MANUAL DE TCNICO

Contenido
INSTALACIN .................................................................................................................................. 2
Aspectos preliminares ................................................................................................................................................................ 2 Arranque del Live CD de pfSense .......................................................................................................................................... 2 Asignacin de interfaces ....................................................................................................................................................... 3

CONFIGURACIN............................................................................................................................. 7
Configuracin IP de Interfaces va local ..................................................................................................................................... 7 Interfaz WAN ......................................................................................................................................................................... 7 Interfaz LAN ........................................................................................................................................................................... 8 Interfaz OPT ........................................................................................................................................................................... 9 Configuracin va web inicial ..................................................................................................................................................... 9 Conexin al servidor .............................................................................................................................................................. 9 Informacin general del servidor ........................................................................................................................................ 10 Configuracin IP .................................................................................................................................................................. 11 Establecimiento de la contrasea de administracin ......................................................................................................... 11 WebConfigurator ..................................................................................................................................................................... 12 Main Dashboard .................................................................................................................................................................. 12 Barra de men principal ...................................................................................................................................................... 13

INSTALACIN
Aspectos preliminares
Existen diversas formas de instalacin de pfSense. Puede ver una lista de soporte en la pgina oficial en el siguiente enlace: https://doc.pfsense.org/index.php/HOWTO_Install_pfSense Este manual se centra nicamente en la instalacin completa va Live CD en el disco duro, usndolo como una nica. Para instalaciones dual boot o multi boot consulte el apndice. Las ilustraciones del manual son tomadas de una instalacin en mquina virtual por lo que algunas especificaciones menores pueden cambiar. La mayora del hardware es soportado por la distribucin. Para ver una lista de hardware compatible, consulte el siguiente enlace: https://doc.pfsense.org/index.php/Hardware_requirements Los recursos mnimos para una instalacin completa son los siguientes: 2 Tarjetas de red. 2 Gb Disco duro. 1 Gb Memoria RAM. 300 MHz procesador. Disco de instalacin de pfSense. Puede descargarlo desde: http://mirror.myip.be/pub/pfsense/downloads/ Eligiendo el tipo de archivo con extensin .iso.

Instalacin
Arranque del Live CD de pfSense
Asegrese de que su computadora pueda arrancar o bootear desde la CD/DVD-ROM. Inserte el disco de instalacin de pfSense en la unidad CD/DVD-ROM tambin conocida como unidad ptica. Espere a que el Live CD de pfSense cargue los archivos hasta llegar al men de la ilustracin [1]. Presione 1 y luego ENTER. O elija otro tipo de instalacin.

[1] Iniciando pfSense

Asignacin de interfaces
Para continuar con la instalacin debe elegir las funciones de las interfaces de red. Aqu se marcan las interfaces fsicas (em0 y em1 para el ejemplo). Tenga en cuenta que los nombres de interfaces varan segn el tipo y marca de tarjeta de red que posea [2].

[2] Identificacin de interfaces y asignacin de VLAN

Si usted est en una red con switches administrables y desea crear una VLAN para pfSense, puede elegir la opcin mostrada en pantalla presionando y.

Escriba n para elegir no configurar una VLAN y seguir a la asignacin de interfaces fsicas. La siguiente lnea le permitir definir qu interfaces sern designadas como WAN y LAN. Las interfaces estn numeradas en orden ascendente desde 0 por cada tipo de interfaz.

[3] Asignacin de la interfaz WAN

Escriba em0 o el nombre de la interfaz de su tarjeta de red [3]. Esta ser la interfaz WAN o interfaz conectada a Internet para su servidor.

[4] Asignacin de la interfaz LAN

Escriba em1 o el nombre de la interfaz de su tarjeta de red [4]. Esta ser la interfaz LAN o interfaz conectada a su red interna. Es sobre esta interfaz en la que los mdulos de su servidor podrn actuar para administrar dispositivos y red. Adicionalmente, usted puede elegir una interfaz opcional u OPT para tener una red extra [5]. Esta opcin se habilita nicamente si posee 3 o ms tarjeta de red disponibles. En este manual slo se usan las interfaces WAN y LAN sin una OPT.

