Nombre: Carlos calle

Tema: firewall y balanceadores de carga

firewall

Qu es un firewall?
Un firewall tambin es conocido como muro de fuego, este funciona entre las redes
conectadas permitiendo o denegando las comunicaciones entre dichas redes. Un firewall
tambin es considerado un filtro que controla el trfico de varios protocolos como
TCP/UDP/ICMP que pasan por el para permitir o denegar algn servicio, el firewall examina la
peticin y dependiendo de este lo puede bloquear o permitirle el acceso.
Un firewall puede ser un dispositivo de tipo Hardware o software que se instala entre la
conexin a Internet y las redes conectadas en el lugar. La Figura ilustra un esquema comn de
firewall.


Cmo funciona?
Un firewall es una herramienta que supervisa y restringe la informacin que viaja entre el
equipo y la red o Internet. Se trata simplemente un filtro que controla todas las comunicaciones
que pasan de una red a la otra y en funcin de lo que sean, permite o deniega su paso. Hay
que configurarlo para bloquear las conexiones no deseadas a travs de una red (por ejemplo
Internet) y permitir las conexiones autorizadas. En otras palabras, un firewall nos garantiza que
si nuestra red tiene algn tipo de conexin hacia el mundo exterior, o hacia otras redes, sta
sea segura, evitando violaciones, y permitiendo pasar slo los datos autorizados, por lo que se
debe configurar el firewall para lograr que sea transparente a los usuarios normales de nuestra
red, y totalmente slido para los "otros usuarios".

Tipos de firewall
Un firewall puede ser un tanto un software como un dispositivo de hardware, es decir, un
aparatito que se conecta entre la red y el cable de la conexin a Internet, o bien un programa
que se instala en la mquina que se conecta con Internet. Este es un mecanismo de seguridad
excelente contra ataques desde la Internet. Si alguien quiere atacar la red o PC protegida,
primero tiene que atravesar el firewall.



Limitaciones de un Firewall
Un firewall no puede protegernos contra aquellos ataques que se efecten fuera de su punto de
operacin, en este caso, lo que configuremos en el firewall sern en definitiva las reglas por las
cuales se guiar todo lo que quiera ingresar y salir a nuestra pc. Si quieres saber cmo
configurar el firewall de Windows XP, hac clic aqu >>
El firewall no puede protegernos de los ataques por virus informativos a travs de archivos y
software provenientes de un diskete cd o un pendrive. No funciona como un antivirus, por eso
es recomendable tener adems un antivirus instalado y actualizado, aunque si puede impedir
que ciertos virus que provengan de Internet o de una red externa lleguen al equipo.
Proteccin de una Firewall

