales9uiera otras 9ue utiliDan pares de cobre se llevan a cabo
un solo cable suMeto al corte del cable %is%o"

Si usted tiene una cone/in 9ue vienen de par de cobre JT(? DSL? etcK? elegir una secundaria con la utiliDacin de un tipo diferente y la ruta del cableado" cone/iones de los cables suelen ser las %2s a%plia%ente las opciones disponibles 9ue no est2n suMetos a la %is%a corte de los servicios de cobre" :tras opciones incluyen inal2%brica fiMa? y servicios de fibra 9ue llegaba por un ca%ino de cable distintos de los servicios de su cobre" <o se puede depender de dos cone/iones del %is%o tipo para proporcionar redundancia en la %ayora de los casos" Hna interrupcin del 3S& o de corte de cable nor%al%ente se establecen todas las cone/iones del %is%o tipo" Algunos pfSense usuarios hacer uso de %;ltiples lneas ADSL o cable %de%s %;ltiples? aun9ue la redundancia slo 9ue tpica%ente ofrece es 9ue el aisla%iento de %de% u otro &@ J usto%er &re%ise @9uip%entK
)+>
!;ltiples cone/iones =A<
fracaso" Debe tener en cuenta %;ltiples cone/iones desde el %is%o proveedor? ya 9ue slo una solucin para ancho de banda adicional? co%o la redundancia 9ue ofrece este despliegue es %ni%o"
(("(")" .utas de acceso a 3nternet

:tra consideracin al seleccionar la cone/in a 3nternet es el ca%ino de su cone/in a 3nternet" &ara fines de redundancia? varias cone/iones de 3nternet de la
proveedor de la %is%a? especial%ente del %is%o tipo no se debe confiar en ellas"

on los proveedores %2s grandes? dos diferentes tipos de cone/iones? co%o un %de% DSL y lnea T( general%ente atraviesan las redes de %uy diferentes hasta llegar a las partes principales de la red" @stos co%ponentes de red de la base suelen ser dise0ados con alta redundancia y los posibles proble%as se tratan r2pida%ente? ya 9ue tienen efectos generaliDados" &or lo tanto la conectividad co%o es aislado de la %ayora de las cuestiones 3S&? pero ya 9ue habitual%ente utiliDan el ca%ino %is%o cable? todava le deMa
vulnerables a los apagones prolongados cortes de cable"
(("("*" .edundancia %eMor? %2s ancho de banda? %enos dinero

Durante %uchos a0os? el servicio T( ha sido la opcin para cual9uier entorno de alta disponibilidad los re9uisitos" @n general? el Service Level Agree%ents JSLAK 9ue ofrece en las cone/iones T( %eMor 9ue otros tipos de conectividad? y la T( son general%ente vistos co%o %2s confiables" Sin e%bargo? con capacidades %ultiI=A< pfSense? usted puede tener %2s ancho de banda y redundancia %eMor por %enos
dinero en %uchos casos"

La %ayora de las organiDaciones 9ue necesitan una alta disponibilidad de cone/iones a 3nternet no 9uieren confiar en DSL? cable o de otro tipo Nclase inferiorN cone/iones de banda ancha a 3nternet" Aun9ue por lo general son significativa%ente %2s r2pido y %2s barato? el %enor de SLA es suficiente para 9ue %uchas e%presas seguir con T( conectividad" @n las Donas donde las opciones de costo %2s baMo %;ltiples de banda ancha est2n disponibles? tales co%o DSL y el cable? la co%binacin de pfSense y dos cone/iones de 3nternet a baMo costo ofrece %2s ancho de banda y %eMor redundancia a un %enor costo" La posibilidad de dos diferentes banda ancha cone/iones baMando al %is%o tie%po es significativa%ente %enor 9ue la probabilidad de un fracaso o T(
interrupcin de un servicio ;nico"
((")" !ultiI=A< Ter%inologa y conceptos

@sta seccin cubre la ter%inologa y conceptos 9ue se necesitan para entender el despliegue de %;ltiples
=A< con pfSense"
)+A
((")"(" &oltica de enca%ina%iento

&oltica de enca%ina%iento se refiere a un %edio de enca%ina%iento del tr2fico en %2s de la direccin 3& de destino
el tr2fico? co%o se hace con la tabla de enruta%iento en la %ayora de siste%as operativos y routers" @sto es
logra %ediante el uso de una poltica de alg;n tipo? por lo general las reglas del firewall o una lista de control de acceso" @n pfSense? el ca%po de puerta de enlace disponible al %odificar o agregar reglas de firewall per%ite el uso de poltica de enruta%iento" @l ca%po Gateway contiene todas las interfaces =A< de su? %2s 9ue ninguna con%utacin por error o de la carga
e9uilibrio de las piscinas 9ue haya definido"

&oltica de enruta%iento proporciona un poderoso %edio de dirigir el tr2fico a la interfaD =A< adecuada? ya 9ue per%ite 9ue se pongan en venta cual9uier cosa 9ue una regla de firewall puede igualar" hosts especficos? subredes? protocolos
y %2s se puede utiliDar para dirigir el tr2fico"
<ota
.ecuerde 9ue todas las reglas de cortafuegos incluida la poltica de las reglas de enruta%iento se procesan en
orden de arriba hacia abaMo? y gana el pri%er partido"
((")")" &uerta de enlace de &iscinas

piscinas de puerta de enlace son los 9ue proporcionan la funcionalidad de con%utacin por error y e9uilibrio de carga en pfSense" @llos
se configuran en Servicios @9uilibrador de carga? en la ficha &ool"
((")"*" on%utacin por error

on%utacin por error se refiere a la capacidad de utiliDar una ;nica interfaD =A<? pero no a otro si =A<
el preferido =A< falla"
((")"1" @9uilibrio de carga

@l e9uilibrio de carga se refiere a la capacidad de distribuir la carga entre varias interfaces =A<" <ota 9ue el e9uilibrio de carga y con%utacin por error no se e/cluyen %utua%ente" @9uilibrio de carga de for%a auto%2tica ta%bi6n proporciona capacidades de con%utacin por error? co%o cual9uier interfaD 9ue est2 abaMo se 9uita del e9uilibrio de carga
piscina"
((")">" !onitor de &3

Al configurar el e9uilibrio de con%utacin por error o de la carga? cada interfaD =A< se asocia con un %onitor 3&" pfSense se ping esta 3&? y si deMa de responder? la interfaD se %arca co%o hacia abaMo" Si este
)+B
%onitor de 3& se encuentra en una interfaD =A< :&T? pfSense a0adir2 auto%2tica%ente una ruta est2tica para este
de destino para dirigir el tr2fico a cabo la correcta interfaD =A<" @sto significa 9ue cada =A< debe tener un ;nico %onitor de 3&" Hsted puede utiliDar el %is%o %onitor 3& en varios grupos? sie%pre y cuando se utiliDa en
asociacin con un solo =A<"
((")">"(" As 9ue lo 9ue constituye un fracaso8

o%o habr2s adivinado? es un poco %2s co%pleMa 9ue Nsi hace ping a la 3& del %onitor no?
la interfaD se %arca co%o hacia abaMo" N@specfica%ente? el siguiente co%ando ping se utiliDa para este
segui%iento" #ping-t "-"-i CA% 0.M <di#ecci,n 23>

A %enos 9ue usted est2 e/cepcional%ente bien versado en ping? 9ue no te dice %ucho" Las opciones son
se detalla en Tabla (("(? NDiseccin de la vigilancia de pingN" :pcin de lnea de co%andos -T 5 -O -Q -C 5 -I 0.7 Funcin @spere > segundos Salir con 6/ito despu6s de recibir una respuesta pa9uete Silencioso de salida" Slo el resu%en de salida al co%ienDo y al de %eta" @nviar > pa9uetes @spere a +?B segundos entre el envo de cada pa9uete
Tabla (("(" Diseccin de la vigilancia de ping

As 9ue esto significa 9ue enva > pings a su %onitor 3&? a la espera +"B segundos entre cada una de ping" @s
espera de hasta > segundos para una respuesta? y sale con 6/ito si se recibe una respuesta" @sto ha ha aMustado y afinado varias veces en los ;lti%os a0os para llegar a este punto" Detecta casi todos los fracasos? y no es de%asiado sensible" Sa 9ue tiene 6/ito con la p6rdida de pa9uetes del C+]? es terica%ente posible 9ue la cone/in podra estar e/peri%entando la p6rdida de pa9uetes tanto 9ue no se puede utiliDar? pero no est2 %arcada co%o hacia abaMo" @sto sola ser %2s estrictos? pero he%os encontrado 9ue los falsos positivos y batir eran co%unes en lugares %enos estrictos? y esta es la %eMor co%binacin para detectar los cortes y evitando el trata%iento innecesario aleteo" Algunas de estas opciones ser2n configurables por el usuario en pfSense )"+"
(("*" !ultiI=A< Advertencias y consideraciones

@sta seccin contiene las advertencias y consideraciones especficas a la %ultiI=A< de pfSense"
)+C
(("*"(" !;ltiples =A< co%partiendo una ;nica puerta de enlace 3&

Debido a la pf %anera controla el tr2fico %ultiI=A<? slo puede dirigirla por la puerta de enlace 3& de la
cone/in" @sto est2 bien en la %ayora de escenarios" Si usted tiene %;ltiples cone/iones en la %is%a red utiliDando la %is%a puerta de enlace 3&? co%o es co%;n si tiene varios %de%s por cable? debe utiliDar un
dispositivo inter%edio <AT para pfSense ve cada puerta de enlace =A< co%o 3& ;nica"
(("*")" &&&o@ o &&T& %;ltiples =A<

pfSense (") slo ad%ite una ;nica interfaD &&&o@ o &&T& =A<? en la =A< pri%ario" :&T =A< DF & o debe ser asignado est2tica%ente" Hsted puede aco%odar %;ltiples =A< &&&o@ configurar el &&&o@ en el %de% y 9ue pasa a trav6s de la 3& p;blica de pfSense" pfSense
)"+ es co%patible con &&&o@ y &&T& en un n;%ero ili%itado de redes =A<"
(("*"*" Los servicios locales y !ultiI=A<

Fay algunas consideraciones con los servicios locales y de %;ltiples =A<? ya 9ue cual9uier tr2fico iniciado desde el servidor de seguridad en s %is%a no se ver2n afectadas por las polticas de enruta%iento 9ue han configurado? sino %2s bien siguiente tabla de enruta%iento del siste%a" &or lo tanto las rutas est2ticas se re9uiere en algunas circunstancias utiliDando las interfaces =A< :&T? de lo contrario slo la interfaD =A< se utiliDa" @spera%os para ofrecer la capacidad de tr2fico de la poltica de la ruta iniciada por el servidor de seguridad en pfSense )"+ para per%itir 9ue %2s fle/ibilidad" @sto slo se aplica al tr2fico 9ue se inicia por el firewall" @n el caso de tr2fico iniciado en 3nternet destinado a una interfaD =A< :&T? pfSense utiliDa auto%2tica%ente &F de respuesta a Directiva en todas las =A< y las nor%as :&T =A<? lo 9ue garantiDa el tr2fico de respuesta es enviada de vuelta
la correcta interfaD =A<"
<ota
A continuacin se supone 9ue est2 eMecutando pfSense (")"( o %2s reciente" Si est2 eMecutando una versin anterior? en algunas circunstancias? puede encontrar proble%as causados por
un error deter%inado a partir de (") fue liberado"
(("*"*"(" D<S Forwarder

Los servidores D<S utiliDado por el pro%otor de D<S debe tener rutas est2ticas definidas si utiliDan un :&T 3nterfaD =A<? co%o se describe %2s adelante en este captulo" <o hay otras precauciones a reenviador D<S
en entornos %ultiI=A<"
)+,
(("*"*")" 3&sec
3&sec es total%ente co%patible con %ultiI=A<" &ara cone/iones de sitio a sitio con :&T =A<
interfaces? una ruta est2tica se agrega auto%2tica%ente para el punto final del t;nel re%oto 9ue apunta a la :&T =A< gateway para garantiDar el cortafuegos enva el tr2fico a la interfaD correcta cuando se iniciar la cone/in" &ara las cone/iones %viles? el cliente sie%pre inicia la cone/in? y
el tr2fico de respuesta es correcta derrotado por la tabla de estado"
(("*"*"*" :pen'&<
:pen'&< capacidades %ultiI=A< se describen en Seccin (>"B? N:pen'&< y !ultiI=A<N"
(("*"*"1" Servidor &&T&

@l servidor &&T& no es %ultiI=A< co%patibles" Slo se puede utiliDar en la pri%aria =A<
interfaD"
(("*"*">" A.& y %ultiI=A<

A.& es %ultiI=A< capaD? sie%pre y cuando todas las interfaces =A< utiliDan direcciones 3& est2ticas y tiene por lo %enos
tres 3&s p;blicas por la =A<" @sto se trata en Seccin )+">? N!ultiI=A< con la carpaN"
(("1" 3nterfaD de configuracin y D<S

@n pri%er lugar usted necesita para configurar las interfaces =A< y los servidores D<S"
(("1"(" 3nterfaD de configuracin

Las interfaces =A< pri%ero tiene 9ue ser configurado" onfiguracin de la =A< pri%aria seg;n lo descrito previa%ente en Seccin 1")? NAsistente de configuracinN" Luego de las interfaces =A< :&T? seleccione DF & o est2tico?
en funcin de su tipo de cone/in a 3nternet" &ara cone/iones est2ticas de 3&? escriba la direccin 3& y
puerta de enlace"
(("1")" onfiguracin del servidor D<S

Hsted tendr2 9ue configurar pfSense con los servidores D<S de cada cone/in =A< para asegurar su sie%pre es capaD de resolver no%bres de do%inio" @sto es especial%ente i%portante si utiliDa su red interna de pfSense .eenviador D<S para la resolucin de D<S" Si se usa sola%ente un proveedor de 3nternet los servidores D<S? un corte de luD de ese one/in =A< se traducir2 en un corte de internet co%pleta? independiente%ente de su poltica de enruta%iento
puesto 9ue la funcin de configuracin de D<S ya no"
)(+
(("1")"(" Servidores D<S y rutas est2ticas

pfSense utiliDa su tabla de enruta%iento para llegar a los servidores D<S configurados" @sto significa? sin est2tica
rutas configurado? slo utiliDar2 la cone/in =A< pri%aria para llegar a los servidores D<S" @st2tica las rutas deben estar configurados para cual9uier servidor D<S en una interfaD =A< :&T? por lo 9ue utiliDa el pfSense correcta de interfaD =A< para llegar a ese servidor D<S" @sto es necesario por dos raDones" Hno? la %ayora de todos los 3S& prohibir consultas recursivas de hosts fuera su red? por lo tanto? debe utiliDar la interfaD =A< correctos para acceder a ese servidor D<S del 3S&" @n segundo lugar? si usted pierde su =A< pri%aria y no tienen una ruta est2tica definida por uno de sus otros servidores D<S? perder2 toda capacidad de resolucin de D<S de pfSense s %is%o co%o todos los servidores D<S ser2 inalcanDable cuando el siste%a de puerta de enlace predeter%inada es inalcanDable" Si est2 utiliDando pfSense
co%o su servidor D<S? esto se traducir2 en un fracaso co%pleto de D<S de la red" Los %edios para conseguir esto vara dependiendo del tipo de =A< en uso"
(("1")")" Todas las redes =A< 3& est2tica

@ste es el escenario %2s f2cil de %aneMar? ya 9ue cada =A< tiene una puerta de enlace 3& 9ue no va a ca%biar" <
consideraciones adicionales son necesarios a9u"
(("1")"*" Todas las redes =A< 3& din2%ica

3& din2%ica interfaces =A< plantear dificultades debido a 9ue su puerta de entrada est2 suMeta a ca%bios y rutas est2ticas en pfSense (") debe apuntar a una direccin 3& est2tica" @sta frecuencia no es un proble%a i%portante por9ue slo la direccin 3& ca%bia %ientras la puerta de entrada sigue siendo el %is%o" Si su :&T =A< p;blicos los ca%bios subredes 3& y por lo tanto pasarelas con frecuencia? el uso del agente de D<S en pfSense no es una solucin adecuada para los servicios D<S redundantes? ya 9ue no tendr2s ning;n %edio fiable de
llegar a un servidor D<S en otra cosa 9ue la interfaD =A<"

@n escenarios donde no se puede configurar una ruta est2tica para llegar a uno de los servidores D<S a trav6s de una =A< territorio palestino ocupado? tiene dos alternativas" Dado 9ue el tr2fico de las redes dentro de la poltica derrotados por las reglas de su firewall? no est2 suMeto a esta li%itacin" Hsted puede utiliDar los servidores D<S en 3nternet en todos sus siste%as internos? tales co%o :penD<S [Fttp:77www"opendns"co%\: utiliDar un servidor D<S o pro%otor de la red interna" !ientras 9ue las peticiones D<S se inician desde el interior de la red? y no en el servidor de seguridad en s co%o en el caso de la agente de D<S? rutas est2ticas no son necesarios Jy no tienen ning;n efecto sobre el tr2fico iniciado dentro de su red cuando
utiliDacin de la poltica de enruta%ientoK"

:tra opcin a considerar es el uso de una de sus direcciones 3& del servidor D<S de cada cone/in a 3nternet co%o el perodo de investigacin del %onitor para esa cone/in" @sto agregar2 auto%2tica%ente las rutas est2ticas adecuadas
para cada servidor D<S"
)((
(("1")"1" !eDcla de =A< 3& est2tica y din2%ica

Si usted tiene una %eDcla de est2tica y din2%ica dirigida interfaces =A<? la pri%aria =A<
debe ser una de sus din2%icas =A< 3& desde las rutas est2ticas no son necesarios para los servidores D<S
en la principal interfaD =A<"
(("1")">" @Me%plo de configuracin de ruta est2tica

@ste eMe%plo ilustra el uso de :penD<S [http:77www"opendns"co%7\ Servidores D<S
)+C"AB"))+"))+ y )+C"AB")))")))? uno en la =A< y uno en =A<)" @n este eMe%plo? el puerta de enlace de la =A< es (+"+"+"( y la puerta de entrada de =A<) es (,)"(AC"+"(" La ruta est2tica para =A<
no se re9uiere? co%o la ruta predeter%inada del siste%a sie%pre reside en la interfaD =A<? pero a0adiendo no va a doler nada y deMa claro 9ue utiliDa el servidor D<S 9ue la =A<" Las rutas de este eMe%plo debe aparecer co%o Figura (("(? N@Me%plo de configuracin de rutas est2ticas para %ultiI
=A< absoluto de los servicios N
Figura (("(" @Me%plo de configuracin ruta est2tica para !ultiI=A< servicios D<S
(("1"*" @scala a un gran n;%ero de interfaces =A<

Fay %uchos usuarios pfSense desplegar ()"A cone/iones a 3nternet en una ;nica instalacin" Hn usuario pfSense tiene (+ lneas de ADSL por9ue en su pas? es significativa%ente %2s barato 9ue conseguir dieD )>A Qb cone/iones de lo 9ue es una cone/in de )"> !#" Vl usa pfSense para e9uilibrar la carga un gran n;%ero de %29uinas internas de cada (+ cone/iones diferentes" &ara obtener %2s infor%acin sobre esta escala de i%ple%entacin? vea Seccin (("((? N!ultiI=A< en un paloN acerca de N!ultiI=A< en un paloN? %2s adelante
en este captulo"
((">" asos especiales de !ultiI=A<

Algunas i%ple%entaciones %ultiI=A< re9uieren soluciones debido a las li%itaciones en pfSense (")" @ste
seccin trata de los casos y la for%a de aco%odarlos"
)()
((">"(" !;ltiples cone/iones con la %is%a puerta de enlace 3&

Debido a la for%a pfSense distribuye el tr2fico a trav6s de cone/iones de 3nternet %;ltiples? si usted tiene
%;ltiples cone/iones a 3nternet utiliDando la %is%a puerta de enlace 3&? tendr2 9ue insertar un dispositivo <AT entre todos? pero una de esas cone/iones" @sto no es una gran solucin? pero es factible" <osotros 9uisiera dar cabida a esta en una versin futura? pero es %uy difcil debido a la for%a en 9ue el
software subyacente dirige el tr2fico cuando se hace poltica de enruta%iento"
((">")" !;ltiples cone/iones &&&o@ o &&T& Tipo

pfSense slo puede aco%odar a una cone/in &&&o@ o &&T& =A<" :&T interfaces =A<
<o se puede utiliDar &&&o@ o &&T& tipos =A<" La %eMor solucin es usar &&&o@ o &&T& en su
%de%? u otro servidor de seguridad fuera de pfSense"

&ara &&&o@? la %ayora de los %de%s DSL pueden %aneMar la &&&o@ y ya sea directa%ente asignar su direccin 3& p;blica a pfSense? o darle una direccin 3& privada y proporcionar <AT" &;blica pasarela 3& es posible en %uchos
%de%s y es el %edio preferido para lograr esto"
(("A" !ultiI=A< y <AT

@l valor predeter%inado <AT reglas generadas por pfSense se traducir2 cual9uier tr2fico 9ue sale de la =A< o un :&T interfaD =A< a la direccin 3& de dicha interfaD" @n una LA< predeter%inado de la interfaD de dos y
=A< configuracin? pfSense se <AT todo el tr2fico de salir de la interfaD =A< a la 3& =A< direccin" La incorporacin del territorio palestino ocupado interfaces =A< se e/tiende esto a <AT el tr2fico deMando un :&T 3nterfaD =A< a la direccin 3& de dicha interfaD" Todo esto es %aneMado auto%2tica%ente a %enos avanDada
Salida <AT est2 habilitada"

La poltica de reglas de enruta%iento de dirigir el tr2fico a la interfaD =A< utiliDa? y la salida y (:(
reglas <AT especificar c%o el tr2fico ser2 traducido"
(("A"(" <AT de salida %ultiI=A< y AvanDado

Si necesita avanDada de salida <AT con %ultiI=A<? lo necesario para garantiDar configurar
reglas <AT para todas las interfaces =A<"
(("A")" !ultiI=A< y redirecciona%iento de puertos

ada puerto hacia adelante se aplica a una sola interfaD =A<" Hn puerto deter%inado se puede abrir en %;ltiples 3nterfaces =A< %ediante el uso de %;ltiples entradas puerto hacia adelante? uno por cada interfaD =A<" La %anera %2s f2cil
)(*
para lograr esto es agregar el puerto para la cone/in en la pri%era cone/in =A<? a continuacin? haga clic en el a
el derecho de 9ue la entrada para a0adir otro puerto hacia adelante sobre la base de 9ue uno" a%biar la interfaD a la
deseada =A<? y haga clic en Guardar"
(("A"*" !ultiI=A< y <AT +(:+(

+(:+( Las entradas <AT son propias de un solo interfaD =A<" siste%as internos pueden configurarse con tus +(:+( <AT en cada interfaD =A<? o una entrada de (:( en una o %2s interfaces =A< y el uso el <AT de salida por defecto a los de%2s" uando se configuran las entradas +(:+(? sie%pre prevalecer sobre cual9uier
otra de salida <AT de configuracin de la interfaD especfica donde se configura la entrada de (:("
(("B" @9uilibrio de carga

La funcionalidad de balanceo de carga en pfSense le per%ite distribuir el tr2fico a trav6s de %;ltiples =A<
cone/iones en una for%a de round robin" @sto se hace sobre una base por cone/in"
Hna vigilancia 3& se configura para cada cone/in? 9ue se pfSense ping" Si los pings no?
la interfaD se puede %arcar co%o y retirado de todos los grupos hasta 9ue el ping 6/ito de nuevo"
(("B"(" onfiguracin de un grupo de balanceo de carga

@n el pfSense =ebGH3? vaya a Servicios @9uilibrador de carga" @n la ficha Grupos? haga clic en" @ste le llevar2 a la piscina del e9uilibrador de carga pantalla de edicin" @n las secciones siguientes se describe cada ca%po
en esta p2gina"
(("B"("(" <o%bre
@n el ca%po <o%bre? escribir un no%bre para el grupo de con%utacin por error de hasta (A caracteres de longitud" @sto se
el no%bre utiliDado para referirse a este grupo en el ca%po de puerta de enlace en las reglas del cortafuegos" @ste ca%po es obligatorio"
(("B"(")" Descripcin
Hsted puede entrar en una descripcin a9u para su consulta" @ste ca%po se %uestra en el e9uilibrador de carga
pantalla de &iscinas? y no afecta a la funcionalidad de la piscina" @s opcional"
(("B"("*" Tipo
Seleccione &uerta de enlace en este cuadro desplegable"
)(1
(("B"("1" o%porta%iento
Seleccione el @9uilibrio de carga de a9u"
(("B"(">" &uerto
@ste ca%po aparece en gris cuando se utiliDa el e9uilibrio de carga de puerta de enlace"
(("B"("A" !onitor
@ste ca%po aparece en gris cuando se utiliDa el e9uilibrio de carga de puerta de enlace? ya 9ue slo 3 !& se puede utiliDar para supervisar puertas de enlace"
(("B"("B" !onitor 3&

@sta es la direccin 3& 9ue va a deter%inar si la interfaD seleccionado Jseleccionado a continuacinK est2 disponible"
Si hace ping a esta direccin no? esta interfaD se %arca co%o hacia abaMo y ya no se utiliDa hasta 9ue se
acceso de nuevo? co%o se e/plica en Seccin ((")">? N!onitor de 3&N"
(("B"("C" <o%bre de interfaD

A9u se define la interfaD 9ue se usa Munto con el %onitor anterior perodo de investigacin" o%o se trata de una carga e9uilibrio de la piscina? cada interfaD a0adida se utiliDa por igual? sie%pre y cuando su %onitor 3& responde" Si cual9uier interfaD en la lista de falla? se 9uita de la piscina y la carga se distribuye entre
la interfaD restante JsK"
(("B"("," A0adir a la piscina

Despu6s de seleccionar una interfaD y elegir un %onitor de 3&? haga clic en el botn A0adir a la piscina para agregar la
interfaD"
Despu6s de a0adir la pri%era interfaD de la piscina? seleccione la segunda interfaD? seleccione su 3& supervisar y haga clic en A0adir a la piscina de nuevo" uando ter%ine de agregar interfaces a la piscina? haga clic en Guardar? luego apli9ue
a%bios"
(("B")" &roble%as con el e9uilibrio de carga

Algunos sitios web al%acenan sesin de infor%acin incluyendo su direccin 3&? y si un posterior con el sitio se dirige a otro interfaD =A< usando una diferente direccin 3& p;blica? la sitio web no funcionar2 correcta%ente" @sto es %uy rara y slo incluye algunos bancos en %i
)(>
la e/periencia" Los %edios sugeridos de trabaMar alrededor de esto es crear un grupo de con%utacin por error y directo el tr2fico destinado a estos sitios a la piscina de con%utacin por error en lugar de la piscina de e9uilibrio de carga"
La funcin de las cone/iones pegaMosa de pf se supone 9ue para resolver este proble%a? pero ha tenido proble%as en
el pasado" @sto debe ser resuelto en el n;%ero (")"* y %2s all2"
(("C" on%utacin por error

on%utacin por error se refiere a la capacidad de utiliDar slo una cone/in =A<? pero ca%biar a otro si la =A< cone/in preferida falla" @sto es ;til para situaciones en las 9ue 9uieres cierto tr2fico? o la totalidad de su
el tr2fico de utiliDar una cone/in =A< especfica? a %enos 9ue no est2 disponible"
(("C"(" onfiguracin de un grupo de con%utacin por error

@n el pfSense =ebGH3? vaya a Servicios @9uilibrador de carga" @n la ficha Grupos? haga clic en" @ste le llevar2 a la piscina del e9uilibrador de carga pantalla de edicin" @n las secciones siguientes se describe cada ca%po en esta p2gina" @stos ca%pos son en gran parte los %is%os 9ue para la configuracin de la carga de billar de e9uilibrio"
(("C"("(" <o%bre
@n el ca%po <o%bre? escribir un no%bre para el grupo de con%utacin por error de hasta (A caracteres de longitud" @sto se
el no%bre utiliDado para referirse a este grupo en el ca%po de puerta de enlace en las reglas del cortafuegos" @ste ca%po es obligatorio"
(("C"(")" Descripcin
Hsted puede entrar en una descripcin a9u para su consulta" @ste ca%po se %uestra en el e9uilibrador de carga pantalla de &iscinas? y no afecta a la funcionalidad" @s opcional? pero reco%endado para entrar
algo descriptivo a9u"
(("C"("*" Tipo
Seleccione &uerta de enlace en este cuadro desplegable" Todo el e9uilibrio de carga para %ultiI=A< utiliDa el tipo de puerta de enlace"
(("C"("1" o%porta%iento
Seleccione de con%utacin por error a9u"
(("C"(">" &uerto
@ste ca%po aparece en gris cuando se utiliDa el e9uilibrio de carga de puerta de enlace"
)(A
(("C"("A" !onitor
@ste ca%po aparece en gris cuando se utiliDa el e9uilibrio de carga de puerta de enlace? ya 9ue slo 3 !& se puede utiliDar para supervisar puertas de enlace"
(("C"("B" !onitor 3&

@sta es la direccin 3& 9ue va a deter%inar si la interfaD seleccionado Jseleccionado a continuacinK est2 disponible"
Si hace ping a esta direccin no? esta interfaD se %arca co%o hacia abaMo y ya no se utiliDa hasta 9ue se
acceso de nuevo"
(("C"("C" <o%bre de interfaD

A9u se define la interfaD 9ue se usa Munto con el %onitor anterior perodo de investigacin" Dado 9ue se trata de un &iscina de con%utacin por error? la pri%era interfaD agreg ser2n utiliDados sie%pre y cuando su %onitor 3& es la respuesta a
pings" Si la pri%era interfaD a0adida a la piscina falla? la segunda interfaD en la piscina se utiliDar2"
Aseg;rese de agregar las interfaces a la piscina por orden de preferencia" @l pri%ero en la lista Sie%pre se utiliDar2 a %enos 9ue falle? %o%ento en el 9ue las interfaces restantes en la lista son retrocedido
en el fin de arriba hacia abaMo"
(("C"("," A0adir a la piscina

Despu6s de seleccionar una interfaD y elegir un %onitor de 3&? haga clic en el botn A0adir a la piscina para agregar la
interfaD"
Despu6s de a0adir la pri%era interfaD de la piscina? seleccione la segunda interfaD? seleccione su 3& supervisar y haga clic en A0adir a la piscina de nuevo" uando ter%ine de agregar interfaces a la piscina? haga clic en Guardar? luego apli9ue
a%bios"
(("," o%probacin de la funcionalidad

Hna veD 9ue la configuracin de la configuracin %ultiI=A< 9ue se desea verificar su funcionalidad" Los siguientes
secciones se describe c%o probar cada parte de su configuracin %ultiI=A<"
((","(" &rueba de con%utacin por error

Si ha configurado la con%utacin por error? tendr2 9ue probarlo despu6s de co%pletar la configuracin de asegurarse de 9ue funciona co%o usted desea" <o co%eta el error de esperar hasta 9ue uno de su 3nternet
cone/iones no tratar por pri%era veD la configuracin de con%utacin por error"
)(B
'aya a @stado @9uilibrador de carga y asegurar todas las cone/iones =A< %uestran co%o Nen lneaN
en @stado" Si no es as? verificar la configuracin 3& de vigilancia co%o se e/plic anterior%ente en este
captulo"
((","("(" reacin de un error de la =A<

Fay un n;%ero de %aneras en 9ue puede si%ular un fallo de la =A<? 9ue difieren seg;n el tipo de cone/in a 3nternet 9ue se utiliDa" &ara cual9uier tipo? en pri%er lugar tratar de desconectar el obMetivo de interfaD =A<
able @thernet desde el servidor de seguridad"

&ara las cone/iones de cable y DSL? ta%bi6n 9uerr2 tratar de apagar el %de%? y Musto desenchufar el cable coa/ial o lnea telefnica del %de%" &ara los tipos T( y otras cone/iones con un router fuera de pfSense? intente desconectar la cone/in a 3nternet desde el router? y ta%bi6n
apagar el router"
Todos los escenarios de prueba descrito probable%ente ter%inar2 con el %is%o resultado" Sin e%bargo? hay algunas circunstancias en las 9ue tratar todas estas cosas de for%a individual se encuentra una culpa 9ue no se de otro %odo notado hasta 9ue un fallo real" Hno de los %2s co%;n es usar un %onitor de 3& asignado a su %de% DSL o por cable Jen algunos casos puede no ser consciente de 9ue su puerta de enlace 3& resideK" &or eso? cuando la lnea telefnica coa/ial o se desconecta? la si%ulacin de un proveedor falta %2s 9ue un error de @thernet o %de%? el %onitor de ping todava tiene 6/ito? ya 9ue es ping el %de%" De lo 9ue te diMe pfSense para supervisar? la cone/in sigue siendo hasta? por lo 9ue no deMar2 de %2s a;n si la cone/in es real%ente abaMo" @/isten otros tipos de fracaso 9ue de igual for%a puede
slo pueden detectarse %ediante pruebas de todas las posibilidades individuales para el fracaso"
((","(")" 'erificacin del estado de la interfaD

Despu6s de crear un fallo de la =A<? volver a cargar el @statuto @9uilibrador de carga de la pantalla para co%probar el actual
de estado"
((",")" 'erificacin de la funcionalidad de e9uilibrio de carga

@n esta seccin se describe c%o co%probar la funcionalidad de la configuracin de e9uilibrio de carga"
((",")"(" 'erificacin de e9uilibrio de carga FTT&

La for%a %2s f2cil de verificar una configuracin de e9uilibrio de carga FTT& es visitar uno de los sitios web 9ue %uestra la direccin 3& p;blica a 9u6 atenerse" Hna p2gina en el sitio pfSense est2 disponible para este propsito [\ Fttp:77pfsense"org7ip"php? S ta%bi6n hay un sinn;%ero de otros sitios 9ue sirven a la
)(C
%is%o propsito" #;s9ueda de N4cu2l es %i direccin 3&N y encontrar2 nu%erosos sitios web 9ue
%ostrar lo 9ue la direccin 3& p;blica de la solicitud FTT& est2 viniendo" La %ayora de estos sitios tienden a
estar lleno de anuncios de spa%? por lo 9ue ofrecen varios sitios 9ue si%ple%ente le dice a su direccin 3&" FTT& sitios para encontrar su direccin 3& p;blica Uhttp:77www"pfsense"org7ip"php Uhttp:77files"pfsense"org7ip"php Uhttp:77cvs"pfsense"org7ip"php Uhttp:77www"bsdperi%eter"co%7ip"php FTT&S sitio para encontrar su direccin 3& p;blica Uhttps: 7 7 portal"pfsense"org 7 ip"php
Si se carga uno de estos sitios? y actualiDar su navegador en varias ocasiones? debe consultar a su ca%biar la direccin 3& si el e9uilibrio de carga de configuracin es correcta" <ota: si usted tiene cual9uier otra tr2fico de la red? es probable 9ue no vea a su ca%bio de direccin 3& en cada actualiDacin de la p2gina" ActualiDa la p2gina )+ o *+ veces y usted debe ver el ca%bio de 3& por lo %enos un par de veces" Si el 3& no ca%bia? trate de varios sitios diferentes? y aseg;rese de 9ue su navegador es en realidad su inter6s la p2gina de nuevo? y no regresar algo de su cach6 o el uso de una cone/in per%anente a el servidor" @li%inar %anual%ente el cach6 y tratando de %;ltiples navegadores web son cosas buenas para
antes de intentar solucionar los proble%as de configuracin del e9uilibrador de carga adicional" Hso de riDo? co%o se describe
en Seccin (B")"A? N'erificacin de balanceo de cargaN es una %eMor alternativa? ya 9ue garantiDa la cach6 y
cone/iones persistentes no tendr2 ning;n i%pacto en los resultados"
((",")")" &rueba de e9uilibrio de carga con traceroute

La utilidad traceroute Jo tracert en =indowsK le per%ite ver la trayectoria de la red llevado a un deter%inado
destino" 'er Seccin C"1")? NHtiliDacin de tracerouteN para obtener %2s infor%acin sobre el uso de traceroute"
((",")"*" Hso de los gr2ficos de tr2fico

@l tr2fico en tie%po real los gr2ficos? en @stado Gr2fico del tr2fico? son ;tiles para %ostrar el tie%po real
rendi%iento de las interfaces =A<" Slo puede %ostrar un gr2fico a la veD por la ventana del navegador?
pero puede abrir ventanas o pesta0as adicionales en el navegador y de%ostrar a todos sus interfaces =A< al %is%o tie%po" La caracterstica Dashboard en pfSense )"+ Jta%bi6n disponible co%o un pa9uete beta (")K
per%ite la visualiDacin si%ult2nea de %;ltiples gr2ficos de tr2fico en una sola p2gina"
)(,
Los gr2ficos de tr2fico ..D en @stado Los gr2ficos son ;tiles para la ..D largo plaDo e histrico evaluacin de su utiliDacin =A< individuales"
<ota
Su uso de ancho de banda no puede ser e/acta%ente igual distribuidos? ya 9ue las cone/iones si%ple%ente se dirigi en for%a de round robin sin tener en cuenta para el uso del ancho de banda"
(("(+" &oltica de enruta%iento? el e9uilibrio de carga y @strategias de con%utacin por error

Hsted tendr2 9ue deter%inar la configuracin %ultiI=A< 9ue %eMor se adapte a las necesidades de su
el %edio a%biente" @sta seccin proporciona una orientacin sobre los obMetivos co%unes? y c%o se logra
con pfSense"
(("(+"(" La agregacin de ancho de banda

Hno de los deseos pri%arios con %ultiI=A< es la agregacin de ancho de banda" on el e9uilibrio de carga? pfSense puede ayudar a lograr esto" Fay? sin e%bargo? una advertencia" Si tiene dos > !bps circuitos =A<? no se puede obtener (+ !bps de rendi%iento con una cone/in de cliente ;nico" ada cone/in individual debe estar atado a un solo =A< especfica" @sto es cierto para cual9uier %ultiI=A< solucin? no se puede agregar el ancho de banda de dos cone/iones a 3nternet en una sola gran NTuboN sin la participacin de la 3S&" on el e9uilibrio de carga? ya 9ue las cone/iones individuales e9uilibrado en una for%a de round robin? puede alcanDar los (+ !bps de transferencia de > !bps utiliDando dos circuitos? pero no con una sola cone/in" Las aplicaciones 9ue utiliDan %;ltiples cone/iones? tales co%o aceleradores de descargar %uchos? ser2 capaD de lograr la capacidad de rendi%iento co%binado de los
dos o %2s cone/iones"

@n las redes con nu%erosos e9uipos internos el acceso a 3nternet? balanceo de carga per%itir2 a alcanDar cerca del rendi%iento total por el e9uilibrio de las cone/iones internas de %uchos
todas las interfaces =A<"
(("(+")" La segregacin de los servicios prioritarios

@n algunas situaciones? puede 9ue tenga una cone/in fiable a 3nternet de alta calidad 9ue ofrece baMa ancho de banda? o los altos costos de las transferencias e/cesivas? y otra cone/in 9ue es r2pido pero de %enor calidad J%ayor latencia? Mitter %2s o %enos fiableK" @n estas situaciones? se puede segregar los servicios entre las dos cone/iones a 3nternet de su prioridad" Servicios de alta prioridad puede incluir 'o3&?
))+
el tr2fico destinado a una red especfica? co%o un proveedor de aplicaciones e/ternaliDadas? algunos especficos
protocolos utiliDados por las aplicaciones crticas? entre otras opciones" #aMa el tr2fico de prioridad co%;n incluye todo el tr2fico per%itido 9ue no coincide con la lista de tr2fico de alta prioridad" Hsted puede configurar su poltica de reglas de enruta%iento de tal %anera 9ue dirigir el tr2fico de alta prioridad a la alta calidad
cone/in a 3nternet y el tr2fico de %enor prioridad a la cone/in de %enor calidad"

:tro eMe%plo de un escenario si%ilar es conseguir una cone/in a 3nternet dedicada a la calidad
servicios crticos? co%o 'o3&? y slo %ediante esa cone/in para los servicios"
(("(+"*" Slo de con%utacin por error

Fay algunas situaciones en las 9ue es posible 9ue desee utiliDar slo con%utacin por error" Algunos usuarios han pfSense una cone/in secundaria de copia de seguridad de 3nternet con un l%ite de ancho de banda baMo? y slo 9uiere usar esa cone/in si su cone/in pri%aria falla? y slo %ientras se est2 abaMo" piscinas de con%utacin por error le per%iten
para lograr esto"

:tro uso para las piscinas de con%utacin por error es cuando se 9uiere garantiDar un cierto protocolo o de destino
sie%pre utiliDa una sola =A<"
(("(+"1" osto de e9uilibrio de carga desigual

@n pfSense (")? no puede configurar un valor de peso o de preferencia a las =A<" Sin e%bargo? esto no no significa e9uilibrar la carga desigual de los costos no pueden ser alcanDados" @sto es un poco de un truco? pero funciona
as" Si usted tiene =A< y =A<)? =A< y a0adir a la piscina dos veces? y una veD =A<)? =A<
obtener dos terceras partes del tr2fico total y =A<) recibir2 un tercio" La siguiente tabla %uestra algunos
las co%binaciones posibles y la distribucin porcentual en cada =A<" =A< casos * ) * 1 casos =A<) ) ( ( ( =A< de carga A+] AB] B>] C+] carga =A<) 1+] **] )>] )+]
Tabla ((")" Desigual carga de los costos de e9uilibrio

Figura ((")? Ncarga desigual e9uilibrio de costes de configuracinN %uestra un saldo de AB] en la =A< y **] en una =A< :&T lla%ado DSL"
))(
Figura ((")" Desigual carga de los costos de e9uilibrio de configuracin

Tenga en cuenta 9ue esta distribucin est2 estricta%ente e9uilibrar el n;%ero de cone/iones? 9ue no tiene
rendi%iento de la interfaD en cuenta" @sto significa 9ue su uso de ancho de banda no es necesario ser
distribuidos por igual? aun9ue en la %ayora de los entornos 9ue resulta ser %2s o %enos distribuidos de la configurado con el tie%po" @sto ta%bi6n significa 9ue si una interfaD se ha cargado a su capacidad con un solo alto con el rendi%iento? cone/iones adicionales seguir2 siendo dirigido a esa interfaD" Lo ideal sera 9ue 9uisiera 9ue la distribucin de las cone/iones basadas en los pesos de interfaD y el rendi%iento actual de la interfaD" @sta%os estudiando las opciones para este escenario ideal para las versiones pfSense futuro?
aun9ue los %edios actuales de e9uilibrio de carga funciona %uy bien para la %ayora de todos los a%bientes"
(("((" !ultiI=A< en un palo

@n el %undo del router? isco y otros se refieren a un router 'LA< co%o un Nrouter en un paloN? ya 9ue puede ser un router funciona%iento con una sola cone/in de red fsica" A%pliando esto? pode%os han %ultiI=A< en un palo con 'LA< y un con%utador ad%inistrado capaD de C+)"(9 trunLing" La %ayora de las i%ple%entaciones de correr %2s de > =A< utiliDan esta %etodologa para li%itar el n;%ero
)))
de interfaces fsicas 9ue se e/igen en el firewall" @n ese despliegue? la =A< todos residen en un
interfaD fsica en el servidor de seguridad? con la red interna JsK sobre otras interfaces fsicas"
Figura (("*? N!ultiI=A< en un paloN ilustra este tipo de i%ple%entacin"
Figura (("*" !ultiI=A< en un palo
(("()" Solucin de proble%as

@n esta seccin se describen algunos de los proble%as %2s co%unes con %ultiI=A< y c%o
solucionarlos"
(("()"(" 'erifi9ue su estado de configuracin

@l error %2s co%;n en la configuracin %ultiI=A< es una configuracin incorrecta regla de firewall" .ecuerde 9ue la pri%era regla 9ue coincida gana I cuales9uiera otras nor%as se ignoran" Si se agrega una poltica regla de enruta%iento por debaMo de la nor%a por defecto de LA<? no hay tr2fico sie%pre coincidir2 con esta regla? ya 9ue coincidir2 con
la regla de LA< pri%er i%pago"
))*
Si la regla de pedidos y la configuracin parece correcta? puede ayudar a habilitar el registro en la

reglas" 'ea la seccin de solucin de proble%as en el captulo de firewall para obtener %2s infor%acin" Aseg;rese de 9ue el
poltica apropiada regla de enruta%iento pasa el tr2fico"
(("()")" #alanceo de carga no funciona

@n pri%er lugar? garantiDar la regla de firewall est2 e%pareMado dirige el tr2fico a la piscina de e9uilibrio de carga" Si las reglas son correctas? y el tr2fico es 9ue coincidan con una regla con la piscina e9uilibrador de carga especificado? co%pruebe 9ue todas las cone/iones de %ostrar co%o en lnea en @stado @9uilibrador de carga" one/iones %arcado co%o Fuera de lnea no se utiliDar2" &or ;lti%o? este puede ser un proble%a no con la configuracin? pero con la %etodologa de ensayo" @n lugar de probar con un navegador web? pruebe con riDos co%o se describe
en Seccin (B")"A? N'erificacin de balanceo de cargaN"
(("()"*" on%utacin por error no funciona

Si los proble%as se producen cuando una cone/in a 3nternet falla? nor%al%ente es por9ue el %onitor 3& es todava responder por lo 9ue el piensa 9ue el servidor de seguridad de cone/in est2 disponible" o%probar estado @9uilibrador de carga para verificar" &uede 9ue est6 utiliDando la direccin 3& de su %de% co%o un %onitor de 3&? 9ue nor%al%ente sigue
ser accesibles incluso si la cone/in a 3nternet no funciona"
))1
aptulo ()" .edes privadas virtuales

Las '&<s proporcionan un %edio de t;neles de tr2fico a trav6s de una cone/in encriptada? evitando 9ue se
ser vistos o %odificados en tr2nsito" pfSense ofrece tres opciones de '&< con 3&Sec? :pen'&< y &&T&" @n este captulo se ofrece una visin general del uso de '&<? los pros y los contras de cada tipo de '&< en pfSense? y c%o decidir cu2l es la %eMor opcin para su entorno" Los captulos siguientes
van a discutir cada opcin '&< en detalle"
()"(" despliegues co%unes

Fay cuatro usos co%unes de las capacidades de '&< de pfSense? cada uno cubierto en esta seccin"
()"("(" Sitio para conectividad de sitio

Sitio para conectividad de sitio se utiliDa principal%ente para conectar redes en %;ltiples ubicaciones fsicas? donde una dedicada? cone/in per%anente entre los lugares se re9uiere" @sto es con frecuencia
utiliDa para conectar sucursales con una oficina principal? conectar las redes de socios de negocios? o conectar su red a otra ubicacin? co%o un entorno de coIlocaliDacin" Antes de la
proliferacin de la tecnologa '&<? los circuitos privados =A< eran la ;nica solucin para conectar varias ubicaciones" @stas tecnologas incluyen un punto a otro de circuitos dedicados? con%utacin de pa9uetes tecnologas co%o Fra%e .elay y AT!? y? %2s reciente%ente? !&LS J!ultiprotocol Label SwitchingK y fibra y cobre servicios basados en @thernet %etropolitanas" Si bien este tipo de conectividad =A< privadas ofrecen cone/iones fiables? baMa latencia? 9ue ta%bi6n son %uy costosas con recurrencia de cuotas %ensuales" La tecnologa '&< ha crecido en popularidad? ya 9ue proporciona la %is%o lugar seguro para la conectividad de sitio usando cone/iones de 3nternet 9ue son general%ente %ucho %enos
costoso"
()"("("(" Li%itaciones de la conectividad '&<

@n algunas redes? slo un circuito privado =A< puede cu%plir los re9uisitos de ancho de banda o latencia" La latencia es general%ente el factor %2s i%portante" Hn punto a punto del circuito T( tiene una latencia de e/tre%o a e/tre%o de alrededor de *"> %s? %ientras 9ue la latencia hasta el pri%er salto en el 3S& de la red general? ser2 a por lo tanto si no %2s" Servicios !etro @thernet tienen un e/tre%o a otro de latencia de alrededor de ("* %s? por lo general %enos de la latencia hasta el pri%er salto de su proveedor de 3nternet de la red" 5ue variar2 algunos basados de la distancia geogr2fica entre los sitios" Los n;%eros indicados son tpicos de los sitios dentro de un par de cientos de Lil%etros uno del otro" '&< suelen ver la latencia de alrededor de *+ a A+ %s dependiendo en las cone/iones a 3nternet en el uso y la distancia geogr2fica entre los lugares" Hsted puede %ini%iDar la latencia y %a/i%iDar el rendi%iento de '&< utiliDando el %is%o proveedor para todas sus '&<
lugares? pero esto no sie%pre es factible"
))>
.edes privadas virtuales
Algunos protocolos funcionan %uy %al con la latencia inherente a las cone/iones a trav6s de 3nternet"
co%partir archivos de !icrosoft JS!#K es un eMe%plo co%;n" @n subI(+ %s de latencia? se dese%pe0a bien" A los *+ %s o %2s? es lento? y en %2s de >+ %s es dolorosa%ente lenta? causando frecuentes se blo9uea al navegar por carpetas? guardar archivos? etc :btener un listado de directorio si%ple re9uiere nu%erosas cone/iones de ida y vuelta entre el cliente y el servidor? lo 9ue agrava considerable%ente el retraso cada veD %ayor de la cone/in" @n =indows 'ista y Server )++C? !icrosoft introduMo S!# )"+? 9ue incluye nuevas capacidades para abordar el proble%a descrito a9u" S!# )"+ per%ite el envo de %;ltiples acciones en una sola solicitud? as co%o la capacidad de las solicitudes de tuberas? es decir? el cliente puede enviar solicitudes adicionales sin esperar la respuesta de antes peticiones" Si su red utiliDa e/clusiva%ente 'ista y Server )++C o siste%as operativos %2s recientes de este no ser2 una preocupacin? pero dada la rareDa de estos entornos? lo cual suele ser una consideracin"
Dos eMe%plos %2s de los protocolos sensibles a la latencia son !icrosoft .e%ote DesLtop &rotocol
J.D&K y el 3 A de itri/" <o es una actuacin clara y la diferencia de respuesta con estos protocolos de entre los subI)+ %s tie%po de respuesta se encuentran tpica%ente en una red =A< privada? y el >+IA+ b
veces %s respuesta co%;n a las cone/iones '&<" Si los usuarios re%otos el trabaMo publicado en
e9uipos de escritorio 9ue utiliDan dispositivos de cliente ligero? habr2 una diferencia de rendi%iento notable entre un privadas =A< y '&<" Sa sea 9ue la diferencia de rendi%iento es lo suficiente%ente i%portantes co%o para Mustificar la e/pensas de una =A< privada variar2 de un entorno a otro" Fe trabaMado en fina entornos de cliente 9ue acept el i%pacto en el rendi%iento? y en otros en los 9ue se considera
inaceptable"
&uede haber otras aplicaciones de red en su entorno 9ue son sensibles a la latencia? donde la reduccin del rendi%iento de una '&< es inaceptable" : usted puede tener todas las ubicaciones dentro de un relativa%ente pe9ue0a 2rea geogr2fica con el %is%o proveedor de 3nternet? donde el rendi%iento de sus rivales '&< de cone/iones =A< privada" @l rendi%iento es una consideracin i%portante al planear una
solucin '&<"
()"(")" Acceso re%oto

'&< de acceso re%oto per%iten a los usuarios conectarse de for%a segura a su red desde cual9uier lugar donde una cone/in a 3nternet est2 disponible" @sto es de uso %2s frecuente para los trabaMadores %viles Ja %enudo conocido co%o N.oad =arriorsNK? cuyo trabaMo re9uiere de viaMes frecuentes y poco tie%po en la oficina? y dar a los e%pleados la posibilidad de trabaMar desde casa" Ta%bi6n puede per%itir a los contratistas o proveedores
acceso te%poral a la red"
()"("*" &roteccin para redes inal2%bricas

Hna '&< puede proporcionar una capa adicional de proteccin para sus redes inal2%bricas" @sta proteccin es doble? ya 9ue proporciona una capa adicional de cifrado para el tr2fico 9ue atraviesa su red inal2%brica
))A
red? y puede ser desplegado de for%a 9ue re9uiere autenticacin adicional antes de
el acceso a los recursos de la red est2 per%itido" @sto se i%ple%enta en su %ayora los %is%os 9ue el acceso re%oto
'&<" @sto se trata en Seccin (C"A? Nla proteccin adicional para su red inal2%bricaN"
()"("1" Asegure rel6

'&< de acceso re%oto se puede configurar de una %anera 9ue pasa todo el tr2fico desde el siste%a cliente trav6s de la '&<" @sto es bueno tener al utiliDar redes no confiables? tales co%o puntos de acceso inal2%brico co%o le per%ite i%pulsar todo el tr2fico 3nternet a trav6s de la '&<? y salen a 3nternet desde su '&< servidor" @sto lo protege de una serie de ata9ues 9ue la gente podra estar intentando de confianDa redes? a pesar de 9ue tiene un i%pacto en el rendi%iento? ya 9ue a0ade el l;pulo y la latencia adicional a todas sus cone/iones" @se i%pacto es %ni%o por lo general con conectividad de alta velocidad cuando se
est2n relativa%ente cerca geogr2fica%ente"
()")" @legir una solucin '&< para su el %edio a%biente

ada solucin '&< tiene sus pros y sus contras" @n esta seccin se cubren las principales consideraciones en elegir una solucin de '&<? proporcionando la infor%acin necesaria para to%ar una decisin para su
el %edio a%biente"
()")"(" 3nteroperabilidad
Si necesita una solucin para interoperar con un firewall o un router producto de otro proveedor? 3&sec suele ser la %eMor opcin ya 9ue se incluye con cada dispositivo '&< con capacidad" Ta%bi6n %antiene 9ue de ser encerrados en cual9uier servidor de seguridad particular? o una solucin '&<" &ara el sitio de la interoperabilidad? para conectividad de sitio? 3&sec suele ser la ;nica opcin" :pen'&< es interoperable con otros pocos cortafuegos envasados 7 soluciones '&<? pero no %uchos" La interoperabilidad en este sentido no es aplicable
con &&T&? ya 9ue no se puede utiliDar para cone/iones de sitio a sitio"
()")")" Autenticacin de las consideraciones

De las opciones disponibles para la '&< en pfSense (")"/? slo ad%ite &&T& no%bre de usuario y contrase0a autenticacin" 3&sec y :pen'&< dependa ;nica%ente de claves co%partidas o certificados" :pen'&<
certificados pueden ser protegidos con contrase0a? en cuyo caso un certificado en peligro por s sola no es
adecuada para la cone/in a la '&<" La falta de autenticacin adicional puede ser una garanta riesgo de 9ue un siste%a de p6rdida? robo? o co%pro%etida 9ue contiene un %edio clave o certificado de 9uien tiene acceso al dispositivo puede conectarse a la '&<" Sin e%bargo? aun9ue no es ideal? no es tan grande
))B
riesgo 9ue pueda parecer" Hn siste%a co%pro%etido puede f2cil%ente tener instalado un capturador de teclado para capturar
la infor%acin de no%bre de usuario y contrase0a y f2cil derrotar a esa proteccin" @n el caso de p6rdida o siste%as de robo de claves 9ue contiene? si el disco duro no est2 cifrado? las claves se puede utiliDar para conectarse" Sin e%bargo la adicin de autenticacin de contrase0a no es de gran ayuda no sea? co%o suele ser el %is%o no%bre de usuario y contrase0a se utiliDa para iniciar sesin en el ordenador? y la %ayora de las contrase0as se %anipulable en cuestin de %inutos utiliDando hardware %oderno cuando se tiene acceso a un disco sin cifrar" ontrase0a la seguridad es ta%bi6n con frecuencia por los usuarios co%pro%etidos con notas sobre su ordenador port2til o en su ordenador port2til
caso con la contrase0a escrita"

@n pfSense )"+? todas las opciones disponibles de soporte '&< no%bre de usuario y contrase0a de autenticacin en
Ade%2s de co%partir las claves y certificados"
()")"*" Facilidad de configuracin

<inguna de las opciones disponibles de '&< son %uy difciles de configurar? pero hay diferencias
entre las opciones" &&T& es %uy sencillo de configurar y es el %2s r2pido y %2s f2cil de conseguir de trabaMo? pero tiene desventaMas considerables en otras 2reas" 3&sec tiene una configuracin de nu%erosos
opciones y puede ser difcil para los no iniciados" :pen'&< re9uiere el uso de certificados de de acceso re%oto en la %ayora de entornos? 9ue viene con su propia curva de aprendiDaMe y puede ser una ardua poco de %aneMar" 3&sec y :pen'&< son opciones preferibles en %uchos escenarios para otros
raDones e/puestas en este captulo? pero la facilidad de configuracin no es uno de sus puntos fuertes"
()")"1" !ultiI=A< capaD

Si desea 9ue los usuarios tienen la posibilidad de conectarse a %;ltiples cone/iones =A<? &&T& no es una opcin por la for%a en 9ue funciona G.@ en co%binacin con la for%a en pfSense %ultiI=A<
funciones" A%bos 3&sec y :pen'&< puede ser utiliDado con %ultiI=A<"
()")">" liente disponibilidad

&ara '&<s de acceso re%oto? la disponibilidad de software de cliente es una consideracin pri%ordial" &&T& la ;nica opcin con el apoyo de cliente integrado en la %ayora de siste%as operativos? pero las tres opciones son
%ultiplatafor%a co%patible"
()")">"(" 3&sec
clientes 3&sec est2n disponibles para =indows? !ac :S G? #SD y Linu/ a pesar de 9ue no est2n incluidos en el siste%a operativo a e/cepcin de algunas distribuciones de Linu/" Hna buena opcin gratuita para =indows es la Do%ada suave cliente [http:77www"shrew"net7\" !ac :S G incluye soporte 3&sec? pero no la interfaD de usuario a%igable
para su utiliDacin" Fay opciones gratuitas y co%erciales disponibles con una interfaD gr2fica de usuario f2cil de usar"
))C
@l cliente de isco 3&sec incluye con el i&hone y el i&od Touch no es co%patible con pfSense 3&sec"
()")">")" :pen'&<
:pen'&< tiene clientes para =indows? !ac :S G? todos los #SD? Linu/? Solaris y
=indows !obile? pero el cliente no viene preIinstalado en cual9uiera de estos siste%as operativos"
()")">"*" &&T&
clientes &&T& se incluyen en todas las versiones de =indows desde =indows ,> :S. )? todos los !ac :S versin G? i&hone y i&od Touch? y los clientes est2n disponibles para todos y cada uno de los #SD
principales distribuciones de Linu/"
()")"A" Firewall de a%istad

protocolos de '&< puede causar dificultades a %uchos cortafuegos y dispositivos <AT" @sto se debe principal%ente relevantes para la conectividad de acceso re%oto? donde los usuarios estar2n detr2s de un gran n;%ero de servidores de seguridad
sobre todo fuera de su control con diferentes configuraciones y capacidades"
()")"A"(" 3&sec
3&sec utiliDa tanto el puerto HD& >++ y el protocolo @S& para funcionar" Algunos servidores de seguridad no %aneMan @S& tr2fico? as 9ue se trata de <AT? ya 9ue el protocolo no tiene n;%eros de puerto T & co%o y HD& 9ue lo hacen f2cil%ente rastreables por los dispositivos <AT" clientes 3&sec detr2s de <AT puede re9uerir <ATIT para la funcin? 9ue encapsula el tr2fico de pesetas a trav6s del puerto HD& 1>++" @n la actualidad? pfSense no es co%patible con <ATIT? para 9ue los clientes detr2s de <AT no puede funcionar en algunos casos" Fay una
advertencia a la falta de soporte de <ATIT? discutido en Seccin (*"B? N3&sec y <ATITN"
()")"A")" :pen'&<
:pen'&< es la %ayora de firewalls de las opciones de '&<" &uesto 9ue utiliDa T & o HD& y se no se ve afectado por cual9uiera de las funciones de <AT co%unes? co%o la reescritura de los puertos de origen? es raro encontrar un cortafuegos 9ue no funcionar2 con :pen'&<" La ;nica dificultad es posible si el protocolo y puerto en uso est2 blo9ueado" @s posible 9ue desee utiliDar un puerto co%;n co%o HD& >* Jpor lo general D<SK? o T &
C+ Jnor%al%ente FTT&K o 11* Jpor lo general FTT&SK o para evadir la %ayora de filtrado de salida"
()")"A"*" &&T&
&&T& se basa en un canal de control 9ue se eMecutan en el puerto T & (B)* y utiliDa el protocolo G.@ para
trans%isin de datos" G.@ es con frecuencia blo9ueado o roto por los cortafuegos y dispositivos <AT" Ta%bi6n es
)),
suMeto a las li%itaciones <AT en %uchos firewalls incluyendo pfSense Jdescrito en Seccin (1"1?
NLi%itaciones &&T&K" &&T& funciona en %uchos a%bientes? pero los usuarios se encontrar2n con probabilidad lugares en los 9ue no funciona" @n algunos casos esto puede ser un proble%a i%portante la prevencin de la uso de &&T&" A %odo de eMe%plo? algunos proveedores de datos inal2%bricos *G asignar direcciones 3& privadas a los clientes? y no bien <AT tr2fico G.@? por lo 9ue el uso de &&T& a trav6s de *G i%posible en algunos
redes"
()")"B" riptogr2fica%ente segura

Hna de las funciones crticas de una '&< para garantiDar la confidencialidad de los datos trans%itidos" &&T& ha sufrido varios proble%as de seguridad en el pasado? y tiene algunos defectos de dise0o 9ue lo convierten en un d6bil solucin '&<" La situacin no es tan grave co%o algunos lo hacen ser? aun9ue el seguridad de &&T& depende de los usuarios la eleccin de contrase0as seguras" o%o la %ayora de usuarios no utiliDar contrase0as seguras? o seguir las %alas pr2cticas? tales co%o escribir las contrase0as? &&T& %2s suMetos a co%pro%iso de las otras opciones" &&T& sigue siendo a%plia%ente utiliDado? aun9ue si debe ser un te%a de debate" Las contrase0as seguras sie%pre debe ser e%pleado? lo 9ue li%ita el riesgo" Sie%pre 9ue sea posible? no reco%enda%os el uso de &&T&" Algunos i%ple%entarlo sin tener en cuenta por9ue
del factor de conveniencia"

3&sec con claves preIco%partidas se puede ro%per si una clave d6bil es utiliDado" Htilice una clave fuerte? por lo %enos (+
caracteres de longitud 9ue contiene una %eDcla de %ay;sculas y %in;sculas? n;%eros y s%bolos" cifrado :pen'&< se ve co%pro%etida si el &Q3 o claves co%partidas se dan a conocer"
()")"C" .esu%en
Tabla ()"(? NFunciones y caractersticas seg;n el tipo de '&<N %uestra una visin general de la
consideraciones previstas en esta seccin"
Tipo de '&<
3&sec :pen'&< &&T&
liente A%plia%ente rypto !ultiI=A<I incluidos en interoperables gr2fica%ente la %ayora de siste%as seguro s operativos s <o s <o <o s s s n7a <o <o
Servidor de seguridad a%biente no Jsin <ATITK s %2s
Tabla ()"(" aractersticas y propiedades por Tipo de '&<
)*+
()"*" '&<s y reglas de firewall

'&<s y las reglas del firewall se %aneMan algo inco%patible en pfSense (")"/" @n esta seccin
describe c%o se %aneMan las reglas del cortafuegos para cada una de las opciones individuales de '&<" &ara el a0ade auto%2tica%ente las reglas discutidas a9u? puede deshabilitar la incorporacin de esas nor%as por los che9ues
Deshabilitar todas las reglas '&< agreg auto%2tica en Siste%a AvanDado"
()"*"(" 3&sec
.eglas para el tr2fico 3&sec 9ue llegan a la interfaD =A< se especifica de for%a auto%2tica per%ite co%o se describe en Seccin A">"(">? N3&secN" Tr2fico cerrada dentro de una cone/in 3&sec activa
controla a trav6s de nor%as definidas por el usuario en la pesta0a Servidor de seguridad de 3&sec en <or%as"
()"*")" :pen'&<
:pen'&< no agrega auto%2tica%ente las nor%as de interfaces =A<? pero lo agrega auto%2tica%ente
nor%as 9ue per%itan el tr2fico de los clientes autenticados? frente al co%porta%iento de 3&Sec y &&T&"
()"*"*" &&T&
&&T& agrega auto%2tica%ente nor%as 9ue per%itan T & (B)* y el tr2fico G.@ en el 3& =A<" Tr2fico de conectar clientes &&T& se controla a trav6s de nor%as definidas por el usuario en la pesta0a Servidor de seguridad de &&T& en
<or%as? si%ilares a 3&sec"
)*(
aptulo (*" 3&sec

3&Sec '&< proporciona una i%ple%entacin basada en est2ndares 9ue es co%patible con una a%plia ga%a de
clientes para la conectividad %vil? y otros cortafuegos y routers para el sitio de la conectividad del sitio" @s co%patible con nu%erosos dispositivos de terceros y se utiliDa en la produccin de dispositivos 9ue van de los routers LinLsys grado de consu%o todo el ca%ino hasta a 3#! D 7 :S %ainfra%es? y todo i%aginable en el %edio" @n este captulo se describen las opciones de configuracin disponibles? y c%o
configurar diferentes escenarios co%unes"

&ara una discusin general de los distintos tipos de redes privadas virtuales disponibles en pfSense y sus pros y sus contras?
ver aptulo ()? .edes privadas virtuales"
(*"(" Ter%inologa de 3&sec

Antes de ahondar de%asiado en la configuracin? hay algunos t6r%inos 9ue se utiliDan en todo el captulo 9ue necesitan una e/plicacin previa" :tros t6r%inos 9ue se e/plican con %2s detalle sobre su
su uso en las opciones de configuracin"
(*"("(" Asociacin de Seguridad

Hna Asociacin de Seguridad JSAK es un t;nel de una va a trav6s del cual el tr2fico cifrado viaMar2" ada t;nel 3&sec activa tendr2 dos asociaciones de seguridad? uno para cada direccin" @l onseMo de Seguridad Las asociaciones son de configuracin entre las direcciones 3& p;blicas para cada e/tre%o" @l conoci%iento de estos
asociaciones de seguridad activas se %antiene en la #ase de Datos de Seguridad de la Asociacin JSADK"
(*"(")" &oltica de Seguridad

Hna &oltica de Seguridad !anges las especificaciones co%pletas del t;nel 3&Sec" Al igual 9ue con seguridad Asociaciones? se trata de un solo sentido? as 9ue para cada t;nel habr2 uno en cada direccin" @stos las entradas se %antienen en la #ase de Datos de Seguridad o%;n JS&DK" @l S&D se rellena con dos entradas para cada cone/in del t;nel tan pronto co%o un t;nel? se a0ade" &or el contrario? las entradas SAD slo e/isten en
6/ito de la negociacin de la cone/in"
(*"("*" Fase (
Fay dos fases de la negociacin de un t;nel 3&sec" Durante la Fase (? los dos e/tre%os instalacin de un t;nel de un canal seguro entre los e/tre%os utiliDando 3nternet Security Association y Qey !anage%ent &rotocol J3SAQ!&K para negociar las entradas SA y las claves de ca%bio" @ste
)*)
3&sec
Ta%bi6n incluye la autenticacin? control de los identificadores y la co%probacin de las claves preI co%partida J&SQK o
certificados" uando se haya co%pletado la Fase ( los dos e/tre%os pueden interca%biar infor%acin de for%a segura? sino 9ue han
<o se ha decidido lo 9ue el tr2fico atravesar2 el t;nel o la for%a en 9ue se cifrar2"
(*"("1" Fase )
@n la Fase )? los dos e/tre%os de negociar la for%a de codificar y enviar los datos para los anfitriones privado basado en polticas de seguridad" @sta es la parte 9ue construye el t;nel real 9ue se utiliDa para transferir datos entre los puntos finales y clientes cuyo tr2fico es %aneMado por los routers" Si la Fase ) se ha
ha establecido con 6/ito? el t;nel estar2 listo y preparado para su uso"
(*")" @legir opciones de configuracin

3&sec ofrece nu%erosas opciones de configuracin? 9ue afectan el rendi%iento y la seguridad de su one/iones 3&sec" Siendo realistas? poco i%porta 9ue las opciones 9ue eliMa a9u el tie%po 9ue no uso de D@S? y el uso de una clave fuerte preIco%partida? a %enos 9ue est6 protegiendo algo tan valioso 9ue un adversario con %uchos %illones de dlares en poder de procesa%iento est2 dispuesto a dedicar 9ue para ro%per con su 3&sec" 3ncluso en ese caso? no es probable una %anera %2s f2cil y %ucho %2s barato 9ue
entrar en su red y lograr el %is%o resultado final Jingeniera social? por eMe%ploK"
(*")"(" 3nterfaD de seleccin

@n %uchos casos? la opcin de interfaD para un t;nel 3&Sec se =A<? ya 9ue los t;neles son conectarse a sitios re%otos" Sin e%bargo? hay un %ontn de e/cepciones? el %2s co%;n de lo 9ue
A continuacin se describen"
(*")"("(" A.& entornos

@n los entornos de A.& J aptulo )+? Firewall de redundancia 7 alta disponibilidadK? ual9uier A.& direcciones 3& virtuales ta%bi6n est2n disponibles en el %en; desplegable de la interfaD" Hsted debe elegir el adecuada direccin de las carpas para la =A< oa cual9uier otro lugar del t;nel 3&Sec ter%inar2 en la siste%a de pfSense" Al utiliDar la direccin 3& A.&? asegura 9ue el t;nel 3&Sec se %aneMar2 por el %ie%bro principal del grupo A.&? as 9ue incluso si el firewall principal es hacia abaMo? el t;nel
se conectar2 a cual9uier %ie%bro de la A.& cl;ster se ha hecho cargo"
(*")"(")" !ultiI=A< entornos

uando se utiliDa !ultiI=A< J aptulo ((? !;ltiples cone/iones =A<K? Hsted debe escoger el
adecuada eleccin de la interfaD =A< del tipo al 9ue se conectar2 el t;nel" Si
)**
3&sec
esperar la cone/in para entrar a trav6s de =A<? eliMa =A<" Si el t;nel debe utiliDar otro =A<? elegir cual9uier territorio palestino ocupado de interfaD =A< es necesario"
(*")"("*" 3nal2%brico de proteccin interna

Si va a configurar 3&Sec para a0adir cifrado a una red inal2%brica? co%o se describe en Seccin (C"A")? Nproteccin adicional con '&<N? usted debe elegir la interfaD 9ue :&T corresponde a la tarMeta inal2%brica" Si est2 usando un punto e/terno de acceso inal2%brico? escoger el
pfSense interfaD se puede utiliDar para conectarse al punto de acceso inal2%brico"
(*")")" Los algorit%os de cifrado

Fay seis opciones para los algorit%os de cifrado en tanto la fase ( y fase )" D@S JData
@ncryption StandardK se considera inseguro debido a su pe9ue0o ta%a0o >A bits clave? y nunca debe utiliDarse a %enos 9ue se ven obligados a conectar con un dispositivo re%oto 9ue slo es co%patible con D@S" La opciones restantes son considerados criptogr2fica%ente seguros" 4 u2l elegir depende de lo 9ue dispositivo 9ue se conecta a? y el hardware disponible en el siste%a" uando se conecta a dispositivos de terceros? *D@S Jta%bi6n lla%ada NTriple D@SNK es co%;n%ente la %eMor opcin ya 9ue puede ser la ;nica opcin co%patible con el otro e/tre%o" &ara los siste%as sin un acelerador de hardware de criptografa?
#lowfish y AST son las opciones %2s r2pido" uando se utiliDan siste%as con glxsb aceleradores? co%o co%o AL3G? eliMa .iMndael JA@SK para un %eMor rendi%iento" &ara los siste%as con hifn aceleradores? eligi *D@S o A@S para el %eMor funciona%iento"
(*")"*" ursos de la vida

La vida ;til especificar la frecuencia con la cone/in debe ser reLeyed? especificado en segundos" )CC++
segundos en la fase ( y *A++ segundos en la fase ) es una configuracin bastante est2ndar y se
apropiado para la %ayora de escenarios"
(*")"1" &rotocolo
on 3&sec tiene la opcin de elegir AF J@ncabeDado autenticadosK o @S& J@ncapsulado arga de seguridadK" @n casi todas las circunstancias? debe utiliDar pesetas? ya 9ue es la ;nica opcin 9ue encripta el tr2fico" AF slo ofrece la garanta del tr2fico de vino de la fuente de confianDa y es
rara veD se utiliDa"
(*")">" Algorit%os hash

Los algorit%os hash se utiliDan con 3&sec para verificar la autenticidad de los datos del pa9uete" !D> y SFA( son los algorit%os hash disponibles en la fase ( y fase )" A%bos son considerados criptogr2fica%ente
)*1
3&sec
seguro? aun9ue SFA( JSecure Fash Algorith%? .evisin (K es considerado el %2s fuerte de la
dos" SFA( re9uiere %2s ciclos de &H" @stos algorit%os hash ta%bi6n se puede referir con F!A JFash !essage Authentication odeK en el no%bre en algunos conte/tos? pero 9ue vara seg;n el uso
dependiendo en el hardware o el software en uso"
(*")"A" DF clave de grupo

Todos los DF JDiffieIFell%an? el no%bre de sus autoresK las opciones de clave de grupo se consideran criptogr2fica%ente segura? aun9ue los n;%eros %2s altos son un poco %2s segura en el costo de
%ayor uso de la &H"
(*")"B" &FS de clave de grupo

onfidencialidad directa perfecta J&FSK proporciona el %aterial de claves con una %ayor entropa? por lo tanto? la %eMora de la seguridad de cifrado de la cone/in? en el costo de uso de &H %2s alta cuando ca%bio de claves
se produce"
(*")"C" !uerto de deteccin de pares JD&DK

Dead &eer Detection JD&DK es una revisin peridica 9ue el host en el otro e/tre%o del t;nel 3&Sec todava est2 vivo" Si un che9ue no D&D? el t;nel es derribado por la eli%inacin de sus asociados de las entradas SAD
y se intenta la renegociacin"
(*"*" 3&sec y las reglas del firewall

Al configurar una cone/in de t;nel 3&Sec? firewall pfSense agrega auto%2tica%ente oculta nor%as para per%itir 9ue el puerto HD& >++ y el protocolo @S& en el portal de 3& re%ota destinado a la interfaD 3& especificada en la configuracin" uando &er%itir a los clientes %viles se activa? el %is%o las reglas del firewall se a0aden? con e/cepcin de la fuente se define en cual9uier" &ara anular la adicin auto%2tica de estas nor%as? visita deshabilitar todas las reglas '&< agreg auto%2tica%ente en Siste%a AvanDado" Si %arca esa caMa? debe agregar %anual%ente las reglas del cortafuegos para HD& >++ y @S& para el caso =A<
interfaD"
Tr2fico inicia desde el e/tre%o re%oto de una cone/in 3&sec se filtra con las reglas configuradas
en virtud de firewall .eglas? ficha 3&sec" A9u usted puede restringir lo 9ue los recursos se puede acceder por
los usuarios re%otos 3&sec" &ara controlar el tr2fico 9ue se puede trans%itir de redes locales para el control re%oto
3&sec '&< conectados dispositivos o redes? las nor%as relativas a la interfaD local donde el anfitrin reside
controlar el tr2fico Jpor eMe%plo? la conectividad de los hosts de la LA< se controlan con las nor%as de LA<K"
)*>
3&sec
(*"1" Hn sitio a otro

Hn sitio a otro t;nel 3&Sec per%ite interconectar dos redes co%o si fueran directa%ente
conectadas por un router" Siste%as en el sitio A puede llegar a los servidores u otros siste%as en el sitio #? y
viceversa" @ste tr2fico ta%bi6n puede ser regulada a trav6s de reglas de firewall? al igual 9ue con cual9uier otra red interfaD" Si %2s de un cliente se conecta a otro sitio de la %is%a controlada lugar? un sitio para hacer un t;nel sitio probable%ente ser2 %2s eficiente? por no %encionar %2s conveniente y
%2s f2cil de soportar"

on un sitio para hacer un t;nel del sitio? los siste%as de cual9uier red no necesita tener ning;n conoci%iento de 9ue un '&< e/iste" <o se necesita software de cliente? y todo el trabaMo del t;nel est2 a cargo de la routers en cada e/tre%o de la cone/in" @sta es ta%bi6n una buena solucin para los dispositivos 9ue han de red apoyo? pero no %aneMan las cone/iones '&<? tales co%o i%presoras? c2%aras? siste%as de cli%atiDacin? y otros
integrado de hardware"
(*"1"(" Sitio en la configuracin de sitio de eMe%plo