[5] Opcin de interfaz OPT

Presione ENTER para continuar sin la asignacin de una interfaz OPT. O bien elija esta opcin y configure las interfaces opcionales segn la cantidad de tarjeta de red que posea. En el siguiente men podr confirmar la asignacin de interfaces [6], escriba y para confirmar o n para cancelar y reiniciar las opciones de configuracin.

[6] Confirmacin de configuracin de interfaces

Una vez completada la configuracin inicial, el siguiente men presentar las opciones del Live CD [7]. Puede elegir usar las configuraciones para hacer una evaluacin sobre el sistema o bien elegir realizar una instalacin permanente en el disco duro. La pantalla mostrar tambin las configuraciones de las interfaces, asignando direcciones IP automticas por DHCP [7]. Estas opciones pueden ser configuradas ms a delante.

[7] Men principal de Live CD

Escriba 99 para elegir la opcin de instalacin en el disco duro. Luego, el siguiente men le mostrar las opciones de configuracin para la instalacin [8]. Es recomendable usar la configuracin por defecto.

[8] Opciones de configuracin para la instalacin

Desplcese hasta <Accept these Settings> y presione ENTER para continuar con las opciones por defecto; o bien configure manualmente cada parmetro.

[9] Opciones de instalacin de pfSense

Este men le permite elegir el tipo de instalacin de pfSense [9]. Seleccione <Quick/Easy Install> para una instalacin desatendida o elija <Install pfSense> para configurar manualmente las opciones de instalacin. Recomendamos la instalacin por defecto.

[10] Confirmar opciones de instalacin por defecto

Elija <OK> para continuar con la instalacin por defecto [10]. En la siguiente pantalla se le solicitar elegir el tipo de kernel a utilizar. Elija la opcin estndar (<Estndar Kernel>). Finalmente, el asistente de instalacin le pedir reiniciar el equipo bajo la opcin <Reboot>. Hasta este punto la instalacin permanente ha finalizado. Puede proceder a configurar su servidor.

CONFIGURACIN
Una vez instalado, el servidor pfSense est listo para configurarse.

Configuracin IP de Interfaces va local

Antes de poder configurar el servidor a travs de la interfaz grfica, lo primero que se debe establecer son las direcciones IP de las respectivas interfaces. El men principal local de pfSense permite elegir diversas opciones numeradas. Seleccione el nmero 2 escribindola en pantalla para la asignacin y configuracin de direcciones IP de las interfaces [11]. Recuerde que la interfaz WAN estar conectada a Internet y la LAN a su red a administrar.

[11] Men principal para la seleccin de opciones de configuracin del servidor

Interfaz WAN
Dentro de las opciones de configuracin IP escriba el nmero de interfaz en pantalla segn la interfaz que desee configurar (1 para la interfaz WAN y 2 para la interfaz LAN).

[12] Configurar interfaz WAN va DHCP

La primera interfaz a configurar es la interfaz WAN [12] (escriba 1). Es recomendable configurarla para asignacin de IPv4 va DHCP en cuyo caso debemos escribir y, luego presionar ENTER para que el servidor

DHCP de su ISP le provea toda la configuracin de Gateway y DNS [12]. Se har la misma pregunta para la configuracin de IPv6; si usted tiene una infraestructura con IPv6 configrela en este momento. Luego el asistente le pregunta si desea habilitar la configuracin va web o webConfigutator en esta interfaz. Escriba y para habilitar el webConfigurator y luego presione ENTER; de esta manera podr acceder a su servidor a travs de Internet mediante la interfaz WAN.

Interfaz LAN
Ingrese nuevamente al men de configuracin IP de interfaces escribiendo 2 y luego presionando ENTER. Para asignar la configuracin a la interfaz LAN escriba 2 o el nmero que aparezca en la lista [13].

[13] Configurar interfaz LAN con direccin IP esttica

En la primer entrada debe ingresar la direccin IPv4 para su interfaz LAN [13]. En este caso la red a utilizar es 172.16.1.0/24. La direccin para esta interfaz ser 172.16.1.1, pero puede elegir una red diferente.