Alguna firewall solamente permiten trfico de correo a travs de ellas, de modo que protegen
de cualquier ataque sobre la red distinto de un servicio de correo electrnico. Otras firewall
proporcionan menos restricciones y bloquean servicios que son conocidos por sus constantes
problemas de intrusin.
Los firewalls estn configurados para proteger contra logins interactivos sin autorizacin
expresa, desde cualquier parte del mundo. Esto, ayuda principalmente, a prevenir actos de
vandalismos en mquinas y software de nuestra red. Las ms elaboradas bloquean el trfico de
fuera a dentro, permitiendo a los usuarios del interior, comunicarse libremente con los
usuarios del exterior.
Las redes firewall, puede protegernos de cualquier tipo de ataque a la red, siempre y cuando
se configuren para ello. Las redes firewall son tambin un buen sistema de seguridad a la hora
de controlar estadsticas de usuarios que intentaron conectarse y no lo consiguieron, trfico
que atraves la misma, etc
Esto proporciona un sistema muy cmodo de auditar la red
En lo que no nos puede proteger una Red de Firewall son las aberturas por las que se puede
colar un intruso (lo que se llaman back-doors o puertas traseras
Las firewalls no pueden luchar, son contra los traidores y estpidos que haya en la propia
organizacin. Es evidente, que de nada sirve que se instale una firewall para proteger nuestra
red, si existen personas dentro de la misma que se dedican a traspasar informacin a travs de
disquetes (por poner un ejemplo) a empresas espas.
LOS FIREWALLS Y LOS VIRUS
Sabemos que los firewall protegen nuestros datos por la red eh impiden el traspaso de intruso
as como robos y eliminacin de archivos pero cuando hablamos de VIRUS estos son ms difcil
de bloquear por el simple hecho de que hay demasiados modos de codificacin binaria de
ficheros para transmitirlos a travs de la red y tambin son demasiadas las diferentes
arquitecturas y virus que intentan introducirse en ellas
Pero la mayor responsable somos nosotros los user ya que si no tenemos un control de lo que
pasamos por la red mejor dicho lo que resibimos entonces tendremos ms inseguridad y
tambien tener cuidado en los programas que ejecutemos
Adquirir una Red Firewall
Primero que todo para adquirir una Red Firewall hay que tener en cuenta para adquirirlo.
Si se destina la firewall para proporcionar un mtodo de medicin y auditoria de los accesos no
autorizados a la red
Cul es el nivel de vigilancia, redundancia y control queremos
Tambin y uno de los ms importantes cunto cuesta comprar o implementar tal cosa o tal
otra. Por ejemplo, un producto completo de red firewall puede costar 100.000 dlares. Pero
este precio se trata de una firewall de alta resolucin final. Si no se busca tanta resolucin
final, existen otras alternativas mucho ms baratas
Se debe tomar la decisin de colocar una mquina desprotegida en el exterior de la red para
correr servicios proxy tales como telnet, ftp, news, etc
TIPOS BASICOS de Redes Firewall!
A Nivel de red.
A Nivel de aplicacin.
Las firewalls a nivel de red: Normalmente toman las decisiones basndose en la fuente,
direccin de destino y puertos, todo ello en paquetes individuales IP. Un simple router es un
tradicional firewall a nivel de red, desde el momento que no puede tomar decisiones
sofisticadas en relacin con quin est hablando un paquete ahora o desde donde est
llegando en este momento.
A nivel de red es que ellas enrutan el trfico directamente a travs de ellas, nivel de red
tienden a ser ms veloces y ms transparentes a los usuarios.
Las Firewalls a nivel de aplicacin: Es donde los proxy corren en un host eso hace que nos
permita un trfico directo de Red en Red Tambin son usadas como traductoras de direcciones
de RED. Las firewalls a nivel de aplicacin, tienden a proporcionar mayor detalle en los
informes auditados e implementan modelos de conservacin de la seguridad. Esto las hace
diferenciarse de las firewalls a nivel de red.