La clave para hacer un trabaMo t;nel 3&sec es asegurarse de 9ue a%bas partes tienen sus correspondientes aMustes para la autenticacin? encriptacin? etc" Antes de co%enDar? to%e nota de lo local y re%oto =A< direcciones 3&? as co%o las subredes internas locales y re%otos 9ue se conectan" Hna direccin 3& de la subred re%ota de ping es opcional? pero reco%endado para %antener el t;nel con vida" @l siste%a no busca respuestas? ya 9ue cual9uier tr2fico iniciado a una 3& en la red a distancia activar la negociacin de 3&sec? por lo 9ue no i%porta si el host responde real%ente o no? sie%pre y cuando se una direccin 3& en el otro lado de la cone/in" Aparte de la descripcin del t;nel de cos%6ticos y estos
pieDas de infor%acin? la configuracin de otro tipo de cone/in ser2 el %is%o"

@n este eMe%plo? y algunos de los eMe%plos posteriores en este captulo? la configuracin de los siguientes
se supone: @l sitio A <o%bre =A< 3& one/in de subred 3& de la LA< Louisville :ficina (B)")*"("* (,)"(AC"("+7)1 (,)"(AC"("( <o%bre =A< 3& one/in de subred 3& de la LA< Sitio # :ficina de Londres (B)"(A"("* (+"+"(+"+7)1 (+"+"(+"(
Tabla (*"(" onfiguracin de 3&sec de punto final

'a%os a e%peDar con el sitio A" @n pri%er lugar? debe habilitar 3&sec en el router" 'aya a '&< 3&sec? de verificacin Fabilitar 3&sec? haga clic en Guardar JFigura (*"(? NFabilitar 3&secNK"
)*A
3&sec
Figura (*"(" Fabilitar 3&sec

Ahora? crear el t;nel presionando el botn" Ahora ver2 una p2gina de gran ta%a0o 9ue tiene todo
aMuste necesario para el t;nel de funcionar" <o sea de%asiado desalentados? ya 9ue %uchos de estos valores
pueden ser deMados en sus valores por defecto"

&ara e%peDar? llene la parte superior 9ue contiene la infor%acin general del t;nel y de la red
configuracin? 9ue se %uestra en la Figura (*")? Nel sitio A del t;nel '&< onfiguracinN" Los ele%entos en negrita son obligatorios" Facer Aseg;rese de 9ue el cuadro Desactivar este t;nel no est2 %arcada" La configuracin de la interfaD debe ser probable :P>? &ero v6ase la nota anterior en el captulo sobre la seleccin de la interfaD adecuada si no est2 seguro" .ellene el
Dead &eer Detection JD&DK con algo de valor raDonable? tales co%o 60 segundos" Dependiendo de sus necesidades en un valor inferior puede ser %eMor? %2s co%o 10 o 20 segundos? pero una proble%2tica
=A< de cone/in en cual9uier lado puede hacer 9ue de%asiado baMa" &ara la subred local? es probable%ente
%eMor deMar esto co%o %one-in de s()red" Ta%bi6n puede ca%biar esto a Red y rellenar el valores propios? en este caso 192.168.1.0627? &ero deMando co%o %one-in de s()red se asegurar2 de
9ue si la red cada veD pasa a ser? este e/tre%o del t;nel seguir" Tenga en cuenta los otros final se debe ca%biar %anual%ente" La subred re%ota ser2 la red en el sitio #? en este caso
10.0.10.0627" @l portal de acceso re%oto es la direccin de la =A< en el Sitio #? 1M2.16.1.3" &or ;lti%o?
@scriba una descripcin para el t;nel" @s una buena idea poner el no%bre del sitio # de este cuadro? y algunas detalles sobre el propsito del t;nel ta%bi6n puede ayudar a la futura ad%inistracin" 'a%os a poner N G-a!ple%o
Cficina de #ondresN@n la descripcin de lo 9ue tene%os alguna idea de dnde ter%ina el t;nel"
La siguiente seccin controles Fase 3&sec (? o la autenticacin" Se %uestra en la Figura (*"*? NSitio La Fase ( onfiguracin N" Los valores predeter%inados son deseables para la %ayora de estas configuraciones? y si%plifica el proceso" @l aMuste %2s i%portante para hacerlo bien es la clave preIco%partida" o%o se %encion en la '&< infor%acin general? 3&sec utiliDando claves preIco%partidas se puede ro%per si una clave d6bil es utiliDado" Htilice una clave fuerte? por lo %enos (+ caracteres de longitud 9ue contiene una %eDcla de %ay;sculas y %in;sculas? n;%eros y
)*B
3&sec
s%bolos" La clave e/acta%ente el %is%o tendr2 9ue ser ingresado en la configuracin del t;nel para el sitio # %2s tarde? as 9ue lo desea? puede escribir o copiar y pegar en otro lugar" opia y pega puede
%uy ;til? sobre todo con una clave co%pleMa co%o a)c123 V/W9K X M'2Grt/99" Toda una vida aMuste ta%bi6n se puede especificar? de lo contrario el valor por defecto de 86700 se utiliDar2" A %edida 9ue se
utiliDando una clave preIco%partida y no certificados? deMe todas las casillas de certificado de vaco"
@n cuanto a la Fase ) JFigura (*"1? Nel sitio A la Fase ) onfiguracinNK? <o puede haber una variabilidad poco %2s" La
&rotocolo de eleccin podra ser P@ por slo pa9uetes autenticados o GSR para el cifrado" @S& es el
eleccin en casi todos los casos inusuales pocos" Los algorit%os de cifrado y algorit%os hash se pueden establecer para per%itir %;ltiples opciones? y a%bas partes negocian y acuerdan las aMustes" @n algunos casos puede ser una buena cosa? pero por lo general es %eMor li%itar esto a la opciones 9ue sabe 9ue estar en uso" &ara este eMe%plo? el algorit%o de cifrado slo algunos es *D@S? y el ;nico algorit%o de hash SFA( es seleccionado" &FS? o confidencialidad directa perfecta? puede ayudar a proteger contra ciertos ata9ues clave? pero es opcional" Hn valor de por vida ta%bi6n se puede especificar?
de lo contrario el valor por defecto de 3600 se utiliDar2"
Figura (*"1" Hn sitio de la Fase ) onfiguracin

&or ;lti%o? puede introducir una direccin 3& para un siste%a en la red LA< re%ota 9ue peridica%ente deben ser enva un ping 3 !&? co%o en Figura (*">? Nel sitio A Qeep AliveN" @l valor de retorno del ping no es %arcada? esto slo se asegurar2 de 9ue algunos se enva el tr2fico en el t;nel de %odo 9ue se 9uedar2 establecido"
@n esta configuracin? se puede utiliDar la direccin 3& de LA< del router pfSense en el Sitio #? 10.0.10.1"
)*C
3&sec
Figura (*">" Hn sitio Qeep Alive

Faga clic en el botn Guardar y? a continuacin? tendr2 9ue haga clic en Aplicar los ca%bios en los t;neles 3&Sec pantalla? co%o se ve en Figura (*"A? NAplicar configuracin de 3&secN"
Figura (*"A" Aplicar onfiguracin de 3&sec

@l t;nel para el sitio A est2 ter%inado? pero ahora las reglas del cortafuegos son necesarios para per%itir el tr2fico desde el sitio la red # 9ue est2 por venir en %edio del t;nel 3&Sec" @stas nor%as se debe agregar a la ficha de 3&sec en
Servidor de seguridad <or%as" '6ase el captulo de reglas de firewall para obtener infor%acin especfica sobre la adicin de las nor%as" @s posible 9ue
ser tan per%isiva co%o 9uieras? Jper%itir cual9uier protocolo desde cual9uier parteK? o restrictivas J&er%itir 9ue T & desde un host en el sitio # a un host deter%inado en el sitio A en un puerto deter%inadoK" @n cada
caso? aseg;rese de 9ue la direccin de origen JesK son las direcciones del sitio #? tales co%o 10.0.10.0627" La direcciones de destino debe ser el sitio de una red? 192.168.1.0627"
Ahora 9ue el sitio A est2 configurado? es hora de hacer frente a sitio #" .epita el proceso en el router de la web de #
para 9ue 3&sec y agregar un t;nel"

Slo dos partes de esta configuracin puede ser diferente desde el sitio A" @stos son los par2%etros generales y la !antener el aMuste vivo? co%o se puede ver en Figura (*"B? NSitio # onfiguracin '&< TunnelN" Aseg;rese de 9ue 9ue el cuadro Desactivar este t;nel no est2 %arcada" La configuracin de la interfaD debe ser :P>" .ellene el Dead &eer Detection JD&DK de valor con la %is%a configuracin del sitio A"" &ara la subred local? es
probable%ente sea %eMor deMar esto co%o %one-in de s()red" Ta%bi6n puede ca%biar esto a Red y llenar
en los valores adecuados? en este caso 10.0.10.0627" La subred re%ota ser2 la red en el sitio A? en este caso 192.168.1.0627" @l portal de acceso re%oto es la direccin de la =A< en el Sitio A? 1M2.23.1.3" Descripcin del t;nel es una buena idea" 'a%os a poner N G-a!ple%o
#o(is$ille CficinaN@n este lado"
)*,
3&sec
Figura (*"B" Sitio # onfiguracin del t;nel '&<

La Fase ( y Fase ) configuracin debe coincidir con el sitio A e/acta%ente" .evisin de 9ue el artculo de este eMe%plo para los detalles y las cifras"
@l ;lti%o ca%bio es el valor Qeep Alive JFigura (*"C? N# Sitio Qeep AliveNK" @n esta configuracin? 9ue
puede utiliDar la direccin 3& de LA< del router pfSense en el sitio A? 192.168.1.1"
Figura (*"C" Sitio # Qeep Alive

Ahora haga clic en el botn Guardar y? a continuacin? haga clic en Aplicar los ca%bios en la pantalla de t;neles 3&Sec"
Al igual 9ue con el sitio A? ta%bi6n debe agregar las reglas del firewall para per%itir el tr2fico en el t;nel para cruDar de
Sitio A al sitio #" A0adir estas nor%as a la pesta0a Servidor de seguridad de 3&sec en <or%as" &ara %2s detalles?
ver Seccin (*"*? N3&sec y las reglas del firewallN" @sta veD? el origen del tr2fico sera Sitio
Hna? el destino del sitio #"

A%bos t;neles se configuran ahora y debe ser activo" o%pruebe el estado de 3&sec? visite @stado
3&sec" Hsted debe ver una descripcin del t;nel? Munto con un icono indicador de su estado"
)1+
3&sec
Si no encuentra el icono? puede haber un proble%a de establecer el t;nel" @sto pronto? el %2s
raDn probable es 9ue el tr2fico no ha tratado de cruDar el t;nel" 3ntente hacer ping a un siste%a en el subred re%ota en el Sitio # desde el sitio A Jo viceversaK y ver si el t;nel se establece" !ira
Seccin (*"A? N&rueba de conectividad 3&secN para otros %edios de prueba de un t;nel" @n su defecto? la 3&sec registros ofrecer2 una e/plicacin" @llos se encuentran en @stado Siste%a de
.egistros en la ficha '&< 3&sec" Aseg;rese de co%probar el estado y los registros en a%bos sitios" &ara obtener %2s
solucin de proble%as? consulte la Seccin (*"C? NSolucin de proble%as de 3&secN %2s adelante en
este captulo"
(*"1")" @nruta%iento y las consideraciones de puerta de enlace

uando el punto final de '&<? en este caso un router pfSense? es la puerta de enlace predeter%inada para una red 9ue debera haber proble%as con el enruta%iento" o%o un & cliente enva el tr2fico? ir2 a la caMa de pfSense?
sobre el t;nel? y por el otro e/tre%o" Sin e%bargo? si el router pfSense no es la puerta de enlace predeter%inada para una red dada? las %edidas de enca%ina%iento a continuacin? otros tendr2n 9ue ser to%adas"
o%o eMe%plo? i%agine 9ue el router pfSense es la puerta de enlace en el sitio #? pero no el sitio A? co%o se ilustra en la Figura (*",? Nun sitio a otro 3&sec uando pfSense no es la puerta de enlaceN" Hn cliente? & ( en el sitio # enva un ping a & ) en el sitio A" @l pa9uete de hoMas de & (? luego a trav6s de la web del router #? a trav6s del t;nel? el router pfSense en el sitio A? y en la & )" &ero lo 9ue sucede en el ca%ino de nuevo8 puerta de entrada & ) es otro router por co%pleto" La respuesta al ping ser2 enviado a la puerta de enlace siste%a y es %uy probable 9ue arroM a cabo? o peor a;n? se puede enviar el enlace a 3nternet y
perder de esa %anera"

Fay varias %aneras de evitar este proble%a? y cual9uiera puede ser %eMor en funcin de la
circunstancias de cada caso" @n pri%er lugar? una ruta est2tica se poda entrar en la puerta de enlace 9ue redirigir2 el tr2fico destinado al otro lado del t;nel para el router pfSense" 3ncluso con esta ruta? las co%pleMidades adicionales se introducen por9ue este escenario resulta en el enruta%iento asi%6trico co%o se e/plica en Seccin C"(")? N#ypass reglas de firewall para el tr2fico en la interfaD de la %is%aN" @n caso de 9ue no funciona? una ruta est2tica puede ser a0adido a los siste%as cliente de for%a individual para 9ue conoDcan a enviar ese tr2fico directa%ente a la caMa de pfSense y no a trav6s de su puerta de enlace predeter%inada" A %enos 9ue haya slo un n;%ero %uy pe9ue0o de los eM6rcitos 9ue necesitan acceder a la '&<? se trata de un dolor de cabeDa gestin y deben evitarse" &or ;lti%o pero no %enos i%portante? en algunas situaciones puede ser %2s f2cil para 9ue el pfSense
cuadro de la puerta de entrada y se deMa %aneMar su cone/in a 3nternet"
)1(
3&sec
Figura (*"," Hn sitio a otro 3&sec uando pfSense no es la puerta de enlace
(*"1"*" @nruta%iento de %;ltiples subredes a trav6s de 3&sec

Si necesita subredes %;ltiples rutas 3& a trav6s de 3&Sec? usted tiene dos opciones I 3D.
resu%en y paralelo t;neles 3&sec" pfSense )"+ per%ite la definicin de varias subredes
por cone/in 3&sec? pero el (?) 9ue debe hacer uno de los siguientes"
<ota
Tr2fico atravesar2 un t;nel 3&sec slo si coincide con una entrada e/istente SAD" @st2tica rutas nunca no enrutar el tr2fico a trav6s de una cone/in 3&sec? configurar rutas est2ticas
para el tr2fico 3&sec e/cepto en el caso del tr2fico iniciado desde pfSense en s J9ue
ser2 discutido %2s adelanteK"
(*"1"*"(" 3D. de resu%en

Si las subredes son contiguos? puede subredes ruta %;ltiple en un t;nel con un %2s grande de subred 9ue incluye todas las subredes %2s pe9ue0as" &or eMe%plo? si un sitio incluye el subredes (,)"(AC"+"+7)1 y (,)"(AC"("+7)1? 9ue pueden resu%irse co%o (,)"(AC"+"+7)*" 'er
Seccin ("B">? Nde resu%en 3D.N para %2s infor%acin"
(*"1"*")" &aralelo t;neles 3&sec

La ;nica opcin si las subredes no se resu%en es la creacin de t;neles 3&sec paralelas? una para
cada subred"
)1)
3&sec
Faga clic en el a la derecha de la pri%era cone/in a a0adir otra en funcin de 6sta" a%biar slo el
subred re%ota Ja la segunda subred 9ue desea conectarseK y establecer el &SQ a algo diferente
de la pri%era cone/in" Guarde los ca%bios"
(*"1"1" pfSense iniciado por tr2fico e 3&sec

&ara acceder a la final aleMado de las cone/iones 3&sec desde pfSense s %is%o? tendr2 9ue NfalsoN el siste%a %ediante la adicin de una ruta est2tica 9ue apunta la red re%ota a la LA< 3& del siste%a" <ota este eMe%plo supone la '&< se conecta la interfaD LA< en a%bos lados" Si su 3&sec cone/in es la cone/in de un interfaD de :&T? ca%bie la direccin 3& de interfaD y de la interfaD en consecuencia" Debido a la for%a de 3&sec est2 ligada en el Lernel de Free#SD? sin la ruta est2tica el tr2fico seguir2 tabla de enruta%iento del siste%a? 9ue probable%ente enviar2 este tr2fico de la =A< interfaD en lugar de sobre el t;nel 3&Sec" To%e Figura (*"(+? Nun sitio a otro 3&secN? por eMe%plo"
Figura (*"(+" Hn sitio a otro 3&sec

@s necesario agregar una ruta est2tica en cada servidor de seguridad" Figura (*"((? NSitio A I ruta est2tica a distancia subred N y Figura (*"()? NSitio # I ruta est2tica a la subred re%otaN %ostrar la ruta 9ue se agreg
en cada lado"
Figura (*"((" Sitio A I ruta est2tica a la subred re%ota
)1*
3&sec
Figura (*"()" Sitio # I ruta est2tica a la subred re%ota
(*">" !vil 3&sec

!vil 3&sec le per%itir2 hacer una lla%ada N.oad =arriorN con estilo? el no%bre de
la naturaleDa variable de cual9uier persona 9ue no est2 en la oficina 9ue necesita para conectarse de nuevo a la principal red" &uede ser una persona de las ventas %ediante =iIFi en un viaMe de negocios? el Mefe de su li%osina a trav6s de !de% *G? o un progra%ador de trabaMo de su lnea de banda ancha en casa" La %ayora de estos se se ven obligados a lidiar con direcciones 3& din2%icas? ya %enudo ni si9uiera se conoce la direccin 3& 9ue tener" Sin un router o firewall apoyo 3&sec? una tradicional t;nel 3&sec no funcionar2" @n teletrabaMo escenarios? por lo general es indeseable e innecesario para conectar al usuario de todo red do%6stica a la red? e introducir2 enruta%iento co%plicaciones" A9u es donde 3&sec
Los clientes %viles vienen pulg

Slo hay una definicin para %viles 3&sec en pfSense? por lo 9ue se estar2 preguntando c%o configuracin de varios clientes" @n lugar de confiar en una direccin fiMa para el e/tre%o re%oto del t;nel? una identificador ;nico 7 preco%partida par de claves se utiliDa? co%o un no%bre de usuario y contrase0a" @sto per%ite 9ue
9ue los clientes est6n autenticados y distinguen entre s"

Antes de e%peDar a configurar los clientes? es posible 9ue desee elegir un rango de direcciones 3& 9ue se a utiliDar" @sto no se controla en el servidor? as 9ue alg;n tipo de atencin ser2n necesarios para asegurar 9ue Las direcciones 3& no se superponen al configurar el software de cliente" Las direcciones 3& deben ser diferentes de
los 9ue se utiliDan en el lugar de aloMa%iento del t;nel %vil" @n este eMe%plo? 192.168.111.0$2# se
ser utiliDado? pero puede ser cual9uier subred no utiliDados 9ue usted desea" &or otra parte? no est2n obligados a especificar una direccin 3&" Los clientes pueden configurar para 9ue pase a trav6s de la direccin 3& local
)11
3&sec
el cliente 9ue se conecta" @sta ser2 una 3& privada donde el cliente est2 detr2s de <AT? y una 3& p;blica
donde uno es asignado directa%ente al cliente" Si se basa en el filtrado de 3& de origen en el interfaD 3&sec? tendr2 9ue especificar una direccin 3& para cada cliente para 9ue sie%pre sepa la 3& de origen y no va a ca%biar" Si no se especifica la 3& de origen ta%bi6n puede crear dificultades de enca%ina%iento? donde
el cliente est2 en una red local en conflicto con uno de sus redes internas"
(*">"(" @Me%plo de configuracin del servidor

Fay dos co%ponentes en la configuracin del servidor para los clientes %viles: reacin del t;nel?
y crear las claves preIco%partidas"
(*">"("(" liente %vil t;nel reacin

@n pri%er lugar? debe habilitar 3&sec en el router si no lo ha hecho" 'aya a '&<
3&sec? 3&sec de verificacin Fabilitar? haga clic en Guardar" on 3&sec activa? el soporte de cliente %vil ta%bi6n debe estar encendido" Desde '&< 3&sec? haga clic en la pesta0a de clientes %viles JFigura (*"(*? NActiva !vil 3&sec lientes NK" o%pruebe la casilla &er%itir clientes %viles? y luego contin;e con el siguiente
opciones"
Figura (*"(*" Fabilitar %vil clientes 3&sec
)1>
3&sec
Figura (*"(1" Los clientes %viles de la Fase (

La Fase ( propuesta ahora debe estar configurado para la autenticacin? co%o se %uestra en Figura (*"(1? NFase clientes %viles (N" uando se trate de clientes %viles? lo %eMor es el uso seguro y a%plia%ente
configuracin co%patible" Hso de agresi$os para el %odo de negociacin 9ue per%iten utiliDar un a%plio
ga%a de tipos de identificadores? tales co%o el estilo de direccin de correo electrnico 9ue se utiliDan en este eMe%plo de configuracin"
Desde este lado debe tener una direccin est2tica? utiliDando 3i direccin &R !i identificador para la opcin deben ser seguros" @l algorit%o de cifrado? 3DGS y el algorit%o de hash S@P1 son seguros y
bien apoyado" Hn grupo clave de DF 2 es una tierra buena y segura? %edio ta%bi6n" Debido a la gran variacin en los tipos de cone/in 9ue se tratar2n? un %ayor valor de alrededor de D&D 120 segundo @s %2s probable 9ue garantiDar 9ue las cone/iones no se caen antes de tie%po" La vida se puede establecer %ucho %enor si lo desea? pero 86700 todava debe ser aceptable" <osotros va%os a usar Rreco!partida %la$e para el %6todo de autenticacin? ya 9ue en este eMe%plo? 9uere%os 9ue todos tengan individuales
3dentificadores y claves preIco%partidas"

Figura (*"(>? la NFase ) clientes %vilesN %uestra la fase ) de las opciones para los t;neles %viles" Desde
el tr2fico cifrado es i%portante en este caso? el &rotocolo debe ser establecido para GSR" @l cifrado
algorit%os para la Fase ) se pueden establecer para las 9ue sea necesario" @s posible 9ue deter%inado software los clientes se co%portan %eMor 9ue los de%2s utiliDando diferentes algorit%os" Hna eleccin segura es por lo %enos al %o%ento del checL 3DGS? &ero otros pueden ser utiliDados" &ara los algorit%os hash? se puede elegir tanto S@P1 y 3D": slo uno de los dos" &FS es opcional? y dependiendo del software de cliente involucrado puede ser
%eMor deMar esta f(era" @l valor por defecto de por vida 3600 es probable%ente una buena idea a9u" Ahora haga clic en Guardar y seguir adelante"
)1A
3&sec
Figura (*"(>" Los clientes %viles de la Fase )

Despu6s de hacer clic en Guardar la configuracin se debe aplicar antes de 9ue surtan efecto" Faga clic en Aplicar ca%bios JFigura (*"(A? NAplicar configuracin %vil del t;nelNK S luego el t;nel de configuracin para %viles
clientes se ha co%pletado"
Figura (*"(A" Aplicar configuracin del t;nel %vil
(*">"(")" liente %vil clave reacin preco%partida

La siguiente parte de la instalacin del cliente %vil es para entrar en los identificadores y preIco%partidas claves para la
clientes individuales" Desde '&< 3&sec? haga clic en la ficha de claves preIco%partidas" @sto %ostrar2 una lista de todos los
Actual%ente creado 3dentificador pares &SQ? co%o se ve en Figura (*"(B? N3&sec &reIShared QeyN Hsuario N
Lista N" o%o nos acaba de e%peDar? es probable vaco" &ara crear un nuevo par? haga clic en el botn"
)1B
3&sec
Figura (*"(B" 3&sec &reIShared Qey NHsuarioN Lista

Hna pantalla con dos ca%pos aparecer2" Hno para el identificador? y uno para la clave preIco%partida
JFigura (*"(C? NAdicin de un 3dentificador 7 par de claves preIco%partidasNK" @n el pri%er cuadro? escriba un eI%ail direccin para este cliente" <o tiene 9ue ser un verdadero? una direccin v2lida? basta con 9ue se parecen a uno" o%o se %enciona en el resu%en de '&<? 3&Sec %ediante claves preIco%partidas se puede ro%per si una clave d6bil es utiliDados" Htilice una clave fuerte? por lo %enos (+ caracteres de longitud 9ue contiene una %eDcla de %ay;sculas y %in;sculas
letras? n;%eros y s%bolos" Faga clic en Guardar cuando haya ter%inado"
Figura (*"(C" Adicin de un 3dentificador 7 par de claves preIco%partidas

Al igual 9ue con la configuracin del t;nel? despu6s de la %odificacin de las configuraciones principales? los ca%bios deben aplicarse" La 3dentificador y una clave preIco%partida acaba de crear ta%bi6n deben figurar en esta pantalla" Si hay %2s 3dentificador pares &SQ agregar? haga clic y repita el paso anterior" De lo contrario? haga clic en Aplicar ca%bios
para co%pletar la configuracin de 3&sec JFigura (*"(,? NAplicar los ca%biosT Lista &SQNK"
)1C
3&sec
Figura (*"(," Aplicar los ca%biosT Lista &SQ
(*">"("*" .eglas de cortafuegos

Al igual 9ue con los t;neles est2ticos de sitio a sitio? t;neles %viles ta%bi6n necesitan reglas de firewall a0adido a la
3&sec en Firewall de ficha <or%as" @n este caso? el origen del tr2fico sera la subred 9ue ha elegido para los clientes %viles Jo las direcciones de sus redes a distanciaK? y el destino
ser2 su red LA<" &ara %2s detalles? Seccin (*"*? N3&sec y las reglas del cortafuegosN"
(*">")" @Me%plo de configuracin del cliente

ada e9uipo de cliente %vil tendr2 9ue eMecutar alg;n tipo de software de cliente 3&Sec" Fay %uchos clientes diferentes 3&sec disponibles para su uso? algunos gratuitos? y algunas aplicaciones co%erciales" <or%al%ente? 3&Sec es un protocolo bastante interoperables en lo 9ue respecta a los t;neles de enrutador a enrutador? pero progra%as de cliente han de%ostrado ser %2s voluble? o? a veces incorporan e/tensiones propietarias 9ue son no es co%patible con las i%ple%entaciones de 3&sec basada en est2ndares" o%o se %encion antes? el isco cliente 3&Sec incluye con el i&hone y el i&od Touch no es co%patible con pfSense 3&sec? y
el cliente sie%pre para la cone/in a =atchguard caMas de fuego ha visto resultados %i/tos ta%bi6n"
(*">")"(" Do%ada suave de cliente para =indows

La %usara0a suave '&< lient es una slida opcin para el uso de 3&Sec en =indows" <o slo es f2cil de usar y fiable? pero ta%bi6n est2 disponible total%ente gratis" 'isita http:77www"shrew"net y descargar la ;lti%a versin del cliente do%ada suave para su platafor%a" @Mecuta el instalador? y haga clic en Siguiente
o ontinuar a trav6s de todas las indicaciones"

3nicio do%ada suave cliente haciendo clic en el icono de Access !anager" La pantalla principal debe aparecer? y se parecen Figura (*")+? Ndo%ada Ad%inistrador suave '&< de acceso I Sin e%bargo one/ionesN" A continuacin?
haga clic en el botn Agregar para co%enDar a configurar una nueva cone/in"
)1,
3&sec
Figura (*")+" Do%ada '&< suave Access !anager I Sin cone/iones Sin e%bargo?
La ventana de configuracin de '&< de sitio debe abrir? con varias pesta0as co%o en la figura (*")(? el N liente
onfiguracin: Ficha General N" Se debe co%enDar en la ficha General" A continuacin? entrar en el host co%o el pfSense aMa 3& =A<? o la direccin 3& de la interfaD pfSense elegido previa%ente para utiliDar 3&sec" @n nuestro eMe%plo? 1M2.23.1.3" @l puerto debe ser "00" onfiguracin auto%2tica debe ser Rersonas de !o$ilidad red(cida" &ara el %6todo de direccin? ca%bio 9ue a Gl (so del adaptador $irt(al / se les asignarO direccin" @n el ca%po direccin? eliMa una de 3& del rango 9ue decidirse antes" Hsare%os
192.168.111.5? on una %2scara de red de 255.255.255.0" Alternativa%ente? si lo 9ue desea es

pasar a trav6s de la 3& del cliente sin especificar uno especfico de 3&sec? en el %6todo de direcciones
cuadro? seleccione 9tilice (n adaptador e-istente / la direccin act(al"

Los ca%bios no pueden ser necesarios en la ficha de cliente" Los valores por defecto debera estar bien? pero se puede co%parar con la Figura (*"))? N onfiguracin del cliente: @l cliente TabN para asegurarse de 9ue coinciden con los
por defecto en el %o%ento presente se est2 escribiendo"

@n la ficha de resolucin de no%bres? desactive la opcin Activar =3<S J=indows 3nternet <a%e ServiceK y desactive la opcin Activar D<S" Hsted puede e/peri%entar con estas opciones en lo 9ue respecta a su configuracin propia? pero en este eMe%plo va%os a deMarlos fuera" 'ea la Figura (*")*? N onfiguracin del cliente: la resolucin de no%bres Tab Npara ver eMe%plos" @n entornos en los 9ue un servidor =3<S puede estar presente? usted puede entrar en el
)>+
3&sec
direccin 3& a9u para un servidor accesible a trav6s de este t;nel? para ayudar en la resolucin de no%bres <et#3:S y navegar por la red re%ota" Adicin de servidores D<S a9u no funcionen co%o se esperaba con !uchos 3S&" <or%al%ente? los servidores D<S para clientes 3&Sec se utiliDan co%o ;lti%o recurso" Si un no%bre no se resuelve a trav6s de servidores nor%ales del cliente D<S? los servidores adicionales pueden ser utiliDados" Desafortunada%ente? %uchos 3S& son Na%able%enteN 9ue prestan servicios 9ue resolver cual9uier ine/istente do%inios de una p2gina de destino lleno de publicidad" @n este escenario? los no%bres irresoluble nunca suceder y por lo tanto servidores adicionales no ser2n utiliDados" Htilice esta opcin con cautela? y la prueba por pri%era veD
antes de usarlo en los clientes en la naturaleDa"
Figura (*")1" onfiguracin del cliente: Autenticacin? 3dentidad Local

La ficha Autenticacin tiene tres subIpesta0as de configuracin 9ue necesitan ta%bi6n" @n pri%er lugar? establecer la autenticacin
!6todo para 3(t(a RSY en la parte superior? a continuacin? contin;e con la ficha de identidad local por debaMo? se %uestra
en Figura (*")1? N onfiguracin del cliente: Autenticacin? 3dentidad LocalN" @stablecer el tipo de identificacin a &dentificador de cla$e? S la clave 3D de cadena a uno de los identificadores de estilo de correo electrnico 9ue fue creado
anterior%ente para un cliente %vil"
)>(
3&sec
Faga clic en la ficha 3dentidad re%oto JFigura (*")>? N onfiguracin del cliente: Autenticacin? 3dentidad re%otoNK" @stablecer el tipo de identificacin a Direccin &RS de verificacin Hsar una direccin descubierto host re%oto"
@n la ficha de 'erificacin de &oderes? 9ue se %uestra en la Figura (*")A? N onfiguracin del cliente: Autenticacin? 'erificacin de &oderesN? llene en el ca%po de &reIShared Qey con la tecla 9ue va Munto con la direccin de correo electrnico introducido co%o
lave 3D de cadena en la ficha de identidad local"

Ahora vuelve a la fase ( de la ficha 3nicio? ve en la Figura (*")B? N onfiguracin del cliente: Fase (N" @stos aMustes coincidir2n con los establecidos en la fase del t;nel servidor una seccin" @stablecer el tipo de ca%bio de agresi$os? La #olsa de DF Nr(po 2? @l algorit%o de cifrado para 3DGS? Algorit%o de hash
a S@P1? S la clave de la vida L%ite para la 86700"
Figura (*")C" onfiguracin del cliente: Fase )

La configuracin de la Fase ) ficha ta%bi6n ser2n los %is%os 9ue los establecidos en los clientes %viles
Fase ) seccin? co%o puede verse en Figura (*")C? N onfiguracin del cliente: Fase )N" @stableDca la Transfor%acin
)>)
3&sec
Algorit%o para esp-3des? @l algorit%o F!A es S@P1? &FS es con discapacidad? @l algorit%o de co%presin es con discapacidad? S la clave de la vida l%ite de tie%po es 3600"
&or ;lti%o? est2 la ficha Directiva? 9ue se %uestra en la Figura (*"),? N onfiguracin del cliente: &olticaN" ontrola lo 9ue tr2fico ser2 enviado en el t;nel" Desactive la opcin :btener Topologa auto%2tica%ente? haga clic en Agregar
botn"
@n la pantalla de entrada de topologa? se ve en la Figura (*"*+? N onfiguracin del cliente: &olticas? A0adir TopologaN? 9ue necesidad de especificar 9u6 subred estar2 en el otro e/tre%o del t;nel" @stablecer el tipo de &ncl(ir" &ara la direccin? entrar en la red detr2s de pfSense en el otro lado? y la %2scara de red 9ue va Munto con 6l" &ara nuestro eMe%plo? 9ue se 192.168.1.0 y 2"".2"".2"".0 ? respectiva%ente"
Faga clic en Aceptar"

Al hacer clic en Guardar? se le llevar2 de nuevo a la pantalla principal del cliente do%ada suave? y usted tiene la oportunidad de ca%biar el no%bre de la cone/in? co%o en la Figura (*"*(? N onfiguracin del cliente:
<uevo <o%bre de cone/in N"

@s una buena idea para el no%bre de la cone/in despu6s de la ubicacin en la 9ue se conecta" @n este caso? la lla% despu6s de la oficina donde el t;nel lleva co%o figura (*"*)? Nlisto para usar la cone/inN
%uestra"
&ara conectarse a la '&<? haga clic una veD para seleccionarlo y? a continuacin? haga clic en onectar" La cone/in '&< de di2logo
van a aparecer y? a continuacin? haga clic en el botn onectar en all ta%bi6n" Si el t;nel est2 correcta%ente establecido? se indicar2 en la ventana" Figura (*"**? NT;nel onectadoN %uestra la
salida de una cone/in e/itosa"
)>*
3&sec
Figura (*"**" onectado t;nel

Ahora debera ser capaD de ponerte en contacto con los siste%as en el otro e/tre%o del t;nel" Si no ha salido bien o pasar el tr2fico? vuelva a co%probar todas las opciones de a%bos lados? ya 9ue figuran en esta lista" De lo contrario?
contin;e con la seccin de solucin de proble%as"
(*">")")" TheGreen#ow 3&Sec de cliente

TheGreen#ow 3&Sec lient es un co%ercial de cliente '&< para =indows 9ue es co%patible
con pfSense" Las instrucciones para configurar este cliente con pfSense se puede encontrar en el '&< puerta de enlace de apoyo [http:77www"thegreenbow"co%7vpn_gateway"ht%l\ @n la seccin de su sitio web" &ara obtener %2s infor%acin sobre la ad9uisicin y configuracin del cliente? visite su p2gina web [http:77 www"thegreenbow"co%\" @llos ofrecen una prueba gratuita de *+ das del cliente para a9uellos 9ue buscan evaluar
co%o una posible solucin"
(*">")"*" &< cliente @ntrada segura

La Secure @ntry lient por < & [http:77www"ncpIe"co%7en7solutions7vpnIproducts7secureI entrada client"ht%l\ @s otro cliente co%ercial 3&sec para =indows? =indows !obile? y
Sy%bian" o%o es co%patible con los est2ndares? sino 9ue ta%bi6n puede conectarse a los siste%as de pfSense"
)>1
3&sec
(*">")"1" SSF entinela

SSF Sentinel es otro cliente de 3&Sec co%patible con los est2ndares de =indows" Aun9ue entinela SSF
funciona con pfSense? su configuracin es bastante co%pleMo y el cliente libre disponible es de siete a0os de edad? despu6s de haber sido puesto en libertad en )++)" Debido a estos factores? no se reco%ienda su uso? y
el cliente do%ada suave se debe utiliDar en su lugar"
(*">")">" 3&Securitas
3&Securitas por Software Loboto%o [http:77www"loboto%o"co%7products73&Securitas7\ @s un
freeware cliente !ac :S G para 3&sec 9ue algunos usuarios han infor%ado de trabaMar con pfSense"
(*">")"A" Los clientes de Linu/

Fay algunos clientes Linu/ libre%ente disponibles? pero varan entre las distribuciones" Algunos son slo interfaces con otros servicios co%o ipsecItools? &ero debera funcionar sie%pre y cuando el cliente
configuraciones son si%ilares a la 9ue se ha de%ostrado anterior%ente"
(*">")"B" isco '&< lient

@l cliente '&< de isco no funciona actual%ente con pfSense? ya 9ue re9uiere de apoyo /auth"
@sto debera funcionar con pfSense )"+? sin e%bargo? desde /auth se encuentra all"
(*"A" &ruebas de conectividad 3&sec

La prueba %2s f2cil para un t;nel 3&sec es un ping de la estacin de cliente 9ue est2 detr2s del router a otro
en el lado opuesto" Si esto funciona? el t;nel est2 en %archa y funcionando correcta%ente"

o%o se %enciona en Seccin (*"1"1? NpfSenseIinici tr2fico e 3&secN? tr2fico iniciado desde pfSense nor%al%ente no atraviesan el t;nel sin un e/tra de enruta%iento? pero hay una r2pida %anera de probar la cone/in desde la consola del router %ediante el co%ando ping? %ientras 9ue la especificacin de un direccin de origen con el -S par2%etro" Sin utiliDar -S o una ruta est2tica? los pa9uetes generados
por el ping no tratar2 de atravesar el t;nel" @sta sera la sinta/is para usar con una prueba apropiada: #ping-S T23 0A1 0ocalF T23 #emo%a 0A1F
uando el IP LAN Local es una direccin 3& en una interfaD interna dentro de la subred local definicin para el t;nel? y la IP remota LAN es una direccin 3& en el router re%oto en el subred re%ota lista para el t;nel" @n la %ayora de los casos esto es si%ple%ente la direccin 3& de la LA< de la
)>>
3&sec
respectivos routers pfSense" Teniendo en cuenta el eMe%plo de sitio a sitio %2s arriba? esto es lo 9ue tendra 9ue escribir para poner a prueba desde la consola del Sitio Hn router: #ping-S 192.168.1.1 10.0.10.1
Hsted debe recibir respuestas de ping a la direccin LA< del sitio #? si el t;nel est2 en %archa y de trabaMo correcta%ente" Si usted no recibe respuestas? pase a la seccin de solucin de proble%as JSeccin (*"C?
NSolucin de proble%as de 3&secNK"
(*"B" 3&sec y <ATIT

3&sec <ATIT encapsula el tr2fico de protocolo @S& en el interior del puerto HD& 1>++ el tr2fico? por9ue @S&
con frecuencia causa dificultades cuando se utiliDa en co%binacin con <AT" soporte de <ATIT se a0adi durante un tie%po en pfSense (")"*? e/cepto 9ue sac errores en el subyacente ipsecIherra%ientas de software 9ue las regresiones causado" Hna regresin i%portante fue 9ue la renegociacin con algunos terceros 3&sec dispositivos sera un fracaso" Despu6s de considerables esfuerDos para solucionar el proble%a? soporte de <ATIT se tir a eli%inar las regresiones y recibe (")"* liberado" Hna instant2nea (")"*I. ) con <ATIT est2 disponible
para a9uellos 9ue deseen utiliDarla? con la advertencia de 9ue puede causar proble%as de renegociacin"
(*"C" 3&sec Solucin de proble%as

Debido a la naturaleDa %eticuloso de 3&sec? no es raro 9ue los proble%as 9ue surMan" Afortunada%ente hay algunos b2sico Jy algunas no tan b2sicasK pasos para solucionar proble%as 9ue se pueden e%plear para rastrear a potenciales
los proble%as"
(*"C"(" T;nel no establece

La causa %2s co%;n de fracaso de las cone/iones de t;nel 3&sec es una falta de coincidencia de configuracin" A %enudo es algo pe9ue0o? co%o un grupo DF establece en ( en el lado A y ) en la cara #? o tal veD una %2scara de subred 7 )1? por un lado y *) en el otro" Algunos routers JLinLsys? por eMe%ploK ta%bi6n les gusta esconderse detr2s de ciertas opciones NavanDadasN botones o hacer suposiciones" Hna gran cantidad de pruebas y error puede estar involucrado? y %ucho de la lectura de registro? pero garantiDando 9ue a%bas partes coinciden precisa%ente
ayudar2 a la %ayora"
Dependiendo de las cone/iones a 3nternet en cada e/tre%o del t;nel? ta%bi6n es posible Jespecial%ente con los clientes %vilesK 9ue un router 9ue participan en un lado o el otro no controla correcta%ente 3&sec el tr2fico? sobre todo cuando se trata de <AT" Los proble%as son en general con el protocolo @S&" <AT Traversal J<ATITK encapsula @S& en el puerto HD& 1>++ para obtener el tr2fico en torno a estas cuestiones?
pero no est2 actual%ente disponible en pfSense"
)>A
3&sec
@n el caso de un tie%po de espera de un cliente %vil? en pri%er lugar co%pruebe el estado del servicio en el @stado Servicios" Si se detiene el servicio? vuelva a co%probar 9ue &er%itir a los clientes %viles se co%prueba en '&< 3&sec?
lientes %viles ficha" Si el servicio est2 en eMecucin? co%pruebe los registros del cortafuegos J@stado .egistros del siste%a? ficha FirewallK para ver si la cone/in est2 siendo blo9ueada? y si es as? agregue una regla para per%itir el blo9ueo
tr2fico"
(*"C")" T;nel establece? pero no pasa el tr2fico

@l principal sospechoso si aparece un t;nel? pero no pasar2 el tr2fico se las reglas del firewall 3&sec" Si usted est2 en un sitio y no puede llegar a sitio #? visita el sitio # router" &or el contrario? si usted est2 en Sitio # y no puede co%unicarse con el sitio A? visita del sitio A" Antes de e/a%inar las nor%as? aseg;rese de revisar la los registros del firewall 9ue se encuentran en estado .egistros del siste%a? en la pesta0a Firewall" Si usted ve blo9ueado las entradas participacin de las subredes utiliDadas en el t;nel 3&sec? a continuacin? pasar al control de las nor%as" Si hay no hay entradas de registro 9ue indica pa9uetes blo9ueados? revisar la seccin sobre 3&sec enruta%iento consideraciones en
Seccin (*"1")? N@nruta%iento y consideraciones puerta de entradaN" pa9uetes blo9ueados en el 3&sec o enc0 interfaD de indicar 9ue el t;nel se ha establecido
pero el tr2fico est2 siendo blo9ueado por las reglas en la interfaD 3&sec" pa9uetes blo9ueados en la LA< o de otro tipo interfaD interna puede indicar 9ue una regla adicional puede ser necesaria en conMunto de reglas 9ue la interfaD de per%itir el tr2fico de la subred interna hacia el e/tre%o re%oto del t;nel 3&Sec" pa9uetes blo9ueados en la =A< o interfaces =A< :&T i%pedira un t;nel desde el estableci%iento" <or%al%ente esto slo sucede cuando el auto%2tico reglas '&< est2n deshabilitadas" Adicin de una regla para per%itir el protocolo @S& y el puerto HD& >++ desde 9ue direccin 3& re%ota debe per%itir 9ue el t;nel de establecer" @n el caso
de t;neles %viles? tendr2 9ue per%itir el tr2fico de cual9uier fuente para conectar a los puertos"
.eglas para la interfaD 3&sec se puede encontrar en firewall .egla%ento? en la ficha de 3&sec" o%;n errores incluyen el estableci%iento de una regla para per%itir slo el tr2fico T &? lo 9ue significa cosas co%o 3 !& ping y D<S no funcionara a trav6s del t;nel" 'er aptulo A? Servidor de seguridad &ara obtener %2s infor%acin sobre
c%o crear correcta%ente y solucionar proble%as de reglas de firewall"

@n algunos casos ta%bi6n puede ser posible 9ue un desaMuste aMuste ta%bi6n podra causar tr2fico a fallar
pasa por el t;nel" @n una ocasin? vi a una subred definida en un router no pfSense co%o
(,)"(AC"("(7)1? y en el lado pfSense se (,)"(AC"("+7)1" @l t;nel establecido? pero el tr2fico
no pasara hasta 9ue la subred se corrigi" Ta%bi6n podra haber un proble%a con la for%a en 9ue los pa9uetes est2n siendo derrotados" @Mecucin de un traceroute Jtracert
en =indowsK a una direccin 3& en el lado opuesto del t;nel puede ser esclarecedor" .epita la prueba de a%bos lados del t;nel" 'erifica en el Seccin (*"1")? N@nruta%iento y puerta de enlace de las consideracionesN seccin de este captulo para obtener %2s infor%acin" uando se utiliDa traceroute? ver2 9ue el tr2fico 9ue hace entrar y salir del t;nel 3&sec parece 9ue faltan algunos saltos inter%edios" @sto es
)>B
3&sec
nor%al? y parte de c%o funciona 3&Sec" Tr2fico 9ue no tiene debida%ente en entrar en un t;nel 3&sec
parecen salir de la interfaD =A< y la ruta hacia el e/terior a trav6s de 3nternet? lo 9ue apuntara a ya sea un proble%a de enruta%iento co%o pfSense no ser la puerta de enlace Jco%o en Seccin (*"1")? N@nruta%iento y consideraciones puerta de entrada NK? Hna subred incorrecta re%oto especificado en la definicin del t;nel? o
un t;nel 9ue se ha desactivado"
(*"C"*" Fay algunos e9uipos en el trabaMo? pero no todos

Si el tr2fico entre %29uinas sobre las funciones de '&< correcta%ente? pero algunos hosts no? esto es
nor%al%ente una de las cuatro cosas"

(" Falta? puerta de enlace predeter%inada incorrecta o ignorado I Si el dispositivo no tiene un valor predeter%inado
puerta de enlace? o tiene uno 9ue apunta a algo distinto de pfSense? no sabe c%o adecuada%ente volver a la red re%ota en la '&< Jver Seccin (*"1")? N@nruta%iento y
consideraciones puerta de entrada NK" Algunos dispositivos? incluso con una puerta de enlace predeter%inada se especifica? no utilice 9ue la puerta de enlace" @sto se ha visto en varios dispositivos integrados? incluyendo c2%aras 3& y algunas i%presoras" <o hay nada 9ue poda%os hacer al respecto 9ue? aparte de conseguir el software en
el dispositivo fiMo" Hsted puede verificar esto eMecutando tcpdu%p en la interfaD interna del servidor de seguridad conectado a la red 9ue contiene el dispositivo" Solucin de proble%as con tcpdu%p se trata en
Seccin )>">? NHso de tcpdu%p de la lnea de co%andosN? S un eMe%plo 3&sec especfica puede se encuentra en Seccin )>">"*")? Nt;nel 3&Sec no se conectaN" Si usted ve el tr2fico 9ue va de la dentro de la interfaD en el servidor de seguridad? pero no las respuestas 9ue vienen atr2s? el dispositivo no est2 bien de enruta%iento
el tr2fico de respuesta Jo podra ser 9ue el blo9ueo a trav6s de un servidor de seguridadK"

)" !2scara de subred incorrecta I Si la subred en uso en un e/tre%o es (+"+"+"+7)1 y el otro es (+")>1"+"+7)1? y un host tiene una %2scara de subred incorrecta de )>>"+"+"+ o 7 C? 9ue nunca ser2 capaD de co%unicarse a trav6s de la '&<? ya 9ue piensa 9ue la subred re%ota '&< es parte de los locales
enruta%iento de red y por lo tanto no funcionar2 correcta%ente"

*" Servidor de seguridad I si hay un firewall en el host de destino? puede 9ue no sea per%itir las cone/iones" 1" Las reglas de firewall en pfSense I garantiDar las reglas en a%bos e/tre%os per%iten el tr2fico de red deseada"
(*"C"1" Se blo9uea la cone/in

Fistrica%ente? 3&sec no ha %aneMado con gracia pa9uetes frag%entados" !uchas de estas cuestiones han ha resuelto en los ;lti%os a0os? pero puede haber algunos proble%as persistentes" Si se blo9uea o el pa9uete p6rdida slo se ven cuando se utiliDa protocolos especficos JS!#? .D&? etcK? la !TH =A< puede necesitar reducido" Hna reduccin de !TH se asegurar2 de 9ue los pa9uetes 9ue pasan por el t;nel son de un ta%a0o 9ue se puede trans%itir todo" Hn buen punto de partida sera (*++? y si funciona lenta%ente au%ento
la !TH hasta encontrar el punto de ruptura? a continuacin? retroceder un poco de all2"
)>C
3&sec
(*"C">" N.ando%N T;nel Desconecta 7 Fallas D&D en .outers integrados

Si usted e/peri%enta cado t;neles 3&sec en un AL3G u otro hardware integrado? es posible 9ue
necesidad de desactivar el D&D en el t;nel" Hsted puede ser capaD de correlacionar los fracasos a los tie%pos de alta ancho de banda de uso" @sto sucede cuando la &H en un siste%a de baMo consu%o de energa est2 vinculada con el envo de tr2fico 3&sec o de otro %odo ocupados" Debido a la sobrecarga de la &H no puede to%ar el tie%po para responder a solicitudes de D&D o ver una respuesta a una peticin propia" o%o consecuencia? el t;nel
deMar2 un che9ue D&D y desconectarse"
(*"C"A" 3&sec 3nterpretacin registro

@l 3&sec registros disponibles en estado .egistros del siste%a? en la ficha 3&sec contendr2 un registro de
el proceso de cone/in del t;nel" @n esta seccin? va%os a de%ostrar algunas de las entradas de registro tpica? tanto buenas co%o %alas" Los ele%entos principales 9ue hay 9ue buscar son las frases %2s i%portantes 9ue indican 9ue parte de una cone/in efectiva%ente trabaMadas" Si ve N3SAQ!&ISA establecidoN? eso significa 9ue la fase ( se co%pletado con 6/ito y una Asociacin de Seguridad fue negociado" Si N3&sec SA establecidoN es visto? a continuacin? la Fase ) ta%bi6n ha sido co%pletado y el t;nel debera estar listo y trabaMando en ese punto"
@n los eMe%plos siguientes? el t;nel se inicia desde el sitio A"
(*"C"A"(" one/iones con 6/ito

@stos son eMe%plos de los t;neles de 6/ito? tanto en el %odo principal y agresivo"
(*"C"A"("(" T;nel con 6/ito el %odo principal

.egistro de salida desde el sitio A:
[ToSiteB]: INFO: solicitud IPsec SA para 172.16.3.41 en cola debido a que no se encuentran fase 1. INFORMACIN: comenzar el modo de proteccin de identidad. INFORMACIN: recibi Vendor ID: DPD INFORMACIN: recibi roto Microsoft ID: FRAGMENTACIN
)>,
3&sec
.egistro de resultados de sitio #:
INFORMACIN: comenzar el modo de proteccin de identidad. INFORMACIN: recibi roto Microsoft ID: FRAGMENTACIN INFORMACIN: recibi Vendor ID: DPD
(*"C"A"(")" T;nel con 6/ito el %odo agresivo

.egistro de salida desde el sitio A: [ToSiteB]: INFO: solicitud IPsec SA para 172.16.3.41 en cola debido a que no se encuentran fase 1. INFORMACIN: iniciar el modo agresivo. INFORMACIN: recibi roto Microsoft ID: FRAGMENTACIN INFORMACIN: recibi Vendor ID: DPD NOTIFICACIN: no pudo encontrar el pskey adecuada, tratar de conseguir uno por la direccin del otro extremo.
.egistro de resultados de sitio #:
INFORMACIN: iniciar el modo agresivo. INFORMACIN: recibi roto Microsoft ID: FRAGMENTACIN INFORMACIN: recibi Vendor ID: DPD NOTIFICACIN: no pudo encontrar el pskey adecuada, tratar de conseguir uno por la direccin del otro extremo.
)A+
3&sec
(*"C"A")" @Me%plos @rror de cone/in

@stos eMe%plos %uestran las cone/iones no por varias raDones" @n particular? las partes interesantes de las entradas del registro se har2 hincapi6"
(*"C"A")"(" onflicto de la Fase ( de cifrado

.egistro de salida desde el sitio A: [ToSiteB]: INFO: solicitud IPsec SA para 172.16.3.41 en cola debido a que no se encuentran fase 1. INFORMACIN: comenzar el modo de proteccin de identidad. INFORMACIN: eliminar la fase 2 del controlador. ERROR: fase 1 de negociacin fracas por falta de tiempo para arriba. 96f516ded84edfca: 0000000000000000 .egistro de resultados de sitio #:
INFORMACIN: comenzar el modo de proteccin de identidad. INFORMACIN: recibi roto Microsoft ID: FRAGMENTACIN INFORMACIN: recibi Vendor ID: DPD GRRCR: rec0a4ada enct/pe: D <apo/o n Z 1: RRB [ 1=: &nterca!)io <apo/o n Z 1: RRB [ 1= * 3DGS% %: PGS-% % ERROR: no hay propuestas adecuadas que se encuentran. ERROR: No se pudo obtener propuesta vlida. ERROR: no se pudo paquete pre-proceso. ERROR: fase 1 de negociacin fracas. @n este caso? la entrada de registro 9ue dice e/acta%ente cu2l era el proble%a: @ste lado se fiM para el *D@S encriptacin? y el lado re%oto se ha establecido para A@S" @stablecer tanto para valores coincidentes y vuelva a intentarlo"
(*"C"A")")" onflicto de la Fase ( Grupo de DF

@n este caso? las entradas del registro ser2 e/acta%ente co%o el anterior? e/cepto 9ue la lnea se hiDo hincapi6 en en lugar de:
)A(
3&sec
@ste error se puede corregir %ediante la creacin del grupo DF configuracin en a%bos e/tre%os del t;nel a una correspondiente valor"
(*"C"A")"*" onflicto de &reIshared Qey

Hna de las claves no coinciden preIco%partida puede ser un poco %2s difcil de diagnosticar" Hn error 9ue indica el hecho de 9ue
este valor no coincide no se i%pri%e en el registro? en lugar podr2s ver un %ensaMe co%o este: [ToSiteB]: NOTIFICACIN: el paquete es retransmitido por 172.16.3.41 [500] (1).
Si detecta un error si%ilar al anterior? co%pruebe 9ue las claves preIco%partidas coinciden en a%bos e/tre%os"
(*"C"A")"1" onflicto de la Fase ) de cifrado

.egistro de salida desde el sitio A:
[ToSiteB]: INFO: solicitud IPsec SA para 172.16.3.41 en cola debido a que no se encuentran fase 1.
INFORMACIN: comenzar el modo de proteccin de identidad. INFORMACIN: recibi Vendor ID: DPD INFORMACIN: recibi roto Microsoft ID: FRAGMENTACIN
GRRCR: fatal >C-RRCR9GSBP-G#GN&DC !ensa.e de notificacin\ fase 1 de)e ser eli!inado. .egistro de resultados de sitio #:
PD+GRBG>%&P: pares PGS:: trns_id coincidentes: !i 3DGS GRRCR: no se repite GRRCR: no e-iste (na pol]tica adec(ada '(e se enc(entran. GRRCR: no se p(do pa'(ete pre-proceso. @n estas entradas de registro? se puede ver 9ue la Fase ( co%plet con 6/ito JN3SAQ!&ISA establecido NK? pero no durante la Fase )" &or otra parte? afir%a 9ue no pudo encontrar un adecuado propuesta? y desde el sitio # registros pode%os ver 9ue esto se debi a los sitios 9ue se establece para los diferentes tipos de cifrado? A@S? por un lado y *D@S por el otro"
)A)
3&sec
(*"C"A")">" :tra Fase ) no coincidentes de 3nfor%acin

Algunos otros Fase ) errores co%o los valores no coinciden o no coinciden &FS subredes re%otas
dar lugar a la salida del registro %is%o" @n este caso? hay pocos recursos? pero para ver cada opcin de
garantiDar la configuracin de coincidir en a%bos lados" .egistro de salida desde el sitio A: [ToSiteB]: INFO: solicitud IPsec SA para 172.16.3.41 en cola debido a que no se encuentran fase 1. INFORMACIN: comenzar el modo de proteccin de identidad. INFORMACIN: recibi Vendor ID: DPD INFORMACIN: recibi roto Microsoft ID: FRAGMENTACIN
[ToSiteB]: ERROR: 172.16.3.41 renunciar a conseguir IPsec SA por falta de tiempo hasta que esperar. .egistro de resultados de sitio #:
GRRCR: no e-iste (na pol]tica '(e se enc(entran: 192.168.30.0627 ^0_ 192.168.32.0627 ^0_ * c(al'(ier proto dir * en GRRCR: >o se p(do o)tener prop(esta de resp(esta. GRRCR: no se p(do pa'(ete pre-proceso. Los errores indican 9ue las propuestas para la fase ) no estuvo de acuerdo? y todos los valores en la Fase ) seccin debe ser revisado? as co%o las definiciones de subred re%ota"
<ota
@n algunos casos? si una parte ha establecido en SL& f(era? S el otro lado tiene un conMunto de valores? el t;nel todava establecer y trabaMo" @l desaMuste se %uestra %2s arriba slo se puede ver si el desaMuste valores? por eMe%plo 1 vs ""
(*"C"A"*" :tros errores co%unes

Algunos %ensaMes de error se pueden encontrar en el registro de 3&sec" Algunas son inofensivas? y son los de%2s indicativos de posibles proble%as" &or lo general? los %ensaMes de registro son bastante sencillas en su significado?
)A*
3&sec
e indicar los diversos proble%as 9ue se establece un t;nel con raDones por 9u6" Fay algunos? sin e%bargo? 9ue son un poco %2s oscuro" 20 de febrero racoon 10:33:41: Error: Error al paquete de pre-proceso. 20 de febrero 10:33:41 racoon: ERROR: No se pudo obtener sainfo.
@sto es %2s frecuente cuando las definiciones de subred local y 7 o re%oto de for%a incorrecta
especificadas? especial%ente si la %2scara de subred se establece incorrecta%ente en un lado" racoon: ERROR: El mensaje no debe ser encriptada.
3ndica 9ue puede haber un proble%a con el tr2fico 9ue llega desde el otro e/tre%o del t;nel" &ruebe a reiniciar el servicio de %apache en el router leMos a tu lado por la navegacin a @stado Servicios y
clic Reinicie Munto al %apache" racoon: ERROR: no puede iniciar el modo rpido, no hay ISAKMP-SA. &uede indicar un proble%a con el envo de tr2fico local en el t;nel re%oto? ya 9ue un 3SAQ!& Asociacin de Seguridad no se ha encontrado" &uede ser necesario reiniciar el servicio de racoon una o a%bas partes a aclarar esto" racoon: INFO: solicitud para el establecimiento de IPsec SA se puso en cola debido a que no se encuentran fase 1. @sto es nor%al? y general%ente se observa cuando un t;nel se estableci por pri%era veD" @l siste%a intentar2 en pri%er lugar co%pletar una fase de una cone/in con el otro lado y luego continuar" racoon: INFO: no compatible PF_KEY mensaje REGISTRO @sto no es da0ino ta%bi6n? y se encuentra tpica%ente en el registro poco despu6s de 9ue co%ience el de%onio racoon"
(*"C"B" AvanDadas de depuracin

uando la negociacin est2 fallando? sobre todo cuando se conecta a dispositivos de terceros en los 9ue 3&sec no es tan f2cil para 9ue coincida con la configuracin por co%pleto entre las dos partes? a veces la ;nica %anera de &ara obtener infor%acin adecuada para resolver el proble%a consiste en eMecutar %apache en el pri%er plano de depuracin %odo" &ara ello? inicie sesin por pri%era veD en su firewall usando SSF y eligi la opcin 8 en el %en; de la consola de un s%bolo del siste%a" @Mecutar los siguientes co%andos" #1illall racoon Ahora espera unos > segundos para el proceso de cerrar e iniciar de nuevo con el siguiente"
#racoon-F-d-$-f 6 $ar 6 etc 6 racoon.conf
)A1
3&sec
La pri%era lnea se detiene el proceso de racoon e/istentes" Se inicia el segundo racoon en pri%er plano
J-FK? on la depuracin J-DK? @l au%ento de nivel de detalle J-VK? HtiliDando el archivo de configuracin / Var / etc / racoon.conf J-FK" orrer en el pri%er plano hace 9ue %uestre sus registros en su SSF perodo de sesiones? para 9ue pueda ver lo 9ue est2 sucediendo en tie%po real" &ara salir de %apache? pulse %trl% y el servicio se interru%pir2" Despu6s de ter%inar con la depuracin? tendr2 9ue e%peDar a racoon nor%al%ente" La for%a %2s sencilla de hacerlo es ver a @stado Servicios en la interfaD web y
haga clic en Munto al %apache"
<ota
@ste %6todo de depuracin es perMudicial para todos los 3&sec en el siste%a? cuando
%atar a racoon usted caer2 todas las cone/iones 3&sec" Debido al volu%en de registros 9ue se tienen 9ue ordenar a trav6s de %;ltiples cone/iones 3&sec activa? %ientras 9ue depurar un proble%a con uno de ellos es %2s f2cil si se puede desactivar los otros? %ientras 9ue solucin de proble%as" @n general? este %6todo de depuracin se realiDa slo cuando se lleva
una nueva cone/in 3&sec"
(*"," onfiguracin de dispositivos de terceros 3&sec

Hsted puede conectar cual9uier dispositivo '&< de apoyo est2ndar 3&sec con pfSense" Se est2 utiliDando
de la produccin en co%binacin con e9uipos de nu%erosos vendedores N? y debera funcionar bien con cual9uier dispositivo capaD de 3&sec en la red" Dispositivos de cone/in de dos proveedores diferentes puede ser un proble%a? independiente%ente de los vendedores involucrados debido a las diferencias de configuracin entre los vendedores? en algunos casos errores en las i%ple%entaciones? y el hecho de 9ue algunos de ellos utiliDan e/tensiones propietarias" @n esta seccin se ofrece una orientacin general sobre la configuracin de 3&sec '&< con e9uipos de terceros? as co%o eMe%plos especficos sobre la configuracin de cortafuegos isco &3G y
3:S de los routers"
(*","(" :rientaciones generales para dispositivos de terceros 3&sec

&ara configurar un t;nel 3&Sec entre pfSense y un dispositivo de otro proveedor? el principal
preocupacin es garantiDar 9ue la fase de los par2%etros ( y ) coinciden en a%bos lados" &ara la configuracin
opciones sobre pfSense? donde se le per%ite seleccionar %;ltiples opciones 9ue debe seleccionar por lo general slo
una de esas opciones y asegurar el otro lado se encuentra el %is%o" Los e/tre%os deben negociar
una opcin co%patible cuando se seleccionan varias opciones? sin e%bargo? 9ue es con frecuencia una fuente de proble%as cuando se conecta a dispositivos de terceros" onfigurar los dos e/tre%os de lo 9ue usted cree son
configuracin de Muego? y guardar y aplicar los ca%bios en a%bos lados"

Hna veD 9ue usted cree 9ue la configuracin de partido en los dos e/tre%os del t;nel? intento de pasar el tr2fico trav6s de la '&< para activar su inicio? a continuacin? ver sus registros de 3&sec en a%bos e/tre%os para revisar la
)A>
3&sec
negociacin" Dependiendo de la situacin? los registros de un e/tre%o puede ser %2s ;til 9ue los
desde el e/tre%o opuesto? por lo 9ue es bueno para co%probar y co%parar a%bas" Se encuentra el pfSense lado proporciona una %eMor infor%acin en algunos casos? %ientras 9ue en otras ocasiones el otro dispositivo proporciona %2s ;til de registro" Si la negociacin fracasa? deter%inar si se trataba de la fase ( o ) 9ue fall y bien revisar la configuracin en consecuencia? co%o se describe en Seccin (*"C? N3&sec
Solucin de proble%as N"
(*",")" isco &3G :S A"/

La configuracin siguiente sera para un isco &3G se eMecuta en A"/ co%o sitio # de la
eMe%plo de sitio a sitio de configuracin en este captulo" 'er Seccin (*"1"(? NSitio de eMe%plo de sitio web
configuracin N Hn sitio para la configuracin de pfSense" con sysopt permiso ipsec ISAKMP habilitar fuera ! --- Fase 1 ISAKMP direccin de la identidad ISAKMP una poltica de cifrado 3DES ISAKMP poltica de un hash SHA poltica de ISAKMP un grupo 2 ISAKMP poltica de un curso de la vida 86400 ISAKMP poltica de una autenticacin previa al compartir
! --- Fase 2 cripto ipsec transformar-set 3dessha1 esp-3des-sha-esp hmac PFSVPN lista de acceso IP permiten 10.0.10.0 255.255.255.0 192.168.1.0 255.255.255.0 Mapa cripto-dyn mapa 10 IPSec ISAKMP mapa cifrado dyn-10 direccin mapa partido PFSVPN cripto-mapa mapa din 10 que se pares 172.23.1.3 Mapa cripto-dyn mapa 10 que se transforman-set 3dessha1 mapa cifrado mapa dyn-10 que la asociacin de seguridad-3600 segundo curso de la vida Mapa cripto-dyn mapa de interfaz fuera ! --- No nat-para asegurar las rutas a travs del tnel Nonat lista de acceso IP permiten 10.0.10.0 255.255.255.0 192.168.1.0 255.255.255.0 nat (interior) 0 Nonat lista de acceso
(*","*" isco &3G :S B"/? C"/? y ASA

)AA
3&sec
onfiguracin de las revisiones %2s recientes del siste%a operativo para dispositivos &3G y ASA es si%ilar a la de la
los %2s vieMos? pero tiene algunas diferencias significativas" @n el eMe%plo siguiente sera para el uso de una &3G B"/y corriendo :S o C"/? o un dispositivo de ASA? co%o el sitio # en el eMe%plo de sitio a sitio anterior en este captulo" 'er Seccin (*"1"(? Nde la web a la configuracin del sitio de eMe%ploN para el correspondiente
Hna configuracin del sitio" ISAKMP cifrado permiten exterior ! --- Fase 1 cripto poltica ISAKMP 10 autenticacin previa al compartir Encriptacin 3DES hash SHA el grupo 2 86.400 de por vida tnel grupo 172.23.1.3 tipo ipsec-L2L tnel grupo 172.23.1.3 ipsec-atributos XyZ9 abc123 pre-compartida-clave% $ 7qwErty99 ! --- Fase 2 cripto ipsec transformar-set 3dessha1 esp-3des-sha-esp hmac cripto outside_map mapa discurso del 20 de partido PFSVPN mapa cifrado outside_map 20 pares conjunto 172.23.1.3 cripto outside_map mapa 20 establece transformar-set 3dessha1 mapa cifrado outside_map interfaz externa ! --- No nat-para asegurar las rutas a travs del tnel nat (interior) 0 Nonat lista de acceso
(*","1" isco 3:S de routers

@sto %uestra un router de isco 3:S basadas en el sitio # de la configuracin de eMe%plo de sitio a sitio anterior en el captulo" 'ea la seccin Seccin (*"1"(? Nde la web a la configuracin del sitio de eMe%ploN para el sitio A configuracin de pfSense" ! --- Fase 1 cripto poltica ISAKMP 10 3des ENCR autenticacin previa al compartir
)AB
3&sec
el grupo 2 ISAKMP criptografa de clave XyZ9 abc123% $ 7qwErty99 direccin 172.23.1.3 no xauth! --- Fase 2
access-list 100 permit 192.168.1.0 0.0.0.255 IP 10.0.10.0 0.0.0.255 access-list 100 IP permiten 10.0.10.0 192.168.1.0 0.0.0.255 0.0.0.255
cifrado 3DES IPSec transformar-set-SHA esp-3des-sha-esp hmac mapa cifrado PFSVPN 15 IPSec ISAKMP conjunto de pares 172.23.1.3 conjunto transformar-set 3DES-SHA coincidir con la direccin 100 ! --- Asignar el mapa de cifrado para la interfaz WAN interfaz FastEthernet0 / 0 cripto mapa PFSVPN ! --- No Nat-por lo que este trfico se realiza a travs del tnel, no de la WAN ip nat dentro de la fuente FastEthernet0 interfaz de ruta, mapa Nonat / 0 sobrecarga access-list 110 deny ip 192.168.1.0 0.0.0.255 0.0.0.255 10.0.10.0 lista de acceso IP 110 permite 10.0.10.0 0.0.0.255 cualquier mapa de rutas Nonat permiso de 10 coincidir con la direccin IP 110
)AC
aptulo (1" &&T& '&<

pfSense puede actuar co%o un servidor &&T& '&< co%o una de sus tres opciones de '&<" @ste es un atractivo
opcin ya 9ue el cliente se construye en cada versin de =indows y :S G lanDado en el pasado
d6cada" Ta%bi6n puede proporcionar los servicios de pasarela a un servidor interno de &&T&"
&ara una discusin general de los distintos tipos de redes privadas virtuales disponibles en pfSense y sus pros y sus contras?
(1"(" &&T& Advertencia de seguridad

Si no lo ha hecho? usted debe leer Seccin ()")"B? Ncriptogr2fica%ente seguraN sobre '&<
la seguridad" &&T& se utiliDa %ucho? pero no es la solucin de '&< %2s seguras disponibles"
(1")" &&T& y reglas de firewall

De for%a predeter%inada? cuando se tiene la redireccin de &&T& o el servidor &&T& habilitado? reglas ocultas cortafuegos se a0adir2n auto%2tica%ente a la =A< para per%itir el tr2fico T & (B)* y G.@ de cual9uier fuente para la direccin de destino" &uede desactivar este co%porta%iento en pfSense (")"* y versiones posteriores de co%probacin Deshabilitar todas las autoIagreg '&< cuadro de nor%as en Siste%a AvanDado" @s posible 9ue desee hacer esto si usted conoce a sus clientes &&T& se conecta ;nica%ente de deter%inadas redes re%otas" @ste evita posibles abusos de servidores de 3nternet arbitrarios? pero en las i%ple%entaciones de los usuarios son %viles y se conecta desde nu%erosos lugares? es i%posible conocer todas las subredes los usuarios se proceder2 de lo 9ue apriete el conMunto de reglas no es pr2ctico y causar dificultades a los
sus usuarios"
(1"*" &&T& y !ultiI=A<

Desafortunada%ente debido a la for%a &&T& obras? y la for%a en &F funciona con el protocolo G.@?
slo es posible eMecutar un servidor &&T& en la interfaD =A< pri%aria
(1"1" &&T& Li%itaciones

@l cdigo de segui%iento del estado en el software de servidor de seguridad subyacentes &F para el protocolo G.@ slo puede
el segui%iento de una sola sesin por 3& p;blica por servidor e/terno" @sto significa 9ue si usted utiliDa &&T& '&<
cone/iones? slo una %29uina interna se pueden conectar si%ult2nea%ente a un servidor &&T& en la
)A,
&&T& '&<
De 3nternet" Hn %illar de %29uinas se pueden conectar si%ult2nea%ente a un %illar de diferentes servidores &&T&?
pero slo una veD en un ;nico servidor" @l ;nico trabaMo disponible todo es de uso %;ltiple 3&s p;blicas en el cortafuegos? uno por cliente? o para usos %;ltiples 3&s p;blicas en el e/terior &&T&
servidor" @sto no es un proble%a con otros tipos de cone/iones '&<"

@sta %is%a li%itacin ta%bi6n significa 9ue si se habilita el servidor &&T& o la funcionalidad de redireccin? ning;n cliente <AT a su direccin 3& =A< se puede conectar a cual9uier servidor fuera de &&T&" @l trabaMo en torno a esto es <AT acceso de sus clientes de 3nternet de salida a un p;blico distinto
direccin 3&"
@stas dos li%itaciones son capaces de ser trabaMados en torno en la %ayora de entornos? sin e%bargo la fiMacin esta es una gran prioridad para la versin )"+ de pfSense" @n el %o%ento de escribir esto? el trabaMo de desarrollo
9ue est2 sucediendo para eli%inar esta li%itacin? aun9ue no se sabe si tendr2 6/ito"
(1">" onfiguracin del servidor &&T&

&ara configurar el servidor &&T&? pri%ero vaya a '&< &&T&" Seleccione Fabilitar el servidor &&T&"
(1">"(" Direcciona%iento 3&

Hsted tendr2 9ue decidir 9u6 direcciones 3& a utiliDar para el servidor &&T& y clientes" La
rango de direccin a distancia es general%ente una parte de la subred LA<? co%o (,)"(AC"("()C7)C J+"()C a trav6s de +"(1*K" A continuacin? seleccione una direccin 3& fuera del rango de la direccin del servidor? tales co%o
(,)"(AC"("(11 co%o se %uestra en Figura (1"(? NDirecciona%iento 3& &&T&N"
Figura (1"(" &&T& direcciona%iento 3&
<ota
@sta subred no tiene 9ue estar contenido dentro de una subred e/istentes en el router"
Hsted puede usar un conMunto co%pleta%ente diferente de direcciones 3& si se desea"
)B+
&&T& '&<
(1">")" Autenticacin
Hsted puede autenticar a los usuarios de la base de datos de usuarios locales? oa trav6s de .AD3HS" .AD3HS per%ite conectarse a otro servidor de su red para proporcionar autenticacin" @sto puede ser usado
para autenticar usuarios de &&T& de !icrosoft Active Directory Jv6ase Seccin )1"(? N.AD3HS
Autenticacin con =indows Server NK as co%o nu%erosos servidores .AD3HS de otro tipo 9ue puedan"
Si se usa .AD3HS? consulte el uso de un servidor .AD3HS para la autenticacin y la caMa de relleno en el
Servidor .AD3HS y el secreto co%partido" &ara la autenticacin utiliDando la base de datos de usuarios locales? deMe 9ue casilla sin %arcar" Hsted tendr2 9ue agregar a los usuarios en la ficha de usuario de la '&< &&T& pantalla a %enos 9ue utilice .AD3HS" 'er Seccin (1">"A? NA0adir usuarioN a continuacin para obtener %2s detalles sobre la construccinI
en el siste%a de autenticacin"
(1">"*" .e9uerir cifrado de ()C bits

Hsted debe e/igir el cifrado de ()C bits cuando sea posible" La %ayora de los clientes &&T& apoyo de ()C bits cifrado? por lo 9ue este debe estar bien en la %ayora de entornos" &&T& es relativa%ente d6bil a ()C bits? y significativa%ente %2s 9ue a los 1+ y >A bits" A %enos 9ue sea absoluta%ente necesario? nunca debe usar
algo %enos de ()C bits con &&T&"
(1">"1" Guardar los ca%bios para iniciar servidor &&T&

Despu6s de co%pletar los ele%entos antes %encionados? haga clic en Guardar" @sto guardar2 la configuracin y poner en %archa el servidor &&T&" Si se autentifica a los usuarios con la base de datos de usuarios locales? haga clic en
en la ficha Hsuarios y entrar a los usuarios all"
(1">">" onfigurar reglas de firewall para clientes &&T&

'aya a Servidor de seguridad .eglas y haga clic en la ficha &&T& '&<" @stas reglas de control de tr2fico lo Se per%ite de clientes &&T&" Fasta 9ue se agrega una regla de firewall a9u? todo el tr2fico iniciado desde relacionada clientes &&T& se blo9uear2n" Tr2fico inicia desde la LA< a los clientes &&T& controla %ediante las reglas de firewall LA<" Al principio es posible 9ue desee agregar una regla 9ue todos los a9u para propsitos de prueba co%o se %uestra en Figura (1")? Nlas reglas de firewall '&< &&T&N? y una veD 9ue co%pruebe
funcionalidad? restringir el conMunto de reglas a su gusto"
)B(
&&T& '&<
Figura (1")" &&T& '&< Firewall de .egla
(1">"A" Adicin de usuarios