[14] Establecer la subred a utilizar

En esta seccin debe establecer la subred para la interfaz [14]; la cual debe ser la misma red a administrar. La red a usar ser 255.255.255.0 bajo el sufijo de red /24. Escriba 24 o el sufijo de red a utilizar.

[15] Asignacin de direccin de Gateway

En esta lnea se solicita la direccin de Gateway para la subred [15]; es recomendable que sea la misma direccin de la interfaz. Luego, se solicita la configuracin de IPv6. Si no posee una infraestructura IPv6, presione ENTER para continuar con la configuracin. La siguiente opcin le permite configurar el servicio de DHCP para que la interfaz pueda asignar direcciones IP a los clientes de manera automtica. Escriba y para activarlo o bien puede elegir no activarlo y asignar manualmente las direcciones a los hosts.

[16] Configuracin de activacin del servicio de DHCP en la interfaz LAN

Las siguientes lneas le permiten elegir el rango de direcciones a repartir por el servidor DHCP.

[17] Asignacin del rango de direcciones para el servicio de DHCP

La primera lnea le solicita la primera direccin del rango de direcciones a repartir por el servicio de DHCP. Se ha asignado al direccin inicial 172.16.1.10 reservando las comprendidas entre 172.16.1.1 172.16.1.9 para dispositivos agregados como el acces point o direcciones de administracin. Escriba la direccin (172.16.1.10 para el caso) y luego presione ENTER. La segunda lnea le solicita la ltima direccin IP para el rango de direcciones del servicio de DHCP. Escriba la ltima direccin del rango DHCP. En este caso la direccin asignada es 172.16.1.254. Luego presione ENTER. La configuracin finaliza con un resumen de las configuraciones. Presione ENTER para continuar.

Interfaz OPT
La configuracin de las interfaces opcionales es igual que las dems interfaces. Una vez finalizada la configuracin IP para las interfaces, el servidor est listo para acceder va webConfigurator.

Configuracin va web inicial

Conexin al servidor
Conctese al servidor de manera remota a travs de otro equipo con interfaz grfico y navegador web. Para esto necesita conectarse a la misma red LAN del servidor y activar la asignacin por DHCP en la tarjeta de red del equipo. Una vez hecho esto, compruebe la conexin realizando un PING hacia la direccin IP de su servidor . Si la conexin est establecida, vaya a su navegador de internet e inserte como URL la direccin IP del servidor correspondiente a la red LAN. En este caso la direccin es 172.16.1.1. Su navegador abrir la URL http://172.16.1.1/. [18]; este es el webConfigurator.

[18] Interfaz web inicial de ingreso a servidor pfSense

Debe iniciar la sesin de administrador en el webConfigurator. El usuario de administracin o username para pfSense por defecto es admin; la contrasea o passwaord es pfsense. Presionamos en el botn Login. Ser redirigido automticamente a la pgina de configuracin inicial [19].

[19] Inicio de pgina de configuracin inicial

Presione el botn Next para comenzar la configuracin [19].

Informacin general del servidor

La primera configuracin que puede aplicar a su servidor es configuracin general requerida. No olvide guardar un registro escrito de la informacin que proporcionar a continuacin. Las configuraciones generales del servidor tienen que ver con el direccionamiento IP y las interfaces, as como tambin el nombre de red del servidor entre otras configuraciones generales. La primer solicitud es informacin general del servidor. Escriba el nombre de red para el servidor en la casilla Hostname, y en la casilla Domain el nombre de dominio DNS para su red [20]. Si lo desea, en las casillas Primary DNS Server y Secondary DNS Server, puede aadir las direcciones IP de su servidor DNS o dejar estas casillas en blanco para usar la configuracin DHCP proporcionada. Presione Next para continuar.

[20] Configuracin general del servidor

Luego se le solicitar la informacin del servidor de tiempo en lnea en la casilla Time server hostname [21]. La direccin se establece automticamente; o bien puede ingresar manualmente la direccin de su servidor de

sincronizacin de tiempo preferido. En Timezone despliegue la pestaa y elija la zona horaria de su preferencia. Presione Next para continuar.