Firewall FUTURO
En un futuro las firewall incorporaran y ya lo estn haciendo mejor dicho encriptacines de
modo que, pueden proteger el trfico que se produce entre ellas e Internet. Las firewalls con
encriptacin extremo-a-extremo (end-to-end), se puede usar por organizaciones con mltiples
puntos de conexin a Internet, para conseguir utilizar Internet como una central privada
donde no sea necesario preocuparse de que los datos o contraseas puedan ser capturadas.
Servidores proxy y como trabajan
Un servidor Proxy se refiere a un Gateway que es puerta de enlace que se comunica con otra
Red
Los proxi se utilizan a menudo, como sustitutorios de routers controladores de trfico, para
prevenir el trfico que pasa directamente entre las redes.
Los servidores proxy, son:
Son los TIS Internet Firewall Toolkit FWTK, que incluyen proxies para Telnet, rlogin, FTP, X-
Windows, http/Web, y NNTP/Usenet news. SOCKS
Web/http con una firewall
Se conocen 3 formas de hacer que funcionen con la Web/http:
1.) Establecer conexiones va un router, si se estn usando routers protegidos.
2.) Usar un cliente Web que soporte SOCKS, y correr SOCKS en tu firewall.
3.) Ejecutar alguna clase de servidor Web proxy en la firewall.
FTP a travs de una firewall
Primero puede ser permitiendo conexiones entrante para FTP cuando los puertos estas
restringidos.
Si no restringiendo las conexiones entrantes con algn tipo de regla que se establezca.
Telnet a travs de una firewall
Con telnet ya debemos unos proxys como este: firewall toolkits tn-gw
O si no configuramos el router para las conexiones entrantes con alguna proteccin.
A la hora de comprar un Firewall debemos tener en cuenta algunas cosas por ej: La firewall
incluye hardware o slo software, Qu clase de interfaces de red soporta la firewall?
(Necesitar token ring, routers ethernet, etc? se maneja la firewall desde un puesto remoto?)
Abuso de privilegio: Cuando un usuario realiza una accin que no tiene asignada de acuerdo a
la poltica organizativa o a la ley.
Ataque interior: Un ataque originado desde dentro de la red protegida.
Autentificacin: El proceso para determinar la identidad de un usuario que est intentando
acceder a un sistema.
Autorizacin: Proceso destinado a determinar qu tipos de actividades se permiten.
Normalmente, la autorizacin, est en el contexto de la autentificacin.
Bastion Host: Un sistema que ha sido configurado para resistir los ataques y que se encuentra
instalado en una red en la que se prevee que habr ataques. Frecuentemente, los Bastion
hosts son componentes de las firewalls, o pueden ser servidores Web exteriores o sistemas
de acceso pblico.
Deteccin de intrusin: Deteccin de rupturas o intentos de rupturas bien sea manual o va
sistemas expertos de software que atentan contra las actividades que se producen en la red o
contra la informacin disponible en la misma.
Dual Homed Gateway: Un Dual Homed Gateway es un sistema que tiene 2 o ms interfaces
de red, cada uno de los cuales est conectado a una red diferente.
Firewall: Un sistema o combinacin de sistemas que implementan una frontera entre 2 o ms
redes.
Host-based Security: La tcnica para asegurar de los ataques, a un sistema individual.
Logging: El proceso de almacenamiento de informacin sobre eventos que ocurren en la
firewall o en la red.
Router - Encaminador: Dispositivo destinado a conectar 2 o ms redes de rea local y que se
utiliza para encaminar la informacin que atraviesa dicho dispositivo.
Screened Host: Un host - ordenador servidor - en una red, detrs de un router protegido. El
grado en que el host puede ser accesible depende de las reglas de proteccin del router.
Screened Subnet: Una subred, detrs de un router protegido. El grado en que la subred puede
ser accesible depende de las reglas de proteccin del router.
Tunneling Router: Un router o sistema capaz de dirigir el trfico, encriptndolo y
encapsulndolo para transmitirlo a traves de una red y que tambin es capaz de desencapsular
y descifrar lo encriptado.

Balanceadores de carga

El balanceo de carga es lo que mayormente se usa en ISP (proveedor de servicios de internet)
para atender la demanda de sus usuarios, que quiere decir esto, se tiene una pequea base de
red o servidor con una cierta cantidad de clientes los cuales necesitan internet para no saturar
ni congestionar el acceso ya que eso es lo ms importante se emplea un equipo balanceador
para tener 2 o ms lneas de acceso a internet para equilibrar y evitar el saturamiento de la red
y as mantener los usuarios contentos y satisfechos.. En la actualidad es lo ms usado en
redes wifi tanto pblicas como privada empleando varias lneas de acceso a internet (wan) para
el ptimo desempeo de la red...
El balanceo de carga nos permite tener mayor ancho de banda; eso no significa que se tenga
mayor velocidad de carga o descarga, si no que como se mencion anteriormente, el trabajo
se divide entre los IPS conectados, es decir que si se tienen 2 isps (como nuestro caso) el
trfico se distribuir entre los 2 ISP.

NAT
Usada cuando se desea hacer los paquetes sean enrutados a una mquina cliente dentro de
una red local, pero tambin podremos enmascarar un red local y tener salida hacia internet .
Una vez abordados los conceptos abordados previamente pasamos a dar solucin a nuestra
problemtica.