Adicin de usuarios a trav6s de .AD3HS puede variar de una aplicacin a otra" @ste hecho hace
%2s all2 del alcance de esta seccin? sino 9ue debe ser cubierto en la docu%entacin de la particular
servidor .AD3HS 9ue es e%pleado" Adicin de usuarios a pfSense incorporado en &&T& siste%a de usuarios es %uy f2cil" @n pri%er lugar? haga clic en '&< &&T&?
y luego en la pesta0a Hsuarios" Se le presentar2 con una pantalla de usuarios vaca co%o se %uestra en Figura (1"*?
NLos usuarios de &&T& TabN" Faga clic en el botn para a0adir un usuario"
Figura (1"*" &&T& usuario Tab

Despu6s de hacer clic? la p2gina de edicin de usuario aparecer2" .ellenarlo con el no%bre de usuario y contrase0a para un usuario? co%o en Figura (1"1? NAdicin de un usuario &&T&N" Ta%bi6n podr2n participar en una asignacin de 3& est2tica
si lo desea"
)B)
&&T& '&<
Figura (1"1" Adicin de un usuario &&T&

Faga clic en Guardar y? a continuacin la lista de usuarios retorno JFigura (1">? NAplicar los ca%bios &&T&NK? &ero antes de el ca%bio entrar2 en vigor? el botn Aplicar ca%bios pri%ero hay 9ue hacer clic"
Figura (1">" Aplicar los ca%bios &&T&

.epita este proceso para cada usuario 9ue desea agregar? final%ente tendr2 un lugar lleno
%irando la lista de usuarios? co%o en Figura (1"A? NLista de Hsuarios &&T&N"
)B*
&&T& '&<
Figura (1"A" Lista de Hsuarios &&T&

Si usted necesita para editar un usuario e/istente? haga clic en" Los usuarios pueden ser eli%inados por clic"
(1"A" &&T& configuracin del cliente

Ahora 9ue su servidor &&T& est2 configurado y listo? tendr2 9ue configurar &&T&
clientes" Las secciones siguientes proporcionan instrucciones sobre la configuracin de =indows G&? =indows 'ista
y !ac :S G para conectarse a un servidor &&T&"
(1"A"(" =indows G&

Abra el &anel de control? y haga doble clic en one/iones de red JFigura (1"B? N.ed
one/iones NK"
Figura (1"B" one/iones de red

@n Tareas de red? haga clic en rear una cone/in nueva JFigura (1"C? NTareas de redNK" @n el
pantalla de bienvenida del asistente? haga clic en Siguiente"
)B1
&&T& '&<
Figura (1"C" Tareas de red

Seleccione onectarse a la red de %i lugar de trabaMo? co%o en la Figura (1",? N one/in lugar de trabaMoN? y haga clic en Siguiente"
Seleccione one/in de red privada virtual? co%o en la Figura (1"(+? N onectar a '&<N? a continuacin? haga clic en
Siguiente"
@scriba un no%bre para la cone/in en no%bre de la e%presa? al igual 9ue en la Figura (1"((? N one/in
N<o%bre? y haga clic en Siguiente"
3ntroduDca la direccin 3& =A< del router re%oto pfSense baMo el no%bre de host o direcciones 3&? al igual 9ue
Figura (1"()? NLa cone/in de hostN? y haga clic en Siguiente? haga clic en FinaliDar JFigura (1"(*? NAcabado
la cone/in NK"
Ahora tiene un &&T& entrada de acceso telefnico 9ue funciona co%o cual9uier otro DailIup" Hna solicitud de el no%bre de usuario y contrase0a? al igual 9ue en la Figura (1"(1? N one/in de di2logoN? se %ostrar2 cuando la cone/in inicial se intenta" Lo %eMor es no conectar todava? sin e%bargo" ancelar este cuadro de di2logo si
aparece y vuelve a intentarlo despu6s de seguir el resto de esta seccin"
)B>
&&T& '&<
Figura (1"(>" &ropiedades de la cone/in

Fay algunos otros aMustes 9ue necesita revisarse y aMustarse tal veD" Desde dentro de la .ed
one/iones? haga clic en el icono de la cone/in &&T&? haga clic en &ropiedades JFigura (1"(>?
N&ropiedades de la cone/inNK"
Faga clic en la ficha de seguridad JFigura (1"(A? NFicha SeguridadNK" #aMo 'erificar %i identidad co%o sigue? aseg;rese de 9ue .e9uerir contrase0a asegurado 9ue se eliMa" Aseg;rese ta%bi6n de 9ue .e9uerir cifrado de datos
JDesconectar si no hayK est6 %arcada"

Ahora haga clic en la ficha .edes" o%o se puede ver en la Figura (1"(B? NFicha de redN? el tipo de de '&< desplegable por defecto P(to!Otica" Lo 9ue esto real%ente significa es Nprobar cosas hasta 9ue algo las obras" N&&T& es lo ;lti%o 9ue =indows intentar2? y habr2 un retraso de hasta *+ segundos o
%2s %ientras espera a 9ue las otras opciones para el tie%po de espera? as 9ue lo %2s probable es 9ue desee seleccionar RRBR a9u para evitar 9ue la de%ora y cual9uier co%plicacin 9ue pueda surgir de la %etodologa auto%2tica de =indows"
De for%a predeter%inada? esta cone/in se enviar2 todo el tr2fico a trav6s de la cone/in &&T& co%o su puerta de enlace" @sto puede o puede no ser conveniente? dependiendo de la configuracin deseada" @ste co%porta%iento es configurables? sin e%bargo" &ara ca%biar esto? haga doble clic en &rotocolo 3nternet JT & 7 3&K y haga clic en el botn :pciones avanDadas" Ahora desactive Hsar puerta de enlace predeter%inada en la red re%ota co%o en la figura (1"(C? N.e%ote Gateway !arcoN? a continuacin? haga clic en Aceptar en todas las ventanas abiertas" on esta opcin sin %arcar?
slo el tr2fico con destino a la subred de la cone/in &&T& atravesar el t;nel"
)BA
&&T& '&<
Ahora la cone/in &&T& slo enviar2 el tr2fico destinado a la subred a trav6s de la '&<" Si necesidad de enrutar el tr2fico de for%a selectiva? vea Seccin (1"(+? N&&T& enruta%iento trucosN"
(1"A")" =indows 'ista
Figura (1"(," 'ista one/iones de red

Faga clic en el icono indicador de cone/in de red en la bandeMa del siste%a Munto al reloM? a continuacin? haga clic en
onectar o Desconectar co%o se ve en Figura (1"(,? N one/iones de red 'istaN"

Faga clic en onfigurar una cone/in o red JFigura (1")+? N onfiguracin de una cone/inNK? A continuacin? haga clic en onectar
a un lugar de trabaMo JFigura (1")(? N onectar a un lugar de trabaMoNK S luego en Siguiente"
Figura (1")+" onfiguracin de una cone/in
Figura (1")(" onectar a un lugar de trabaMo

Si se le solicita? seleccione <o? crear una nueva cone/in? y haga clic en Siguiente"
)BB
&&T& '&<
Faga clic en Hsar %i cone/in a 3nternet J'&<K JFigura (1"))? N onectar con '&<NK"
Figura (1"))" onectarse a trav6s de '&<

@n la siguiente pantalla? se %uestra en la Figura (1")*? N onfiguracin de la cone/inN? @scriba la direccin 3& =A< del %ando a distancia router pfSense en Direccin de 3nternet" @scriba un no%bre para la cone/in con el no%bre de Destino" o%pruebe <o onnect <ow y haga clic en Siguiente"
Figura (1")*" onfiguracin de la cone/in

@scriba el no%bre de usuario y contrase0a? co%o en Figura (1")1? N onfiguracin de la autenticacinN? A continuacin? haga clic en
rear" Hna pantalla co%o Figura (1")>? NLa cone/in est2 listoN debe aparecer lo 9ue indica 9ue la
cone/in se ha creado"
)BC
&&T& '&<
Figura (1")1" onfiguracin de autenticacin
Figura (1")>" La cone/in est2 listo

Hsted debe ahora tener una &&T& entrada de acceso telefnico 9ue funciona co%o cual9uier otro DailIup" .2pida%ente
acceder haciendo clic en el icono indicador de cone/in de red en la bandeMa del siste%a? haga clic en onectar
o Desconectar? eliMa la cone/in '&< y haga clic en onectar"

Sin e%bargo? antes de conectar por pri%era veD? hay algunas otras opciones para corroborar" @n pri%er lugar?
haga clic en el icono indicador de cone/in de red en la bandeMa del siste%a? y haga clic en onectar o Desconectar" Faga clic derecho sobre la cone/in '&< 9ue se acaba de crear? a continuacin? haga clic en &ropiedades co%o se %uestra
en la Figura (1")A? N:btener propiedades de la cone/inN"
)B,
&&T& '&<
a%bie a la ficha de seguridad JFigura (1")B? N onfiguracin de '&< de SeguridadNK" #aMo verificar %i identidad
de la siguiente %anera? aseg;rese de 9ue .e9uerir contrase0a asegurado 9ue se eliMa" Aseg;rese ta%bi6n de 9ue los datos re9uieren
cifrado Jdesconectar si no hayK est6 %arcada"
Figura (1")B" '&< onfiguracin de seguridad

Ahora ca%bie a la ficha Funciones de red JFigura (1")C? N onfiguracin de .edes '&<NK" @s probable 9ue
la %eMor %anera de desactivar &rotocolo de 3nternet versin A JT &73&vAK en este %o%ento" @l tipo de '&< desplegable por defecto P(to!Otica" Lo 9ue esto real%ente significa es Nprobar cosas hasta 9ue
algo funciona" N&&T& es lo ;lti%o 9ue =indows intentar2? y habr2 un retraso de hasta
)C+
&&T& '&<
*+ segundos o %2s %ientras espera a 9ue las otras opciones para el tie%po de espera? as 9ue lo %2s probable es 9ue desee seleccionar
RRBR a9u para evitar 9ue el retraso y las co%plicaciones 9ue pudieran surgir de la auto%2tica de =indows
%etodologa"
Al igual 9ue con =indows G&? esta cone/in se enviar2 todo el tr2fico a trav6s de la cone/in &&T& co%o su puerta de enlace" @sto puede o puede no ser conveniente? dependiendo de la configuracin deseada" Si 9uiere todo el tr2fico para cruDar el t;nel? pase el resto de esta seccin" De lo contrario? haga clic en 3nternet
&rotocol 'ersion 1 JT &73&v1K y haga clic en &ropiedades"
Figura (1")C" '&< onfiguracin de .edes
)C(
&&T& '&<
Figura (1")," '&< Gateway

Faga clic en el botn :pciones avanDadas y? a continuacin? desactive Hsar puerta de enlace predeter%inada en la red a distancia co%o se %uestra
en Figura (1"),? Npuerta de enlace '&<N" Faga clic en Aceptar o en errar en todas las ventanas 9ue se abrieron Musto" Ahora la cone/in &&T& slo enviar2 el tr2fico destinado a la subred a trav6s de la '&<" Si
necesidad de enrutar el tr2fico de for%a selectiva? vea Seccin (1"(+? N&&T& enruta%iento trucosN"
)C)
&&T& '&<
(1"A"*" =indows B
@l cliente &&T& procedi%iento de configuracin en la versin de lanDa%iento J.T!K de =indows B es pr2ctica%ente id6ntica para =indows 'ista"
(1"A"1" !ac :S G
Abra &referencias del Siste%a? a continuacin? haga clic en 'er .ed" Faga clic en el signo %2s en la parte inferior de la lista
de los adaptadores de red para agregar una nueva cone/in? 9ue puede verse en Figura (1"*+? NAgregar
cone/in de red N"
Figura (1"*+" Agregar una cone/in de red

@n la cada de la interfaD de abaMo? seleccione '&< y '&< de tipo seleccione &&T&" .ellene el no%bre del servicio co%o 9ue desee y haga clic en rear" @stas opciones se %uestran en la Figura (1"*(? NAgregar cone/in &&T& '&<N
)C*
&&T& '&<
Figura (1"*(" A0adir &&T& '&< cone/in
Figura (1"*)" onfigurar la cone/in &&T& '&<
)C1
&&T& '&<
@sto le llevar2 de nuevo a la pantalla de red donde haya ter%inado la configuracin de la '&< &&T&
cone/in" .ellene el no%bre de la direccin del servidor de cuenta? y eliMa %2/i%o J()C bitsK para ifrado" Hn eMe%plo se %uestra en la Figura (1"*)? N onfiguracin de cone/in &&T& '&<N" A continuacin?
haga clic en el botn :pciones avanDadas"

La pantalla se ha avanDado una serie de opciones? algunas de ellas se %uestra en la Figura (1"**? NAvanDada opciones N? aun9ue slo una es posible 9ue desee considerar un ca%bio" La @nviar todo el tr2fico a trav6s de '&< caMa de cone/in est2 desactivada por defecto" Si 9uieres todo el tr2fico del cliente al atravesar el
'&< %ientras est2 conectado? %ar9ue esta casilla" Faga clic en Aceptar cuando haya ter%inado"
Figura (1"**" :pciones avanDadas

Desde 9ue %e registr6 !ostrar estado de '&< en la barra de %en; co%o se %uestra en Figura (1"*)? N onfiguracin de '&< &&T& cone/in N? !i cone/in ahora se %uestra en la parte superior de la pantalla" &ara conectarse? haga clic en el no%bre
de su cone/in co%o la 9ue se observa en Figura (1"*1? N onectar a &&T& '&<N"
)C>
&&T& '&<
Figura (1"*1" onectar con &&T& '&<
(1"B" Au%entar el l%ite de usuarios si%ult2neos

@s posible au%entar el l%ite de usuarios si%ult2neos de la predeter%inada codificado (A? aun9ue slo
a trav6s de opciones ocultas config"/%l" &ara au%entar su l%ite? vaya a los Diagnsticos opia de seguridad 7 .estaurar la pantalla? y haga clic en Descargar configuracin" Abra la copia de seguridad G!L descargado en un te/to
editor y despl2cese hacia abaMo para OpptpP" <pptp> <n_pptp_units>16</ N_pptp_units> <pptp_subnet>28</ Pptp_subnet>
o%o se puede ver arriba? la configuracin predeter%inada para (A clientes en un 7 )C de subred se encuentra en esa seccin" on el fin de per%itir a %2s clientes? debe aMustar tanto el n;%ero de cone/in y la subred" @n el siguiente eMe%plo? no sera de *) cone/iones de clientes? y un blo9ue de *) direcciones 3& 9ue se utiliDa" Tenga en cuenta 9ue esto no es una subred tradicionales en s? sino un %edio de especificar un rango dentro de una
%2s grande de la red" &or eso? todas las direcciones 3& en la NsubredN definicin se pueden utiliDar" <pptp> <n_pptp_units>%2</ N_pptp_units> <pptp_subnet>2&</ Pptp_subnet>
)CA
&&T& '&<
(1"C" &&T& redireccin

redireccin &&T& per%ite reenviar el tr2fico &&T& destinado a la =A< 3& a un interno
servidor &&T&" &ara activarla? seleccione .edirigir cone/iones entrantes &&T& e introduce tu interior servidor &&T& 3& en el cuadro de la redireccin de &&T&" @sto es funcional%ente e9uivalente a la adicin de &uerto Adelante de las entradas para el puerto T & (B)* y el protocolo G.@ a su servidor interno de &&T&? 9ue se puede hacer en lugar si lo prefiere" Su e/istencia es en gran parte del control sobre %+n+wall? donde el 3&Filter subyacente no ad%ite el reenvo del protocolo G.@" Se ha %antenido por de fa%iliaridad usuarios %+n+wall ^con la funcin? y algunos usuarios prefieren la facilidad de una sola entrada
en lugar de dos entradas de puerto hacia adelante"

Las reglas de firewall para el protocolo G.@ y el puerto T & (B)* se agregan auto%2tica%ente a la red =A<"
<o es necesario entrar en cual9uier regla de firewall cuando se usa la redireccin de &&T&? a %enos 9ue tenga Deshabilitar
todo ello su%ado autoI'&< nor%as co%prueba en Siste%a AvanDado"
(1"," &&T& Solucin de proble%as

@sta seccin trata de pasos para solucionar proble%as de los proble%as %2s habituales se encuentran los usuarios con
&&T&"
(1","(" <o se puede conectar

@n pri%er lugar? garantiDar el e9uipo cliente est2 conectado a 3nternet" Si eso sucede? to%e nota de el error 9ue est2 recibiendo por parte del cliente" =indows Je/cepto 'istaK proporcionar2 un cdigo de error 9ue le ayudar2 considerable%ente en la reduccin a los proble%as potenciales" =indows 'ista eli%inado esto y por lo tanto? hace 9ue sea difcil de solucionar adecuada%ente errores de cone/in? pero por suerte la
los %is%os cdigos de error 9ue han e/istido por %2s de una d6cada est2n de vuelta en =indows B Jbeta y . K"
Solucin de proble%as con 'ista no es reco%endable"

&ara a9uellos clientes 9ue utiliDan no son de =indows? las 2reas proble%2ticas son general%ente los %is%os? aun9ue
puede tener 9ue probarlos todos para deter%inar el proble%a especfico"
(1","("(" @rror A(,

@rror A(, significa algo en el ca%ino se est2 ro%piendo el tr2fico G.@" @sto es casi sie%pre causado por el firewall del cliente est2 detr2s" Si el cliente est2 ta%bi6n detr2s de pfSense? pri%ero aseg;rese de 9ue ninguno de los obMetivos se0alados en la Seccin (1"1? NLi%itaciones &&T&N aplicar" Si el servidor de seguridad de la cliente est2 detr2s de otro producto? es posible 9ue necesite habilitar pasarela &&T& o un lugar si%ilar para &&T& para funcionar? si se puede en absoluto" @n algunos casos? co%o proveedores de servicios inal2%bricos *G asignar privado
Direcciones 3& a los clientes? se le pegan con la eleccin de otra opcin '&<"
)CB
&&T& '&<
(1","(")" @rror A,(

@rror A,( se produce por un no%bre de usuario o contrase0a no v2lidos" @sto significa 9ue el usuario no est2 entrando en
el no%bre de usuario o contrase0a en el cliente &&T&" orriMa el no%bre de usuario o contrase0a? en correspondencia con la infor%acin configurada en la base de datos de usuarios locales para &&T&? o en la
servidor .AD3HS"
(1","("*" @rror A1,

Hsted puede ver el error A1, cuando la autenticacin de .AD3HS en un servidor de !icrosoft =indows con <3 " @sto significa 9ue la cuenta no tiene per%iso para %arcar? y la causa ser2 probable
una de las tres cosas"

(" Dial en conMunto de per%isos con NDenegar el accesoN I vaya a las propiedades de la cuenta del usuario en Active Directorio de Hsuarios y e9uipos y haga clic en la ficha !arcado" Dependiendo de su <3 preferido de configuracin? tendr2 9ue o bien Rer!itir el acceso o %ontrol de acceso a tra$`s de
directi$a de acceso re!oto"

)" contrase0a del usuario ha caducado I si la contrase0a del usuario ha caducado? no puede iniciar sesin en %2s de &&T&" *" 3ncorrecta configuracin de 3AS I &uede 9ue haya configurado las polticas de acceso re%oto en 3AS co%o
de tal %anera 9ue los usuarios no est2n autoriDados para ser conectado"
(1",")" .elacionada con &&T&? pero no puede pasar el tr2fico

Aseg;rese de 9ue haya agregado las reglas del cortafuegos a la interfaD de &&T& '&< co%o se describe en Seccin (1">">?
N onfigurar las reglas de firewall para clientes &&T&N"

Aseg;rese ta%bi6n de la subred re%ota a trav6s de la '&< es diferente de la subred local" Si usted est2 tratando de conectarse a una red (,)"(AC"("+7)1 a trav6s de '&< y la subred local donde el cliente est2 relacionada ta%bi6n (,)"(AC"("+7)1? el tr2fico destinado a la subred nunca atravesar la '&< por9ue es en la red local" &or eso es i%portante elegir una LA< relativa%ente oscuro
subred utiliDando las '&<? co%o se e/plica en Seccin 1")"1? N onfiguracin de la interfaD LA<N"
(1"(+" &&T& enruta%iento trucos

Si slo desea seleccionar subredes 9ue se enca%inar2 a trav6s del t;nel &&T&? todava se puede hacer con algunos co%andos de ruta personaliDada en el cliente" La siguiente t6cnica funciona en =indows G&? 'ista y =indows B? pero probable%ente se puede %odificar para trabaMar %2s en cual9uier platafor%a" @sto supone 9ue ya ha configurado el cliente para no enviar todo el tr2fico a trav6s de la cone/in Jes decir? no
utiliDando la puerta de enlace re%otaK"
)CC
&&T& '&<
@n pri%er lugar? el cliente &&T& debe asignar una direccin est2tica en el perfil de usuario" @sto se puede hacer
utiliDando el builtIin de autenticacin? oa trav6s de .AD3HS" @sta direccin est2tica debe estar fuera de la
&iscina asignacin general ya 9ue esta no es una reserva"

@l truco es para enrutar el tr2fico destinado a las subredes a distancia para la direccin asignada &&T&" @ste har2 9ue el tr2fico de las subredes para viaMar en el t;nel al otro lado" <o se li%ita a las subredes 9ue son in%ediata%ente accesibles en el otro lado? ya sea? co%o cual9uier subred se puede utiliDar" @sto es ;til
si 9uieres ta%bi6n el acceso a la ruta de un sitio de terceros a trav6s del t;nel '&< ta%bi6n"
@stos co%andos se pueden escribir en una lnea de co%andos? pero son %2s a gusto en un archivo por lotes? co%o en
este eMe%plo: @ Echo off route add 192.168.210.0 mscara 255.255.255.0 route add 10.99.99.0 mscara 255.255.255.0 route add 1&2.16.1.0 mscara 255.255.252.0 pausa 192.168.1.126 192.168.1.126 192.168.1.126
@n ese eMe%plo? 192.168.1.126 es la direccin 3& est2tica asignada a este particular? el cliente &&T&
no%bre de usuario" @stos co%andos de la ruta 9ue los tres subredes especificadas a trav6s de la cone/in &&T&?
ade%2s de la subred para la cone/in en s" La pausa es opcional? pero puede ayudar a asegurar 9ue todas las rutas se han a0adido con 6/ito" @l archivo por lotes se tienen 9ue eMecutar cada veD 9ue el
se establece la cone/in"
<ota
@n =indows 'ista y =indows B? estos co%andos deben ser eMecutados co%o Ad%inistrador" Si ha creado un acceso directo a este archivo por lotes? sus propiedades pueden ser alterado por lo 9ue sie%pre se eMecuta de esa %anera" Alternativa%ente? usted puede hacer clic derecho sobre el
por lotes de archivos y seleccione @Mecutar co%o ad%inistrador"
(1"((" &&T& .egistros

Hn registro de eventos de inicio de sesin y cierre de sesin se %antiene en estado de .egistros del siste%a? en la ficha &&T&"
Figura (1"*>" &&T& .egistros
)C,
&&T& '&<
o%o se observa en Figura (1"*>? N&&T& .egistrosN? cada inicio de sesin y cierre de sesin deben registrarse con un
fecha y hora y no%bre de usuario? y cada entrada ta%bi6n se %ostrar2 la direccin 3& asignada a la &&T&
cliente"
),+
aptulo (>" :pen'&<

:pen'&< es una fuente abierta solucin SSL '&< 9ue puede ser utiliDado tanto para el cliente de acceso re%oto
y el sitio para conectividad de sitio" :pen'&< apoya a los clientes en una a%plia ga%a de siste%as operativos incluyendo todos los #SD? Linu/? !ac :S G? Solaris y =indows )+++ y versiones posteriores" Todos los con :pen'&<? si el acceso re%oto o un sitio a otro? consiste en un servidor y un cliente" @n el caso de las '&< sitio a sitio? un servidor de seguridad act;a co%o el servidor y el otro co%o cliente" Lo hace <o i%porta 9u6 servidor de seguridad posee estas funciones" <or%al%ente el firewall de la ubicacin principal la voluntad de proporcionar conectividad de servidor para todos los lugares re%otos? cuyos servidores de seguridad est2n configurados co%o clientes" @sto es funcional%ente e9uivalente a la configuracin opuesta I la ubicacin principal configurada
co%o un cliente 9ue se conecta a los servidores 9ue se eMecutan en los servidores de seguridad en los lugares re%otos"
Fay dos tipos de %6todos de autenticacin 9ue se pueden utiliDar con :pen'&<: clave co%partida y G">+," &ara la clave co%partida? se genera una clave 9ue se utiliDar2 en a%bos lados" G">+, se describe
%2s en la siguiente seccin"

Tenga en cuenta 9ue %ientras 9ue :pen'&< es una '&< SSL? no es un Nsin clienteN SSL '&< en el sentido de 9ue proveedores co%erciales cortafuegos co%;n%ente se refieren a ella" Tendr2 9ue instalar el cliente :pen'&< en todos sus dispositivos cliente" @n realidad no hay solucin '&< es verdadera%ente Nsin clienteN? y esta es la ter%inologa nada %2s 9ue una estratage%a de %arLeting" &ara %ayor discusin a fondo en SSL '&<? este %ensaMe de !ateo novios? un desarrollador de herra%ientas de 3&sec y pfSense? de los archivos de listas de correo proporciona e/celente infor%acin: http:77%arc"info78lcpfsenseIsupporte%c()(>>A1,(+)1>,>ewc)" &ara una discusin general de los distintos tipos de redes privadas virtuales disponibles en pfSense y sus pros y sus contras?
(>"(" 3ntroduccin b2sica a la clave p;blica G">+, 3nfraestructura

Hna de las opciones de autenticacin para :pen'&< es utiliDando las teclas G">+," Hna discusin a fondo de G">+, y &Q3 est2 fuera del alcance de este libro? y es el te%a de una serie de libros enteros para los interesados en obtener %2s infor%acin" @sta seccin proporciona una co%prensin %uy b2sica 9ue necesita para configuracin de :pen'&<" @ste es el %edio preferido de eMecutar las '&< de acceso re%oto? ya 9ue le per%ite revocar el acceso a las %29uinas individuales" on las llaves en la residencia? tienes 9ue crear un servidor ;nico y el puerto para cada cliente? o distribuir la %is%a clave para todos los clientes" @l pri%ero se a ser una pesadilla de gestin? y el segundo es proble%2tico en el caso de una clave co%pro%etida" Si un e9uipo cliente se ve co%pro%etida? robada o perdida? o de lo contrario desea revocar el acceso de una persona? debe volver a e%itir la clave co%partida para todos los clientes" on una i%ple%entacin de &Q3? si un
cliente
),(
:pen'&<
est2 en peligro? o el acceso debe ser revocado por cual9uier otra raDn? si%ple%ente puede revocar esa certificado de cliente" <o hay %2s clientes se ven afectados"
on &Q3? por una parte una autoridad de certificacin J AK se crea" @ste A entonces todos los signos de la persona certificados en su &Q3" certificado de la A se utiliDa en los servidores :pen'&< y clientes verificar la autenticidad de los certificados utiliDados" certificado de la A se puede utiliDar para verificar la fir%a en los certificados? pero no para fir%ar los certificados" Fir%a de los certificados re9uiere la clave privada del A Jca.key cuando se utiliDa easyIrsa? discutido %2s adelante en este captuloK" La privacidad de los particulares A clave es lo 9ue garantiDa la seguridad de la &Q3" ual9uier persona con acceso a la clave privada de la A puede generar certificados para ser utiliDados en la &Q3? por lo 9ue debe %antenerse segura" @sta clave no es
distribuidos a los clientes o servidores"

Aseg;rese de 9ue nunca se copia %2s archivos a los clientes 9ue se necesitan? ya 9ue esto puede resultar en la seguridad de la &Q3 se vea co%pro%etida" Las secciones posteriores de este captulo describen los archivos 9ue los clientes necesitan
para conectar? y c%o generar los certificados"
(>")" La generacin de claves y certificados :pen'&<

:pen'&< utiliDa certificados o claves co%partidas para cifrar y descifrar el tr2fico" @n esta seccin se %uestra c%o
para generar una clave co%partida o certificados para su uso con :pen'&<" Las secciones posteriores describen c%o
uso de estas claves o certificados"
(>")"(" La generacin de claves co%partidas

clave co%partida es el %6todo preferido para un sitio a otro cone/iones :pen'&<" &ara generar una responsabilidad co%partida
clave? vaya a Diagnsticos o%andos y eMecutar el siguiente co%ando: #open$pn - gen1e/ - secreto 6 t!p 6 s0ared.1e/ A continuacin? para %ostrar la clave? eMecute lo siguiente: #cat 6 t!p 6 s0ared.1e/ La clave se ver2 algo co%o esto: # # 2048 bits clave esttica OpenVPN # ----- BEGIN clave esttica OpenVPN V1 ----6ade12d55caacbbc5e086ccb552bfe14
),)
:pen'&<
4ca7f08230b7e24992685feba9842a03
44ee824c6ac4a30466aa85c0361c7d50 19878c55e6f3e7b552e03a807b21bad5 ce0ca22d911f08d16b21ea1114e69627 f9e8a6cd277ad13b794eef5e1862ea53 e7b0cba91e8f120fa983bdd8091281f6 610bf8c7eb4fed46875a67a30d25896f 0010d6d128ad607f3cbe81e2e257a48a 82abfca3f8f85c8530b975dca34bcfe4 69f0066a8abd114f0e2fbc077d0ea234 34093e7d72cc603d2f47207585f2bdec ed663ad17db9841e881340c2b1f86d0a 45dc5b24823f47cc565196ceff4a46ca 34fc074959aa1ef988969cfdd6d37533 e5623222373d762a60e47165b04091c2
FIN ----- OpenVPN esttica clave V1 ----opiar la clave y pegarla en la configuracin de :pen'&<" Despu6s de copiar la clave? usted 9uerr2 eli%inarlo" &ara ello? eMecute: #r! 6 t!p 6 s0ared.1e/
(>")")" Generacin de ertificados

&ara las configuraciones de :pen'&< G">+,? pri%ero tiene 9ue generar los certificados" Si usted tiene una
&Q3 e/istente tendr2 9ue usarlo? y esta seccin no ser2 relevante para usted" La %ayora de pfSense los usuarios no tienen una G">+, &Q3 e/istente? y es el %edio %2s f2cil de establecer un el f2cil
guiones rsa sie%pre con :pen'&<"
(>")")"(" La deter%inacin de un hogar para easyIrsa

Si ya dispone de una #SD o Linu/? puedes descargar la ;lti%a versin de :pen'&< en ese siste%a? e/traerlo? y se encuentra el easy-rsa carpeta baMo el e/trados :pen'&< carpeta" Lo %is%o ocurre con los siste%as =indows? la instalacin de :pen'&< ta%bi6n instala f2cil de .SA? por incu%pli%iento baMo C: \ Archivos de programa \ OpenVPN \ easy-rsa" Ta%bi6n puede usar easyIrsa
directa%ente en pfSense"
Si usted prefiere 9ue se eMecute en una %29uina virtual? el Ferra%ientas pfSense dispositivo virtual [http:77
www"pfsense"org 7 toolsv%\ 3ncluye las secuencias de co%andos de f2cil rsa"
),*
:pen'&<
Los despliegues &Q3 %2s graves de este tipo 9ue se eMecuta en un siste%a dedicado de
fsica%ente lugar seguro 9ue no est2 conectado a cual9uier red en todo? con las teclas de copiado seg;n sea necesario con al%acena%iento e/trable" @n la %ayora de pe9ue0a o %ediana no sea viable? y rara veD hacer" Tenga en cuenta 9ue un co%pro%iso de la &Q3 co%pro%ete la integridad de todo su infraestructura de :pen'&<? por lo 9ue %antener en un siste%a garantiDado adecuada%ente el nivel de riesgo en
su red"
(>")")")" Generacin de certificados utiliDando pfSense

Hsted puede utiliDar easyIrsa en pfSense para generar sus llaves :pen'&<" Los archivos de easyIrsa incluido con :pen'&< asu%ir la presencia de la shell bash? 9ue los siste%as operativos #SD no incluyen de for%a predeter%inada? por lo 9ue un pa9uete personaliDado f2cil de .SA ha sido puesto a disposicin de los desarrolladores de pfSense si desea utiliDarlo en su servidor de seguridad" Hsted necesitar2 SSF habilitado en el firewall para un uso f2cilI
.SA" &ara instalarlo? si%ple%ente eMecuta lo siguiente desde un s%bolo del perodo de sesiones SSF del siste%a: #)(scar-o - 0ttp:66files.pfsense.org6!isc6eas/rsa-set(p.t-t 5 6 )in 6 s0 @sto descargar2 los archivos? e/traer? y 9uitar el archivo descargado" Despu6s de hacer esto? se le solicitar2 9ue eMecute el siguiente paso de for%a %anual" opiar y pegar la ;lti%a lnea 9ue aparecen a generar los certificados"
<ota
Si usted ha pasado por este proceso anterior%ente? repitiendo este acabar2 con todos los los certificados e/istentesX #cd 6 root6eas/rsa7pfsense a a. 6 RFSG>SG_R9>_3G_F&RSB La pri%era le pedir2 su ubicacin y organiDacin de la infor%acin? para ser utiliDado cuando se genera la autoridad de certificacin y los certificados de inicial? y co%o por defecto cuando la creacin de certificados adicionales en el futuro" A continuacin? crear su entidad e%isora de certificados? un certificado de servidor? y un certificado de cliente" @stos archivos se pueden encontrar en el / Root / easyrsa4pfsense/keys / de la gua"
(>")")")"(" reacin de una clave de cliente

&ara crear una clave de cliente nuevo? eMecute los siguientes co%andos? donde userna%e es el no%bre de la cliente Jsustituto de la persona nom'(! d! usua(io a9uiK" #cd 6 root6eas/rsa7pfsense #$ars f(ente
),1
:pen'&<
#. 6 (ild-1e/ nom"#e de usua#io
(>")")")")" reacin de una contrase0a protegida clave de cliente

@l proceso para crear una contrase0a protegida clave de cliente es todo lo %is%o 9ue una sin contrase0as protegidas clave" &ara ello? eMecute los siguientes co%andos: #cd 6 root6eas/rsa7pfsense #$ars f(ente #. 6 (ild-1e/-pass nom"#e de usua#io
La contrase0a especificada al crear la clave tendr2 9ue ser introducida por el usuario en cada
con :pen'&<"
(>")")")"*" opia de llaves en el servidor de seguridad

Despu6s de crear las llaves? se necesita un %edio de transferencia para su uso en el servidor y el cliente configuraciones" &ara las claves utiliDadas en pfSense? ya sea en una configuracin de servidor o cliente? %2s f2cil
for%a es utiliDar el co%ando cat en una sesin SSF y copiar el resultado" &or eMe%plo? para obtener el contenido del certificado de la A? eMecute: #cat 6 root6eas/rsa7pfsense61e/s6ca.crt
opia y pega la salida en el cuadro de certificado de A" 45u6 certificado de archivos para entrar en cada uno
cuadro de la configuracin de :pen'&< se e/pone %2s adelante en este captulo"

&ara los clientes no en pfSense? tendr2 9ue descargar los archivos de certificado correspondiente de la del siste%a" @sto se puede hacer uso de S &? seg;n lo descrito en Seccin 1">")? NSecure Shell JSSFKN o en la interfaD web de los Diagnsticos pantalla de co%andos" .ellene el no%bre de archivo adecuado en el archivo para descargar la caMa? tales co%o / Root/easyrsa4pfsense/keys/ca.crt para el A certificado? y haga clic en Descargar" .epita para cada archivo necesario" :tra alternativa es hacer copias de seguridad en todo el directorio easyIrsa co%o se describe en la siguiente seccin? y e/traer la copia de seguridad para recuperar
los archivos necesarios"
(>")")")"1" opia de seguridad f2cil de rsa

La easyrsa4pfsense carpeta no es una copia de seguridad cuando se copia de seguridad de su archivo de configuracin" Hsted desea conseguir una copia de seguridad de esta carpeta? co%o una p6rdida de los datos de la teclas directorio har2
es i%posible generar nuevas llaves y revocar las claves e/istentes" La configuracin actual no le deMar de trabaMar? pero perder la posibilidad de a0adir o retirar las llaves te deMar2 pegado a recrear todas las llaves y volver a e%itir a sus clientes" La for%a %2s sencilla de copia de seguridad f2cil de .SA est2 utiliDando el pa9uete de copia de seguridad a la ruta de copia de seguridad / Root/easyrsa4pfsense co%o se %uestra en Figura (>"(?
),>
:pen'&<
N opia de seguridad f2cil de .SAN" @l pa9uete de copia de seguridad es obMeto de %ayor an2lisis en Seccin >"A? NArchivos de copia de seguridad y Directorios con el pa9uete de copia de seguridad N"
Figura (>"(" easyIrsa de copia de seguridad
(>")")"*" Hso de easyIrsa

Si usted prefiere usar easyIrsa en un siste%a 9ue no sea pfSense? hay algunos pasos adicionales 9ue debe
se sigue 9ue el pa9uete easyrsa1pfsense %aneMa de for%a auto%2tica" @stas %edidas son aplicables a Los siste%as #SD y Linu/? aun9ue el proceso en =indows es b2sica%ente el %is%o" Si utiliDa =indows? se refieren a la LAME.txt en el easy-rsa carpeta para obtener %2s infor%acin? y ta%bi6n puede siga estos pasos en su %ayor parte" &ara e%peDar? descargar y e/traer de :pen'&< http:77 openvpn"net" Dentro de la carpeta e/trada se encuentra el easy-rsa carpeta" &ara =indows? despu6s de eMecutar la instalacin de :pen'&<? se encuentra el easy-rsa carpeta en la C: \ Program
Files \ OpenVPN \"
(>")")"*"(" onfiguracin de la infor%acin en 'ars

Fay un archivo lla%ado vars incluido en el easy-rsa carpeta" Abra este archivo en un editor de te/to y ir hasta el final del archivo" 'er2 algo co%o lo siguiente" exportacin exportacin exportacin exportacin KEY_COUNTRY =EE.)). KEY_PROVINCE =*!ntuc+, KEY_CITY =-ouis.ill! KEY_ORG = ""/0!ns!"
),A
:pen'&< exportacin KEY_EMAIL = ""/0!ns! 1 local ost" &uede editar estos para 9ue coincida con su ubicacin? organiDacin y correo electrnico? aun9ue ta%bi6n se pueden deMar
co%o es 9ue si 9uieres 9ue tu los certificados 9ue se crean utiliDando esta infor%acin" Guardar vars despu6s de
hacer los ca%bios 9ue desee"
(>")")"*")" rea tu A
@n pri%er lugar? vars eMecutar source para cargar las variables de entorno f2cil de .SA" A continuacin? eMecute" 7 leanIall para garantiDar usted est2 co%enDando con un %edio a%biente li%pio" Hna veD creada la entidad e%isora? nunca haga funcionar la li%pieDa todos los
ya 9ue se eli%inar2 su A y certificados de todos" #$ars f(ente #. 6 #i!pie4a de todos los # Ahora ya est2 listo para eMecutar" 7 #uildIca? el co%ando 9ue crea la entidad e%isora" Tenga en cuenta los ca%pos son
ya se rellenar2 con lo 9ue ha entrado en vars con anterioridad" Hsted puede si%ple%ente presionar @nter en cada
del siste%a" #. 6 (ild-ca Generar un poco la clave privada RSA 1024 .....................................++++++ .....++++++ escritura nueva clave privada a 'ca.key' ----Ests a punto de pedir que introduzca la informacin que se incorporarn en su solicitud de certificado. Lo que usted est a punto de entrar es lo que se llama un nombre completo o una DN. Hay muy pocos campos, pero que pueden dejar algunas en blanco Para algunos campos no habr un valor predeterminado, Si introduce '.', El campo se dejar en blanco. ----Nombre Pas (cdigo de 2 letras) [EE.UU.]: Estado o Provincia Nombre (nombre completo) [Kentucky]: Nombre de la localidad (por ejemplo, de la ciudad) [Louisville]: Nombre de la organizacin (por ejemplo, de la empresa) [pfSense]: Unidad organizativa Nombre (por ejemplo, la seccin) []: Nombre comn (por ejemplo, su nombre o nombre de host de su servidor) []: Correo electrnico [pfSense @ localhost] Direccin: #
),B
:pen'&<
(>")")"*"*" La generacin de la clave de DF

A continuacin? va a generar la clave de DF eMecutando" 7 #uildIdh" Se advierte 9ue to%ar2 %ucho tie%po? sin e%bargo? 9ue depende de la velocidad de su procesador" @sto to%a %enos de > segundos en un procesador 3ntel ore ) 5uad 5AA++? pero puede tardar varios %inutos en >++ !FD y una &H lenta" #. 6 (ild-d0 Generacin de parmetros de DH, de 1024 bits de largo segura del generador principal, 2 Esto va a tardar mucho tiempo ............+..............+...................... ......................
.................... ............................+.+................... ......................+...............+... ............................ .................+................................ .............. ......
....+.++*++*++*
(>")")"*"1" Generacin de un certificado de servidor y la clave

Ahora tiene 9ue crear un certificado y la clave para el servidor :pen'&< usando el "7buildILeyI de co%andos del servidor seguido por el no%bre 9ue utiliDar2 para hacer referencia al servidor Jslo cos%6ticoK" #. 6 (ild-1e/-ser$idor se#)ido# Generar un poco la clave privada RSA 1024 .................++++++ ........++++++ escritura nueva clave privada a 'server.key' ----Ests a punto de pedir que introduzca la informacin que se incorporarn
en su solicitud de certificado. Lo que usted est a punto de entrar es lo que se llama un nombre completo o una DN. Hay muy pocos campos, pero que pueden dejar algunas en blanco Para algunos campos no habr un valor predeterminado, Si introduce '.', El campo se dejar en blanco. ----Nombre Pas (cdigo de 2 letras) [EE.UU.]: Estado o Provincia Nombre (nombre completo) [Kentucky]: Nombre de la localidad (por ejemplo, de la ciudad) [Louisville]: Nombre de la organizacin (por ejemplo, de la empresa) [pfSense]: Unidad organizativa Nombre (por ejemplo, la seccin) []: Nombre comn (por ejemplo, su nombre o nombre de host de su servidor) []: se#)ido# Correo electrnico [pfSense @ localhost] Direccin:
),C
:pen'&<
Por favor ingrese los siguientes extra atributos para ser enviado con la peticin del certificado Un desafo clave []: Un opcional nombre de la empresa []: Mediante la configuracin de / home/cmb/easyrsa4pfsense/openssl.cnf Comprobar que la solicitud coincide con la firma Firma ok El nombre completo del sujeto es el siguiente countryName: IMPRIMIR: 'EE.UU.' stateOrProvinceName: IMPRIMIR: 'Kentucky' localityName: IMPRIMIR: "Louisville" organizationName: IMPRIMIR: "pfSense ' commonName: IMPRIMIR: 'servidor' EmailAddress: IA5String: "pfSense @ localhost ' Los certificados habrn de ser certificadas hasta el 18 de enero 2019 07:18:22 GMT (3650 das) Firma el certificado? [Y / n]: /
1 de cada 1 solicitudes de certificados certificado, nos comprometemos? [Y / n] / Escriba una base de datos con las nuevas entradas Actualizacin de Base de Datos #
(>")")"*">" Generar certificados de cliente

Hsted tendr2 9ue crear un certificado para cada cliente con el co%ando buildILey seguido por el no%bre de clave" @l siguiente eMe%plo %uestra la creacin de una clave de cliente para el usuario cm'" Hsted puede el no%bre de la clave de cliente sin e%bargo 9ue usted desea" on el %is%o no%bre de la persona 9ue va a utiliDar la tecla por lo general tiene %2s sentido" &ara las cone/iones de cliente 9ue residen en servidores de seguridad? es posible 9ue desea utiliDar el no%bre de host del servidor de seguridad 9ue se utilice la tecla" #. 6 (ild-1e/ cm" Generar un poco la clave privada RSA 1024 .................................................. .++++++ ............................++++++ escritura nueva clave privada a 'cmb.key' ----Ests a punto de pedir que introduzca la informacin que se incorporarn en su solicitud de certificado. Lo que usted est a punto de entrar es lo que se llama un nombre completo o una DN. Hay muy pocos campos, pero que pueden dejar algunas en blanco
),,
:pen'&<
Para algunos campos no habr un valor predeterminado, Si introduce '.', El campo se dejar en blanco. ----Nombre Pas (cdigo de 2 letras) [EE.UU.]: Estado o Provincia Nombre (nombre completo) [Kentucky]: Nombre de la localidad (por ejemplo, de la ciudad) [Louisville]: Nombre de la organizacin (por ejemplo, de la empresa) [pfSense]: Unidad organizativa Nombre (por ejemplo, la seccin) []: Nombre comn (por ejemplo, su nombre o nombre de host de su servidor) []: cm' Correo electrnico [pfSense @ localhost] Direccin: Por favor ingrese los siguientes extra atributos para ser enviado con la peticin del certificado Un desafo clave []: Un opcional nombre de la empresa []: Mediante la configuracin de / home/cmb/easyrsa4pfsense/openssl.cnf Comprobar que la solicitud coincide con la firma Firma ok El nombre completo del sujeto es el siguiente countryName: IMPRIMIR: 'EE.UU.' stateOrProvinceName: IMPRIMIR: 'Kentucky' localityName: IMPRIMIR: "Louisville" organizationName: IMPRIMIR: "pfSense ' commonName: IMPRIMIR: "CMB" EmailAddress: IA5String: "pfSense @ localhost ' Los certificados habrn de ser certificadas hasta el 18 de enero 2019 07:21:04 GMT (3650 das) Firma el certificado? [Y / n]: /
1 de cada 1 solicitudes de certificados certificado, nos comprometemos? [Y / n] / Escriba una base de datos con las nuevas entradas Actualizacin de Base de Datos # Tendr2 9ue repetir este proceso para cada cliente 9ue se despleg" &ara los usuarios a0adidos en el futuro? puede eMecutar esta de nuevo en cual9uier %o%ento"
*++
:pen'&<
(>"*" :pciones de configuracin de :pen'&<

@sta seccin describe todas las opciones disponibles con :pen'&< y cuando es posible 9ue desee o
necesitan para su uso" Las secciones siguientes cubren eMe%plos de configuracin de sitio a sitio y re%otas
'&< de acceso con :pen'&<? con las opciones %2s co%unes y una configuracin %ni%a"
(>"*"(" opciones de configuracin del servidor

@n esta seccin se describe cada opcin de configuracin en el servidor :pen'&< pantalla de edicin"
(>"*"("(" Deshabilitar este t;nel

!ar9ue esta casilla y haga clic en Guardar para conservar la configuracin? pero no per%itir 9ue el servidor"
(>"*"(")" &rotocolo
Seleccione T & o HD& a9u" A %enos 9ue haya una raDn 9ue usted debe utiliDar T &? tales co%o la capacidad de bypass %uchos firewalls %ediante la eMecucin de un servidor :pen'&< en el puerto T & 11*? 9ue puedes usar HD&" @s Sie%pre es preferible utiliDar los protocolos de cone/in al t;nel de tr2fico" T & es la cone/in orientado? con entrega garantiDada" ual9uier p6rdida de pa9uetes son retrans%itidos" @sto puede sonar co%o un buena idea? pero el rendi%iento se degrada significativa%ente en las cone/iones de 3nternet %uy cargado? o con la p6rdida de pa9uetes constante? debido a las retrans%isiones de T &" on frecuencia se tienen el tr2fico T & en el t;nel" uando usted tiene T & envuelto alrededor de T &? cuando un pa9uete se pierde? tanto la p6rdida de pa9uetes T & e/terior e interior ser2 retrans%itido" sucesos poco frecuentes de esto ser2 i%perceptible? pero la p6rdida recurrente? el rendi%iento significativa%ente inferior al si se utiliDa HD&" Hsted real%ente no desea la p6rdida de pa9uetes encapsulados de tr2fico '&< a retrans%itido" Si el tr2fico dentro del t;nel re9uiere la entrega confiable? se utiliDa un protocolo
tales co%o T &? 9ue asegura 9ue ya se encargar2 de su propia retrans%isin"
(>"*"("*" 3& din2%ica

Al %arcar esta casilla a0ade la opcin de configuracin del flotador en la configuracin de :pen'&<" @ste per%ite a los clientes conectados a %antener su cone/in si sus ca%bios de propiedad intelectual" &ara los clientes en 3nternet cone/iones donde los ca%bios de propiedad intelectual con frecuencia? o los usuarios %viles 9ue nor%al%ente se %ueven entre diferentes cone/iones a 3nternet? tendr2 9ue %arcar esta opcin" uando el cliente 3& es est2tica
o rara%ente ca%bia? no usar esta opcin ofrece una %eMora de la seguridad %in;scula"
*+(
:pen'&<
(>"*"("1" &uerto local

@l puerto local es el n;%ero de puerto 9ue utiliDar2 :pen'&< para escuchar" Sus reglas de firewall necesidad de per%itir
el tr2fico de este puerto? y 9ue 6ste debe ser especificado en la configuracin del cliente" @l puerto para cada servidor
debe ser ;nico"
(>"*"(">" Direccin de billar

@ste es el conMunto de direcciones 9ue se asignar2 a los clientes a conectar" @l servidor de final de la configuracin de :pen'&< utiliDar2 la pri%era direccin de este grupo por su e/tre%o de la cone/in? y
asignar direcciones adicionales a los clientes conectados"
(>"*"("A" Hse direcciones 3& est2ticas

Si %arca esta opcin? el servidor no asigna direcciones 3& a los clientes" &or lo general esto no se utiliDar2?
aun9ue es ;til en co%binacin con opciones personaliDadas para algunos hacLs co%o el uso de puente"
(>"*"("B" .ed local

@ste ca%po especifica la ruta? en su caso? se e%puMa a los clientes conectarse a este servidor" Si usted necesita i%pulsar las rutas de %2s de una subred? introduDca la pri%era subred a9u y ver Seccin (>"(+? N usto%
opciones de configuracin N para obtener infor%acin sobre c%o agregar el resto de las subredes"
(>"*"("C" .e%oto de la red

Si una subred se especifica a9u? una ruta a la subred a trav6s del otro lado de esta cone/in :pen'&< se agreg" @sto se utiliDa para el sitio de conectividad de sitio? y no para los clientes %viles" Hsted puede Slo entrar en una subred a9u" Si necesita a0adir %2s de una subred re%ota? escriba la pri%era veD a9u y ver Seccin (>"(+? N&ersonaliDar las opciones de configuracinN para obtener infor%acin sobre c%o agregar el
restantes subredes"
(>"*"("," De cliente a cliente '&<

Si los clientes necesitan co%unicarse entre s? %ar9ue esta opcin" Sin esta opcin?
Slo puede enviar el tr2fico al servidor Jy de cual9uier red conectada para el 9ue tiene una rutaK"
(>"*"("(+" riptografa
A9u es donde puede seleccionar el siste%a de cifrado de cifrado 9ue se utiliDa para esta cone/in" @l valor predeter%inado es #FI # ? 9ue es #lowfish ()C bits de cifrado de blo9ues de encadena%iento" @sto es por defecto de :pen'&<? y es
*+)
:pen'&<
una buena eleccin para la %ayora de los escenarios" Hna situacin co%;n en el 9ue lo desea? puede ca%biar esta es cuando se utiliDa un acelerador de cifrado de hardware? co%o glxsb integrado en el hardware AL3G? o una hifn tarMeta" @n estos casos? usted ver2 un %ayor rendi%iento %ediante el uso de un hardware
cifrado acelerado" &or AL3G u otro hardware con glxsb? @liMa PGS-% %-128" &or
hifn hardware? opt por cual9uiera de los *D@S o A@S opciones" 'er Seccin (>"(+"*? N@l uso de hardware
aceleradores criptogr2ficos N &ara obtener %2s infor%acin sobre el uso de aceleradores criptogr2ficos"
(>"*"("((" !6todo de autenticacin

A9u se selecciona cual9uiera de &Q3 o clave co%partida? en funcin de 9ue va a utiliDar" Seccin (>")?
NLa generacin de claves y certificados :pen'&<N discute estas opciones con %2s detalle"
(>"*"("()" lave co%partida

uando se utiliDa autenticacin de clave co%partida? se pega la clave co%partida a9u"
(>"*"("(*" &Q3 :pciones

Las siguientes cinco opciones est2n disponibles para la configuracin cuando se utiliDa la autenticacin &Q3" La pri%era
cuatro son obligatorios"
(>"*"("(*"(" ertificado de A
&egue el certificado de A a9u Jca.crt cuando se utiliDa easyrsaK"
(>"*"("(*")" ertificados de servidor

&egue el certificado del servidor a9u Jserver.crt cuando se utiliDa easyrsaK"
(>"*"("(*"*" Servidor de claves

&egue el servidor de claves a9u Jserver.key cuando se utiliDa easyrsaK"
(>"*"("(*"1" DF par2%etros
&egue el DF par2%etros a9u Jdh1024.pem cuando se utiliDa easyrsaK"
(>"*"("(*">" .L
.L est2 en la lista de revocacin de certificados" Si alguna veD tiene 9ue revocar el acceso a una o %2s de sus certificados? un archivo de .L &@! se crea 9ue se pegan a9u" @ste archivo se lla%a crl.pem
*+*
:pen'&<
cuando se utiliDa easyrsa" @ste archivo es una lista co%pleta de todos los certificados revocados? por lo 9ue el contenido de este ca%po se sustituye? no ane/ados? al revocar certificados"
(>"*"("(1" :pciones de DF &

Fay ocho diferentes opciones de DF & 9ue se pueden configurar" @stas opciones se co%portan de la %is%a
co%o cuando se configura en un servidor DF &"
(>"*"("(1"(" <o%bre de do%inio D<S

@sto especifica el no%bre de do%inio D<S 9ue se asignar2 a los clientes" &ara garantiDar la resolucin de no%bres funciona adecuada para las %29uinas de su red local? cuando se utilice la resolucin de no%bres D<S? debe especificar su no%bre de do%inio D<S interno a9u" &ara !icrosoft entornos de Active Directory? este debe
por lo general ser su no%bre de do%inio de Active Directory"
(>"*"("(1")" Del servidor D<S

A9u se especifica los servidores D<S para ser utiliDado por el cliente %ientras est2 conectado a este servidor"
&ara !icrosoft entornos de Active Directory? este debe especificar su D<S de Active Directory
servidores para la resolucin de no%bre propio y la autenticacin cuando se conecta a trav6s de :pen'&<"
(>"*"("(1"*" Del servidor =3<S

@specificar los servidores =3<S 9ue se utiliDar2n? en su caso"
(>"*"("(1"1" <#DD servidor

@sta opcin es para el servidor de distribucin de datagra%as <et#3:S? 9ue es tpica%ente no se utiliDa"
(>"*"("(1">" Servidor <T&

@ste ca%po especifica la opcin DF & 1B? principal servidor <T&" &uede ser una direccin 3& o F5D<"
(>"*"("(1"A" <et#3:S nodo de tipo

@l tipo de nodo <et#3:S controla c%o los siste%as de =indows funcionar2 cuando <et#3:S resolver
no%bres" &or lo general? bien para salir de este a ning(no a aceptar por defecto de =indows"
(>"*"("(1"B" <et#3:S alcance

3ntroduDca el 2%bito de <et#3:S a9u si es aplicable" &or lo general se deMa en blanco"
*+1
:pen'&<
(>"*"("(1"C" Deshabilitar <et#3:S

@sta opcin deshabilita <et#3:S sobre T & 7 3& en el cliente? y por lo general no se establece"
(>"*"("(>" LDo co%presin

@sta casilla de verificacin per%ite la co%presin lDo para el tr2fico de :pen'&<" Si se %arca esta casilla?
el tr2fico 9ue cruDa la cone/in :pen'&< se co%pri%en antes de ser encriptados" @ste ahorra en el uso de ancho de banda para %uchos tipos de tr2fico? a e/pensas de utiliDacin de la &H tanto en el servidor y el cliente" @n general? este i%pacto es %ni%o? y sugiero 9ue per%ite esto para casi cual9uier uso de :pen'&< a trav6s de 3nternet" &ara las cone/iones de alta velocidad? tales co%o el uso de :pen'&< en un estado latente de velocidad LA<? =A< de alta baMa? o una red local inal2%brica? esto puede no ser deseable? ya 9ue el retraso a0adido por la co%presin puede ser %2s 9ue el retraso guardan en 9ue se trans%ite el tr2fico" Si casi todo el tr2fico 9ue cruDa la cone/in :pen'&< es ya encriptada Jco%o SSF? S &? FTT&S? entre %uchos otros protocolosK? no debe per%itir 9ue co%presin lDo ya 9ue los datos cifrados no es co%presible y la co%presin lDo ocasionar 9ue los datos un poco %2s para ser transferido de lo 9ue sera sin co%presin" Lo %is%o es cierto
si el tr2fico '&< es casi en su totalidad los datos 9ue ya est2 co%pri%ido"
(>"*"("(A" Las opciones de personaliDacin

Si bien la interfaD web de pfSense soporta todas las opciones %2s co%;n%ente utiliDadas? :pen'&< es %uy potente y fle/ible y en ocasiones puede 9uerer o necesitar utiliDar las opciones 9ue no est2n disponibles en la interfaD web" Hsted puede llenar en estas opciones de personaliDacin a9u" @stas opciones se describen
%2s en Seccin (>"(+? N&ersonaliDar las opciones de configuracinN"
(>"*"("(B" Descripcin
3ntroduDca una descripcin para esta configuracin del servidor? para su referencia"
(>"1" onfiguracin re%ota de acceso

@n esta seccin se describe el proceso para configurar un G">+, basados en la solucin de acceso re%oto '&<
con :pen'&<"
(>"1"(" Deter%inar un es9ue%a de direcciona%iento 3&

Ade%2s de las subredes internas 9ue se desea 9ue los clientes de acceso? tiene 9ue elegir una subred 3& a utiliDar para las cone/iones :pen'&<" @sta es la subred llena en %enos de interfaD 3& en el servidor
*+>
:pen'&<
de configuracin" clientes conectados recibir2 una direccin 3& dentro de esta subred? y el e/tre%o del servidor
de la cone/in ta%bi6n recibe una direccin 3& de esta subred? donde el cliente dirige el tr2fico de subredes enca%inado a trav6s de la cone/in :pen'&<" o%o sie%pre la hora de elegir subredes internas para una sola ubicacin? esta subred debe ser 3D. resu%ibles con las subredes internas" @n el eMe%plo red (B)"*(">1"+7)1 representado a9u utiliDa para LA<? y (B)"*(">>"+7)1 para :pen'&<" @stos dos redes se resu%en con (B)"*(">1"+7)*? haciendo rutas %2s f2ciles de %aneMar" 3D.
resu%en se detalla en el Seccin ("B">? Nde resu%en 3D.N"
(>"1")" @Me%plo de red

Figura (>")? NeMe%plo de red de acceso re%oto :pen'&<N %uestra la red configurada en el presente
eMe%plo"
Figura (>")" :pen'&< eMe%plo de red de acceso re%oto
(>"1"*" onfiguracin del servidor

@/a%inar para '&< :pen'&< y haga clic en la pesta0a de servidores para agregar un nuevo servidor :pen'&<" La %ayora de las opciones se deMar2n en sus valores predeter%inados" A continuacin tendr2 9ue ser configurado"
U Direccin Local I especificar la subred 9ue se utiliDa para los clientes :pen'&< a9u" &ara este eMe%plo?
9ue es 1M2.31."".0627"
U !6todo de autenticacin I baMando la p2gina un poco antes de pasar una copia de seguridad? es necesario
ca%biar el %6todo de autenticacin de %la$e co!partida a RY&"

U .ed local I volver a la p2gina y especificar la red local co%o la red accesible a los clientes a trav6s de la '&<" @n este eMe%plo 9ue se LA<? por lo 9ue 1M2.31."7.0627 es
*+A
:pen'&<
especificado a9u" subredes adicionales se puede especificar con el r(ta opcin personaliDada descrito en Seccin (>"(+? NLas opciones de configuracinN" U certificado de A I pegar el ca.crt archivo de f2cil rsa a9u" U ertificado de Servidor I pegar el server.crt archivo de f2cil rsa a9u" U lave de servidor I pegar el server.key archivo de f2cil rsa a9u" U DF par2%etros I pegar el dh1024.pem archivo de f2cil rsa a9u"
U lDo co%presin I a %enos 9ue esta '&< es usado con una alta velocidad? cone/in de baMa latencia co%o una red local cableada o inal2%brica? tendr2 9ue %arcar esta casilla para per%itir lDo
co%presin" U Descripcin I co%pletar la descripcin a9u para su consulta"

@stas son las opciones de %ni%os para la %ayora de las configuraciones de servidor" Las opciones adicionales puede ser deseable o necesario en algunas circunstancias" onsulte Seccin (>"*? N:pen'&<
:pciones de configuracin N &ara obtener %2s infor%acin sobre las opciones disponibles"
uando ter%ine de configurar las opciones co%o desee? haga clic en Guardar para ter%inar la configuracin del servidor"
pfSense se iniciar2 el servidor :pen'&< tan pronto co%o haga clic en Guardar"
(>"1"*"(" 5ue per%ita el tr2fico al servidor :pen'&<

A continuacin? agregue una regla de firewall para per%itir el tr2fico en el servidor :pen'&<" 'aya a Servidor de seguridad .eglas? y en la pesta0a =A<? a continuacin? haga clic en" &ara la configuracin de este eMe%plo? el protocolo 9DR ser2 elegido? con c(al'(ier origen? destino Direccin :P>? S el puerto de destino 1197" @sta regla es
representado en Figura (>"*? NServidor :pen'&< =A< reglaN"
Figura (>"*" servidor :pen'&< =A< regla

Si usted sabe 9ue las direcciones de origen de sus clientes se conectan desde? puede especificar un origen de la red o alias en lugar de deMar el servidor abierto a toda la 3nternet" @sto es por lo general i%posible cuando tienes clientes %viles" <o hay %ucho riesgo de salir de esto sin e%bargo abierta? co%o con la autenticacin basada en certificados 9ue tienen %enor riesgo de co%pro%iso 9ue basada en contrase0as
*+B
:pen'&<
soluciones 9ue son susceptibles a ata9ues de fuerDa bruta" @sto supone una falta de aguMeros de seguridad en :pen'&< s? 9ue hasta la fecha tiene un historial de seguridad slida trayectoria"
(>"1"1" De instalacin del cliente

on la configuracin del servidor co%pleto? :pen'&< necesita ahora ser instalado en el cliente
del siste%a" La %is%a instalacin de :pen'&< puede funcionar co%o cliente o servidor? por lo 9ue slo hay una rutina de instalacin" Funciona co%o se indica en los datos su%inistrados? 9ue se cubiertos en la siguiente seccin" @n esta seccin se ofrece un panora%a general de la instalacin en varias co%;n
siste%as operativos"
(>"1"1"(" La instalacin de =indows

@l proyecto :pen'&< ofrece un instalador para =indows )+++ y =indows B? descargable desde http:77openvpn"net7inde/"php7openIsource7downloads"ht%l" @n el %o%ento de este escrito? la %eMor versin para la %ayora de los usuarios de =indows es )"(_rc(," La serie )"(? aun9ue todava no clasificada co%o estable? ha de%ostrado ser estable en su uso en produccin de ancho e incluye una construida en GH3"
La actual versin estable )"+", Jlo 9ue se eMecuta en pfSenseK no incluye una interfaD gr2fica de usuario de =indows" Los )?(
cliente es total%ente co%patible y estable con la versin )"+"/ 9ue se eMecutan en pfSense" La instalacin es %uy sencillo? si%ple%ente aceptar todos los valores predeter%inados" La instalacin crear2 una nueva frea Local one/in en el siste%a de tonel interfaD" @sta interfaD se conectar2 cuando el '&< est2 conectado? y si no %uestran co%o desconectado" Sin configuracin de esta interfaD es
necesario? ya 9ue su configuracin se tir desde el servidor :pen'&<"
<ota
@n =indows 'ista y =indows B con HA JHser Account ontrolK activado?
derecho 9ue debe hacer clic en el icono de :pen'&< GH3 y haga clic en @Mecutar co%o ad%inistrador
para 9ue funcione" &uede conectarse sin derechos ad%inistrativos? pero no puede agregar la la ruta necesaria para dirigir el tr2fico en la cone/in :pen'&<? deM2ndolo inutiliDable" Ta%bi6n puede aMustar las propiedades del acceso directo para iniciar el progra%a sie%pre co%o ad%inistrador" @sta opcin se encuentra en la ficha o%patibilidad del acceso directo
propiedades"
(>"1"1")" !ac :S G lientes e instalacin

Fay tres opciones de cliente para !ac :S G" Se trata de la si%ple co%ando :pen'&< cliente de lnea" La %ayora de los usuarios prefieren un cliente gr2fico? y hay dos opciones disponibles para :S G" TunnelblicL
es una opcin gratuita disponible para su descarga en http:77www"tunnelblicL"net" Lo he utiliDado en el
pasado con 6/ito" :tra opcin de interfaD gr2fica de usuario es el cliente de 'iscosidad co%erciales disponibles en http:77
*+C
:pen'&<
www"viscosityvpn"co%" @n el %o%ento de escribir estas lneas? 9ue cuesta HSD Z , por un solo esca0o" Si se utiliDa :pen'&< con frecuencia? la viscosidad es un cliente %ucho %2s agradable y bien vale la pena el costo"
A%bos TunnelblicL y viscosidad son f2ciles de instalar? sin opciones de configuracin durante la
la instalacin"
(>"1"1"*" 3nstalacin de Free#SD

Si usted tiene una instalacin de Free#SD accin? usted puede encontrar :pen'&< en los puertos" &ara instalarlo? si%ple%ente eMecuta: #cd 6 (sr p(ertos 6 6 sec(rit/ 6 open$pn a a !a1e install clean
(>"1"1"1" 3nstalacin de Linu/

instalacin de Linu/ pueden variar en funcin de su distribucin preferida y el %6todo de gestin instalaciones de software" :pen'&< est2 incluido en los repositorios de pa9uetes de Linu/ %2s i%portantes distribuciones" on todas las diferentes posibilidades entre las distribuciones de innu%erables y adecuada infor%acin ya disponible en otras fuentes en lnea? este libro no cubre los detalles" Si%ple%ente de b;s9ueda de 3nternet para su eleccin y distribucin de Nla instalacin de Cpen+R>N&ara encontrar
de la infor%acin"
(>"1">" onfiguracin del cliente

Despu6s de instalar :pen'&<? tiene 9ue copiar los certificados para el cliente y crear el cliente
archivo de configuracin"
(>"1">"(" opia de los certificados

Tres archivos de easyIrsa se necesitan para cada cliente: el certificado de A? el certificado de cliente? y la clave de cliente" @l certificado de la A es ca.key en el directorio easyIrsa llaves" Del cliente
certificado y la clave se deno%inan con el no%bre del cliente se utiliDa cuando se generaron" @l certificado
para el usuario 2"!(!3 es jdoe.crt y la clave es jdoe.key" opiar ca.crt?nom'(! d! usua(io. Crt y
nom'(! d! usua(io. Clave a la :pen'&< config directa%ente en el cliente"
(>"1">")" rear onfiguracin

Despu6s de copiar los certificados para el cliente? el cliente :pen'&< archivo de configuracin debe ser
creado" @sto se puede hacer con cual9uier editor de archivos de te/to sin for%ato? co%o el #loc de notas en =indows" La
siguiente %uestra las opciones %2s utiliDadas"
*+,
:pen'&<
cliente dev tun udp proto a distancia o"!n."n.!xam"l!.com 119# ping 10 resolv-retry infinita nobind persist-key persisten-tun ca ca.crt cert nom'(! d! usua(io. Crt clave nom'(! d! usua(io. Clave tirar 3 verbo comp-lzo La a distancia lnea especifica el host y el puerto del servidor re%oto :pen'&<" Hna direccin 3& o F5D< se puede especificar a9u" La proto lnea especifica el protocolo utiliDado por el :pen'&<
cone/in" a%bie esta lnea por proto tcp si elige T & en lugar de HD& para su
servidor :pen'&<" La ca?cert? S cla$e lneas deber2n %odificarse en consecuencia para cada cliente"
(>"1">")"(" La distribucin de configuracin y claves a los clientes

La for%a %2s f2cil de distribuir las claves y la configuracin de :pen'&< para clientes es el pa9uete
en un archivo Dip? o autoIe/trable con cre%allera para la e/traccin auto%2tica de C: \ Archivos de programa \ OpenVPN
\ Config" @sto debe ser trans%itida con seguridad para el usuario final? y nunca debe ser pasado por alto
no son de confianDa de redes sin encriptar"
(>"1">"*" onfiguracin de la viscosidad

uando se utiliDa el cliente de viscosidad? no es necesario crear %anual%ente la configuracin del cliente :pen'&< archivo co%o se describe en la seccin anterior" La viscosidad proporciona una herra%ienta de configuracin de interfaD gr2fica de usuario 9ue se utiliDa para generar la base de configuracin de :pen'&< cliente se %uestra en la seccin anterior" @n pri%er lugar? copia del certificado de la A? certificado de cliente y el cliente clave para una carpeta de su eleccin en el !ac" @stos archivos se i%portar2n en la viscosidad? y despu6s se pueden borrar" Aseg;rese de 9ue esta carpeta se %antiene segura? o 9ue los archivos borrados una veD finaliDada la configuracin de la viscosidad" A continuacin? inicie la viscosidad
para iniciar la configuracin"

Faga clic en el icono del candado a0adido a la barra de %en;s en la parte superior de la pantalla? y haga clic en &referencias para co%enDar
la configuracin co%o se %uestra en la Figura (>"1? N&referencias de 'iscosidadN"
*(+
:pen'&<
Faga clic en el signo %2s en la parte inferior derecha de la pantalla &referencias de cone/in y haga clic en <uevo? co%o se %uestra en la Figura (>">? N'iscosidad Agregar cone/inN"
@n la pri%era pantalla de configuracin JFigura (>"A? N onfiguracin de 'iscosidad: GeneralNK? escriba un no%bre para su cone/in? la direccin 3& o no%bre de host del servidor :pen'&<? el puerto 9ue se utiliDa?
y el protocolo" De verificacin Fabilitar la co%patibilidad de D<S si ha especificado servidores D<S en el servidor
de configuracin" Faga clic en la ficha ertificados cuando haya ter%inado"

@n la ficha ertificados JFigura (>"B? N onfiguracin de 'iscosidad: ertificadosNK? la entidad e%isora y el usuario certificados y la clave de usuario debe ser especificado" Los archivos se pueden descargar en cual9uier lugar de la siste%a de archivos !ac" Despu6s de descargarlos? haga clic en Seleccionar Munto a cada una de las tres caMas para elegir el archivo correspondiente para cada uno" @l cuadro de TLS de autenticacin se deMa en blanco" Faga clic en la pesta0a :pciones cuando haya ter%inado" @n la ficha :pciones JFigura (>"C? N onfiguracin de 'iscosidad: :pcionesNK? de verificacin Hsar lDo o%presin si lo ha activado en el servidor" Las opciones restantes pueden ser deMados en su
valores por defecto" Faga clic en la ficha Funciones de red para continuar"
Figura (>"," onfiguracin 'iscosidad: .edes

@n la ficha Funciones de red JFigura (>",? N onfiguracin de 'iscosidad: .edesNK? La principal opcin de inter6s es la Letra de todo el tr2fico sobre la caMa de co%probar la cone/in '&<" Si desea enviar todos los
*((
:pen'&<
tr2fico a trav6s de la '&<? %ar9ue esta casilla" Las pesta0as de configuracin restante puede no tenerse en cuenta
en casi todas las configuraciones" uando ter%ine? haga clic en Guardar para ter%inar de agregar el nuevo :pen'&<
de configuracin"
Ahora tendr2s tu acaba de agregar la configuracin de :pen'&< se %uestra en la pantalla &referencias" ierre la pantalla &referencias? haga clic en el candado en la barra de %en;s? y el no%bre de la '&<
para conectarse? co%o se %uestra en Figura (>"(+? N'iscosidad conectarN"
Figura (>"(+" 'iscosidad conectar

Despu6s de unos segundos? el candado en la barra de %en; ca%biar2 a verde para %ostrar 9ue ha conectado correcta%ente"
Al hacer clic en 6l? y hacer clic en Detalles? co%o se %uestra en la Figura (>"((? N%en; de viscosidadN? se puede ver
infor%acin sobre la cone/in"

@n la pri%era pantalla JFigura (>"()? Nlos detalles de viscosidadNK? ver2 el estado de la cone/in? conectado tie%po? la 3& asignada al cliente? y la 3& del servidor" Hn gr2fico de ancho de banda se %uestra en
la parte inferior de la pantalla? %ostrando el rendi%iento dentro y fuera de la interfaD de :pen'&<"

Al hacer clic en el botn arriba 7 abaMo las flechas en el centro de la pantalla de detalles? puede ver %2s las estadsticas de tr2fico de red" @sto %uestra el tr2fico enviado dentro del t;nel JTH< 7 TA& de entrada y salidaK? co%o as co%o el total de tr2fico T & o HD& enviados incluyendo la sobrecarga del t;nel y cifrado" &or cone/iones con los pa9uetes principal%ente pe9ue0as? la sobrecarga es considerable con todas las soluciones '&<" Las estadsticas se %uestran en la Figura (>"(*? Ndetalles 'iscosidad: @stadsticas de tr2ficoN son de slo unos cuantos pings atravesar la cone/in" @l tr2fico enviado en la educacin de la cone/in ta%bi6n se cuenta a9u? as 9ue
*()
:pen'&<
la sobrecarga inicial es %ayor de lo 9ue ser2 despu6s de haber sido vinculado durante alg;n tie%po" Ade%2s? el
tpico de tr2fico '&< tendr2 %ayor ta%a0o de los pa9uetes de A1 bytes pings? haciendo 9ue el total de gastos
y la diferencia entre estos dos n;%eros considerable%ente %enor"

Al hacer clic en el icono de tercero en el centro de la pantalla %uestra los detalles del archivo de registro :pen'&< JFigura (>"(1? Ndetalles 'iscosidad: .egistrosNK" Si usted tiene alg;n proble%a de cone/in? revise los registros
a9u para ayudar a deter%inar el proble%a" '6ase ta%bi6n Seccin (>"((? NSolucin de proble%as :pen'&<N"
(>">" Sitio para @Me%plo de configuracin de la web
Figura (>"(>" :pen'&< sitio de eMe%plo a la red de sitio

@n esta seccin se describe el proceso de configuracin de un sitio a la cone/in del sitio con claves co%partidas" uando la configuracin de un sitio a otro con :pen'&<? un servidor de seguridad ser2 el servidor y el otro ser2 el cliente" &or lo general? su ubicacin principal ser2 el lado del servidor y las oficinas re%otas actuar2n co%o clientes? aun9ue lo contrario es funcional%ente e9uivalente" Ade%2s de las subredes de a%bos e/tre%os? co%o en el acceso re%oto de configuracin de :pen'&<? habr2 una subred dedicada en utiliDar para la intercone/in entre las redes de :pen'&<" La configuracin de eMe%plo 9ue se describe
a9u se representa en Figura (>"(>? Nsitio :pen'&< eMe%plo a la red de sitioN"

1M2.31."".0630 se utiliDa co%o el conMunto de direcciones" @l t;nel :pen'&< entre los dos servidores de seguridad recibe una 3& en cada e/tre%o de la subred? co%o se ilustra en el diagra%a" Los siguientes
secciones se describe c%o configurar la parte del servidor y el cliente de la cone/in"
(>">"(" onfiguracin del lado del servidor

@/a%inar para '&< :pen'&< y haga clic en la pesta0a Servidor" Los siguientes ca%pos est2n configurados?
con todo lo de%2s a la iD9uierda en valores predeter%inados" U Direccin de billar I 3ngrese 1M2.31."".0630 a9u"
*(*
:pen'&<
U ontrol re%oto de la red I 3ngrese 10.0.10.0627 a9u" U clave co%partida I &egar en la clave co%partida para esta cone/in a9u" 3nstrucciones en la generacin de claves co%partidas se proporciona en Seccin (>")"(? NLa generacin de claves co%partidasN" U Descripcin I 3ntroduce algo a9u para describir la cone/in"
@so es todo lo 9ue debe estar configurado para el servidor :pen'&< para funcionar en este escenario"
Faga clic en Guardar"