[21] Configuracin del servidor de informacin de tiempo

Configuracin IP
La siguiente opcin es modificar la configuracin IP para la interfaz WAN [22]. Por defecto estar establecido igual que las opciones configuradas en los pasos anteriores. Deje establecido en SelectedType como DHCP y desplcese hasta el final de la pgina sin modificar los dems valores; o bien, elija la configuracin que mejor se adapte a sus necesidades. Presione el botn Next al final de la pgina para poder continuar.

[22] Opcin de configuracin IP para la interfaz WAN

Las siguientes son las opciones de configuracin IP para la interfaz LAN [23], la cual deber estar conectada a su red interna. Si desea continuar con la configuracin ya establecida, presione el botn Next; o bien reconfigure las opciones.

[23] Opciones de configuracin IP para interfaz LAN

Establecimiento de la contrasea de administracin

Se le pedir cambiar la contrasea administrativa del usuario admin para el servidor [24], recuerde que por defecto es pfsense. Luego presione Next.

[24] Establecimiento de la contrasea de administracin

Presione el botn Reload para recargar el servidor con los cambios realizados. La pgina informar que se estn realizando los cambios y que debe esperar hasta que sea redirigido a la pgina de Asistente completado [26].

[25] Solicitud de recargado de webConfigurator para efectuar los cambios

[26] Pgina de Asistente Completado

En la seccin Click here to continue on to pfSense webConfigurator haga clic en el enlace incrustado en la palabra en azul here [26]. Ser re direccionado a la pgina principal de configuracin del webConfigurator [27].

WebConfigurator
Main Dashboard

El webConfigurator es un servidor http instalado en pfSense que sirve para configurarlo, monitorearlo y administrarlo. Se accede a l mediante la direccin IP de una de sus interfaces estando en la misma red. Para el caso, la direccin es http://172.16.1.1. Recuerde que el usuario es admin y la contrasea es la establecida en la seccin Establecimiento de la contrasea de administracin del tema anterior. Una vez logeado como administrador, el webConfigurator mostrar su pgina principal o Main Dashboard [27].

[27] Pgina de configuracin principal del servidor o Main Dashboard

En esta pgina puede encontrar los accesos principales a las distintas configuraciones del servidor as como el estado de consumo de recursos: Barra de men principal Hostname y dominio del servidor

Estatus de Interfaces

Estatus del servidor

Barra de men principal

La barra de men principal agrupa los accesos a los distintos mdulos del sistema. Puede ser modificable en aspecto yendo a System > General Setup. En la seccin Theme se pueden elegir visualizaciones del Main Dashboard. Recomendamos la visualizacin pfSense la cual agrupa la Main Bar al lado izquierdo todos los accesos ya desplegados [28].

[28] Main Bar estilo pfSense, agrupaciones desplegadas a la derecha.

La barra de men principal Main Bar, contiene categoras System: proporciona acceso a configuracin general del sistema operativo.

de

acceso

configuracin:

Interfaces: son opciones de configuraciones globales y especficas de las interfaces. Firewall: permite configurar las opciones de cortafuegos del servidor. Services: brinda acceso a los distintos servicios instalados. VNP: ofrece las configuraciones de los distintos protocolos de seguridad de tuneling para red. Status: tal como su nombre en ingls lo indica, despliega todos los accesos a estados de los diversos mdulos. Diagnostics: contiene un conjunto de herramientas de diagnstico de red para comprobar posibles errores de conexin, entre otras cosas. Help: enlista una serie de enlaces de internet para con soporte en lnea desde las distintas ayudas para pfSense, tales como foros, documentacin oficial, solicitud de soporte de paga, etc.

Instalacin de Paquetes
El servidor pfSense trae instalados algunos servicios bsicos que puede usar. Sin embargo, para el perfil manejado de Seguridad, Administracin y Filtrado; se necesitan ciertos mdulos adicionales que descargar e instalar. Para instalar mdulos adicionales, ingrese al Gestor de Paquetes yendo a la seccin System > Packages de la Main Bar. En la pestaa Installed Packages puede comprobar mdulos adicionales que ya hayan sido

instalados. Dirjase a la pestaa Available Packages para obtener una lista descriptiva de los mdulos disponibles para descargar e instalar.