PRIMERA SOLUCION PLANTEADA
Utilizando equipos con Sistema Operativo Linux Debian implementamos algunas herramientas
que vienen compiladas en el kernel de Linux tales como Tablas de Ruteo , configuraciones de
firewall NAT (ip tables) , Ruteo basado en polticas (ip rules), el demonio CRON y el comando
ip para agregar rutas y modificarlas. La solucin consiste bsicamente en contar con un ISP
principal y otro ISP de respaldo controlando el fail over (la cada) del ISP principal y
reemplazarlo por ISP de respaldo, evitando as que la LAN interna se quede sin servicio de
internet, todo esto de manera trasparente.
Simulamos los Routers de ambos ISP con 2 PCs con sistema operativo Linux Mint utilizando
una red cableada y otra red inalmbrica como salidas a internet, y un router de frontera que
cuenta con SO Debian squeeze 6.0 para aplicar las configuraciones pertinentes.


Diagrama de Red propuesto:


Plan de direcciones
La LAN interna cuenta con este pool de direcciones 172.16.0.0/24, y cabe resaltar que el
Router de frontera funciona como servidor DHCP ipv4.
En el segmento entre el router de frontera y el ISP y RED CABLEADA tenemos la subred:
172.16.1.0/24.
En el segmento entre el router de frontera y el isp RED INALAMBRICA tenemos la subred:
172.16.2.0/24.

PROCEDIMIENTO.
Las configuraciones se realizan en el router de frontera, dejamos a su criterio definir en que
router implementara NAT, para nuestro caso lo colocamos en el router frontera.
Bsicamente modificamos los siguientes archivos en los cuales definimos las configuraciones
pertinentes:
1. Configuracin de interfaces de red.
Para asignar direcciones ip a las interfaces de red de nuestra pc lo podemos hacer de 2
formas.
I. Se pueden asignar direcciones a una interfaz escribiendo en la terminal lo siguiente.
ifconfig ethn direccin_ip/marcada_subred up
Donde n es el nmero de la interfaz que est conectada a nuestra pc, por ejemplo
considere que se quiere asignar la direccin 172.16.1.1 que tiene una mscara de subred
de 24 en la interfaz eth0, la manera de escribirlo sera ifconfig eth0 172.16.1.1/24 up;
con esto se asigna la direccin a la interfaz, pero esta persiste solo mientras est
encendida la pc, una vez se reinicia o se apaga, al configuracin se pierde.
II. Escribir en la terminal nano /etc/network/interfaces y se abrir un archivo en la que
configuraremos las interfaces a nuestro gusto. Utilizando la direccin e interfaz antes
mencionada el archivo se tendra que configurar de la siguiente manera.

auto eth0
iface eth0 inet static
address 172.16.1.1
netmask 255.255.255.0

Una vez hecho esto damos ctrl+o para guardar y luego ctrl+x para salir. Ahora bien, ya
tenemos asignada la direccin 172.16.1.1/24 a nuestra interfaz eth0 con lo que si la pc se
apaga o se reinicia, la configuracin no se pierde. Si quisiramos recibir un a direccin por
DHCP simplemente escribimos iface eth0 inet dhcp, sin direccin ni mascara de subred.
Para nuestro proyecto la forma en que quedaran configuradas las interfaces seria de la
siguiente forma.

#etho sale para tigo
auto eth0
iface eth0 inet static
address 172.16.1.1
netmask 255.255.255.0
#Claro
auto eth1
iface eth1 inet static
address 172.16.2.1
netmask 255.255.255.0
#LAN
auto eth2
iface eth2 inet static
address 172.16.0.1
netmask 255.255.255.0