A continuacin? tendr2 9ue a0adir una regla de firewall en la =A< 9ue per%ite acceder al servidor :pen'&<" @specificar el protocolo 9DR? 3& de origen co%o la direccin 3& del cliente si tiene una direccin 3& est2tica? o c(al'(ier si su
3& es din2%ica" Destino es el Direccin :P>? S el puerto de destino es 1197 en este caso"
Figura (>"(A? Nsitio :pen'&< eMe%plo de regla de firewall sitio de la =A<N %uestra la regla de firewall utiliDados
para este eMe%plo"
Figura (>"(A" :pen'&< sitio de eMe%plo de regla de firewall sitio =A<

Aplicar ca%bios despu6s de la regla de firewall se agrega? y la configuracin del servidor ha ter%inado"
(>">")" onfiguracin del lado del cliente

&or el lado del cliente? vaya a '&< :pen'&< y haga clic en la ficha de cliente" Los siguientes los ca%pos est2n configurados? con todo lo de%2s a la iD9uierda en valores predeter%inados" U Direccin de servidor I 3ntroduDca la direccin 3& p;blica o no%bre de host del servidor :pen'&< a9u" U ontrol re%oto de la red I 3ngrese 192.168.1.0627 a9u"
U clave co%partida I &egar en la clave co%partida para la cone/in de a9u? utiliDando la %is%a clave 9ue en el
del lado del servidor" U Descripcin I 3ntroduce algo a9u para describir la cone/in"
Despu6s de rellenar los ca%pos? haga clic en Guardar" La configuracin del cliente es co%pleta" <ing;n firewall nor%as son necesarias en el lado del cliente por9ue el cliente slo inicia las cone/iones salientes" La
servidor nunca inicia las cone/iones con el cliente"
*(1
:pen'&<
<ota
on acceso re%oto configuraciones de &Q3? con frecuencia no define las rutas y
otras opciones de configuracin en la configuracin del cliente? sino %2s bien i%pulsar los opciones desde el servidor al cliente" on despliegues clave co%partida? debe definir rutas y otros par2%etros en a%bos e/tre%os? seg;n sea necesario Jco%o se describi anterior%ente? y %2s adelante en Seccin (>"(+? N&ersonaliDar las opciones de configuracinNK? <o puede e%puMar a
el cliente al servidor utiliDando las claves co%partidas"
(>">"*" &rueba de la cone/in

La configuracin se ha co%pletado y la cone/in se activa in%ediata%ente despu6s de guardar en el lado cliente" 3ntente hacer ping a trav6s al e/tre%o re%oto para verificar la conectividad" Si surgen proble%as?
se refieren a Seccin (>"((? NSolucin de proble%as :pen'&<N"
(>"A" Filtrado y <AT con :pen'&< one/iones

De for%a predeter%inada? pfSense a0ade nor%as a la tonel o puntee interfaces siendo utiliDado por :pen'&< para per%itir
todo el tr2fico desde los clientes conectados :pen'&<" Si desea filtrar el tr2fico de :pen'&<
clientes? tienes 9ue co%probar deshabilitar todas las reglas '&< agreg auto%2tica%ente en Siste%a AvanDada Jv6ase Seccin ()"*? N.eglas del cortafuegos y redes privadas virtualesN antes de hacer esto para e/a%inar las ra%ificacionesK" A continuacin? asignar la interfaD de :pen'&< en una interfaD :&T y configurar en consecuencia" @n esta seccin
describe c%o llevar a cabo tanto el filtrado y <AT para los clientes :pen'&<"
(>"A"(" 3nterfaD de configuracin y asignacin de

@/a%inar a las interfaces Asignar y asignar el adecuado tonel o puntee interfaD co%o un :&T interfaD" Si slo tiene una cone/in :pen'&< y no est2 utiliDando un puente co%o se describe en Seccin (>",? N one/iones en puente :pen'&<N? La interfaD de :pen'&< se tun0" Si tener varias cone/iones? y la necesidad de <AT o filtran el tr2fico entrante de clientes :pen'&<? tendr2 9ue especificar el dispositivo a utiliDar para cada cone/in en el ca%po de opciones personaliDadas" @sto se describe en Seccin (>"(+")? N@specificacin de la interfaDN" Hsted tendr2 una interfaD :&T por servidor :pen'&< y cliente configurado en el siste%a" Figura (>"(B? NAsignar tun+ interfaDN
%uestra tun0 asignado co%o :&T("
*(>
:pen'&<
Figura (>"(B" Asignar tun+ interfaD

Ahora vaya a la p2gina de la interfaD previa%ente asignado? 3nterfaces :&T( para
el eMe%plo de la Figura (>"(B? NAsignar tun+ interfaDN" @n pri%er lugar co%probar la interfaD Active cuadro en la parte superior de la p2gina? y escriba una descripcin adecuada en el ca%po Descripcin" @n el 3& cuadro de direccin introducir ning(no" @ste es un truco 9ue no configure la infor%acin 3& en la interfaD?
9ue es necesario? ya 9ue :pen'&< se debe configurar estos aMustes en la tun0 interfaD"
Faga clic en Guardar para aplicar estos ca%bios" @sto no hace nada para ca%biar la funcionalidad de :pen'&<?
si%ple%ente hace 9ue la interfaD disponible para regla de firewall y <AT fines"
(>"A")" Filtrado con :pen'&<

Ahora 9ue tiene la interfaD de :pen'&< asignado? vaya al servidor de seguridad .eglas y haga clic en el
ficha de la interfaD de :pen'&< 9ue acaba de asignar" A9u usted puede agregar reglas de firewall al igual 9ue cual9uier otra interfaD 9ue se aplicar2n al tr2fico iniciado por los clientes :pen'&<" .ecuerde 9ue a %enos 9ue co%probar la Deshabilitar todas las autoIagreg '&< cuadro de nor%as en Siste%a AvanDada? per%iten a todas las reglas de la interfaD se agreg 9ue anular2 las nor%as 9ue se aplican a9u" &ara obtener %2s infor%acin sobre
las reglas del cortafuegos? consulte aptulo A? Servidor de seguridad"
(>"A"*" <AT con :pen'&<

Si si%ple%ente 9uieres <AT sus clientes :pen'&< para su =A< 3& para 9ue puedan acceder a 3nternet
utiliDando la cone/in :pen'&<? necesita habilitar avanDada de salida <AT y especificar una Salida <AT regla para su direccin de subred Alberca JsK" 'er Seccin B"A? N<AT SalienteN de
%2s detalles sobre salida <AT"

on la interfaD de :pen'&< asignado? <AT reglas ta%bi6n se puede aplicar lo %is%o 9ue con cual9uier otra interfaD" @sto es ;til cuando hay 9ue conectar dos subredes en conflicto" Si tiene dos
*(A
:pen'&<
redes 9ue utiliDan una subred LA< (,)"(AC"("+7)1 9ue usted necesita para conectarse a trav6s de una '&< sitio a sitio?
no pueden co%unicarse a trav6s de '&< con <AT Jo puente? co%o se e/plica en Seccin (>",? N one/iones :pen'&< puenteN? &ero 9ue real%ente slo deber2n utiliDarse para clientes %viles y no sitio para cone/iones de sitioK" Los hosts de una subred (,)"(AC"("+7)1 nunca llegar al otro e/tre%o de la '&< para co%unicarse con la subred (,)"(AC"("+7)1 a distancia? debido a 9ue la red es sie%pre tratadas co%o locales" Sin e%bargo? con <AT? usted puede hacer la funcin de e/tre%o re%oto? co%o si se tratara de usar
una subred 3& diferente"
<ota
@sto funciona bien para %uchos protocolos? pero para algunos 9ue son co%;n%ente deseables a trav6s de cone/iones '&<? principal%ente S!# 7 3FS para co%partir archivos entre =indows los eM6rcitos? no funcionar2 en co%binacin con <AT" Si est2 usando un protocolo 9ue
no es capaD de funcionar con <AT? 6sta no es una solucin viable"

Figura (>"(C? NSitio al sitio con subredes en conflictoN %uestra un eMe%plo donde a%bos e/tre%os son
utiliDando la %is%a subred" Despu6s de asignar la tonel interfaD para una interfaD opcional en a%bos lados? co%o
se describe en Seccin (>"A"(? Nla asignacin de interfaD y configuracinN? +(:+( <AT se puede aplicar"
Figura (>"(C" Hn sitio a otro con subredes en conflicto

@l tr2fico desde el sitio A se traducir2 a (B)"(A"("+7)1? y el sitio # se traducir2n a (B)"(B"("+7)1" Hna entrada de <AT +(:+( se a0adir2 en cada e/tre%o de traducir toda la 7 )1 ga%a" &ara llegar a un sitio desde el sitio #? (B)"(A"("/ direcciones 3& se utiliDan" @l ;lti%o octeto de la (,)"(AC"("/ 3& ser2 traducido al ;lti%o octeto en el (B)"(A"("/ traducida 3&? por lo 9ue para llegar a (,)"(AC"("(+ Hn sitio desde el sitio #? utiliDara (B)"(A"("(+ lugar" &ara llegar a (,)"(AC"(">+ en el Sitio # desde @l sitio A? deber2 utiliDar (B)"(B"(">+ lugar" Figura (>"(,? NSitio de configuracin de un <AT (:(N y Figura (>")+? NSitio # configuracin de <AT (:(N %uestra la configuracin de +(:+( <AT para cada lado?
donde el tonel interfaD se asigna co%o :&T)"
*(B
:pen'&<
Figura (>"(," Hn sitio de configuracin de <AT +(:+(
Figura (>")+" Sitio # +(:+( configuracin de <AT
*(C
:pen'&<
@n la configuracin de :pen'&< en a%bos lados? en la red a distancia debe ser especificado co%o el
subred 3& traducida? no co%o (,)"(AC"("+7)1" @n este eMe%plo? la red re%ota en el sitio A es
(B)"(B"("+7)1 y (B)"(A"("+7)1 en el sitio #"

Despu6s de aplicar los ca%bios de configuracin de <AT y la configuracin de la red re%ota en consecuencia
en a%bos lados? las redes ser2n capaces de co%unicarse utiliDando las subredes traducido"
(>"B" :pen'&< y !ultiI=A<

:pen'&< es %ultiI=A< capaD? con algunas salvedades en algunas circunstancias" @sta seccin cubre
consideraciones %ultiI=A< con el servidor :pen'&< y configuraciones de cliente"
(>"B"(" :pen'&< y servidores %ultiI=A<

servidores :pen'&< puede ser usado con cual9uier cone/in =A<? aun9ue los %edios de hacerlo se
varan dependiendo de los detalles de su configuracin"
(>"B"("(" :pen'&< servidor %ediante T &

!ientras 9ue el T & no es general%ente el protocolo preferido para :pen'&<? co%o se describe anterior%ente en este captulo? a trav6s de T & hace %ultiI=A< :pen'&< %2s f2cil de configurar" :pen'&< servidores 9ue utiliDan T & funciona correcta%ente en todas las =A<? donde las reglas del firewall para per%itir el paso a la :pen'&<
servidor" Se necesita una regla en cada interfaD =A<"
(>"B"(")" :pen'&< servidor usando HD&

servidores :pen'&< con HD& ta%bi6n %ultiI=A< capaD? pero con algunas salvedades 9ue no son aplicables con T &? ya 9ue las funciones %ultiI=A< del pf %anera de enruta%iento" ada =A< debe tener su propio servidor :pen'&<" Hsted puede utiliDar los %is%os certificados para todos los servidores" Slo dos
partes de la configuracin de :pen'&< debe ca%biar"
(>"B"(")"(" Direccin &ool

ada servidor debe tener un ;nico conMunto de direcciones 9ue no se superponga con ning;n otro grupo de direcciones
o internos de subred"
(>"B"(")")" ostu%bre local :pcin

ada servidor :pen'&< debe especificar la 3& de la interfaD =A< utiliDado por el servidor con la locales opcin personaliDada" @l siguiente eMe%plo %uestra c%o configurar :pen'&< para =A<
3& (")"*"1"
*(,
:pen'&<
locales 1.2.3.7 &ara las cone/iones con 3& din2%ica? un no%bre de host co%o alternativa se puede especificar" Los siguientes %uestra un eMe%plo para openvpn"e/a%ple"co% no%bre de host" open$pn.e-a!ple.co! locales
(>"B"(")"*" on%utacin por error auto%2tica para los clientes

'arios servidores re%otos se pueden configurar en los clientes :pen'&<" Si el pri%er servidor no puede ser alcanDado? la segunda se utiliDar2" @sto puede ser usado en co%binacin con un :pen'&< %ultiI=A< i%ple%entacin del servidor para proporcionar con%utacin por error auto%2tica para los clientes" Si los servidores son :pen'&< 9ue se eMecutan en 3& (")"*"1 y 1"*")"(? tanto a trav6s del puerto ((,1? el a distancia las lneas de su cliente
archivo de configuracin ser2 la siguiente" 1.2.3.4 remoto 1194 4.3.2.1 remoto 1194
&ara los clientes configurados en pfSense? la pri%era a distancia est2 configurado por las opciones dadas en el
3nterfaD gr2fica de usuario" @l segundo a distancia se especifica en el ca%po de opciones personaliDadas"
(>"B")" :pen'&< clientes y !ultiI=A<

clientes :pen'&< configurado en el servidor de seguridad seguir2 el siste%a de la tabla de enruta%iento al hacer la cone/in con el servidor :pen'&<" @sto significa 9ue por defecto? todos los clientes el uso de la =A< interfaD" &ara utiliDar una interfaD =A< :&T? debe introducir una ruta est2tica para dirigir el tr2fico a la
e/tre%o re%oto de la cone/in :pen'&<"

Figura (>")(? N@Me%plo de ruta est2tica para el cliente :pen'&< en :&T =A<N ilustra la est2tica la ruta necesaria para utiliDar el interfaD de =A<) acceder a un servidor :pen'&< 9ue se eMecutan en 3&
(")"*"1? en la puerta de enlace de la interfaD =A<) es (B)"*("("("
*)+
:pen'&<
Figura (>")(" @Me%plo est2tica de las rutas de :pen'&< lient en :&T =A<
(>"C" :pen'&< y A.&

:pen'&< es interoperable con la carpa" &ara proporcionar una solucin de alta disponibilidad con :pen'&<
A.&? configurar los clientes para conectarse a un '3& A.&? y configurar el servidor :pen'&< para
utiliDar el perodo de investigacin con la A.& locales opcin de configuracin a %edida" @n (")"/ pfSense? el :pen'&<
configuracin no se puede sincroniDar con el servidor de seguridad secundaria? por lo 9ue debe introducir %anual%ente 9ue en a%bos servidores de seguridad" @l estado de la cone/in no se conserva entre los hosts? de %odo 9ue los clientes deben volver a conectar despu6s de con%utacin por error? pero :pen'&< detectar2 el error de cone/in y vuelva a conectar dentro de un
%inuto %2s o %enos de con%utacin por error" A.& se discute en aptulo )+? Firewall de redundancia y Alto Disponibilidad"
(>"," one/iones en puente :pen'&<

Las configuraciones de :pen'&< discutido hasta este punto han sido enviados? con tonel interfaces" @sta suele ser la for%a preferible de conectar clientes '&<? pero :pen'&< ofrece ta%bi6n la
opcin de utiliDar puntee interfaces y clientes puente directa%ente en su LA< o de otro interno
red" @sto puede hacer 9ue los clientes re%otos parecen estar en su red local" Sin e%bargo? el pfSense
GH3 no fue dise0ado para dar cabida a tales escenarios" <o ha sido un truco usado por algunos personas? pero tiene proble%as significativos" Hna opcin ;til estar2 disponible en alg;n %o%ento I de verificacin http:77doc"pfsense"org7inde/"php7:pen'&<_#ridging para la infor%acin %2s reciente sobre :pen'&<
puente"
*)(
:pen'&<
Las (>"(+ horas" :pciones de configuracin personaliDada

:pen'&< ofrece docenas de opciones de configuracin? %uchos %2s all2 de los %2s utiliDados
ca%pos 9ue se presentan en la interfaD gr2fica de usuario" &or ello? el cuadro de opciones de configuracin personaliDada e/iste" Hsted puede llenar en un n;%ero ili%itado de opciones de configuracin adicionales? separados por punto y co%a" @sta seccin cubre las opciones de uso %2s frecuente a %edida de for%a individual" <o son %uchos %2s? aun9ue rara veD se necesita" La :pen'&< p2gina del %anual [Fttp:77openvpn"net7inde/"php7 openIsource7docu%entation7%anuals7A>IopenvpnI)+/I%anpage"ht%lDetalles\ a todos" @Mercicio cuidado al a0adir opciones de personaliDacin? no hay validacin de entrada 9ue se aplica para garantiDar la valideD de opciones 9ue se utiliDan" Si una opcin no se utiliDa correcta%ente? el cliente :pen'&< o el servidor no se inicie" &uede ver los registros de :pen'&< en @stado Los registros del siste%a en la ficha :pen'&< para garantiDar las opciones 9ue se utiliDan son v2lidas" ual9uier otra opcin no v2lida se traducir2 en un %ensaMe de registro Opciones de error: opcin no reconocida o parmetro que falta (s) seguido por la opcin 9ue
provoc el error"
(>"(+"(" :pciones de ruta

&ara agregar rutas adicionales para un deter%inado cliente o servidor :pen'&<? se utiliDa el r(ta personaliDado
opciones de configuracin" @n el eMe%plo siguiente se agrega una ruta para (+">+"+"+7)1" r(ta 10."0.0.0 2"".2"".2"".0 &ara a0adir varias rutas? separadas con un punto y co%a: 10."0.0.0 2"".2"".2"".0 r(tab r(ta 10.2"7.0.0 2"".2"".2"".0
La r(ta opcin de configuracin se utiliDa para a0adir rutas a nivel local" &ara un servidor :pen'&< configuracin con &Q3? ta%bi6n puede e%puMar rutas adicionales a los clientes" &ara i%pulsar las vas de
(+">+"+"+7)1 y (+")>1"+"+7)1 a todos los clientes? utilice la siguiente opcin de configuracin personaliDada"
p(s0 Ero(te 10."0.0.0 2"".2"".2"".0E e!p(.ar Ela r(ta 10.2"7.0.0
2"".2"".2"".0 E
(>"(+"("(" La reorientacin de la puerta de enlace predeter%inada

:pen'&< ta%bi6n le per%ite ca%biar la puerta de enlace predeter%inada del cliente para el :pen'&< cone/in? por lo 9ue todo el tr2fico desde el cliente es e%puMado a trav6s de la '&<" @sto es grande para no confiables redes locales? tales co%o puntos de acceso inal2%brico? ya 9ue proporciona proteccin contra nu%erosos ata9ues de 9ue
son un riesgo en redes no confiables" &ara ello? agregue la opcin personaliDada siguientes: p(s0 Eredirect-gate2a/ DGF1E
*))
:pen'&<
Ta%bi6n puede escribir esto co%o una opcin personaliDada en el cliente %ediante el uso de redirecciona!iento de p(erta de enlace
DGF1 sin especificar e!p(.e" J<ota: la opcin es las letras NdefNSeguido por el dgito?
no la letra NLN"K
(>"(+")" @specificacin de la interfaD

:pen'&< servidores y los clientes utiliDan una interfaD de tipo t;nel para cada cone/in" @sto es todo auto%2tica%ente a cargo de pfSense? pero puede especificar el no%bre del dispositivo a utiliDar" Algunos usuarios prefiere especificar esto? por eMe%plo? para asignar la interfaD de :pen'&< en una interfaD opcional en pfSense reglas para el filtrado se puede aplicar a tr2fico entrante :pen'&<" &ara ello? agregar un
opcin co%o de$ t(n0" ada cliente y el servidor :pen'&< necesita usar un dispositivo ;nico? por lo 9ue la siguiente configuracin posterior :pen'&< especificara de$ t(n1? @l incre%ento de un para cada servidor adicional o cliente"
(>"(+"*" Hso de aceleradores de hardware criptogr2fico

Si usted tiene un acelerador de cifrado de hardware tales co%o hifn a bordo de la tarMeta o glxsb en el
platafor%a AL3G? a0adir la opcin personaliDada !otor cr/ptode$ para to%ar ventaMa de este hardware con :pen'&<" Ta%bi6n debe utiliDar un algorit%o de cifrado con el apoyo de su acelerador" &or glxsb? 5ue slo es A@SI # I()C" !oderno Fifn tarMetas co%o la SoeLris vpn(1(( apoyo
*D@S y ()C (,)? y )>A bits A@S"
(>"(+"1" @specificar la direccin 3& 9ue puede utiliDar

La locales opcin personaliDada le per%ite especificar la direccin 3& del servicio :pen'&< va a utiliDar"
@sto puede ser una direccin 3&? tales co%o locales 1.2.3.7? : un no%bre de do%inio co%pleto? tales co%o: !/open$pn.d/ndns.org locales
@sto se utiliDa sobre todo en escenarios %ultiI=A<? co%o se describe en Seccin (>"B? N:pen'&< y !ultiI
=A< N? o en co%binacin con personalidades A.&"
(>"((" Solucin de proble%as de :pen'&<

Si encuentra proble%as al intentar utiliDar :pen'&<? esta seccin proporciona infor%acin
sobre la solucin de los proble%as %2s co%unes se encuentran los usuarios"
(>"(("(" Fay algunos e9uipos en el trabaMo? pero no todos

Si el tr2fico entre %29uinas sobre las funciones de '&< correcta%ente? pero algunos hosts no? esto es
nor%al%ente una de las cuatro cosas"
*)*
:pen'&<
(" Falta? puerta de enlace predeter%inada incorrecta o ignorado I Si el dispositivo no tiene una puerta de enlace predeter%inada?
o tiene uno 9ue apunta a algo distinto de pfSense? no sabe c%o llegar adecuada%ente
de nuevo a la red re%ota en la '&<" Algunos dispositivos? incluso con una puerta de enlace predeter%inada se especifica? no usar esa puerta de enlace" @sto se ha visto en varios dispositivos integrados? incluyendo 3&
c2%aras y algunas i%presoras" <o hay nada 9ue poda%os hacer al respecto 9ue? aparte de conseguir el
software en el dispositivo fiMo" Hsted puede verificar esto eMecutando tcpdu%p en el interfaD en el interior del servidor de seguridad conectado a la red 9ue contiene el dispositivo" Solucin de proble%as con tcpdu%p
se trata en Seccin )>">? NHso de tcpdu%p desde la lnea de co%andoN" Si usted ve el tr2fico 9ue va a cabo dentro de la interfaD en el firewall? pero no las respuestas 9ue vienen atr2s? el dispositivo no est2 correcta%ente
enruta%iento del tr2fico de su respuesta Jo podra ser 9ue el blo9ueo a trav6s de un servidor de seguridadK"
)" !2scara de subred incorrecta I Si la subred en uso en un e/tre%o es (+"+"+"+7)1 y el otro es (+")>1"+"+7)1? y un host tiene una %2scara de subred incorrecta de )>>"+"+"+ o 7 C? 9ue nunca ser2 capaD de co%unicarse a trav6s de la '&<? ya 9ue piensa 9ue la subred re%ota '&< es parte de los locales
enruta%iento de red y por lo tanto no funcionar2 correcta%ente"

*" Servidor de seguridad I si hay un firewall en el host de destino? puede 9ue no sea per%itir las cone/iones" 1" Las reglas de firewall en pfSense I garantiDar las reglas en a%bos e/tre%os per%iten el tr2fico de red deseada"
(>"((")" 'erifica en el :pen'&< registros

'aya a @stado Los registros del siste%a y haga clic en la ficha :pen'&< para ver el :pen'&< registros"
Al conectar? :pen'&< registrar2 algo si%ilar a lo siguiente Jel siguiente n;%ero
openvpn ser2 diferente? es el 3D del proceso del proceso de :pen'&< hacer la cone/inK" openvpn [32194]: UDPv4 vnculo remoto: 1.2.3.4:1194 openvpn [32194]: La conexin entre pares iniciado con 192.168.110.2:1194 openvpn [32194]: inicializacin secuencia completa Si no ve el vnculo remoto y Pares de conexin iniciada !ensaMes al tratar de conectar? la causa es probable 9ue sea incorrecta configuracin del cliente? por lo 9ue el cliente es no intentar conectar con el servidor correcto? incorrecto o reglas de blo9ueo de firewall del cliente cone/in"
(>"(("*" Aseg;rese de 9ue no se superponen cone/iones 3&sec

Debido a los laDos %anera 3&sec en el Lernel de Free#SD? cual9uier acceso a una cone/in 3&sec se pongan en venta las subredes locales y re%otas 9ue se da cuando 3&sec es activado Jincluso si no est2K har2 9ue el tr2fico no se enrutan a trav6s de la cone/in :pen'&<" Las cone/iones 3&sec especificando las %is%as redes locales y re%otas debe estar deshabilitada"
*)1
:pen'&<
(>"(("1" 'erifica en el siste%a de la tabla de enruta%iento

@/a%inar para diagnstico .utas y revisin de las rutas agreg" &ara '&< sitio a sitio? usted debe
ver las rutas de la red re%ota JsK a la correspondiente tonel o puntee interfaD" Si las rutas falta o incorrecta? tu red local? red re%ota? o de opciones de personaliDacin no son
configurado correcta%ente" Si est2 utiliDando una configuracin de clave co%partida y no &Q3? aseg;rese de 9ue usted no est2 el uso de Ne%puMarN los co%andos en veD agregar rutas a a%bos e/tre%os el uso de NrutaN opciones de personaliDacin? co%o
en Seccin (>"(+"(? N:pciones de rutaN"
(>"((">" &rueba de diferentes puntos de vista

Si la cone/in se %uestra co%o en los registros? pero no funciona en su LA<? prueba de la servidor de seguridad propio? en pri%er lugar %ediante la interfaD en el interior se utiliDa para la cone/in :pen'&< Jnor%al%ente LA<K co%o la fuente de ping" Si eso no funciona? SSF en el servidor de seguridad y seleccione la opcin C para un s%bolo del siste%a" @Mecutar ping x.x.x.x en la lnea de co%andos? en sustitucin de x.x.x.x con un 3& en el lado re%oto de la '&<" @sto har2 9ue el tr2fico 9ue se iniciar2 a partir de la 3& de la tonel interfaD 9ue es utiliDado por :pen'&<" @sto puede ayudar a reducir proble%as de enruta%iento en el
red re%ota"
(>"(("A" Trace el tr2fico con tcpdu%p

Hso de tcpdu%p para deter%inar donde el tr2fico se ve y donde no se es uno de los %2s ;tiles
t6cnicas de solucin de proble%as" o%ience con la interfaD interna Jco%;n%ente LA<K en el lado donde
el tr2fico se est2 iniciando? el progreso a la tonel interfaD en dicho servidor de seguridad? entonces el tonel interfaD
en el servidor de seguridad a distancia? y final%ente dentro de la interfaD en el servidor de seguridad a distancia" Deter%inar dnde el tr2fico se ve y donde no se puede ayudar en gran %edida en la reduccin de hasta dnde est2 el proble%a
encuentra" aptura de pa9uetes se trata en detalle en aptulo )>? aptura de pa9uetes"
*)>
aptulo (A" Traffic Shaper

De tr2fico? o la red de calidad de servicio J5oSK? es un %edio de dar prioridad a la red
el tr2fico 9ue atraviesa el servidor de seguridad" Sin tr2fico? los pa9uetes son procesados en un pri%er 7 pri%ero a partir de su firewall" alidad de servicio ofrece un %edio de dar prioridad a distintos tipos de tr2fico? asegurando 9ue los servicios de alta prioridad reciben el ancho de banda 9ue necesitan antes de %enor servicios prioritarios" La asistente Traffic Shaper en pfSense le da la capacidad para configurar r2pida%ente 5oS para co%unes escenarios y reglas personaliDadas ta%bi6n se pueden crear para tareas %2s co%pleMas" &ara si%plificar? el siste%a de tr2fico en pfSense ta%bi6n puede ser deno%inado co%o el NshaperN? y el acto de tr2fico
la for%acin puede ser lla%ado Nla for%acinN"
(A"(" Traffic Shaping #2sico

&ara a9uellos de ustedes 9ue no est2n fa%iliariDados con el tr2fico? es algo as co%o un guardia de seguridad en un e/clusivo del club" @l '3& J'ery pa9uetes i%portantesK sie%pre 9ue sea en pri%era y sin tener 9ue esperar" @l regulares pa9uetes tienen 9ue esperar su turno en la fila? y Nno deseablesN los pa9uetes pueden estar fuera hasta despu6s de la verdadera fiesta ha ter%inado" Al %is%o tie%po? el club se %antiene a la capacidad y la sobrecarga nunca" Si hay %2s '3& venir %2s tarde? algunos pa9uetes regulares pueden necesitar ser arroMado a %antener el lugar de conseguir
de%asiado lleno de gente"

La for%a en 9ue la for%acin se lleva a cabo en pf? y por lo tanto pfSense? puede ser un poco contraIintuitivo en un pri%er %o%ento debido a 9ue el tr2fico debe ser li%itado en un lugar donde pfSense en realidad puede controlar la fluMo" @l tr2fico entrante de 3nternet va a un host de la LA< JdescargarK es en realidad
for%a de salir de la interfaD LA< del siste%a de pfSense" De la %is%a %anera? el tr2fico va desde la LA< a 3nternet JsubirK tiene la for%a al salir de la =A<"
Fay colas de tr2fico? y el tr2fico de las nor%as de darles for%a" Las colas son el ancho de banda en y las prioridades est2n real%ente asignados" nor%as de tr2fico configuracin de control de la cantidad de tr2fico se le asigna en las colas" .eglas para el trabaMo for%ador de %anera si%ilar a las reglas del firewall? y per%itir 9ue se pongan en venta si%ilares caractersticas" Si un pa9uete coincide con una regla %odelador? se le asignar2 en las colas especificado
por esa regla"
(A")" Lo 9ue el Traffic Shaper puede hacer por usted

La idea b2sica de tr2fico? subir y baMar las prioridades de los pa9uetes? es si%ple" Sin e%bargo? el n;%ero de for%as en 9ue este concepto puede ser aplicado es enor%e" @stos son slo algunos
eMe%plos co%unes 9ue han de%ostrado ser populares entre nuestros usuarios"
*)A
Traffic Shaper
(A")"(" !antenga navegacin suave

enlaces asi%6tricos? donde la velocidad de descarga es diferente de la velocidad de subida? son co%unes
en estos das? especial%ente con DSL" Algunos enlaces son tan fuera de balance 9ue la descarga %2/i%a la velocidad es casi inalcanDable? por9ue es difcil enviar A Q suficiente Jreconoci%ientoK pa9uetes para %antener el tr2fico 9ue fluye" pa9uetes A Q se devuelven al re%itente por el receptor host para indicar 9ue los datos se recibi con 6/ito? y para se0alar 9ue est2 bien de enviar %2s" Si el re%itente no recibe A Q de %anera oportuna? T & %ecanis%os de control de congestin
entrar2 en funciona%iento y reducir la velocidad de la cone/in"

Hsted puede haber notado esta situacin antes: Al cargar un archivo a trav6s de ese vnculo? la navegacin y la descarga se ralentiDa o se detiene" @sto sucede por9ue la parte de carga del circuito est2 lleno de la carga de archivos? hay poco espacio para enviar los pa9uetes A Q 9ue per%iten descargas seguir fluyendo" !ediante el uso de la talladora de dar prioridad a los pa9uetes A Q? se puede lograr %2s r2pido? %2s estable
velocidades de descarga en los enlaces asi%6tricos"

@sto no es tan i%portante en los vnculos si%6tricos en la carga y la velocidad de descarga son las %is%as?
pero a;n puede ser desriable si el ancho de banda de salida disponible es %uy utiliDado"
(A")")" !antenga 'o3& lla%adas claras

Si su voD sobre 3& pide utiliDar el %is%o circuito 9ue los datos? carga y descarga a continuacin? puede degradar
la calidad de la lla%ada" pfSense puede prioriDar el tr2fico de lla%adas por enci%a de otros protocolos? y garantiDar 9ue el pide hacerlo a trav6s de claridad sin ro%per? incluso si usted es el strea%ing de vdeo de alta definicin de Fulu? al %is%o tie%po" @n lugar de la lla%ada ruptura? la velocidad de las transferencias de otros se
reducido para deMar espacio para las lla%adas"
(A")"*" .educir el retraso de Muego

Ta%bi6n hay opciones para dar prioridad al tr2fico asociadas a Muegos en red" Al igual 9ue en dar prioridad a las lla%adas de 'o3&? el efecto es 9ue incluso si se descarga durante el Muego? la respuesta
%o%ento del Muego a;n debe ser casi tan r2pido co%o si el resto de su cone/in se espera"
(A")"1" !antenga las aplicaciones &)& en la co%probacin

Al reducir la prioridad de tr2fico asociados a puertos conocidos peerItoIpeer? puede estar %2s f2cil sabiendo 9ue? incluso si los progra%as est2n en uso? 9ue no pueden frenar el tr2fico de su red" Debido a su %enor prioridad? otros protocolos se ver2 favorecida por el tr2fico &)&? 9ue se li%itar2
cuando cual9uier otro servicio 9ue necesita el ancho de banda"
*)B
Traffic Shaper
(A"*" Li%itaciones del hardware

De tr2fico se realiDa con la ayuda de Altq" Desafortunada%ente? slo un subconMunto de todo ello apoyado
tarMetas de red son capaces de usar estas caractersticas por9ue los controladores deben ser alterados para apoyar la for%acin" Las tarMetas de red siguientes son capaces de utiliDar de tr2fico? seg;n el ho%bre
&2gina altq (4):

edad (4)?cerveza (4)?uno (4)?ath (4)?Aue (4)?awi (4)?AEC (4)?bfe (4)?bge (4)? CC (4)?de (4)?ed (4)?em (4)?ep (4)?fxp (4)?gema (4)?hme (4)?ipw (4)?iwi (4)? jme (4)?-le (4)?msk (4)?mxge (4)?mi (4)?educacin no formal (4)?NPE (4)?NVE (4)?ral (4)? Re (4)?rl (4)?ron (4)?sf (4)?sis (4)?sk (4)?ste (4)?stge (4)?udav (4)?
naturales (4)?GVE (4)?vr (4)?wi (4)? S xl (4)"
(A"1" Li%itaciones de la Traffic Shaper aplicacin en (")"/

@nvolviendo una interfaD gr2fica de usuario de todo el tr2fico subyacente en la configuracin de los co%ponentes de pfSense de%ostrado ser un %uy funcionalidad difcil tarea? y falta en el siste%a subyacente en algunas Donas ta%bi6n se li%ita su capacidades" La aplicacin 9ue e/iste en (")"/ funciona bien? dentro de sus l%ites" @l tr2fico
for%ador en pfSense )"+ ha sido reescrito para hacer frente a estas li%itaciones"
(A"1"(" Slo dos de interfaD de apoyo

@l shaper slo funciona correcta%ente con las i%ple%entaciones 9ue consta de dos interfaces LA< y =A<" !ultiI=A<? y redes con interfaces :&T otros no funcionan co%o se desea" @l for%ador en
)"+ da cabida a %;ltiples interfaces correcta%ente"
(A"1")" @l tr2fico a la interfaD LA< afectados

@l tr2fico a la 3& LA< est2 en la cola de la %is%a %anera 9ue el tr2fico 9ue atraviesa el firewall" As 9ue si su interfaD web utiliDa el protocolo FTT&S? y la cola de confor%ador de tr2fico de FTT&S se llena? se retrasar2 su el tr2fico a la interfaD de gestin de la %is%a 9ue si su solicitud FTT&S iban a salir a la De 3nternet" Si utiliDa ping a la 3& LA< de un siste%a de segui%iento? puede ver un retraso significativo
y la in9uietud por esta %is%a raDn"

&or e/tensin ta%bi6n se aplica a otros servicios ofrecidos por el router pfSense" Los usuarios de los cala%ares pa9uete de pro/y dado cuenta de 9ue sus clientes locales recibieron datos del pro/y slo a la velocidad de su red =A<? y por lo 9ue nunca pareci ser el al%acena%iento en cach6 de datos" De hecho? fue el al%acena%iento en cach6 de datos? pero
ta%bi6n la configuracin del tr2fico? al %is%o tie%po"
*)C
Traffic Shaper
(A"1"*" <o hay inteligencia de las aplicaciones

@l %olde no es capaD de diferenciar real%ente entre los protocolos" Tr2fico 9ue utiliDa el puerto T & C+
se considera co%o FTT&? si es real%ente FTT& o es una aplicacin &)& utiliDando el puerto C+" @sto puede
siendo un proble%a i%portante en algunos entornos"
(A">" onfiguracin de la Traffic Shaper on la Asistente

Se reco%ienda 9ue configure el confor%ador de tr2fico por pri%era veD con el asistente? 9ue le guiar2 en el proceso" Debido a la co%pleMidad de las colas de la talladora y las nor%as? no es una buena idea para tratar de e%peDar de cero por su cuenta" Si necesita reglas personaliDadas? paso a paso el asistente y apro/i%arse a lo 9ue usted necesita? entonces hacen las reglas personaliDadas despu6s" ada ser2 la configuracin de pantalla ;nica colas? y las reglas 9ue controlan lo 9ue el tr2fico se asigna a los colas" Si desea configurar todo %anual%ente? basta con especificar la velocidad =A< la pri%era pantalla? a continuacin? haga clic en Siguiente en todas las pantallas restantes sin tener 9ue configurar nada"
(A">"(" 3nicio del Asistente

&ara e%peDar a utiliDar el Asistente para Traffic Shaping? haga clic en el Servidor de seguridad Traffic Shaper" @l asistente
se iniciar2 auto%2tica%ente co%o en Figura (A"(? N3nicio del Asistente para ShaperN" Si ha co%pletado el asistente de configuracin de antes? o tiene reglas personaliDadas? en su lugar aparecer2 la lista de las nor%as de shaper" &ara borrar las reglas e/istentes talladora y e%peDar de cero? haga clic en la ficha Asistente @E Shaper 9ue relanDar2 el asistente de preIllenado con su configuracin actual" Al t6r%ino de cada pantalla de la
asistente? haga clic en Siguiente para continuar a la siguiente p2gina"
Figura (A"(" 3nicio del Asistente para Shaper
*),
Traffic Shaper
(A">")" .edes y velocidades

@sta pantalla? co%o se %uestra en Figura (A")? N onfiguracin ShaperN? es donde se configura el
interfaces de red 9ue ser2 el interior y e/terior? desde el punto de vista del for%ador? a lo largo de con las velocidades de carga y descarga" Dependiendo de tu tipo de cone/in? la velocidad del enlace real
no puede ser la velocidad real de utiliDacin" @n el caso de &&&o@? usted tiene no slo de arriba &&&o@? pero
ta%bi6n de cabeDa del enlace de red subyacente AT! se utiliDa en la %ayora de las i%ple%entaciones de &&&o@" Seg;n algunos c2lculos? entre la cabeDa del caMero auto%2tico? &&&o@? 3& y T &? puede perder
hasta un (*] de la velocidad del enlace anunciado"

@n caso de duda de lo 9ue estableDca la velocidad? ser un poco conservador" .educir en (+ a (*] y el trabaMo el ca%ino de vuelta hacia arriba" Si usted tiene un *!bit 7 s de lnea? se establece alrededor de )B++ y probarlo" Sie%pre se puede %odifica la cola de los padres resulta %2s tarde y aMustar la velocidad" Si la pone%os baMo? la cone/in estar al %2/i%o en e/acta%ente la velocidad 9ue ha establecido" !antenga e%puMando hacia arriba %2s alto hasta 9ue ya no recibe
cual9uier beneficio de rendi%iento"
Figura (A")" !odelador de configuracin
(A">"*" 'oD sobre 3&

Fay varias opciones disponibles para %aneMar el tr2fico de lla%adas 'o3&? 9ue se %uestra en Figura (A"*? NLa 'oD sobre 3& N" La pri%era opcin? la prioridad del tr2fico de voD sobre 3&? se e/plica por s %is%o" &er%itir2 la prioriDacin del tr2fico 'o3& y este co%porta%iento puede ser aMustado por la configuracin de otros a continuacin" Fay pocos proveedores bien conocidos? incluyendo 'onage? 'oice&ulse? &anasonicTDA?
y servidores de AsterisL" Si usted tiene un proveedor diferente? puede elegir Nen`rico? : anular
**+
Traffic Shaper
este valor con el ca%po de direcciones %ediante la introduccin de la 3& de su tel6fono 'o3& o un alias 9ue contiene las direcciones 3& de todos sus tel6fonos"
Ta%bi6n puede elegir la cantidad de ancho de banda para garantiDar a sus tel6fonos 'o3&" @sto
varan en funcin de la cantidad de tel6fonos 9ue tiene? y cu2nto ancho de banda de cada sesin se utiliDan"
Figura (A"*" 'oD sobre 3&
(A">"1" &ena de aMa

La caMa de la pena? se %uestra en Figura (A"1? NcaMa de la penaN? es un lugar al 9ue se puede relegar a %al co%porta%iento usuarios o dispositivos 9ue de otra %anera consu%en %2s ancho de banda de lo deseado" @stos los usuarios se les asigna un ancho de banda de la tapa dura 9ue no puede e/ceder" 'erifica en el &enaliDar 3& o Alias para activar la funcin? introduDca una direccin 3& o alias en el cuadro de direccin? y luego entrar en carga y
l%ites de descarga en Lilobits por segundo en sus caMas respectivas"
**(
Traffic Shaper
Figura (A"1" &ena de aMa
(A">">" .edes peerItoI&eer

@n la siguiente pantalla? se %uestra en la Figura (A">? N&eerItoIpeerN? le per%itir2 establecer controles
sobre %uchos peerItoIpeer J&)&K? protocolos de red" &or dise0o? los protocolos &)& utiliDar2 todos los ancho de banda disponible a %enos 9ue los l%ites se ponen en %archa" Si usted espera 9ue el tr2fico &)& en la red? 9ue @s una buena pr2ctica para garantiDar 9ue el resto del tr2fico no se degrada debido a su uso" &ara sancionar &)&
tr2fico? en pri%er lugar co%pruebe #aMa prioridad del tr2fico peerItoI&eer"

!uchas de las tecnologas &)& deliberada%ente tratar de evitar la deteccin" #ittorrent es especial%ente culpable de esto co%porta%iento" A %enudo utiliDa los puertos no est2ndar o aDar? o de los puertos asociados con otros protocolos" &uede %arcar la opcin p)p atchAll lo 9ue har2 9ue el tr2fico no reconocidos 9ue se supone co%o el tr2fico &)& y su prioridad dis%inuido" &uede establecer l%ites estrictos de ancho de banda para este el tr2fico por debaMo de la regla de caMn de sastre" La carga y descarga de los l%ites de ancho de banda se establecen en Qilobits
por segundo"
Las opciones restantes se co%ponen de varios conocidos protocolos &)&? %2s de )+ en total" o%pruebe
cada uno 9ue desea ser reconocido"
**)
Traffic Shaper
Figura (A">" .edes peerItoI&eer
(A">"A" .ed de $uegos

!uchos Muegos se basan en una baMa latencia para ofrecer una buena e/periencia de Muego online" Si alguien trata de
para descargar archivos de gran ta%a0o o los parches del Muego durante el Muego? 9ue el tr2fico puede tragar con facilidad la pa9uetes asociados con el Muego en s y causar retraso o descone/iones" Al %arcar la opcin para prioriDar el tr2fico de la red de Muego? co%o se ve en Figura (A"A? N.ed de $uegosN? &uede au%entar la prioridad del tr2fico de Muego de %odo 9ue ser2 transferido pri%ero y dado un troDo de garanta ancho de banda" Fay %uchos Muegos en la lista? %ar9ue todas las 9ue deben ser prioriDadas" Si su Muego no aparece en esta lista todava puede co%probar un Muego si%ilar? de %odo 9ue usted tendr2 un
nor%a de referencia 9ue puede ser %odificada %2s adelante"
***
Traffic Shaper
Figura (A"A" .ed de $uegos
(A">"B" Subir o baMar otras aplicaciones

La pantalla de configuracin ;lti%a del asistente for%ador? visto en Figura (A"B? NSubir o #aMar
:tras aplicaciones N? Las listas de %uchas otras aplicaciones co%;n%ente disponibles y los protocolos" 4 %o estas protocolos se %aneMan depender2 del a%biente 9ue este router pfSense se protege" Algunos de estos puede ser deseado? y otros no" &or eMe%plo? en un entorno corporativo? es posible 9ue desee baMar la prioridad de tr2fico no interactivos co%o el correo? donde una desaceleracin
no es observado por nadie? y elevar la prioridad de los servicios interactivos co%o .D&? donde los pobres
el rendi%iento es un i%pedi%ento para la capacidad de las personas a trabaMar" @n una casa? strea%ing %ulti%edia puede ser %2s i%portante? y otros servicios puede ser baMada" Fabilitar la opcin para la creacin de redes :tros
protocolos? a continuacin? seleccionar y elegir de la lista"

Fay %2s de )> protocolos diferentes para escoger? y cada uno se puede dar una S(perior
prioridad?3enor prioridad? : la iD9uierda en el Rrioridad por defecto" Si ha activado

p)p atchAll? tendr2 9ue utiliDar esta pantalla para asegurarse de 9ue estos protocolos se reconocen
y se trata nor%al%ente? en lugar de penaliDado por la regla p)p atchAll por defecto"
**1
Traffic Shaper
Figura (A"B" Subir o baMar otras aplicaciones
(A">"C" Fin del Asistente de

Todas las reglas y las colas de ahora ser2 creado? pero a;n no en uso" Al pulsar el botn FinaliDar en la pantalla final? las nor%as ser2n cargados y activos"
onfor%acin ahora debe activarse para todas las cone/iones nuevas" Debido a la naturaleDa de estado de la talladora? slo nuevas cone/iones de tr2fico se han aplicado" &ara 9ue ello est2 plena%ente activa en todos los
cone/iones? debe borrar los estados" Diagnstico &ara ello? visite @stados? haga clic en el botn de reinicio ficha @stados? visita %esa Firewall de @stado? a continuacin? haga clic en .establecer"
(A"A" !onitoreo de las colas

on el fin de estar seguros de 9ue la %odulacin del tr2fico est2 funcionando seg;n lo previsto? puede ser %onitoreado por la navegacin al @stado olas" o%o puede verse en Figura (A"C? N olas de =A< b2sicaN? @sta pantalla se %uestran
cada cola de lista por su no%bre? su uso actual? y algunas estadsticas de los de%2s"
**>
Traffic Shaper
Figura (A"C" Las colas de base =A<

La barra gr2fica %uestra c%o NllenaN es una cola" La tasa de datos en la cola se %uestra en la
dos pa9uetes por segundo JppsK y los bits por segundo Jb 7 sK" To%a suceder cuando un pas vecino cola no est2 llena y la capacidad es to%ado de all cuando sea necesario" Suelta de tr2fico cuando ocurren en una cola se cae a favor del tr2fico de %ayor prioridad" @s nor%al ver a gotas? y lo hace no significa 9ue de una cone/in se cae? a un pa9uete" &or lo general? un lado de la cone/in ver 9ue un pa9uete se perdi y vuelva a enviar a continuacin? a %enudo ralentiDacin en el proceso para evitar futuras gotas" @l contador indica suspende cuando una accin de retardo 9ue sucede" @l contador no se suspende
utiliDado por el progra%ador de la configuracin e%pleada por pfSense en (")"/? y probable%ente debera ser cero"
(A"B" &ersonaliDacin avanDada

Despu6s de usar el asistente de shaper? es posible 9ue las nor%as 9ue genera no se aMustan a sus necesidades" Si lo desea? para dar for%a a un servicio 9ue no es %aneMada por el asistente? un Muego 9ue utiliDa una diferente puerto? o puede haber otros servicios 9ue necesitan li%itada" Hna veD 9ue las nor%as b2sicas 9ue se han creado por el asistente? debe ser relativa%ente f2cil de editar o copiar las reglas y crear infor%es personaliDados
por su cuenta"
(A"B"(" @dicin de colas Shaper

o%o se %enciona en el resu%en? las colas son donde el ancho de banda y las prioridades son en realidad
asignados" ada cola se le asigna una prioridad? de +IB" uando hay una sobrecarga de tr2fico? el %ayor n;%ero se prefieren las colas Jpor eMe%plo? BK sobre las colas de n;%eros %2s baMos Jpor eMe%plo (K" ada la cola se le asigna un l%ite de ancho de banda duro? o un porcentaMe de la velocidad total del enlace" La colas ta%bi6n se pueden asignar otros atributos 9ue controlan c%o se co%portan? co%o ser de baMa retrasar o evitar la congestin 9ue tiene ciertos algorit%os aplicados" Las colas pueden ser %odificados por
va a cortafuegos Traffic Shaper? y haciendo clic en la ficha olas" Hna lista de reglas se parecen? co%o 9ue en Figura (A",? NShaper colas de tr2fico de la listaN
**A
Traffic Shaper
colas de edicin no es para los d6biles de coraDn" &uede ser una tarea co%pleMa y con resultados de gran alcance?
pero sin conoci%iento profundo de los valores involucrados? lo %eMor es seguir con las colas
generado por el asistente y %odificar su configuracin? en lugar de tratar de hacer otros nuevos desde cero"
Al ver la lista de las colas? cada cola se %ostrar2n Munto con los indicadores asociados a la cola? su prioridad? asignar ancho de banda? y el no%bre" &ara editar una cola? haga clic en? y para eli%inar cola? haga clic en" Hsted no debe tratar de eli%inar una cola si a;n est2 siendo referenciado por una regla"
&ara reordenar las colas en la lista? %ar9ue la casilla al lado de la cola para ser trasladado? a continuacin? haga clic en el
botn en la fila 9ue debe estar por debaMo de las colas reubicados" Al pasar el ratn %2s puntero? una barra gruesa aparecer2 para indicar 9ue las nor%as se insertan" @l orden
de las colas es estricta%ente cos%6tica" &ara a0adir una nueva cola? haga clic en la parte inferior de la lista"
Figura (A"," Traffic Shaper colas Lista

Durante la edicin de una cola? cada una de las opciones deben ser consideradas cuidadosa%ente" Si usted est2 buscando &ara obtener %2s infor%acin sobre estos valores 9ue se %enciona a9u? visite el &F colas de pa9uetes &rioriDacin y preguntas %2s frecuentes [\ Fttp:77www"openbsd"org7fa97pf79ueueing"ht%l"( Los %eMores disponibles
planificador es Mer2r9uica Feria de Servicio curva JFFS K? y 9ue es el ;nico disponible en
(")"/" pfSense
La configuracin de ancho de banda debe ser una fraccin del ancho de banda disponible en la cola de los padres? pero ta%bi6n se debe establecer con la conciencia de las colas de vecinos" Al utiliDar porcentaMes? el total de todas las colas en uno de los padres dado 9ue no puede superar el (++]" uando se utiliDa l%ites absolutos?
los totales no pueden e/ceder el ancho de banda disponible en la cola de los padres"
La prioridad puede ser cual9uier n;%ero entre +IB" olas con un %ayor n;%ero son preferibles cuando hay una sobrecarga? por lo 9ue situar las colas en consecuencia" &or eMe%plo? el tr2fico de 'o3& debe ser de las %2s altas prioridad? por lo 9ue se debe establecer en un B" &eerItoIpeer tr2fico de la red? 9ue se puede retrasar en favor
de otros protocolos? debe fiMarse en ("

(http:77www"openbsd"org7fa97pf79ueueing"ht%l
y ta%bi6n est2 disponible en el libro de &F de :pen#SD &acLet Filter"
**B
Traffic Shaper
@l no%bre de una cola debe estar entre (I(> caracteres y no puede contener espacios" La %ayora de los
convencin co%;n es co%enDar con el no%bre de una cola con la letra N9N para 9ue pueda ser %2s
identificar f2cil%ente en el conMunto de reglas" Fay seis diferentes opciones de &rogra%ador 9ue se pueden establecer para una cola dada: U &oner en cola por defecto
Selecciona esta cola por defecto? el 9ue se encargar2 de todos los pa9uetes sin igual" ada
interfaD debe tener una y slo una de colas por o%isin" U A Q 7 baMo retardo de cola JA QK
&or lo %enos una cola por cada interfaD debe tener esta serie" <or%al%ente? esto se reserva para I co%o el
no%bre lo indica I pa9uetes A Q 9ue necesitan ser tratadas de for%a especial con una prioridad alta" U Deteccin Te%prana al ADar J.@DK
Hn %6todo para evitar la congestin en un enlace? sino 9ue activa%ente intenta garantiDar 9ue la cola se no se llenan" Si el ancho de banda est2 por enci%a del %2/i%o dado por la cola? las gotas se producir2" Ade%2s? las gotas se puede producir si el ta%a0o %edio de la cola se acerca al %2/i%o" &a9uetes perdidos se eligen al aDar? por lo 9ue el ancho de banda %2s en el uso de una cone/in deter%inada? es %2s probable es ver las gotas" @l efecto neto es 9ue el ancho de banda es li%itado de %anera Musta? fo%entando un e9uilibrio" .@D slo debe usarse con cone/iones T & ya T & es capaD de %aneMar
pa9uetes perdidos? y puede volver a enviar cuando sea necesario" U Deteccin Te%prana al ADar entrada y de salida J.3:K
&er%ite .@D con entrada 7 salida? 9ue se traducir2 en un pro%edio de colas de haber sido %antenido y
coteMarse con los pa9uetes entrantes y salientes" U <otificacin e/plcita de congestin J@ <K
$unto con la .@D? 9ue per%ite el envo de %ensaMes de control del acelerador 9ue si las cone/iones a%bos e/tre%os @ < apoyo" @n lugar de deMar caer los pa9uetes co%o .@D nor%al%ente lo hace? se establece una bandera en el pa9uete 9ue indica la congestin de la red" Si la otra parte ve y obedece a la bandera?
la velocidad de la transferencia en curso se reducir2" U Se trata de una cola de padres &er%ite a esta cola para ser elegido co%o uno de los padres de otras colas" La curva de Servicio JscK es donde usted puede aMustar los re9uisitos de ancho de banda para esta cola" U %(
**C
Traffic Shaper #urstable l%ite de ancho de banda Ud &laDo para la e/plosin de ancho de banda? se especifica en %ilisegundos" J&or eMe%plo? (+++ c ( segundoK U %) <or%al l%ite de ancho de banda &or eMe%plo? usted necesita %( ancho de banda dentro d tie%po? pero un %2/i%o nor%al de %)" @n el
tie%po inicial establecido por d? %) no est2 %arcada? slo %(" Despu6s d ha e/pirado? si el tr2fico sigue estando por enci%a
%)? 9ue se for%a" &or lo general? %( y D se deMan en blanco? por lo 9ue slo se co%prueba %)" ada uno de estos valores se puede establecer para los siguientes usos: U L%ite superior
Ancho de banda %2/i%o per%itido para la cola" 'a a hacer difcil la li%itacin de ancho de banda" @l %( par2%etro a9u ta%bi6n se puede utiliDar para li%itar e/plosin" @n el plaDo d no obtendr2 %2s
%( de ancho de banda" U Tie%po .eal

!ni%os garantiDados de ancho de banda de la cola" @sto slo es v2lido para las colas de ni0os" @l %( par2%etro sie%pre se cu%ple en plaDo d? y !) es el %2/i%o 9ue esta disciplina
se per%ita 9ue se use" U o%partir @nlace

La cuota de ancho de banda de una cola atrasados" A co%partir ancho de banda entre las clases si el .eal Tie%po garantas se han cu%plido" Si establece el valor de %) para o%partir @nlace? se ree%plaDar la configuracin de ancho de banda de la cola" @stos dos valores son iguales? pero si a%bos son
conMunto y co%parte LinL %) se utiliDa"

!ediante la co%binacin de estos factores? una cola obtendr2 el ancho de banda especificado por el .eal factores de tie%po? ade%2s de los de @nlace de Acciones? hasta un %2/i%o del l%ite superior" Se puede to%ar un %ontn de prueba y error? y tal veD %ucho de la arit%6tica? pero puede valer la pena para asegurar 9ue su tr2fico se rige co%o %eMor le pareDca" &ara obtener %2s infor%acin sobre %(? d? y %) valores para diferentes escenarios? visite el
pfSense Traffic Shaping foro [Fttp:77foru%"pfsense"org7inde/"php7board? )A"+"ht%l\"

&or ;lti%o? si se trata de una cola de ni0os? seleccione la cola de los &adres de la lista" Faga clic en Guardar para guardar la cola configuracin y volver a la lista de la cola? a continuacin? haga clic en Aplicar ca%bios para volver a cargar las colas y activar
los ca%bios"
**,
Traffic Shaper
(A"B")" @dicin de .eglas Shaper

nor%as de tr2fico configuracin de control de la cantidad de tr2fico se le asigna en las colas" Si un pa9uete coincide con un tr2fico
regla de la talladora? se le asignar2 a la cola especificada por esa regla" se pongan en venta de pa9uetes se controla de %anera si%ilar a las reglas del firewall? pero con cierto control adicional de grano fino" La edicin del shaper nor%as? ir a Firewall de Traffic Shaper? y haga clic en la ficha .eglas" @n esa pantalla? se %uestra en la Figura (A"(+? NShaper .eglas tr2fico de la listaN? Las nor%as e/istentes se %ostrar2n en la interfaD de
direccin? protocolo? origen? destino? colas de destino? y el no%bre"

@n esta pantalla ta%bi6n se encuentra el control %aestro para dar for%a" Desactive la opcin Fabilitar confor%ador de tr2fico para desactivar el for%ador de tr2fico? a continuacin? haga clic en Guardar" &ara eli%inar las reglas y las colas creadas por el shaper de tr2fico?
y restablecer el for%ador a los valores predeter%inados? haga clic en 5uitar asistente" La pr/i%a veD 9ue visite firewall Traffic Shaper? el asistente se iniciar2 de nuevo"
&ara editar una regla? haga clic en? y para eli%inar? haga clic en regla" Las reglas se pueden %over hacia arriba o hacia abaMo una fila en haciendo clic para subir o para baMar" &ara reordenar varias reglas en la lista? visita la casilla Munto a las reglas 9ue deber2n ser trasladados? a continuacin? haga clic en el botn de la fila 9ue debe estar por debaMo de las nor%as reubicados" Las nor%as se %over2 por enci%a de la fila elegida" Hsted puede hacer una nueva nor%a basada en otra regla e/istente? haga clic en Munto a la fila con el regla 9ue desea copiar" Se le presenta una pantalla de edicin de reglas preIllenado con
los detalles de la nor%a e/istente" &ara agregar una nueva regla en blanco? haga clic en la parte inferior de la lista"
Figura (A"(+" .eglas Traffic Shaper Lista
*1+
Traffic Shaper
ada regla tiene varios criterios de coincidencia 9ue ayudar2 a garantiDar 9ue el tr2fico adecuado se ali%enta
en las colas adecuadas" Antes de configurar las opciones de igualar? sin e%bargo? las colas de destino debe ser definido" Debe establecer tanto una cola de salida y una cola de entrada" Los pa9uetes 9ue coincidan con esta nor%a de la direccin de salida caer2 en la cola de salida? y los pa9uetes 9ue coincidan con esta regla en la direccin entrante caer2n en la cola de entrada" @l ca%ino del pa9uete se establece %ediante la eleccin
@n un interfaD de la interfaD de entrada y de salida"

Ahora los criterios de coincidencia real co%ienDa" La %ayora de estas opciones le resultar2 fa%iliar a partir del servidor de seguridad
reglas" &ara %2s infor%acin sobre c%o establecer el origen de &rotocolo? y el destino? nos re%iti%os a aptulo A?
Servidor de seguridad" &or ahora nos centrare%os en 9u6 se establecera estos en lugar de la for%a" 45u6 ca%pos para establecer
depender2 de la trayectoria i%plcita en los interfaces de entrada y salida"

&or eMe%plo? si el tr2fico va a ser originarios de un host de la LA<? la interfaD debe en ser LA<? y la Fuente se establecera en la direccin o subred del host LA<" Si el tr2fico se va a una ubicacin especfica? establecer el destino en consecuencia? lo contrario? seleccione %(al'(ier" &or el tr2fico se pongan en venta de servicios especficos? debe configurar el rango de puerto de destino adecuada"
@n este eMe%plo? para 9ue coincida con el tr2fico FTT&? deMe el rango de puertos de origen establecida en %(al'(ier? S establecer el
.ango de puerto de destino a FTT&" .ara veD es necesario establecer un puerto de origen? ya 9ue suelen ser
elegido al aDar"
@l tr2fico se va e%pareMado dentro y fuera de for%a predeter%inada? pero puede utiliDar la opcin de direccin para
li%itar este co%porta%iento" .ecuerde? sin e%bargo? 9ue esto se establece desde la perspectiva del cortafuegos"
3& Tipo de Servicio JT:SK Nbits de precedenciaN se puede utiliDar para capturar los pa9uetes 9ue han sido %arcadas
de %aneMo especial" Fay tres configuraciones disponibles a9u? y cada uno de ellos puede tener uno de tres valores" Los tres ca%pos indican una solicitud de retardo baMo? alto rendi%iento o alta confiabilidad"
&ara cada uno de estos? s significa 9ue la bandera debe ser establecido" <o significa 9ue la bandera no debe ser fiMado" <o les i%porta significa 9ue se tendr2 en cuenta"
Hn subconMunto de las banderas T & 9ue ta%bi6n se pueden co%parar" Vstos indican diversos estados de una cone/in Jo la falta de ellaK" &ueden ser e%pareMado en el si o no se establece e/plcita%ente? se aclar? o bien
J<o i%portaK" U SS< I SincroniDar n;%eros de secuencia" 3ndica 9ue un nuevo intento de cone/in"
U A Q I 3ndica aceptacin de los datos" o%o se se0al anterior%ente? estas son las respuestas para 9ue el
conocer los datos del re%itente se recibi en Aceptar" U F3< I 3ndica 9ue no hay %2s datos del re%itente? el cierre de una cone/in"
U .ST I restablecer la cone/in" @ste indicador se establece cuando en respuesta a una solicitud para abrir una cone/in en un puerto 9ue no tiene ning;n de%onio de escucha" Ta%bi6n se puede aMustar por el software de servidor de seguridad para la espalda
cone/iones no deseadas"
*1(
Traffic Shaper
U &SF I 3ndica 9ue los datos deben ser e%puMados o enroMecida? incluidos los datos en este pa9uete? por pasar los datos a la aplicacin"
U H.G I 3ndica 9ue el ca%po de urgencia es i%portante? y este pa9uete debe ser enviado antes
datos 9ue no es urgente"

@l ;lti%o ca%po? la descripcin? es libre de te/to y se utiliDa para identificar esta regla" Tal veD le resulte ;til indicar2 cu2l es la intencin de la cola es Jno%bre de la aplicacin o protocoloK? as co%o la
direccin de la regla se establece para 9ue coincida"

Al co%binar el %ayor n;%ero de estos par2%etros seg;n sea necesario? debera ser posible para 9ue coincida con casi cual9uier tr2fico 9ue tendra 9ue hacer cola" Faga clic en Guardar para ter%inar y volver a la lista de reglas? a continuacin? haga clic en
Aplicar ca%bios para volver a cargar las reglas y activarlos"
(A"C" Solucin de proble%as de Shaper

Traffic Shaping 7 5oS es un te%a co%plicado? y puede resultar difcil de hacerlo bien la pri%era veD" Fay
algunos errores co%unes 9ue la gente caiga sobre? 9ue se tratan en esta seccin"
(A"C"(" 4&or 9u6 no el tr2fico de #itTorrent va a la cola de &)&8

#ittorrent es conocido por no usar %ucho en el ca%ino de los puertos est2ndar" Los clientes pueden declarar
9ue otros puertos deben utiliDar para llegar a ellos? lo 9ue significa un caos para los ad%inistradores de red intentando para rastrear el tr2fico basado en el puerto solo" @n (")"/? pfSense no tiene %anera de e/a%inar la los pa9uetes para contar lo 9ue el progra%a de tr2fico parece ser? por lo 9ue se ve obligado a confiar en los puertos" @sta es la raDn por puede ser una buena idea utiliDar la regla de &)& atchall? y 7 o establecer reglas para cada tipo de tr2fico 9ue
9uiere? y tratar su cola predeter%inada por baMa prioridad"
(A"C")" 4&or 9u6 no es el tr2fico a los puertos abiertos por H&n& correcta%ente cola8
Tr2fico per%itido en el de%onio H&n& va a ter%inar en la cola predeter%inada" @sto sucede por9ue las reglas generadas din2%ica%ente por el de%onio de H&n& no tiene ning;n conoci%iento de las colas a %enos 9ue H&n& est2 configurado para enviar el tr2fico en una cola especfica" Dependiendo de lo 9ue han con H&n& en su entorno? esto puede ser el tr2fico de baMa prioridad co%o #ittorrent? o de alta prioridad tr2fico co%o consolas de Muegos o progra%as de chat de voD co%o SLype" La cola se puede establecer por ir a
Servicios H&n& y entrar en un no%bre de la cola en el ca%po de Traffic Shaper cola"
*1)
Traffic Shaper
(A"C"*" 4 %o puedo calcular cu2nto ancho de banda para asignar a las colas de confir%acin8
@ste es un te%a co%pleMo? y la %ayora de las personas pasar por alto 9ue ya slo adivinar un valor lo suficiente%ente alto"
&ara una e/plicacin %2s detallada con las fr%ulas %ate%2ticas? co%probar la Traffic Shaping seccin de los foros pfSense [http:77foru%"pfsense"org7inde/"php7board?\ )A"+"ht%l") Fay una pegaMosa %ensaMe en ese foro 9ue describe el proceso con gran detalle? y ta%bi6n hay una descarga
hoMa de c2lculo 9ue se puede utiliDar para ayudar a facilitar el proceso"
(A"C"1" 4&or 9u6 no O/P for%a adecuada8

Al igual 9ue con otras preguntas de esta seccin? esto tiende a suceder debido a las nor%as consignar2n bien interna%ente o por otros pa9uetes 9ue no tienen conoci%iento de las colas" Dado 9ue no se especifica la cola una nor%a? ter%ina en la cola por defecto o de la raD? y de for%a no" &uede 9ue tenga 9ue desactivar la =ebGH3 7 ssh nor%as antiIblo9ueo y tal veD incluso sustituir el valor por defecto de LA< g HAL5H3@. reglas del firewall con %2s opciones especficas" @n el caso de pa9uetes? es posible 9ue necesite aMustar la for%a en su defecto
cola se %aneMa"
)http:77foru%"pfsense"org7inde/"php7board?
)A"+"ht%l
*1*
aptulo (B" Servidor de e9uilibrio de carga

Dos tipos de funcionalidad de balanceo de carga est2n disponibles en pfSense: &uerta de enlace y el servidor" Gateway
balanceo de carga per%ite la distribucin del tr2fico de 3nternet enlaDados a trav6s de %;ltiples cone/iones =A<" &ara obtener %2s infor%acin sobre este tipo de balanceo de carga? consulte aptulo ((? !;ltiples cone/iones =A<" e9uilibrio de carga del servidor 9ue per%ite distribuir el tr2fico a %;ltiples servidores internos para la carga
distribucin y redundancia? y es el te%a de este captulo"

e9uilibrio de carga del servidor 9ue per%ite distribuir el tr2fico entre varios servidores internos" @s %uy de uso co%;n con los servidores web y servidores S!T& aun9ue puede ser utiliDado para cual9uier servicio 9ue
utiliDa T &"
!ientras pfSense ha sustituido de ga%a alta? alta balanceadores de carga de los costos co%erciales incluyendo #ig3&? isco LocalDirector? y %2s en entornos de produccin seria? (")"/ pfSense no es tan tan potente y fle/ible de estas soluciones" <o es adecuado para instalaciones 9ue re9uieren fle/ible de segui%iento y configuracin de e9uilibrio" &ara el control de T &? si%ple%ente co%prueba 9ue el especifica el puerto T & est2 abierto" @n el caso de un servidor web? el servidor no puede devolver cual9uier respuestas FTT&? o los inv2lidos? y no hay %anera de deter%inar esto" &ara grandes o co%pleMos despliegues? nor%al%ente se desea una solucin %2s potente" Sin e%bargo? para las necesidades b2sicas? el
funcionalidad disponible en traMes de pfSense innu%erables sitios %uy bien" Actual%ente esta%os revisando las opciones para un e9uilibrador de carga %2s capaD para la versin )"+"
(B"(" @/plicacin de las opciones de configuracin

Fay dos partes de la configuracin del e9uilibrador de carga del servidor" 'irtual Server &iscinas definir la lista de servidores para ser utiliDado? lo 9ue se escucha en el puerto? y el %6todo de %onitoreo para ser utiliDado" Los servidores virtuales definir el 3& y el puerto para escuchar? y la piscina adecuada para dirigir la pr/i%a
tr2fico a 9ue la propiedad intelectual y el puerto"
(B"("(" &iscinas de servidor virtual

&ara configurar el servidor virtual de &iscinas? vaya a Servicios @9uilibrador de carga" Faga clic para a0adir una nueva piscina" ada una de las opciones de esta p2gina se discute a9u"
U <o%bre I @scriba un no%bre para el grupo de a9u" @l no%bre es la for%a en la piscina se hace referencia %2s adelante? cuando
la configuracin del servidor virtual 9ue usar2 este grupo" U Descripcin I :pcional%ente? escriba una descripcin %2s larga para el grupo de a9u"
*11
Servidor de e9uilibrio de carga
U Tipo I @sto en caso de incu%pli%iento de Ser$idor? 5ue es lo 9ue necesita%os para esta configuracin" U o%porta%iento I Seleccione G'(ili)rio de carga para e9uilibrar la carga entre todos los servidores en la piscina? o
%on!(tacin por error utiliDar sie%pre el pri%er servidor de la piscina a no ser 9ue no? entonces recurrir a posteriores
servidores"
U &uerto I @ste es el puerto de los servidores est2n escuchando en el interior" @sto puede ser diferente de la
puerto e/terno? 9ue se define %2s adelante en la configuracin del servidor virtual"
U !onitor I @sto define el tipo de %onitor de usar? 9ue es co%o el e9uilibrador deter%ina
si los servidores est2n arriba" Seleccin de B%R har2 9ue el e9uilibrador de conectar con el puerto antes
se define en el puerto? y si no puede conectarse a dicho puerto? el servidor se considera abaMo" @leccin &%3R en ca%bio? supervisar los servidores definidos por el ping? y les %arca de por si
9ue no responden a los pings" U !onitor 3& I @ste ca%po no es aplicable con el balanceador de carga del servidor y aparece en gris"
U Direccin 3& del servidor I A9u es donde puede rellenar la direccin 3& interna de los servidores en la piscina"
3ntroduDca uno a la veD? haga clic en Agregar a la piscina despu6s"

U Lista I @ste ca%po %uestra la lista de servidores 9ue se han su%ado a este grupo" &uede eli%inar un
servidor de la piscina haciendo clic en su direccin 3& y haciendo clic en 5uitar de la piscina"
Despu6s de rellenar todos los ca%pos 9ue desee? haga clic en Guardar" ontinuar con la configuracin del servidor virtual
para este grupo haciendo clic en la pesta0a Servidores 'irtuales"
(B"("("(" Servidores 'irtuales

Servidores virtuales es donde se define el 3& y el puerto para escuchar en el tr2fico de envo hasta los previa%ente configurado piscina" Faga clic para a0adir un nuevo servidor virtual" ada una de las opciones de esta
la p2gina se discute a continuacin" U <o%bre I @scriba un no%bre para el servidor virtual a9u" @sto es si%ple%ente para su referencia"
U Descripcin I :pcional%ente? escriba una descripcin %2s larga para el servidor virtual a9u" @sto ta%bi6n es
slo para fines de referencia"

U Direccin 3& I A9u es donde puede introducir la direccin 3& 9ue el servidor virtual escuchar" @ste es por lo general su =A< 3& o una direccin 3& virtual en red =A<" Debe ser una direccin 3& est2tica" Hsted puede utiliDar una carpa '3& a9u para una configuracin de alta disponibilidad e9uilibrador de carga" &ara obtener %2s infor%acin sobre el alta
disponibilidad y personalidades A.&? consulte aptulo )+? Firewall de redundancia 7 alta disponibilidad"
*1>
U &uerto I @ste es el puerto del servidor virtual escuchar" &uede ser diferente del puerto servidores est2n escuchando en el interior"
U Servidor 'irtual &ool I A9u es donde puede seleccionar el grupo configurado previa%ente" La cone/iones a la direccin 3& y el puerto se define en esta pantalla ser2 dirigido a las direcciones 3& y
puerto configurado en la piscina"

U &iscina de Down Server I @ste es el servidor 9ue los clientes se dirigen a si todos los servidores de la &iscina est2n abaMo" Debe introducir algo a9u" Si usted no tiene un servidor alternativo para enviar solicitudes? usted puede poner una de las 3&s de sus servidores piscina en a9u? aun9ue el resultado ser2
inaccesibilidad si todos los servidores de la piscina se han reducido" Despu6s de rellenar los ca%pos correcta%ente? haga clic en @nviar y luego en Aplicar ca%bios"
(B"("(")" .eglas del firewall

@l ;lti%o paso es configurar reglas de firewall para per%itir el tr2fico a la piscina" Al igual 9ue en un escenario de <AT? las reglas del firewall debe per%itir el tr2fico a la 3& interna privada de los servidores? as co%o el puerto 9ue se escucha en el interior" Hsted debe crear un alias para los servidores en la piscina? y crear un ;nica regla de firewall en la interfaD donde se realiDar2 el tr2fico destinado a la piscina iniciado Jpor lo general =A<K 9ue per%ite la fuente apropiada Jpor lo general hayK al destino de los alias creados para la piscina" Hn eMe%plo concreto de ello es en Seccin (B")"1? N onfiguracin de las reglas del cortafuegosN" &or
%2s infor%acin sobre las reglas del cortafuegos? consulte aptulo A? Servidor de seguridad"
(B"(")" &egaMosa cone/iones

Fay una opcin de configuracin adicionales para e9uilibrar la carga del servidor? en el %arco del Siste%a de %en; AvanDado" #aMo el e9uilibrio de carga? se encuentra utiliDar cone/iones pegaMosa" Al %arcar esta casilla se asegurar2 de clientes con una cone/in activa a la piscina se dirigen sie%pre en el %is%o servidor para las cone/iones posteriores" Hna veD 9ue el cliente cierra todas las cone/iones activas? y los tie%pos de estado cerrado? la cone/in se pierde pegaMosa" @sto puede ser deseable para algunos e9uilibrio de carga web? configuraciones en las solicitudes de un cliente particular? slo debe ir a una sola servidor? por raDones de sesin o de otro tipo" Tenga en cuenta 9ue esto no es perfecto? co%o si el navegador del cliente web? se cierra todas las cone/iones T & en el servidor despu6s de cargar una p2gina y se sienta all durante (+ %inutos o %2s antes de cargar la siguiente p2gina? la p2gina siguiente se puede servir desde un servidor diferente" @n general? esta no es un proble%a co%o la %ayora de los navegadores web no se cerrar2 de in%ediato una cone/in? y e/iste el estado lo suficiente co%o para no hacer un proble%a? pero si usted es estricta%ente dependiente de un cliente especfico no conseguir un servidor diferente en la piscina sin i%portar el tie%po 9ue el navegador no se encuentra inactivo?
debe buscar una solucin de balanceo de carga diferentes"
*1A
(B")" @9uilibrio de carga del servidor =eb @Me%plo onfiguracin

@n esta seccin se %uestra c%o configurar el e9uilibrador de carga de principio a fin para una web dos la carga del servidor %edio a%biente e9uilibrado"
*1B
(B")"(" @Me%plo de entorno de red
Figura (B"(" Servidor de e9uilibrio de carga de red de eMe%plo

Figura (B"(? N arga del servidor balanceo de eMe%ploN %uestra el entorno de eMe%plo
configurado en esta seccin" onsiste en un ;nico servidor de seguridad? utiliDando su =A< 3& para el grupo? con
dos servidores web en un seg%ento de la D!E"
*1C
(B")")" onfiguracin de la piscina

&ara configurar el grupo? vaya a Servicios @9uilibrador de carga y haga clic" Figura (B")? N&ool
configuracin N%uestra la configuracin del grupo de balanceo de carga para los dos servidores web? utiliDando una
T & %onitor" Despu6s de rellenar todos los ca%pos correcta%ente? haga clic en Guardar"
(B")"*" onfiguracin del servidor virtual

De vuelta en la pantalla del e9uilibrador de carga &ool? haga clic en la pesta0a Servidores 'irtuales y haga clic para a0adir una nueva servidor virtual" Figura (B"*? N onfiguracin del servidor virtualN %uestra la configuracin del servidor virtual para escuchar en la 3& =A< J(+"+"AA")>K en el puerto C+ y hacia adelante el tr2fico en esa 3& y el puerto a la
servidores definidos en el Ser$idores 2e) piscina" &ara el servidor de &ool de Down? esta configuracin utiliDa
una de las 3&s de los servidores de la Ser$idores 2e) piscina por falta de otra opcin" @n este caso? si los dos servidores de la piscina se han reducido? el servidor virtual es inaccesible" Despu6s de rellenar la
los ca%pos de a9u? haga clic en @nviar? a continuacin? en Aplicar ca%bios"
*1,
(B")"1" onfiguracin de reglas de firewall
Figura (B"1" Alias de servidores web

Ahora las reglas del cortafuegos debe estar configurado para per%itir el acceso a los servidores de la piscina" Las reglas deben
per%itir 9ue el tr2fico interno de la direccin 3& y el puerto 9ue se utiliDa y no hay reglas son necesarias para el e/terior de direcciones 3& y puertos utiliDados en la configuracin del servidor virtual" @s preferible utiliDar un alias 9ue contiene todos los servidores en la piscina? as 9ue el acceso se puede per%itir con una sola regla de firewall"
'aya a Servidor de seguridad Alias y haga clic para a0adir un alias" Figura (B"1? NAlias de servidores webN %uestra el alias utiliDado para este eMe%plo de configuracin? 9ue contiene los dos servidores web"
Faga clic en Guardar despu6s de entrar en el alias? y en Aplicar ca%bios" A continuacin vaya al servidor de seguridad <or%as y en la ficha de la interfaD en la 9ue se inici el tr2fico de cliente J=A<? en este casoK? haga clic en" Figura (B">? NA0adir regla de firewall para servidores webN %uestra un frag%ento de la regla de firewall agreg para esta configuracin" Las opciones no se %uestran a la iD9uierda en su defecto? a un lado de la descripcin"
*>+
Figura (B">" Agregar regla de firewall para servidores web?