[29] Gestor de Paquetes

Cuando seleccione el mdulo, presione el botn Los mdulos adicionales que se requieren para el perfil son: Sistema de Deteccin de Intrusos: snort. Proxy filtrado: squid. Portal Cautivo: ya instalado por defecto en el sistema.

Install a la derecha de la descripcin.

Ubique el paquete o mdulo a instalar. En la parte de recha de la descripcin en ingls, encontrar el botn de instalar. Debe presionarlo para iniciar la descarga e instalacin del paquete. El sistema le indicar que el paquete ha sido instalado con el mensaje [paquete] installation completed. [30].

[39] Paquete instalado

Puede ver el mdulo instalado en la seccin Services.

Si desea instalar software de terceros, pfSense no tiene un soporte oficial. Para ello deber consultar la documentacin sobre FreeBSD.

Instalacin de portal cautivo

Lo primero que debemos hacer es ingresar al portal cautivo, en pfsense el portal cautivo ya viene instalado por defecto solo para configurarlo; entonces nos vamos a la pestaa services y a continacion damos clik en portal cautivo

Despus de estar en portal cautivo lo activamos, seleccionando la Pestaa Enable captive portal para comenzar con la configuracin bsica. Interface: Habilitamos la interfaz por donde correr nuestro portal cautivo.

Maximum concurrent connections: Esta configuracin limita el nmero de conexiones simultneas al servidor HTTP, portal cautivo (S) del servidor. Esto no establece cuntos usuarios pueden iniciar sesin en el portal cautivo, sino la cantidad de usuarios puede cargar la pgina de portal o autenticar al mismo tiempo Idle timeout:: es el tiempo de inactividad que se le da al usuario despus de eso puede volver a ingresar Hard timeout: decimos el tiempo en que la persona tiene permitido estar conectada a internet. Las otras opciones las dejamos en blanco

After authentication Redirection URL: en esta opcin definimos a donde es que queremos que sea la pgina de inicio de nuestro usuario despus de autenticado, en este caso colocamos la pgina web de la alcalda. MAC filtering : deshabilitamos el filtrado por MAC para que los usuarios puedan loguearse solo con ingresar, o solo con una contrasea . Per-user bandwitch restriction: habilitamos esta opcin si queremos restringir el uso de ancho de banda a nuestros usuarios

Authentication : en este caso seleccionamos la segunda opcin para que por medio de los usuarios que nosotros hemos creado en la base de datos de pfsense solo estos puedan ingresar a internet

Portal page contents : Aca ingresamos el contenido de lo que queramos que muestre a nuestros usuarios el portal cautivo. En nuestro caso se hicieron unas modificaciones con algunas pautas a seguir. Authentication error page contents: Ingresamos lo que debe aparecer si hay un error de autenticacin.

Al finalizar debemos recordarnos de siempre guardar los cambios es un punto bien obvio pero que a veces se pasa por alto. Luego Como hemos seleccionado la opcin de autenticacin user manager debemos ir a la pestaa system y dar clic en user manager a continuacin crearemos un nuevo usuario como se muestra en la imagen

Y esta es la pagina que nos mostrara cuando nos queramos conectar a internet

Configuracin de squid
Despus de haber instalado el paquete llamado squid; lo que debemos hacer es ingresar al servicio llamado proxy server, nos vamos a la pestaa services y a continuacin damos clic en proxy server

En la Pestaa General, debes establecer los siguientes ajustes, la opcin Proxy Interface Option debe estar ajustado a "la interfaz que se utilizara. Allow use ron interface: Si este campo est marcado, los usuarios conectados a la interfaz seleccionada en el campo "proxy interface 'se les permitir usar el proxy, es decir, no habr necesidad de aadir la subred del interfaz a la lista de subredes permitidas. En este caso estamos configurando el servidor como un servidor proxy transparente, marque la opcin de la casilla de verificacin. "proxy transparente".