2. Computadora como router.
Para que nuestra computadora trabaje como router utilizando los sistemas operativos
GNU/Linux es necesario modificar algunos archivos. Hay 2 formas de hacerlo.
I. Escribir en la terminal nano /proc/sys/net/ipv4/conf/all/forwarding y se abrir un
archivo, por defecto este tiene valor de 0, lo editamos y lo cambiamos por el valor de 1,
presionamos las teclas ctrl+o para guardar y luego ctrl+x para salir; con esto nuestra pc
se convierte en Router mientras est encendida. Una vez se reinicia la PC o se apaga, esta
configuracin se pierde.
II. Escribir en la terminal nano /etc/sysctl.conf y se abre un archivo, descomentamos lo
siguiente para que nuestra computadora sea router y que no se pierda la configuracin
aunque la pc se reinicie o se apague.
net.ipv4.ip_forward=1

3. Creacin de tablas
Ejecutamos en consola sudo nano /etc/iproute2/rt_tables[ en el cual se definen las tablas de
ruteo del ncleo, por defecto este archivo cuenta con 3 tablas de ruteo, la main donde guarda
las rutas por defecto, una para rutas broadcast y otra para multicast, aqu en este archivo
definiremos 2 nuevas tablas de ruteo, una por cada ISP.
Las definimos como tabla tigo y tabla claro.
La siguiente figura muestra la manera en la que quedara el archivo de
configuracin rt_tables.



4. Regla NAT
Editamos en consola /etc/rc.local.
Este archivo se ejecuta en el arranque de Linux, los comandos colocados aqu se ejecutaran
una vez al inicio del SO, nosotros lo utilizamos para definir las reglas de NAT con las cuales
enmascararemos el trfico de nuestra LAN con las ip's de los segmentos que se tienen con los
ISP. NAT bsicamente reemplaza la ip de origen de cada paquete por la ip que nosotros
definamos que puede ser una ip esttica o una dinmica. La regla del NAT es como sigue.
Iptables t nat A POSTROUTING s direccin_origen_a convertir/marcara_subred o
interfaz_de_salida j MASQUERADE
Para nuestros propsitos escribimos la siguiente lnea para salir a internet.
Iptables t nat A POSTROUTING s 172.16.2.0/24 o eth0 j MASQUERADE
MASQUERADE automticamente convierte nuestra IP de la red local a IP pblica.
El archivo queda como se muestra a continuacin.


5. Configuracin de reglas de navegacin
Configuramos las reglas de encaminamiento. Estas son las que escogen qu tabla de rutas se
usa.
Las ip rules nos permiten enrutar paquetes en base a su direccin de origen y destino, lo cual
difiere de la forma tradicional de enrutado que solo toma en cuenta la direccin de destino.
Una estructura de una regla seria como sigue.
ip rule add from direccion_origen/mascara_subred priority prioridad_regla table
nombre_tabla.
Ejemplo.
ip rule add from 172.16.0.0/24 priority 100 table tigo
Las reglas de navegacin han sido agregadas en el archivo /etc/network/interfaces. La
siguiente se muestra a continuacin; esta ira despus de la configuracin de las interfaces.
Primeramente se definen las rutas y las reglas para la tabla tigo, posteriormente se definen las
de la tabla claro.




6. Fail-Over
Hasta aqu ya tenemos conectividad con internet utilizando el isp principal.
El problema que an no hemos resuelto tiene que ver con la cada ya sea del enlace con el isp
principal o en su defecto la cada de la conectividad con internet, para explicarlo mejor
podemos
definir 2 casos que pueden darse:
Problemas de conectividad en el enlace con el isp principal (problemas de cableado,
problemas con las interfaces, problemas con el router del isp).
Problemas de conectividad con internet (Puede darse el caso de que el enlace con el isp
funcione bien pero no se tenga conexin con internet).
Para resolver ambos problemas al mismo tiempo creamos un script que ejecuta comandos del
Shell que detecta a travs del uso de ping el fail-over (caida) ya sea del enlace con los ISP
o la
conectividad con internet.

El script reemplaza las ip rules que conducen el trfico que viene de la LAN a salir por el
ISP principal por las ip rules que conducen el trfico hacia el ISP de respaldo, solo en
caso de que alguna de las condiciones antes presentadas se den.
El script queda como se detalla a continuacin.