Figura (B"A? Nregla de firewall para servidores webN %uestra la regla despu6s de haber sido agregado"
Figura (B"A" Servidor de seguridad de estado de los servidores =eb
*>(
(B")">" 'er el estado de e9uilibrador de carga

Ahora 9ue el e9uilibrador de carga est2 configurado? para ver su estado? vaya al @stado @9uilibrador de carga
y haga clic en la pesta0a Servidores 'irtuales" A9u podr2s ver el estado de cada servidor en la piscina Jco%o se %uestra en Figura (B"B? N@stado del servidor virtualNK" Si el estado ha ca%biado a la lnea en los ;lti%os cinco %inutos? ya 9ue despu6s de la pri%era configuracin del e9uilibrador de carga? usted ver2 Nen lneaN se destaca en
un color a%arillento" Despu6s de cinco %inutos han pasado? el estado ca%biar2 a verde"
Figura (B"B" 'irtual Server de estado

Si detiene el servicio de servidor =eb en uno de los servidores o tener el servidor de la red total%ente
si se utiliDan %onitores de 3 !&? podr2s ver el estado de actualiDacin de cone/in y el servidor se eli%inar2
de la piscina"
(B")"A" 'erificacin de e9uilibrio de carga

&ara verificar el balanceo de carga? enrolla%iento es la %eMor opcin para garantiDar el cach6 de su navegador web y cone/iones persistentes no afectan los resultados de sus e/2%enes" curvatura est2 disponible para todos los siste%as operativos i%aginables y se puede descargar desde el curl p2gina web [http:77curl"ha//"se\" &ara usarlo? si%ple%ente eMecutar curl http:77misi%io sustitucin de misitio con la direccin 3& o no%bre de host de su sitio" Hsted debe hacer esto desde fuera de la red" A continuacin se ilustra un eMe%plo de las pruebas
con curvatura de la =A<" #0ttp:66 ri4o10.0. <html> .2'
<head> <title> 0.12 </ title> </ Head> <body> <p> 192.168.33.12 - Server 2 </ p> </ Body>
*>)
</ HTML> uando se proceda a probar el e9uilibrio de carga? tendr2 9ue configurar cada servidor para devolver un
&2gina de especificar su no%bre de host? direccin 3&? o a%bos? para 9ue sepa 9u6 servidor est2n golpeando" Si usted no tiene cone/iones pegaMosa habilitado? recibir2 un servidor diferente cada veD 9ue solicitud de una p2gina con curl Jcon la e/cepcin del escenario descrito en Seccin (B"*")? Ndesigual
e9uilibrio NK"
(B"*" Solucin de proble%as de e9uilibrio de carga del servidor

@sta seccin describe los proble%as %2s co%unes se encuentran los usuarios con el e9uilibrio de la carga del servidor? y
c%o solucionarlos"
(B"*"(" Las cone/iones no est2n e9uilibradas

Las cone/iones no est2n e9uilibradas es casi sie%pre un fracaso de la %etodologa de prueba se utiliDa? y es por lo general especficos de FTT&" navegadores de 3nternet co%;n%ente %antener las cone/iones a un servidor web abierta? y volver a cargar bateando apenas reutiliDa la cone/in e/istente" Hna ;nica cone/in nunca ser2 ca%biar a otro servidor e9uilibrada" :tro proble%a co%;n es la cach6 de su navegador web? en el navegador en realidad nunca pide a la p2gina de nuevo" @s preferible utiliDar una lnea de co%andos herra%ienta co%o el enrolla%iento de las pruebas de esta naturaleDa? por9ue asegura 9ue nunca se ven afectados por el proble%as inherentes a las pruebas con los navegadores web? I 9ue no tiene cach6? y abre una nueva cone/in a el servidor cada veD 9ue se eMecute" !2s infor%acin sobre el riDo se puede encontrar en Seccin (B")"A? N'erificacin
balanceo de carga N"

Si est2 utiliDando cone/iones pegaMosa? aseg;rese de 9ue est2 probando de 3& de origen %;ltiple" &ruebas de
una sola fuente 3& sie%pre ir2 a un solo servidor a %enos 9ue los tie%pos de espera largos en el %edio
cone/iones"
(B"*")" Desigual e9uilibrio

Debido a la for%a en 9ue funciona el software subyacente? en entornos con poca carga? el e9uilibrio ser2 desigual" @l servicio de vigilancia subyacentes slbd restablece su pf ancla en cada %onitor intervalo? 9ue es cada > segundos" @sto significa 9ue cada > segundos? la pr/i%a cone/in ir2 a la pri%er servidor en la piscina" on los servicios de carga %uy baMa? donde con frecuencia tienen una cone/in o %enos cada > segundos? podr2s ver el e9uilibrio de carga %uy poco" A;n dispone de con%utacin por error co%pleto capacidades 9ue uno de los servidores no" @ste proble%a real%ente se resuelve sin e%bargo? cuando su au%enta la carga hasta el punto de e9uilibrio de la carga es i%portante? ser2 e9uilibrado por igual" @n entornos de produccin de %aneMar %iles de pa9uetes por segundo? el e9uilibrio es igual
a trav6s de los servidores"
*>*
(B"*"*" AbaMo servidor no %arcados co%o fuera de lnea

Si un servidor se cae? pero no se %arcan co%o sin cone/in? es por9ue desde la perspectiva de la
%onitoreo 9ue pfSense est2 haciendo? en realidad no es hacia abaMo" Si se usa un %onitor de T &? 9ue el puerto T & est2 aceptando cone/iones" @l servicio en ese puerto se poda ro%per de %uchas %aneras y a;n responder a las cone/iones T &" &ara los %onitores de 3 !&? este proble%a se agrava? ya 9ue los servidores se puede
colgado sin servicios de %;sica en todo y todava respuesta a los pings"
(B"*"1" servidor de Live no se %arca co%o lnea

Si un servidor est2 en lnea? pero no se %arca co%o en lnea? es por9ue no est2 en lnea desde la perspectiva del servidor de seguridad" @l servidor debe responder en el puerto T & utiliDado o no responde a los pings proceden de el perodo de investigacin de la interfaD de firewall %2s cercana a la del servidor" &or eMe%plo? si el servidor est2 en la LA<? el servidor debe responder a las peticiones iniciadas desde 3& LA< del firewall" &ara verificar esta 3 !& para %onitores? vaya a Diagnsticos &ing y ping a la 3& del servidor %ediante la interfaD donde se encuentra el servidor" &ara los %onitores de T &? inicie sesin en el servidor de seguridad usando SSF? o en la consola?
y eliMa la opcin de %en; de la consola 8" @n el s%bolo del siste%a? intente telnet al puerto del servidor
debe estar escuchando en" &or eMe%plo? para probar un servidor web en el eMe%plo anterior en este captulo?
tendra 9ue eMecutar telnet 192.168.33.11 80"

Hna cone/in no se sentar2 all por un tie%po tratando de conectar? %ientras 9ue una cone/in e/itosa
se conectar2 de in%ediato" @l siguiente es un eMe%plo de un error de cone/in" #telnet 192.168.33.12 80 Tratando de 192.168.33.12 ... telnet: conectarse a la direccin 192.168.33.12: La operacin ha agotado el tiempo telnet: No se puede conectar a un host remoto S a9u es un eMe%plo de una cone/in e/itosa" #telnet 192.168.33.12 80 Tratando de 192.168.33.12 ... Conectado a 192.168.33.12. Carcter de escape es'^]'.
Hsted encontrar2 probable%ente 9ue falla la cone/in? y tendr2 9ue solucionar a;n %2s en el servidor"
*>1
aptulo (C" =iIfi

pfSense incluye construido en capacidades inal2%bricas 9ue per%iten a su veD su instalacin en pfSense
un punto de acceso inal2%brico? utilice una cone/in inal2%brica C+)"(( co%o una cone/in =A<? o a%bos"
@ste captulo incluye ta%bi6n los %edios sugerido de for%a segura con capacidad de acceso inal2%brico e/terno puntos? y c%o i%ple%entar de for%a segura un punto de acceso inal2%brico" la cobertura en profundidad de C+)"(( se encuentra fuera de el alcance de este libro" &ara a9uellos 9ue buscan infor%acin tales? reco%iendo el libro C+)"(( .edes inal2%bricas: The Definitive Guide [http:77www"a%aDon"co%7gp7product7+>,A(++>)*8
es decir? c HTFC e tag c pfSenseI)+ y linL ode c AS) y ca%po c (BC, c ,*)> y creativa y creativeAS3< c +>,A(++>)*\"
(C"(" .eco%endaciones de hardware inal2%brico

Fay una variedad de tarMetas inal2%bricas co%patibles con Free#SD B")? y pfSense incluye soporte por cada tarMeta con el apoyo de Free#SD" Algunos se apoyan %eMor 9ue otros" La %ayora de pfSense los desarrolladores trabaMar con hardware Atheros? por lo 9ue tiende a ser el hardware %2s reco%endado" !uchos tienen 6/ito con otras tarMetas ta%bi6n? y .alinL es otra opcin popular" :tras tarMetas puede ser apoyado? pero no ad%iten todas las funciones disponibles" @n particular? algunas tarMetas de 3ntel puede se utiliDa en el %odo infraestructura? pero no se puede eMecutar en %odo punto de acceso debido a las li%itaciones de la de hardware en s"
(C"("(" TarMetas inal2%bricas de los proveedores de reno%bre

LinLsys? DILinL? <etgear y otros fabricantes i%portantes co%;n%ente ca%biar los chipsets utiliDados en sus tarMetas inal2%bricas sin necesidad de ca%biar el n;%ero de %odelo" <o hay %anera de garantiDar un deter%inado %odelo de tarMeta de estos vendedores ser2n co%patibles por9ue no tienes for%a de saber 9ue N!enoresN revisin tarMeta 9ue va a ter%inar con" !ientras 9ue una revisin de un %odelo en particular puede ser co%patibles y funcionar bien? otra tarMeta del %is%o %odelo puede ser inco%patible" &or esta raDn? se reco%ienda evitar las cartas de los principales fabricantes" Si ya tienes una? vale la pena tratando de ver si es co%patible? pero debe saber 9ue si usted co%pra uno por9ue el N%is%oN %odelo trabaMado para otra persona? usted puede ter%inar con una pieDa co%pleta%ente diferentes de hardware 9ue es inco%patible"
(C"(")" controladores inal2%bricos incluidos en (")"*

@n esta seccin se enu%eran los controladores inal2%bricos incluidos en pfSense (")"*? y los chipsets 9ue son con el apoyo de los conductores Jtirando de las p2ginas del %anual de Free#SD para los controladoresK" Los conductores en Free#SD se %encionan por su no%bre de controlador? seguido por J1K? co%o ath (4)" @l J1K se refiere
a las interfaces del Lernel? en este caso la especificacin de un controlador de red" Los controladores se enu%eran en orden
*>>
=iIfi
de la frecuencia de uso con pfSense? con base en la lista de correo y %ensaMes en los foros ya 9ue el proyecto de creacin"
&ara obtener %2s infor%acin detallada sobre tarMetas de apoyo? y la %2s actualiDada infor%acin? consulte
el wiLi pfSense [http:77doc"pfsense"org7inde/"php7Supported_=ireless_ ards\"
(C"(")"(" ath J1K

Soporta tarMetas basadas en el Atheros A.>)(+? A.>)(( y A.>)() chipsets"
(C"(")")" ral J1K

.alinL Technology 3@@@ C+)"(( controlador de red inal2%brica I soporta tarMetas basadas en el .alinL
Tecnologa .T)>++? .T)>+( .T)A++ y chipsets"
(C"(")"*" wi J1K
Lucent Fer%es? 3ntersil &.3S! y 3@@@ C+)"(( Spectru%)1 conductor I soporta tarMetas basadas en Fer%es Lucent? 3ntersil &.3S!I33? 3ntersil &.3S!I)">? s%bolo 3ntersil &ris%I*? y
Spectru%)1 chipsets" @stas tarMetas slo soportan C+)"((b"
(C"(")"1" awi J1K

A!D & net!obile 3@@@ C+)"(( & ! 3A controlador de red inal2%brica I soporta tarMetas basadas en
el procesador A!D B,c,*+ controlador con 3ntersil Jantes FarrisK chipset &.3S! de radio"
(C"(")">" uno J1K

o%unicaciones Aironet 1>++71C++ controlador inal2%brico adaptador de red I co%patible con Aironet
o%unicaciones 1>++ y 1C++ los adaptadores de red inal2%brica y variantes"
(C")" =A< inal2%brica

Hsted puede asignar la tarMeta inal2%brica co%o su interfaD =A< o una =A< :&T en un %ultiI=A< i%ple%entacin" @sta seccin trata de asignar y configurar una interfaD inal2%brica co%o =A<
interfaD"
*>A
=iIfi
(C")"(" 3nterface de
Si a;n no lo ha asignado a su interfaD inal2%brica? ver a las interfaces Asignar" Faga clic en
Agregar para agregar una interfaD :&T para su red inal2%brica? o seleccionarlo co%o =A<? si se desea" Figura (C"(?
N3nterfaD de asignacin I =A< inal2%bricaN %uestra una tarMeta Atheros asignado co%o =A<"
Figura (C"(" asignacin de interfaD I =A< inal2%brica
(C")")" onfiguracin de su red inal2%brica

#us9ue el %en; de interfaces para la interfaD =A< inal2%brica" @n este eMe%plo se utiliDa =A<? por lo 9ue se vaya a interfaces =A<" Seleccione el tipo de configuracin JDF &? 3& est2tica? etcK? y despl2cese hacia abaMo en la configuracin inal2%brica" @liMa 3nfraestructura JS.SK? el %odo rellenar el SS3D? y configurar encriptacin co%o =@& J=ired @9uivalent &rivacyK o =&A J=iIFi &rotected AccessK si se utiliDa" La %ayora de las redes inal2%bricas no se necesita ninguna configuracin adicional? pero si la suya lo hace? aseg;rese de 9ue est2 configurado apropiado para el punto de acceso 9ue va a utiliDar" A continuacin? haga clic en
Guardar"
(C")"*" o%probar el estado inal2%brico

'aya a @stado 3nterfaces para ver el estado de la interfaD inal2%brica acaba de configurar" Hsted puede decir si la interfaD se ha asociado con 6/ito al punto de acceso elegido por %irar en el estado de la interfaD" @stado asociado significa 9ue est2 conectado con 6/ito? co%o se %uestra en
Figura (C")? N=A< inal2%brica asociadosN"

Si aparece <o hay co%pa0a? no estaba en condiciones de asociarse" Figura (C"*? N<inguna co%pa0a a6rea de =A< inal2%bricaN
%uestra un eMe%plo de esto? en la 9ue configura el SS3D asdf? Hna red inal2%brica 9ue no e/iste"
*>B
=iIfi
Figura (C"*" <inguna co%pa0a de =A< inal2%brica
(C")"1" Se %uestran las redes inal2%bricas disponibles y de la se0al fuerDa

Al navegar a @stado =ireless? puedes ver las redes inal2%bricas visible para el servidor de seguridad
co%o se %uestra en Figura (C"1? Nestado de =irelessN" Su interfaD inal2%brica se debe configurar antes de
este ele%ento de %en; aparecer2"
Figura (C"1" De estado inal2%brico
(C"*" Superar e inal2%bricas

Slo las interfaces inal2%bricas en el punto de acceso JhostapK el %odo funcionar2 en una configuracin de puente" Hsted puede salvar una interfaD inal2%brica en hostap a cual9uier otra interfaD de co%binar las dos interfaces
*>C
=iIfi
en el %is%o do%inio de broadcast" @s posible 9ue desee hacer esto si tiene dispositivos o aplicaciones 9ue
debe residir en el %is%o do%inio de broadcast para funcionar correcta%ente" @sto se discute con %ayor profundidad
en Seccin (C"1"*"(? NSeleccin de puente o enca%ina%ientoN"
(C"*"(" S.S y 3#SS inal2%bricos y puentes

Debido a las obras de for%a inal2%brica en #SS J#asic Service SetK y 3#SS J3ndependent b2sica onMunto de serviciosK? el %odo y la for%a en puente funciona? no puede cerrar una interfaD inal2%brica en #SS o el %odo 3#SS" ada dispositivo conectado a una tarMeta wireless en %odo #SS o 3#SS debe presentar
la %is%a direccin !A " on el puente? la direccin !A pasado es el actual !A de la
dispositivo conectado" @sto es nor%al%ente deseable I es slo c%o salvar las obras" on la tecnologa inal2%brica? la ;nica %anera 9ue esto puede funcionar si est2 detr2s de todos los dispositivos 9ue la tarMeta inal2%brica presentar la %is%a
Direccin !A de la red inal2%brica" @sto se e/plica en profundidad por el conocido e/perto inal2%brica
$i% Tho%pson en un puesto de la lista de correo [http:77lists"freebsd"org7piper%ail7freebsdIcurrent7)++>I :ctober7+>A,BB"ht%l\"( o%o un eMe%plo? cuando '!ware &layer? =orLstation o Server configurado para salvar a una interfaD inal2%brica? 9ue traduce auto%2tica%ente la direccin !A para 9ue de la tarMeta inal2%brica" &or9ue no hay %anera de traducir si%ple%ente una direccin !A en Free#SD? y por la for%a en puente en las obras de Free#SD? es difcil ofrecer soluciones provisionales si%ilar a lo 9ue ofrece '!ware" @n alg;n punto de pfSense puede contribuir a ello? pero no est2 en la
hoMa de ruta para la )"+"
(C"1" @l uso de un punto de acceso e/terno

Si usted tiene un punto de acceso inal2%brico e/istente? o un router inal2%brico 9ue desea utiliDar slo co%o un punto de acceso ya 9ue pfSense est2 actuando co%o el servidor de seguridad? hay varias %aneras de dar cabida a
inal2%brica en su red" @sta seccin cubre los escenarios %2s co%;n%ente i%ple%entados"
(C"1"(" @n cuanto a su router inal2%brico en un punto de acceso

Al ree%plaDar un enrutador inal2%brico si%ples tales co%o LinLsys o DILinL o dispositivo do%6stico otro grado con pfSense co%o un servidor de seguridad peri%etral? la funcionalidad inal2%brica puede %antenerse girando el router inal2%brico en un punto de acceso inal2%brico? siga los pasos descritos en esta seccin" @stos son %edidas gen6ricas 9ue deben seguirse para cual9uier dispositivo" &ara encontrar infor%acin especfica para su red inal2%brica
enrutador? consulte la docu%entacin"
(http:77lists"freebsd"org7piper%ail7freebsdIcurrent7)++>I:ctober7+
>A,BB"ht%l
*>,
=iIfi
(C"1"("(" Desactivar el servidor DF &

&ri%ero tendr2 9ue desactivar el servidor DF & si estaba previa%ente en uso" Hsted 9uerr2 pfSense
para %aneMar esta funcin para su red? y tener dos servidores DF & en la red
causar proble%as"
(C"1"(")" a%biar la 3& LA<

A continuacin? tendr2 9ue ca%biar la 3& de la LA< a una direccin 3& no utiliDada en la subred donde su punto de acceso residir2 Jco%;n%ente LA<K" @s probable 9ue con la %is%a 3& 9ue se asignan a la pfSense one/in de la interfaD? por lo 9ue re9uerir2 una direccin diferente" Hsted 9uerr2 %antener una 3& funcional
el punto de acceso con fines de gestin"
(C"1"("*" onecte la interfaD LA<

La %ayora de los routers inal2%bricos del puente inal2%brico en el puerto o los puertos LA< interna" @sto significa 9ue el inal2%brico estar2 en el %is%o do%inio de broadcast y de subred 3& 9ue los puertos con cables" &ara routers con un con%utador integrado? cual9uiera de los puertos de con%utacin por lo general va a funcionar" Hsted no 9uiere conectar el =A< o 3nternet puerto en el routerX @sto pondr2 su red inal2%brica en una trans%isin en diferentes de do%inio del resto de la red? y dar2 lugar a <ATing tr2fico entre su red inal2%brica y LA< y el tr2fico de doble alternando entre su red inal2%brica e 3nternet" @ste es un feo dise0o? y dar2 lugar a proble%as en algunas circunstancias? especial%ente si usted necesita para co%unicarse
entre los clientes inal2%bricos y la LA< cableada"

uando se conecta la interfaD LA< depender2 de su dise0o de la red elegida" La pr/i%a
secciones cubren sus opciones y sus consideraciones en los 9ue elegir"
(C"1")" &uente inal2%brico para su LA<

Hna for%a co%;n de i%ple%entar wiIfi para conectar el punto de acceso directa%ente a la %is%a interruptor co%o sus anfitriones LA<? donde los puentes A& los clientes inal2%bricos a la red cableada" @sto funciona bien? pero ofrece un control li%itado sobre la capacidad de los clientes inal2%bricos para co%unicarse
con sus siste%as internos"
(C"1"*" &uente inal2%brico a una interfaD :&T

Si desea %2s control sobre sus clientes inal2%bricos? a0adiendo una interfaD :&T para pfSense para el punto de acceso es la solucin preferida" Si desea %antener sus redes inal2%bricas y por cable en la %is%a subred 3& y do%inio de difusin? puede cerrar la interfaD de :&T a la LA<
*A+
=iIfi
interfaD" @ste escenario es funcional%ente e9uivalente a conectar el punto de acceso directa%ente en su

3nterruptor de LA<? e/cepto desde pfSense est2 en el centro? se puede filtrar el tr2fico de su red inal2%brica
para proporcionar proteccin a los hosts de la LA<"

Hsted ta%bi6n puede poner su red inal2%brica en una subred 3& dedicada? si lo desea? al no superar la interfaD opcional en pfSense y asignar con una subred 3& fuera de la subred LA<" @sto per%ite el enruta%iento entre sus redes internas e inal2%bricas? seg;n lo per%itido por el servidor de seguridad conMunto de reglas" @sto se hace co%;n%ente en las redes %2s grandes? en varios puntos de acceso est2n conectados en un interruptor 9ue est2 conectado a la interfaD opcional en pfSense" Ta%bi6n es preferible cuando 9ue obligar2 a los clientes inal2%bricos para conectarse a una '&< antes de per%itir las cone/iones a la residencia
recursos de la red"
(C"1"*"(" @leccin de puente o enca%ina%iento

La eleccin entre el puente JutiliDando la %is%a subred 3& 9ue la red LA<K o ruta Jusando
una dedicada subred 3& para la cone/in inal2%bricaK para los clientes inal2%bricos 9ue dependen de los servicios lo
los clientes inal2%bricos re9uieren" Algunas aplicaciones y dispositivos se basan en e%isiones de funcionar" AirTunes de Apple? co%o un eMe%plo? no funcionar2 a trav6s de dos do%inios de broadcast? por lo 9ue si
han AirTunes en la red inal2%brica y desea utiliDar en un siste%a en el cable
de red? debe puente de la redes cableadas e inal2%bricas" :tro eMe%plo son los servidores de %edios
utiliDado por los dispositivos co%o Gbo/ *A+ y &laystation *" @stos se basan en %ultidifusin o difusin
tr2fico 9ue slo puede funcionar si sus redes al2%bricas e inal2%bricas en puente" @n la casa de %uchos entornos de red 9ue tendr2 aplicaciones o dispositivos 9ue re9uieren su cable e inal2%bricas redes para salvarse" @n la %ayora de las redes corporativas? no hay aplicaciones 9ue re9uieren puente" 4 u2l elegir depende de los re9uisitos de las aplicaciones de red 9ue utilice? as
co%o su preferencia personal"

Fay algunos co%pro%isos de la presente? un eMe%plo es el pa9uete de Avahi" Se puede escuchar en dos diferentes do%inios de difusin y retrans%isin de %ensaMes de unos a otros con el fin de per%iten D<S de %ultidifusin al trabaMo Jta%bi6n conocido co%o .endeDvous o #onMourK para la deteccin de redes y servicios" Tener un =3<S J=indows 3nternet <a%e ServiceK es otro eMe%plo? ya 9ue per%itir2 a navegar por redes de %29uinas =indows 7 S!# habilitado incluso cuando no est2n en el %is%o
trans%isin de do%inio"
(C">" pfSense co%o punto de acceso

on una tarMeta inal2%brica 9ue soporta el %odo hostap Jath (4)?ral (4) y wi (4)K? &fSense puede
se configura co%o un punto de acceso inal2%brico"
*A(
=iIfi
(C">"(" 4Debo usar un A& o e/terna pfSense co%o %i acceso punto8

Fistrica%ente? la funcionalidad de punto de acceso en Free#SD ha sufrido de graves de co%patibilidad
proble%as con algunos clientes inal2%bricos" on Free#SD B"/ esto ha %eMorado significativa%ente? sin e%bargo todava puede haber algunos dispositivos inco%patibles" @stas dificultades con la co%patibilidad del cliente se no sie%pre se li%ita a Free#SD? pero es posible 9ue un grado de consu%o baratos router inal2%brico punto de acceso se volvi proporciona una %ayor co%patibilidad de las capacidades de Free#SD punto de acceso algunos casos" &uedo utiliDar los puntos de pfSense acceso en casa sin ning;n proble%a? con %i !ac#ooL &ro? AirTunes Apple? !ac %ini G1? i&od Touch? &al% Treo? varios ordenadores port2tiles de =indows? Gbo/ *A+? y Free#SD clientes y funciona %uy fiable en todos estos dispositivos" @/iste la posibilidad de de encontrar dispositivos inco%patibles con cual9uier punto de acceso" Free#SD no es una e/cepcin y puede encontrar esto es %2s co%;n en Free#SD 9ue otros puntos de acceso" @n versiones anteriores de Free#SD? en particular con %+n+wall en Free#SD 1"/? no se reco%ienda el uso de punto de acceso de Free#SD funcionalidad" Foy en da funciona bien con casi todos los dispositivos y es probable%ente adecuado para su
red"
@sto est2 suMeto a ca%bios significativos con cada nueva versin de Free#SD" Hna al da lista de conocidos dispositivos inco%patibles y la infor%acin %2s reciente sobre co%patibilidad inal2%brica se puede encontrar en
http:77www"pfsense"org7apco%pat"
(C">")" pfSense onfiguracin co%o punto de acceso

@l proceso de configuracin de pfSense para actuar co%o un punto de acceso inal2%brico JA&K es relativa%ente f2cil" !uchos
de las opciones deben estar fa%iliariDados si ha configurado otros routers inal2%bricos antes? y algunos opciones pueden ser nuevos? a %enos 9ue haya usado un poco de e9uipo inal2%brico de calidad co%ercial" <o hay docenas de %aneras de configurar los puntos de acceso? y todos ellos dependen de su entorno" @n este caso?
cubri%os aMuste pfSense co%o una base a la A& 9ue utiliDa el cifrado =&A) con A@S" @n este eMe%plo?
@/a%ple o necesidades de acceso inal2%brico para algunos ordenadores port2tiles en la sala de conferencias"
(C">")"(" &reparacin de la interfaD inal2%brica

Antes de hacer cual9uier otra cosa? aseg;rese de 9ue la tarMeta inal2%brica en el router? y es la antena fir%e%ente suMeta" o%o se ha descrito anterior%ente en este captulo? la tarMeta inal2%brica debe ser asignado co%o
interfaD de :&T y habilitado antes de la configuracin restante se puede co%pletar"
(C">")")" 3nterfaD de Descripcin

uando est2 en uso co%o un punto de acceso? no%bres de N=LA<N J=ireless LA<K o N=irelessN har2 9ue sea f2cil de identificar en la lista de interfaces" Si usted tiene un SS3D ;nico? puede encontrar %2s
*A)
=iIfi
c%odo de usar 9ue en la descripcin del lugar" &fSense Si va a %aneMar %;ltiples puntos de acceso?
debe haber alguna %anera de distinguir? co%o N=LA<ad%inN y N=LA<salesN" 'a%os a
lla%an a esto una %onfRoo! por ahora"
(C">")"*" Tipo de interfaD 7 3&

Dado 9ue este ser2 un punto de acceso en una subred 3& dedicada? usted tendr2 9ue configurar el tipo de GstOtica y especificar una direccin 3& y la %2scara de subred" o%o se trata de una subred independiente de la otras interfaces? puede ser 192.168.201.0627? Hna subred 9ue en otro caso no utiliDados en el
@/a%ple o red"
(C">")"1" @st2ndar inal2%brico

Dependiendo de la co%patibilidad de hardware? hay varias opciones disponibles para el est2ndar inal2%brico configuracin? incluyendo C+)"((b? C+)"((g? C+)"((g turbo? C+)"((a? y turbo C+)"((a? y posible%ente
otros" &ara este eMe%plo? va%os a elegir 802.11g"
(C">")">" !odo inal2%brico

@stableDca el ca%po !odo de R(nto de PccesoS pfSense utiliDar2 hostapd para actuar co%o un punto de acceso"
(C">")"A" Service Set 3dentifier JSS3DK

@ste ser2 el Nno%breN de la A& co%o se ve por los clientes" @s necesario configurar el SS3D a algo f2cil%ente
identificable? sin e%bargo? ;nica para su configuracin" Siguiendo con el eMe%plo? esto puede ser lla%ado %onfRoo!"
(C">")"B" Li%itar el acceso a C+)"((g slo

@l C+)"((g slo controla si o no los clientes %2s antiguos C+)"((b son capaces de asociarse con este punto de acceso" &er%itir a los clientes %2s antiguos pueden ser necesarias en algunos a%bientes si los dispositivos son siendo alrededor 9ue lo re9uieran" Algunos dispositivos %viles co%o el <intendo DS y la &al% Tungsten slo son co%patibles con C+)"((b y re9uieren una red %i/ta para trabaMar" La otra cara de esto es 9ue podr2s ver velocidades %2s lentas? co%o resultado de per%itir 9ue dichos dispositivos en la red? co%o punto de acceso se ver2 obligado a atender el %ni%o co%;n deno%inador cuando un C+)"((b dispositivo est2 presente" @n nuestra sala de conferencias eMe%plo? la gente slo va a utiliDar reciente%ente co%prado
port2tiles propiedad de la co%pa0a 9ue son capaces de C+)"((g? lo 9ue se %arca esta opcin"
(C">")"C" o%unicacin 3ntraI#SS

Si %arca &er%itir la co%unicacin intraIS@'? los clientes inal2%bricos se podr2n ver entre s directa%ente? en lugar de enca%inar todo el tr2fico a trav6s de la A&" Si los clientes slo necesitan tener acceso a la
*A*
=iIfi
3nternet? a %enudo es %2s seguro para desactivar esto" @n nuestro escenario? la gente en la sala de conferencias puede necesidad de co%partir archivos de ida y vuelta directa%ente entre ordenadores port2tiles? por lo 9ue este se 9uedar2 activada"
(C">")"," :cultar SS3D JSS3D de radiodifusin DesactivarK

<or%al%ente? el A& e%itir2 su SS3D para 9ue los clientes pueden localiDar y asociar a 6l f2cil%ente" @sto es considerado por algunos co%o un riesgo de seguridad? anunciando a todos los 9ue est2n escuchando 9ue tiene una red inal2%brica disponible? pero en la %ayora de los casos la co%odidad es %ayor 9ue el de seguridad de riesgo" Los beneficios de deshabilitar el SS3D de radiodifusin son e/agerados por algunos? ya 9ue en realidad no ocultar la red de cual9uier persona capaD de usar %uchas herra%ientas inal2%bricas disponibles gratuita%ente de seguridad 9ue f2cil encontrar este tipo de redes inal2%bricas" &ara nuestra sala de conferencias de A&? va%os a deMar esta casilla sin %arcar
para 9ue sea %2s f2cil para los asistentes a la reunin para encontrar y utiliDar el servicio"
(C">")"(+" Seleccin de canales inal2%bricos

Al seleccionar un canal? tendr2 9ue ser conscientes de 9ue ninguna de trans%isores de radio cerca? en si%ilares bandas de frecuencia" Ade%2s de los puntos de acceso inal2%brico? ta%bi6n hay tel6fonos inal2%bricos? #luetooth? %onitores de beb6s? los trans%isores de vdeo? %icroondas? y %uchos otros dispositivos 9ue utiliDan el %is%o )"1 GFD 9ue pueden causar interferencias" A %enudo usted puede conseguir leMos con el uso de cual9uier canal 9ue co%o? sie%pre y cuando sus clientes de A& est2n cerca de la antena" La for%a %2s segura de utiliDar los canales son de (? A y ((
ya 9ue sus bandas de frecuencias no se solapen entre s" Hsted puede especificar P(to decirle a la tarMeta a
elegir un canal adecuado? sin e%bargo? esta funcionalidad no funciona con algunas tarMetas de red inal2%bricas"
Si usted elige P(to y las cosas no funcionan? eliMa un canal especfico en su lugar" &ara esta red? ya 9ue no hay otros a su alrededor? va%os a seleccionar el canal 1"
(C">")"((" De cifrado inal2%brico

Tres tipos de cifrado son co%patibles con redes C+)"((: =@&? =&A y =&A)" =&A) con A@S es el %2s seguro" 3ncluso si usted no est2 preocupado acerca del cifrado de los %2s deItheIair tr2fico J9ue debera serK? 9ue proporciona un %edio adicional de control de acceso" Hn =&A7=&A)
frase de paso ta%bi6n es %2s f2cil trabaMar con el entonces una clave =@& en la %ayora de los dispositivos? sino 9ue act;a %2s co%o
una contrase0a de una cadena %uy larga de caracteres he/adeci%ales" Al igual 9ue con la eleccin entre C+)"((by C+)"((g? algunos dispositivos %2s antiguos slo soportan =@& o =&A? pero %2s %odernos inal2%brica
tarMetas y los controladores de apoyo =&A)"

&ara nuestra sala de conferencias? 9ue utiliDar2n =&A) y =@& a su veD fuera" &ara ello? desactive Fabilitar? =@& y =&A de verificacin Fabilitar" &ara asegurarse de 9ue =&A) slo estar2 en uso? siste%a =&A de %odo a :RP2" &or nuestra clave =&A &reIShared? usare%os e-coconf213? S ta%bi6n establecer el %odo de clave
=&A Gestin de Rre-S0ared Ye/" &ara utiliDar =&A) b A@S? seg;n lo deseado para la red inal2%brica sala de conferencias? siste%a =&A pares
de PGS"
*A1
=iIfi
<ota
&ara utiliDar =&A) en un cliente inal2%brico de =indows G&? debe tener un controlador inal2%brico
9ue soporta =&A)" Si usted est2 usando wiIfi de configuracin de =indows G& interfaD? con el fin de asociar a una =&A) punto de acceso en eMecucin? tendr2 9ue actualiDar el & a =indows G& S&* o instalar el parche de !icrosoft Qnowledge
#ase el artculo ,(B+)( [http:77support"%icrosoft"co%7Lb7,(B+)(\"
(C">")"(("(" Debilidades de cifrado inal2%brico

=@& ha tenido graves proble%as de seguridad conocidos desde hace a0os? y nunca debe utiliDarse a %enos es la ;nica opcin para los dispositivos inal2%bricos 9ue debe soportar" @s posible ro%per el protocolo =@& en cuestin de %inutos a lo su%o? y nunca se debe confiar en la seguridad" =@& no se puede confiar en
para algo %2s 9ue %antener aleMados a los solicitantes de 3nternet sin conoci%ientos t6cnicos"
TQ3& JTe%poral Qey 3ntegrity &rotocolK? 9ue for%a parte de A@S? se convirti en un sustituto de =@& despu6s de 9ue se haba roto" Se utiliDa el %is%o %ecanis%o subyacente co%o =@&? y por lo tanto es vulnerable a algunos ata9ues si%ilares" .eciente%ente? estos ata9ues son cada veD %2s pr2ctico" @n el %o%ento de escribir este artculo no es tan f2cil de ro%per co%o =@&? pero nunca se debe todava lo utiliDan %enos 9ue haya dispositivos 9ue no son co%patibles con =&A o =&A) A@S usando" =&A y =&A) en co%binacin con
A@S no est2n suMetos a estas fallas en TQ3&"
(C">")"()" Acabado onfiguracin A&

La configuracin anterior debera ser suficiente para conseguir un punto de acceso inal2%brico C+)"((g con correr con
=&A) b A@S" Fay otras opciones 9ue se pueden utiliDar para aMustar el co%porta%iento de la A&?
pero no son necesarias para un funciona%iento nor%al en la %ayora de entornos" uando haya ter%inado
ca%biar la configuracin? haga clic en Guardar? luego en Aplicar ca%bios"
(C">")"(*" onfiguracin de DF &

Ahora 9ue he%os creado una red total%ente independiente? 9ue se desea habilitar DF & para 9ue la asociacin de los clientes inal2%bricos de for%a auto%2tica la posibilidad de obtener una direccin 3&" 'aya a Servicios DF & Server? haga clic en la ficha de la interfaD inal2%brica J onf.oo% para nuestro eMe%plo de configuracinK" o%pruebe la casilla para activar? configurar cual9uier ta%a0o de rango 9ue se necesita? y las opciones adicionales necesarios? a continuacin? haga clic en Guardar ca%bios y aplicar" &ara obtener %2s detalles sobre la configuracin del servicio DF &? consulte
Seccin )("(? NServidor DF &N"
(C">")"(1" Adicin de reglas de firewall

Desde esta interfaD inal2%brica es una interfaD territorio palestino ocupado? no tendr2 las reglas del cortafuegos por defecto" @n el %is%o por lo %enos tendr2 9ue tener una regla para per%itir el tr2fico de esta subred a cual9uier destino ser2
*A>
=iIfi
sea necesario" Desde nuestros usuarios sala de conferencias tendr2 acceso a 3nternet y acceso a otra red
recursos? una regla de per%iso por defecto va a estar bien en este caso" &ara crear la regla? vaya al servidor de seguridad .eglas? y haga clic en la ficha de la interfaD inal2%brica J onf.oo% para este eMe%ploK" Agregar una regla para pasar el tr2fico de cual9uier protocolo? con una direccin de origen de la subred onf.oo%? y cual9uier destino" &or
%2s infor%acin sobre c%o crear reglas de firewall? consulte aptulo A? Servidor de seguridad"
(C">")"(>" La asociacin de los clientes

La nueva configuracin A& pfSense debe aparecer en la lista de puntos de acceso disponibles en su dispositivo %vil? suponiendo 9ue no la radiodifusin de deshabilitar el SS3D" Hsted debe ser capaD a los clientes asocian con 6l co%o lo hara con cual9uier otro punto de acceso" @l procedi%iento e/acto puede variar entre los siste%as operativos? dispositivos y controladores? pero la %ayora de los fabricantes han racionaliDado el
proceso para 9ue sea si%ple para todos"
(C">")"(A" 'isualiDacin del estado de cliente inal2%brico

uando usted tiene una interfaD inal2%brica configurada para el %odo de punto de acceso? los clientes asociados a
aparecer2 sobre la situacin =ireless"
(C"A" proteccin adicional para su red inal2%brica red

Ade%2s de una fuerte encriptacin de =&A o =&A) con A@S? algunos usuarios co%o para e%plear un capa adicional de cifrado y autenticacin para per%itir el acceso a recursos de red" Las dos soluciones %2s co%;n%ente utiliDados son &ortal autivo y '&<" @stos %6todos se pueden e%pleados si se utiliDa un punto de acceso e/terior en una interfaD :&T o inal2%brica interna
tarMeta co%o punto de acceso"
(C"A"(" proteccin adicional inal2%brica con &ortal autivo

Al per%itir &ortal autivo en la interfaD donde reside su red inal2%brica? puede solicitar autenticacin para 9ue los usuarios pueden tener acceso a recursos de red" @n las redes corporativas? esto es utiliDados co%;n%ente con la autenticacin .AD3HS de !icrosoft Active Directory para 9ue los usuarios pueden utiliDar sus credenciales de Active Directory para autenticar al %is%o tie%po en la red inal2%brica" autivas
configuracin del &ortal se trata en aptulo (,? &ortal autivo"
*AA
=iIfi
(C"A")" proteccin adicional con '&<

Adicin de &ortal autivo proporciona otro nivel de autenticacin? pero no ofrece ninguna adicionales
proteccin contra escuchas de su tr2fico inal2%brico" @/igir '&< para per%itir el acceso a la red interna e 3nternet a0ade otro nivel de autenticacin? as co%o un adicional capa de cifrado para el tr2fico inal2%brico" La configuracin para el tipo elegido de '&< no ser2 diferente a partir de una configuracin de acceso re%oto? pero tendr2 9ue configurar el firewall
nor%as relativas a la interfaD de pfSense para per%itir slo el tr2fico '&< de los clientes inal2%bricos"
(C"A")"(" onfiguracin de reglas de firewall para 3&sec

Figura (C">? N.eglas para per%itir slo 3&sec desde inal2%bricaN %uestra las reglas %ni%as necesarias para per%itir slo el acceso a 3&sec en la interfaD =LA< 3&" Face ping a la interfaD =LA< 3& ta%bi6n se
puedan colaborar en la solucin de proble%as"
Figura (C">" <or%as para per%itir 9ue slo 3&sec desde inal2%brica
(C"A")")" onfiguracin de reglas de firewall para :pen'&<

Figura (C"A? N.eglas para per%itir slo :pen'&< desde inal2%bricaN %uestra las reglas %ni%as necesarias para per%itir el acceso slo a :pen'&< en la interfaD =LA< 3&" Face ping a la interfaD =LA< 3& ta%bi6n pueden contribuir a la solucin de proble%as" @sto supone 9ue est2 utiliDando el puerto HD& predeter%inado
((,1" Si elige otro protocolo o el puerto? %odifica la nor%a correspondiente"
*AB
=iIfi
Figura (C"A" <or%as para per%itir 9ue slo :pen'&< desde inal2%brica
(C"A")"*" onfiguracin de reglas de firewall para &&T&

Figura (C"B? N.eglas para per%itir slo &&T& desde inal2%bricaN %uestra las reglas %ni%as necesarias para
per%itir el acceso slo a &&T& en la interfaD =LA< 3&" Face ping a la interfaD =LA< 3& ta%bi6n se
puedan colaborar en la solucin de proble%as"
Figura (C"B" <or%as para per%itir 9ue slo &&T& desde inal2%brica
(C"B" onfiguracin de un punto de acceso inal2%brico seguro

Su e%presa u organiDacin 9ue desee proporcionar acceso a 3nternet para los clientes o hu6spedes usando su cone/in a 3nternet e/istente" @sto puede ser una bendicin para sus clientes y negocios? pero ta%bi6n puede e/poner a su red privada para atacar si no se realiDa correcta%ente" @sta seccin cubre el %edio co%;n de proporcionar acceso a 3nternet para los hu6spedes y clientes? protegiendo al %is%o tie%po su
red interna"
*AC
=iIfi
(C"B"(" @nfo9ue de %;ltiples cortafuegos

&ara la %eMor proteccin entre la red privada y la red p;blica? obtenga por lo %enos dos
3&s p;blicas de su 3S&? y el uso de un segundo servidor de seguridad para la red p;blica" &ara dar cabida a esto? se pone un interruptor entre la cone/in a 3nternet y la =A< de los dos servidores de seguridad" @sto ta%bi6n tiene la ventaMa de poner su red p;blica de una 3& p;blica diferente de su red privada? as 9ue si usted debe recibir un reporte de abuso? usted ser2 capaD de distinguir f2cil%ente si su origen en la red p;blica o privada" @l firewall protege su red privada
ver2 la red p;blica de %anera diferente 9ue cual9uier host de 3nternet"
(C"B")" Servidor de seguridad ;nico enfo9ue

@n entornos en los 9ue el enfo9ue de %;ltiples cortafuegos es un costo prohibitivo o de otra %anera indeseables? puede proteger su red interna %ediante la cone/in de la red p;blica a un :&T interfaD en pfSense" Hsted debe asignar una subred 3& privada dedicada a esta interfaD territorio palestino ocupado?
y configurar reglas de firewall para per%itir el acceso a 3nternet? pero no la red interna"
(C"B"*" ontrol de acceso y filtrado de salida consideraciones

Ade%2s de no per%itir el tr2fico de la red de acceso p;blico a la red privada? no
son cosas adicionales 9ue usted debe considerar en la configuracin de su punto de acceso"
(C"B"*"(" .estringir el acceso a la red

Si bien %uchos utiliDan puntos de acceso abiertos redes inal2%bricas sin autenticacin? debe considerar protecciones adicionales para evitar el abuso de la red" @n el control sin cables? utiliDando =&A o =&A) y proporcionar la contrase0a para sus invitados o clientes" Algunos tendr2n la frase en un cartel en el vestbulo o en espera? publicado en una habitacin? o le facilitar2 al solicitud" Ta%bi6n considerar la i%ple%entacin de &ortal autivo en pfSense Jcubierto en aptulo (,? autivas &ortalK" @sto ayuda a evitar 9ue la gente en otras oficinas y fuera del edificio el uso de la
red inal2%brica"
(C"B"*")" Deshabilitar 3ntraI#SS co%unicacin

Si su punto de acceso per%ite? no se debe per%itir la co%unicacin intraIS@'" @sto evita 9ue los clientes inal2%bricos se co%uni9uen con otros clientes inal2%bricos? 9ue protege a sus usuarios de
los ata9ues intencionales de otros usuarios de telefona %vil? as co%o los no intencionales? co%o los gusanos"
*A,
=iIfi
(C"B"*"*" @l filtrado de salida

onsidere 9u6 tipo de poltica de salida a configurar" @l %2s b2sico? per%itiendo el acceso a 3nternet
sin per%itir el acceso a la red privada? es probable%ente la %2s co%;n%ente i%ple%entado? pero debe tener en cuenta restricciones adicionales" &ara evitar 9ue su direccin 3& p;blica negro lista debido a los siste%as infectados en calidad de visitante contra los robots de spa%? debera considerar la posibilidad de blo9ueo S!T&" Hna alternativa 9ue a;n per%ite a las personas utiliDar sus direcciones de correo S!T&? pero li%ita el efecto de los robots de spa% es para crear una regla para S!T& y especificar las entradas %2/i%o por @stado de acogida en virtud de avanDada :pciones en el servidor de seguridad: .eglas: @ditar p2gina" Aseg;rese de 9ue el @stado est2 por enci%a de cual9uier otra nor%a 9ue coinciden con el tr2fico S!T&? y especificar un l%ite baMo" &uesto 9ue las cone/iones no sie%pre puede ser adecuada%ente
cerrado por el cliente de correo o un servidor? no tendr2 9ue estableDca un valor de%asiado baMo para evitar el blo9ueo
los usuarios legti%os? pero un l%ite de cinco cone/iones deben ser raDonables" Si lo desea? para especificar %2/i%o estado de las entradas por siste%a en todos sus reglas de firewall? pero tenga en cuenta 9ue algunos protocolos se re9uieren decenas o cientos de cone/iones para funcionar" FTT& y FTT&S puede re9uerir nu%erosas cone/iones para cargar una sola p2gina web en funcin del contenido de la p2gina y la
el co%porta%iento del navegador? as 9ue no estableDca sus l%ites de%asiado baMos"

Hsted necesidad de e9uilibrar los deseos de los usuarios frente a los riesgos inherentes a la concesin de 3nternet
el acceso a los siste%as 9ue no controlan? y definir una poltica 9ue se adapte a su entorno"
(C"C" Solucin de proble%as de cone/iones inal2%bricas

@n lo 9ue respecta a la tecnologa inal2%brica? hay un %ontn de cosas 9ue pueden salir %al" Desde defectuosa cone/iones de hardware a la interferencia de radio de software inco%patible 7 controladores o configuracin sencilla desaMustes? todo es posible? y puede ser un desafo para 9ue todo funcione a la pri%era" @sta seccin cubrir2 algunos de los proble%as %2s co%unes 9ue han sido encontrados por
usuarios y desarrolladores de pfSense"
(C"C"(" o%pruebe la antena

Antes de gastar cual9uier %o%ento el diagnstico de un proble%a? dobles y triples? co%pruebe la cone/in de la antena" Si se trata de un tornillo en el tipo? aseg;rese de 9ue est6 co%pleta%ente apretado" &ara las tarMetas %iniI& 3? aseg;rese de 9ue los conectores del cable fle/ible est2n conectados correcta%ente y 9ue encaMe en su lugar" TrenDas en las tarMetas %iniI& 3 son fr2giles y f2ciles de
descanso" Despu6s de desconectar y volver a conectar a un par de veces? puede ser necesario ree%plaDarlas"
(C"C")" &ruebe con varios clientes o tarMetas inal2%bricas

&ara eli%inar una posible inco%patibilidad entre las funciones inal2%bricas pfSense y su red inal2%brica cliente? aseg;rese de probar con varios dispositivos o tarMetas de pri%era" Si el %is%o proble%a se puede repetir con
*B+
=iIfi
varias %arcas y %odelos? es %2s probable 9ue sea un proble%a con la configuracin o relacionado con el hardware 9ue el dispositivo cliente"
(C"C"*" 3ntensidad de la se0al es baMa

Si usted tiene una se0al d6bil? incluso cuando usted est2 cerca de la antena del punto de acceso? consulte la
antena de nuevo" &ara las tarMetas %iniI& 3? si slo tiene un cable fle/ible en el uso y hay dos internos conectores? intente conectar con el otro conector interno en la tarMeta" Ta%bi6n puede intentar ca%biar el anal o el aMuste de la potencia de trans%isin en la configuracin de la interfaD inal2%brica" &ara %iniI TarMetas & 3? verifi9ue 9ue los e/tre%os rotos de los conectores del cable fle/ible fr2giles donde se conectan a la %iniI
TarMeta & 3"
*B(
aptulo (," &ortal autivo

La funcin de &ortal autivo de pfSense te per%ite dirigir a los usuarios a una p2gina web antes de 9ue 3nternet
el acceso est2 per%itido" Desde esa p2gina? puede per%itir a los usuarios acceder a 3nternet despu6s de hacer clic a trav6s? o 9ue re9uieren autenticacin" Los usos %2s co%unes de &ortal autivo es de las co%unicaciones inal2%bricas puntos calientes? o la autenticacin adicionales para per%itir el acceso a las redes internas de inal2%bricos
clientes" Ta%bi6n se puede utiliDar con clientes de cable? si lo desea"
(,"(" Li%itaciones
La aplicacin de portal cautivo en pfSense tiene algunas li%itaciones" @sta seccin cubre
ellas? y las for%as co%unes de trabaMo alrededor de ellos sie%pre 9ue sea posible"
(,"("(" Slo puede eMecutarse en una sola interfaD

Slo se puede utiliDar el portal cautivo en una interfaD de servidor de seguridad" &ara las redes en
%;ltiples subredes 3& re9uieren la funcionalidad de portal cautivo? tendr2 9ue utiliDar un router dentro de su
instalar el portal cautivo co%o se ilustra en la Figura (,"(? N&ortal autivo en varias subredesN"
(,"(")" <o sean capaces de revertir portal

Hn portal inverso? 9ue re9uieren de autenticacin para el tr2fico 9ue viene en su red de 3nternet?
no es posible"
(,")" &ortal de onfiguracin sin autenticacin

&ara un portal sencillo sin autenticacin? todo lo 9ue necesitas hacer es co%probar la opcin Fabilitar en cautividad
cuadro de portal? seleccione una interfaD? y cargar una p2gina FT!L con el contenido de su portal co%o se describe en Seccin (,">"()? N&ortal de contenidos de la p2ginaN" @s posible 9ue desee especificar una configuracin adicional
opciones 9ue se detallan en Seccin (,">? N:pciones de configuracinN"
(,"*" &ortal de configuracin %ediante Local Autenticacin

&ara configurar un portal con autenticacin local? %ar9ue la casilla Activar portal cautivo? seleccione una
de la interfaD? eliMa la autenticacin local? y cargar una p2gina FT!L con el contenido de su portal
*B)
&ortal autivo
co%o se describe en Seccin (,">"()? N&ortal de contenidos de la p2ginaN" @s posible 9ue desee especificar adicionales
opciones de configuracin co%o se detalla en Seccin (,">? N:pciones de configuracinN" A continuacin? configure su
los usuarios locales en la ficha Hsuarios de los Servicios &ortal autivo p2gina"
(,"1" &ortal de configuracin %ediante .AD3HS Autenticacin

&ara configurar un portal de autenticacin %ediante .AD3HS? pri%ero configurar el servidor .AD3HS? a continuacin?
siga los %is%os procedi%ientos 9ue la creacin de un portal con autenticacin local? llenando el
infor%acin adecuada para su servidor .AD3HS" Lea la siguiente seccin para obtener infor%acin sobre
opciones especficas de configuracin 9ue desee utiliDar"
(,">" :pciones de configuracin

@n esta seccin se describe cada una de las opciones de configuracin de &ortal autivo"
(,">"(" 3nterfaD
A9u se selecciona la interfaD de portal cautivo se eMecutar2n en" @sto no puede ser una interfaD de puente? y
no puede ser cual9uier red =A< o interfaD =A< :&T"
(,">")" !2/i%a de cone/iones si%ult2neas

@ste ca%po especifica el n;%ero %2/i%o de cone/iones si%ult2neas por direccin 3&" @l valor por defecto el valor es de 1? 9ue debera ser suficiente para la %ayora de entornos" @ste l%ite e/iste para evitar 9ue un ;nico host de agotar todos los recursos en el servidor de seguridad? ya sea accidental o intencional" Hn eMe%plo cuando de otro %odo sera un proble%a es un hu6sped infectado con un gusano" Los %iles de cone/iones e%iti har2 9ue la p2gina de portal cautivo 9ue se generen en varias ocasiones si el anfitrin es no autenticado ya 9ue de otro %odo generara tanta carga 9ue deMara su
siste%a deMe de responder"
(,">"*" Tie%po de inactividad

Si 9uiere desconectar a los usuarios inactivo? rellenar un valor a9u" Los usuarios ser2n capaces de volver a entrar
in%ediata%ente"
*B*
&ortal autivo
(,">"1" Duro tie%po de espera

&ara cerrar la sesin con fuerDa los usuarios despu6s de un perodo deter%inado? introduDca un valor de tie%po de espera duro" Hsted debe entrar en
ya sea un tie%po de espera duro? tie%po de inactividad o a%bos para asegurar sesiones se eli%inan si los usuarios no cierre la sesin? lo %2s probable es 9ue no lo har2" Los usuarios ser2n capaces de volver a entrar in%ediata%ente despu6s de 9ue el tie%po de espera difcil? si sus credenciales siguen siendo v2lidos Jpara las cuentas locales? no caducado? y para la autenticacin .AD3HS?
usuario puede seguir con 6/ito la autenticacin en .AD3HSK"
(,">">" Desconectarse ventana e%ergente

!ar9ue esta casilla para activar un pop up de cierre de sesin" &or desgracia? ya 9ue la %ayora de los navegadores tienen pop blo9ueadores habilitada? esta ventana puede no funcionar para la %ayora de sus usuarios a %enos 9ue el control de la
las co%putadoras y pueden e/cluir de su portal en su blo9ueador de ele%entos e%ergentes"
(,">"A" .edireccin de H.L

Si introduce una H.L a9u y previa autenticacin? o hacer clic en el portal? los usuarios se
redirigir2 a esta H.L en lugar de la 9ue original%ente intentado acceder" Si este ca%po se deMa en blanco?
el usuario ser2 redirigido a la direccin 9ue el usuario inicial%ente trat de acceso"
(,">"B" los inicios de sesin de usuario concurrente

Si esta casilla est2 %arcada? slo una entrada por cada cuenta de usuario est2 per%itido" La entrada %2s reciente es
per%itidos y los inicios de sesin anterior en virtud de ese no%bre de usuario ser2 desconectado"
(,">"C" Filtrado de direcciones !A

@sta opcin le per%ite desactivar el filtrado de direcciones !A por defecto" @sto es necesario en el caso de varias subredes detr2s de un router %ediante el portal? co%o se ilustra en la Figura (,"(? Nen cautividad &ortal en varias subredes N? ya 9ue todos los usuarios detr2s de un router se %ostrar2 en el portal co%o el de router
direccin !A "
(,">"," Autenticacin
@sta seccin le per%ite configurar la autenticacin? si se desea" Si se deMa sin autenticacin
seleccionado? los usuarios slo tendr2 9ue hacer clic a trav6s de la pantalla de su portal de acceso" Si usted re9uiere autenticacin? puede utiliDar el gestor de usuarios locales o la autenticacin .AD3HS" Hsuario
para el gestor de usuario local se configuran en la ficha Hsuarios de los Servicios &ortal autivo
*B1
&ortal autivo
p2gina" los usuarios de .AD3HS se definen en el servidor .AD3HS" &ara a9uellos con un !icrosoft Active
Directorio de la infraestructura de red? .AD3HS se puede utiliDar para autenticar usuarios del portal cautivo
de Active Directory con !icrosoft 3AS" @sto se describe en Seccin )1"(? N.AD3HS Autenticacin con =indows Server N" @/isten nu%erosos servidores .AD3HS otros 9ue ta%bi6n pueden ser utiliDado" cuentas .AD3HS puede tener la posibilidad de enviar la infor%acin de uso para cada usuario de la
servidor .AD3HS" onsulte la docu%entacin de su servidor .AD3HS para obtener %2s infor%acin"
(,">"(+" FTT&S entrada

!ar9ue esta casilla para utiliDar FTT&S para la p2gina del portal" Si %arca esta debe introducir un certificado
y la clave privada"
(,">"((" <o%bre de servidor FTT&S

@ste ca%po es donde se especifica el no%bre co%pleto Jno%bre de host b do%inioK 9ue se utiliDar2 para FTT&S" @ste debe coincidir con el no%bre co%;n J <K en el certificado para evitar 9ue sus usuarios reciban
errores de certificado en sus navegadores"
(,">"()" &ortal de contenidos de la p2gina

A9u cargar una p2gina FT!L 9ue contiene la p2gina del portal 9ue ver2n los usuarios cuando se trata de
acceder a 3nternet antes de autenticar o hacer clic en el portal"
(,">"()"(" &ortal de la p2gina sin autenticacin

@sto %uestra el cdigo FT!L de una p2gina del portal 9ue se puede utiliDar sin necesidad de autenticacin" <html> <head> <title> Bienvenido a nuestro portal </ title> </ Head> <body> <p> Bienvenido a nuestro portal </ p> <p> Haga clic en Continuar para acceder a Internet </ p> <form method="post" action="$PORTAL_ACTION$"> <input type="hidden" name="redirurl" value="$PORTAL_REDIRURL$"> <input type="submit" name="accept" value="Continue"> </ Form> </ Body>
*B>
&ortal autivo
</ HTML>
(,">"()")" &ortal de la p2gina con la autenticacin

A9u est2 un eMe%plo de p2gina del portal 9ue re9uieren autenticacin" <html> <head> <title> Bienvenido a nuestro portal </ title> </ Head> <body> <p> Bienvenido a nuestro portal </ p> <p> Introduzca su nombre de usuario y contrasea y pulse Entrar para acceder a Internet </ p> <form method="post" action="$PORTAL_ACTION$"> <input name="auth_user" type="text"> <input name="auth_pass" type="password"> <input type="hidden" name="redirurl" value="$PORTAL_REDIRURL$"> <input type="submit" name="accept" value="Login"> </ Form> </ Body> </ HTML>
(,">"(*" Autenticacin de contenido p2gina de error

A9u puede cargar una p2gina FT!L se %uestren los errores de autenticacin" Hna de autenticacin
error se produce cuando un usuario introduce un no%bre de usuario o contrase0a? o en el caso de .AD3HS
autenticacin? potencial%ente un servidor .AD3HS inalcanDable"
(,"A" Solucin de proble%as de portal cautivo

@sta seccin contiene sugerencias para la solucin del proble%a %2s co%;n con el portal cautivo"
(,"A"(" Autenticacin de fracasos

Los errores de autenticacin son nor%al%ente el resultado de los usuarios ingresar un no%bre de usuario incorrecto o
contrase0a" @n el caso de la autenticacin .AD3HS? pueden ocurrir debido a la conectividad proble%as con el servidor .AD3HS? o proble%as en el servidor .AD3HS propia" .evise su
servidor .AD3HS de los registros de las indicaciones de por 9u6 se neg el acceso? y asegurar el servidor de seguridad puede co%unicarse con el servidor .AD3HS"
*BA
&ortal autivo
(,"A")" &ortal de la p2gina no carga Ja vecesK ni cual9uier otro carga de la p2gina

Se ha infor%ado a suceder cuando se utiliDa &ortal autivo en una 'LA<? pero la interfaD de los padres de la 'LA< se asigna ta%bi6n co%o otra interfaD en pfSense" &or eMe%plo? si vlan0 es 'LA< eti9uetas (+ en fxp1? <o se puede tener fxp1 asignado co%o cual9uier otra interfaD? 9ue debe deMarse de lado"
@sta es la configuracin reco%endada de todas for%as? y este proble%a es una raDn %2s para seguir
ese conseMo"
*BB
aptulo )+" Firewall de redundancia y Alto Disponibilidad

pfSense es una de las soluciones de cdigo abierto 9ue ofrece %uy pocas alta disponibilidad de clase e%presarial
capacidades de con%utacin por error de estado? lo 9ue per%ite la eli%inacin del servidor de seguridad co%o un solo punto
del fracaso" @sto est2 previsto por la co%binacin de A.&? pfsync y pfSense de G!LI.&
sincroniDacin de la configuracin? cada uno de los cuales se e/plican en este captulo" A %enudo esto es
si%ple%ente se refiere co%o la carpa? aun9ue t6cnica%ente A.& es slo una parte de la solucin co%pleta"
)+"(" A.& 3nfor%acin general

o%;n Direccin .edundancy &rotocol J A.&K fue creado por los desarrolladores de :pen#SD co%o un pas libre?
solucin de redundancia abierto para co%partir las direcciones 3& entre un grupo de dispositivos de red" Si%ilares soluciones ya e/istentes? principal%ente el est2ndar del 3@TF para 'irtual .outer .edundancy &rotocol J'..&K" Sin e%bargo isco recla%aciones '..& est2 cubierto por su patente sobre su Fot Standby .outer &rotocolo JFS.&K? y diMo a los desarrolladores de :pen#SD? 9ue sera hacer valer sus patentes" &or lo tanto? el los desarrolladores de :pen#SD ha creado un nuevo protocolo libre? abierto para lograr el %is%o resultado sin infringir las patentes de isco" A.& se dispuso en octubre de )++* en :pen#SD?
y %2s tarde se a0adi a Free#SD ta%bi6n"

ada firewall pfSense en un grupo A.& tiene su propia direccin 3& asignada en cada interfaD? y ha co%partido la A.&A '3& asignado ta%bi6n" @stas 3&s A.& slo se activan si el servidor de seguridad es
Actual%ente el %aestro" Si un fallo de cual9uier interfaD de red es detectada? el firewall de ;lti%a designado
interruptores de do%inar en todas las interfaces"
<ota
Debido a 9ue cada %ie%bro del grupo A.& debe tener una direccin 3& en una subred? ade%2s de
la direccin 3& A.&? por lo %enos tres direcciones 3& disponibles se re9uieren para cada interfaD? y %2s direcciones 3& para los %ie%bros del grupo adicional" @sto ta%bi6n se aplica a la interfaD =A<? as 9ue aseg;rese de tener al %enos tres disponibles 3& enrutable Las direcciones de su 3S&" @l blo9ue %2s pe9ue0o enrutable 9ue incluye * direcciones 3&
es un 7 ),? 9ue tiene C direcciones JA utiliDableK"
)+")" pfsync 3nfor%acin general

pfsync per%ite la sincroniDacin de la tabla de estado de servidor de seguridad desde el servidor de seguridad %aestro cortafuegos secundaria" a%bios en la tabla de estado de la pri%aria son enviados en la red para el
*BC
Firewall de redundancia 7 Alta Disponibilidad

servidor de seguridad secundaria JsK" @sto utiliDa %ultidifusin de for%a predeter%inada? aun9ue una direccin 3& se puede definir
en la interfaD de pfSense para forDar las actualiDaciones de unidifusin para a%bientes con slo dos servidores de seguridad
donde el tr2fico %ulticast no funcionar2 correcta%ente Jalgunos interruptores de blo9ueo o ruptura de %ultidifusinK" Hsted puede utiliDar cual9uier interfaD activa para el envo de actualiDaciones pfsync? sin e%bargo se reco%ienda la utiliDacin de una interfaD dedicada por raDones de seguridad y rendi%iento" pfsync no ad%ite ninguna tipo de autenticacin? as 9ue si usted usa otra cosa 9ue una interfaD dedicada? es posible
para cual9uier usuario con acceso a la red local a los estados insertar en su servidor de seguridad secundaria" @n baMa
entornos de rendi%iento 9ue no son de seguridad paranoica? el uso de la interfaD LA< para este fin es aceptable" Ancho de banda necesario para esta sincroniDacin de estado pueden variar significativa%ente de un %edio a%biente a otro? pero podra ser tan alta co%o (+] del rendi%iento atravesar el firewall
dependiendo de la velocidad de inserciones y deleciones en el estado de la red"

@l beneficio de pfsync se puede con%utar por error sin perder la tabla de estado? lo 9ue per%ite con%utacin por error sin fisuras" @n algunos entornos? no notar2 la diferencia entre la con%utacin por error statefully y la p6rdida de estado durante la con%utacin por error" @n otras redes? puede causar un i%portante pero breve
corte de red"
)+")"(" pfsync y actualiDaciones

<or%al%ente pfSense per%itira %eMoras servidor de seguridad sin ning;n tipo de interrupciones en la red" &or desgracia? esto no es sie%pre el caso con %eMoras co%o el protocolo de pfsync ha ca%biado para dar cabida a funcionalidad adicional" @s de esperar 9ue no ser2 el caso en el futuro? pero si usted est2
la actualiDacin de pfSense (") a (")"( o superior? el siste%a operativo subyacente pas de Free#SD
A") a B"/? e incluye un pfsync %2s reciente" Sie%pre revise la gua de actualiDacin en todos los vinculados liberacin anuncios antes de actualiDar a ver si hay alguna consideracin especial para los usuarios A.&"
)+"*" pfSense G!LI.& Sync 3nfor%acin general

pfSense sincroniDacin de configuracin le per%ite aprovechar al %2/i%o los ca%bios de configuracin en un solo el servidor de seguridad pri%aria? 9ue luego se replica los ca%bios a lo largo de la secundaria de for%a auto%2tica" Las 2reas apoyadas por esto son las reglas del cortafuegos? progra%as de servidor de seguridad? alias? <AT? 3&sec? =aLe on LA<? las rutas est2ticas? e9uilibrador de carga? 'irtual 3&? confor%ador de tr2fico? y pro%otor de D<S" :tros aMustes debe configurar de for%a individual en el firewall secundaria? seg;n sea necesario? aun9ue la sincroniDacin cubre la %ayora si no todos? de lo 9ue habitual%ente va a ca%biar" onfiguracin de la sincroniDacin debe
utiliDar la %is%a interfaD 9ue el tr2fico de su pfsync"
)+"1" @Me%plo de configuracin redundante

@n esta seccin se describen los pasos en la planificacin y configuracin de una interfaD si%ple de tres A.& de configuracin" Las tres interfaces LA<? =A< y pfsync" @sto es funcional%ente e9uivalente
*B,
Firewall de redundancia 7 Alta Disponibilidad a una interfaD LA< dos y el despliegue de =A<? con la interfaD de pfsync ser usado ;nica%ente para sincroniDar los estados de configuracin y seguridad entre los servidores de seguridad pri%aria y secundaria"
)+"1"(" Deter%inar las asignaciones de direccin 3&

@n pri%er lugar usted necesita para planificar su asignacin de direcciones 3&" Hna buena estrategia es usar el %2s baMo utiliDable
3& en la subred de la 3& A.&? el 3& de pr/i%a posteriores co%o interfaD 3& del servidor de seguridad pri%aria? y
la 3& de pr/i%a co%o interfaD 3& del servidor de seguridad secundario" Hsted puede asignar estos co%o se desee? lo 9ue la eleccin
un es9ue%a 9ue tiene %2s sentido para usted es reco%endado"
)+"1"("(" Direcciona%iento =A<

Las direcciones =A< ser2n seleccionados de los asignados por su 3S&" &ara el eMe%plo de la Tabla )+"(? N=A< asignaciones de direccin 3&N? La =A< de la pareMa A.& est2 en una red privada?
y las direcciones a trav6s (+"+"AA"(+ (+"+"AA"() se utiliDar2 co%o las direcciones 3& =A<" Direccin 3& (+"+"AA"(+ (+"+"AA"(( (+"+"AA"() Hso A.& 3& co%partida &ri%aria firewall 3& de la =A< Secundaria firewall 3& de la =A<
Tabla )+"(" =A< asignaciones de direccin 3&
)+"1"(")" LA< de direcciona%iento

La subred LA< es (,)"(AC"("+7)1" &ara este eMe%plo? las direcciones 3& LA< ser2 asignado co%o se %uestra en Tabla )+")? NLA< asignaciones de direccin 3&N" Direccin 3& (,)"(AC"("(
(,)"(AC"(") (,)"(AC"("*
Hso A.& 3& co%partida &ri%aria firewall 3& de la LA< Secundaria firewall 3& de la LA<
Tabla )+")" LA< asignaciones de direccin 3&
)+"1"("*" Abordar pfsync

<o habr2 co%partido A.& 3& en esta interfaD por9ue no hay necesidad de uno" @stas direcciones 3& son utiliDarse ;nica%ente para la co%unicacin entre los servidores de seguridad" &ara este eMe%plo? voy a utiliDar (B)"(A"("+7)1
*C+
Firewall de redundancia 7 Alta Disponibilidad co%o la subred pfsync" Slo dos perodos de investigacin se utiliDar2? pero voy a usar un 7 )1 para ser coherentes con los
otra interfaD interna JLA<K" &ara el ;lti%o octeto de las direcciones 3&? eleg el ;lti%o octeto %is%o
co%o el servidor de seguridad 3& de la LA< de la coherencia" Direccin 3& (B)"(A"(") (B)"(A"("* Hso &ri%aria firewall 3& de la LA< Secundaria firewall 3& de la LA<
Tabla )+"*" pfsync direccin 3& de %isiones

@n la figura )+"(? N@Me%plo de diagra%a de A.& redN se puede ver el dise0o de este eMe%plo A.&
grupo" La pri%aria y secundaria? cada uno tiene cone/iones id6nticas a la =A< y LA<? y un cable de cone/in entre ellos para conectar las interfaces pfsync" @n este eMe%plo b2sico? el =A< y LA< 3nterruptor siguen siendo posibles puntos de fallo" on%utacin de la redundancia
se trata %2s adelante en este captulo en Seccin )+"C? N apa ) redundanciaN"
)+"1")" onfigurar el servidor de seguridad pri%aria

@n pri%er lugar va%os a tener todo funcionando co%o se desea en la pri%aria? la secundaria se
agreg" DeMa el firewall desactivado secundaria hasta llegar a ese punto"
)+"1")"(" 3nstalacin? interfaD de asignacin y configuracin b2sica

3r a trav6s de la asignacin de instalacin y una interfaD de %anera diferente 9ue si se tratara de un solo instalar" Asigne la direccin 3& previa%ente designado a la interfaD LA<? y entrar en la web interfaD para continuar" 3r a trav6s del asistente de inicio? seleccionar la Dona horaria? la configuracin de la 3& est2tica previa%ente designados para el servidor de seguridad pri%aria en la =A<? y el estableci%iento de su ad%inistrador
contrase0a" ontinuar con el siguiente paso despu6s de co%pletar el asistente de arran9ue Jver de nuevo a Seccin 1")?
NAsistente de configuracinN si es necesarioK"
)+"1")")" onfiguracin de las 3&s virtuales A.&

'aya a Servidor de seguridad 3& virtual y haga clic para a0adir su pri%era A.&A '3&" La edicin virtual 3&
Se %ostrar2 la pantalla? co%o se ve en Figura )+")? N3& =A< A.&N
*C(
Figura )+")" =A< 3& A.&

&ara el tipo? seleccione %PRR" La interfaD se debe establecer en :P>" &ara obtener la direccin 3&? introduDca en el co%partir? direccin 3& =A< elegido antes" @n este eMe%plo? es 10.0.66.10" @l 'irtual
3& contrase0a puede ser cual9uier cosa 9ue te gusta? y sie%pre y cuando todos sus siste%as de uso de pfSense con su sincroniDacin de la configuracin? no lo 9ue necesitas saber esta contrase0a? ya 9ue auto%2tica%ente sincroniDarse con el servidor de seguridad secundaria" &uede generar una contrase0a al aDar usando una contrase0a herra%ienta de generacin? o golpear al aDar en el teclado para crear una" ada 3& A.& en un par de cortafuegos debe utiliDar un ;nico grupo 'F3D J'irtual Fost 3DK? y ta%bi6n debe ser diferente de cual9uier 'F3Ds en uso en cual9uier interfaD de red conectada directa%ente si A.& o '..& es ta%bi6n presente en otros routers o cortafuegos en su red" Si usted no tiene ninguna otra carpa o '..&
tr2fico presente en su red? usted puede co%enDar a 1" De lo contrario? se establece en el 'F3D disponible siguiente
en la red" La frecuencia de publicidad debe establecerse de acuerdo a la funcin de esta %29uina en
del grupo" Sa 9ue 6ste ser2 el %aestro? 9ue debe establecerse en 0" @n el siste%a de copia de seguridad? esto debe
se 1 o superior" &or la descripcin? escriba algo relevante co%o :P> &R %PRR" Faga clic en
Guardar cuando haya ter%inado"

Ahora haga clic para a0adir otra 3& virtual para la LA< JFigura )+"*? NLA< A.& 3&NK" @sta veD? Tipo conMunto de %PRR? 3nterfaD de #P>? S la direccin 3& a la 3& LA< co%partidas? 192.168.1.1" @ste 3& virtual contrase0a es para otro grupo de investigacin? por lo 9ue no tiene 9ue coincidir con el de la =A<? y otra veD 9ue nunca se necesita saber la contrase0a" @l 'F3D debe ser diferente de la de la =A< 3& A.&? por lo general se establece un n;%ero %ayor? en este caso 2" Hna veD %2s? ya 9ue este siste%a es due0o de la frecuencia de publicidad debe ser 0" &or la descripcin? escriba &R #P> %PRR o
algo si%ilar descriptivo" Faga clic en Guardar cuando haya ter%inado"
*C)
Firewall de redundancia 7 Alta Disponibilidad Despu6s de guardar la LA< 3& A.&? podr2s ver a%bas personalidades en la lista? co%o en la Figura )+"1? N'irtual 3& lista N" Faga clic en Aplicar ca%bios y luego a%bos 3&s A.& se activa"
)+"1")"*" onfigurar salida <AT para la carpa