Se recomienda encarecidamente el registro est habilitado en el servidor proxy, ya que le ser muy til si necesita solucionar problemas sobre algn tema o simplemente ver lo que estn haciendo en Internet sus usuario, etc Marque la casilla "Logging Enabled". Almacenar en la ubicacin predeterminada "/var/squid/logs" log rotate: se Define el nmero de das que los archivos de registro se mantendrn. La rotacin se desactivar si se deja vaco. Proxy report: este es el nmero de puerto de escucha del proxy Visible hostname: se debe agregar un nombre de host visible para los usuarios a los que se les a bloqueado el acceso a las paginas web Administrator email: direccin de correo electrnico del administrador Lenguaje: escoger el lenguaje de su preferencia

Luego haga clic en la pestaa "Gestin de cach" en ingls... "Cache Mgmt", por defecto el tamao de la cach en el disco duro est establecida en 100 MB, se recomiendo que aumente este valor, ya que depender, no slo de como sea de grande el disco duro, sino tambin habr que tener en cuenta las personas que lo utilizan, y lo que habr que registrar, Despus de que se establezca deje el resto de la pgina con la configuracin predeterminada y haga clic en Guardar.

Haga clic en la ficha Control de acceso siguiente, en el tipo de campo permita subredes en subredes requeridas (por ejemplo: 172.16.1.0/24), tenga en cuenta que si usted tiene ms de una subred para acceder a este proxy es necesario especificar cada subred.

Desplcese hacia abajo hasta que vea "ACL Safeports and ACL SSLPorts" en estos campos que se tiene que escribir los puertos que quiera abrir para su servidor proxy, en nuestro caso utilizaremos el 80 y 443 que son los mas comunes y damos clic en Guardar.

Ahora, para las personas que quieren estrangular la velocidad de la que los usuarios acceden a Internet, haga clic en la pestaa Gestin de Trafic, y establece (en kilobytes) qu velocidad desea restringir a los usuarios. Mximum download size: limite del tamao total maximo de bajada Mximum upload size: limite del tamao total mximo de subida Per-host throtling: Este valor especifica (en kilobytes por segundo) el acelerador de ancho de banda para las descargas que Los usuarios tendrn gradualmente. su velocidad de descarga aumenta de acuerdo a este valor. Se establece en 0 para deshabilitar el lmite de ancho de banda.

Haga clic en Guardar una vez hecho.

Configuracin de squidguard
Despus de haber instalado el paquete llamado squidguard; lo que debemos hacer es ingresar al servicio llamado proxy filter, nos vamos a la pestaa services y a continuacin damos clic en proxy filter.

Dentro del Proxy Filter para que el SquidGuard empiece a funcionar vamos al parmetro Enable, damos clic en el cuadrito y damos clic en Apply. Si todo lo anterior se hizo correctamente va a aparecer que el SquidGuard esta iniciado. Todo lo anterior se afirma en la siguiente imagen.

Para generar restricciones dentro del SquidGuard primero vamos a la pestaa Targetcategories para crear una nueva categora. Para agregar la categora debemos dar clic sobre el cuadrito con el signo +. Name: el nombre de la categora Domain list: los dominios a los cuales se quiere restringir el acceso Redirect: mensaje que aparecer en la pantalla de los clientes que quieran accesar a sitios denegados.

Aqu se puede ver que la categora se agreg correctamente

Luego vamos a crear una regla de grupo para aplicrsela a la categora creada en el paso anterior, para ello nos dirigimos a la pestaa Groups ACL y damos clic sobre el cuadrito que tiene un signo +.

Los parmetros a bsicos a configurar son: Name: Asignamos un nombre para la ACL. Client (origen): direccin ip del equipo al cual le vamos a aplicar la ACL. Si queremos aplicrsela a una red completa colocamos el ID de red con su respectiva mascara. Target Rules: damos clic sobre el smbolo que aparece en color verde y buscamos la categora creada anteriormente con el nombre que le asignamos en las opciones que aparecen al frente de la categora que son Access colocamos deny, esto va a denegarlos dominio que queremos restringir. Guardamos los cambios.

Si se desea bloquear frases se hacen los mismos pasos pero en vez de bloquear por dominios se bloquean por expresiones