7. Script para supervisin de enlaces.
El script /etc/crontab como tal resuelve nuestro problema de fail-over pero para hacerlo de
manera transparente definimos en el archivo crontab que el script conectividad2.sh se ejecute
cada 5 segundos, con este tiempo de retraso logramos detectar las cadas de los enlaces de
forma
casi instantnea.
A continuacin se muestra la forma en que queda configurado el script. Este script est
definido
para que se actualice cada 5 segundos, y que este supervisando los enlaces, de modo que si
uno
falla, automticamente se pasa el trfico para el otro enlace, siendo transparente para el
usuario.
Con los 7 pasos anteriormente descritos tenemos resolvemos al problema planteado, y nos
aseguramos de estar conectados si uno u otro enlace falla.




SEGUNDA SOLUCION
Para nuestro propsito utilizaremos equipos con sistema operativo GNU/Linux y una
distribucin de FreeBSD llamada pfSense 2.0.
Utilizamos pfSense para realizar Balanceo de Carga, NAT , reglas de firewall para bloquear
algunas pginas web o determinados protocolos, DNS interno, proxy para filtrado de
contenido,
entre otras cosas.
Para descargar pfSense e instalarlo puede visitar los siguientes enlaces.
Descarga de pfSense:
http://files.nyi.pfsense.org/mirror/downloads/
Para conocer la manera de como instalarlo puede visitar el siguiente enlace :
http://alexalvarez0310.wordpress.com/category/portal-cautivo-con-pfsense/instalacion-de-
pfsense/

Nota : Para instalar pfSense es necesario contar con 2 interfaces de red, una para la
WAN y la otra para la LAN. Parar nuestros intereses utilizaremos 3 interfaces, 2 para las
WAN y una para la LAN.

Ingreso a pfSense.
Una vez instalado el pfSense abrimos un navegador, nos conectamos con una computadora a
una nterfaz, nos asignamos una ip del mismo rango que la que tiene la interfaz y luego abrimos
un navegador y escribimos la ip que tiene el pfSense en esa interfaz, nos cargara una pgina
en la que es necesario loguearse. En username escribimos admin y en password
escribimos pfSense.



Configuracin de interfaces.
Primeramente es necesario configurar nuestras interfaces, para ello comenzamos
configurando la interfaz para la WAN(conexin a internet 1) , nos vamos a la opcin
interfaces>WAN, la configuracin necesaria para nuestros intereses seria como sigue.
Ip estatica: 172.16.1.1 Gateway:172.16.1.2



Ahora configuramos la WAN2. La configuracin queda como sigue.




Ahora configuramos la LAN. La configuracin queda como sigue.



Hacemos click en el botn Save.

2. Verificar creacin de Gatways.
Nos vamos a la opcin System>Routing>Gateways y verificamos que los gateways hayan
sido creados correctamente.



3. Creacin del grupo de Gateway.
Para implementar el balanceo de carga primero debemos crear un grupo de Gateways, para
ello nos vamos a la opcin System>Routing>Groups, damos click en el smbolo + y nos
aparecer el siguiente men:



Group Name: Nombre que identificara la unin de las conexiones WAN que se utilizara en
configuraciones posteriores.
Gateway Priority: Se especifica el tipo de prioridad que utilizaremos para cada conexin
WAN, igual prioridad en ambas conexiones significar un balanceo de carga entre los ISP
para la red de rea local.
Aqui se aplica el fail over
Trigger Level: Momento en el que se aplicara el fail over , puede ser cuando un miembro
s e caiga, cuando hayan paquetes perdidos, cuando haya alta latencia o cuando se de una
combinacin de las ultimas 2.
La configuracin debe quedar asi.



Paso final para tener balanceo de carga.
4. Agregar regla de firewall multi_wan a la LAN.
Debemos ir a la pestaa firewall>rules>LAN para asignarle a la LAN el grupo de Gateway
que definimos anteriormente llamado multi_wan.Dando doble click que nos aparece por
defecto.


En el menu Advanced features>Gateway agregamos nuestro grupo de Gateway
como se muestra. En nuestro caso es el grupo multi_wan.