@l siguiente paso ser2 configurar <AT para 9ue los clientes de la LA< utiliDar2 la =A< para co%partir la propiedad intelectual co%o
la direccin" 'aya a Servidor de seguridad <AT? y haga clic en la ficha de salida" Seleccione la opcin de habilitar !anual de salida <AT J<AT avanDada de salidaK? a continuacin? haga clic en Guardar"
Hna regla 9ue parece 9ue se <AT el tr2fico de LA< a la =A< 3&" &uede aMustar esta nor%a a trabaMar con la direccin 3& en lugar del A.&" Faga clic en el a la derecha de la regla" @n la traduccin
seccin? seleccione la =A< A.& direccin 3& de la Direccin desplegable" a%biar la descripcin
%encionar 9ue esta regla <AT LA< a la =A< A.&" o%o referencia? se puede co%parar
su configuracin de salida regla de <AT para los de la Figura )+">? N@ntrada de salida <ATN
Despu6s de hacer clic en Guardar en la regla de <AT? y haga clic en Aplicar ca%bios? las nuevas cone/iones deMando la =A< ahora se traducir2 a la 3& A.&" &uede confir%ar esto con un sitio web 9ue %uestra la direccin 3& desde la 9ue est2 siendo visitada? co%o http:77www"pfsense"org7ip"php " Ta%bi6n debe ver la salida de esta aMustada regla <AT en la lista? co%o en la figura )+"A?
N onfiguracin avanDada <AT de salidaN"
)+"1")"1" onfigurar pfsync

La siguiente tarea consiste en configurar la interfaD pfsync 9ue ser2 la lnea de co%unicacin entre
el servidor de seguridad pri%aria y de copia de seguridad" 'aya a las interfaces :&T( para configurar esta
opcin" Si usted no tiene una interfaD :&T( sin e%bargo? usted tendr2 9ue asignar en 3nterfaces JAsignarK Jv6ase Seccin 1"*"(?
NAsignar interfacesNK"
Slo unas pocas opciones es necesario establecer? co%o se %uestra en Figura )+"B? Npfsync 3nterfaD de configuracinN" La interfaD tiene 9ue estar habilitado y 9ue ayudara a utiliDar pfs/nc por su no%bre" Fay 9ue establecido para una direccin 3& est2tica? y teniendo en cuenta la direccin decidida anterior%ente para el lado pri%ario de pfsync?
1M2.16.1.2627"
*C*
Figura )+"B" pfsync interfaD de configuracin

uando haya ter%inado de introducir la infor%acin para la interfaD pfsync? haga clic en Guardar" La interfaD pfsync ta%bi6n necesitar2 una regla de firewall para per%itir el tr2fico de la copia de seguridad" 3r al cortafuegos
.eglas? y haga clic en la ficha pfsync" A0adir una nueva regla de firewall 9ue se per%ita el tr2fico de cual9uier protocolo de cual9uier fuente a cual9uier destino" Dado 9ue esto slo ser2 una cone/in directa privada con un
cable de cone/in? se puede per%itir todo el tr2fico desde el punto pfsync"
)+"1")">" !odificar el servidor DF &

Si pfSense est2 actuando co%o un servidor DF &? es necesario instruir a asignar una 3& A.& co%o puerta de entrada 3&" De lo contrario pfSense har2 uso de su co%porta%iento por defecto de asignar la 3& configurada en la interfaD
co%o puerta de entrada" 5ue la propiedad intelectual es especfico para el servidor de seguridad pri%aria? por lo 9ue necesita para ca%biar a una 3& A.&
de con%utacin por error a trabaMar para sus siste%as de cliente DF &" 'aya a Servicios Servidor DF &" a%bie el ca%po &uerta de enlace de 192.168.1.1? La
co%partida A.& LA< 3&" AMuste el punto de con%utacin por error 3& a la actual direccin 3& del siste%a de copia de seguridad? 192.168.1.3" @sto per%itir2 9ue el servicio DF & en a%bos siste%as para %antener un conMunto co%;n
de los arrenda%ientos" Guardar y? a continuacin? en Aplicar ca%bios"
)+"1"*" onfiguracin del servidor de seguridad secundaria

A continuacin las interfaces? direcciones 3&? y las reglas del firewall en la necesidad de secundaria a ser configurado"
*C1
)+"1"*"(" 3nterfaD de %isiones y de direcciona%iento 3&

Antes de conectar las interfaces =A<? LA<? o pfsync? el poder en el siste%a y pasar por
la asignacin de instalacin y una interfaD 9ue lo hiDo para el servidor de seguridad pri%aria" @stableDca la 3& de la LA< desde la consola a la copia de seguridad previa%ente designado 3& LA< del 192.168.1.3? @stableDca el DF &
configuracin de la %is%a 9ue la pri%aria? y luego debe ser seguro para conectar las cone/iones de red"
A continuacin? debe acceder a la interfaD web y pasar por el asistente de configuracin? tal co%o se hiDo en el pri%ario" onfigurar la 3& =A<? y establecer la contrase0a de ad%inistrador para el %is%o valor 9ue el
en el pri%ario"
Ta%bi6n tendr2 9ue configurar la interfaD de sincroniDacin co%o en Seccin )+"1")"1? Npfsync onfigurarN? &ero
con la direccin 3& elegida para el siste%a de copia de seguridad
)+"1"*")" .eglas del firewall

Hsted necesitar2 una regla de firewall te%poral para per%itir la configuracin inicial de sincroniDacin a suceder" 3r para Firewall .eglas? y haga clic en la ficha pfsync" A0adir una nueva regla de firewall 9ue se per%ita el tr2fico de cual9uier protocolo de cual9uier fuente a cual9uier destino" &onga Nte%poralN en la descripcin para 9ue pueda estar seguro de 9ue ha sido sustituido %2s tarde" La regla debe ser si%ilar a Figura )+"C? NServidor de seguridad de pronunciarse sobre
interfaD pfsync N
Figura )+"C" Servidor de seguridad de @stado en la interfaD pfsync
)+"1"1" onfigurar sincroniDacin de la configuracin

@l ;lti%o paso es configurar la sincroniDacin de la configuracin entre la pri%aria y de copia de seguridad"
@n el servidor de seguridad ;nico %aestro? vaya a Servidor de seguridad de 'irtual 3&? y haga clic en la ficha onfiguracin de A.&"
o%pruebe SincroniDar habilitado? y recoger pfs/nc co%o sincroniDar la interfaD" &ara el pfsync
sincroniDacin entre pares 3&? escriba la direccin 3& para la interfaD de pfsync el siste%a de copia de seguridad? 1M2.16.1.3"
.evise todas las casillas restantes en la pantalla? e introduDca el perodo de investigacin del siste%a de copia de seguridad de pfsync de nuevo en
*C>
Firewall de redundancia 7 Alta Disponibilidad SincroniDar con la propiedad intelectual" &or ;lti%o? introduDca la contrase0a =ebGH3 ad%in en la contrase0a de siste%as re%otos caMa" Faga clic en Guardar cuando haya ter%inado"
uando la configuracin de sincroniDacin se guardan en la pri%aria? auto%2tica%ente copiar2 los configuracin de la pri%aria a la copia de seguridad para cada opcin seleccionada en la p2gina de onfiguracin de A.&" @ste incluye la configuracin adecuada de salida <AT para la carpa? las reglas del cortafuegos para la interfaD pfsync? e incluso las personalidades A.&" Dentro de los *+ segundos? la sincroniDacin de la configuracin inicial debera haber ter%inado"
La configuracin del servidor DF & no est2n sincroniDados? lo 9ue los ca%bios en el siste%a de copia de seguridad se
necesario establecer el perodo de investigacin A.& co%o puerta de entrada? y utiliDar las pri%arias de la direccin 3& LA< co%o la
DF & pares de con%utacin por error? co%o en Seccin )+"1")">? N!odificacin del servidor DF &N"
Si la configuracin de sincroniDacin de la pri%aria a la copia de seguridad? entonces usted sabe 9ue la interfaD de sincroniDacin
est2 conectado y funcionando correcta%ente" Si no? puedes ir a diagnsticos &ing? escoger el pfsync
interfaD? e intentar hacer ping a la pfsync direccin 3& del siste%a de oposicin" Si eso no funciona? co%pruebe 9ue est2 utiliDando un cable de cone/in y 7 o tener una luD de enlace en la interfaD pfsync
de a%bos siste%as"
La pareMa A.& ahora se activa? pero todava tendr2 9ue co%probar el estado y la prueba de 9ue la con%utacin por error est2 funcionando correcta%ente" Salte a Seccin )+"A? Nla funcionalidad de con%utacin por error de 'erificacinN para el resto"
<ota
Hsted no debe configurar la sincroniDacin desde el servidor de seguridad de copia de seguridad para el %aestro cortafuegos" @/isten protecciones 9ue se deben evitar este laDo de la sincroniDacin de causar da0o? pero se desordenan los registros con %ensaMes de error y nunca debe
ser configurado de esta %anera"
)+">" !ultiI=A< con A.&

Ta%bi6n puede i%ple%entar A.& para la redundancia de servidor de seguridad en una configuracin %ultiI=A<? sie%pre co%o todas las interfaces =A< tener al %enos * direcciones 3& est2ticas cada uno" @sta seccin se detallan los '3& y configuracin de <AT necesarios para un despliegue de doble =A< A.&" @sta seccin slo se tratan te%as
especfica a la carpa y %ultiI=A<"
)+">"(" Deter%inar las asignaciones de direccin 3&

&ara este eMe%plo? cuatro direcciones 3& se utiliDan en cada =A<" ada uno necesita un servidor de seguridad 3&? ade%2s de una carpa 3& de salida <AT? %2s uno para un <AT (:( 9ue se utiliDa para un servidor de correo interno
el seg%ento de la D!E"
*CA
)+">"("(" =A< y =A<) direcciona%iento 3&

Tabla )+"1? NDirecciona%iento 3& =A<N y Tabla )+">? N=A<) direcciona%iento 3&N %ostrar la 3& abordar tanto para redes =A<" @n la %ayora de estos entornos se 3&s p;blicas" Direccin 3& (+"+"AA"(+ (+"+"AA"(( (+"+"AA"() (+"+"AA"(* Hso 3& co%partidas A.& para <AT Saliente &ri%aria firewall 3& de la =A< Secundaria firewall 3& de la =A< 3& co%partidas A.& para <AT +(:+(
Tabla )+"1" Direcciona%iento 3& =A<

Direccin 3& (+"+"A1",+ (+"+"A1",( (+"+"A1",) (+"+"A1",* Hso 3& co%partidas A.& para <AT Saliente &ri%aria cortafuegos =A<) 3& Secundaria cortafuegos =A<) 3& 3& co%partidas A.& para <AT +(:+(
Tabla )+">" Direcciona%iento 3& =A<)
)+">"(")" LA< de direcciona%iento

La subred LA< es (,)"(AC"("+7)1" &ara este eMe%plo? las direcciones 3& LA< se asignar2 de la siguiente %anera" Direccin 3& (,)"(AC"("(
(,)"(AC"(") (,)"(AC"("*
Hso A.& 3& co%partida &ri%aria firewall 3& de la LA< Secundaria firewall 3& de la LA<
Tabla )+"A" LA< asignaciones de direccin 3&
)+">"("*" D!E de direcciona%iento

La subred D!E es (,)"(AC")"+7)1" &ara este eMe%plo? las direcciones 3& LA< se asignan de la siguiente en Tabla )+"B? NDona de distensin asignaciones de direcciones 3&N"
*CB
Firewall de redundancia 7 Alta Disponibilidad Direccin 3& (,)"(AC")"(

(,)"(AC")") (,)"(AC")"*
Hso A.& 3& co%partida &ri%aria cortafuegos 3& D!E Secundaria cortafuegos 3& D!E
Tabla )+"B" D!E asignaciones de direccin 3&
)+">"("1" Abordar pfsync

<o habr2 co%partido A.& 3& en esta interfaD por9ue no hay necesidad de uno" @stas direcciones 3&
slo se utiliDan para la co%unicacin entre los servidores de seguridad" &ara este eMe%plo? (B)"(A"("+7)1 se ser utiliDado co%o la subred pfsync" Slo dos perodos de investigacin se utiliDar2? pero a 7 )1 se utiliDa para ser coherente con las interfaces internas" &ara el ;lti%o octeto de las direcciones 3&? el octeto %is%a co%o la ;lti%a
cortafuegos 3& LA< es elegida para la coherencia" Direccin 3& (B)"(A"(") (B)"(A"("* Hso &ri%aria firewall 3& de la LA< Secundaria firewall 3& de la LA<
Tabla )+"C" pfsync direccin 3& de %isiones
)+">")" onfiguracin de <AT

La configuracin de <AT utiliDando las carpas es la %is%a 9ue sin ella? aun9ue es necesario utiliDar slo
A.&A '3&? o 3&s p;blicas en una subred dirigida a uno de sus asociados en la eMecucin A.& para garantiDar 9ue estas direcciones sie%pre son accesibles" 'er aptulo B? <etworL Address Translation &ara obtener %2s infor%acin sobre
configuracin de <AT"
)+">"*" onfiguracin del Firewall

on !ultiI=A< necesita una poltica para la red local a la ruta a la puerta de enlace predeter%inada de otra %anera cuando intenta enviar el tr2fico a la direccin de A.& en su lugar saldr2 una secundaria
one/in =A<"
@s necesario a0adir una regla en la parte superior de las reglas del firewall para todas las interfaces internas 9ue dirigir2
tr2fico para todas las redes locales a la puerta de enlace predeter%inada" La parte i%portante es la puerta de entrada tiene 9ue ser
*CC
Firewall de redundancia 7 Alta Disponibilidad predeter%inado para esta regla y no una de las cone/iones de con%utacin por error o e9uilibrio de carga" @l destino de
esta regla debe ser la red local LA<? o un alias 9ue contiene todas las redes a nivel local accesible"
)+">"1" !ultiI=A< A.& con D!E Diagra%a

Debido a la =A< y los ele%entos adicionales Dona de despeMe? un diagra%a de este dise0o es %ucho %2s co%pleMa
co%o puede verse en la Figura )+",? NDiagra%a de !ultiI=A< A.& con Dona de distensinN"
)+"A" o%probacin de la funcionalidad de con%utacin por error

Desde 9ue uso A.& es sobre la alta disponibilidad? debe ser probado a fondo antes de ser colocada en la produccin" La parte %2s i%portante de 9ue la prueba es asegurarse de 9ue los pares se A.&
gracia de con%utacin por error durante interrupciones del siste%a"

Si ninguna de las acciones en esta seccin no funcionan co%o se espera? consulte Seccin )+"(+? N A.&
Solucin de proble%as N"
)+"A"(" o%pruebe el estado A.&

@n a%bos siste%as? vaya a @stado A.& JfailoverK" @l principal debera %ostrar !AST@. para el estado de todas las personalidades A.&" @l siste%a de copia de seguridad deben %ostrar copia de seguridad co%o el estado" Si el siste%a de respaldo en lugar %uestra !3<HS'AL3D:S? haga clic en el botn Activar A.&? a continuacin? volver a cargar y la
ondicin $urdica y Social A.& JfailoverK p2gina" Ahora debe aparecer correcta%ente"
)+"A")" o%pruebe configuracin de la replicacin

'aya a lugares clave en el router de copia de seguridad? co%o cortafuegos .eglas y Firewall <AT y garantiDar 9ue las nor%as creadas slo en el siste%a pri%ario se replica en las copias de seguridad"
Si ha seguido el eMe%plo anterior en este captulo? usted debe ver 9ue su Nte%peraturaN reglas del firewall
en la interfaD pfsync ha sido sustituido por el i%perio de la pri%aria"
)+"A"*" o%probar el estado de con%utacin por error de DF &

Si ha configurado la con%utacin por error de DF &? su estado se puede co%probar yendo al @stado DF & Arrenda%ientos" Hna nueva seccin aparecer2 en la parte superior de la p2gina 9ue contiene el estado del DF &
&iscina de con%utacin por error? co%o en Figura )+"(+? N ondicin $urdica y Social de con%utacin por
error DF & &oolN"
*C,
Figura )+"(+" on%utacin por error de DF & &ool @stado
)+"A"1" &rueba de con%utacin por error A.&

Ahora para la prueba de con%utacin por error real" Antes de e%peDar? aseg;rese de 9ue se puede navegar desde un cliente detr2s de
el par A.& tanto con pfSense cortafuegos en lnea y funcionando" Hna veD 9ue se confir%a al trabaMo?
sera un %o%ento e/celente para hacer una copia de seguridad"

&ara la prueba real? desenchufe el principal de la red o bien apagarlo" Hsted debe ser capaD de %antener a navegar por 3nternet a trav6s del enrutador de copia de seguridad" o%probar estado A.& JfailoverK de nuevo en la copia de seguridad y ahora debe infor%ar 9ue es !AST@. para la LA< y la =A< A.&A '3&" Ahora 9ue el siste%a pri%ario de nuevo en lnea y debe recuperar su papel co%o %aestro? y el siste%a de reserva debera degradar a #A QH& una veD %2s? y debe conectividad a 3nternet
todava funcionan correcta%ente"

Debe probar el par A.& en situaciones de error tanto co%o sea posible" :tro individuo
Las pruebas pueden incluir: U Desconecte el cable de LA< o =A< U Sa9ue el enchufe de ali%entacin de la pri%aria U Desactivar A.& en la pri%aria
U &ruebe con cada siste%a individual Japagar copia de seguridad? de ali%entacin y apague el
el pri%arioK U Descargar un archivo o tratar de strea%ing de audio 7 vdeo durante la con%utacin por error U &ruebe con un ping continuo a un host de 3nternet durante la con%utacin por error
)+"B" &roporcionar redundancia Sin <AT

o%o se %encion anterior%ente? slo A.&A '3& proporcionar redundancia y slo pueden ser utiliDados en Munto con <AT" Ta%bi6n puede proporcionar redundancia para enrutar subredes 3& p;blica con la carpa"
@n esta seccin se describe este tipo de configuracin? 9ue es co%;n en grandes redes? 3S& y
redes inal2%bricas de 3S&? y entornos de coIlocaliDacin"
*,+
)+"B"(" Asignacin de 3& p;blica

Hsted necesitar2 por lo %enos un 7 ), p;blicos blo9ue de 3& de la =A< de pfSense? 9ue proporciona seis
direcciones 3& en uso" Slo tres son necesarios para una i%ple%entacin de firewall de dos? pero este es el %2s pe9ue0o Subred 3& 9ue se aco%oda a tres direcciones 3&" ada servidor de seguridad re9uiere un perodo de investigacin? y la necesidad de 9ue
por lo %enos una A.&A '3& en el lado =A<"

La segunda subred 3& p;blica se dirigir2 a una de sus personalidades A.& por su proveedor de 3nternet? coubicacin proveedor? o el router aguas arriba si el control de esa parte de la red" Debido a esta subred se enca%ina a un '3& A.&? el enruta%iento no se depende de un ;nico servidor de seguridad" &ara el representado configuracin de eMe%plo en este captulo? un 7 )* de subred 3& p;blica ser2 utiliDado y lo
estar en dos subredes 7 )1 redes"
)+"B")" .ed de 3nfor%acin general

La red de eMe%plo se %uestra a9u es un entorno de coIubicacin 9ue consta de dos pfSense se instala con cuatro interfaces de cada uno I =A<? LA<? D#D!E y pfsync" @sta red contiene un n;%ero de servidores web y bases de datos" <o se basa en ninguna red real? pero hay un sinn;%ero de
produccin si%ilar a este despliegue"
)+"B")"(" De redes =A<

La =A< es donde la red se conecta a la red de aguas arriba? ya sea su proveedor de 3nternet? coI
proveedor de la ubicacin o el router aguas arriba"
)+"B")")" one/in de redes

LA< en pfSense es un no%bre de interfaD fiMa? y es una interfaD re9uerida en el punto (")" LA< no se un no%bre descriptivo apropiado para este seg%ento en esta i%ple%entacin" @l seg%ento de LA< en esta red contiene servidores web? y sera %2s apropiado descrito co%o una Dona de despeMe o seg%ento de los servidores =eb? pero se LA< a9u a causa de esta restriccin" @s posible 9ue desee a0adir una interfaD de 9uinto a los servidores de seguridad en esta circunstancia? y deMar la interfaD asignada co%o LA< desenchufada para 9ue sus interfaces con no%bres %2s descriptivos" pfSense )"+ per%ite ca%biar el no%bre de la one/in de la interfaD? por lo 9ue este no ser2 un e/a%en en el futuro" on frecuencia se utiliDan en las 'LA< este tipo de despliegues? en cuyo caso se puede asignar una 'LA< no utiliDada a la LA<? y el uso de una
el apropiado no%bre de interfaD de optar por esta red interna? en lugar de LA<"
)+"B")"*" D#D!E .ed

@ste seg%ento es una interfaD :&T y contiene los servidores de base de datos" @s co%;n para segregar los servidores web y bases de datos en dos redes en entornos de aloMa%iento" Los servidores de base de datos
*,(
Firewall de redundancia 7 Alta Disponibilidad no deberan nunca re9uerir acceso directo desde 3nternet? y por lo tanto est2n %enos suMetos a co%pro%iso 9ue los servidores web"
)+"B")"1" pfsync .ed

La red pfsync en este diagra%a se utiliDa para replicar los ca%bios de configuracin a trav6s de G!L pfSense .& y para pfsync para replicar ca%bios de estado de la tabla entre los dos servidores de seguridad" o%o se describe
anterior%ente en este captulo? una interfaD dedicada para este propsito se reco%ienda"
)+"B")">" Dise0o de redes

Figura )+"((? NDiagra%a del A.& con enrutado 3&N ilustra este dise0o de red? incluyendo todos los
enrutable direcciones 3&? LA<? y la Dona de distensin de base de datos"
<ota
Seg%entos 9ue contienen los servidores de bases de datos nor%al%ente no tienen 9ue ser p;blico acceso? y por lo tanto sera %2s co%;n el uso privado subredes 3&? pero la eMe%plo ilustrado a9u se pueden utiliDar independiente%ente de la funcin de las dos internas
subredes"
)+"C" La redundancia de capa )

Los diagra%as anterior%ente en este captulo no describi la capa ) JinterruptorK de redundancia? para evitar
lanDando %uchos conceptos a los lectores al %is%o tie%po" Ahora 9ue tiene una co%prensin de redundancia de hardware con pfSense? esta seccin cubre la capa de dos ele%entos de dise0o 9ue deben considerar al planear una red redundante" @n este captulo se asu%e una i%ple%entacin del siste%a dos?
aun9ue las escalas de las instalaciones hasta 9ue usted re9uiere"

Si a%bos siste%as redundantes pfSense est2n conectados en el %is%o interruptor en cual9uier interfaD? 9ue interruptor se convierte en un punto ;nico de fallo" &ara evitar este punto ;nico de fallo? la %eMor opcin es
de desplegar dos interruptores para cada interfaD J9ue no sea la interfaD pfsync dedicadoK"
@l diagra%a de enrutado 3& est2 centrada en la red? no se incluye la infraestructura de con%utacin" La Figura )+"()? NDiagra%a del A.& redundante con switchesN ilustra la for%a en 9ue el %edio a%biente
%ira con una infraestructura de con%utacin redundante"
)+"C"(" 3nterruptor de configuracin

uando utilice varios %odificadores? debe intercone/in" !ientras usted tiene una sola cone/in entre los dos interruptores? y no el puente en cual9uiera de los servidores de seguridad? esto es seguro
*,)
Firewall de redundancia 7 Alta Disponibilidad con cual9uier tipo de interruptor" @n caso de superar el uso? o cuando e/isten %;ltiples intercone/iones entre
los interruptores? se debe tener cuidado para evitar la capa ) bucles" Hsted necesitar2 un switch ad%inistrado 9ue se capaD de utiliDar Spanning Tree &rotocol JST&K para detectar y blo9uear los puertos 9ue de otra %anera interruptor de crear bucles" uando se usa ST&? si un vnculo activo %uere? por eMe%plo? Fallo del interruptor? a continuacin? una copia de seguridad
vnculo auto%2tico puede ser educado en su lugar"

@n pfSense )"+? ta%bi6n se prestar2 apoyo a0adido para el lagg (4) agregacin de enlaces y con%utacin por error de enlace interfaD 9ue ta%bi6n le per%ite tener varias interfaces de red conectado a uno o %2s
interruptores para tolerancia a fallos %2s"
)+"C")" Anfitrin de redundancia

@s %2s difcil obtener redundancia de acogida para sus siste%as crticos dentro del firewall" ada siste%a puede tener dos tarMetas de red y una cone/in a cada grupo de interruptores utiliDando LinL Agregacin de ontrol &rotocol JLA &K o una funcionalidad si%ilar especfica del proveedor" Los servidores podran Ta%bi6n tienen %;ltiples cone/iones de red? y dependiendo del siste%a operativo 9ue puede ser capaD de eMecutar A.& en un conMunto de servidores de %odo 9ue sera redundante as" &roporcionar redundancia de acogida es %2s especfica a las capacidades de los interruptores y el siste%a operativo del servidor? 9ue est2 fuera
el alcance de este libro"
)+"C"*" :tros puntos ;nicos de fallo

uando se trata de dise0ar una red total%ente redundante? hay %uchos puntos de fallo 9ue a veces se perdi" Dependiendo del nivel de tie%po de actividad 9ue se espera alcanDar? hay %2s y %2s cosas a considerar 9ue una falla si%ple interruptor" Vstos son algunos eMe%plos %2s
de la redundancia en una escala %2s a%plia: U ada seg%ento redundante debera tener el poder aislado" U Los siste%as redundantes debe estar en interruptores separados" U Hso de %;ltiples bancos de H&S y generadores" U Htilice los proveedores de potencia? entrando en los lados opuestos del edificio cuando sea posible" U 3ncluso una configuracin %ultiI=A< no es garanta de disponibilidad de 3nternet" U @l uso de %;ltiples tecnologas de cone/in a 3nternet JDSL? able? T(? fibra? wiIfiK"
U Si cual9uiera de las dos co%pa0as utiliDan el %is%o polo 7 t;nel 7 ruta? a%bos podran ser eli%inados en la
al %is%o tie%po"
*,*
Firewall de redundancia 7 Alta Disponibilidad U Tener copias de seguridad de refrigeracin? enfriadores redundante o una port2til 7 acondicionador de aire de e%ergencia" U onsidere la posibilidad de colocar el segundo grupo de e9uipos redundantes en otra habitacin? otro piso? o otro edificio"
U Tener un duplicado de instalacin en otra parte de la ciudad o en otra ciudad" 4&or 9u6 co%prar uno cuando se puede
co%prar dos por el doble del precio8 U Fe odo de aloMa%iento es barato en !arte? pero la latencia es asesino"
)+"," A.& con puente

A.& no es co%patible con el puente en una capacidad nativa" Se re9uiere una gran cantidad de %anuales
intervencin" Los detalles del proceso se pueden encontrar en Seccin ,">")? N A.&N"
)+"(+" A.& Solucin de proble%as

A.&A es una tecnologa %uy co%pleMa? y con tantas %aneras diferentes para configurar una con%utacin por error cl;ster? puede ser difcil para 9ue todo funcione correcta%ente" @n esta seccin? algunos co%unes Jy no tan co%;nK los proble%as se discuten y se espera resolver la %ayora de los casos" Si todava tiene proble%as despu6s de leer esta seccin? hay una dedicada A.& 7 '3& bordo en el pfSense
Foro [http:77foru%"pfsense"org7inde/"php7board?\ *A"+"ht%l"

Antes de ir %ucho %2s leMos? t%ese el tie%po para revisar todos los %ie%bros de la agrupacin A.& para garantiDar 9ue
9ue tienen configuraciones co%patibles" A %enudo? ayuda a ca%inar a trav6s de la configuracin de eMe%plo? haga doble co%probar todos los aMustes correctos" .epita el proceso a los %ie%bros copia de seguridad? y el reloM para los lugares donde la configuracin deben ser diferentes en las copias de seguridad" Aseg;rese de revisar la A.& estado JSeccin )+"A"(? N o%probar el estado A.&NK S garantiDar la A.& est2 habilitado en todos los cl;ster
%ie%bros"
Los errores relativos a la carpa se registrar2 en estado .egistros del siste%a? en la pesta0a Siste%a" o%pruebe los registros en cada siste%a i%plicados para ver si hay alg;n %ensaMe en relacin con sincroniDacin G!L.& ?
A.& transiciones de estado? u otros errores"
)+"(+"(" o%unes errores de configuracin

Fay tres errores de configuracin %uy co%;n 9ue suceda 9ue i%piden 9ue la carpa de trabaMo
correcta%ente"
*,1
)+"(+"("(" Hse un 'F3D diferente en cada '3& A.&

Hn 'F3D diferentes se debe utiliDar en cada A.&A '3& 9ue usted cree" &or desgracia? no sie%pre es
as de si%ple" A.&A es una tecnologa %ulticast? y co%o cual9uier cosa con tal A.& en la %is%a seg%ento de red debe utiliDar un 'F3D ;nico" '..& ta%bi6n utiliDa un protocolo si%ilar co%o la carpa? por lo 9ue Ta%bi6n debe asegurarse de 9ue no entra en conflicto con '..& 'F3Ds? co%o si su proveedor u otro
enrutador de la red utiliDa '..&"

La %eMor for%a de evitar esto es utiliDar un conMunto ;nico de 'F3Ds" Si usted est2 en una conocida caMa de seguridad red? inicie la nu%eracin en (" Si usted est2 en una red donde '..& o A.& son contradictorios?
puede 9ue tenga 9ue consultar con el ad%inistrador de esa red para encontrar un blo9ue libre de 'F3Ds"
)+"(+"(")" 3ncorrecta Tie%pos

o%pruebe 9ue todos los siste%as involucrados est6n debida%ente sincroniDar sus reloMes y tienen tie%po v2lido Donas? especial%ente si se eMecuta en una %29uina virtual" Si los reloMes est2n %uy aleMadas? algunos
tareas de sincroniDacin? co%o con%utacin por error de DF & no funcionar2 correcta%ente"
)+"(+"("*" !2scara de subred incorrecta

Debe utiliDar la %2scara de subred real de una A.&A '3&? no 7 *)" Debe coincidir con la %2scara de subred para la direccin 3& de la interfaD a la 9ue el perodo de investigacin A.& se le asigna"
)+"(+"("1" Direccin 3& para la interfaD A.&

La interfaD en la 9ue el perodo de investigacin A.& reside ya debe tener otra 3& definida directa%ente en
la interfaD J'LA<? LA<? =A<? T&:K antes de 9ue pueda ser utiliDado"
)+"(+")" 3ncorrecta Fash @rror

Fay algunas raDones por 9u6 este error puede aparecer en los registros del siste%a? un poco %2s preocupante
9ue otros"
Si A.& no funciona correcta%ente cuando se ve este error? podra deberse a una configuracin falta de coincidencia" Aseg;rese de 9ue para un '3&? 9ue la %2scara de subred 'F3D? la contrase0a y la direccin 3& 7
todo el partido"
Si la configuracin parece ser correcta y A.& sigue sin funcionar? %ientras 9ue la generacin de este error %ensaMe? entonces puede haber varias instancias de A.& en el %is%o do%inio de broadcast" @s posible 9ue necesidad de desactivar A.& y supervisar la red con tcpdu%p J aptulo )>? aptura de pa9uetesK
para co%probar si hay otras carpas o tr2fico A.&Ico%o? y aMustar su 'F3Ds adecuada%ente"
*,>
Firewall de redundancia 7 Alta Disponibilidad Si A.& est2 funcionando correcta%ente? y aparece este %ensaMe cuando el siste%a arranca? puede ser
en cuenta" @s nor%al 9ue este %ensaMe sea visto en el arran9ue? sie%pre y cuando A.& contin;a
para funcionar correcta%ente J!AST@. %uestra pri%aria? copia de seguridad %uestra #A QH& para el estadoK"
)+"(+"*" A%bos siste%as aparecen co%o !AST@.

@sto ocurrir2 si la copia de seguridad no puede ver los anuncios A.& del %aestro" o%pruebe 9ue reglas de firewall? proble%as de conectividad? configuraciones de con%utacin" Ta%bi6n puedes ver los registros del siste%a para cual9uier errores relevantes 9ue podran conducir a una solucin" Si usted est2 viendo esto en una %29uina virtual J'!K
&roducto? tales co%o @SG? consulte Seccin )+"(+">? N&roble%as en el interior de %29uinas virtuales J@SGKN"
)+"(+"1" Siste%a !aestro? pegado co%o .@S@.'A

@n algunos casos? esto se puede suceder nor%al%ente durante unos > %inutos despu6s de 9ue un siste%a vuelve a vida" Sin e%bargo? ciertas fallas de hardware o de otras condiciones de error puede hacer 9ue un servidor en silencio asu%ir un advsLew alta de )1+ para se0alar 9ue todava tiene un proble%a y no debe convertirse en
%aestro" Hsted puede co%probar desde el shell o de diagnstico o%ando" #ifconfig carp0 carp0: banderas = 49 mtu <UP,LOOPBACK,RUNNING> 1500 inet 10.0.66.10 mscara de red 0xffffff80 carpas: BACKUP vhid un advbase un advskew 240 @n ese caso? usted debe aislar ese servidor de seguridad y realiDar pruebas de hardware adicional"
)+"(+">" &roble%as en el interior de %29uinas virtuales J@SGK

uando se utiliDa A.& interior de una %29uina virtual? especial%ente de '!ware @SG? algunos especiales
configuraciones son necesarias: (" Activar el %odo pro%iscuo en el con%utador virtual" )" Fabilitar NLos ca%bios de direccin !A N" *" Fabilitar Ntrans%ite forMadoN"
Ade%2s? hay un error en la funcionalidad de con%utador virtual de '!ware? donde el tr2fico de %ultidifusin se colocado de nuevo al siste%a de envo en %;ltiples tarMetas de red fsicos est2n conectados a un con%utador virtual" A.& no pasa por alto tr2fico? ya 9ue en una red 9ue funciona nor%al%ente 9ue nunca suceder? y lo ve co%o otro host 9ue afir%a ser el %aestro" &or lo tanto a%bos servidores de seguridad sie%pre estar atascado en el %odo de copia de seguridad" Fay algunos parches est2n probados para proporcionar una solucin alternativa para
*,A
Firewall de redundancia 7 Alta Disponibilidad A.& en esta situacin? y '!ware ha sido notificado del fallo del con%utador virtual? por lo 9ue no puede ser un proble%a en el futuro"
)+"(+"A" &roble%as de configuracin de sincroniDacin

'erifi9ue los siguientes puntos cuando los proble%as con la sincroniDacin de la configuracin se
frente: U @l no%bre de usuario debe ser el %is%o en todos los nodos"

U La contrase0a de la sincroniDacin de la configuracin en el %aestro debe coincidir con la contrase0a
en la copia de seguridad" U @l =ebGH3 debe estar en el %is%o puerto en todos los nodos" U @l =ebGH3 debe utiliDar el %is%o protocolo JFTT& o FTT&SK en todos los nodos" U Hsted debe per%itir el tr2fico al puerto =ebGH3 en la interfaD 9ue est2 sincroniDando con" U La interfaD pfsync debe estar activado y configurado en todos los nodos"
U @li%inar todos los caracteres especiales de todo tipo 9ue se est2n sincroniDando: las reglas <AT? Las reglas de firewall? direcciones 3& virtuales? etc ya no debera suponer un proble%a? pero si tiene
dificultades? es una buena cosa para probar" U Aseg;rese de 9ue slo el nodo de sincroniDacin principal tiene las opciones de sincroniDacin habilitada" U Aseg;rese de 9ue no hay una direccin 3& se especifica en el SincroniDar a la propiedad intelectual en el nodo de copia de seguridad"
)+"(+"B" A.& y Solucin de &roble%as !ultiI=A<

Si tiene proble%as para llegar a la carpa de personalidades cuando se trata de !ultiI=A<? doble control
9ue tiene una nor%a co%o la 9ue se %enciona en Seccin )+">"*? N onfiguracin del FirewallN
)+"(+"C" @/traccin de una A.&A '3&

Si una direccin 3& A.& debe ser eli%inado por cual9uier %otivo? el siste%a de acogida debe ser reiniciado" @li%inacin de una direccin 3& A.& de un siste%a vivo puede resultar en un Lernel panic o la inestabilidad del siste%a" versiones %2s recientes de pfSense advertir2 de este hecho? y pedir confir%acin de un reinicio cuando un A.&
eli%inacin de '3& se intenta"
*,B
aptulo )(" Servicios

La instalacin base de pfSense viene Munto con un conMunto de servicios 9ue se su%an algunos funda%entales
funcionalidad y fle/ibilidad al siste%a de firewall" o%o su no%bre lo indica? las opciones 9ue se encuentran dentro de los servicios de control 9ue el router proporcionar2 a los clientes? o en el caso de los servicios de enruta%iento? otros routers ta%bi6n" @stos servicios incluyen la prestacin de direcciona%iento DF &? D<S y la resolucin D<S din2%ico? S<!&? H&n& y %ucho %2s" @ste captulo co%prende los servicios disponibles en el base del siste%a" Fay %uchos %2s servicios 9ue se pueden agregar con los pa9uetes? 9ue se
%2s adelante en el libro"
)("(" Servidor DF &

@l servidor DF & asigna direcciones 3& y opciones de configuracin relacionados a los & cliente en
su red" @s activado por defecto en la interfaD LA<? y con el defecto de la LA< 3& (,)"(AC"("(? el rango de alcance predeter%inado sera a trav6s de (,)"(AC"("(,, (,)"(AC"("(+" @n su defecto configuracin? pfSense asigna su 3& LA< co%o la puerta de enlace y servidor D<S si el reenviador D<S
est2 habilitado" Fay %uchas opciones disponibles para aMustar en la =ebGH3"
)("("(" onfiguracin
&ara %odificar el co%porta%iento del servidor DF &? vaya a Servicios Servidor DF &" Desde all se puede
alterar el co%porta%iento del servidor DF &? Munto con las asignaciones est2ticas de 3& y algunas opciones relacionadas
co%o A.& est2tico"
)("("("(" La eleccin de una interfaD

@n la p2gina de configuracin DF & e/iste una ficha para cada interfaD no =A<" ada interfaD tiene su propia configuracin del servidor DF & independiente? y pueden ser activadas o desactivadas de %anera independiente el uno del otro" Antes de hacer cual9uier ca%bio? aseg;rese de 9ue usted est2 buscando en la ficha de la derecha
interfaD"
)("("(")" :pciones de servicio

@l pri%er aMuste en cada ficha pfSense dice si o no para %aneMar peticiones DF & en ese interfaD" &ara habilitar el DF & en la interfaD? visita el servidor DF & en Active [no%bre\ interfaD
caMa" &ara desactivar el servicio? desactive la caMa %is%a"

<or%al%ente? el servidor DF & responder2 a las peticiones de cual9uier cliente 9ue solicite un contrato de arrenda%iento" @n
%ayora de los entornos de este co%porta%iento es nor%al y aceptable? pero en %2s restringido o seguro
*,C
Servicios
entornos de este co%porta%iento no es deseable" on la opcin Denegar clientes desconocidos conMunto? slo
clientes con asignaciones est2ticas definidas recibir2n contratos de arrenda%iento? 9ue es una pr2ctica %2s segura? pero es
%ucho %enos conveniente"
<ota
@sto proteger2 contra los usuarios de baMo conoci%iento y las personas 9ue casual%ente enchufe dispositivos" Tenga en cuenta? sin e%bargo? 9ue un usuario con conoci%ientos de su red podra codificar una direccin 3&? %2scara de subred puerta de enlace? y D<S 9ue a;n les dar2 acceso" Ta%bi6n podra alterar 7 parodia de su direccin !A para 9ue coincida con un cliente v2lido y a;n obtener una concesin" uando sea posible pareMa? con esta configuracin de las entradas A.& est2ticas? de control de acceso en un interruptor 9ue li%itar2 las direcciones !A de los puertos de con%utacin deter%inadas para au%entar la seguridad y apagar o deshabilitar puertos interruptor 9ue usted debe saber
no estar en uso"
La direccin 3& de la interfaD 9ue se est2 configurando ta%bi6n se %uestra? Munto con su %2scara de subred" &or debaMo de esa lnea de la ga%a disponible de direcciones 3& para 9ue la %2scara de subred se i%pri%e? 9ue
puede ayudar a deter%inar 9u6 direcciones de inicio y finaliDacin de usar para el rango de conMunto DF &"
)("("("*" .ango de direcciones JDF & &oolK

Las dos caMas de ga%a pfSense decirle lo 9ue ser2 la direccin y el apellido para su uso co%o un servidor DF & piscina" La ga%a se debe introducir con el %enor n;%ero pri%ero? seguido por el n;%ero %2s alto" &or eMe%plo? el valor por defecto de LA< rango DF & se basa en la subred de la 3& por defecto de LA< direccin" Sera 192.168.1.10 a 192.168.1.199" @ste rango puede ser tan grande o tan pe9ue0o co%o sus necesidades de red? pero debe ser total%ente en el interior de la subred para la interfaD
se est2 configurando"
)("("("1" Los servidores =3<S

Dos servidores =3<S J=indows 3nternet <a%e ServiceK se puede definir 9ue se trans%itir2 a los clientes" Si usted tiene uno o varios servidores =3<S disponible? introduDca las direcciones 3&" La servidores reales no tienen 9ue estar en esta subred? pero aseg;rese de 9ue el buen enca%ina%iento y cortafuegos las nor%as e/isten para hacerles llegar en los e9uipos cliente" Si esto se deMa en blanco? no hay servidores =3<S
se enva al cliente"
)("("(">" Servidores D<S

Los servidores D<S pueden o no deben rellenarse? dependiendo de su configuracin" Si est2 utiliDando el .eenviador D<S integrado en pfSense para %aneMar D<S? deMe estos ca%pos en blanco y pfSense se auto%2tica%ente se asigna co%o el servidor D<S para los e9uipos cliente" Si el pro%otor de D<S est2 desactivado
*,,
Servicios
y estos ca%pos se deMan en blanco? pfSense pasar2 lo 9ue los servidores D<S est2n asignados a
en virtud del siste%a onfiguracin general" Si desea utiliDar servidores D<S personaliDado en lugar de la auto%2tica opciones? llene las direcciones 3& de hasta dos servidores D<S a9u" J'6ase Seccin )1")? N ontenido gratuito Filtrar con :penD<S N para un eMe%plo"K @n las redes con servidores =indows? especial%ente las e%pleo de Active Directory? se reco%ienda utiliDar los servidores de D<S del cliente" uando se utiliDa
el reenviador D<S en co%binacin con la carpa? especifi9ue el perodo de investigacin A.& en esta interfaD a9u"
)("("("A" Gateway
La opcin de puerta de enlace ta%bi6n se puede deMar en blanco si pfSense es la puerta de enlace para la red" @n caso de 9ue no sea el caso? escriba la direccin 3& de la puerta de entrada a ser utiliDado por clientes en esta interfaD"
uando se utiliDa A.&? co%plete el perodo de investigacin A.& en esta interfaD a9u"
)("("("B" Tie%pos de arrenda%iento DF &

@l tie%po de per%iso por defecto y el control de tie%po de concesin %2/i%o el tie%po 9ue un contrato de arrenda%iento tendr2 una duracin de DF &" La el tie%po de activacin de arrenda%iento se utiliDa cuando un cliente no solicita un tie%po de e/piracin especfica" Si el cliente se especifica el tie%po 9ue 9uiere un contrato de arrenda%iento a la ;lti%a? el aMuste de tie%po de concesin %2/i%o per%iten li%itar 9ue a una cantidad raDonable de tie%po" @stos valores se especifican en segundos? y los valores por defecto son B)++ segundos J) horasK para el tie%po predeter%inado? y CA"1++ segundos J( daK para el %2/i%o
tie%po"
)("("("C" on%utacin por error

Si este siste%a es parte de una configuracin de con%utacin por error co%o un grupo A.&? entrar en el punto de con%utacin por error de direccin 3&
siguiente" @sta debe ser la verdadera direccin 3& del otro siste%a en esta subred? no una co%partida A.&
direccin"
)("("("," A.& est2tico

La casilla de verificacin Fabilitar la est2tica de las entradas A.& funciona de %anera si%ilar a negar desconocidos direcciones !A desde la obtencin de contratos de arrenda%iento? pero da un paso %2s en la 9ue ta%bi6n li%itar2 los desconocidos %29uina se co%uni9ue con el router pfSense" @sto deMara a los posibles abusadores de
codificar una direccin no utiliDada en esta subred? eludir restricciones de DF &"
<ota
uando se utiliDa A.& est2tico? tenga cuidado para garantiDar 9ue todos los siste%as 9ue necesitan
co%unicarse con el router se enu%eran en la lista de asignaciones est2ticas antes de activar
esta opcin? sobre todo el siste%a 9ue se utiliDa para conectarse a la pfSense =ebGH3"
1++
Servicios
)("("("(+" D<S din2%ico

&ara la configuracin de D<S din2%ico? haga clic en el botn :pciones avanDadas a la derecha de ese ca%po" &ara habilitar esta
funcin? %ar9ue la casilla y luego rellenar un no%bre de do%inio para los no%bres de host DF &" Si est2 utiliDando pro%otor de pfSense de D<S? puede en lugar de deMar esta opcin en blanco y configurar el aMuste
dentro de la configuracin de reenviador D<S"
)("("("((" Servidores <T&

&ara especificar los servidores <T& J<etworL Ti%e Server &rotocolK? haga clic en el botn :pciones avanDadas de la derecha
de ese ca%po? y escriba las direcciones 3& de hasta dos servidores <T&"
)("("("()" 3nicio en la red

&ara ver la configuracin de red Fabilitar el arran9ue? haga clic en el botn :pciones avanDadas a la derecha de ese ca%po" A continuacin? puede %arcar la casilla para activar la funcin y? a continuacin? escriba una direccin 3& desde la 9ue arrancar i%2genes est2n disponibles? y un no%bre de archivo para la i%agen de arran9ue" A%bos de estos ca%pos debe estar configurado
para arran9ue en red para funcionar correcta%ente"
)("("("(*" Guardar configuracin

Despu6s de realiDar estos ca%bios? aseg;rese de hacer clic en Guardar antes de intentar crear asignaciones est2ticas"
Los aMustes se perder2n si se navega fuera de esta p2gina sin guardar pri%ero"
)("("("(1" Asignaciones est2ticas

@st2tica asignaciones DF & le per%iten e/presar su preferencia por 9ue ser la direccin 3& asignada a un & deter%inado? en funcin de su direccin !A " @n la red donde los clientes desconocidos se les niega? este ta%bi6n sirve co%o una lista de NconocidosN los clientes 9ue est2n autoriDados a recibir contratos de arrenda%iento o est2tica A.& las entradas" asignaciones est2ticas se pueden a0adir en una de dos %aneras" @n pri%er lugar? desde esta pantalla? haga clic y se le presentar2 un for%ulario para agregar una asignacin est2tica" @l otro %6todo consiste en agregar
desde el punto de vista de arrenda%iento DF &? 9ue se e/pone %2s adelante en este captulo"
De los cuatro ca%pos de esta pantalla? slo la direccin !A es necesario" Al entrar slo el !A direccin? se agreg a la lista de clientes conocidos para su uso cuando la opcin Denegar clientes desconocidos se establece" Fay un enlace al lado del ca%po de la direccin !A 9ue se copia la direccin !A de la & se utiliDa para acceder a la =ebGH3" @sto se proporciona para su conveniencia? en co%paracin con la obtencin de la !A
direccin en otra? %2s co%plicada? las for%as"
1+(
Servicios
<ota
La direccin !A se puede obtener de un s%bolo del siste%a en la %ayora de las platafor%as" @n
#asados en H<3G o H<3GIpor igual trabaMo? siste%as operativos? incluyendo !ac :S G? escribiendo
Nifconfig-aN!ostrar2 la direccin !A de cada interfaD" @n =indowsI las platafor%as basadas en Nipconfig 6 allN!ostrar2 la direccin !A " @l !A
direccin ta%bi6n puede a veces encontrarse en una pegatina en la tarMeta de red? o cerca de la tarMeta de red para los adaptadores integrados" &ara los hosts en la %is%a subred? el !A se puede deter%inar haciendo ping a la direccin 3& de la %29uina y luego eMecutar EPrp
-P E"
@l ca%po de direccin 3& es necesaria si esta ser2 una asignacin de 3& est2tica en lugar de slo infor%ar a la
servidor DF & 9ue el cliente es v2lido" @sta direccin 3& es real%ente una preferencia? y no una reserva"
Asignacin de una direccin 3& a9u no evitar2 9ue otra persona utiliDando la %is%a direccin 3&" Si esta direccin 3& est2 en uso cuando este cliente solicita un contrato de arrenda%iento? en lugar recibir2 una de la piscina en general" &or esta raDn? el pfSense =ebGH3 no le per%ite asignar direcciones 3& est2ticas
asignaciones en el interior de su piscina DF &"

Hn no%bre de host ta%bi6n se puede establecer? y no tiene 9ue coincidir con el no%bre real establecido en el cliente"
@l no%bre de host configurado a9u se utiliDar2n durante el registro de direcciones de DF & en el pro%otor de D<S"
La descripcin es cos%6tico? y su disposicin para ayudar a rastrear toda la infor%acin adicional acerca de esta entrada" &odra ser el no%bre de la persona 9ue utiliDa el & ? su funcin? la raDn
necesitaba una direccin est2tica? o el ad%inistrador 9ue ha agregado la entrada" Ta%bi6n puede deMarse en blanco"
Faga clic en Guardar para ter%inar de editar la asignacin est2tica y volver a la p2gina de configuracin del servidor DF &"
)("(")" ondicin $urdica y Social

Se encuentra el estado del servicio de servidor DF & en @stado Servicios" Si est2 habilitada?
su estado se debe tal co%o se eMecuta? co%o en Figura )("(? Nde%onio DF & @stado del servicioN" La botones en el lado derecho le per%iten reiniciar o detener el servicio de servidor DF &" @l reinicio debe no ser2 necesario 9ue pfSense se reiniciar2 auto%2tica%ente el servicio cuando los ca%bios de configuracin se realiDan 9ue re9uieren un reinicio" Detener el servicio ta%bi6n es probable 9ue nunca sea necesario? co%o el servicio
se detiene cuando se desactiva todas las instancias del servidor DF &"
Figura )("(" De%onio del servicio DF & @stado
1+)
Servicios
)("("*" Arrenda%ientos
&uede ver los actuales contratos asignados a Diagnstico DF & concede" @sta pantalla %uestra la direccin 3& asignada? la direccin !A se asigna a? el no%bre de host Jsi los hayK 9ue el cliente
enviado co%o parte de la solicitud de DF &? el inicio y el final del contrato de arrenda%iento? si la %29uina
est2 actual%ente en lnea? y si el contrato est2 activo? ha caducado? o un registro est2tico"
)("("*"(" 'er inactivos arrenda%ientos

De for%a predeter%inada? slo concesiones activas y est2ticas se %uestran? pero usted puede ver todo? incluyendo el contrato de arrenda%iento e/pire? haciendo clic en el botn !ostrar todos los contratos de arrenda%iento configurado" &ara reducir la vista de nuevo a
nor%ales? haga clic en el Saln de concesiones activas y est2ticas slo botn"
)("("*")" =aLe on LA< 3ntegracin

Si hace clic en la direccin !A ? o el =aLe on LA< botn a la derecha del contrato de arrenda%iento? pfSense
enviar2 un =aLe on LA< pa9uete a ese host" &ara obtener %2s detalles acerca de =aLe on LA<? consulte
Seccin )("C? N=aLe on LA<N"
)("("*"*" Agregar asignacin est2tica

&ara hacer un contrato de arrenda%iento din2%ico en una asignacin est2tica? haga clic en el de la derecha del contrato de arrenda%iento" @sto antes de llenar la direccin !A de esa %29uina en el N@ditar asignacin est2ticaN de pantalla" Hsted tendr2 9ue a0adir la deseada direccin 3&? no%bre de host y la descripcin y haga clic en N(ardar" ual9uier contratos en vigor de este
direccin !A se borrar2 de los contratos de arrenda%iento de archivo al guardar la nueva entrada"
)("("*"1" @li%inar un contrato de arrenda%iento

Al tie%po 9ue visualiDa los contratos de arrenda%iento? es posible eli%inar inactivos o contrato de arrenda%iento e/pir %anual%ente haciendo clic en el
botn en la parte final de una lnea" @sta opcin no est2 disponible para las concesiones activas o est2tico? slo para fuera de lnea o contrato de arrenda%iento e/pire"
)("("1" Servicio DF & .egistros

@l de%onio DF & registro de su actividad al @stado .egistros del siste%a? en la pesta0a DF &" ada DF & solicitud y la respuesta se %ostrar2? Munto con cual9uier otra condicin social y %ensaMes de error"
1+*
Servicios
)(")" De retrans%isin DF &

peticiones DF & tr2fico de difusin" @l tr2fico de difusin se li%ita al do%inio de difusin donde se se inicia" Si es necesario proporcionar el servicio DF & en un seg%ento de red sin un servidor DF &? utiliDa DF & .elay para reenviar las solicitudes a un servidor definido en otro seg%ento" <o es posible eMecutar tanto un servidor DF & y un rel6 de DF & en el %is%o tie%po" &ara habilitar el DF &
rel6 pri%ero debe desactivar el servidor DF & en cada interfaD"

Hna veD 9ue el servidor DF & est2 desactivado? visite Servicios .el6 DF &" Al igual 9ue con el servidor DF &? hay una ficha para cada interfaD" Faga clic en la interfaD en la 9ue desea eMecutar el repetidor de DF &? a continuacin? %ar9ue la casilla Munto a Activar DF & en la interfaD de rel6 [no%bre\? 9ue ta%bi6n le per%itir2 establecer
las otras opciones disponibles"

Si %arca 3D Ane/ar circuito y la identificacin del agente a las solicitudes? el rel6 de DF & se ane/ar2 el circuito 3D Jn;%ero de interfaD pfSenseK y la identificacin del agente a la solicitud de DF &" @sto puede ser necesario por
el servidor DF & en el otro lado? o puede ayudar a distinguir cuando las solicitudes se origin"
La opcin de pro/y peticiones al servidor DF & en =A< subred se li%ita a lo 9ue dice" Si se activa?
pasar2 las peticiones de los clientes DF & en esta interfaD con el servidor DF & 9ue asigna el Direccin 3& a la interfaD =A<" Alternativa%ente? usted puede llenar en la direccin 3& del servidor DF &
a los 9ue las solicitudes deben ser pro/y"
)("*" D<S Forwarder

@l reenviador D<S en pfSense es una resolucin de cach6 D<S" @s activado por defecto? y utiliDa los servidores D<S configurados en el siste%a onfiguracin general? o los 9ue se obtienen de su 3S& para configurar din2%ica%ente interfaces =A< JDF &? &&&o@ y &&T&K" &ara est2tica 3& =A<
cone/iones? debe entrar en los servidores D<S en el siste%a General de instalacin o durante la instalacin
asistente para el redireccionador de D<S para la funcin" Ta%bi6n puede utiliDar los servidores D<S configurados est2tica%ente con configurado din2%ica%ente interfaces =A<? des%arcando la opcin N&er%itir la lista del servidor D<S 9ue se
se ree%plaDa por DF & 7 &&& =A< NcaMa en el Siste%a &2gina general de la instalacin"
@n versiones anteriores? pfSense inicial%ente trat el pri%er servidor D<S configurado cuando se trata de resolver un no%bre D<S? y se traslad posterior%ente a configurar los servidores D<S si el fracaso de la pri%era
de resolver" @sto podra causar grandes retrasos si uno o %2s de los disponibles los servidores D<S
inalcanDable" @n pfSense (")"* y finales de este co%porta%iento se ha ca%biado para consultar todos los servidores D<S
a la veD? y el ;nico de la pri%era respuesta recibida se utiliDa y se al%acena en cach6" @sto da lugar a %ucho
%2s r2pido servicio de D<S? y puede ayudar a suaviDar los proble%as 9ue se derivan de los servidores D<S 9ue est2n
inter%itente lenta o alta latencia"
1+1
Servicios
)("*"(" onfiguracin de D<S Forwarder

La configuracin de reenviador D<S se encuentra en Servicios .eenviador D<S"
)("*"("(" Fabilitar D<S Forwarder

Al %arcar esta casilla se convierte en el pro%otor de D<S o desactivar si se desea desactivar esta funcionalidad"
)("*"(")" .egistro de contratos de arrenda%iento DF & en D<S reenviador

Si 9uieres 9ue tu no%bres internos de la %29uina para los clientes DF & para resolver en absoluto? %ar9ue esta casilla"
@sto slo funciona para las %29uinas 9ue especifican un no%bre de host en sus peticiones DF &"
)("*"("*" .egistro de las asignaciones DF & est2tica en D<S reenviador

@sto funciona igual 9ue los contratos de arrenda%iento DF & en la opcin rear forwarder D<S? salvo 9ue
registros de las direcciones DF & de asignacin est2tica"
)("*"("1" Anfitrin 3nvalida

La pri%era seccin en la parte inferior de la pantalla reenviador D<S es donde puede especificar anula para la resolucin de no%bres D<S de acogida" A9u usted puede configurar un no%bre de host especficos para resolver de %anera diferente 9ue de otra %anera sera a trav6s de los servidores D<S utiliDados por el pro%otor de D<S" @sto es ;til para dividir onfiguraciones de D<S Jver Seccin B">")? NSplit D<SNK? y co%o un %edio se%iIefectiva de blo9ueo
el acceso a deter%inados sitios web especficos"

Figura )(")? ND<S .ee%plaDar @Me%ploN ilustra un D<S au%ento al presupuesto para una red interna
servidor Je/a%ple"co% y www"e/a%ple"co%K? as co%o un eMe%plo de blo9uear el acceso a
%yspace"co% y www"%yspace"co%"
Figura )(")" D<S @Me%plo .ee%plaDar
1+>
Servicios
<ota
<o se reco%ienda para uso estricta%ente ree%plaDar la funcionalidad de D<S co%o un %edio
de blo9uear el acceso a deter%inados sitios" Fay innu%erables %aneras de evitar esto" @s ser2 evitar 9ue los usuarios no t6cnicos? pero es %uy f2cil de recorrer para los 9ue tienen %2s
aptitud t6cnica"
)("*"(">" .ee%plaDa do%inio

anulaciones de do%inio se encuentran en la parte inferior de la pantalla D<S reenviador" @sto le per%ite
especificar un servidor D<S diferente a utiliDar para resolver un do%inio especfico"

Hn eMe%plo de esto es donde co%;n%ente se despleg en las redes de pe9ue0as e%presas con un solo servidor interno con Active Directory? por lo general de !icrosoft S%all #usiness Server" @l D<S las solicitudes de no%bres de do%inio de Active Directory debe ser resuelto por el interior de =indows Server para Active Directory para funcionar correcta%ente" Adicin de un ree%plaDo para el do%inio de Active Directory apuntando a la direccin 3& del servidor interno de =indows asegura 9ue estos registros se resuelven adecuada%ente
si los clientes est2n utiliDando pfSense co%o un servidor D<S o el servidor de =indows en s"
@n un entorno de Active Directory? los siste%as sie%pre deben utiliDar su servidor D<S de =indows co%o su servidor D<S principal para las funciones din2%icas de registro de no%bres correcta%ente" @n los entornos con un solo servidor D<S de =indows? usted debe per%itir 9ue el pro%otor de D<S con un ree%plaDo para su do%inio de Active Directory y pfSense utiliDar co%o servidor D<S secundario para el interior %29uinas" @sto asegura la resolucin de D<S Ja e/cepcin de Active DirectoryK no tiene una sola punto de falla? y la p6rdida del ;nico servidor no significar2 una interrupcin co%pleta de 3nternet" La p6rdida de un solo servidor en un entorno por lo general tienen consecuencias i%portantes? pero los usuarios ser2 %2s probable 9ue te deMe en paD para solucionar el proble%a si es 9ue a;n puede consultar su lolcats?
!ySpace? FacebooL? y otros en la %edia hora"

:tro uso co%;n de anulaciones D<S para resolver los do%inios D<S interno en sitios re%otos utiliDando un servidor D<S en el sitio principal de acceso a trav6s de '&<" @n tales a%bientes nor%al%ente se desea para resolver todas las consultas D<S en el sitio central para el control centraliDado sobre D<S? sin e%bargo? algunos organiDaciones prefieren deMar D<S de 3nternet se resuelven con pfSense en cada sitio? y el reenvo slo consultas para los do%inios internos de la central de servidor D<S" Tenga en cuenta 9ue necesitar2 una ruta est2tica para esta funcin a trav6s de 3&sec" 'er Seccin (*"1"1? NpfSenseIinici tr2fico e 3&secN para %2s
de la infor%acin"
)("1" D<S din2%ico

@l cliente de D<S din2%ico en pfSense le per%ite registrar la direccin 3& de su interfaD =A< con una variedad de proveedores de servicios de D<S din2%ico" @sto es ;til cuando se desea de for%a re%ota
1+A
Servicios
cone/iones de acceso 3& din2%ica? %2s co%;n%ente utiliDado para conectarse a una '&<? servidor web? o por correo servidor"
<ota
@sto slo funciona en su interfaD =A< pri%ario" Las interfaces no pueden :&T
utiliDar el construido en el cliente D<S din2%ico" Ta%bi6n puede registrarse slo una din2%ica De no%bres D<S" pfSense )"+ ad%ite co%o diferentes servicios de D<S din2%ico a %edida 9ue deseo? per%ite el registro del territorio palestino ocupado =A< 3&? y per%ite el registro de su 3& real del p;blico en a%bientes donde pfSense recibe una 3& privada de la =A< y
<AT es ascendente"
)("1"(" Hso de D<S din2%ico

pfSense per%ite el registro con nueve diferentes proveedores de D<S din2%ico de la versin (")"*" Hsted puede ver los proveedores disponibles haciendo clic en el desplegable Tipo de servicio desplegable" Hsted puede encontrar !2s infor%acin sobre los proveedores %ediante la b;s9ueda de su no%bre para encontrar su sitio web" La %ayora ofrece una base
nivel de servicio sin costo alguno? y algunos ofrecen servicios adicionales de alta calidad a un coste"
Hna veD 9ue usted decida sobre un proveedor? visite su sitio web? inscribirse para una cuenta y configurar un no%bre de host" Los procedi%ientos de este varan para cada proveedor? pero no tienen instrucciones de sus sitios web" Despu6s de
configurar el no%bre de host con el proveedor? a continuacin? configurar pfSense con los aMustes"
)("1"("(" Tipo de Servicio

Seleccione su proveedor de D<S din2%ico a9u"
)("1"(")" <o%bre de la %29uina

3ntroduDca el no%bre 9ue ha creado con su proveedor de D<S din2%ico"
)("1"("*" !G
Hn registro !G J!ail @/changerK registro es el n;%ero de servidores de correo de 3nternet para saber dnde entregar el correo para su do%inio" Algunos proveedores de D<S din2%ico le per%itir2 configurar el D<S din2%ico a trav6s de su cliente" Si el suyo no? escriba el no%bre de host del servidor de correo 9ue reciben correo electrnico de 3nternet para
su do%inio D<S din2%ico"
)("1"("1" Los co%odines

Fabilitacin de D<S co%odn en el no%bre de D<S din2%ico significa 9ue todos los no%bre de host consultas se resolver2 a la direccin 3& de su no%bre de host D<S din2%ico" &or eMe%plo? si
1+B
Servicios
el no%bre de host es e/a%ple"dyndns"org? lo 9ue per%ite co%odn har2 h" e/a%ple"dyndns"org JA"e/a%ple"dyndns"org? b"e/a%ple"dyndns"org? etcK resolver el %is%o e/a%ple"dyndns"org"
)("1"(">" <o%bre de Hsuario y ontrase0a

A9u es donde puede entrar el no%bre de usuario y la contrase0a de su proveedor de D<S din2%ico"
)("1")" .F )(*A D<S din2%ico actualiDaciones

@l .F )(*A D<S din2%ico funcionalidad de actualiDaciones 9ue per%ite registrar un no%bre de host en cual9uier Servidor D<S apoyo .F )(*A actualiDaciones" @sto se puede utiliDar para actualiDar los no%bres de host en #3<D y
=indows Server servidores D<S? entre otros"

@sto puede funcionar si%ult2nea%ente con uno de los discutidos previa%ente servicio de D<S din2%ico proveedores? sin e%bargo ta%bi6n est2 li%itado a una configuracin ;nica y slo se registrar2 la 3& =A<?
no los de las interfaces =A< :&T"
)(">" S<!&
La .ed de &rotocolo si%ple de ad%inistracin [Fttp:77en"wiLipedia"org7wiLi7Sn%p\ JS<!&K de%onio le per%itir2 controlar de for%a re%ota algunos par2%etros del siste%a pfSense" @n funcin de la opciones elegidas? se puede %onitorear el tr2fico de red? los fluMos de la red? las colas de &F? y el siste%a general infor%acin? tales co%o &H? %e%oria y uso del disco" La i%ple%entacin de S<!& utiliDada por pfSense es bsn%pd? 9ue por defecto slo tiene las bases de gestin %2s b2sicos de la infor%acin J!3#K disponibles? y se e/tiende por los %dulos cargables" ( Ade%2s de 9ue el de%onio S<!&? ta%bi6n puede enviar capturas a un servidor S<!& para ciertos eventos" @stos varan en funcin de los %dulos cargados" &or eMe%plo? la red de ca%bios de estado de vnculos generar2 una tra%pa si tiene el %dulo !3# 33 cargado"
@l servicio S<!& se puede configurar por la navegacin a los servicios S<!&"

La for%a %2s f2cil de ver lo 9ue se dispone de datos sera eMecutar sn%pwalL contra el pfSense siste%a desde otro host con <etIS<!& o un e9uivalente instalado" @l contenido ntegro de la !3# disponibles est2n fuera del alcance de este libro? pero hay un %ontn de recursos i%presos y en lnea para S<!&? y algunos de los 2rboles !3# est2n cubiertos en el .F " &or eMe%plo? el anfitrin de .ecursos
!3# se define en el .F )B,+"
)(">"(" S<!& de%onio

@stas opciones deter%inan si? y c%o? el de%onio S<!& se eMecutar2" &ara activar el de%onio S<!&?
de verificacin Fabilitar" Hna veD Fabilitar se ha co%probado? a continuacin? las otras opciones se pueden ca%biar"
(http:77people"freebsd"org7
a harti 7 bsn%p 7
1+C
Servicios
)(">"("(" &uerto de votacin

cone/iones S<!& son HD&? S<!& y por defecto a los clientes a trav6s del puerto HD& (A(" @ste aMuste
har2 9ue el de%onio para 9ue escuche en un puerto diferente? y debe su cliente o el agente S<!& de votacin
ca%biarse para adaptarse"
)(">"(")" Siste%a de localiDacin

@ste ca%po de te/to especifica 9u6 cadena se devuelve cuando la ubicacin del siste%a se consulta a trav6s de S<!&" Hsted puede seguir cual9uier convencin es necesaria para su organiDacin" &ara algunos dispositivos una ciudad o estado puede estar lo suficiente%ente cerca? %ientras 9ue otros pueden necesitar los detalles %2s especficos? co%o la 9ue
racL y posicin en la 9ue reside el siste%a"
)(">"("*" Siste%a de contacto

@l contacto del siste%a es ta%bi6n un ca%po de te/to 9ue se pueden establecer sin e%bargo? re9uieren sus necesidades" &odra ser un
no%bre? una direccin de correo electrnico? un n;%ero de tel6fono? o lo 9ue sea necesario"
)(">"("1" Leer cadena de la o%unidad

on S<!&? la cadena de co%unidad act;a co%o una especie de no%bre de usuario y contrase0a en una" S<!& los clientes tendr2n 9ue utiliDar esta cadena de co%unidad cuando el sondeo" @l valor predeter%inado de Np;blicoN es co%;n? por lo 9ue debera pensar en ca%biar a otra cosa? ade%2s de restringir el acceso
con el servicio S<!& con las reglas del cortafuegos"
)(">")" S<!& Traps

@nco%endar al de%onio S<!& para enviar capturas S<!&? %ar9ue Activar" Hna veD 9ue ha sido Fabilitar
%arcada? las otras opciones a continuacin? se puede ca%biar"
)(">")"(" Tra%pa de servidor

@l servidor tra%pa es el no%bre de host o direccin 3& para 9ue las tra%pas S<!& debe ser reenviado"
)(">")")" Tra%pa de puerto del servidor

De for%a predeter%inada? las tra%pas S<!& se establecen en el puerto HD& (A)" Si el receptor de captura S<!& se establece un trato diferente
puerto? %odifica este aMuste para e9uiparar"
)(">")"*" S<!& cadena tra%pa

@sta cadena se enviar2 Munto con cual9uier tra%pa S<!& 9ue se genera"
1+,
Servicios
)(">"*" !dulos
Los %dulos cargables disponible a9u per%itir 9ue el de%onio S<!& para entender y responder a
las consultas de infor%acin del siste%a %2s" ada %dulo de carga se consu%en %2s recursos"
&or lo tanto? garantiDar 9ue slo los %dulos 9ue se utiliDar2n real%ente se cargan"
)(">"*"(" !3#33
@ste %dulo proporciona infor%acin especificada en la nor%a 2rbol !3# 33? 9ue abarca redes de infor%acin e interfaces" Despu6s de haber cargado este %dulo ser2? entre otras cosas? le per%ite consultar infor%acin de interfaD de red incluyendo el estado? el hardware y las direcciones 3&? el
cantidad de datos trans%itidos y recibidos? y %ucho %2s"
)(">"*")" <etgraph
@l %dulo <etGraph proporciona infor%acin <etGraphIrelacionados? tales co%o no%bres de nodo <etGraph
y los estados? los co%pa0eros de gancho? y los errores"
)(">"*"*" &F
@l %dulo de F& da acceso a una gran cantidad de infor%acin sobre fondos de pensiones" @l 2rbol !3# cubre los aspectos de la
el conMunto de reglas? los estados? las interfaces? tablas y alt9 colas"
)(">"*"1" .ecursos de acogida

@ste %dulo cubre la infor%acin sobre el propio anfitrin? incluida la carga pro%edio el tie%po de actividad? y
procesos? tipos de al%acena%iento y uso? los dispositivos conectados del siste%a? e incluso instalar software"
)(">"1" Se unen a la interfaD LA< slo

@sta opcin har2 9ue el de%onio S<!& escuchar en la interfaD LA< sola%ente" @sto facilita la co%unicaciones a trav6s de t;neles '&< 3&sec? ya 9ue eli%ina la necesidad de la ya %encionada ruta est2tica? sino 9ue ta%bi6n ayuda a proporcionar una seguridad adicional al reducir la e/posicin del servicio de
otras interfaces"
)("A" H&n&
Hniversal &lug and &lay [http:77en"wiLipedia"org7wiLi7Hpnp\ JH&n&K es un servicio de red 9ue per%ite 9ue el software y los dispositivos a configurar uno al otro al conectar a una red" @sto incluye
1(+
Servicios
la creacin de sus delanteros propios puertos <AT y las nor%as de firewall" @l servicio de H&n& en
pfSense? 9ue se encuentra en Servicios H&n&? per%itir2 a los e9uipos cliente y otros dispositivos tales co%o un Muego
consolas para per%itir de for%a auto%2tica el tr2fico necesarios para llegar a ellos" Fay %uchos progra%as populares y los siste%as 9ue soportan H&n&? co%o SLype? uTorrent? %3. ? clientes de %ensaMera instant2nea? &layStation *?
y Gbo/ *A+"
H&n& utiliDa el Si%ple Service Discovery &rotocol JSSD&K para la deteccin de redes? 9ue utiliDa el puerto HD& (,++" @l de%onio H&n& utiliDado por pfSense? %iniupnpd? ta%bi6n utiliDa el puerto T & )(C,"
&uede 9ue tenga 9ue per%itir el acceso a estos servicios con las reglas del cortafuegos? especial%ente si usted tiene
eli%inado de la LA< por defecto a cual9uier nor%a? o en configuraciones de puente"
)("A"(" Las preocupaciones de seguridad

@l servicio de H&n& es un eMe%plo cl2sico de la NSeguridad vs onvenienciaN tradeIoff" H&n&? por su propia naturaleDa? es inseguro" ual9uier progra%a en la red podra per%itir en adelante y todo el tr2fico I una pesadilla para la seguridad" &or otro lado? puede ser una tarea 9ue introducir y %antener puertos <AT hacia delante y sus nor%as correspondientes? especial%ente cuando se trata de consolas de Muegos" Fay una gran cantidad de
conMeturas y de investigacin involucrados para encontrar el adecuado y la configuracin de puertos? pero slo funciona con H&n& y
re9uiere poco esfuerDo ad%inistrativo" adelante !anual de puerto para dar cabida a estas situaciones tienden ser de%asiado per%isiva? lo 9ue podra e/poner a los servicios 9ue no deben estar abiertos a trav6s de 3nternet"
Los delanteros del puerto son ta%bi6n sie%pre? en H&n& puede ser te%poral"
Fay controles de acceso en la configuracin del servicio H&n&? lo 9ue ayudar2 a blo9uear 9ui6n y 9u6 se le per%ite hacer %odificaciones" !2s all2 de los controles integrados de acceso? ade%2s puede controlar el acceso con reglas de firewall" uando est2 bien controlada? H&n& ta%bi6n puede ser un poco %2s de seguridad al per%itir 9ue los progra%as para recoger y escuchar en los puertos al aDar? en lugar de sie%pre
tener el %is%o puerto abierto y reenviado"
)("A")" onfiguracin
@l servicio H&n& se configura por la navegacin a los servicios H&n&" Fabilitar el servicio %arcando la casilla @nable H&n&" uando haya ter%inado de realiDar los ca%bios necesarios? 9ue son se describe en el resto de esta seccin? haga clic en Guardar" @l servicio H&n& continuacin? se iniciar2
auto%2tica%ente"
)("A")"(" 3nterfaces
@sta configuracin le per%ite elegir las interfaces en los 9ue H&n& es per%itido escuchar" !2s de
una interfaD puede ser elegido presionando
trl %ientras haces clic en las interfaces adicionales"
Anulacin de la seleccin de una interfaD funciona del %is%o %odo? %antenga pulsado trl %ientras haces clic en para eli%inar la seleccin"
1((
Servicios
Si una interfaD se tiende un puente a otro? H&n& slo debe ser seleccionado en el NpadreN de interfaD? no
el 9ue se tiende un puente" &or eMe%plo? si usted tiene :&T( puente de LA<? slo habilitar H&n&
de la LA<"
)("A")")" 'elocidad %2/i%a

Desde la versin (")"* pfSense? ahora puede establecer la descarga y velocidades de carga %2/i%a para los puertos abiertos por H&n&" @stas velocidades se establecen en Qilobits por segundo? por lo 9ue para li%itar la descarga
a (?> !bit 7 s? 9ue se introduDca 1"36 en el ca%po de velocidad %2/i%a de descarga"
)("A")"*" .ee%plaDar direccin =A<

De for%a predeter%inada? el servicio H&n& se puede configurar %as adelante el puerto y las reglas del cortafuegos a la direccin de la =A<" @sta configuracin le per%ite ingresar una direccin 3& alternativa? co%o una direccin secundaria =A< o una
co%partir la direccin del A.&"
)("A")"1" Traffic Shaping cola

De for%a predeter%inada? las reglas creadas por H&n& no asignar2 el tr2fico en una cola de for%ador" Al participar en el no%bre de una cola en este ca%po? el tr2fico 9ue pasa por una regla creada con H&n& entrar2n en esta cola" Seleccione la cola de prudencia? ya 9ue cual9uier dispositivo con H&n& habilitado o progra%a utiliDar2 esta cola" @s podra ser #ittorrent? o podra ser una consola de Muegos? as 9ue elige una cola 9ue tiene una prioridad 9ue se aMuste a
con el %eMor el tr2fico 9ue espera a ser %2s co%;n"
)("A")">" .egistro de pa9uetes

uando esta casilla est2 %arcada? los delanteros puerto generados por H&n& se establecer2 en registro? de %odo 9ue cada cone/in realiDada tendr2 una entrada en los registros del cortafuegos? 9ue se encuentra en estado de .egistros del siste%a? en
en la pesta0a Firewall"
)("A")"A" Htilice el tie%po de actividad del siste%a

De for%a predeter%inada? el de%onio H&n& los infor%es del servicio de tie%po de actividad cuando se les pregunta en lugar del siste%a
el tie%po de actividad" Al activar esta opcin har2 9ue el infor%e del tie%po de funciona%iento real del siste%a en su lugar"
)("A")"B" Denegar por defecto

Si el incu%pli%iento por negar el acceso a la opcin H&n& est2 activado? H&n& slo per%itir2 el acceso a clientes 9ue coincidan con las reglas de acceso" @ste es un %6todo %2s seguro de controlar el servicio? pero
co%o se %encion anterior%ente? ta%bi6n es %enos conveniente"
1()
Servicios
)("A")"C" H&n& per%isos de usuario

Fay cuatro ca%pos para especificar las reglas de acceso definidas por el usuario" Si el defecto es negar la opcin
elegido? debe establecer reglas para per%itir el acceso" Las reglas son for%uladas con el siguiente for%ato:
"o(t4"o(t <allo54d!n,> <!xt!(nal (ang!6> 78478$97:;> <int!(nal
(ang!6> <int!(nal "o(t4"o(t
)("A")"C"(" @l per%iso de usuario H&n& @Me%plo (

<egar el acceso al puerto C+ de reenvo de todo en la LA<? (,)"(AC"("(? con un 7 )1 de subred"
negar 192.168.1.1627 80 80
)("A")"C")" @l per%iso de usuario H&n& @Me%plo )

&er%itir (,)"(AC"("(+ 9ue trans%ita cual9uier puerto sin privilegios" per!iten 1027-6""3" 192.168.1.10 1027 0asta 6"."3"
)("A"*" ondicin $urdica y Social

@l estado del servicio H&n& s %is%o puede ser visto en estado de Servicios" @sto %ostrar2 si el servicio se est2 eMecutando o se detiene? y le per%iten detener? iniciar o reiniciar el servicio" @sto debera ser todos los de %anera auto%2tica? pero se puede controlar %anual%ente si es necesario" Hna lista de la actualidad enviado puertos y clientes co%o la de Figura )("*? Nla pantalla 9ue %uestra el estado H&n& & cliente con re%iti
los puertos N se puede ver en @stado H&n&"
Figura )("*" H&n& pantalla de estado 9ue %uestra los e9uipos cliente con los puertos re%iti
1(*
Servicios
uando el servicio se est2 eMecutando ta%bi6n debe aparecer al e/plorar la red con un H&n&
conscientes del siste%a operativo co%o =indows B o =indows 'ista? co%o lo de%uestra Figura )("1? NpfSense siste%a co%o se ve por =indows B cuando se navega por N<etworL" &uede hacer clic en los router icono y haga clic en 'er p2gina web del dispositivo para abrir la =ebGH3 en su navegador por defecto" Si hace clic derecho en el router y haga clic en &ropiedades? ta%bi6n %ostrar2 la versin de pfSense y la propiedad intelectual
la direccin del router"
Figura )("1" siste%a de pfSense co%o se ve por =indows B en su navegacin por la .ed
)("A"1" Solucin de proble%as

La %ayora de los proble%as con H&n& tienden a involucrar puente" @n este caso? es i%portante 9ue usted tenga especficas las reglas del firewall para per%itir H&n& en el puerto HD& (,++" &uesto 9ue es el tr2fico de %ultidifusin? el destino
debe ser la direccin de broadcast de la subred? o en algunos casos haciendo c(al'(ier ser2 necesario" onsulte a su servidor de seguridad en los registros de estado .egistros del siste%a? en la ficha servidor de seguridad? para ver si el tr2fico est2 siendo
blo9ueado" &reste especial atencin a la direccin de destino? ya 9ue puede ser diferente de lo esperado" !2s proble%as con las consolas de Muegos ta%bi6n pueden ser aliviados por la con%utacin de salida %anual
<AT y per%itir puerto est2tico" 'er Seccin B"A")? Npuerto est2ticoN para %2s detalles"
)("B" :pen<T&D
La :pen<T&D [http:77www"openntpd"org7servicio\ es un &rotocolo de red Tie%po [http:77 en"wiLipedia"org 7 wiLi 7 <etworL_Ti%e_&rotocol\ J<T&K de%onio 9ue escuchar2 las peticiones de los clientes y les per%itir2 sincroniDar su reloM con el del siste%a de pfSense" &or eMecutando un servidor local de <T& y usarlo para sus clientes? reduce la carga en la parte inferior del estrato servidores y puede asegurar 9ue sus siste%as sie%pre se puede llegar a un servidor de hora" Antes de delegar esta tarea a su siste%a de pfSense? es una buena pr2ctica para asegurarse de 9ue tiene un reloM preciso y
%antiene la hora raDonable"
1(1
Servicios
<o hay %ucho para configurar el servidor :pen<T&D? disponible en Servicios :pen<T&D" !ar9ue la casilla &er%itir? seleccin de interfaces 9ue se debe escuchar a? y haga clic en Guardar" !2s de
una interfaD puede ser elegido presionando
trl %ientras haces clic en las interfaces adicionales"
Anulacin de la seleccin de una interfaD funciona del %is%o %odo? %antenga pulsado trl %ientras haces clic en para eli%inar la seleccin"
@l servicio se iniciar2 de in%ediato? sin e%bargo? habr2 un retraso de varios %inutos antes de 9ue dar2 servicio a las peticiones <T&? ya 9ue el servicio se asegura de su tie%po es correcta antes de responder a las solicitudes" :pen<T&D registros se %antienen en estado de .egistros del siste%a? en la ficha :pen<T&D" :pen<T&D ha
%uy poco de registro? a %enos 9ue haya un proble%a del servicio no generar2 ninguna de las entradas de registro"
)("C" =aLe on LA<

La =aLe on LA< [Fttp:77en"wiLipedia"org7wiLi7=aLe_on_lan\ J=:LK en la p2gina de Servicios =aLe on LA< se puede utiliDar para despertar los ordenadores de un estado de apagado %ediante el envo de especial NLos pa9uetes !agiaN" La <3 en el e9uipo 9ue se va a despertar debe ser co%patible con =:L y
tiene 9ue estar configurado correcta%ente" <or%al%ente hay una configuracin del #3:S para per%itir =:L? y no
adaptadores integrados probable es 9ue necesitan un cable =:L conectado entre el <3 y un encabeDado de =:L
en la placa base"
=:L tiene %uchos usos potenciales" &or lo general? estaciones de trabaMo y los servidores se %antienen funcionando a causa de servicios 9ue prestan? los archivos o i%presoras 9ue co%parten? o por conveniencia" Hso de =:L per%itira estos a per%anecer apagado? y ahorrar energa" Si un servicio se re9uiere? el siste%a puede ser despertado cuando sea necesario" :tro eMe%plo sera si alguien tiene acceso re%oto a un siste%a? pero el usuario la apague" Hso de =:L la %29uina puede ser despertado? y puede ser a continuacin?
acceder una veD 9ue ha arrancado"

=:L no ofrece seguridad inherente" ual9uier siste%a en la %is%a capa ) de la red puede trans%itir un =:L pa9uete? y el pa9uete ser2 aceptado y obedecido" Lo %eMor es configurar slo =:L en el #3:S para las %29uinas 9ue lo necesitan? y desactivarlo en todos los de%2s" Fay un par de proveedores especficos =:L
e/tensiones 9ue proporcionan una cierta seguridad e/tra? pero no universal%ente co%patibles"
)("C"(" Despierta una sola %29uina

&ara despertar una sola %29uina? seleccione la interfaD a trav6s del cual se puede llegar? y entrar en
el siste%a de direccin !A en el for%ato de xx: xx: xx: xx: xx: xx" Al hacer clic en @nviar?
pfSense trans%itir2 un !agic &acLet =:L a la interfaD elegida? y si todo ha ido co%o previsto? el siste%a debe despertar" Tenga en cuenta 9ue los siste%as to%ar2 alg;n tie%po para arrancar" @s
puede ser de varios %inutos antes de 9ue el siste%a de destino est2 disponible"
1(>
Servicios
)("C")" Al%acena%iento de direcciones !A

&ara al%acenar una direccin !A para la conveniencia despu6s? haga clic en el en la lista de al%acenar las direcciones !A ?
y podr2s ver una pantalla de edicin en blanco" @scoMa la interfaD a trav6s del cual se puede llegar? y
introducir la direccin del siste%a !A en el for%ato de xx: xx: xx: xx: xx: xx" Hna descripcin puede
Ta%bi6n se consignar2 para su posterior consulta? por eMe%plo? N&at & N o NSue servidorN" Faga clic en Guardar cuando ter%inado y 9ue ser2 devuelto a la p2gina principal de =:L y la nueva entrada debe ser visible
en la lista en la parte inferior de la p2gina"

@l %anteni%iento de las entradas es si%ilar a otras tareas en pfSense: Faga clic para editar una entrada e/istente?
y haga clic para 9uitar una entrada"
)("C"*" Despierta una sola %29uina al%acenados

&ara enviar un !agic &acLet =:L a un siste%a 9ue ha sido previa%ente al%acenados? haga clic en su direccin !A
en la lista de los siste%as de al%acenado" La direccin !A se destac co%o un enlace" Hsted ser2 llevado volver a la p2gina =:L? con el interfaD del siste%a y la direccin !A precargada en el for%ulario" Faga clic en
@nviar y el !agic &acLet ser2 enviado"
)("C"1" Despierta Todos los e9uipos al%acenados

@n la p2gina =:L? hay un botn 9ue se puede utiliDar para enviar un !agic &acLet =:L a todos siste%as de al%acenado" Faga clic en el botn y las solicitudes se enviar2n? sin otra intervencin necesaria"
)("C">" .eactivacin desde DF & Arrenda%ientos 'er

&ara enviar un =:L !agic &acLet desde el punto de vista DF & Arrenda%ientos en diagnsticos DF & arrenda%ientos?
haga clic en su direccin !A en la lista de contratos de arrenda%iento? 9ue debe ser destacado co%o un enlace" @l vnculo =:L slo estar2 activa para los siste%as cuyo estado se %uestra co%o Nen lneaN" Hsted ser2 llevado de nuevo a la p2gina de activacin por LA<? con el interfaD del siste%a y la direccin !A precargada en el for%ulario" Faga clic en @nviar
y el &a9uete !agia ser2 enviado"
)("C"A" Guardar en DF & Arrenda%ientos 'er

Hsted puede copiar una direccin !A a una entrada de asignacin de nuevas =:L %ientras ve los contratos de arrenda%iento DF & en Diagnstico DF & concede" Faga clic en el botn en la parte final de la lnea? y usted ser2 llevado a la entrada =:L pantalla de edicin con la infor%acin de ese siste%a preIllenado en el for%ulario" A0adir una descripcin?
y? a continuacin? haga clic en Guardar"
1(A
Servicios
)("," Servidor &&&o@

pfSense puede actuar co%o un servidor &&&o@ y aceptar 7 autenticar las cone/iones de los clientes &&&o@ en un interfaD local? actuando co%o un concentrador de acceso" @sto puede ser usado para forDar a los usuarios autenticarse antes de obtener acceso a la red? o para controlar su co%porta%iento de inicio de sesin" @sta se encuentra baMo Servicios Servidor &&&o@" Hsted encontrar2 9ue esta configuracin es %uy si%ilar a la '&< &&T&
servidor J aptulo (1? &&T& '&<K"

&ara activar esta funcin? pri%ero debe seleccionar Fabilitar servidor &&&o@" A continuacin? seleccione la interfaD 9ue en 9ue para ofrecer este servicio" AMuste la %2scara de subred 9ue debe asignarse a los clientes &&&o@
y el n;%ero de usuarios &&&o@ per%itir" A continuacin? introduDca la direccin del servidor 9ue es la direccin 3&
9ue el siste%a de pfSense enviar2 a los clientes &&&o@ para usar co%o puerta de entrada" 3ntroduDca una direccin 3& direccin en el cuadro Direccin re%ota 2rea de distribucin y 9ue se utiliDar2 Munto con la %2scara de subred
definido en su %o%ento para definir la red utiliDada por los clientes &&&o@"
Las opciones restantes son para la autenticacin %ediante .AD3HS" Si desea pasar la autenticacin peticiones a un servidor .AD3HS? co%plete la infor%acin en la %itad inferior de la pantalla" Si en ca%bio prefiere usar autenticacin local? a continuacin? Guardar la configuracin y haga clic en la ficha de usuario agregar usuarios locales" Faga clic para a0adir un usuario y luego rellenar el no%bre de usuario? contrase0a? y una opcional
direccin 3&"
'er Seccin )1"(? Nde autenticacin .AD3HS con =indows ServerN para obtener infor%acin sobre la configuracin
hasta .AD3HS en un servidor =indows? pero puede utiliDar cual9uier servidor .AD3HS 9ue desees"
1(B
aptulo ))" Siste%a de segui%iento

Tan i%portante co%o los servicios prestados por pfSense son los datos y la infor%acin 9ue le per%ite pfSense ver" A veces parece 9ue los routers co%erciales salen de su %anera de ocultar toda la infor%acin posible de usuarios? pero pfSense puede proporcionar casi toda la infor%acin 9ue cual9uier persona podra
9uiero volver Jy algo %2sK"
))"(" Siste%a de .egistros

pfSense registros de un poco de datos por defecto? pero lo hace de una %anera 9ue no se desbordar2 la de al%acena%iento en el router" Los registros se encuentran en @stado Siste%a de .egistros en el =ebGH3? y baMo / Var / log / en el siste%a de archivos" Algunos co%ponentes co%o DF & e 3&sec? entre otros? generar suficientes registros 9ue tienen sus propias fichas de registro para reducir el desorden en las principales de registro del siste%a y la facilidad de solucin de proble%as para estos servicios individuales" &ara ver estos otros registros? haga clic en
en la ficha para el subsiste%a 9ue desea ver"

pfSense registros est2n contenidos en un registro binario circular o for%ato de obstruccin" @stos archivos tienen un ta%a0o fiMo? y nunca crecen" o%o consecuencia de esto? el registro slo se llevar2 a cabo una cierta cantidad de entradas y las entradas vieMas son continua%ente e/pulsados del registro co%o los nuevos se agregan" Si esto es un proble%a para usted o su organiDacin? usted puede aMustar la configuracin de registro para copiar estas entradas a otro servidor con syslog donde pueden ser retenidos de for%a per%anente o en rotacin con %enor frecuencia" 'er Seccin ))"("*? N.egistro re%oto con SyslogN %2s adelante en esta seccin para obtener infor%acin acerca de syslog"
))"("(" 'iendo los archivos de registro

@l siste%a de registros puede ser encontrado en estado de .egistros del siste%a? en la pesta0a Siste%a" @sto incluir2
las entradas de registro generados por el propio anfitrin? ade%2s de los creados por algunos de los servicios y pa9uetes
9ue no tienen sus registros de redirigir a otras fichas y archivos de registro"

o%o se puede ver por eMe%plo en las entradas Figura ))"(? N@Me%plo de entradas del registro del siste%aN? hay son las entradas de registro del de%onio SSF? el pa9uete avahi? y el cliente de D<S din2%ico" !uchos otros subsiste%as registrar2 a9u? pero la %ayora no se sobrecarga de los registros a la veD" <or%al%ente? si un servicio tiene %uchas entradas de registro 9ue se traslad a su propia pesta0a 7 archivo de registro" Ta%bi6n tenga en cuenta en este eMe%plo 9ue los registros est2n configurados para aparecer en el orden inverso? y las entradas %2s recientes aparecen en la parte superior
de la lista" onsulte la seccin siguiente para saber c%o configurar los registros para el orden inverso"
1(C
Siste%a de segui%iento
Figura ))"(" @Me%plo de las entradas del registro del siste%a
))"(")" a%biar la configuracin de registro

configuracin de registro pueden ser aMustados por ir a @stado .egistros del siste%a y el uso de la ficha onfiguracin" A9u usted encontrar2 varias opciones para elegir 9ue controlan c%o se %uestran los registros" La pri%era opcin? las entradas de registro !ostrar en orden inverso? controla el orden en 9ue los registros se %uestran
en las distintas fichas de registro" on esta opcin? la %2s nueva de las entradas ser2 en la parte superior de la registro de salida" uando esta opcin est2 desactivada? la %2s antigua de las entradas ser2 en la parte superior" Algunas personas encontrar estos dos %6todos ;tiles y f2ciles de seguir? as 9ue usted puede elegir cual9uier configuracin 9ue usted
prefieren"
@l aMuste 9ue viene? <;%ero de entradas de registro para %ostrar el resultado? slo controla la cantidad de lneas de registro se %uestran en cada ficha" La actual registros puede contener %2s datos? por lo 9ue este puede ser aMustado hacia arriba o hacia abaMo un poco
si es necesario"
<or%al%ente? todos los pa9uetes blo9ueados por defecto del firewall regla de rechaDo se registra" Si no deseas
para ver estas entradas de registro? desactive los pa9uetes de registro blo9ueados por la opcin de la regla por defecto"
@l filtro !ostrar troncos opcin controla la salida de la ficha Servidor de seguridad de registros" uando se activa? la salida no ser2 interpretado por el analiDador de registro? y en su lugar se %ostrar2 en su pri%a for%ato" A veces esto puede ayudar en la solucin de proble%as? o si necesita ayuda en el registro de pri%as dar2 infor%acin de un t6cnico %2s de lo 9ue nor%al%ente se ve en el registro de salida por defecto del firewall" La pri%a los registros son %2s difciles de leer e interpretar 9ue la analiDa los registros? por lo 9ue este es tpica%ente no se controla la %ayora de
de la 6poca"
Faga clic en Guardar cuando haya ter%inado de hacer ca%bios" Las opciones restantes en esta pantalla son
discutido en la siguiente seccin"
1(,
))"("*" .egistro re%oto con Syslog

Las otras opciones en @stado .egistros del siste%a en la ficha onfiguracin son para el uso de syslog para copiar
registro de las entradas a un servidor re%oto" Debido a 9ue los registros %antenidos por pfSense en el router en s son de ta%a0o finito? copiar estas entradas a un servidor syslog puede ayudar a solucionar proble%as y largo plaDo segui%iento" Los registros en el router se borran al reiniciar el siste%a? as 9ue tener una copia re%ota ta%bi6n puede
ayudar a diagnosticar los eventos 9ue ocurren Musto antes de reiniciar el router"
Algunas polticas de la e%presa o legislativos dictan cu2nto tie%po deben %antenerse los registros de firewalls y si%ilares dispositivos" Si su organiDacin re9uiere la retencin de registros a largo plaDo? tendr2 9ue configurar un syslog
servidor para recibir y %antener estos registros"

&ara iniciar el registro de for%a re%ota? de verificacin Fabilitar syslog^ing al servidor syslog re%oto? y rellenar una direccin 3& direccin de su servidor syslog Munto al servidor re%oto Syslog" Si usted ta%bi6n desea desactivar registro local? se puede co%probar Deshabilitar escritura de archivos de registro en el disco ra% local? pero esto no es general
reco%ienda"
@l servidor syslog es tpica%ente un servidor 9ue es directa%ente accesible desde su siste%a de pfSense una interfaD local" 3nicio de sesin ta%bi6n pueden ser enviados a un servidor a trav6s de una '&<? pero necesitan algo e/tra configuracin Jv6ase Seccin (*"1"1? NpfSenseIinici tr2fico e 3&secNK Hsted no debe enviar syslog datos directa%ente a trav6s de su cone/in =A<? co%o lo es de te/to plano y podra contener sensibles
de la infor%acin"
!ar9ue las casillas para las entradas del registro 9ue desea copiar al servidor syslog" Hsted puede elegir para iniciar sesin de for%a re%ota los eventos del siste%a? eventos cortafuegos? los eventos del servicio DF &? autoridades &ortal? eventos '&<
y todo lo de%2s" Aseg;rese de hacer clic en Guardar cuando haya ter%inado de hacer ca%bios"
Si usted no tiene un servidor syslog? es bastante f2cil de configurar una" 'er Seccin )1"*? NServidor Syslog en =indows con Qiwi Syslog N para obtener infor%acin sobre la configuracin de Qiwi Syslog en =indows" asi cual9uier siste%a H<3G o H<3G 9ue puede ser utiliDado co%o un servidor syslog" Free#SD se describe en el
siguiente seccin? pero otros pueden ser si%ilares"
))"("*"(" onfigurar un servidor de Syslog en Free#SD

onfiguracin de un servidor syslog en Free#SD slo re9uiere un par de pasos" @n estos eMe%plos? ree%place
192.168.1.1 con la direccin 3& de su servidor de seguridad? vuelva a colocar 9ons!2o E2!cuti.o<;=; con el no%bre de host de su servidor de seguridad? y ree%plaDar 9ons!2o E2!cuti.o<(t(.!xam"l!.com con el no%bre de host de D<S y do%inio de su servidor de seguridad" So uso 192.168.1.1 en estos eMe%plos? ya 9ue se reco%ienda hacer esto
con la direccin interna del router? no un tipo de interfaD =A<"
1)+
@n pri%er lugar? es probable 9ue necesite una entrada en / Etc / hosts 9ue contiene la direccin y el no%bre de su cortafuegos? as: 192.168.1.1 9ons!2o E2!cuti.o<;=; 9ons!2o E2!cuti.o<(t(.!xam"l!.com
Luego hay 9ue aMustar los indicadores de inicio de syslogd para 9ue acepte %ensaMes de syslog desde el servidor de seguridad" @ditar
/ Etc / rc.conf y a0adir esta lnea si no e/iste? o a0adir esta opcin a la lnea ya e/istente para
el aMuste: syslogd_flags = "-un 192.168.1.1 " &or ;lti%o? tendr2s 9ue a0adir algunas lneas a / Etc / syslog.conf 9ue las capturas de las entradas de registro de esta %29uina" DebaMo de las entradas e/istentes? a0ada las siguientes lneas: ! * + * +9ons!2o E2!cuti.o<;=; *.* / Var / log /9ons!2o E2!cuti.o<;=;. Log @sas lneas se restablecer2n los filtros del progra%a de acogida y? a continuacin? establecer una serie de filtro para el servidor de seguridad JHtiliDar su no%bre corto co%o entr en / Etc / hostsK" Si est2 fa%iliariDado con syslog? usted puede buscar en / Etc / syslog.conf en el router pfSense y ta%bi6n el filtro de registros de diversos servicios en archivos separados de registro en el servidor syslog"
Despu6s de estos ca%bios ser2 necesario reiniciar syslogd" @n Free#SD esto es slo un si%ple
co%ando: #6 Gtc 6 rc.d 6 s/slogd reiniciar Ahora debera ser capaD de %irar en el archivo de registro en el servidor de syslog y ver 9ue rellenar con entradas del registro de la actividad 9ue ocurre en el servidor de seguridad"
))")" @stado del siste%a

La p2gina principal de un siste%a de pfSense es ta%bi6n la p2gina de estado del siste%a J@stado Siste%a? se %uestra en Figura ))")? N@stado del siste%aNK" ontiene infor%acin b2sica del siste%a? tales co%o el no%bre del router? la versin de pfSense 9ue se est2 eMecutando? la platafor%a JSeccin ("A? N&latafor%asNK? el tie%po de actividad? indicando el ta%a0o de tabla JSeccin 1">","A? NFirewall de @stados %2/i%oNK? !#HF uso? uso de &H?
el uso de %e%oria? uso de espacio de interca%bio y el uso del disco" Los contadores de la p2gina de actualiDacin cada pocos segundos de for%a auto%2tica? por lo 9ue actualiDar la p2gina no es necesario"
1)(
Figura ))")" @stado del siste%a
))"*" @stado de la interfaD

@l estado de las interfaces de red puede ser visto en estado de 3nterfaces" @n la pri%era parte de
Figura ))"*? Nestado de la interfaDN? una cone/in &&&o@ =A< se ha hecho y la 3&? D<S? etc se ha obtenido" Ta%bi6n puede ver la direccin de la interfaD de red !A ? tipo de %edios de co%unicacin? en 7 pa9uetes a cabo? los errores y colisiones" tipos de cone/in din2%ica co%o &&&o@ y &&T& tiene un #otn Desconectar cuando est2 conectado y un botn de cone/in cuando est2 desconectado" 3nterfaces de la obtencin de un 3& de DF & tiene un botn de lanDa%iento cuando hay un contrato de arrenda%iento activo? y un botn .enovar cuando
no la hay"
@n la parte inferior de la i%agen? se puede ver la cone/in LA<" Dado 9ue se trata de un interfaD nor%al
con una direccin 3& est2tica? slo con el Muego habitual de los ele%entos se %uestran"
Si el estado de una interfaD dice 9ue Nninguna co%pa0aN? entonces por lo general significa 9ue el cable no est2 conectado o el dispositivo en el otro e/tre%o est2 funcionando %al de alguna %anera" Si los errores se %uestran? son nor%al%ente de naturaleDa fsica: el cableado o errores en el puerto" @l sospechoso %2s co%;n es el cable? y
son f2ciles y baratos de ree%plaDar"
1))
))"1" @stado de los servicios

!uchos siste%as y servicios de pa9uete de %ostrar el estado de sus de%onios en el @stado Servicios" ada
servicio se %uestra con un no%bre? una descripcin? y la condicin? co%o se ve en Figura ))"1? NServicios de ondicin $urdica y Social N" La situacin es por lo general aparece co%o %archa o parado" Desde este punto de vista? un corredor de servicios pueden ser renovadas por clic o detenida por clic" Hn servicio detenido puede ser iniciado haciendo clic en" <or%al%ente? no es necesario para controlar los servicios de esta %anera? pero de veD en cuando
puede haber raDones de %anteni%iento o reparacin para hacerlo"
Figura ))"1" Servicios de estado
))">" ..D Gr2ficos

Gr2ficos ..D son otro ;til conMunto de datos proporcionados por pfSense" !ientras 9ue el router est2 eMecutando realiDa un segui%iento de varios bits de datos acerca de c%o el siste%a realiDa? a continuacin? al%acena estos datos en la base de datos .oundI.obin JD..K archivos" Los gr2ficos de estos datos est2n disponibles en estado ..D Gr2ficos" @n esa pantalla hay seis tabletas? cada uno de los cuales son cubiertos en esta seccin: Siste%a?
Tr2fico? pa9uetes? calidad? colas? y AMustes"

ada gr2fico est2 disponible en tra%os varias veces? y cada uno de ellos es co%o pro%edio durante un diferente perodo de tie%po basado en cu2nto tie%po se est2 cubriendo en un grafo dado" Ta%bi6n en cada gr2fico ser2 una leyenda y un resu%en de los datos 9ue se %uestran J%ni%os? pro%edios? %2/i%os? valores actuales? etc"K Los gr2ficos est2n disponibles en una ga%a de 1 horas con un pro%edio de ( %inuto? una hora (A ga%a? con un pro%edio de ( %inuto? una serie de ) das con un pro%edio de > %inutos? una serie de ( %es con un
%edia hora? una serie de A %eses con un pro%edio de () horas? y una serie de ( a0o con un pro%edio de () horas"
!uchos gr2ficos se pueden ver en el estilo inversa o el estilo absoluto" on estilo inversa? el gr2fico se divide por la %itad horiDontal%ente y el tr2fico de entrada se %uestra va desde el centro?
1)*
y el tr2fico de salida se %uestra baMando desde el centro" on un estilo absoluto? los valores se superpuestos"
@n Figura ))">? NGr2fico del tr2fico =A<N? Se puede ver 9ue es un gr2fico (A horas inversa de tr2fico en
de la =A<? 9ue ha tenido un uso %2/i%o de ("B1!bit 7 s pro%edio durante un perodo de ( %inuto"
Figura ))">" Gr2fico del tr2fico =A<
))">"(" Siste%a de Gr2ficos

Los gr2ficos en la ficha Siste%a de %ostrar un panora%a general de la utiliDacin del siste%a? incluyendo
uso de la &H? el rendi%iento total? y los estados de firewall"
))">"("(" &rocesador Gr2fico

@l procesador gr2fico %uestra el uso de la &H para los procesos de usuario y el siste%a? las interrupciones? y el n;%ero
de los procesos en eMecucin"
))">"(")" @l rendi%iento gr2fico

@l gr2fico %uestra el rendi%iento del tr2fico entrante y saliente su%aron para todas las interfaces"
1)1
))">"("*" @stados Gr2fico

@l gr2fico de estados es un poco %2s co%pleMo" Se %uestra el n;%ero de estados del siste%a? pero ta%bi6n se ro%pe
por el valor de varias %aneras" Se %uestra los estados del filtro de reglas de firewall? <AT estados de reglas <AT? la cuenta de la fuente ;nica de activos y las direcciones 3& de destino? y el n;%ero de
ca%bios de estado por segundo"
))">")" Tr2fico Gr2ficos

gr2ficos de tr2fico se %uestran la cantidad de ancho de banda utiliDado en cada interfaD disponible en bits por segunda notacin? y ta%bi6n hay una opcin Allgraphs 9ue %ostrar2 todos los gr2ficos de tr2fico
en una sola p2gina"
))">"*" &a9uete de Gr2ficos

Los gr2ficos de pa9uetes de trabaMo al igual 9ue los gr2ficos de tr2fico? pero en lugar de infor%acin basado en la
ancho de banda utiliDado? infor%a el n;%ero de pa9uetes por segundo JppsK pasado"
))">"1" alidad de los gr2ficos

@l gr2fico de calidad segui%iento de la calidad de la =A< o interfaD =A<? co%o Jlas 9ue tienen una puerta de enlace
especificado? o %ediante DF &K" Se %uestran en estas gr2ficas son el tie%po de respuesta de la puerta de entrada en %ilisegundos? as co%o un porcentaMe de pa9uetes perdidos" ual9uier p6rdida en el gr2fico indica la conectividad
cuestiones o los tie%pos de uso de ancho de banda e/cesivo"
))">">" ola de gr2ficos

Los gr2ficos de colas son un co%puesto de cada cola confor%ador de tr2fico" ada cola individuales se %uestra?
representada por un color ;nico" Hsted puede ver bien el gr2fico de todas las colas? o un gr2fico de la
9ue representan las gotas de todas las colas"
))">"A" onfiguracin
Las gr2ficas ..D puede ser personaliDado para adaptarse %eMor a sus preferencias" Hsted puede incluso desactivar si usted prefiere utiliDar alguna solucin gr2fica e/terna en su lugar" Faga clic en Guardar cuando ter%ine de hacer los
ca%bios"
))">"A"(" Fabilitar gr2fica

!ar9ue la casilla para activar la gr2fica? o 9uite la %arca gr2fica de desactivar"
1)>
))">"A")" ategora por defecto

La to%a por defecto ategora opcin de la ficha 9ue aparecer2 en pri%er lugar cuando se hace clic sobre la situacin ..D gr2ficos"
))">"A"*" @stilo predeter%inado

La opcin por defecto de estilo 9ue recoge el estilo de gr2ficos para el uso por defecto? inversa o el Absoluto"
))"A" Servidor de seguridad de los @stados

o%o se discuti en Seccin A"(")? Nfiltrado con estadoN? &fSense es un firewall y usa un estado para realiDar un segui%iento de cada cone/in desde y hacia el siste%a" @stos estados pueden ser vistos en varios
%aneras? ya sea en la =ebGH3 o desde la consola"
))"A"(" 'iendo en la =ebGH3

'isualiDacin de los estados de la =ebGH3 se puede hacer visitando el Diagnstico @stados JFigura ))"A?
NLos @stados @Me%ploNK" A9u podr2s ver el protocolo para cada sentido? en su origen? router? y Destino? y su estado de cone/in" uando se trata de entradas <AT? las tres entradas de la colu%na central representan el siste%a 9ue hiDo la cone/in? la direccin 3& y puerto de pfSense utiliDa para la cone/in de <AT? y el siste%a re%oto al 9ue se ha hecho la cone/in"
ada estado puede 9uitar haciendo clic al final de su fila"
Figura ))"A" @stados @Me%plo
))"A")" 'iendo con pftop

pftop est2 disponible en el siste%a de %en; de la consola? y ofrece una vista en vivo de la tabla de estado a lo largo de con la cantidad total de ancho de banda consu%ido por cada estado" Fay varias %aneras de alterar
la vista al ver pftop" &ulse h para ver una pantalla de ayuda 9ue e/plica las opciones disponibles"
1)A
Los usos %2s co%unes son el uso del + al C para seleccionar diferentes puntos de vista? el espacio para una in%ediata actualiDacin? y 9 para salir"
))"B" Tr2fico Gr2ficos

Gr2ficos de tr2fico en tie%po real dibuMados con S'G JScalable 'ector GraphicsK 9ue est2n en constante actualiDacin" Hsted puede encontrarlos en @stado Los gr2ficos de tr2fico? y un eMe%plo de la gr2fica se puede 9ue se encuentran en la Figura ))"B? N@Me%plo de =A< Gr2ficoN" @stos le per%itir2n ver el tr2fico 9ue pasa? y dar una visin %ucho %2s clara de lo 9ue est2 sucediendo NahoraN de confiar en los datos de un pro%edio de
las gr2ficas ..D"

Slo una interfaD es visible en un %o%ento? y usted puede elegir cu2l ver en el 3nterfaD de lista desplegable" Hna veD 9ue la interfaD es elegido? la p2gina se actualiDar2 auto%2tica%ente y e%peDar a %ostrar el nuevo gr2fico" La caracterstica Dashboard en pfSense )"+ Jta%bi6n disponible en una versin beta
pa9uete en el punto (")K per%ite la visualiDacin si%ult2nea de %;ltiples gr2ficos de tr2fico en una sola p2gina"
1)B
aptulo )*" &a9uetes

@l siste%a de pa9uetes pfSense ofrece la posibilidad de a%pliar pfSense sin a0adir hinchaDn y
posibles vulnerabilidades de seguridad a la distribucin base" Los pa9uetes slo se ad%iten en plena no se instala? el D en vivo y %2s platafor%as e%bebidas" Las versiones %2s recientes 9ue est2n incrustados sobre la base de <ano#SD ahora tienen la capacidad de eMecucin de algunos pa9uetes" Algunos pa9uetes pueden Ta%bi6n se construir2 en el siste%a base? co%o el pa9uete S3& &ro/y" &ara ver los pa9uetes disponibles?
vaya a Siste%a &a9uetes"
)*"(" 3ntroduccin a los pa9uetes

!uchos de los pa9uetes han sido elaborados por la co%unidad pfSense y no por el pfSense desarrollo de e9uipos" Los pa9uetes disponibles varan a%plia%ente? y algunos son %2s %aduros y en buen estado 9ue otras" Fay pa9uetes 9ue instalan y proporcionan una interfaD GH3 para software de terceros? tales co%o cala%ares? y otros 9ue e/tienden la funcionalidad de pfSense s %is%o?
co%o el conMunto de paneles 9ue bacLports algunas funciones de pfSense )"+"
<ota
@stos pa9uetes de pfSense son diferentes a los pa9uetes de Free#SD puertos 9ue
est2n cubiertos en Seccin )1"1? NHtiliDacin de Software de Siste%a de ports de Free#SD
J&a9uetesK N en el captulo de software de terceros"

on %ucho? el pa9uete %2s populares disponibles para pfSense es para el servidor pro/y S9uid" Se instala %2s de dos veces %2s 9ue el siguiente pa9uete %2s popular: s9uidGuard? 9ue es un filtro de contenidos 9ue trabaMa con S9uid para controlar el acceso a los recursos web por los usuarios" o%o era de esperar? la tercera pa9uete %2s popular es Lights9uid? 9ue es un registro de S9uid pa9uete de an2lisis 9ue le per%ite ver
los sitios web 9ue han sido visitadas por los usuarios detr2s del pro/y" Algunos otros eMe%plos de pa9uetes disponibles J9ue no son S9uid relacionadosK son los siguientes:
U Ancho de banda de los %onitores 9ue %uestran el tr2fico por direccin 3&? tales co%o frecuencia? #andwidthD? <T:&? y
DarLstat"
U Servicios adicionales co%o un servidor D<S? servidor TFT&? Free.AD3HS y FreeSwitch Ja 'o3&
&#GK" U La representacin de otros servicios co%o S3&? 3G!& y 3!Spector"
1)C
&a9uetes
U Siste%a de utilidades co%o <HT para el segui%iento de un H&S? lcdproc para el uso de una pantalla L D? y phpsysinfo" U &opular de terceros utilidades co%o n%ap? iperf y arping" U @nruta%iento #G&? edicin de ron? <agios y los agentes de Eabbi/? y %uchos? %uchos otros"
Al escribir estas lneas hay %2s de >+ diferentes pa9uetes disponibles? de%asiados para cubrirlos todos en este libroX Si desea ver la lista co%pleta? 9ue estar2 disponible dentro de su pfSense
siste%a de navegacin del siste%a &a9uetes"

Hsted puede notar 9ue la pantalla de los pa9uetes pueden tardar un poco %2s en cargar 9ue otras p2ginas de la interfaD web" @sto se debe a 9ue obtiene la infor%acin del pa9uete G!L desde nuestros servidores antes de se procesa la p2gina para proporcionar la infor%acin %2s actualiDada del pa9uete" Si el servidor de seguridad se no tienen una cone/in funcional a 3nternet co%o la resolucin de D<S? esto no y le notificar2? co%o en Figura )*"(? Nno del pa9uete de recuperacin de infor%acinN" Si anterior%ente con 6/ito recuperar la infor%acin del pa9uete? se %ostrar2 desde la %e%oria cach6? pero puede 9ue no tenga el %2s la infor%acin %2s reciente" @sto es general%ente causado por una configuracin de servidor D<S incorrecta o faltante"
&ara cone/iones est2ticas de 3&? co%pruebe 9ue trabaMan los servidores D<S se registran en el siste%a General
onfiguracin de la p2gina" &ara a9uellos con cone/iones asignada din2%ica%ente? asegurar los servidores asignados por su 3S& est2n funcionando" @s posible 9ue desee anular estos servidores asignados din2%ica%ente con
:penD<S [Fttp:77www"opendns"co%\ u otro servidor D<S"
Figura )*"(" &a9uete de recuperacin de infor%acin no

Hn n;%ero creciente de pa9uetes tienen un enlace 3nfor%acin del pa9uete en la lista de pa9uetes? 9ue apunta a un sitio con %2s infor%acin sobre ese pa9uete en particular" Hsted debe leer la infor%acin en el pa9uete 3nfor%acin de enlace antes de instalar un pa9uete" Despu6s de la instalacin? usted puede encontrar el %2s reciente pa9uete
3nfor%acin de enlace de cada pa9uete instalado en la pesta0a de pa9uetes instalados"
)*")" 3nstalacin de pa9uetes

Los pa9uetes se instalan desde Siste%a &a9uetes" Los listados 9ue se %anifiestan en Figura )*")? N@l pa9uete de ventaN? Se %ostrar2 el no%bre de un pa9uete? la categora? la versin y el estado? un pa9uete vincular la infor%acin? y una breve descripcin" &restar %ucha atencin al estado de antes de instalar pa9uetes? algunos pa9uetes son e/peri%entales y no se debe instalar en la produccin crtica
1),
&a9uetes
siste%as" Hsted ta%bi6n debe %antener los pa9uetes instalados a lo estricta%ente necesario para su i%ple%entacin"
Figura )*")" @l pa9uete de venta

Los pa9uetes est2n instalados? haga clic en el botn a la derecha de su entrada" Al hacer clic? usted ser2 llevado a la pantalla de instalacin de pa9uetes donde el progreso de la instalacin se %ostrar2
JFigura )*"*? Ndespu6s de la instalacin del pa9uete de pantallaNK"
Figura )*"*" &osterior a la instalacin de la pantalla del pa9uete
)*"*" .einstalacin y actualiDacin de pa9uetes

Los pa9uetes se vuelven a instalar y actualiDar la %is%a %anera" &ara e%peDar? va%os a Siste%a &a9uetes y clic en la ficha pa9uetes instalados" Las listas no debe verse co%o Figura )*"1? N3nstalacin Lista de pa9uetes N" @ncuentra el pa9uete 9ue desea volver a instalar o actualiDar en la lista" Si hay una nueva Disponible en versin de lo 9ue usted ha instalado? la colu%na del pa9uete? versin ser2n resaltados en roMo
indicando las versiones antiguas y nuevas" Faga clic para actualiDar o reinstalar el pa9uete"
:tra opcin sera volver a instalar para volver a instalar slo el cdigo G!L co%ponentes GH3 de un pa9uete? 9ue se puede hacer haciendo clic en Munto a la entrada de pa9uetes" A %enos 9ue se le indi9ue por un desarrollador? no debe usar esta opcin? ya 9ue puede perder las actualiDaciones de los binarios 9ue la ;lti%a interfaD gr2fica de usuario
co%ponentes 9ue necesite"
1*+
&a9uetes
Figura )*"1" Lista de pa9uetes instalados
)*"1" Desinstalacin de pa9uetes

&ara desinstalar un pa9uete? vaya a Siste%a &a9uetes y haga clic en la pesta0a pa9uetes instalados"
#uscar el pa9uete en la lista y haga clic en el botn" @l pa9uete de continuacin? se eli%inar2 de
el siste%a"
Algunos pa9uetes e/peri%entales sobrescribir los archivos distribuidos con el siste%a base" @stos pa9uetes no se puede desinstalar? ya 9ue al hacerlo se ro%pera el siste%a base restante" La entrada de pa9uetes a;n puede %ostrar el icono de desinstalacin? pero todava estar2 presente despu6s de su intento de e/traccin" &a9uetes con esta peculiaridad se eti9uetar2 co%o tal en su ca%po de descripcin" Si se actualiDa el siste%a? 9ue se sobreponen a los ca%bios realiDados por estos pa9uetes? por lo 9ue este es un %edio posible de desinstalacin" Tenga %ucho cuidado con cual9uier pa9uete 9ue no se puede desinstalar? por lo general
destinados a la e/peri%entacin con siste%as no crticos"
)*">" &a9uetes de desarrollo

Los pa9uetes son relativa%ente f2ciles de desarrollar? y usted puede encontrar 9ue usted o su organiDacin pueden beneficiarse de la elaboracin de un pa9uete 9ue no e/iste" &ara a9uellos interesados en la creacin de sus propios pa9uetes? los recursos est2n disponibles en el pfSense =iLi de docu%entacin [http:77 doc"pfsense"org 7 inde/"php 7 Developing_&acLages\" Si crea un pa9uete y piensan 9ue puede ser de uso a los de%2s? en contacto con nosotros y su trabaMo puede ser evaluado para su inclusin en el siste%a de pa9uetes
para 9ue todos puedan ver"
1*(
aptulo )1" Software de terceros y pfSense

Aun9ue este libro se centra en pfSense? hay una serie de pa9uetes de software de tercero 9ue puede ser configurado para funcionar con pfSense o au%entar su funcionalidad" @n este conte/to? en tercer lugar
software de consulta de software disponibles de otros proveedores o fuentes 9ue se pueden utiliDar Munto con pfSense? pero no se considera parte del Nsiste%a de pfSenseN" @stos son diferentes de los pa9uetes de pfSense? 9ue son software adicional 9ue se eMecuta en el siste%a de pfSense y se integra
en la interfaD gr2fica de usuario del siste%a"
)1"(" .AD3HS de autenticacin de =indows Servidor

=indows )+++ Server y =indows Server )++* puede ser configurado co%o un servidor .AD3HS %ediante Servicio de !icrosoft de autenticacin de 3nternet J3ASK" @sto le per%ite autenticar el pfSense servidor &&T&? &ortal autivo? o el servidor &&&o@ en sus cuentas de usuario local de =indows Server
o Active Directory"
)1"("(" La eleccin de un servidor para 3AS

<3 re9uiere una cantidad %ni%a de recursos y es adecuado para su adicin a la e/istencia de =indows Servidor en la %ayora de entornos" !icrosoft reco%ienda instalarlo en un do%inio de Active Directory controlador para %eMorar el rendi%iento en entornos en los 9ue la <3 est2 autenticando en Active Directorio" Ta%bi6n es posible instalarlo en un servidor %ie%bro? 9ue puede ser deseable en algunos entornos para reducir la huella de ata9ue de los controladores de do%inio I cada red servicio de acceso proporciona otra va potencial de co%pro%eter el servidor" <3 no tienen un historial de seguridad slida? especial%ente en co%paracin con otras cosas 9ue se debe eMecutar en su los controladores de do%inio de Active Directory para funcionar? as 9ue esto no es %ucho de una preocupacin %2s en
entornos de red" La %ayora de entornos de instalar 3AS en uno de sus controladores de do%inio"
)1"(")" 3nstalacin de la <3

@n el servidor de =indows? vaya a &anel de control? Agregar o 9uitar progra%as? y seleccione Agregar o 9uitar o%ponentes de =indows" Despl2cese hacia abaMo y haga clic en Servicios de red? haga clic en Detalles" o%pruebe Servicio de autenticacin 3nternet en la lista Servicios de red y haga clic en Aceptar" A continuacin? haga clic en Siguiente
1*)
Software de terceros y pfSense
y la <3 se instalar2" @s posible 9ue tenga 9ue proporcionar el D del servidor para la instalacin de
co%pleta" uando la instalacin haya finaliDado? haga clic en FinaliDar"
)1"("*" onfiguracin de la <3

&ara configurar la <3 ? 9ue apareDca la <3 !! en Ferra%ientas ad%inistrativas? 3nternet Servicio de autenticacin" @n pri%er lugar un cliente .AD3HS ser2 a0adido para pfSense? a continuacin? el acceso re%oto
polticas se configurar2"
)1"("*"(" Adicin de un cliente .AD3HS

Faga clic en lientes .AD3HS y haga clic en <uevo cliente .AD3HS? co%o se %uestra en Figura )1"(? NA0adir
cliente .AD3HS nuevo N"
Figura )1"(" Agregar nuevo cliente .AD3HS

@scriba un Nno%breN para el servidor de seguridad? co%o se %uestra en la Figura )1")? NA0adir nuevo cliente .AD3HS I <o%bre y direccin del cliente N? 9ue puede ser su no%bre de host o F5D<" @l ca%po de direccin de cliente debe ser la direccin 3& 9ue pfSense iniciar2 sus solicitudes de .AD3HS? o un no%bre de do%inio co%pleto 9ue se deter%inacin de esa direccin 3&" @sta ser2 la direccin 3& de la interfaD %2s cercana a la del radio servidor" Si el servidor .AD3HS es accesible a trav6s de su interfaD LA<? esta ser2 la 3& de la LA<" @n despliegues en pfSense no es su servidor de seguridad peri%etral? y su interfaD =A< se encuentra en la red interna donde reside el servidor .AD3HS? la direccin 3& =A< es lo 9ue debe
entre a9u" @scriba el no%bre de a%istad ya la direccin de pfSense? a continuacin? haga clic en Siguiente"
DeMa clienteIproveedor establecido en RPD&9S estOndar? S rellenar un secreto co%partido? co%o se %uestra en
Figura )1"*? NA0adir nuevo cliente .AD3HS I Secreto co%partidoN" @ste secreto co%partido es lo 9ue
entrar en pfSense %2s tarde" Faga clic en FinaliDar"
1**
Sa ha finaliDado la configuracin del <3 " Hsted puede ver el cliente .AD3HS 9ue acaba de agreg 9ue en Figura )1"1? Nde venta del cliente de .AD3HSN"
Figura )1"1" Listado del cliente .AD3HS

Ahora ya est2 listo para configurar pfSense con la infor%acin .AD3HS configurado a9u? utiliDando
la direccin 3& del servidor 3AS y el secreto co%partido configurado previa%ente" onsulte el
parte de este libro 9ue describe el servicio 9ue desea utiliDar con .AD3HS para %ayor orientacin" .AD3HS se puede utiliDar para &ortal autivo JSeccin (,"1? N onfiguracin del &ortal Hsar .AD3HS Autenticacin NK? el servidor &&T& JSeccin (1">")? NautenticacinNK? S el servidor &&&o@
JSeccin )(",? NServidor &&&o@NK? S ta%bi6n en algunos pa9uetes"
)1"("*")" onfiguracin de usuarios y &oltica de acceso re%oto

Si un usuario puede autenticar a trav6s de .AD3HS se controla con per%iso de acceso re%oto en cada usuario de la cuenta en la ficha !arcado de las propiedades de cuenta de usuarios y @9uipos" <o se puede especificar para per%itir o denegar el acceso? o acceso de control re%oto a trav6s de Directiva de acceso" Hsted tiene la opcin de especificar el acceso a9u para cada usuario %ediante la especificacin de per%itir o negar" &ara entornos de pe9ue0o con los re9uisitos b2sicos? esto puede ser preferible" Acceso re%oto
polticas escala %eMor para entornos con %2s usuarios? usted puede colocar si%ple%ente un usuario en un deter%inado
Grupo de Active Directory para per%itir el acceso '&<? y ta%bi6n ofrecen capacidades %2s avanDadas? co%o
tie%po de las restricciones al da"

!2s infor%acin sobre las polticas de acceso re%oto se puede encontrar en la docu%entacin de !icrosoft en http:77
technet"%icrosoft"co%7enIus7library7ccBC>)*A] ),"asp/ )C=S"(+]"

Despu6s de configurar los usuarios y las polticas de acceso re%oto si lo desea? usted est2 listo para probar el servicio
9ue est2 utiliDando con .AD3HS en pfSense"
)1"("*"*" Solucin de proble%as de la <3

@n caso de fallar la autenticacin? esta seccin se describen los proble%as %2s co%unes se encuentran los usuarios
con las <3 "
)1"("*"*"(" o%pruebe el puerto

@n pri%er lugar garantiDar el puerto por defecto (C() se est2 utiliDando" Si el servidor 3AS se ha instalado anterior%ente? puede haber sido configurado con los puertos no est2ndar" @n la consola !! de la <3 ? haga clic en
1*1
Servicio de autenticacin 3nternet JlocalK en la parte superior iD9uierda de la consola !! y haga clic en &ropiedades"
A continuacin? haga clic en la ficha &uertos" &uede especificar varios puertos separ2ndolos con co%as J o%o se %uestra en Figura )1">? N<3 &uertosNK" @l puerto (C() debe ser uno de los puertos configurados para
Autenticacin" Si est2 utiliDando la funcionalidad de ad%inistracin de cuentas .AD3HS? as? el puerto (C(* debe ser
uno de los puertos especificados en ontabilidad"
Figura )1">" <3 &uertos )1"("*"*")" o%pruebe 'isor de sucesos

uando un intento de autenticacin .AD3HS es contestada por el servidor? los registros de <3 para el siste%a registro en el 'isor de sucesos con el resultado de la solicitud de autenticacin y? si se deniega el acceso? la raDn por la cual fue denegada" @n el ca%po Descripcin de las propiedades de evento? la lnea de la raDn e/plica por 9u6 error en la autenticacin" @l co%;n de dos fracasos son: no%bre de usuario y la contrase0a %al? cuando un usuario entra credenciales incorrectas? y Nper%iso de acceso re%oto para la cuenta de usuario fue denegadaN cuando la cuenta de usuario se configura para denegar el acceso o las polticas de acceso re%oto configurado en la <3 no no per%itir el acceso a ese usuario" Si la <3 es el registro 9ue la autenticacin se ha realiDado correcta%ente? pero el cliente est2 recibiendo un %ensaMe de no%bre de usuario o contrase0a? el secreto de .AD3HS configurado en la <3 y
pfSense no coincide"
)1")" Libre de filtro de contenido con :penD<S

pfSense no incluye ning;n software de filtrado de contenido en el %o%ento de escribir esto? pero hay
es una gran opcin gratuita en la integracin :penD<S [http:77www"opendns"co%\" @n pri%er lugar usted necesita
configurar su red para utiliDar los servidores D<S de :penD<S para todas las consultas recursivas" (
(<ota: So
soy de ninguna %anera afiliado con :penD<S? slo un usuario %uy satisfecho de sus servicios en %;ltiples lugares? y he tenido nu%erosas
la gente %e las gracias por 9ue %e refiero a ellos" @llos real%ente tienen una oferta i%presionante"
1*>
)1")"(" onfiguracin de pfSense utiliDar :penD<S

'isite el Siste%a de &2gina de configuracin general? entre dos servidores D<S de :penD<S all? y des%ar9ue
la Nlista &er%itir servidor D<S para ser ree%plaDado por DF & 7 &&& =A<N caMa JFigura )1"A?
N onfiguracin de :penD<S en pfSenseNK"
Figura )1"A" onfiguracin de :penD<S en pfSense

Si las %29uinas de uso interno pro%otor de pfSense D<S co%o su servidor D<S slo? esto es todo lo 9ue
necesidad de ca%bio a utiliDar :penD<S para la resolucin de no%bres"
)1")")" onfigure los servidores D<S internos para utiliDar :penD<S

Si las %29uinas de uso interno un servidor D<S interno? 9ue debe ser configurado para enviar su
consultas recursivas a los servidores de :penD<S" 'oy a e/plicar c%o hacerlo con =indows
servidor de D<S"
1*A
)1")")"(" Forwarders onfiguracin de D<S de =indows Server
Figura )1"B" &ropiedades del servidor D<S de =indows

Abra el co%ple%ento D<S de !! en Ferra%ientas ad%inistrativas? D<S" Faga clic derecho sobre el no%bre del servidor y haga clic en &ropiedades? co%o se %uestra en Figura )1"B? N&ropiedades del servidor D<S de =indowsN"
1*B
Figura )1"C" Servidor D<S de =indows Transitarios

Seleccione la ficha .eenviadores? y a0adir dos servidores D<S de :penD<S en la lista para el pro%otor de NTodos los do%inios D<S N? co%o en Figura )1"C? NServidor D<S de =indows ForwardersN? A continuacin? haga clic en Aceptar" A continuacin? repita esto para cada uno de los servidores D<S internos"
)1")"*" onfiguracin de filtrado de contenido :penD<S

Ahora tiene 9ue configurar el filtrado de contenido 9ue desee en el sitio de :penD<S"
1*C
)1")"*"(" .egstrate para una cuenta de :penD<S

@/a%inar para http:77www"opendns"co% y haga clic en el enlace de entrar" A continuacin? haga clic en N rear un libre cuenta Ny pasar por el proceso de creacin de la cuenta"
)1")"*")" Definir la red JsK en :penD<S
Figura )1"," Adicin de una red

:penD<S pri%ero tiene 9ue ser capaD de deter%inar cu2les son las consultas D<S de su red 9ue se capaD de filtrar de acuerdo a las polticas definidas en su cuenta" Despu6s de entrar en su :penD<S cuenta? haga clic en la pesta0a N.edesN JFigura )1",? NAdicin de una redNK" Se %ostrar2 auto%2tica%ente el 3& p;blica de la sesin FTT&S est2 viniendo? con un botn para a0adir a esta red a su cuenta"
Faga clic en el botn A0adir esta red"

Se abrir2 una ventana solicitando si tu 3& es est2tica o din2%ica JFigura )1"(+? NAdicin de una cone/in 3& din2%icaNK" Si usted tiene una cone/in din2%ica 3&? tendr2 9ue eMecutar Hpdater :penD<S para =indows en una %29uina dentro de su red para asegurarse de su direccin se %antiene al da con :penD<S" Su direccin 3& es el ;nico %edio de identificacin de :penD<S tiene de su red" Si tu 3& no es correcta en la configuracin de :penD<S? el filtrado de contenido
no funcionar2 co%o se ha configurado en su cuenta"

&ara cone/iones est2ticas de 3&? desactive la casilla NS? es din2%icoN caMa y dar a la cone/in un no%bre JFigura )1"((? NAdicin de una cone/in de 3& est2ticaNK" &ara cone/iones est2ticas de 3&? no es necesario 9ue eMecute
el cliente de actualiDacin"
1*,
Despu6s de agregar la red a su cuenta? usted lo ver2 en su lista de redes co%o la de Figura )1"()? N.ed agregado con 6/itoN"
La red est2 ahora listo para usar :penD<S? aun9ue todava tienen 9ue configurar el deseado
configuracin de filtrado de contenido"
)1")"*"*" onfiguracin de filtrado de contenidos para la configuracin de su cuenta

&ara configurar las opciones de filtrado de contenido? haga clic en la ficha onfiguracin en la parte superior de la :penD<S p2gina web" Hna lista de niveles co%o la de la Figura )1"(*? Nnivel de filtrado de contenidosN debe aparecer" Hsted ver2 a su actual nivel de filtrado es %ni%o? 9ue slo blo9uea sitios de phishing conocidos" Hsted &uede elegir entre cuatro niveles diferentes de filtrado predefinidas? o seleccione &ersonaliDar y seleccione la 9ue
categoras 9ue desea blo9uear"

Ta%bi6n puede blo9uear o per%itir deter%inados do%inios? superando a su contenido general de filtrado
configuracin? en la parte inferior de esta pantalla JFigura )1"(1? NGestin de do%inios individualesNK"
:penD<S ofrece una serie de opciones de configuracin de otros lo 9ue le per%ite un gran control sobre D<S de la red" Su sitio contiene una serie de artculos base de conoci%ientos y el apoyo detalla algunas de las posibilidades? y toda la funcionalidad est2 bien descrito en todo el gestin de la interfaD" Hsted no tiene 9ue parar en slo filtrado de contenidos I revisar todo lo de%2s
:penD<S tiene para ofrecer? ya 9ue puede ser capaD de poner a buen uso"
)1")"1" onfiguracin de las reglas de cortafuegos para prohibir D<S servidores

Ahora 9ue sus siste%as internos son :penD<S utiliDando co%o su servicio de D<S? tendr2 9ue configurar reglas de firewall por lo 9ue no otros servidores D<S se puede acceder" De lo contrario los usuarios internos si%ple%ente podra ca%biar sus %29uinas Jsi tienen los derechos de usuario para hacerloK para utiliDar un D<S diferente
servidor 9ue no hace cu%plir su filtrado de contenido y otras restricciones"
)1")"1"(" rear un alias de servidores D<S

@n pri%er lugar? se desea crear un alias 9ue contiene los servidores D<S 9ue las %29uinas internas per%iso para realiDar consultas? co%o la de Figura )1"(>? Nlos servidores D<S aliasN" La direccin 3& aparece en la lista por9ue esta red de eMe%plo se utiliDa el agente de D<S co%o su servidor D<S interno? y esto per%ite D<S las preguntas de la LA< a la 3& de la LA<" Ta%bi6n per%ite las consultas recursivas de los servidores D<S internos? y la asignacin directa de los servidores D<S de :penD<S en las %29uinas internas" Tenga en cuenta 9ue a %enos 9ue deshabilitar la regla antiIblo9ueo? no es necesario agregar la 3& LA< a9u? pero la adicin de reco%endar
sin tener en cuenta 9ue para %ayor claridad" onsulte Seccin A">"("(? N.egla de Lucha contra el blo9ueoN para %2s infor%acin"
11+
Figura )1"(>" servidores D<S de alias
)1")"1")" onfigurar reglas de firewall

Ahora tiene 9ue configurar las reglas de LA< para per%itir D<S destinados creado anterior%ente
alias? y de blo9ueo D<S a otros destinos si alguna de sus otras reglas per%itira D<S? co%o la regla de LA< por defecto" o%o se discuti en el captulo de firewall? yo prefiero usar rechaDar las reglas para el tr2fico blo9ueados en las interfaces internas" @l conMunto de reglas en Figura )1"(A? Nnor%as de LA< para restringir D<SN se %antiene breve y sencillo por el bien de la ilustracin I .eco%iendo salida %ucho %2s fuerte de filtrado
de esta %uestra? tal co%o se describe en el captulo de servidor de seguridad"
Figura )1"(A" nor%as de LA< para restringir D<S
11(
)1")">" FinaliDacin y :tras dudas

S eso es todo" Ahora tiene un filtrado de contenidos solucin integrada con pfSense en un %edio
9ue hace 9ue sea %uy difcil para el usuario %edio para desplaDarse" Tenga en cuenta 9ue no es i%posible conseguir
alrededor? sobre todo con la %ayor per%isividad de un conMunto de reglas 9ue en el eMe%plo anterior %uestra" Fay
varias posibilidades para hacer un t;nel D<S a trav6s de ese conMunto de reglas? con las cone/iones '&<? el puerto SSF e/pedicin? y %2s" &ero si usted per%ite 9ue todo el tr2fico a trav6s de su servidor de seguridad? 9ue sie%pre va a ser una posibilidad" orrecta%ente blo9ueado %29uinas de usuario final en co%binacin con el anterior proporciona
un fuerte contenido solucin de filtrado 9ue es difcil de conseguir alrededor"
)1"*" Syslog Server en =indows con Qiwi Syslog

pfSense puede enviar los registros a un servidor e/terno a trav6s del protocolo syslog JSeccin ))"("*? N.e%ote
3nicio de sesin con Syslog NK" &ara usuarios de =indows? Qiwi Syslog servidor) es una buena opcin libre para
recogida de los registros de su instala pfSense" Se puede instalar co%o un servicio de registro a largo plaDo recogida? o correr co%o una aplicacin %2s cortos necesidades a largo plaDo" @s co%patible con el servidor y el versiones de escritorio de =indows )+++ y versiones posteriores" La instalacin es %uy sencillo? y no
re9uieren una configuracin %ucho %2s" Se puede encontrar ayuda en su docu%entacin despu6s de la instalacin"
)1"1" Hso del software de los puertos de Free#SD Siste%a Jpa9uetesK

Debido a 9ue pfSense est2 basado en Free#SD? un veterano ad%inistrador del siste%a Free#SD %uchos
fa%iliariDado pa9uetes de Free#SD ta%bi6n se puede utiliDar" 3nstalacin del software de esta %anera no es para el sin e/periencia? ya 9ue podra tener efectos secundarios no deseados? y no se reco%ienda ni ad%ite" !uchas partes de Free#SD no se incluyen? por lo 9ue la biblioteca y otras cuestiones se pueden encontrar" pfSense no incluye un co%pilador en el siste%a base por %uchas raDones? y co%o tal software no puede ser
construida a nivel local" Sin e%bargo? puede instalar los pa9uetes de pa9uetes preIconstruidos de Free#SD repositorio"
)1"1"(" &reocupaciones 7 Advertencias

Antes de decidirse a instalar software adicional para pfSense 9ue no es un pa9uete sancionado? no
son algunos te%as 9ue necesitan ser to%adas en cuenta"
)http:77www"Liwisyslog"co%7
11)
)1"1"("(" Las preocupaciones de seguridad

ual9uier software adicional agregado a un servidor de seguridad es un proble%a de seguridad? y deben ser evaluados por co%pleto antes de
la instalacin" Si la necesidad es %ayor el riesgo? puede ser vale la pena to%ar" :ficial pa9uetes de pfSense no son in%unes a este proble%a ta%poco" ual9uier servicio adicional es otro vector de ata9ue potencial"
)1"1"(")" Las preocupaciones de rendi%iento

La %ayora de los siste%as de pfSense se eMecutan en hardware 9ue puede %aneMar la carga de tr2fico a las 9ue est2n la tarea" Si usted encuentra 9ue usted tiene potencia de sobra? no puede da0ar el siste%a para a0adir %2s
software" Dicho esto? tener en cuenta los recursos 9ue ser2n consu%idos por el software a0adido"
)1"1"("*" onflicto de software

Si instala un pa9uete 9ue duplica la funcionalidad 9ue se encuentran en el siste%a base? o sustituye un pa9uete de siste%a de base con una versin %2s reciente? podra causar inestabilidad en el siste%a i%predecible" Aseg;rese de 9ue el software 9ue est2 despu6s ya no e/iste en el siste%a antes de intentar pfSense
9ue instalar nada"
)1"1"("1" La falta de integracin

ual9uier software adicional instalado no tendr2 la integracin interfaD gr2fica de usuario" &ara algunos? esto no es un proble%a? pero ha habido personas 9ue vayan a instalar un pa9uete y tienen una interfaD gr2fica de usuario aparece %2gica%ente para su configuracin" @stos pa9uetes tendr2n 9ue ser configurados a %ano" Si se trata de un servicio? 9ue significa ta%bi6n asegurarse de 9ue todos los scripts de inicio se %odifican para adaptarse a los %6todos utiliDados
por pfSense"
Ta%bi6n ha habido casos donde el software se ha instalado %2s p2ginas web 9ue no son
protegidos por el proceso de autenticacin de pfSense" &rueba de cual9uier software instalado para asegurar 9ue el acceso
est2 protegida o filtrada de alguna %anera"
)1"1"(">" La falta de copias de seguridad

Al instalar los pa9uetes de esta %anera? usted debe asegurarse de 9ue cual9uier configuracin de copia de seguridad o otros archivos necesarios para este software" @stos archivos no se copian durante una pfSense nor%al copia de seguridad y se podran perder o ca%biado durante una actualiDacin de fir%ware" &uede utiliDar el co%ple%ento en el pa9uete se describe en Seccin >"A? NArchivos de copia de seguridad y directorios con el pa9uete de copia de seguridadN una copia de seguridad
archivos arbitrarios co%o 6stos"
11*
)1"1")" 3nstalacin de pa9uetes

&ara instalar un pa9uete? pri%ero debe asegurarse de 9ue el sitio de e%balaMe adecuado? se utiliDar2n" pfSense
est2 co%pilado con una ra%a Free#SDI.@L@AS@? y los pa9uetes no se puede obsoletos en un corto periodo de tie%po" &ara solucionar este proble%a? especificar la ruta de acceso al conMunto de pa9uetes
para Free#SDISTA#L@ antes de intentar instalar un pa9uete: #seten$ RP%YPNGS&BG * ftp:66ftp.free)sd.org6p()6Free SD6ports6i3866pac1ages-M-sta)le6 #p1g_add-r fl(.o B%R : usted puede proporcionar una direccin H.L co%pleta de un pa9uete: #p1g_add-r ftp:66ftp.free)sd.org6p()6Free SD6ports6i3866pac1ages-M-sta)le6#atest6iftop.t)4 @l pa9uete debe descargar e instalar? Munto con las dependencias necesarias" Ta%bi6n es posible construir un pa9uete personaliDado en otro e9uipo 9ue eMecuta Free#SD y luego copiar 7 instalar el archivo de pa9uete generado en un siste%a de pfSense" Debido a la co%pleMidad de este te%a? no ser2 tratado a9u"
)1"1"*" @l %anteni%iento de pa9uetes

&uede ver una lista de todos los pa9uetes instalados? as: #p1g_info &ara eli%inar un pa9uete instalado? usted debe especificar su no%bre co%pleto o utiliDar un co%odn: #p1g_delete lsof-7.82\ 7 #p1g_delete fl(.o B%R-, ?
111
aptulo )>" aptura de pa9uetes

La captura de pa9uetes es el %edio %2s eficaD de solucionar proble%as con la red conectividad" aptura de pa9uetes Jo NsniffingNK herra%ientas co%o tcpdu%p %ostrar lo 9ue es Nen el ala%breN
I @ntrar y salir de una interfaD" Al ver la cantidad de tr2fico 9ue se recibe por el servidor de seguridad y la for%a en 9ue deMa el servidor de seguridad es una gran ayuda en la reduccin a proble%as con las reglas del cortafuegos? <AT las entradas? y otros te%as de redes" @n este captulo? cubri%os la obtencin de capturas de pa9uetes de
=ebGH3? con tcpdu%p en la lnea de co%ando en una concha? y el uso de =iresharL"
)>"(" aptura de %arco de referencia

Tenga en cuenta 9ue la captura de pa9uetes de %ostrar lo 9ue est2 en el ala%bre" @s el pri%ero en ver el tr2fico cuando los pa9uetes 9ue reciben y el ;lti%o en ver el tr2fico de la hora de enviar los pa9uetes a %edida 9ue fluyen a trav6s del firewall" Se ve el tr2fico antes de cortafuegos? <AT y todo otro tipo de elaboracin en el cortafuegos para el tr2fico 9ue pasa entrada en la interfaD? y despu6s de todo lo 9ue el procesa%iento se produce para el tr2fico 9ue sale esa interfaD" &ara el tr2fico entrante? captura %ostrar2 el tr2fico 9ue llega a la interfaD del servidor de seguridad independiente%ente de 9ue el tr2fico ser2 blo9ueado por la configuracin del firewall" Figura )>"(? N aptura de referenciaN? donde ilustra tcpdu%p y ta%bi6n la interfaD de captura de pa9uetes =ebGH3
laDos en el orden de procesa%iento"
)>")" Seleccin de la interfaD adecuada

Antes de e%peDar cual9uier captura de pa9uetes? lo 9ue necesita saber de donde la captura se deben adoptarse" Hna captura de pa9uetes ser2 diferente dependiendo de la interfaD elegida? y en
ciertas situaciones es %eMor para capturar en una interfaD especfica? y en otros? 9ue eMecutan varias
captura si%ult2nea en diferentes interfaces es preferible" @n el uso de tcpdu%p en el s%bolo del

lnea? tendr2 9ue conocer el NverdaderoN no%bre de interfaD 9ue van con los no%bres descriptivos se %uestra en la =ebGH3" Hsted puede recordar estos desde el %o%ento en las interfaces fueron asignados original%ente? pero si no? usted puede visitar 3nterfaces JAsignarK y to%e nota de 9ue las interfaces fsicas? tales co%o fxp0? corresponden con las interfaces de pfSense? tales co%o =A<" Tabla )>"(? N3nterfaD .eal vs Friendly
<o%bres N enu%era algunos no%bres de interfaD 9ue pueden surgir? dependiendo de su configuracin" <o%bre real 7 fsica ng+ """ ng<x> enc+ tun+ """ tonel<x> lo+ <o%bre descriptivo
=A< J=A< &&&o@ o &&T&K? o clientes &&T&
3&sec? el tr2fico cifrado :pen'&<? el tr2fico cifrado 3nterfaD de bucle invertido
11>
aptura de pa9uetes
<o%bre real 7 fsica pfsync+ pflog+
<o%bre descriptivo pfsync interfaD I de uso interno pf registro I de uso interno
Tabla )>"(" .eal 3nterfaD vs no%bres descriptivos

uando se selecciona una interfaD? 9ue nor%al%ente se desea iniciar con el lugar donde los fluMos de tr2fico en
pfSense" &or eMe%plo? si usted est2 teniendo proble%as para conectarse a un puerto para la cone/in desde fuera de su red? co%ience con la interfaD =A<? ya 9ue es donde se origina el tr2fico" Alternativa%ente? si usted tiene una & cliente 9ue no puede acceder a 3nternet? co%ience con la interfaD LA<" uando en
duda? pruebe con %;ltiples interfaces y filtro de las direcciones 3& o puertos en cuestin"
)>"*" Li%itar el volu%en de captura

uando la captura de pa9uetes? es i%portante li%itar el volu%en de los pa9uetes capturados? pero a;n as asegurar todo el tr2fico relevante para el proble%a 9ue se troubleshooted es capturado" @n la %ayora de las redes? cuando la captura sin filtrar el tr2fico capturado? incluso con capturas de cortos periodos de tie%po? usted
acabar con grandes cantidades de datos a cavar hasta encontrar el proble%a" &uedes filtrar los postI
de captura %ediante el uso de filtros de visualiDacin en =iresharL? pero filtrado adecuada%ente en el %o%ento de la captura es
preferible %antener el ta%a0o del archivo de captura" Los filtros se discutir2 %2s adelante en este captulo"
)>"1" aptura de pa9uetes de la =ebGH3

@l =ebGH3 ofrece un f2cil de usar interfaD de usuario para tcpdu%p 9ue le per%itir2 obtener capturas de pa9uetes
9ue luego pueden ser vistos o descargados para un an2lisis %2s profundo en =iresharL" Debido a su
si%plicidad? 9ue slo puede ofrecer algunas opciones li%itadas para filtrado de tr2fico deseado? 9ue puede co%plican la tarea en funcin del nivel de tr2fico en su red y las necesidades de filtrado" Dicho esto? para %uchas personas es suficiente y hace el trabaMo" Si usted se siente li%itado por las opciones disponibles?
puede pasar hasta la siguiente seccin sobre el uso de tcpdu%p directa%ente"
)>"1"(" :btener un pa9uete de captura

@n pri%er lugar? vaya a Diagnsticos aptura de pa9uetes para iniciar el proceso" A partir de ah? elegir el
3nterfaD en la 9ue desea capturar el tr2fico" Si desea filtrar el tr2fico 9ue va o de una %29uina especfica? introduDca su direccin 3& en el ca%po Direccin del host" @l puerto ta%bi6n puede ser li%itada
si est2 capturando el tr2fico T & o HD&"

Hsted puede aMustar el &a9uete Longitud capturado si lo desea" &or lo general? se desea 9ue el pa9uete co%pleto? pero para captura de eMecucin durante periodos %2s largos de tie%po en los encabeDados de %ateria %2s de la carga ;til del
11A
aptura de pa9uetes
pa9uetes? lo 9ue li%ita este a A1 bytes o hacerlo resultar2 en un archivo de captura %ucho %2s pe9ue0os 9ue todava pueden
tienen datos suficientes para solucionar proble%as" @l cuadro de onde deter%ina cu2ntos pa9uetes para capturar antes de detenerse" Si no li%ita la captura de cual9uier %anera? tenga en cuenta 9ue esto puede
ser %uy NruidosoN y puede 9ue tenga 9ue au%entar este %ucho %2s grande 9ue el valor predeter%inado de 100"
@l nivel de detalle de la opcin slo afecta a la salida co%o se %uestra en la captura ha ter%inado" Lo hace
no ca%biar el nivel de detalle en el archivo de captura? si usted elige para descargarlo cuando est6 ter%inado"
@n general no se reco%ienda co%probar b;s9uedas inversas D<S cuando se realiDa una captura de co%o 9ue retrasar2 la salida co%o D<S inversa se lleva a cabo" Ta%bi6n es co%;n%ente %2s f2ciles de solucionar
durante la visualiDacin de direcciones 3& en lugar de no%bres de host y D<S inverso a veces puede ser ine/acta"
@sto puede ser ;til en ocasiones? sin e%bargo"

&ulse 3niciar para iniciar la captura de datos" La pantalla %ostrar2 N aptura de pa9uetes se eMecutaN a trav6s de la parte inferior? lo 9ue indica la captura est2 en proceso" &ulse Detener para finaliDar la captura y ver el resultado" Si ha especificado una cantidad de pa9uetes %2/i%a se detendr2 auto%2tica%ente cuando lo 9ue cuenta es llegar?
o puede hacer clic en Detener para ponerle fin en cual9uier %o%ento"
)>"1")" 'iendo los datos capturados

La salida de captura se puede ver en la =ebGH3? o descargados para su posterior visualiDacin en un progra%a de co%o =iresharL" &ara obtener %2s detalles sobre el uso de =iresharL para ver un archivo de captura? consulte Seccin )>"A"(? N'isualiDacin de archivos de pa9uetes de capturaN %2s adelante en este captulo" Faga clic en Descargar para descargar la captura de este
archivo para su posterior visualiDacin" @l resultado 9ue se %uestra en el %arco de los pa9uetes capturados se %uestran en el estilo de tcpdu%p est2ndar"
)>">" Hso de tcpdu%p de la lnea de co%andos

tcpdu%p es la lnea de co%andos de pa9uetes de utilidad de captura de sie%pre con la %ayora de H<3G y H<3GIco%o
distribuciones de siste%as operativos? incluyendo Free#SD" Ta%bi6n se incluye con pfSense? y utiliDables de un int6rprete de co%andos en la consola o por SSF" @s una herra%ienta %uy poderosa? pero 9ue hace ta%bi6n
es desalentador para el usuario no iniciado" @l binario de tcpdu%p en Free#SD B") soporta *A diferentes
banderas de lnea de co%andos? las posibilidades ili%itadas con las e/presiones de filtro? y su p2gina de %anual? proporcionando slo un breve resu%en de todas sus opciones? es casi un *+ i%presos C">/(( Np2ginas" Despu6s de aprender &ara usarlo? usted ta%bi6n debe saber c%o interpretar los datos 9ue proporciona? 9ue puede re9uerir un an2lisis en profundidad
co%prensin de los protocolos de red"
Hna revisin co%pleta de la captura de pa9uetes y la interpretacin de los resultados est2 fuera del alcance de este libro" De hecho? libros enteros se han escrito sobre este te%a solo" &ara a9uellos con sed durante %2s de conoci%ientos b2sicos en este 2%bito? algunas reco%endaciones para la lectura adicionales
11B
aptura de pa9uetes
Al final de este captulo" @sta seccin tiene por obMeto proporcionar una introduccin a este te%a? y te vas con el conoci%iento suficiente para solucionar proble%as b2sicos"
)>">"(" tcpdu%p banderas de lnea de co%andos