5. NAT outbound
Nat que permite la conversin de las ips de origen del trfico de la LAN por las ips de los
enlaces con los ISPs en el mejor de los casos estas sern pblicas.
En la interfaz de pfSense nos vamos a Firewall>NAT>outbound y agregamos 2 reglas
dando click en el smbolo + y nos aparece la siguiente interfaz..




Lo nico que vamos a modificar es en la pestaa interfaces donde vamos a definir la regla del
NAT ya sea para la WAN1 o para la WAN2 y en source agregaremos la subred de la LAN que
en
nuestro caso es 172.16.0.0/24. Damos click en Guardar.

Ambas reglas deberan quedar como se muestra a continuacin.


6. Reglas de NAT para ser alcanzables desde internet
Para comprobar que somos alcanzables se ha montado un servidor web en la LAN que
escucha
peticiones en el puerto 80 de la pc con ip 172.16.0.1
Firewall >NAT >Portforward , damo click en el simbolo +y modificamos el siguiente menu:




Se configurara en la en el men la interface correspondiente a cada ISP, el protocolo
TCP/UDP, e source la red entre el ISP que se define y el router PFSense, en Destination la ip
del puerto WAN y Destination Port Range HTTP, en Redirect Target ip la ip donde se encuentra
el servidor web en nuestro caso 172.16.0.2 , y en Filter Rule Association Pass.
Ambas reglas quedan como sigue:



Hasta aqu tenemos:
Balanceo de carga
Control de fail-over o cada de un ISP.
Reglas de NAT para salir a internet
Reglas de NAT para ser alcanzables desde internet.
Como extra podemos utilizar el sistema operativo PFSense para realizar:
DNS interno nos permite tener un DNS interno que resuelva las consultas mas
habituales de forma veloz y al mismo tiempo redireccione hacia los DNS externos
todas aquellas consultas que no pueda resolver.
Proxy Para filtrar contenido y algunas paginas por sus url que no queramos que los
host en nuestra LAN visiten.
Reglas de firewall para bloquear algunos protocolos y algunas ip`s publicas de
algunos sitios web para evitar que con la navegacin segura https los usuarios se
salten el proxy.

1. DNS Interno
Con la ayuda de la herramienta dns forwarder que viene ya incluida en pfsense podemos
implementar un DNS interno, para ello vamos a Service>DNS forwarder donde nos aparece el
siguiente men




En la parte de las opciones avanzadas vamos a introducir las paginas que queremos que
nuestro
DNS interno resuelva de manera instantnea, cabe mencionar que todas aquellas consultas
que nuestro dns no pueda solucionar debern ser redireccionadas a los dns definidos en
System>General Setup
Damos click en el smbolo + y editamos el men host overrides donde nos aparecen los
campos:
Host para ponerle un nombre a la consulta.
Domain donde definimos la consulta que habr que resolver, por ejemplo facebook.com.
ip aqu se define la ip que devolver el dns interno cuando se realice una consulta.
Guardamos.
El menu nos deberia quedar similar a este:



De esta forma incluso se pueden resolver algunas consultas dns con la direccin localhost de
la pc para Bloquear el acceso a algunas pginas mediante dns.

2. Proxy filter y proxy server
Con ayuda de ambas herramientas podemos bloquear contenidos e incluso algunas url que
sea necesarias. Para ello debemos descargar los paquetes squid y squidguard llendo a
System>Packege Seleccionamos ambos paquetes y los descargamos.
Despues de esto vamos a Services>proxy filter donde nos encontramos con el siguiente men:



Con el proxy filter podremos bloquear paginas por su contenido, para ello habilitamos el
servicio y el uso de la black list que no es mas que un archivo que contiene todas las ips
que queremos bloquea, en la opcin Blacklist URL escribimos la direccin de internet
donde se encuentra la blacklist que queremos utilizar, luego vamos a la pestaa BlackList
y la descargamos.
Ahora nos vamos a la pestaa Common ACL donde encontraremos el contenido de
nuestra black list y podemos definir ah que queremos permitir que se pueda ver y que
quisiramos bloquear.



Con esto ya estaramos bloqueando paginas por su contenido, ya se pornografa, drogas,
juegos, redes sociales, y muchsimas cosas mas. Proxy server Vamos ahora a la
pestaa Service>proxy server El cual podemos utilizar para bloquear paginas atraves del
servidor proxy, esta configuracin es sencilla y basta con agregar las url que queramos
bloquear en el campo Accesscontrol>blacklist

3. Ahora vamos a utilizar las reglas propias del firewall que ya venimos utilizando
hasta ahora, como hemos visto pueden ser usadas para muchas aplicaciones,
trataremos de explicar las siguientes:
Uso de las reglas de firewall para bloquear protocolos especficos en nuestro caso
bloquearemos el protocolo ICMP Fuera de la LAN. Cabe resaltar que el trafico ICMP entre la
LAN si se permitir.
En vista de la problemtica de que el filtro proxy puede ser saltado utilizando navegacin
segura https, bloquearemos con reglas de firewall el trafico que vaya hacia ciertas paginas.

Vamos a Firewall>Rules y agregamos una regla nueva dando click en +, primero
agregaremos una regla que permita el trafico ICMP entre los host de la LAN y luego
otra regla que bloquee todo el trafico ICMP, en vista de que cuando un paquete ingresa
al firewall este revisa su tabla de reglas en busca de una que concuerde con el paquete,
cuando encuentra dicha regla la ejecuta y hace caso omiso de las siguientes reglas, aqu
el orden de las reglas si importa.
Ahora agregaremos otra regla que bloquee todo el trafico con destino Las ips de
facebooken nuestro caso bloquemos todas las ips de facebook del rango de la
173.252.0.0/16 asi inhabilitamos tambin la navegacin segura https.


EQUIPOS MS USADOS POR ISP
Equipos existen muchos en el mercado, todo depende a su capacidad de memoria, desempeo
y uso extremos entre los ms potentes y brutales esta la ROUTERBOARD MIKROTIK 1200
este equipo dispone de 10 puertos Gigabyte los cuales pueden configurarse todos para
funcionar como balanceo de carga y as tener 10 wan para el uso de una red tenindose en
cuenta 10 wan con unos 3 Mb de velocidad de acceso cada una servira para unos 600 clientes
simultneos en una red wifi..



Se debe tener conocimiento de sistema MIKROTIK para su respectiva configuracin no es solo
de conectar ya que este sistema es algo complicado y se debe tener practica y conocimiento
del mismo. Entre sus funciones se puede hacer balanceo completo colocando auto cada si una
wan se cae estarn 2 o ms para reemplazarla, si una wan se satura entra la siguiente y as
hasta que estn todas trabajando, o tener las 10 wan trabajando simultneamente.

Router balanceador TPLINK uno de los equipos ms usados actualmente por ISP en
Latinoamrica ya que permite conectar 4 wan sin tener un avanzado conocimiento por su
sistema automtico, el cual detecta las wan, y otorga balanceo inteligente detectando el
saturamiento y metiendo en juego la siguiente que quiere decir esto si una wan llega a su tope
de ancho de banda el automticamente le da paso a la siguiente y as hasta tener las 4 wan
funcionando, su configuracin es como la de un router comn, solo darle un ip, activarle el
dhcp, y tildar cuantas wan estarn funcionando, esto es importante ya que si no se tilda
cuantas wan estn trabajando el equipo dejara en espera los puertos sin uso y puede usar
parte de su memoria de proceso en vano.. Lo recomendable es tildar las wan que se van a usar
para no desperdiciar la memoria restante en espera de conexin...



Routerboards MIKROTIK su gamas dispone de muchos modelos los cuales ofrecen
rendimiento para un determinado nmero de usuarios, desde puertos Gigabyte, a conexiones
para tarjetas mini pci para el despliegue de una red wifi, como balanceadores tambin se les
puede dar uso sin importar su modelo y dependiendo su versin y su capacidad se pueden
emplear tambin como servidores de red.