La siguiente tabla %uestra las banderas de co%andos %2s utiliDados de acuerdo con tcpdu%p" ada opcin se discutir2 con %2s detalle en esta seccin" #andera -I <int!(/ac!> -N -W </il!nam!> -S -C <"ac+!ts> -P -V -E Descripcin @scuchar en <int!(/ac!>?" &or eMe%plo? -I fxp0 <o resolver direcciones 3& usando D<S inversa" Guardar la captura en for%ato pcap a Ono%breArchivoP? por eMe%plo? -W / tmp / wan.pcap AMustar la longitud I la cantidad de datos a ser capturados de cada cuadro Salir despu6s de recibir un n;%ero especfico de pa9uetes" <o poner la interfaD en %odo pro%iscuo" 'erboso 3%pri%ir capa de enlace de cabecera en cada lnea" !uestra la fuente y la direccin !A de destino? y 3nfor%acin de las eti9uetas 'LA< para el tr2fico agreg"
Tabla )>")" De uso co%;n banderas tcpdu%p
)>">"("(" I3 bandera
La -I bandera especifica la interfaD en la 9ue tcpdu%p va a escuchar" &uede utiliDar la interfaD de Free#SD no%bre a9u? co%o fxp0?Em0?rl0? @tc
)>">"(")" I< del pabelln

<o resolver direcciones 3& usando D<S inversa" uando esta opcin no se especifica? tcpdu%p llevar2 a cabo un D<S inverso J&T.K de b;s9ueda para cada direccin 3&" @sto genera una cantidad significativa de D<S el tr2fico en las capturas 9ue %uestra grandes vol;%enes de tr2fico" @s posible 9ue desee desactivar esta para evitar
la adicin de la carga a los servidores D<S" So prefiero usar sie%pre -N por9ue eli%ina el retraso
entre la captura de un pa9uete y su pantalla 9ue es causada por realiDar la b;s9ueda inversa" Ta%bi6n
11C
aptura de pa9uetes
Las direcciones 3& suelen ser %2s f2ciles de leer y de entender 9ue sus registros &T." @sa es una cuestin
de preferencia personal? sin e%bargo? y en entornos 9ue conoDco donde s6 9ue el &T.
registros los no%bres de host real de los dispositivos? 9ue se puede eMecutar sin capturas -N para %ostrar los no%bres de host" :tra raDn para usar -N? Aun9ue nunca se debe capturar en cual9uier entorno en el 9ue se trata de
de for%a re%ota una preocupacin? es si usted 9uiere ser NastutoN" Hno de los %edios de deteccin de captura de pa9uetes es
en busca de picos y patrones en las b;s9uedas de D<S &T."
)>">"("*" I= bandera
tcpdu%p per%ite guardar archivos de captura en for%ato pcap? para su posterior an2lisis o an2lisis en otro
del siste%a" @sto se hace co%;n%ente con los productos de lnea de co%andos slo co%o pfSense lo 9ue el archivo puede se copian en un host 9ue eMecute =iresharL [http:77www"wiresharL"org\ o de otra red gr2fica analiDador de protocolos y revisado all" Al guardar un archivo utiliDando -W? Los cuadros no se 9ue aparecen en su ter%inal? ya 9ue de otro %odo lo son" J'6ase Seccin )>"A? NHtiliDacin de =iresharL con
pfSense N sobre el uso de =iresharL con pfSense"K
)>">"("1" IS bandera
De for%a predeter%inada? cuando se captura a un archivo? tcpdu%p slo se graban los pri%eros A1 bytes de cada fotogra%a" @sto es suficiente para obtener el encabeDado 3& y el protocolo para la %ayora de los protocolos? pero li%ita la utilidad de capturar archivos" Al utiliDar el -S bandera? se puede decir tcpdu%p 9u6 parte de la tra%a a la captura? en
bytes" @sto se conoce co%o la longitud de co%ple%ento" #andera -S 500 -S 0 Descripcin aptura de los pri%eros >++ bytes de cada fra%e aptura de cada cuadro en su totalidad
Tabla )>"*" @Me%plos de uso de tcpdu%pIs

&or lo general? tendr2 9ue usar -S 0 cuando se captura a un archivo para su an2lisis en otro siste%a" La
;nica e/cepcin a esto es escenarios en los 9ue usted necesita para capturar una gran cantidad de tr2fico a trav6s de un perodo de tie%po %2s largo" Si conoce la infor%acin 9ue busca est2 en la cabecera? se puede guardar slo el valor predeter%inado de A1 bytes de cada cuadro y obtener la infor%acin 9ue necesitan? %ientras 9ue de %anera significativa
reducir el ta%a0o del archivo de captura resultante"
)>">"(">" I bandera
&uede indicar tcpdu%p para capturar un cierto n;%ero de fotogra%as y luego la salida %ediante el -C
bandera" @Me%plo de uso: tcpdu%p saldr2 despu6s de capturar (++ i%2genes especificando -C 100"
11,
aptura de pa9uetes
)>">"("A" I& bandera

<or%al%ente? cuando la captura de tr2fico con tcpdu%p? 9ue pone a su interfaD de red en pro%iscua %odo" uando no se eMecuta en %odo pro%iscuo? la <3 slo recibe %arcos destinados a
su propia direccin !A ? as co%o las direcciones de difusin y %ultidifusin" uando se enciende en %odo pro%iscuo? la interfaD %uestra todos los fotogra%as en el ala%bre" @n una red con%utada? este por lo general tiene poco i%pacto en su captura" @n las redes en el dispositivo 9ue se captura desde est2 conectado a un concentrador? utiliDando -P pueden li%itar significativa%ente el ruido en su captura cuando el ;nico tr2fico
de inter6s es 9ue desde y hacia el siste%a desde el 9ue se captura"
)>">"("B" I' bandera

La -V bandera controla el detalle? o nivel de detalle? de la salida" @l uso de %2s NvN :pciones de rendi%iento %2s detalle? para 9ue pueda utiliDar -V?-Vs: -Vvv para ver %2s detalle en la i%presin a la
consola" @sta opcin no afecta a los detalles al%acenados en un archivo de captura cuando se utiliDa el -W interruptor? sino 9ue har2 9ue el proceso de infor%ar el n;%ero de pa9uetes capturados cada (+ segundos"
)>">"("C" @Ibandera
<or%al%ente tcpdu%p no %uestra toda la infor%acin de capa de enlace" @specificar -E para %ostrar la fuente
y el destino las direcciones !A y 'LA< infor%acin de la eti9ueta para el tr2fico con la eti9ueta C+)"(9
'LA<"
)>">"("C"(" @Me%plo de captura sinIe

@sta captura %uestra la salida predeter%inada? 9ue no contengan infor%acin capa de enlace" #tcpd(!p-ni G!0-c " tcpdump: salida detallada suprimida, v uso-o-vs para decodificar el protocolo completo de escucha en Em0, enlace de tipo EN10MB (Ethernet), la captura de tamao 96 bytes 23:18:15.830851 IP 10.0.64.210.22> 10.0.64.15.1395: P 116:232 (116) un acuse de recibo de ganar 65.535 23:18:15.831256 IP 10.0.64.15.1395> 10.0.64.210.22:. ack 116 gana 65.299 23:18:16.006407 IP 10.0.64.15.1395> 10.0.64.210.22:. ack 232 gana 65.183 5 paquetes capturados
)>">"("C")" @Me%plo de captura conIe

A9u puede ver la infor%acin de la capa de enlace incluido" Tenga en cuenta la fuente y las direcciones !A de destino ade%2s de la fuente y las direcciones 3& de destino"
1>+
aptura de pa9uetes #tcpd(!p-ni G!0-e-c " tcpdump: salida detallada suprimida, v uso-o-vs para decodificar el protocolo completo de escucha en Em0, enlace de tipo EN10MB (Ethernet), la captura de tamao 96 bytes
5 paquetes capturados
)>">")" Filtros tcpdu%p

@n la %ayora de servidores de seguridad? sin filtros tcpdu%p producir2 la salida tanto 9ue ser2 %uy difcil encontrar el tr2fico de inter6s" Fay nu%erosas e/presiones de filtrado disponibles 9ue per%iten a li%itar el tr2fico 9ue aparecen o capturado a slo lo 9ue se interese
)>">")"(" Anfitrin filtros

&ara hacer un filtro para una %29uina especfica? ane/e de acogida y la direccin 3& con el co%ando tcpdu%p" &ara filtrar para el host (,)"(AC"("(++ puede utiliDar el siguiente co%ando" #tcpd(!p-ni G!0 0ost 192.168.1.100 5ue capturar todo el tr2fico hacia y desde ese host" Si slo desea capturar el tr2fico 9ue se inici por ese host? puede utiliDar el src Directiva" #tcpd(!p-ni G!0 acogida src 192.168.1.100 Del %is%o %odo? ta%bi6n puede filtrar el tr2fico destinado a esa direccin 3& especificando dst" #tcpd(!p-ni G!0 dst 0ost 192.168.1.100
)>">")")" .ed de filtros

filtros de red le per%ite reducir su captura a una subred especfica con el neta e/presin" Despu6s de neta? &uede especificar un 9uad de puntos J192.168.1.1K? Triple de puntos J192.168.1K? par de puntos J192.168K : si%ple%ente un n;%ero J192K" A cuatro puntos es e9uivalente a especificar de acogida? Hn triple de puntos utiliDa una %2scara de subred )>>")>>")>>"+? un par de puntos utiliDa )>>")>>"+"+? y un n;%ero solo usa )>>"+"+"+" @l co%ando siguiente %uestra el tr2fico hacia o desde cual9uier e9uipo con una direccin 3& (,)"(AC"("/"
1>(
aptura de pa9uetes #tcpd(!p-ni G!0 red 192.168.1 @l co%ando siguiente es un eMe%plo 9ue captura el tr2fico hacia o desde cual9uier e9uipo con una (+"/// direccin 3&" #tcpd(!p-ni G!0 neto 10
Los eMe%plos se captura todo el tr2fico desde o hacia la red especificada" Ta%bi6n se puede especificar
src o dst la %is%a 9ue con de acogida filtros para capturar el tr2fico slo se inicia por o destinadas a la especficos de las redes" #tcpd(!p-ni G!0 neto src 10 Ta%bi6n es posible especificar una %2scara 3D. co%o argu%ento para neta" #ni tcpd(!p-G!0 red 1M2.16.0.0612 src
)>">")"*" &rotocolo y filtros de puerto

@strecha%iento por host o una red con frecuencia no es suficiente para eli%inar el tr2fico innecesario de su captura" : es posible 9ue no se preocupan por el origen o destino del tr2fico? y si%ple%ente desea capturar un deter%inado tipo de tr2fico" @n otros casos es posible 9ue desee filtrar todo el tr2fico de
un tipo especfico para reducir el ruido"
)>">")"*"(" T & y HD& puerto filtros

&ara filtrar los puertos T & y HD& se utiliDa el puerto Directiva" @sta captura T & y HD&
el tr2fico con el puerto especificado? ya sea co%o origen o puerto de destino" Se puede co%binar con
tcp o udp para especificar el protocolo? y src o dst para especificar una fuente o puerto de destino" )>">")"*"("(" apture todos tr2fico FTT& #tcpd(!p-ni G!0 tcp p(erto 80 )>">")"*"(")" apture todos los D<S de tr2fico apture todos los D<S de tr2fico Jgeneral%ente HD&? pero algunas consultas utiliDar T &K" #tcpd(!p-ni G!0 el p(erto "3
)>">")"*")" &rotocolo de filtros

Hsted puede filtrar por protocolos especficos con el proto Directiva" &rotocolo se pueden especificar utiliDando
el n;%ero de protocolo 3& o uno de los no%bres icmp?igmp?igrp?pim?ah?esp?vrrp?udp?
1>)
aptura de pa9uetes
o tcp" @specificar vrrp ta%bi6n capturar el tr2fico de A.& co%o el uso de dos el %is%o protocolo 3& n;%ero" Hn uso co%;n de la proto Directiva es filtrar el tr2fico A.&" Debido a 9ue el
no%bres nor%ales protocolo son palabras reservadas? 9ue debe ser escapado con una o dos barras invertidas? en funcin de la c2scara" @l int6rprete de co%andos disponibles en pfSense re9uiere dos barras invertidas para escapar de estas no%bres de protocolo" Si recibe un error de sinta/is? co%pruebe 9ue el no%bre del protocolo est2 correcta%ente escapado"
La captura siguiente le %ostrar2 todas las carpas y el tr2fico en la '..& Em0 interfaD? 9ue puede ser ;til para asegurar el tr2fico A.& se envan y se reciben en la interfaD especificada" #tcpd(!p-ni G!0 proto , , $rrp
)>">")"1" <egar un partido de filtro

Ade%2s de hacer coincidir par2%etros especficos? se puede negar un partido de filtro especificando no frente a la e/presin de filtro" Si est2 solucionando algo %2s 9ue A.& y su
latidos de %ultidifusin se saturan su salida de la captura? puede e/cluir de la siguiente %anera" #$rrp tcpd(!p-ni G!0 no proto , ,
)>">")">" La co%binacin de filtros

&uede co%binar cual9uiera de los filtros antes %encionados con y o o" @n las siguientes secciones citar algunos eMe%plos"
)>">")">"(" !ostrar todos los FTT& tr2fico hacia y desde un host

&ara %ostrar todo el tr2fico FTT& desde el host (,)"(AC"("((? utilice el siguiente co%ando" #p(erto tcpd(!p-ni G!0 0ost 192.168.1.11 / tcp 80
)>">")">")" !ostrar todos los FTT& tr2fico hacia y desde %;ltiples hosts
&ara %ostrar todo el tr2fico FTT& desde los hosts (,)"(AC"("(( y (,)"(AC"("(>? utilice el siguiente
co%andos" #tcpd(!p-ni G!0 anfitrin o 0ost 192.168.1.11 192.168.1.1" / el p(erto B%R 80
)>">")"A" Filtro uso de la e/presin

Las e/presiones de filtro debe venir despu6s de cada indicador de lnea de co%andos utiliDados" Agregar cual9uier banderas despu6s de un filtro e/presin resultar2 en un error de sinta/is"
1>*
aptura de pa9uetes
)>">")"A"(" :rdenacin incorrecta

#tcpd(!p-ni en1 proto , , $rrp-c 2 tcpdump: error de sintaxis
)>">")"A")" :rdenacin correcta

#tcpd(!p-ni en1-c 2 proto , , $rrp
tcpdump: salida detallada suprimida, v uso-o-vs para decodificar el protocolo completo de escucha en en1, enlace de tipo EN10MB (Ethernet), la captura de tamao 96 bytes
2 paquetes capturados 80 paquetes recibidos por el filtro 0 paquetes perdidos por el kernel
)>">")"B" !2s infor%acin sobre Filtros

@sta seccin cubre las %2s utiliDadas e/presiones de filtro tcpdu%p? y cubre? probable%ente toda la sinta/is 9ue necesita" Sin e%bargo? esto apenas roDa la superficie de las posibilidades" <o Son %uchos los docu%entos en la web 9ue cubren tcpdu%p en general y especfica%ente de filtrado" 'er Seccin )>"C? N.eferencias adicionalesN al final de este captulo para obtener enlaces a referencias adicionales sobre el te%a"
)>">"*" Solucin de proble%as pr2cticos eMe%plos

@sta seccin detalla un enfo9ue preferido por nosotros para solucionar algunos proble%as especficos" Fay %;ltiples %aneras de abordar cual9uier proble%a? pero la captura de pa9uetes rara%ente puede ser vencido por su eficacia" @/a%inar el tr2fico en el cable proporciona un nivel de visibilidad de lo 9ue es real%ente sucediendo en la red
)>">"*"(" &uerto no de trabaMo previsto

Hsted acaba de agregar un puerto para la cone/in? y est2n tratando de usarlo desde un host en 3nternet? pero los dados no" Los pasos de solucin de proble%as descritos en Seccin B","(? N&uerto Adelante Solucin de proble%asN ofrece una %anera de abordar esto? pero a veces captura de pa9uetes es la ;nica %anera %2s f2cil o para encontrar la fuente del proble%a"
)>">"*"("(" @%peDar desde =A<

@n pri%er lugar usted necesita para asegurarse de 9ue el tr2fico est2 llegando a su interfaD =A<" 3nicie una sesin de tcpdu%p en su interfaD =A<? y velar por el tr2fico de venir pulg
1>1
aptura de pa9uetes #tcpd(!p-ni $lan0 p(erto B%R "900 tcpdump: salida detallada suprimida, v uso-o-vs para decodificar el protocolo completo de escucha en vlan0, enlace de tipo EN10MB (Ethernet), la captura de tamao 96 bytes
@n este caso? ve%os un pa9uete de llegar de la =A<? por lo 9ue lo est2 haciendo tan leMos" Tenga en cuenta 9ue el pri%era parte del protocolo de enlace T &? un pa9uete con slo SS< Jla S se %uestraK? nos est2 alcanDando" Si el puerto de avanDar es trabaMar podr2s ver un pa9uete SS< A Q en respuesta al SS<" Sin retorno tr2fico visible? podra ser una regla de firewall o el siste%a de destino puede ser inalcanDable Japagado? no escuchando en el puerto especificado? firewall de host blo9ueando el tr2fico? etc"K
)>">"*"(")" o%pruebe la interfaD interna

@l paso siguiente sera eMecutar una sesin de tcpdu%p en la interfaD interna asociada con la puerto hacia adelante" #tcpd(!p-ni f-p0 p(erto B%R "900
tcpdump: salida detallada suprimida, v uso-o-vs para decodificar el protocolo completo de
escucha en fxp0, enlace de tipo EN10MB (Ethernet), la captura de tamao 96 bytes
!irando el tr2fico interno? ve%os 9ue la cone/in se fue dentro de la interfaD? y el direccin 3& local fue traducido correcta%ente" Si esta direccin local coincide con lo 9ue se esperaba? a continuacin? tanto en el puerto para la cone/in y la regla de firewall est2n funcionando correcta%ente? y la conectividad a los locales & debe ser confir%ada por otros %edios" Si no ve salida alguna? entonces no es un proble%a con la regla de firewall o el puerto para la cone/in puede haber sido %al definido" &ara este eMe%plo? !e haba desconectado el & "
)>">"*")" t;nel 3&sec no se conecta

Debido a tcpdu%p tiene un cierto conoci%iento de los protocolos utiliDados? puede ser %uy ;til para pelearse con los proble%as con los t;neles 3&sec" Los eMe%plos pr/i%os %ostrar el error de c%o ciertos condiciones se pueden presentar cuando la vigilancia con tcpdu%p" Los registros de 3&sec puede ser %2s ;til en algunos casos? pero esto se puede confir%ar lo 9ue en realidad es ser visto por el router" &or el tr2fico cifrado co%o 3&sec? la captura de pa9uetes del tr2fico es de %enor valor ya 9ue no puede e/a%inar la capacidad de carga de los pa9uetes capturados sin par2%etros adicionales? pero es ;til deter%inar si el tr2fico desde el e/tre%o re%oto est2 llegando a su servidor de seguridad y 9ue las fases co%pletas" @ste pri%er t;nel tiene un punto inalcanDable:
#tcpd(!p-ni $r0 0ost 192.168.10.6
1>>
aptura de pa9uetes
tcpdump: salida detallada suprimida, v uso-o-vs para decodificar el protocolo completo de escucha en vr0, enlace de tipo EN10MB (Ethernet), la captura de tamao 96 bytes 19:11:11.542976 IP 192.168.10.5.500> 192.168.10.6.500: ISAKMP: la fase 1 que agr 19:11:21.544644 IP 192.168.10.5.500> 192.168.10.6.500: ISAKMP: la fase 1 que agr @ste intento de t;nel tiene una &SQ no coincidentes? observe la for%a en 9ue los intentos de pasar a la fase )? pero luego se detiene: #tcpd(!p-ni $r0 0ost 192.168.10.6
escucha en vr0, enlace de tipo EN10MB (Ethernet), la captura de tamao 96 bytes 19:15:05.566352 IP 192.168.10.5.500> 192.168.10.6.500: ISAKMP: la fase 1 que agr 19:15:05.623288 IP 192.168.10.6.500> 192.168.10.5.500: ISAKMP: fase 1 agr I Ahora la fase ( est2 bien? pero hay un desaMuste en la fase ) de la infor%acin" @n repetidas ocasiones se intenta la fase ) de tr2fico? pero no ver2 ning;n tr2fico en el t;nel" #tcpd(!p-ni $r0 0ost 192.168.10.6
escucha en vr0, bytes 19:17:18.447952 que agr 19:17:18.490278 19:17:18.520149 que agr
enlace de tipo EN10MB (Ethernet), la captura de tamao 96 IP 192.168.10.5.500> 192.168.10.6.500: ISAKMP: la fase 1 IP 192.168.10.6.500> 192.168.10.5.500: ISAKMP: fase 1 agr I IP 192.168.10.5.500> 192.168.10.6.500: ISAKMP: la fase 1
Final%ente? despu6s de un t;nel en pleno funciona%iento con el tr2fico en a%bos sentidos la Fase ( y Fase ) han ter%inadoX #tcpd(!p-ni $r1 0ost 192.168.10.6
escucha en VR1, enlace de tipo EN10MB (Ethernet), la captura de tamao 96
bytes 21:50:11.238263 IP 192.168.10.5.500> 192.168.10.6.500: ISAKMP: la fase 1 que agr 21:50:11.713364 IP 192.168.10.6.500> 192.168.10.5.500: ISAKMP: fase 1 agr I 21:50:11.799162 IP 192.168.10.5.500> 192.168.10.6.500: ISAKMP: la fase 1 que agr
1>A
aptura de pa9uetes
)>">"*"*" @l tr2fico 9ue atraviesa un t;nel 3&Sec

on algunos aMustes adicionales para inicialiDar el proceso? ta%bi6n puede ver el tr2fico 9ue atraviesa su 3&sec
t;neles" @sto puede ayudar a deter%inar si el tr2fico est2 tratando de llegar al otro e/tre%o utiliDando el t;nel"
@n versiones anteriores a la liberacin (")"*? antes de tcpdu%p funciona en la interfaD 3&sec 9ue haba para establecer dos variables sysctl 9ue el control de lo 9ue es visible a tcpdu%p" Si est2 utiliDando versin (")"* o %2s reciente? tcpdu%p funcionar2 sin ninguna %anipulacin adicional"
@n el siguiente eMe%plo? una %29uina a un lado del t;nel con 6/ito el envo de un eco 3 !&
peticin JpingK a la cara oculta? y recibir respuestas" #net.enc.o(t.ipsec_)pf_!as1 s/sctl-2 * 0-00000001 net.enc.out.ipsec_bpf_mask: 0000000000 -> 0x00000001 #net.enc.in.ipsec_)pf_!as1 s/sctl-2 * 0-00000001 net.enc.in.ipsec_bpf_mask: 0000000000 -> 0x00000001 #tcpd(!p-ni enc0 ADVERTENCIA:: tcpdump enc0: sin direccin IPv4 asignada tcpdump: salida detallada suprimida, v uso-o-vs para decodificar el protocolo completo de escucha en enc0, enlace de tipo ENC (OpenBSD encapsulado IP), el tamao de captura de 96 bytes 22:09:18.331506 (autntico, confidencial): 0x09bf945f SPI: IP 10.0.20.1> 10.0.30.1: Solicitud de eco ICMP, id 14140, ss 0, longitud 64 22:09:18.334777 (autntico, confidencial): SPI 0x0a6f9257:
IP 192.168.10.6> 192.168.10.5: IP 10.0.30.1> 10.0.20.1: Respuesta de eco ICMP, id 14140, ss 0, longitud 64 (ipip-proto-4)
22:09:19.336613 (confidencial autntico): 0x09bf945f SPI: IP 10.0.20.1> 10.0.30.1: Solicitud de eco ICMP, id 14140, ss 1, longitud 64 22:09:19.339590 (autntico, confidencial): SPI 0x0a6f9257:
IP 192.168.10.6> 192.168.10.5: IP 10.0.30.1> 10.0.20.1: Respuesta de eco ICMP, id 14140, ss 1, longitud 64 (ipip-proto-4)
Si el tr2fico no estaba debida%ente entrar en el t;nel? no se ve ninguna salida" Si hay un firewall o asunto interno de enruta%iento en el lado opuesto? puede ver el tr2fico 9ue sale? pero devolver nada"
1>B
aptura de pa9uetes
)>">"*"1" Solucin de proble%as de <AT Saliente

&ara entornos co%pleMos donde AvanDada de salida <AT es necesario? tcpdu%p puede ser de gran
asistencia en la solucin de proble%as de la configuracin <AT de salida" Hna buena captura de usar es #uscar para el tr2fico con direcciones 3& privadas en su interfaD =A<? co%o todo lo 9ue ve en su =A< debe <AT a una 3& p;blica" La captura siguiente %ostrar2 todo el tr2fico con .F (",(C direcciones 3& co%o origen o destino" @sto le %ostrar2 todo el tr2fico 9ue no se pongan en venta una de las reglas <AT de salida? proporcionando infor%acin para ayudar a revisar su salida <AT
de configuracin para encontrar el proble%a" #tcpd(!p-ni G!0 neta de 10 o neto 192\168 o red 1M2.16.0.0612
)>"A" Hso de =iresharL con pfSense

=iresharL? antes conocido co%o @thereal? es un an2lisis de protocolo interfaD gr2fica de usuario y la herra%ienta de captura de pa9uetes 9ue se puede utiliDar para ver y capturar el tr2fico al igual 9ue tcpdu%p" @s un software de cdigo abierto? libre disponible en http:77www"wiresharL"org7" Ta%bi6n puede utiliDarse para analiDar archivos de captura generados por el pfSense =ebGH3? tcpdu%p? @thereal? o cual9uier otro software 9ue escribe los archivos en la nor%a
pcap for%ato de archivo"
)>"A"(" 'isualiDacin de archivos de pa9uetes de captura

&ara ver un archivo de captura de =iresharL? inicie el progra%a y luego ir a Archivo Abrir" #us9ue el archivo de captura? a continuacin? haga clic en el botn Abrir" Ta%bi6n puede hacer doble clic sobre cual9uier archivo con un . Pcap de e/tensin en =indows y :S G con la configuracin por defecto tras la instalacin de =iresharL" Hsted ver2 una pantalla si%ilar a la Figura )>")? N aptura de =iresharL 'erN en la 9ue los datos de la captura
archivo se %uestra"
o%o se observa en la Figura )>")? N aptura de =iresharL 'erN? una lista 9ue resu%e los pa9uetes en la captura archivo se %ostrar2 en la lista de los %eMores? con un pa9uete por la lnea" Si hay de%asiados? puede filtrar los resultados %ediante el cuadro de filtro en la barra de herra%ientas" Al hacer clic en un pa9uete? los cuadros inferiores se %ostrar los detalles de lo 9ue contena en su interior" @l pri%er panel inferior %uestra un desglose de la estructura de los pa9uetes? y cada uno de estos ele%entos se puede a%pliar para %2s detalles" Si el pa9uete es de un protocolo de apoyo? en algunos casos puede interpretar los datos y %ostrar los detalles %2s" La panel inferior %uestra una representacin he/adeci%al y AS 33 de los datos contenidos en el pa9uete" 'iendo la captura de esta %anera? es f2cil ver el fluMo de tr2fico con detalle tanto o tan poco co%o
seg;n sea necesario"
1>C
aptura de pa9uetes
)>"A")" =iresharL Ferra%ientas de an2lisis

!ientras 9ue algunos proble%as se re9uieren a%plios conoci%ientos de c%o los protocolos subyacentes
funcin? las herra%ientas de an2lisis integradas en =iresharL 9ue ayuda a dis%inuir la necesidad de %uchos protocolos" #aMo AnaliDar las estadsticas y los %en;s? encontrar2 algunas opciones 9ue auto%atiDan algunos de los an2lisis y proporcionar resu%en de las opiniones de lo 9ue figura en la captura" @l @/perto en 3nfor%acin de opciones AnaliDar el %en; %ostrar2 una lista de errores? advertencias y notas 9ue figuran las conversaciones de la red
en la captura"
<ota
5ue co%;n%ente se ven errores en =iresharL para las su%as de co%probacin incorrecta" @sto es por9ue la %ayora de tarMetas de red a0adir la su%a de co%probacin en el hardware directa%ente antes de ponerlo en la ala%bre" @sta es la ;nica e/cepcin a la nota anterior diciendo lo 9ue usted ve en un pa9uete captura es lo 9ue est2 en el ala%bre" @l tr2fico enviado desde el siste%a donde la captura se to%a tendr2 las su%as de co%probacin incorrecta en el 9ue se realiDan en el hardware? aun9ue el tr2fico 9ue viene desde un siste%a re%oto debe tener sie%pre las su%as de co%probacin correcta" &uede desactivar la co%probacin de descarga para asegurarse de 9ue est2n viendo el tr2fico co%o el anfitrin es ponerlo en el cable? aun9ue por lo general esto es algo 9ue si%ple%ente ignoran" @n caso de usted necesita para verificar las su%as de co%probacin? lo nor%al es 9ue 9uieres capturar el tr2fico de otro
siste%a utiliDando una red grifo o interruptor de puerto span"

@l %en; de la telefona es un eMe%plo de an2lisis auto%atiDado de =iresharL puede realiDar para hacer es f2cil ver los proble%as con 'o3&" @n este caso particular? el tr2fico de 'o3& se atraviesa un !&LS ircuito con routers =A< del proveedor conectado a una interfaD :&T de pfSense en a%bos lados" Hna captura de la interfaD de T&: en el e/tre%o de iniciar %ostr ninguna p6rdida? lo 9ue indica el tr2fico era
de ser enviado al router del proveedor? pero la interfaD opcional en el e/tre%o opuesto %ostraron considerables
la p6rdida de pa9uetes en una direccin cuando varias lla%adas al %is%o tie%po se activa" @stos pa9uetes de captura ayud a convencer al distribuidor de un proble%a en su red? y encontr 9ue fiMa y una calidad de servicio proble%a de configuracin de su lado" Al ver una captura de pa9uetes 9ue contiene tr2fico de .T&? haga clic en
Belefon]a?RBR?3ostrar todas las corrientes para ver esta pantalla"
Figura )>"*" =iresharL An2lisis de .T&
1>,
aptura de pa9uetes
)>"A"*" .e%oto en tie%po real de captura

Desde un host H<3G 9ue ha =iresharL disponibles? puede eMecutar una captura en tie%po real a distancia por reorientacin de la salida de una sesin SSF" @sto ha sido probado y se sabe 9ue funcionan en Free#SD
y Hbuntu"
on el fin de utiliDar esta t6cnica? SSF debe estar habilitado en el siste%a de pfSense y 9ue usted necesita utiliDar una clave SSF Jv6ase Seccin 1">")? NSecure Shell JSSFKNK" La pri%era clave se debe cargar en sshIagent o generados sin una contrase0a? por9ue la redireccin no se le per%itir2 entrar en una contrase0a" Hsar sshIagent es %uy reco%endable? ya 9ue cual9uier clave sin una palabra de paso es %uy
inseguridad"
Antes de intentar esta t6cnica? aseg;rese de 9ue puede conectarse a su router utiliDando pfSense una clave SSF sin necesidad de teclear la contrase0a" La pri%era veD 9ue se conecte? se le le pide 9ue guarde la clave de host? por lo 9ue ta%bi6n debe hacerse antes de intentar iniciar =iresharL" Hsted
puede co%enDar a sshIagent desde una ventana de ter%inal o depsito de este %odo: #e$al Iss0-agentc Agente pid 29047 #ss0-add Introduzca contrasea para / home / jim / .ssh / id_rsa: Identidad agreg: / home / jim / .ssh / id_rsa (/ home / jim / .ssh / id_rsa) A continuacin? iniciar una sesin SSF? co%o de costu%bre: #ss0 root D192.1 !.1.1 La autenticidad de host '192 .168.1.1 (192.168.1.1) no puede ser establecida. huella digital de claves DSA es 9e: c0: b0: 5a: b9: 9b: f4: ec: 7f: 1d: 8a: 2d: 4a: 49:01:1 B. Est seguro que desea continuar la conexin (s / no)? s
Advertencia: Permanentemente agreg .168.1.1 '192 '(DSA) a la lista de hosts conocidos.
*** Bienvenidos a pfSense-1.2.3 de pfSense ExCo-rtr *** [...] Despu6s de haber confir%ado 9ue la cone/in SSF funciona? inicie la captura re%ota de la siguiente %anera: #:ires0ar1-1-i T<ss0 root D192.1 !.1.1 tcpd(!p-i )#0 -9-2 - no el p(erto B%R 22= uando la parte de la direccin 3& es la direccin de su siste%a de pfSense" @l Nno tcp p(erto 22N parte se e/cluye el tr2fico de su sesin de SSF? 9ue de lo contrario va a tapar la salida de la captura" Lo anterior est2 escrito en la Nfiesta al estilo deN la sinta/is? pero puede funcionar con otros shells" Hsted puede aMustar el
1A+
aptura de pa9uetes
tcpdu%p argu%entos para la interfaD? y agregar e/presiones adicionales? pero el -U y -W - se necesarias para 9ue se escribe la salida a stdout? y escribe cada pa9uete 9ue llega" '6ase ta%bi6n la onfiguracin de captura 7 Tubos [http:77wiLi"wiresharL"org7 aptureSetup7&ipesp2gina\ en el =iresharL wiLi de otras t6cnicas relacionadas"
)>"B" Te/to sin for%ato &rotocolo de depuracin con fluMo T &

fluMo T & es otro pa9uete si%ilar a tcpdu%p 9ue le per%itir2 ver el contenido del te/to
pa9uetes en tie%po real en lugar de la cabecera del pa9uete y la infor%acin de transporte" fluMo T & utiliDa sinta/is si%ilar a tcpdu%p? con una notable e/cepcin: &or defecto se escribe el te/to del pa9uete de
archivos en lugar de la consola" &ara ver la salida en la consola? utilice la -C opcin" Si bien no est2 disponible en una instalacin de pfSense stocL? fluMo T & se puede agregar desde el s%bolo del
lnea %ediante la instalacin del pa9uete de Free#SD" Se trata de un pe9ue0o pa9uete con ninguna dependencia? lo 9ue la instalacin
no debe da0ar el siste%a" &ara instalar fluMo T & en pfSense? eMecute el co%ando siguiente desde una concha pfSense: #p1g_add-r fl(.o B%R #refrito
Si est2s teniendo proble%as con una cone/in FT& de una red LA<? usted puede supervisar el control
canal en el lado =A<? as: #fl(.o B%R-i-c $lan0 1M2.1M.11.9 0ost / el p(erto 21 flujo TCP [13899]: escucha en vlan0 010.000.073.005.23747-172.017.011.009.00021: 172.017.011.009.00021-010.000.073.005.23747: contrasea. 010.000.073.005.23747-172.017.011.009.00021: 172.017.011.009.00021-010.000.073.005.23747: 010.000.073.005.23747-172.017.011.009.00021: fieldtech USUARIO 331 Por favor, especifique la PASO abc123 230 Nombre de xito. PUERTO 10,0,73,5,194,240
010.000.073.005.23747-172.017.011.009.00021: NLST 172.017.011.009.00021-010.000.073.005.23747: 150 Aqu viene la lista de directorios. 172.017.011.009.00021-010.000.073.005.23747: 226 Directorio de enviar en Aceptar. o%o se puede ver en esta salida? es f2cil de controlar el fluMo de protocolos de control de te/to sin for%ato co%o FT&" Hsted puede ver los co%andos y la salida en a%bas direcciones? y lo %2s i%portante 9ue puede ver 9ue el pro/y FT& hiDo su trabaMo y traducido el co%ando &:.T al utiliDar la 3& =A< direccin de pfSense lugar? lo 9ue per%ite el %odo activo para 9ue funcione correcta%ente" Si en lugar de ver la
LA<
1A(
aptura de pa9uetes
direccin 3& 9ue aparece en el co%ando &:.T? usted sabra 9ue co%probar la configuracin de pro/y FT& o ca%biar al %odo &AS' en el cliente"
Despu6s de haber fluMo T & todo ha sido %uy ;til en %i e/periencia? y hace un buen co%ple%ento
tcpdu%p para cuando se desea centrarse en el contenido de los pa9uetes en lugar de su estructura"
)>"C" .eferencias adicionales

@sta captura slo roDa la superficie de las posibilidades de captura de pa9uetes" Vstos son algunos de
recursos adicionales para los interesados en un conoci%iento %2s a fondo" aptura de pa9uetes es una
%uy potente %edio de solucin de proble%as de conectividad de red? y encontrar2n su
habilidades de solucin de proble%as %ucho %eMor si usted aprende las posibilidades con %ayor profundidad"
.edes de o%putadoras: &rotocolos de 3nternet en Accin [Fttp:77www"a%aDon"co%7gp7
product7+1B(AA(CA18 es decir? c HTFC e tag c pfSenseI)+ y linL ode c AS) y ca%po c (BC, c ,*)> y creativa y creativeAS3< c +1B(AA(CA1\ por $eanna !atthews Tcpdu%p Filtros [Fttp:77www"whitehats"ca7%ain7%e%bers7!aliL7%aliL_tcpdu%p_filters7 \ !aliL_tcpdu%p_filters"ht%l por $a%ie franc6s Tcpdu%p Filtros avanDados [http:77acs"lbl"gov7 a Mason 7 tcpdu%p_advanced_filters"t/t\ &or Sebastien =ains Tcpdu%p Filtros [Fttp:77www"cs"ucr"edu7 a %arios 7 tcpdu%p"pdf et6reo\ de !arios 3liofotou Free#SD Fo%bre &age de tcpdu%p [http:77www"freebsd"org7cgi7%an"cgi8 9uery c tcpdu%p y propsito c + e seLtion c + e %anpath c Free#SD B")I.@L@AS@ e for%at c ht%l\
1A)
Ap6ndice A" Gua de %en;s

@sta gua de las opciones del %en; est2ndar disponibles en pfSense debera ayudar a identificar r2pida%ente
con el fin de una opcin de %en; deter%inado? y se refieren a los lugares en el libro? donde las opciones son
tratar2 con %ayor detalle"

Los pa9uetes se pueden agregar ele%entos a cual9uier %en;? as 9ue usted puede tener 9ue ver todos ellos para localiDar el %en; opciones para todos los pa9uetes instalados" <or%al%ente? los pa9uetes de instalacin en el %en; Servicios? pero no
%uchos de los 9ue ocupan los otros %en;s ta%bi6n"
A"(" Siste%a de
@l %en; Siste%a contiene opciones para el propio siste%a? generales y opciones avanDadas? el fir%ware
actualiDaciones? pa9uetes adicionales? y las rutas est2ticas" AvanDada onfiguracin avanDada del siste%a para el servidor de seguridad? hardware? SSF? SSL certificados? y %uchos otros" 'er Seccin 1">? N onfiguracin avanDada :pciones N"
ActualiDar o ca%biar la versin del fir%ware del siste%a" J&or eMe%plo? actualiDacin de pfSense
Fir%ware onfiguracin General &a9uetes
(")") a (")"*K" 'er Seccin *"B"*"(? NAu%entar el uso de la =ebGH3N" onfiguracin general del siste%a? co%o el no%bre de host? do%inio? servidores D<S? etc 'er Seccin 1"1? N:pciones de configuracin generalesN" Adicional de software addIons para pfSense para a%pliar su funcionalidad" 'er aptulo )*? &a9uetes" @l asistente de configuracin le gua a trav6s del proceso de realiDacin de la base la configuracin inicial" 'er Seccin 1")? NAsistente de configuracinN" Las rutas est2ticas 9ue pfSense saber c%o llegar a las subredes no locales a trav6s de local routers accesible" 'er Seccin C"(? Nrutas est2ticasN"
Asistente de configuracin .utas est2ticas
A")" 3nterfaces
asignado"
@l %en; tiene ele%entos de interfaces para las interfaces de asignacin? y un ele%ento para cada interfaD
=A< y LA< aparecer2 sie%pre? %ientras 9ue otros aparecen co%o :&TG o el no%bre 9ue han sido
deter%inado"
1A*
Gua de %en;s JAsignarK
Asignar interfaces a las funciones de lgica Jpor eMe%plo? LA<? =A<? :&TK?
y crear o %antener las 'LA<" 'er Seccin 1"*"(? NAsignar
OtitleP O7 =A< TitleP OtitleP OLA< 7 TitleP OtitleP :&TG O7 TitleP
interfaces N y aptulo (+? LA< virtuales J'LA<K"

onfigurar la interfaD =A<" 'er Seccin 1"*")? N=A<
3nterface N"
onfigurar la interfaD LA<" 'er Seccin 1"*"*? NLA<
3nterface N"
onfigure las interfaces opcionales adicionales" 'er
Seccin 1"*"*? NinterfaD de LA<N"
A"*" Servidor de seguridad

Los ele%entos de %en; para la configuracin de Firewall de diversas partes de las reglas del firewall? las reglas <AT? y su estructura de soporte" OtitleP Alias O7 TitleP OtitleP O7 <AT TitleP OtitleP .eglas O7 TitleP OtitleP Listas O7 TitleP OtitleP Tr2fico Shaper O7 TitleP OtitleP 'irtual 3& O7 TitleP &er%ite gestionar las colecciones de direcciones 3&? redes? o los puertos para si%plificar la creacin de reglas y de gestin" 'er Seccin A"*? NAliasN" !antener <AT reglas 9ue controlan el puerto hacia delante? <AT (:(? <AT y el co%porta%iento de salida" 'er aptulo B? .ed Traduccin de direcciones" onfigurar reglas de firewall" Debe haber una ficha en este
pantalla para cada interfaD configurada" 'er Seccin A")?
N3ntroduccin a la pantalla de .eglas de cortafuegosN" onfiguracin basada en los calendarios previstos regla" 'er Seccin A",? NTie%po .eglas de base N" onfigurar de tr2fico 7 alidad de Servicio J5oSK aMustes" 'er aptulo (A? Traffic Shaper" onfigurar direcciones 3& virtuales 9ue per%iten %aneMar pfSense el tr2fico de %2s de una direccin 3& por cada interfaD? general de las reglas <AT o de con%utacin por error A.&" 'er Seccin A"C? N3&s virtualesN"
1A1
Gua de %en;s
A"1" Servicios
@l %en; Servicios contiene los ele%entos 9ue le per%iten controlar los diferentes servicios prestados por los de%onios eMecut2ndose en pfSense" 'er aptulo )(? Servicios" &ortal cautivo ontrola el &ortal autivo servicio 9ue te per%ite dirigir a los usuarios a una pri%era web para la autenticacin antes de per%itir el acceso a 3nternet de la p2gina" 'er aptulo (,? &ortal autivo" onfigura pfSense incorporada en el al%acena%iento en cach6 de resolucin D<S" 'er .el6 DF & Servidor DF & Seccin )("*? ND<S ForwarderN" onfigura el servicio de retrans%isin de DF & 9ue pro/y peticiones DF & de un seg%ento de red a otro" 'er Seccin )(")? NDF & .elayN" onfigura el servicio DF & 9ue proporciona direccin 3& auto%2tica configuracin para los clientes en las interfaces internas" 'er Seccin )("(? NDF & Servidor N"
D<S forwarder
D<S din2%ico
onfigura los servicios de D<S din2%ico JDynD<SK? 9ue se actualiDar2 un %ando a @9uilibrador de carga distancia siste%a cuando este router =A< de pfSense direccin 3& ha ca%biado" 'er Seccin )("1? ND<S din2%icaN" :LS. Servidor &&&o@
onfigura el e9uilibrador de carga? 9ue en %odo Gateway e9uilibrio
cone/iones de salida a trav6s de %;ltiples enlaces =A<? o en %odo de servidor se e9uilibrio de las cone/iones entrantes a trav6s de servidores %;ltiples" 'er aptulo (B? Servidor de e9uilibrio de carga" onfigura :pti%iDado estado de los vnculos de enruta%iento? una %alla de enlace din2%ico de%onio? 9ue soporta redes inal2%bricas de %alla" onfigurar el servidor &&&o@ 9ue per%iten pfSense para aceptar y autenticar las cone/iones de los clientes &&&o@" 'er Seccin )(",? N&&&o@ Servidor N" onfigura el de%onio de enruta%iento .3&" 'er Seccin C"*"(? N.3&N" onfigura el Si%ple <etworL !anage%ent &rotocol JS<!&K de%onio para per%itir la recoleccin de la red basado en las estadsticas de este router" 'er Seccin )(">? NS<!&N" onfigurar el Hniversal &lug and &lay JH&n&K 9ue puede configurar auto%2tica%ente las reglas de <AT y firewall para los dispositivos 9ue co%patibles con el est2ndar H&n&" 'er Seccin )("A? NH&n&N"
.3& S<!&
H&n&
1A>
Gua de %en;s :pen<T&D =aLe on LA<
onfigurar el de%onio del servidor de tie%po de red &rotocolo" 'er Seccin )("B? N:pen<T&DN" onfigurar =aLe on LA< servicios 9ue le per%iten despertar re%ota%ente cliente de acceso desde el siste%a de pfSense & " 'er Seccin )("C? N=aLe on LA< N"
A">" '&<
@l %en; '&< contiene ele%entos relacionados con las redes privadas virtuales J'&<K? incluyendo 3&Sec? :pen'&< y &&T&" 'er aptulo ()? .edes privadas virtuales" 3&sec onfiguracin de t;neles '&< 3&sec? 3&sec opciones %viles y los usuarios? y los certificados" 'er aptulo (*? 3&sec" :pen'&< :pen'&< configurar servidores y clientes? as co%o la configuracin especfica del cliente" 'er aptulo (>? :pen'&<" &&T& onfigurar &&T& servicios y usuarios? o el rel6" 'er aptulo (1? &&T& '&<"
A"A" ondicin $urdica y Social

@l %en; @stado le per%ite co%probar el estado de varios co%ponentes del siste%a y servicios? as co%o ver los registros" &ortal autivo A.& JfailoverK uando &ortal autivo est2 habilitado? puede ver el estado del usuario" 'er aptulo (,? &ortal autivo"
'er el estado de A.& direcciones 3& en este siste%a" !ostrar2
!AST@. 7 estado del respaldo" 'er Seccin )+"A"(? N A.& o%pruebe estado N" DF & arrenda%ientos
'er una lista de todas las concesiones DF & asignada por el router" Hsted
Filtro ActualiDar estado
Ta%bi6n puede eli%inar los arrenda%ientos en lnea? enviar =aLe on LA< a las solicitudes siste%as en lnea? o crear arrenda%ientos est2tica de las entradas actuales" 'er Seccin )("("*? NArrenda%ientosN"
!uestra el estado de los filtros de recarga peticiones 9ue son Jo fueronK pendientes" @l filtro se vuelve a cargar cada veD 9ue se aplican los ca%bios"
Si no hay ca%bios se han hecho? esta pantalla slo debe infor%ar 9ue una actualiDacin se ha co%pletado"
1AA
Gua de %en;s 3nterfaces
Le per%ite ver el estado del hardware de las interfaces de red? e9uivale a utiliDar ifconfig en la consola" 'er Seccin ))"*? N@stado de la interfaDN" &untos de vista el estado de cual9uier configurar t;neles 3&sec" 'er aptulo (*? 3&sec" &untos de vista el estado de las piscinas del e9uilibrador de carga" &ara una carga de puerta de enlace de e9uilibrio? ver Seccin ((","(? N&rueba de con%utacin por errorN" &ara el servidor balanceo de carga v6ase Seccin (B")">? N'isualiDacin de e9uilibrador de carga estado N" 'er los registros de deter%inados pa9uetes de apoyo" 'er el estado de las colas de tr2fico" 'er Seccin (A"A? N!onitoreo de las colasN"
3&sec @9uilibrador de carga
&a9uete de registros olas ..D Gr2ficos
Servicios Siste%a de
'er un gr2fico de datos para las estadsticas del siste%a? tales co%o ancho de banda utiliDado? uso de la &H? los estados de firewall? y as sucesiva%ente" 'er Seccin ))">? N..D Gr2ficos N" !onitorear el estado de los servicios del siste%a y el pa9uete y 7 o servicios" 'er Seccin ))"1? N@stado del servicioN" Hn ataMo de vuelta a la p2gina principal del router 9ue pfSense %uestra infor%acin general del siste%a" 'er Seccin ))")? NSiste%a de ondicin $urdica y Social N"
'er los registros del siste%a y los servicios del siste%a co%o el
Los registros del siste%a Tr2fico gr2fica H&n& =iIfi
firewall? DF &? '&<? etc 'er Seccin ))"(? NSiste%a de .egistrosN" 'er un gr2fico din2%ico en tie%po real el tr2fico de S'G basada en una interfaD" 'er Seccin ))"B? Nlos gr2ficos de tr2ficoN"
A"B" Diagnstico
'er una lista de los delanteros puerto activo H&n&" 'er Seccin )("A? NH&n&N" 'er una lista de todas las redes inal2%bricas disponibles en la actualidad en el rango" 'er Seccin (C")"1? NListado inal2%brica disponible redes y la intensidad de la se0al N"
@le%entos en el %en; Diagnsticos realiDar diversas tareas de diagnstico y ad%inistrativos"
1AB
Gua de %en;s Tablas A.&
'er una lista de los siste%as co%o se ve a nivel local por el router" La lista incluye una direccin 3&? direccin !A ? no%bre de host? y la interfaD de la 9ue el siste%a fue visto" opia de seguridad y restaurar archivos de configuracin" 'er Seccin >")? N.ealiDacin de opias de seguridad en la =ebGH3 N? Seccin >">"(? N.estauracin de la =ebGH3 N? S Seccin >">")? N.estauracin de la Fistoria de configuracinN" @Mecutar co%andos de shell o el cdigo de &F&? y carga y descarga de archivos el siste%a de pfSense" Htilice con precaucin"
#acLup 7 .estore
S%bolo del siste%a @ditar archivo
valores predeter%inados @ditar un archivo en el siste%a de pfSense" de f2brica .establece la configuracin por defecto" Tenga en cuenta? sin e%bargo? 9ue esta no altera el siste%a de archivos o desinstalar los pa9uetes? slo los ca%bios aMustes de configuracin" Apague el router y desconectar la ali%entacin cuando sea posible" Slo visible en la <ano#SD JintegradoK de la platafor%a" &er%ite la clonacin de la divisin de trabaMo sobre la rebanada de suplentes? y elegir cu2l de ellos debe usarse para arrancar el router"
@nviar tres peticiones de eco 3 !& a una direccin 3&? enviado a trav6s de un
Detener el siste%a <ano#SD
&ing .einicio del siste%a .utas @stados TraDado aptura de pa9uetes
elegido interfaD" <o es co%patible con %ultiI=an" .einicie el router pfSense" Dependiendo del hardware? esto podra tardar varios %inutos" !uestra el contenido de la tabla de enruta%iento del siste%a" 'er Seccin C"1"(? N.utas de visinN" 'er los estados de firewall activo" 'er Seccin ))"A"(? N'iendo en la =ebGH3N" TraDar la ruta 9ue to%an los pa9uetes entre el router y un pfSense siste%a re%oto" 'er Seccin C"1")? NHtiliDacin de tracerouteN"
.ealiDar una captura de pa9uetes para inspeccionar el tr2fico? a continuacin? ver o descargar
los resultados" 'er Seccin )>"1? N&a9uete de aptura de la =ebGH3N"
1AC
Rndice
S%bolos
+(:+( <AT? (1+? (1+ J'6ase ta%bi6n el <AT? +(:+(K
Hn
A &3? BC :pciones avanDadas? AA Alias? (+C onfiguracin? (+C Los @M6rcitos? (+C @9uilibrio de carga y? *>+ .edes? (+, &uertos? (+, HtiliDando? (+,
Alt9 Jv6ase el Traffic ShapingK
Aparato? 1 DF & Server? > D<S? 1 Sniffer? > '&<? 1 Auto onfig#acLup pa9uete? ,+ Auto%2tica de salida <AT 'er salida <AT? auto%2tica? (*1
@l acceso SSF? AB ActualiDaciones del siste%a? >( Acceso =ebGH3? AA #G&? (AA #ittorrent? **)?1(( #lo9ue .edes #ogon? A(? ((A ActualiDacin de la lista de #ogon? ((B #lo9ue de redes privadas? A(?((A bns%pd? 1+C !en; de inicio? BC Frontera &rotocolo de puerta de enlace? (AA #order .outer? * &uente? (B* apa ) Loops? (B* =ireless y? *>C Difusin de do%inio? (B* A.& y? *,> La co%binacin? (B1 definido? (> DF & y? 1+1 .egistros y? ((* !;ltiples interfaces? ()* 'LA<s y? (C) =ireless y? *>C?*A+ &ortal autivo? *B) &uente y? (B> &2ginas de? *B> Li%itaciones? *B) .AD3HS y? *B* #asados en el tie%po las reglas y? ()A Solucin de proble%as? *BA 'LA<s y? (C1 =ireless y? *AA A.&? ()>?*BC &uente y? (B>? *,1 @Me%plo de configuracin? *B, 3&sec y? )** La redundancia de capa )? *,) 1A,
#
opias de seguridad? C, Auto onfig#acLup pa9uete? ,+ onfiguracin de la Fistoria? ,A !anual%ente en =ebGH3? ,+ .estauracin a partir de? ,> !eMores &r2cticas opias de seguridad? C, .eglas de cortafuegos? (() .egistros? ((1 !ultiI=A< a%inos ircuito? )+> Docu%entacin de redes? ((* Los seg%entos de red? (>
Rndice !ultiI=A< y? )(+ :pen'&< y? *)( aptura de pa9uetes? 1>* onfiguracin? *C> &ruebas? *C, Solucin de proble%as? *,1 Sin <AT? *,+ 3D. <otacin? (+ .esu%en? () tapar? 1(C oILocation? ((* Despliegues co%unes? * o%pact Flash? B?B?*> Los re9uisitos de ta%a0o? )+ config"/%l Jv6ase el archivo de configuracinK onfiguracin :pciones avanDadas? AA :pciones generales? AA Archivo de configuracin? >+? C1?C, @dicin %anual? C1 Hbicacin? C1 Traslado al puerto HS# 7 Floppy? BA Los l%ites de cone/in? ()+ !en; de la consola? B* &roteccin con contrase0a? A, Filtrado de contenidos? 1*>? 1*> J'6ase ta%bi6n el D<S? :penD<SK Aceleracin criptogr2fica? B)?B) J'6ase ta%bi6n el hardware? aceleracin criptogr2ficaK .ango de direcciones? *,, &uente y? (B1 A.& y? *C1?*CA?*C, @li%inar de arrenda%iento? 1+* Denegar desconocidos clientes? *,C Servidores D<S? *,, D<S din2%ico? 1+( on%utacin por error? 1++ Gateway? 1++ 3nterfaD de Seleccin? *,C Arrenda%iento Ti%es? 1++ Arrenda%ientos J'erK? 1+* .egistros? 1+* @l arran9ue en red? 1+( Servidores <T&? 1+( Asignaciones est2ticas? 1+(? 1+* ondicin $urdica y Social? 1+) Servidores =3<S? *,, D!E? (1* definido? (A D<S? >A?AA? C) &er%itir el ree%plaDo din2%ico? AA D<S Forwarder? 1+1 !ultiI=A< y? )+, D<S din2%ico? 1+A !ultiI=A< y? )(+ :penD<S? 1*> Dividir el D<S? (1B? 1+> Descarga de pfSense? )B
@
easyIrsa? ),*? ),* J'6ase ta%bi6n el :pen'&<? easyIrsaK @dge .outer? * @l filtrado de salida? (+( =ireless y? *B+ @%bedded? B? B) Descarga? )B .e9uisitos de hardware? )+ 3nstalacin? *>
D
Denegar por defecto? ((C &uerta de enlace predeter%inada? (+?(+ J'6ase ta%bi6n la puerta de enlaceK La contrase0a por defecto? >> Denegacin de Servicio? (+)? ()( Desarrollador de Shell? BA DF & .elay? 1+1 DF & Server? >>? *A>? *,C
1B+
Rndice 3nstalacin con '!ware? 11 <ano#SD? C &a9uetes y? 1)C .estauracin de copias de seguridad a F? ,B Los puertos serie Jver los puertos serieK Apagado? B> SincroniDacin de la hora y? BA !oderniDacin? >)
F
Los valores de f2brica? B1 Filtro de los @stados? (++? (++ J'6ase ta%bi6n @stados HnidosK Firewall? (++ #lo9uearon el tr2fico de paso de las .eglas? (*( onfiguracin de reglas? ((C Denegar por defecto? ((C Desactivar? B( Deshabilitar Scrub? B( La li%itacin de cone/iones? ()+ !;ltiples subredes? ()1 :pciones de opti%iDacin? B( Artculo archivo Jte%poralK? CA :pciones de .egla? ((C Accin? ((C .egla de planificacin? ())?()> Solucin de proble%as? (*) &roteccin contra virus? ()+ Servidor de seguridad de los @stados? (++?(++ J'6ase ta%bi6n @stados HnidosK La frag%entacin de #orrar bits DF? B( FT&? B+ 3nstalacin co%pleta? )C
Gateway? (+? )(* &uente y? (B>? (C( lientes y? C* &or defecto? (+ definido? (AC DF & y? 1++ DF & con la carpa y? *C1 .eglas de cortafuegos? ()) A.& y? *CC 3&sec y? ((C .edirecciones 3 !&? (A( 3&sec y? )1(? )>C @9uilibrio de carga de tipo Jv6ase el e9uilibrio de cargaK !onitoreo de la alidad? 1)> :&T =A< y? (A? A> &oltica de enruta%iento y? )+B &iscinas? )+B &uerto Delanteros? (>A &&&o@? 1(B &&T&? )BA &&T& .utas? )CC 3gual en las =A< %;ltiples? )+, .utas est2ticas? (>, =A<? A1 :pciones generales? AA Los gr2ficos? 1)*?1)B
F
Siste%a de &arada? 1AC Desde la consola? B1 Fardware? (C o%patibilidad? (C Aceleracin criptogr2fica? B)?B)? )*1?)*1? *+* J'6ase ta%bi6n el '&<K Dispositivo de votacin? A, TarMetas de red? (C apaD alt9? *)C?*)C J'6ase ta%bi6n el Traffic ShapingK apaD de 'LA<? (C)?(C)?(C)?(C) 1B(
G
$uegos <AT y? (>1 Traffic Shaping y? *)B?*** H&n& y? 1((
Rndice J'6ase ta%bi6n 'LA<K =ireless? *>> :pciones? B) .e9uisitos? (, Seleccin? )+ Di%ensiona%iento? )( Solucin de proble%as? 1B =iIfi &unto de Acceso apaD? *A( Ayuda? (B Alta disponibilidad? *BC?*BC J'6ase ta%bi6n el A.&K Suave do%ada? )1, T;neles %viles? )11 !ultiI=A< y? )(+? )** !;ltiples subredes? )1) aptura de pa9uetes? 1>> T;neles paralelos? )1) SL&? )*> Fase (? )*) Fase )? )** SAD? )*) Asociacin de Seguridad? )*) &oltica de Seguridad? )*) Hn sitio a otro? )*A S&D? )*) Ter%inologa? )*) &ruebas de conectividad? )>> Dispositivos de terceros? )A> isco 3:S? )AB isco &3G A"/? )AA isco &3G B"/7C"/? )AA @l tr2fico de pfSense? )1* Solucin de proble%as? )>A?1>> =ireless y? )*1?*AB 3&vA? AC
3
<3 ? 1*) @l filtrado de entrada? A(?(+( 3nstalacin? )B T6cnicas alternativas? 1) 3nstalacin sencilla? *) .ecuperacin de instalacin? >+ .escate de instalacin? ,C @n el disco duro? *) Solucin de proble%as? 11 !oderniDacin? >( 3nterfaD de Asignacin? *(?A1 @stado de la interfaD? 1)) 3&sec? B+? ((C? (*1? ))>? )*) A.& y? )** Software de liente? ))C o%paracin? )*+ !uerto de deteccin de pares? )*> DF? )*> D&D? )*> :pciones de cifrado? )*1 Firewall de a%istad? )), .eglas de cortafuegos? )*> Los algorit%os hash? )*1 3nterfaD de Seleccin? )** ursos de la vida? )*1 Los clientes %viles? )1,
Q
<;cleo? *1 Qernel Ti%ecounter? B, laves 3&sec? )*B :pen'&<? ),) SSF? AB =&A? *A1 Qiwi Syslog servidor? 11)
L
LA<
onfiguracin? A)?A>
definido? (A Tel6fono 3& de la consola? B1
1B)
Rndice LA< del router? * @9uilibrio de carga? *11 Gateway? )+B?)(1 Servidor? *11 ondicin $urdica y Social? *>) one/iones pegaMosa? AC?*1A Solucin de proble%as? *>* 'erificacin? *>) .egistros? 1(C DF &? 1+* Firewall? B>?C*? ((*? ()C? (*) 3&sec? )1(?)>,?)A* :pen'&<? *))?*)1 &&T&? )C, LDo de co%presin? *+>
<
<AT? (*1 (:(? (1+ onfiguracin? (1( .eglas de cortafuegos? (1A FT& y? (>) !ultiI=A< y? )(1 <AT refle/in y? (1B Los riesgos? (1( =A< 3& y? (1* Auto%2tico de salida? (*1 La eleccin de una configuracin? (1, FT& y? (>+ !odo Activo? (>( Li%itaciones? (>+ !odo pasivo? (>( G.@ y? (>* De entrada Jver Delanteros &uertoK De salida? C*?(1C &or defecto? (*1 Discapacitante? (1, &uerto est2tico? (1, &uerto Delanteros? (*> onfiguracin? (*> FT& y? (>) Los servicios locales y? (*> Los riesgos? (*> @l desvo del tr2fico? (*, &&T& y? (>* &rocesa%iento de pedidos? (11 &rotocolo de co%patibilidad? (>+ .efle/in? B)? (1A TFT& y? (>* Solucin de proble%as? (>>?1>1 <AT refle/in? (1A?(1A J'6ase ta%bi6n el <AT? .efle/inK <etGraph? 1(+ La seg%entacin de redes? (> onceptos de redes? C <T& cliente? >B 1B*
!
Segui%iento? 1(C?1(C J'6ase ta%bi6n el Siste%a de !onitoreoK !ultiI=A<? )+> La agregacin de ancho de banda? ))+ &uente y? (C( A.& y? *CA 3&sec y? )(+? )** Los servicios locales y? )+, !onitor de &3? )+B <AT y? )(* @n un palillo? ))) :pen'&< y? *(, Servicio de segregacin? ))+ asos @speciales? )() #asados en el tie%po las reglas y? ()A Traffic Shaping y? *)C Solucin de proble%as? ))* Desigual osto 7 ancho de banda? ))( 'erificacin? )(B o%patibilidad con '&<? )*+ !;ltiples subredes? ()1
Rndice <T& Server? 1(1 Generacin de ertificados? ),1 ertificado de servidor? ),C Hso? ),A Filtrado de tr2fico? *(> Firewall de a%istad? )), .eglas de cortafuegos? *+)? *+B .ed Local? *+) &uerto local? *+) LDo de co%presin? *+> !ultiI=A< y? )(+? *(,? *)+ Salida <AT? *(A 3nfraestructura de clave p;blica? *+* @Me%plo de acceso re%oto? *+> De red re%ota? *+) :pciones de enruta%iento? *)) ertificado de servidor? *+* Servidor de claves? *+* laves co%partidas? ),)? *+* Sitio al eMe%plo de la web? *(* @specificacin de 3nterfaD? *)* @specificacin de la direccin 3&? *)* 3& est2tica? *+) T & vs HD&? *+( Solucin de proble%as? *)* =ireless? *AB :&T? (A? (A J'6ase ta%bi6n 3nterfaces opcionalesK 3nterfaces opcionales? (A? A> co%o =A< adicional? (A? (A J'6ase ta%bi6n el !ultiI=A<K Asignacin? *(?A1 .eglas de cortafuegos en? (+A &or wiIfi? *A+?*A, Traffic Shaping y? *)C Siste%a operativo de deteccin? ((,
:
Hno a uno <AT? (1+?(1+ J'6ase ta%bi6n el <AT? +(:+(K :pen<T&D? 1(1 :pen'&<? (B(?))>?),( Direccin &ool *+) !6todo de autenticacin? *+* &uente? *)( ertificado de A? *+* A.& y? *)( ertificados Generacin? ),* ifrado? *+) De instalacin del cliente? *+C ertificados? *+, Archivo de configuracin? *+, Software de liente? )), Free#SD? *+, Linu/? *+, !ac :S G? *+C =indows? *+C lienteIaIcliente de la co%unicacin? *+) o%paracin? )*+ o%presin? *+> onfiguracin? *+( .L? *+* Aceleradores criptogr2ficos? *)* :pciones personaliDadas? *+>? *)) &uerta de enlace predeter%inada? *)) DF clave? *+* :pciones de DF &? *+1 3& din2%ica? *+( easyIrsa? ),* opia de seguridad de claves? ),> ertificados de cliente? ),, opia de llaves? ),> rear A? ),B DF clave? ),C
&
p+f? ((, &)& J&eerIv6ase red punto a puntoK &a9uetes? 1)C
1B1
Rndice Auto onfig#acLup? ,+ Los archivos de copia de seguridad Jpa9ueteK? ,C #G&? (AA @n desarrollo? 1*( a partir de Free#SD? 11) Ta%a0o del hardware? )> 3nstalacin? 1), .einstalacin? 1*+ fluMo T &? 1A( Desinstalacin? 1*( !oderniDacin? 1*+ 'iendo disponible? 1), aptura de pa9uetes? 11> De Shell? 11B Desde =ebGH3? 11A 3nterfaD de Seleccin? 11> aptura re%ota en tie%po real? 1A+ tcpdu%p? 11B fluMo T &? 1A( on la solucin de proble%as? 1>1 'ista en el =ebGH3? 11B &asivo de deteccin de siste%a operativo? ((, ontrase0a? >> pcap? 11, .edes peerItoI&eer? (+*?**) Traffic Shaping y? *)B Servidor de seguridad de per%etro? * &3F? >+ 'ersiones pfSense? > pfsync? *BC pftop? B>?1)A &F& Acceso Shell? BA physdisLwrite? *> &ing? B> &Q3? ),( J'6ase la infraestructura de claves p;blicasK J'6ase ta%bi6n la infraestructura de clave p;blicaK &latafor%as? A &uerto Delanteros? (*>?(*> J'6ase ta%bi6n el <AT? &ort ForwardsK &&&o@? >A?>C? >,?A>? C) !ultiI=A< y? )+,? )(* Servidor? 1(B &&T&? ((C?))>?)A, Adicin de usuarios? )B) onfiguracin del cliente? )B1 @l au%ento de los l%ites? )CA !ac :S G? )C* Hsar puerta de enlace predeter%inada )BA =indows B? )C* =indows 'ista? )BB =indows G&? )B1 Software de liente? )), o%paracin? )*+ onfiguracin? )B+ Firewall de a%istad? )), .eglas de cortafuegos y? )A,?)B( Li%itaciones? )A, !ultiI=A< y? )(+? )A, .AD3HS y? )B( .edirigir? )CB Trucos de enruta%iento? )CC Solucin de proble%as? )CB =ireless? *AC &&T& JTipo de =A<K? >C? A+?A>? C) !ultiI=A< y? )+,? )(* Las direcciones de 3& privadas? , &rivate 'LA<? (C1 Direcciones 3& p;blicas? , 3nfraestructura de clave p;blica? ),( &'LA<? (C1
5
5in5? (C1 alidad de servicio Jv6ase el Traffic ShapingK alidad de servicio Jv6ase el Traffic ShapingK olas? *)A
.
.AD3HS? )B(? *B*? 1(B =indows Server? 1*) Al aDar de deteccin te%prana? **C 1B>
Rndice .einiciar? 1AC Desde la consola? B1 .edundancia? *BC? *BC J'6ase ta%bi6n el A.&K .F (,(C subredes? ,?, J'6ase ta%bi6n el luMo de direcciones 3&K .3&? (AA @nruta%iento? (>, Asi%6trica? (A+ .edirecciones 3 !&? (A( !;ltiples subredes? ()1 &rotocolos? (AA 3& p;blica? (A) .utas est2ticas? (+ Filtrado? B+ Solucin de proble%as? (AB 'iendo? (AB ..D gr2ficos? 1)*
S
S &? AB? AB J'6ase ta%bi6n el SSFK opias de seguridad y? ,1 opia de Seguridad Jv6ase el S &K Secure Shell Jver SSFK onsola serie Fabilitacin? AA Los clientes de consola serie? 1( &uertos serie? 1( Servicio de @stado? 1)* Servicios? *,C Asistente para la instalacin? >> Acceso Shell? B> Do%ada 3&sec suave? )1,?)1, J'6ase ta%bi6n el 3&sec? los clientes %vilesK Apagado Jver Siste%a AltoK Servicio si%ple protocolo de descubri%iento? 1(( dnico punto de fallo? *,* S<!&? 1+C &rotocolo Spanning Tree? (BA
Dividir el D<S? (1B? (1B J'6ase ta%bi6n el D<SK 3%itan Tr2fico &revencin? ((A SSD& Jv6ase el protocolo si%ple de descubri%iento de servicioK SSF? AB? BA?1A+ opias de seguridad y? ,1 a%bio de puerto? AB sshIagent? 1A+ T;nel? CB Los @stados? (++? 1)A @stablecer los l%ites %2/i%os? B( :pciones de segui%iento? ()( 'iendo? 1)A A.& est2tico? 1++ &uerto est2tico? (1,? (1, J'6ase ta%bi6n el <AT? de salida? puerto est2ticoK .utas est2ticas? (+? (+ J'6ase ta%bi6n el enruta%iento? rutas est2ticasK one/iones pegaMosa? *1A? *1A J'6ase ta%bi6n el e9uilibrio de carga? SticLy cone/ionesK ST&? (BA alculadora de subred? (* !2scara de subred? (+?(+ J'6ase ta%bi6n la notacin 3D.K Superredes? ()? () J'6ase ta%bi6n el 3D. de resu%enK :pciones de Soporte? (B Las inundaciones SS<? ()( syslog? 1)+?11) Siste%a de segui%iento? 1(C @stado del siste%a? 1)(
T
T & #anderas? (),? *1( tcpdu%p? 11>?11> J'6ase ta%bi6n el pa9uete de apturaK Filtros? 1>( fluMo T &? 1A( TFT&? (>* 1BA
Rndice Servidor? 1)C Te%a? AA Software de terceros? 1*) SincroniDacin de la hora? BA Eonas de tie%po? >B? BB Tinydns? 1? 1 J'6ase ta%bi6n el D<SK .uta de segui%iento? (B+ Los gr2ficos de tr2fico? 1)*? 1)*? 1)B J'6ase ta%bi6n la ..D gr2ficosK Traffic Shaping? *)A A Q? **C oncepto e/plicado? *)A Asistente para la configuracin? *), @ <? **C <otificacin e/plcita de congestin? **C $uegos? *)B? *** Fardware? *)C FFS Jv6ase la curva Mer2r9uica Feria de ServicioK $er2r9uica curva Feria de Servicio? **B Li%itaciones? *)C Speed LinL? **+ #aMo retardo? **C :tras aplicaciones? **1 .edes peerItoI&eer? *)B?**) aMa de la pena? **( &rioridades? **B &rocesa%iento de pedidos? *)A &ropsitos? *)A olas @dicin? **A Segui%iento? **> Al aDar de deteccin te%prana? **C .:$:? **C .eglas? *1+ Servicio de la curva? **C Solucin de proble%as? *1) Aguas arriba de congestin? *)B 'o3&? **+ Lla%adas de 'o3&? *)B Solucin de proble%as &ortal autivo? *BA A.&? *,1 Firewall? (*) Fardware? 1B 3nstalacin? 11 Acceso a 3nternet? C( 3&sec? )>A?1>> @9uilibrio de carga? *>* !ultiI=A<? ))* <AT? (>>? 1>1 :pen'&<? *)* &&T&? )CB @nruta%iento? (AB Traffic Shaping? *1) H&n&? 1(1 =ebGH3? C+ =ireless? *B+ oncentracin de enlaces? (C*
H
ActualiDar Desde la consola? BA ActualiDacin del fir%ware? >(?>( J'6ase ta%bi6n la instalacin? actualiDacinK H&n&? 1(+ onfiguracin? 1(( Las preocupaciones de seguridad? 1(( ondicin $urdica y Social? 1(* Traffic Shaping y? *1) Solucin de proble%as? 1(1
'
'3& Jver direcciones 3& virtualesK 'irtual 3&? ()1?(>B A.& y? *C( LA< virtuales J'LA< verK 'irtualiDacin? 11 A.& y? *,A Qernel te%poriDador? C+ virusprot? ()(
1BB
Rndice 'LA<? (C) &uerto de Acceso? (C1 onfiguracin de la consola? (CA onfiguracin de =ebGH3? (C, Fardware? (C) &adres de interfaD? (C* &rivada? (C1 5in5? (C1 .e9uisitos? (C) De Seguridad? (C1 3nterruptor de configuracin? (,( isco at:S? (,1 isco 3:S? (,) Dell &ower onnect? )+* F& &ro urve? (,1 <etgear? (,A oncentracin de enlaces? (C* 'LA< HtiliDar predeter%inado 'LA<? (C> 3nterruptor de cuestiones? (CA 'LA< 3D? (C* 'LA<( uso? (C>
'oD sobre 3& J'o3& verK
SSL? ),( =ireless y? ))A
=
=aLe on LA<? 1+*? 1(> =A<
onfiguracin? >C?A1
'o3&? (*1?1)C S3&? (1, S3& &ro/y? 1)C TFT& y? (>* Traffic Shaping y? *)B '&<? ))> Autenticacin? ))B Auto%2tica de reglas? B) La eleccin? ))B Software de liente? ))C o%paracin? )*+ riptogr2fica%ente segura? )*+ Firewall de a%istad? )), Li%itaciones? ))> @l acceso re%oto? ))A @nruta%iento? (B( Seguro de @nlace? ))B Hn sitio a otro? ))>
definido? (A Direccin !A ? >C !TH? >C &&&o@? >, &&T& 3S&? A+ 3& est2tica? >, Tipos? >C =A< del router? 1 web onfigurator Jv6ase =ebGH3K =ebGH3? (? >> AntiIblo9ueo de la .egla? B+? ((> a%bio de puerto? AA one/in a? >> FTT& 7 FTT&S? AA #lo9ueada? C> &ara restablecer una contrase0a? B1 @l reinicio? BA .estringir el acceso? ((> Solucin de proble%as? C+ =@&? *A1 =ireless? *>> &unto de Acceso? *A( anal? *A1 liente de estado? *AA DF & y? *A> ifrado? *A1 .eglas de cortafuegos? *A> SS3D? *A* @st2ndar =ireless? *A* o%o =A<? *>A &uente? *>C @leccin de puente o enca%ina%iento? *A( Los conductores? *>> 1BC
Rndice &untos de acceso e/terno? *>, 3&sec y? )*1? *AB &roteger con '&<? *AA Asegure hotspot? *AC ondicin $urdica y Social? *>B Solucin de proble%as? *B+ Gire routers en puntos de acceso? *>, 'isualiDacin de redes disponibles? *>C =iresharL aptura de pa9uetes? 1>C =:L J=aLe on LA< verK =&A? *A1
G
G">+,? ),(?),( J'6ase ta%bi6n la infraestructura de clave p;blicaK Archivo G!L de configuracin Jver archivo de configuracinK G!LI.& de sincroniDacin? *B,
1B,

Pfsense - The Definitive Guide - En.es

Caricato da

Informazioni sul documento

Titolo originale

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

Pfsense - The Definitive Guide - En.es

Caricato da

Copyright:

Formati disponibili

pfSense: The Definitive Guide

La gua definitiva para el Abierto de pfSense Fuente firewall y router de distribucin

hristopher !" #uechler $i% &ingle